硬件綁定(HardCA)
傳統(tǒng)的用戶名和密碼或者CA證書(shū)認(rèn)證方式都存在證書(shū)或密碼被盜用的問(wèn)題。為避免傳統(tǒng)方案的泄密缺點(diǎn)����,SANGFOR SSL VPN使用了深信服公司的特色技術(shù)-基于PC硬件特征的證書(shū)認(rèn)證系統(tǒng)(HARDCA)來(lái)實(shí)現(xiàn)基于硬件的認(rèn)證���。該認(rèn)證原理是將用戶賬號(hào)與其所在計(jì)算機(jī)硬件信息(如CPU、硬盤(pán)�、網(wǎng)卡等)進(jìn)行綁定���,即便用戶賬號(hào)意外泄露�����,由于非法用戶無(wú)法使用與此賬號(hào)事先綁定的那臺(tái)計(jì)算機(jī)��,因而不會(huì)造成非法用戶接入����。
動(dòng)態(tài)令牌認(rèn)證
動(dòng)態(tài)令牌是技術(shù)**的一種雙因素強(qiáng)身份認(rèn)證體系,采用用戶PIN碼+動(dòng)態(tài)令牌碼構(gòu)成完整用戶口令����,令牌碼由令牌內(nèi)置種子和當(dāng)前時(shí)間通過(guò)偽隨機(jī)算法生成,每分鐘改變一次�,而且是一次性密碼(密碼使用后立即失效,不能重復(fù)使用)��。由于實(shí)際上的安全問(wèn)題都和密碼有關(guān)��,** 密碼是最常見(jiàn)的口令攻擊手段��,因此動(dòng)態(tài)令牌很好的解決了以上問(wèn)題�,為用戶的使用提供了極高的安全性保證。
SSL VPN可以立即安裝����、立即生效��。楊浦區(qū)信息VPN軟件
與口袋助理APP結(jié)合認(rèn)證
SSL VPN短信認(rèn)證通常需要與企業(yè)短信平臺(tái)進(jìn)行集成���,SSL VPN短信認(rèn)證模塊支持與GSM/CDMA短信或短信網(wǎng)關(guān)聯(lián)動(dòng),通過(guò)下發(fā)實(shí)時(shí)短信驗(yàn)證碼的形式���,驗(yàn)證用戶信息�,提高用戶登錄SSL VPN身份驗(yàn)證安全�����。
傳統(tǒng)短信認(rèn)證方式存在的問(wèn)題:
費(fèi)用高
使用***方式�,需要購(gòu)買硬件***,并支付短信費(fèi)用
使用短信網(wǎng)關(guān)方式�,同樣需要支付短信費(fèi)用,甚至需要購(gòu)買短信代理平臺(tái)
通過(guò)上面分析我們可以得出��,無(wú)論是***還是短信網(wǎng)關(guān)方式�,都需要支付短信費(fèi),而且費(fèi)用不低����。以一個(gè)公司平均每天1000次登錄為例計(jì)算,一條短信費(fèi)大致為8分���,那么一年的投入是:1000*0.08*365=29200元
如果使用包月套餐����,目前的市場(chǎng)價(jià)格大致為2000元/月包30000條短信���,超出部分按一條1毛錢另外計(jì)費(fèi)���。那么一年的投入是:2000*12=24000元。
由此可見(jiàn)�,客戶每年在短信費(fèi)上投入的成本著實(shí)不少。而且用戶越多����,使用時(shí)間越長(zhǎng),成本越高����。例如使用短信網(wǎng)關(guān)5年,投入成本將達(dá)10萬(wàn)以上�����。
徐匯區(qū)企業(yè)VPN承諾守信使用VPN技術(shù)來(lái)構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)����。
對(duì)網(wǎng)絡(luò)的支持問(wèn)題
傳統(tǒng)的IPSec VPN在網(wǎng)絡(luò)適應(yīng)性上都存在一些問(wèn)題����,雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問(wèn)題����,但由于IPSec VPN對(duì)防火墻的安全策略的配置較為復(fù)雜(往往要開(kāi)放一些非常用端口),因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到****完美�����。
移動(dòng)設(shè)備支持問(wèn)題
隨著未來(lái)通訊技術(shù)的發(fā)展�����,移動(dòng)終端的種類將會(huì)越來(lái)越多����,IPSec 客戶端需要有更多的版本來(lái)適應(yīng)這些終端,但隨著終端種類的性增長(zhǎng)��,這幾乎是不可能的�����。
因此SSL VPN技術(shù)就孕育而生了,SSL VPN的突出優(yōu)勢(shì)在于Web安全和移動(dòng)接入�����,它可以提供遠(yuǎn)程的安全接入�����,而無(wú)需安裝或設(shè)定客戶端軟件����。SSL在Web的易用性和安全性方面架起了一座橋梁��。目前���,對(duì)SSL VPN公認(rèn)的三大好處是:首先是它的簡(jiǎn)單性����,它不需要復(fù)雜配置����,可以立即安裝、立即生效;第二個(gè)好處是不需要安裝客戶端���,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行�����;第三個(gè)好處是兼容性好��,可以適用于任何的終端及操作系統(tǒng)�。
作為HTTPS服務(wù)器�����,所有SSL VPN都同樣面臨著DOS的威脅���。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護(hù)其安全����。而SANGFOR SSL VPN自身就是一個(gè)防火墻�����,集成了對(duì)DOS等攻擊的防御手段�����。
對(duì)于來(lái)自外部的DOS攻擊,其防御DOS的基本原理如下:在網(wǎng)絡(luò)層模擬應(yīng)用層對(duì)DOS攻擊的主機(jī)發(fā)起應(yīng)答��,由于DOS攻擊主機(jī)無(wú)法完成3次握手�����,因此可以識(shí)別出不完整的請(qǐng)求����,避免了把攻擊發(fā)送到SSL VPN應(yīng)用上�。而對(duì)于真實(shí)的SYN,在網(wǎng)絡(luò)層完成了SYN的3次握手后���,再模擬請(qǐng)求的客戶端把SYN請(qǐng)求發(fā)送到應(yīng)用層����。通過(guò)這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問(wèn)順利的通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器�,而DOS攻擊則被拒之門外。
SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來(lái)自外網(wǎng)的DOS攻擊�����,對(duì)于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊,SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御���。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表�����,若檢測(cè)到來(lái)自該列表之內(nèi)的計(jì)算機(jī)發(fā)起的連接請(qǐng)求����,則認(rèn)為是合法用戶���;而若是來(lái)自該列表之外的IP地址���,則被認(rèn)為是攻擊。這對(duì)于通常偽造源IP地址的DOS攻擊發(fā)起端來(lái)說(shuō)�����,將是一個(gè)有效的防范措施��。
越來(lái)越多外部人員需要訪問(wèn)內(nèi)部的應(yīng)用系統(tǒng)����。
訪問(wèn)權(quán)限控制功能提供**細(xì)致的權(quán)限管理
SANGFOR SSL VPN通過(guò)獨(dú)特的角色管理功能�,提供了細(xì)致到每個(gè)URL和不同應(yīng)用的權(quán)限劃分�����。通過(guò)給不同用戶設(shè)置不同角色來(lái)分配訪問(wèn)授權(quán)��,一個(gè)用戶可以賦予多個(gè)角色以適合各種復(fù)雜的組織結(jié)構(gòu)�。基于角色的訪問(wèn)限制為企業(yè)網(wǎng)絡(luò)提供了較強(qiáng)的安全性�。通過(guò)行為引擎,管理員還可以查看遠(yuǎn)程接入用戶的所有訪問(wèn)記錄�。
SANGFOR SSL VPN內(nèi)置有多種用戶和資源管理方式,可以自建用戶�,也可以從第三方導(dǎo)入����,支持LDAP/AD、RADIUS等第三方認(rèn)證��,可以根據(jù)用戶����、用戶組、公用賬號(hào)�、私有賬號(hào)等多種方式對(duì)用戶進(jìn)行管理����。管理員可根據(jù)角色�、Web資源、C/S資源�、IP資源等權(quán)限劃分方式,為遠(yuǎn)程接入用戶分配細(xì)致的訪問(wèn)權(quán)限控制���。
同時(shí)��,SANGFOR SSL VPN集成了用戶并發(fā)限制���、公用賬號(hào)并發(fā)限制和用戶流量限制等多種方式,保證了用戶合理地使用VPN資源����。并且,在SSL VPN網(wǎng)關(guān)中的直觀式管理圖形用戶界面(GUI)的實(shí)時(shí)監(jiān)控狀態(tài)欄中����,可以實(shí)時(shí)地監(jiān)控用戶的接入情況,觀察整個(gè)VPN系統(tǒng)的運(yùn)行狀況����。
由于IPSec VPN對(duì)防火墻的安全策略的配置較為復(fù)雜�。徐匯區(qū)企業(yè)VPN承諾守信
在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端���。楊浦區(qū)信息VPN軟件
快速重傳-允許接收端通過(guò)使用 SACK TCP 選項(xiàng)指示**多四個(gè)接收數(shù)據(jù)的非鄰接塊���。RFC 2883 定義用于確認(rèn)重復(fù)的數(shù)據(jù)包的 SACK
TCP
選項(xiàng)中的字段的額外使用。發(fā)送端可以通過(guò)此操作確定何時(shí)重傳了不必要的段并調(diào)整其行為����,以防今后不必要的重傳。發(fā)送的重傳越少�����,整體吞吐量越合理���。
快速恢復(fù)-快速檢測(cè)出丟包�,并能快速準(zhǔn)確重傳該包�����,對(duì)時(shí)延較大�����,網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率����,通過(guò)更改快速恢復(fù)過(guò)程中發(fā)送端可以用來(lái)提高發(fā)送速率的方法,提供更大的吞吐量�。
慢啟動(dòng)-避免發(fā)送
TCP
對(duì)等方擁塞整個(gè)網(wǎng)絡(luò)的現(xiàn)有算法被稱為“慢啟動(dòng)”和“擁塞避免”。在連接**初發(fā)送數(shù)據(jù)和還原丟失段時(shí)���,這些算法可以增大發(fā)送窗口����,即發(fā)送端可以發(fā)送的段數(shù)量��。對(duì)于每個(gè)接收到的確認(rèn)段或每個(gè)已經(jīng)確認(rèn)的段�,“慢啟動(dòng)”算法會(huì)以一個(gè)完整的
TCP 段增大發(fā)送窗口。對(duì)于每個(gè)已經(jīng)確認(rèn)的完整窗口的數(shù)據(jù)�,“擁塞避免”算法以一個(gè)完整的 TCP
段增大發(fā)送窗口。利用這些算法增大發(fā)送窗口的速度就足以充分利用連接帶寬����。
楊浦區(qū)信息VPN軟件
上海黑象信息科技有限公司致力于商務(wù)服務(wù),是一家其他型公司�����。公司業(yè)務(wù)分為技術(shù)開(kāi)發(fā),技術(shù)轉(zhuǎn)讓��,技術(shù)咨詢���,技術(shù)服務(wù)等���,目前不斷進(jìn)行創(chuàng)新和服務(wù)改進(jìn),為客戶提供良好的產(chǎn)品和服務(wù)����。公司秉持誠(chéng)信為本的經(jīng)營(yíng)理念,在商務(wù)服務(wù)深耕多年���,以技術(shù)為先導(dǎo)��,以自主產(chǎn)品為重點(diǎn)��,發(fā)揮人才優(yōu)勢(shì)���,打造商務(wù)服務(wù)良好品牌。在社會(huì)各界的鼎力支持下��,持續(xù)創(chuàng)新���,不斷鑄造***服務(wù)體驗(yàn)�,為客戶成功提供堅(jiān)實(shí)有力的支持�����。