SANGFOR SSL VPN安全網(wǎng)關可以限制內(nèi)部局域網(wǎng)每個IP地址在一分鐘內(nèi)可發(fā)起的比較大TCP連接數(shù)和發(fā)送的比較大SYN包次數(shù)(數(shù)值可依據(jù)內(nèi)網(wǎng)計算機數(shù)量自定義),阻止了局域網(wǎng)內(nèi)某些計算機傳染了攻擊或者木馬程序��,對外發(fā)起大量的連接請求從而導致企業(yè)網(wǎng)絡帶寬耗盡��、網(wǎng)關設備癱瘓宕機等情況的發(fā)生�����。一旦檢測到攻擊后��,SANGFOR SSL VPN安全網(wǎng)關可以立即對攻擊主機進行鎖��,從而及時有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計算機發(fā)起的DOS攻擊行為�����,避免了企業(yè)員工在上網(wǎng)時不小心傳染了攻擊而造成DOS攻擊給企業(yè)帶來的法律糾結(jié)�����、名譽受損等風險�����。在每個遠程接入的終端都需要安裝相應的IPSec客戶端。黃浦區(qū)電話VPN軟件
與口袋助理APP結(jié)合認證
SSL VPN短信認證通常需要與企業(yè)短信平臺進行集成���,SSL VPN短信認證模塊支持與GSM/CDMA短信或短信網(wǎng)關聯(lián)動�����,通過下發(fā)實時短信驗證碼的形式���,驗證用戶信息,提高用戶登錄SSL VPN身份驗證安全���。
傳統(tǒng)短信認證方式存在的問題:
穩(wěn)定差
使用短信方式���,批量發(fā)送能力差、發(fā)送速度慢���、有延時�����,在信號不好的機房使用可能發(fā)送質(zhì)量不穩(wěn)定。
使用短信網(wǎng)關方式�����,雖然批量發(fā)送能力較強,但是運營商對短信內(nèi)容有嚴格的審計和過濾��,可能導致VPN用戶無法正常接收到驗證碼短信��。
使用短信網(wǎng)關方式�����,每個手機號碼在一定時間內(nèi)發(fā)送的短信條數(shù)有限制���,如果用戶頻繁獲取短信驗證碼�����,可能導致短信通道被封�����,所有用戶都無法正常接收短信驗證碼�����,嚴重影響辦公��。
黃浦區(qū)電話VPN軟件傳統(tǒng)的IPSec VPN在網(wǎng)絡適應性上都存在一些問題��。
與第三方CA結(jié)合
為了建立更加完善的認證體制�����,很多企業(yè)引進了CA中心�����,通過CA中心來建立更加完善的認證體制��。深信服SSLVPN能夠更好的實現(xiàn)與CA中心這樣的認證體制的結(jié)合�����,支持包括UCS-2���, GBK�����, UTF-8���, GB2312��, BIG5編碼格式,支持der���、crt��、cer��、p12�����、pfx���、p7b格式證書,還可以讀取CA證書中的指定字段�����,形成身份賬號綁定和從而能夠與第三方CA進行完美的結(jié)合��,滿足大規(guī)模用戶對于認證的要求�����。
深信服SSLVPN與第三方CA結(jié)合,還可以支持設置證書中的內(nèi)置授權(quán)值���,并與之綁定賬號完成組織結(jié)構(gòu)的建立���,達到更完美支持CA證書認證的效果。同時�����,深信服SSL VPN至少支持5張不同的CA根證書�����,���,以及配置證書綁定字段以及批量導入/導出用戶證書記錄等��,即使是復雜數(shù)字證書體系也能良好的支持��。
與LDAP(AD)結(jié)合
為了更好的體現(xiàn)認證的多樣性���,深信服SSL VPN提供讀取LDAP中的手機號碼,可以跟短信認證結(jié)合起來,這樣就可以實現(xiàn)與LDAP結(jié)合的雙因素認證��。
對于在LDAP中已經(jīng)劃分好了權(quán)限的情況�����,為了保持跟LDAP中權(quán)限的一致性���,深信服SSL VPN支持導入LDAP中的Group屬性,這樣就可以完美繼承LDAP中的權(quán)限屬性���,從而與LDAP中的權(quán)限保持一致���。
當大量的用戶通過LDAP進行認證,但是本地SSL VPN數(shù)據(jù)庫中沒有用戶信息也無法分配虛擬IP��,那就沒有辦法使用IP資源��。為了解決這樣的問題���,深信服可以讀取LDAP中的IP字段屬性��,從而通過LDAP可以進行虛擬IP的分配�����,這樣通過LDAP進行認證的用戶可以得到虛擬IP實現(xiàn)雙向訪問��。
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡的安全控制問題��。
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當中SSL 協(xié)議(RFC2246)�����。它是一種安全可靠的協(xié)議��,包括以下三個協(xié)議:
握手協(xié)議:客戶和服務器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性��,有三個特點 身份鑒別��,至少對一方實現(xiàn)鑒別��,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的���,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性���,有兩個特點 保密性,使用了對稱加密算法 完整性���,使用HMAC算法 用來封裝高層的協(xié)議
正是因為SSL 協(xié)議本身的安全性也導致他被多方位的應用到網(wǎng)上銀行�����。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進行封裝��。
如果**將TCP 數(shù)據(jù)做了簡單的封裝���,或者把IPSEC VPN做些修改�����,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口,不能算是真正的SSL VPN��。鑒別這種偽SSL VPN�����,可以使用標準的HTTP流量測試工具或者通過抓包工具�����。如果能進行SSL 對接��,并進行SSL負載測試的就是真正的SSL VPN。但是普通客戶往往沒有這個測試條件���,因此建議在SSL VPN選型時購買經(jīng)過國家密碼管理局批準的產(chǎn)品型號��,以及經(jīng)過公安部檢測通過并獲得VPN銷售許可證的產(chǎn)品���。
不需要安裝客戶端,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行���。黃浦區(qū)電話VPN軟件
使用VPN專線功能來實現(xiàn)和互聯(lián)網(wǎng)的邏輯隔離�����,來保證入侵安全性�����。黃浦區(qū)電話VPN軟件
對網(wǎng)絡的支持問題
傳統(tǒng)的IPSec VPN在網(wǎng)絡適應性上都存在一些問題�����,雖然一些領導廠商已經(jīng)或正在解決網(wǎng)絡兼容性問題���,但由于IPSec VPN對防火墻的安全策略的配置較為復雜(往往要開放一些非常用端口)��,因此客戶端的網(wǎng)絡適應性還是不能做到****完美��。
移動設備支持問題
隨著未來通訊技術的發(fā)展���,移動終端的種類將會越來越多,IPSec 客戶端需要有更多的版本來適應這些終端���,但隨著終端種類的性增長�����,這幾乎是不可能的���。
因此SSL VPN技術就孕育而生了��,SSL VPN的突出優(yōu)勢在于Web安全和移動接入���,它可以提供遠程的安全接入��,而無需安裝或設定客戶端軟件��。SSL在Web的易用性和安全性方面架起了一座橋梁��。目前��,對SSL VPN公認的三大好處是:首先是它的簡單性�����,它不需要復雜配置���,可以立即安裝��、立即生效��;第二個好處是不需要安裝客戶端�����,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行�����;第三個好處是兼容性好�����,可以適用于任何的終端及操作系統(tǒng)���。
黃浦區(qū)電話VPN軟件
上海黑象信息科技有限公司致力于商務服務���,是一家其他型的公司。黑象致力于為客戶提供良好的技術開發(fā)�����,技術轉(zhuǎn)讓�����,技術咨詢���,技術服務��,一切以用戶需求為中心���,深受廣大客戶的歡迎���。公司注重以質(zhì)量為中心�����,以服務為理念�����,秉持誠信為本的理念���,打造商務服務良好品牌��。黑象立足于全國市場�����,依托強大的研發(fā)實力�����,融合前沿的技術理念��,飛快響應客戶的變化需求���。