SINFOR SSL VPN技术白皮书.docx
《SINFOR SSL VPN技术白皮书.docx》由会员分享,可在线阅读,更多相关《SINFOR SSL VPN技术白皮书.docx(46页珍藏版)》请在冰点文库上搜索。
SINFORSSLVPN技术白皮书
SinforSSLVPN
IPSEC/SSLVPN
一体化的选择
深圳市深信服电子科技有限公司
1序言
随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。
据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。
而在中国,这种远程接入办公的趋势也同样越来越明显。
过去,大多数公司都是使用传统的IPSecVPN来解决远程接入的问题。
但是IPSecVPN最初是为了解决LanToLan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的EndToLan(点对网)应用情况下已经力不从心。
●首先是客户端配置问题
在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。
虽然一些领先的公司已经解决了IPSec客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
●其次是IPSecVPN自身安全问题
往往传统的IPSec解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径(深信服科技的IPSecVPN已经比较好的解决了这个问题)。
如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。
●然后是对网络的支持问题
传统的IPSecVPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSecVPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
●最后是移动设备支持问题
随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此SSLVPN技术就孕育而生了,SSLVPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。
SSL在Web的易用性和安全性方面架起了一座桥梁。
目前,对SSLVPN公认的三大好处是:
首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
但SSLVPN并不能完全取代IPSecVPN,这两种技术目前应用在不同的领域,是可以进行互补的。
SSLVPN考虑的是单点接入网络,是应用在点对网结构的接入模式;而IPSecVPN是在两个局域网之间通过Internet建立的安全连接,保护的是网对网之间的通信。
所以我们在选择VPN技术的时候应该根据实际的业务需求出发,选择某一种或者二合一的VPN技术。
2SINFORSSLVPN网关简介
为了便于用户既能很好的解决网间互连,又能便捷的实现移动办公应用,深信服科技推出了IPSec/SSL一体化的VPN安全网关——SINFORSSLVPN硬件网关。
该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL两套主流VPN技术的完美结合。
目前该系列产品有四款产品:
M5100-S、M5400-S、M5600-S、M5800-S。
1、IPSecVPN功能
SINFORSSLVPN安全网关集成了IPSecVPN功能,具备有SINFORIPSecVPN的全部功能和技术特点,并集成了企业级的状态防火墙,有效保证了企业内网安全。
SINFORSSLVPN安全网关的IPSecVPN功能采用了深信服科技VPN领域的四项发明专利,即:
Webagent动态IP寻址技术,HARDCA硬件认证,多线路绑定的VPN系统,即插即用、随身携带的VPN客户端。
(注:
由于篇幅有限,有关SINFORIPSecVPN的技术特点请参考《SINFORIPSecVPN技术白皮书》,在此就不详细进行阐述)
SINFORSSLVPN安全网关的IPSecVPN功能可以和深信服科技IPSecVPN产品:
P5100、S5100、M5100、M5400、M5600、M5800等VPN硬件网关以及DLAN系列软件VPN产品实现互连互通,方便用户根据自身实际环境按需选择产品模块,构建量身定制的VPN网络。
2、SSLVPN功能
SINFORSSLVPN安全网关使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。
由于SSL协议属于高层安全机制,因而广泛应用于Web浏览程序和Web服务器程序。
当前几乎所有的标准浏览器中都内置了SSL协议,因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。
SINFORSSLVPN安全网关内置了CA认证,用户可自建CA中心,也可支持第三方CA认证。
除了支持常规的LocalDB,LDAP/AD,Radius,SecurID等认证以外,SINFORSSLVPN安全网关还支持USBDkey的双因素身份认证。
通过将SSL加密隧道与USBKey认证相结合,结合客户端计算机安全检查功能,SINFORSSLVPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。
对经常外出的移动办公人员,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户终端软件就可以安全访问公司的任何资源。
由于采用了IPTunnel技术,SINFORSSLVPN安全网关实现了对应用程序的完整支持。
包括:
文件共享/打印、FTP、Outlook、SQL、LotusNotes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。
对于网络维护人员而言,由于SSL的易用性,无需部署和维护客户端软件,极大降低了管理和维护VPN网络的工作量。
对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说,SINFORSSLVPN提供了性价比极高的远程接入解决方案,降低了企业的总体拥有成本。
目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题,SINFORSSLVPN安全网关创新性采用了多线路智能选路的专利技术。
该技术结合了深信服科技原有的多线路复用技术(专利之一),在企业的数据中心采用多条上网线路,当VPN客户端在访问总部资源时,SINFORSSLVPN安全网关会自动检测最优线路,使得使用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高。
SINFORSSLVPN安全网关的多线路智能选路功能,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了企业上网线路的带宽迭加和负载均衡,有效扩大了网络的出口带宽,保证了企业VPN网络的稳定性。
为了避免因SSL的易用性,客户端的不安全因素通过SSLVPN登录到企业内部网络而导致的安全问题,SINFORSSLVPN安全网关集成了对客户端计算机安全性检查的功能。
有效防止了不具备相应安全等级的终端用户通过SSLVPN登录到企业总部带来的安全隐患,保证远程接入的安全性。
并且,SINFORSSLVPN安全网关除了支持多种常规安全认证以外,还增加了基于手机短信的动态身份认证功能。
当前,间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。
SINFORSSLVPN安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。
即使用户在登录SSLVPN时所使用的计算机存在间谍软件、木马等泄密工具,由于无法获得用户每次登录时通过其手机接受的短信认证码,因而有效防止口令泄漏,保证了用户使用SSLVPN访问总部资源时的安全性。
3SINFORSSLVPN网关特性
作为新一代的远程接入解决方案,深信服科技推出的IPSec/SSL一体化网关有以下多种功能和技术特色:
3.1远程接入功能
3.1.1能支持您的所有网络应用
目前对于大部分SSLVPN设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSecVPN一样支持基于网络层以上的所有应用,因而也限制了SSLVPN的发展。
SINFORSSLVPN安全网关通过html智能重构技术、应用转换技术和IPTunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:
网上邻居、文件共享、TELNET、FTP、OUTLOOK、SQL、LotusNOTES、SYBASE、ORACLE、CITRIX等所有IPSEC能够支持的应用。
由于采用了IPTunnel技术,SINFORSSLVPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSLVPN登录界面时,只需安装一个ActiveX控件(可选),在客户端的机器上会生成一块专门用于SSLVPN通讯的虚拟网卡,因而SSL远程登录用户便可使用所有基于IP网络层以上的应用。
若SINFORSSLVPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。
这种领先技术的应用,使得SINFORSSLVPN能够支持任何复杂的各种B/S和C/S的应用。
应用层
运输层
网络层
完整支持IP层以上的所用应用
3.1.2提供IPSec/SSL一体化选择
传统的IPSecVPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置(SINFORIPSecVPN采用DKEY方式实现IPSecVPN零配置)。
若企业的远程接入和移动办公数量增多,企业的维护成本将会成线性增加。
而SSLVPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全接入到内部网络,安全地访问应用程序,无需安装或设置客户端软件,降低了企业的维护成本。
因而SSL在点对网互连方面,其易用性和安全性方面有着突出的优势。
由于SSLVPN只适合点对网的连接,无法实现多个网络之间的安全互连。
因而,在企业组建网对网方面,IPSecVPN就有着无可比拟的优势。
而在点对网方面,由于IPSecVPN要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置,因而IPSecVPN在易用性和维护成本上远远不如SSLVPN。
SINFORSSLVPN安全网关结合了IPSec和SSL两套主流的VPN技术,实现了在一台安全网关设备上稳定高效运行两套VPN系统。
利用两者的优势进行互补,避免了单一VPN设备存在的不足。
对于企业或者事业单位的分支网络,可以使用IPSecVPN实现安全互连,而对于内部员工、合作伙伴、移动人员可利用SSLVPN的易用性实现安全接入。
最大限度地发挥了IPSec/SSLVPN给企业带来的效益,节约了企业大量的管理成本和投入成本,真正做到一台设备的投资,两种设备的功能。
3.1.3多线路智能选路解决您的网络延迟问题
作为国内领先的VPN和网络安全研发产商,深信服科技在IPSecVPN中,创新性地采用了多线路智能选路功能,并成功应用到SINFORSSLVPN安全网关中,该技术是深信服科技在VPN领域众多专利技术之一。
所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署SINFORSSLVPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽迭加。
当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时,SINFORSSLVPN网关会自动检测最优线路,使得VPN客户端访问企业数据总部时能得到最高的访问速度,解决了网络环境存在延迟大、带宽小的瓶颈问题。
多线路智能选择最优线路
3.1.4负载均衡为您提供高性价比解决方案
若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。
而SINFORSSLVPN的多线路技术,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽迭加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。
SINFORSSLVPN安全网关的负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。
3.1.5平滑扩容功能保护您的投资
随着客户IT应用规模逐渐扩大,对VPN系统的容量需求也会随着增长,SINFORSSLVPN设备能为用户提供完整的平滑扩容解决方案。
客户可以在规模较小的时候选用相对性能较低的5100系列设备,当组织的规模扩充以后,可以在继续使用现有5100设备的基础上通过增新的设备进行平滑扩容,实现了最大限度的保护现有投资。
3.2访问控制功能
3.2.1访问权限控制功能提供最细致的权限管理
SINFORSSLVPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。
通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。
基于角色的访问限制为企业网络提供了较强的安全性。
通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
3.2.2用户和资源管理功能
SINFORSSLVPN内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证,可以根据用户、用户组、公用账号、私有账号等多种方式对用户进行管理。
管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式,为远程接入用户分配细致的访问权限控制。
同时,SINFORSSLVPN集成了组用户并发限制、公用账号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。
并且,在SSLVPN网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
3.2.3集成多种认证方式
在SINFORSSLVPN安全网关中内置有LDAP/AD、Radius、SecurID等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。
3.2.4动态身份认证提供多重保证
当前间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。
深信服科技采用了多种动态身份认证系统来消除该隐患,保证了用户使用SSLVPN访问总部资源时的安全性。
●USBDKEY认证
SINFORSSLVPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。
这种USBDKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。
●短信认证
无线技术的突飞猛进给网络世界又带来一次巨大的革命,其灵活可靠的特点吸引了所有人的视线,因此,依靠无线通讯技术的短信认证技术也应运而生。
短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和短信认证服务器两部份。
终端用户在既有移动电话和PDA的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。
●硬件绑定
传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。
为避免传统方案的泄密缺陷,SINFORSSLVPN使用了深信服公司的专利技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证。
该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法用户接入。
●动态令牌认证
动态令牌是技术领先的一种双因素强身份认证体系,采用用户PIN码+动态令牌码构成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码(密码使用后立即失效,不能重复使用)。
由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证。
3.2.5内置的CA中心提供完整认证体系
SINFORSSLVPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。
同时,SINFORSSLVPN安全网关也可无缝支持已有的第三方CA认证。
3.3安全审计功能
3.3.1管理员访问提供安全保障
通常我们在对普通用户管理的时候有多种的认证方法,但是却容易忽视另外一个和安全密切相关的地方--没有为系统管理员提供足够的安全保障,普通的系统通常只需要使用用户名和密码就可以进行登录,SINFORSSLVPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。
3.3.2客户端安全检查从端点开始保障您的网络安全
在用户通过计算机浏览器打开SSL登录界面时,SINFORSSLVPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SINFORSSLVPN接入安全,避免客户端计算机的不安全因素通过SSLVPN传输到企业内部网络产生的安全隐患。
SSLVPN客户端安全检查保证接入安全
3.3.3强化的网络防护-VPN虚拟专线功能
虚拟专线指用户登录SSLVPN以后,和内部业务系统构成一条虚拟的专线,此时用户将不再能访问虚拟专线以外的网络资源。
用户一旦启用虚拟专线功能后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐患,确保内部业务系统的安全性。
3.3.4零痕迹访问功能避免安全漏洞
SINFORSSLVPN在用户结束访问以后,拔出DKEY后将自动注销,同时会自动清除Cookie,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。
3.3.5防密码暴力猜解
这个功能能够防止非法用户采用恶意的手段来进行密码猜测,一旦系统启用防密码暴力功能以后,用户连续输入密码错误次数达到一定的数量以后,系统会将该帐号锁定一段时间,防止密码被暴力猜解。
3.3.6图形码验证功能
SINFORSSLVPN安全网关提供图形码校验功能,用户在输入用户名和密码以后还需要将系统随即生成图片中的信息输入才能实现正常登录,可以防止非法使用者用自动猜解程序来进行试探。
3.3.7软键盘功能
为了提高用户密码的安全性,防止被木马程序截获用户输入的密码信息,SINFORSSLVPN安全网关提供了软键盘功能,用户在输入密码的时候可以使用界面上提供的软键盘,这样木马程序就无法采用截获用户键盘输入的方法来窃取密码了。
3.3.8会话超时控制功能
为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSLVPN内的机密信息,SINFORSSLVPN安全网关特别加入了不活动检测引擎。
当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSLVPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?
”若用户在该时间内仍未选择相应动作,则SINFORSSVPN安全网关将自动注销,中断会话并重新返回登录界面。
3.3.9集成企业级状态防火墙
和多数SSLVPN不同,SINFORSSLVPN网关集成了高性能的企业级状态防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击。
内置的防DOS攻击功能,不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻击,SSLVPN安全网关也可以进行防御。
3.4增强易用功能
3.4.1配置向导简化管理员的操作过程
为了简化您的操作,SINFORSSLVPN安全网关提供了配置向导来对管理员的基本操作进行指引,管理员可以在配置向导的指引下完成对系统参数、资源、用户管理等的配置和修改,使得即使是对设备不太熟悉的用户也可以顺利的完成相关的配置工作。
3.4.2用户数据导入、导出功能
SINFORSSLVPN安全网关提供了对用户数据的批量导入、导出功能,这样在需要大批量创建时候,可以先使用文本编辑器将用户数据编辑好以后,再使用导入功能,就可以很方便的完成批量用户的操作了。
另外还可以使用导出功能,将一台设备上的用户数据以文本格式导出,管理员可以进行修改以后再导入,或者将这台设备的用户数据直接导入另外的设备中。
3.4.3自助开户
您可以使用SINFORSSLVPN安全网关提供的自助开户功能来实现用户自助开户,在使用自助开户功能以前管理员可以预先在系统中设定用户的鉴权方式(邮箱、短信),用户在安全网关的登录界面上选择自助开户功能,输入相关的信息以后,系统会将确认信息以邮件或者短信的方式发送给用户,用户确认以后即可完成自助开户。
3.4.4隐藏服务模式
在用户的资源列表中,除了对C/S应用的透明支持之外,SINFORSSLVPN还增加了一个隐藏服务。
用户在访问总部的SSL资源时,SSLVPN可以将某些特殊的资源隐藏起来,用户在其资源列表中无法看到该项资源,但用户仍然可以使用。
这种支持隐藏服务的功能,更加保证了企业内网资源的安全性。
3.4.5支持动态IP
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。
SINFORSSLVPN集成了深信服科技独创的基于Web的动态IP寻址技术(专利技术),使的SINFORSSLVPN网关在部署的时候无需固定IP,完全支持动态IP。
并且,当企业在使用SINFORSSLVPN网关的SSLVPN功能时,可以使用和IPSecVPN相同的Webagent来解析网关的动态IP,减少了管理员的维护量。
移动办公人员使用浏览器连接入公司内网时,也更加便捷。
由于支持动态IP接入,SINFORSSLVPN同样也适合中小型企业。
3.4.6定制登录界面功能
SINFORSSLVPN安全网关的可定制登录界面功能,可以为远程用户创建全面可定制的登录界面,为不同角色的用户提供个性化的登录界面外观,从而改进用户体验。
4SINFORSSLVPN网关网络和系统结构
4.1路由模式部署
4.2单臂模式部署
4.3双机热备原理
4.4客户端登录和使用界面
4.4.1缺省登录界面
说明:
该页面使用Portal定制功能后,可以根据用户的要求进行定制。
4.4.2可用资源界面
5SINFORSSLVPN网关技术特点
5.1更方便易用的SSLVPN
5.1.1灵活部署
由于集成了IPSec/SSLVPN功能,用户可以结合自身的需求,灵活部署IPSec或者SSL的接入方式。
传统的IPSECVPN在部署客户端的时候,往往需要复杂的安装和配置。
借助于SINFORSSLVPN独创的基于Web的IPSec客户端在线安装方式,用户可以很方便安装使用IPSecVPN。
5.1.2无需安装客户端
SINFORSSLVPN严格遵照SSL协议标准,因此无需在客户终端安装任何软件(如果需要使用DKE
升级会员 