SSLVPN背景知识与应用领域oay.pptx

《SSLVPN背景知识与应用领域oay.pptx》由会员分享，可在线阅读，更多相关《SSLVPN背景知识与应用领域oay.pptx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SSL VPN产品培训深信服科技1.SSL VPN1.SSL VPN背景知识介绍背景知识介绍2.SSL VPN2.SSL VPN应用领域应用领域3.3.产品选型产品选型4.4.深信服深信服VPNVPN优势优势VPNVPN背景知识介绍背景知识介绍Page 4VPN简介lVPN（Virtual Private Network）虚拟专用网：依靠ISP（Internet Service Provider互联网服务提供商）提供的公网线路（如ADSL等），建立专用数据通信网络的技术，是DDN、FR、ATM等技术的替代方式l主要作用连接各私有网络和私人用户保护在公网上传播的数据实现对专有资源的访问授权lVP

2、N相对于专线的优势:性价比高！部署便利！Page 5VPN VPN 网络定位网络定位VPN由外向内由外向内由内向外由内向外内部网络内部网络Page 6SSL VPNSSL VPN优势优势点对网的组网方式，二级组网基于浏览器的访问，使用方便适用于手持移动终端权限划分可具体到用户不足之处不足之处二级组网，不适用于多级网络组网应用单向访问，不适用于总部与分支都有业务系统的访问用户终端需要登录操作 Page 7SSL VPNSSL VPN组网组网深信服SSL VPN为SSL/IPSec二合一VPN设备，提供网对网机构组网、点对网移动办公双价值！SSL VPNSSL VPN应用领域应用领域如何判断客户有

3、需求如何判断客户有需求网络网络专线 已有VPN 普通互联网线路应用应用是否有应用使用群体是谁（共享给分支、领导出差）？该应用是否重要（支撑业务、日常办公）？该应用是否注重安全性？常用的应用背景大量出差在外的人员需要移动办公希望第三方机构（有业务交互的第三合作伙伴、有业务往来的第三方机构、被监管的组织和机构）也能用到一部分IT系统，但必须保证严格的权限分配和接入的安全性。偏远地区的分支，维护成本高，专线无法涉及或者设备维护成本高，需要一种简单便捷的接入方式。Internet内网内网外网外网移动接入移动接入第三方接入第三方接入远程接入（偏远地区）远程接入（偏远地区）SSL VPN解决之道新应用点一

4、：内部专网权限划分 专网的规模太大，无法做细致的权限划分，无法做细致的专网的规模太大，无法做细致的权限划分，无法做细致的身份认证，无法对于传输过程中的数据进行加密，保证安身份认证，无法对于传输过程中的数据进行加密，保证安全性全性新应用点二：隔离内网服务器直接将直接将SSL VPN设备以单臂形式部署，只存在着通过设备以单臂形式部署，只存在着通过SSL VPN访问访问的路由信息，将服务器进行隔离防止非法接入访问，为所有服务的路由信息，将服务器进行隔离防止非法接入访问，为所有服务器提供一个安全的访问平台器提供一个安全的访问平台新应用点三：网络隔离控制之间通过代理服务器进行隔离，我们设备以单臂形式接入

5、，对于后台应用做隔离发布新应用点四：防WLAN非法接入访问通过通过SSL VPN来隔离接入的用户，防止无线来隔离接入的用户，防止无线WLAN的非法接入，提高的非法接入，提高WLAN接入的安全性。接入的安全性。新应用点五：无线终端接入访问数字城管的前置数字城管的前置PDA采集器、移动警务采集器、移动警务PDA、移动工商、移动工商PDA等，未来还将会有更等，未来还将会有更多的基于多的基于PDA的应用系统出现的应用系统出现惠州移动就打算使用惠州移动就打算使用PDA来给各部门经理做移动办公来给各部门经理做移动办公广东粤电集团领导就通过多普达广东粤电集团领导就通过多普达PDA进行移动办公进行移动办公新应

6、用点六：强身份认证内部重要的应用系统，简单的用户名密码无法保证安全，需要内部重要的应用系统，简单的用户名密码无法保证安全，需要提供强身份认证手段保证接入访问的安全。提供强身份认证手段保证接入访问的安全。针对简单应用通过针对简单应用通过SSL VPN做强身份认证做强身份认证将应用系统账号与将应用系统账号与SSL VPN账号绑定增强应用系统账号使用安全账号绑定增强应用系统账号使用安全性性新应用点七：防止资源漏访业务门户页面中有多级域名和多级链接，当发布在业务门户页面中有多级域名和多级链接，当发布在SSL VPN系统上时系统上时容易出现资源漏访，造成业务效率下降。容易出现资源漏访，造成业务效率下降。

7、DNS规则设置，细粒度访问控制规则设置，细粒度访问控制智能探测技术，自动添加，防止资源漏访智能探测技术，自动添加，防止资源漏访案例：中国人民大学，有一个门户案例：中国人民大学，有一个门户Web页面，防止资源漏访页面，防止资源漏访产品选型产品选型SSL VPN加密速度最大并发用户数注意区别：最大并发用户数、授权、实际并发的区别！注意区别：最大并发用户数、授权、实际并发的区别！SSL VPN选型参数指标SANGFOR SSL VPN型号型号网口SSL加密速度最大并发用户数防火墙吞吐量外型M5100-S4个百兆电口70Mbps20095 Mbps1UM5100-S-P4个百兆电口90Mbps4003

8、00Mbps1UM5400-S6个千兆电口150Mbps800700 Mbps1UM5400-S-P6个千兆电口202Mbps16001G bps1UM5500-S6个千兆电口，2个千兆光口220Mbps20001.2Gbps2UM5600-S4个千兆电口，2个千兆光口240Mbps30001.5 Gbps2UM5800-S3个千兆电口，4个千兆光口320Mbps40002.2 Gbps2UM5900-S4个千兆电口，4个千兆光口600Mbps120003 Gbps2U深信服深信服SSL VPN产品优势产品优势SANGFOR SSL VPN优势最快最快最好用最好用最安全最安全SANGFOR S

9、SL VPN最安全多种方式组合认证多种方式组合认证+密码防暴破保护密码防暴破保护客户端安全检测，结合检测结果的授权和准入客户端安全检测，结合检测结果的授权和准入细粒度权限控制细粒度权限控制+主从帐号绑定主从帐号绑定独立日志中心记录提供用户、资源、安全、管理员、系统日志独立日志中心记录提供用户、资源、安全、管理员、系统日志多种认证方式多种认证方式组合认证，提供比网银还安全的认证手段多种认证方式组合认证，提供比网银还安全的认证手段将应用系统将应用系统账号与账号与SSL VPN账号账号强制强制绑定绑定以以增强应用系统账号使增强应用系统账号使用安全性用安全性，确保各用户只能以指定的应用系统帐号登录系统

10、。，确保各用户只能以指定的应用系统帐号登录系统。主从帐号绑定（专利）客户端安全策略（1）准入：保障客户端具备相应安全环境要求方可接入内网，防止安全）准入：保障客户端具备相应安全环境要求方可接入内网，防止安全隐患隐患（2）授权：根据客户端不同安全等级（策略）授予不同业务系统的访问）授权：根据客户端不同安全等级（策略）授予不同业务系统的访问权限，保障访问安全权限，保障访问安全速度性网络丢包和延时：HTP快速传输协议多条互联网出口线路、跨运营商访问：多线路智能选路多台服务器自动负载：资源负载均衡手机、PDA访问界面自适应：Web优化 HTPHTP协议（协议（HighSpeed Transmissio

11、n ProtocolHighSpeed Transmission Protocol）是基于）是基于UDPUDP的可靠传的可靠传输协议，通过改善拥塞控制算法和提高窗口大小改善输协议，通过改善拥塞控制算法和提高窗口大小改善TCPTCP传输效率。传输效率。HTP快速传输协议总部总部网通用户网通用户电信用户电信用户网通线路网通线路电信线路电信线路多线路智能选路智能选路优先选择速度快的线路建立智能选路优先选择速度快的线路建立VPN隧道，纯隧道，纯WEB版本下只有深版本下只有深信服设备可以实现智能选路功能，没有此功能，将无法在那些不能安信服设备可以实现智能选路功能，没有此功能，将无法在那些不能安装插件（如

12、装插件（如PDA和将来的无线终端）的环境下使用多线路功能和将来的无线终端）的环境下使用多线路功能资源负载均衡通过负载均衡算法来保证资源的负载均衡接入，动态选择接入服务器，提高访问效率针对Web页面使用PDA等移动终端访问时出现比例失调、访问速度慢的问题通过图片过滤、缩小、模糊化策略实现对于图片的优化处理，提高不同WEB资源、不同网络环境用户访问WEB资源的体验Web优化面向未来面向未来 网络适应性强网络适应性强管理简单方便管理简单方便容易上手容易上手4个层次的易用性考虑个层次的易用性考虑让您的让您的SSL VPN成为适应范围更广！成为适应范围更广！最好用的SSL VPN支持B/S应用和C/S应

13、用的单点登录单点登录对于将SSL VPN作为办公工具的，需要长时间在线，但是有可能存在的误操作导致SSL VPN关闭，影响业务提供系统托盘，最小化的任务栏，防止误操作而关闭SSL VPN系统托盘分级分权限管理多达16级的管理员分级管理查看与配置权限的分配基于用户和用户组限制上下行带宽，可做会话限制保证客户端访问效果，防止恶意占用带宽流量管理支持253个站点非对称集群性能平滑扩充集群主主工作模式保证稳定性集群-高可用稳定性保证深圳市南山区麒麟路1号科技创业中心4楼Add:4th Floor,Incubation Center,No.1 Qilin Road,Nanshan District,Shenzhen P.C.:518052Tel:+86-755-2658 1949Fax:+86-755-2658 1959Email:演讲完毕，谢谢观看！