当前位置: 首页 > 产品中心 > 深信服网络安全系列 > SSL VPN

SSL VPN

  • 解决问题
  • 产品功能
  • 价值优势
  • 应用场景
  • 在计算机网络中,除了建设物理隔离的业务网络之外,还拥有更具性价比的解决方案,使用VPN(Virtual Private Network 虚拟专用网)技术来构建安全的业务网络。VPN利用的是包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。过去,大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。

    IPSec VPN应用于端点接入的不便

    1)客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。

    2)IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径。深信服科技的IPSec VPN已经比较好的解决了这个问题,使用硬件鉴权认证来实现设备的认证接入,使用VPN专线功能来实现和互联网的逻辑隔离,来保证入侵安全性。如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。

    3)对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。

    4)移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。

    因此SSL VPN技术就孕育而生了,SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。

    目前,对SSL VPN公认的三大好处是:首先是它的简单性,它不需要复杂配置,可以立即安装、立即生效;第二个好处是不需要安装客户端,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。

    但SSL VPN并不能完全取代IPSec VPN,这两种技术目前应用在不同的领域,是可以进行互补的。SSL VPN考虑的是单点接入网络,是应用在点对网结构的接入模式;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是网对网之间的通信。

    深信服SSL VPN解决的问题

    1)轻松移动办公:深信服SSL VPN可助您轻松使用笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、便捷的远程接入内网,在降低运营成本的同时大幅提高企业的生产效率。

    2)第三方远程接入:深信服SSL VPN为您提供完整的第三方远程接入方案,融合了多种加速技术并进行细致的应用权限访问控制,让您的第三方合作伙伴能享受快速资源共享体验的同时,实现应用的安全、可控的访问。

    3)内网分区逻辑隔离保护:深信服SSL VPN通过细致的权限划分、多种认证安全机制、客户端安全检查等多项技术为您实现安全、可靠、低成本、灵活度高的网络逻辑隔离方案。

    4)关键业务信息系统安全加固:深信服SSL VPN提供完整的关键业务信息系统安全加固方案,提供完整的身份认证机制及访问过程保护,并具有专利技术主从帐号绑定指定用户的应用访问帐号,杜绝帐号冒用及越权访问。

    5)防范WLAN非法访问:深信服SSL VPN为您提供安全的WLAN接入方案,通过SSL VPN进行WLAN接入的统一认证,严格控制访问用户,防止信息泄漏,保护应用安全。

  • 深信服SSL VPN有如下产品功能亮点:

    A、五大安全访问控制

    安全是SSL VPN应用的基础,SSL VPN产品从使用的各个环节充分考虑,量身定制了五大安全访问控制,极大地保障了信息安全。

    1)身份安全:在用户身份安全方面,SSL VPN产品提供用户名密码、USB KEY、动态令牌、硬件特征码、数字证书、短信认证、LDAP、Radius等多达8种身份认证方式,并可进行至多5种方式的“与”、“或”组合认证,保障用户接入身份的可靠性。

    2)终端安全:SSL VPN产品具备安全桌面技术以防止重要数据留存在用户终端而泄露的风险。接入SSL VPN后的用户将在其终端主机上生成一个安全桌面,所有通过SSL VPN发生的访问行为和传输的应用数据都将置于该安全桌面中,此安全桌面中的所有数据均无法存储到本机、无法拷贝到U盘等外设设备、无法通过局域网/互联网外发,任何方式都无法将数据从安全桌面内泄露出去。当用户断开SSL VPN后,安全桌面及其中的所有数据将一并销毁,从而彻底保障重要数据被终端访问时的高安全性。

    3)传输安全:可通过标准加密算法和国密算法两种算法来保障数据传输安全。

    4)应用权限安全:在应用授权方面,可针对每个部门、每个用户进行细致到应用、URL级别的授权,并可针对用户终端安全环境、登录时间、网络地址不同情况下的差别授权及灵活控制。采用了业内独有的主从账号绑定技术,对用户登录SSL VPN后访问应用的账号进行强制指定,防止采用他人账号的越权访问行为。

    5)审计安全:独立日志中心能提供详尽报告,作为网络规划的依据:日志中心具备管理员权限分级功能,提高管理安全性。

    B、快速的接入访问体验

    由于跨运营商带宽瓶颈、大量重复的冗余数据、高丢包/高延时的网络环境等不利因素影响,访问速度往往成为远程办公的最大制约因素。SSL VPN产品从链路、传输、数据、应用四个层次分别优化,为用户提供最为快速的SSL VPN接入访问体验。

    1)链路优化:针对跨运营商的访问问题,SSL VPN产品采用基于Web的多线路智能选路技术,可实现无插件下的接入线路优选,并可根据线路状况完成线路的实时自动切换。

    2)传输优化:由于TCP传输机制原因,长距离网络、无法访问等往往遭遇高丢包、高延时的状况,访问的磕磕碰碰极度影响工作效率。SSL VPN产品创新地采用了HTTP快速传输机制,使得在恶劣网络环境下传输速度远远高于普通TCP传输效果。

    3)数据优化:SSL VPN产品业内首创将流缓存技术进行融入,采用基于码流特征的数据优化技术对传输数据进行优化,在保证数据实时更新的前提下,最高可削减80%的数据传输量,大大提高用户访问速度。

    4)应用优化:PDA、智能手机等手持终端上通过SSL VPN访问B/S架构应用,往往会因为页面本身架构等问题导致在手持终端上显示变形、幅度过大。深信服SSL VPN支持Web优化技术,可针对页面元素动态调整为最适合终端使用的效果,提高用户终端体验。SSL VPN还支持资源负载均衡、高强度流压缩、WebCache等多种加速技术,全方位提升远程接入访问速度。

    C、终端高易用体验

    SSL VPN产品可完整支持Windows、Linux、MAC OS等主流操作系统,IE、Firefox、Opera、Chrome、Safari等多种浏览器,适合各种终端环境,提供最佳用户体验。

    SSL VPN产品从用户接入访问过程全盘考虑,在SSL VPN登录、SSL VPN使用、应用登录三大方面提高终端易用性。

    1)SSL VPN登录:为避免每次登录SSL VPN都要打开浏览器访问SSL VPN的域名、以及身份认证等繁琐步骤,深信服提供开机自动启动SSL VPN、桌面快捷方式等简化操作,快速进入办公平台。

    2)SSL VPN使用:SSL VPN产品提供系统托盘功能,避免SSL VPN使用过程中因页面误关而导致的连接中断问题。

    3)应用登录:SSL VPN产品采用单点登录技术,使采用单点登录技术的B/S和C/S应用无需用户重复输入应用账号,提升应用访问的便利性。

    4)应用发布:深信服SSL VPN的EasyConnect技术,把原无法安装在iPad和iPhone上的业务C/S客户端,发布到智能终端上面,从而实现真正的随时随地的移动接入,提高办公效率。

    D、高可用性

    SSL VPN产品支持高达253台设备的非对称集群、全网分布式集群等功能,为组织业务提供高稳定性和可靠保障。借助非对称集群,既可实现SSL VPN接入平台性能的平滑扩充,同时“主主”工作模式、Session同步机制等又保证了用户接入的稳定性。通过在主备数据中心、各地数据中心构建全网SSL VPN分布式集群,可实现各数据中心全网资源通过SSL VPN的统一接入、就近快速接入、异地热备接入、全网设备集中配置管理等效果。保证全网移动办公用户随时随地接入最佳数据中心、访问全网资源。

  • A、最安全的端到端移动接入

    1)身份安全:支持八种认证方式,确保身份的唯一性;混合认证保护机制、多种认证“与”“或”组合,防止单一认证方式遭盗取。

    2)终端安全——防止数据泄密:防止通过截屏、拷贝、外发等方式窃取内部敏感数据。远程应用发布——数据中心发布虚拟图像至终端,终端回传屏幕更新及控制信息,真实数据不落地;客户端零痕迹——清除Cookies、IE缓存、访问记录;防泄密安全桌面——核心业务数据运行于防泄密安全桌面,退出后默认桌面无任何影响,数据自动销毁。

    3)终端安全——防威胁扩散:虚拟专线——进入内网后自动断开其余互联网连接,防止黑客以此作为跳板攻击内网;客户端检查——操作系统、注册表、文件、进程、登录时间、接入线路IP、登录IP、终端。

    4)传输安全——防止数据被窃听:传输过程中不被黑客盗取,数据加密强度起决定性作用。深信服支持广泛的加密算法,含国密和商密。

    5)应用权限安全:更精细的授权——基于角色对用户组/用户进行应用授权,支持URL级别授权,细致到应用、页面;更精准的角色匹配——SSL VPN登录账号与应用账号对应绑定,防止越权访问行为,加强应用系统安全;更坚固的应用堡垒——B/S应用服务器地址伪装,TCP应用、L3VPN应用IP地址隐藏,资源完全隐藏。

    6)审计安全:深信服SSL VPN支持独立的日志中心,规避了大多数网关设备自身存储空间有限的缺陷,为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。

    B、最快速的移动访问体验

    1)链路优化——多线路智能选路:深信服SSL VPN可以自动选择最优线路,解决了跨运营商情况下网络环境存在延迟大、带宽小的瓶颈问题。

    2)传输优化——单边加速:单边加速改进拥塞控制算法和丢包重传机制,提升TCP协议效率,可使网络传输效率提升300%

    3)传输优化——SRAP协议:SRAP协议加速效果是RDP的6.4倍。

    4)数据优化——流缓存:深信服SSL VPN业内首创将流缓存技术进行融入,采用基于码流特征的数据优化技术对传输数据进行强优化,可在保证数据实时更新的前提下,最高可削减80%的数据传输量,大大提高用户访问速度。

    C、最易用的操作及维护

    1)支持非对称集群部署:传统方式,性能扩充必须采购同档次设备,深信服非对称集群技术,可以允许不同性能档次设备堆叠,支持性能线性扩充,保护用户投资,方便管理员后续维护。

    2)完整的支持性:完整支持Windows、LINUX、MAC OS、iOS、Android主流操作系统;完整支持IE、Firefox、Opera、Safari、Chrome等主流浏览器。

    3)EasyConnect易用性:人性化的滚屏及外设调用;30多种快捷键支持,支持多会话任务来回切换。

    D、最全面的移动业务交付

    EasyConnect应用虚拟化技术

    无需开发智能终端APP,业务系统轻松迁移;支持数据共享,文件随身携带,实现企业云平台。

    安全性:多种身份认证;不同用户业务数据隔离;数据进行VPN加密。

    快速性:自有SRAP协议;SSL VPN优化协议及缓存。

    易用性:跨平台文件共享;人性化滚屏操作;本地输入法映射。

    EasyAPP安全加固SDK

    安全功能丰富、专业;开发简单、灵活;操作方便、易用。

    链接加密:SSL隧道;高强度加密。

    易用性:单点登录;HTP加速;代理转发。

    数据隔离:文件加密;权限控制。

    身份认证:短信认证、动态口令、硬件特征等6种方式。

  • 应用场景一——深信服移动业务解决方案

    移动业务面临的挑战

    移动业务已成为未来网络发展的重要趋势,众多IT厂商纷纷推出移动业务解决方案。用户的需求已经迫在眉睫,但IT厂商推动时面临的问题和困难也不容忽视:

    1)无法快速迁移:当前传统信息化应用由于各种技术限制,无法直接迁移到智能终端上,无论是B/S还是C/S模式的应用,由于平台化的不同,在传统PC和智能终端上的使用都会存在较大差异。

    2)部署代价高:一旦部署移动业务,要针对原有应用系统进行重新开发,需要较长的开发周期;同时,后台的数据结构还需要进行重新调整。这些都将会极大地增加项目的复杂度和风险,需要部署的应用系统越多,部署成本便越高。

    3)安全风险:一旦敞开了大门,通过移动终端接入企业内网后,核心业务系统的数据存在各种泄密风险,也给企业带了更大的经济损失的风险。

    面对移动业务未来的广阔市场以及实现移动办公存在的种种问题、挑战,我们该如何选择?是否存在更加安全、高效、低成本、贴合用户需求的方案,帮助用户快速实现跨平台的业务访问?

    深信服解决方案

    总述:针对不同的业务场景,企事业单位未开发业务系统的APP客户端及已有APP客户端的不同情况,深信服提供相应的移动业务解决方案:

    一、EasyConnect远程应用发布解决方案

    对于企事业单位未开发业务系统APP客户端的场景,深信服EasyConnect远程应用发布解决方案通过SSL VPN和企业内网部署的终端服务器,将企业应用程序界面用图形的方式呈现于智能终端之上。在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问。

    EasyConnect能够帮助您在办公室之外使用公司内网的所有系统及应用,同时不需要开发任何基于业务系统的APP客户端。深信服EasyConnect远程应用发布解决方案具有数据不落地、防止越权访问等高安全性特点,并采用独创的单边加速技术、自主研发SRAP协议等优势功能技术,提高用户访问速率。在保证高安全性及高速度的同时,深信服还根据用户需求,支持本地输入法调用、多种快捷键、多种滚屏方式等功能,极大地提升了用户体验。您可以通过手机、PAD等智能移动终端随时随地开展您的业务,尽享移动业务带来的便利与效率。

    二、EasyApp第三方应用程序APP安全接入解决方案

    对于已具备APP客户端的业务系统,如客户自主开发集成VPN功能,需要非常大的工作量。深信服的EasyApp解决方案可以为具备Socket开发能力的第三方应用开发商提供软件开发工具包VPN SDK包,极大地降低开发商的开发工作量。深信服的VPN SDK包是基于SSLVPN设备的全新SDK—EasyApp,工具包可以支持Android和iOS、Windows等多种平台。APP开发人员通过1-3天的开发工作,就可以将VPN客户端功能快速、直接集成在现有的商用APP中,实现企业应用可以直接与VPN网关对接,进行认证和数据加密,并提供数据防泄密的附加功能。

    深信服的EasyApp方案具有透明集成、隧道分流、高安全性等优势功能特点,这种将VPN和企业APP二合一的方式,实现了“1+1>2”的价值:简化了用户使用企业APP的操作复杂度,提升了用户体验;同时还提升了方案的完整性,降低APP的开发成本,缩短了开发周期。

    应用场景二——深信服SSL VPN云安全接入解决方案

    云安全的挑战

    1)接入安全:对“云”而言,海量的用户及众多的应用是云的一大特点,不同的用户需要接入不同的“云”资源。然而,多数“云”并没有对多个应用进行权限划分,这就意味着,某一些用户不按规定地访问非授权的应用,可能会让这个应用和数据处于极大的风险中。而且,大多云的业务均采用外包的形式,而外包意味着失去对应用和用户的根本控制。虽然从安全角度来看这不是个好办法,但为了减轻企业负担和经济上的节省,企业仍将继续增加这些服务的使用。因此,如何确保业务被合法用户安全地访问,如何控制海量的用户及众多的应用对应的权限,将会是云安全的安全因素之一。

    2)传输安全:一般而言,“云”如果需要对数据传输进行加密,在很多情况下是行不通的,因为“云”本身存在大量的计算请求进行处理,如索引、查询、改写等等,这些会消耗大量的计算资源。这也就意味着大多数“云”没有对数据进行传输安全的保护。我们知道,未加密且公开透明的数据传输,其安全性是无法得到保障的。

    3)易用性挑战:云计算集中了大量的资源。当业务迁移到“云”上以后,由于广域网本身的限制,我们原本在局域网内可以顺畅使用的应用难以保持原有的可用性。广域网带宽大小、时延和稳定性都存在种种问题,这将导致原本很快的应用会变的很慢,并直接影响我们的业务效率,而开放给外部客户的云业务也将因为无法保证客户体验而受到伤害。同时,移动互联网的兴起带来的复杂的无线网络、终端环境,也给云计算业务的落地带来了不少困难。

    深信服SSL VPN云接入平台解决方案

    深信服提供安全、高效、便捷的云平台安全接入解决方案,通过SSL VPN实现统一云接入平台,帮助用户实现权限分配、身份认证及链路、数据安全。同时,深信服SSL VPN提供对多样化的终端支持及网络环境的接入支持。

    1)高可靠性:全网接入——建立全网接入点资源池,保障平台接入稳定可靠;核心节点可靠——核心节点多机集群,保障接入可靠性; 链路可靠——支持多线路复用,保障接入链路的可靠性。

    2)层层安全策略:身份安全——强身份认证,确定接入用户合法性,同时提供精细化权限控制细化授权;传输安全——对传输数据进行加密,支持通用商密算法及国密加密算法;终端安全——对接入的终端进行安全检测;审计安全——对接入的用户进行审计,可记录用户登录、注销、资源访问。

    3)高效便利:平台统一接入——全网统一入口,方便易用;访问速度——本地及全网智能选路,提升平台访问速度;认证便利性——支持多种认证方式及与第三方认证服务器(如RADIUS/LDAP)联动;接入平台便利性——适应Win、Linux、IOS、Android,支持屏幕自适应、模拟鼠标、模拟键盘等。

    4)高管理性,支持弹性扩容:易部署——单臂部署,智能下推控件,itunes直接下载;易管理——支持SC集中管理平台进行设备的统一管理;易扩展——任意删减设备,不影响现有网络,可平滑提升性能。