作為HTTPS服務(wù)器����,所有SSL VPN都同樣面臨著DOS的威脅。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護(hù)其安全�。而SANGFOR SSL VPN自身就是一個(gè)防火墻,集成了對(duì)DOS等攻擊的防御手段����。
對(duì)于來自外部的DOS攻擊,其防御DOS的基本原理如下:在網(wǎng)絡(luò)層模擬應(yīng)用層對(duì)DOS攻擊的主機(jī)發(fā)起應(yīng)答����,由于DOS攻擊主機(jī)無法完成3次握手,因此可以識(shí)別出不完整的請(qǐng)求����,避免了把攻擊發(fā)送到SSL VPN應(yīng)用上。而對(duì)于真實(shí)的SYN�,在網(wǎng)絡(luò)層完成了SYN的3次握手后,再模擬請(qǐng)求的客戶端把SYN請(qǐng)求發(fā)送到應(yīng)用層���。通過這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問順利的通過防火墻到達(dá)內(nèi)部服務(wù)器��,而DOS攻擊則被拒之門外���。
SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來自外網(wǎng)的DOS攻擊��,對(duì)于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊�,SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御���。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表���,若檢測(cè)到來自該列表之內(nèi)的計(jì)算機(jī)發(fā)起的連接請(qǐng)求,則認(rèn)為是合法用戶�;而若是來自該列表之外的IP地址,則被認(rèn)為是攻擊�����。這對(duì)于通常偽造源IP地址的DOS攻擊發(fā)起端來說�����,將是一個(gè)有效的防范措施����。
2006年率先提供了包括短信、HardCA硬件鑒權(quán)���、動(dòng)態(tài)令牌���、SSL VPN隧道邏輯隔離等安全技術(shù)。北京SSL VPN廠家
動(dòng)態(tài)身份認(rèn)證提供多重保證
當(dāng)前間諜軟件���、木馬等安全威脅日益嚴(yán)重�,傳統(tǒng)的基于口令的認(rèn)證方式容易被竊取���,一旦泄漏將造成企業(yè)數(shù)據(jù)的安全問題���。深信服科技采用了多種動(dòng)態(tài)身份認(rèn)證系統(tǒng)來消除該問題,保證了用戶使用SSL VPN訪問總部資源時(shí)的安全性���。
? DKEY認(rèn)證
SANGFOR SSL VPN安全網(wǎng)關(guān)采用SSL協(xié)議加密建立安全的**加密通道��,除了使用標(biāo)準(zhǔn)SSL協(xié)議內(nèi)置的RC4等加密算法和RSA128bit簽名算法來保證數(shù)據(jù)的安全性之外�,還使用DKEY(一種USB 的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證��,并使用PIN碼保護(hù)DKEY的安全����。這種USB DKEY可以同時(shí)支持兩套VPN(IPSec和SSL)系統(tǒng)�����,安全方便�����。
? 免驅(qū)動(dòng)USBDKey
針對(duì)一般的USBDKEY在使用的過程中跟U盤一樣需要安裝該USB Key的驅(qū)動(dòng)�����,但是往往驅(qū)動(dòng)的兼容性問題導(dǎo)致無法正常登錄SSL VPN�,導(dǎo)致業(yè)務(wù)無法開展���。針對(duì)這樣的情況���,深信服提出免驅(qū)動(dòng)DKey認(rèn)證,當(dāng)您使用DKey進(jìn)行登錄的時(shí)候�����,不需要安裝DKey也能夠正常登錄SSL VPN�����,無需擔(dān)心驅(qū)動(dòng)的兼容新問題,提高業(yè)務(wù)訪問效率�。
山東華三VPN廠家VPN利用的是包括認(rèn)證、加密���、安全檢測(cè)、權(quán)限分配��、訪問記錄等一系列手段來構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)����。
與LDAP(AD)結(jié)合
為了更好的體現(xiàn)認(rèn)證的多樣性,深信服SSL VPN提供讀取LDAP中的手機(jī)號(hào)碼�����,可以跟短信認(rèn)證結(jié)合起來���,這樣就可以實(shí)現(xiàn)與LDAP結(jié)合的雙因素認(rèn)證����。
對(duì)于在LDAP中已經(jīng)劃分好了權(quán)限的情況�����,為了保持跟LDAP中權(quán)限的一致性,深信服SSL VPN支持導(dǎo)入LDAP中的Group屬性��,這樣就可以完美繼承LDAP中的權(quán)限屬性�,從而與LDAP中的權(quán)限保持一致。
當(dāng)大量的用戶通過LDAP進(jìn)行認(rèn)證�����,但是本地SSL VPN數(shù)據(jù)庫中沒有用戶信息也無法分配虛擬IP����,那就沒有辦法使用IP資源。為了解決這樣的問題����,深信服可以讀取LDAP中的IP字段屬性,從而通過LDAP可以進(jìn)行虛擬IP的分配��,這樣通過LDAP進(jìn)行認(rèn)證的用戶可以得到虛擬IP實(shí)現(xiàn)雙向訪問����。
多線路帶寬疊加技術(shù),擴(kuò)大出口帶寬
現(xiàn)在移動(dòng)辦公的規(guī)模已經(jīng)快速發(fā)展��,隨用訪問者增多�����,必然給企業(yè)的出口帶寬帶來壓力,一般的企業(yè)都會(huì)準(zhǔn)備有多條網(wǎng)絡(luò)出口���,以作備用�����,如何利用這多條帶寬把業(yè)務(wù)訪問效率提高?如何讓多條業(yè)務(wù)線路形成智能的熱備以增強(qiáng)系統(tǒng)平臺(tái)的穩(wěn)定性��?
通常要實(shí)現(xiàn)鏈路的訪問負(fù)載和智能熱備���,企業(yè)需要另外購買負(fù)載均衡設(shè)備�,這樣就增加了IT的投入成本�。
為了解決上述問題,高性價(jià)比�、低成本地滿足企業(yè)對(duì)帶寬的要求,深信服科技發(fā)明了多線路帶寬迭加及復(fù)用技術(shù)���。SANGFOR SSL VPN安全網(wǎng)關(guān)支持各種不同接入方式的線路綁定�����,**多可支持6條不同線路的帶寬疊加和負(fù)載均衡�����,提高了SSL VPN的數(shù)據(jù)傳輸速度��,并且通過內(nèi)置防火墻/NAT模塊����,還可以實(shí)現(xiàn)多線路共同訪問因特網(wǎng),成倍提高了企業(yè)局域網(wǎng)內(nèi)用戶的上網(wǎng)速度��。
針對(duì)不同的上網(wǎng)線路���,還可以啟用多線路策略�����,用戶可以根據(jù)線路情況選擇帶寬疊加模式����、線路主備模式或者動(dòng)態(tài)適應(yīng)模式等多線路策略����。同時(shí)���,SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)置了5個(gè)Qos級(jí)別和多條Qos規(guī)則,用戶可根據(jù)自身實(shí)際情況設(shè)置相應(yīng)的QOS級(jí)別��。
IPSec VPN是在兩個(gè)局域網(wǎng)之間通過因特網(wǎng)建立的安全連接���。
快速重傳-允許接收端通過使用 SACK TCP 選項(xiàng)指示**多四個(gè)接收數(shù)據(jù)的非鄰接塊���。RFC 2883 定義用于確認(rèn)重復(fù)的數(shù)據(jù)包的 SACK
TCP
選項(xiàng)中的字段的額外使用。發(fā)送端可以通過此操作確定何時(shí)重傳了不必要的段并調(diào)整其行為���,以防今后不必要的重傳。發(fā)送的重傳越少��,整體吞吐量越合理�。
快速恢復(fù)-快速檢測(cè)出丟包,并能快速準(zhǔn)確重傳該包���,對(duì)時(shí)延較大�,網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率����,通過更改快速恢復(fù)過程中發(fā)送端可以用來提高發(fā)送速率的方法���,提供更大的吞吐量。
慢啟動(dòng)-避免發(fā)送
TCP
對(duì)等方擁塞整個(gè)網(wǎng)絡(luò)的現(xiàn)有算法被稱為“慢啟動(dòng)”和“擁塞避免”��。在連接**初發(fā)送數(shù)據(jù)和還原丟失段時(shí)��,這些算法可以增大發(fā)送窗口�,即發(fā)送端可以發(fā)送的段數(shù)量。對(duì)于每個(gè)接收到的確認(rèn)段或每個(gè)已經(jīng)確認(rèn)的段��,“慢啟動(dòng)”算法會(huì)以一個(gè)完整的
TCP 段增大發(fā)送窗口���。對(duì)于每個(gè)已經(jīng)確認(rèn)的完整窗口的數(shù)據(jù)���,“擁塞避免”算法以一個(gè)完整的 TCP
段增大發(fā)送窗口。利用這些算法增大發(fā)送窗口的速度就足以充分利用連接帶寬���。
更安全的SSL VPN為業(yè)務(wù)互聯(lián)保駕護(hù)航����。北京SSL VPN服務(wù)
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問題��。北京SSL VPN廠家
更快的SSL VPN提升業(yè)務(wù)辦公效率
SSLVPN實(shí)現(xiàn)了便捷而又安全的辦公同時(shí),也受到了互聯(lián)網(wǎng)的環(huán)境制約��,辦公效率會(huì)被互聯(lián)網(wǎng)的鏈路質(zhì)量所影響��。如果是存在跨運(yùn)營商的鏈路���,向服務(wù)器傳遞一個(gè)附件需要等待幾十秒毫不出奇�����,在業(yè)務(wù)操作的過程中反復(fù)的等待時(shí)間將會(huì)嚴(yán)重影響到辦公效率����。為了幫助客戶更好利用互聯(lián)網(wǎng)技術(shù)提升業(yè)務(wù)效率�����,深信服致力于開發(fā)更快速的的業(yè)務(wù)訪問模式��,利用多種廣域網(wǎng)加速技術(shù)��,提升系統(tǒng)的響應(yīng)速度����。
強(qiáng)大的實(shí)時(shí)監(jiān)控能力
通過遠(yuǎn)程監(jiān)控平臺(tái),管理員可以實(shí)時(shí)地監(jiān)控用戶的接入情況���,實(shí)時(shí)觀察SSL VPN安全網(wǎng)關(guān)的運(yùn)行情況�����。通過SSL VPN豐富的系統(tǒng)日志����,可以及時(shí)定位故障�,并實(shí)施遠(yuǎn)程維護(hù)。通過Web界面�����,管理員還可以隨時(shí)查看每個(gè)在線用戶的情況�����,可以隨時(shí)中斷可疑會(huì)話���,方便快捷�。還可以實(shí)現(xiàn)告警的短信通知����,及時(shí)通知到終端用戶�����。
北京SSL VPN廠家
上海黑象信息科技有限公司位于橫沙鄉(xiāng)富民支路58號(hào)A3-2486室���。黑象信息致力于為客戶提供良好的工藝禮品,電子產(chǎn)品�����,制作各類廣告����,一切以用戶需求為中心,深受廣大客戶的歡迎��。公司秉持誠信為本的經(jīng)營理念��,在禮品�����、工藝品����、飾品深耕多年,以技術(shù)為先導(dǎo)�,以自主產(chǎn)品為重點(diǎn),發(fā)揮人才優(yōu)勢(shì)���,打造禮品�、工藝品���、飾品良好品牌��。黑象信息憑借創(chuàng)新的產(chǎn)品�、專業(yè)的服務(wù)�、眾多的成功案例積累起來的聲譽(yù)和口碑,讓企業(yè)發(fā)展再上新高���。