【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】(1)-精品文档整理-精品文档资料.docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】(1)-精品文档整理-精品文档资料.docx》由会员分享,可在线阅读,更多相关《【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】(1)-精品文档整理-精品文档资料.docx(35页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网神SecSSL 3600安全接入网关系统技术白皮书密级:公开日期:2019/5/1l 版权信息版权所有 2006-2019 网神信息技术(北京)股份有限公司,保留所有权利。l 版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联
2、公司均保留追究法律责任的权利。l 修订记录日期文档版本号修订内容修订人2018.4.1V1.0编写白皮书程铖2019.5.119.5.1更新白皮书程铖目录1.产品概述12.产品特色32.1业务连续性&安全性42.1.1全面防止中间人攻击42.1.2多种业务访问模式42.1.3业务平滑对接62.1.4双机互备&负载均衡72.1.5满足基于IP协议的需求82.1.6WSDP协议优化82.1.7移动应用单点登录82.1.8良好的网络适应性92.2数据保密性&完整性92.2.1安全桌面实现数据终端无痕92.2.2虚拟工作区102.2.3移动终端数据安全112.2.4国密算法112.2.5协同办公(与蓝
3、信配合)112.3终端安全&适用性112.3.1移动终端接入访问112.3.2硬件绑定122.3.3多系统支持122.3.4智能终端杀毒122.3.5移动应用检测132.3.6移动应用安全加固132.3.7移动应用封装132.3.8移动应用商店142.3.9智能准入控制142.3.10情景感知授权142.3.11移动终端管理142.3.12客户端安全检查152.4接入&认证多样性152.4.1多因素身份认证152.4.2多认证方式任意组合162.4.3独创二维码/动态口令二合一172.4.4云端无缝接入182.4.5IPv6远程接入182.4.6适应不同类型客户使用环境192.4.7多ISP接
4、入支持192.4.8L2tp over IPSec的接入方式202.4.9PPTP的接入方式202.4.10Trustconnect APP的接入方式202.4.11自助注册管理212.4.12二维码/推送免密登录212.5设备易管理&自安全222.5.1SSL/IPSec VPN二合一222.5.2集成企业级防火墙222.5.3CA管理中心232.5.4二维码扫描下载232.5.5系统监控及日志功能232.5.6Mini网关管理242.5.7多维度授权机制242.5.8灵活、安全的应用服务252.5.9虚拟站点隔离262.5.10系统三权分立263.技术优势273.1自主知识产权的SecOS
5、安全操作系统273.2业界独创二维码/动态码认证,便捷无缝接入273.3应用安全加固技术,拒绝反编译273.4全面支持IPv6网络IPv6283.5先进的多核并行技术283.6多链路智能选路技术293.7稳定的安全桌面技术293.8多种移动终端接入技术293.9TCP协议优化、数据流压缩技术303.10领先的移动端杀毒功能,确保移动办公终端环境安全。303.11前沿的虚拟工作区技术,为业务数据提供安全隔离加密防护。301. 产品概述本公司作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600安全接入网关系统系列产品。该系列VPN安全网关采用国
6、家密码管理局指定的加密算法,遵循国家密码管理局的SSL VPN技术规范,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。网神SecSSL 3600安全接入网关系统是以国际标准SSL/TLS协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SecSSL 3600安全接入网关系统全面支持IPv6安全接入,满足下一代互联网安全接入需求,为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让
7、用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX、MAC等系统的商业文件和应用程序,系统可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户访问不同安全级别的应用系统。网神SecSSL 3600安全接入网关系统精细化访问控制技术能够使你明确而容易地定义资源安全的发布,细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。全范围身份认证方法的支持:系统支持广泛范围的身份认证技术,包括用户名/密码、数字认证、LDAP、RADIUS、AD、数据库认证以及其它通用的多因素等认证系统。网
8、神SecSSL 3600安全接入网关系统产品让用户轻松而安全地实现远程访问,让公司的网络应用布署更灵活,同时,系统还可以为企业最大化地节约成本为企业用户提供最好的整体解决方案。网神SecSSL 3600安全接入网关系统通过結合 SSL/TLS和代理技术來减少风险终端控制技术检测、保护使用者环境,从而授权使用者的访问级別,策略执行不仅基于使用者名称,还能检测使用者环境的信任级別,可以针对那些需要特殊环境的使用者,提供最好的解決方案。系统提供了用户自己定义界面的功能 ,用户可以根据自己的个性,定制入口界面,用户还可以把登录的LOGO换成自己公司的,并且,可以让不同的用户定制属于自己的VPN界面。随
9、着移动互联网的发展,网神SecSSL 3600安全接入网关系统在移动端融合了EMM产品基础功能,实现了基于应用APP的安全封装技术,并且通过搭建企业内网的应用商店,定向推送安全封装以后的APP进行到指定的用户及用户组下载安装。移动端融合安全杀毒技术,保障用户在移动办公的设备环境安全。2. 产品特色网神SecSSL 3600安全接入网关系统为一款安全远程接入VPN的解决方案。它在允许远程访问的同时,实现了如上所述的种种安全功能,包括:l 对PC移动用户进行统一的身份进行认证管理。l 根据管理员定义的安全策略和客户端的安全状况,对用户进行授权。l 检测远端用户接入设备的安全状态。l 保证远端用户同
10、内部网络的通信安全。l 实时监控远程接入的安全连接。l 云端接入解决方案保证云端通信安全。l 软Token保证认证信息不被泄露。l 移动终端管控,实现MAM、MDM、MCM三合一,保证数据l 移动端APP安全封装技术,无需企业二次开发快速集成VPN功能。l 移动端企业内部安全应用商店,保障合法白名单的应用定向推送用户。l 移动端安卓设备安全杀毒功能,保障终端安全办公环境。与此同时,考虑到网神SecSSL 3600安全接入网关系统作为一个网络安全设备在网络中部署的便利性,对各种不同的网络环境的适应性以及用户使用的安全便利性,系统提供了双机备份、多ISP接入、客户端智能选路等网络适应能力。同时,为
11、了便于管理和审计,系统提供了灵活的用户管理方式和方便的日志管理功能。2.1 业务连续性&安全性2.1.1 全面防止中间人攻击中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。为了防止用户在登录业务系统时遭到中间人攻击,网神SecSSL 3600安全接入网关系统采用二维码认证/动态口令认证等方式。该认证方式采用
12、独立app(天鉴ID)、硬件设备(ITS)进行认证。认证过程中,通过手机获取二维码信息/动态口令信息,该信息直接发送到ITS中,ITS与网神SecSSL 3600安全接入网关系统直接在企业内网进行交互、确认,认证通过后,用户才可访问业务系统。该方式对认证信息进行了二次验证和确认,且认证信息采用独有编码方式进行加密,做到一人一机,黑客即使拦截到认证信息,也无法进行身份仿冒、信息截取和嗅探。2.1.2 多种业务访问模式企业的远程接入解决方案面对的是不同要求的客户,例如:需要给自己内部的员工提供对一些关键应用的访问服务,需要让IT人员能够通过其进行网络管理,需要为合作伙伴开放某一个专门的受SSL保护
13、的Web服务等。因此,为了满足不同的远程访问要求,网神SecSSL 3600安全接入网关系统为远程用户提供如下六种接入模式:代理服务(Proxy)代理服务(端口转发模式)可以帮助企业,实现任意基于TCP的应用延伸到Internet可以到达的地方,从而实现移动办公。网络连接(Network Connection)网络连接(虚拟网卡模式)方式可以使远程访问用户,访问企业内部网络的任意资源,可以帮助IT人员对企业网络实现远程维护或者部署一些VoIP服务。安全桌面(VSD)系统为用户提供了一种安全的桌面服务,能够保证用户在远程接入环境下使用时其访问的应用数据在PC端的安全加密的存储空间运行,确保终端数
14、据防泄漏。远程业务发布(WSDP)系统具有远程应用发布功能,实现快速将C/S 模式的资源B/S 化。远程应用接入采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务器操作,输入输出内容(键盘输入、鼠标移动、运行结果在屏幕上的显示输出)则通过网络传输到客户端。安卓、IOS操作系统的智能终端只需要安装云桌面客户端,即可满足用户移动办公的需求。目的地址映射(DNAT)顾名思义,DNAT可以为企业提供网络层的服务映射,使得企业可以通过网神SecSSL 3600安全接入网关系统对外提供一些开放的服务。虚拟服务(Virtual Ser
15、vice)虚拟服务可以在系统上,为用户提供基于SSL加密的服务代理,这种应用模式可以保护企业的一些公开访问服务。2.1.3 业务平滑对接适用于windows操作系统的业务系统,无缝迁移到移动端(安卓和IOS),并且不需要客户二次开发。并且某些C/S 的系统架构在互联网中应用,面临最大的问题就是兼容性和响应效率问题。不少C/S 模式的系统,对安装移动终端的系统环境有着特定的要求;而在系统运作过程,客户机和服务器之间也需要反复传输数据和指令,这在互联网上容易被带宽以及线路的稳定性所影响。网神SecSSL 3600安全接入网关系统具有远程应用发布功能,实现快速将C/S 模式的资源B/S 化。远程应用
16、接入采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务器操作,输入输出内容(键盘输入、鼠标移动、运行结果在屏幕上的显示输出)则通过网络传输到客户端。这样模式的好处:a) 软件的客户端也是安装运行在服务器上的,因此对客户端的运行环境就没有相关的要求限制,可以不用满足原来客户端要求的特定环境,也可以不要求客户端拥有比较高的硬件配置要求;b) 由于传输内容不包括应用数据,因此可大大降低网络数据传输量;c) 的远程应用发布技术与VPN 技术集成后,可为远程应用接入提供一个更加安全、更加完备的远程应用发布解决方案。2.1.4 双机
17、互备&负载均衡网神SecSSL 3600安全接入网关系统作为提供远程接入解决方案的门户,必须提供高可用的服务。系统支持双机热备,可以提供主从、主主两种业务模式。系统的HA功能,可以在不同的型号之间实现HA,只要软件版本相同即可,这样可以使用户既可以提供高可用性,也可以节约用户的投资。在主从模式下,两台网神SecSSL 3600安全接入网关系统构成一个HA对,其中只有主设备会对远程用户提供服务。两台设备上的接口可以对应形成一组,每一组接口可以使用一个浮动IP地址(Float IP),该浮动IP地址即为远程用户的访问地址,管理员可以通过浮动IP地址,也可以通过接口地址来访问系统进行管理。两台设备中
18、只有主设备拥有浮动IP地址,即如果访问浮动IP地址就是访问了主设备。在HA的主从模式下,管理员可以在任意一台设备上进行管理,其管理动作的结果将同时作用在两台设备上,从而实现设备间配置的同步。对从设备的管理只能使用接口地址。在主主模式下,构成HA的两台设备都会对远程用户提供服务。同样可以为每组接口提供一个浮动的IP地址,用户可以通过这个浮动IP访问系统,客户端能够根据两台设备的负载情况,自动地选择其中一台作为服务。并能够根据链路质量的变化和设备的负载情况动态切换。当系统是经过防火墙/NAT设备映射访问时,则客户端不能访问设备的接口IP地址,而是智能地访问映射地址。这就是在主主模式下,可以选择为系
19、统配置MAP IP的原因。2.1.5 满足基于IP协议的需求企业内部有时需要部署一些诸如VoIP的业务系统。这些应用需要使用一些动态的端口,而且需要任意两个端点之间可以通信。这就要求通过远程接入的用户需要能够被动地被他人访问,这是一般的网神SecSSL 3600安全接入网关系统的代理方式和Web转换方式无法满足的。针对这种情况,网神SecSSL 3600安全接入网关系统提供了网络连接访问方式。客户端登录系统之后,实现了客户端同Intranet之间网络层面的互连,客户端可以从服务器上获取Intranet的IP地址。从逻辑上看,远程客户就好像是在企业内部网络一样,因此网络连接访问方式可以承载任何基
20、于IP的应用。同时,系统可以实现在网络连接基础上的细粒度的访问控制,可以根据角色来实现对不同用户访问不同服务的控制。在精细控制的基础上,系统还可以允许通过网络连接登录用户之间的相互访问,使得系统真正为远程用户提供了局域网应用体验。2.1.6 WSDP协议优化智能终端用户通过WSDP实现内部各种应用系统业务交付。WSDP协议是通过优化RDP协议而来,其传输速度是RDP的2倍以上,其压缩率达到60-70%。2.1.7 移动应用单点登录 网神SecSSL 3600安全接入网关系统预留可扩展的移动应用单点登录模块, 在移动办公系统逐渐增多、各个系统间用户名/密码不同的情况下,为用户提供企业应用一键单点
21、登录的功能,免除用户 反复多次输入繁琐的用户名密码的麻烦,提高用户对单位 IT 部门的满意度。 2.1.8 良好的网络适应性网神SecSSL 3600安全接入网关系统在网络部署上具有高度的灵活性和适应性,不会影响用户的网络部署,不需要改变用户的网络配置,特别是支持代理穿越和域名解析功能。系统服务的配置和客户端的访问均可以支持域名方式,方便用户服务理解和管理。即使用户没有部署域名服务器,也可以通过系统内置的域名解析功能,手工添加或者导入用户定义的域名、IP地址对。2.2 数据保密性&完整性2.2.1 安全桌面实现数据终端无痕网神SecSSL 3600安全接入网关系统安全桌面功能采用沙箱技术来实现
22、。A、启用安全桌面认证结束后,在计算机终端自动开启一个虚拟的办公环境,对于终端客户来说是呈现出一个新的桌面,称之为安全桌面。在这个安全桌面内,操作性和原本的默认桌面是一致的,所以用户可以在安全桌面内保持其原有的操作习惯。在安全桌面中访问业务系统,并且其它相关的办公软件,如office、CAD等办公软件采用沙箱技术来实现都可以正常使用。B、数据安全规范安全桌面内所有客户端信息只能放在安全桌面中进行编辑、查看等操作、无法把各种业务数据拷贝到默认桌面,无法使用各种外设进行拷贝,并无法通过截屏、录屏等方式获取业务系统中的资料。C、访问记录在安全桌面内进行的访问在严格的监管和监控之下,独立的数据中心记录
23、用户访问的时间、访问资源等信息。D、安全桌面退出,自动清除所有遗留文件业务系统访问完毕之后,退出安全桌面,安全桌面内遗留的业务文件,将会被自动清除,留在原有硬盘文件中的系统信息,也会被自动清除。2.2.2 虚拟工作区同一移动终端设备上既有个人应用,又有企业数据和应用,个人应用可以随意访问、存取企业数据,企业应用同样也会触及到个人数据。为此防止工作区的数据遗落到个人数据区,所以采用虚拟工作区进行数据分离。个人数据与企业数据进行隔离,落地数据加密,第三方应用或转发到其它设备当中无法打开查看。 启用虚拟工作区之后,终端数据落地加密,数据采用AES256或者SM4加密算法,防止终端数据被拷贝出去而造成
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 17、SSL VPN 1951 【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】1-精品文档整理-精
![提示](https://www.taowenge.com/images/bang_tan.gif)
链接地址:https://www.taowenge.com/p-73300171.html
限制150内