SSL VPN常见问题解答.docx
《SSL VPN常见问题解答.docx》由会员分享,可在线阅读,更多相关《SSL VPN常见问题解答.docx(14页珍藏版)》请在冰豆网上搜索。
SSLVPN常见问题解答
SSLVPN常见问题解答
背景问题:
什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:
"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
目前市场上主流VPN分为哪几类?
目前市场VPN分为IPSec和SSL两类。
什么是IPSecVPN?
IPSec是由IETF(INTERNET工程任务组)开发的一种IP设置,它为现存的IP标准(IPV4)和将来的标准(IPV6)提供兼容的安全服务。
IPSec主要应用于网络层。
另外,IPSec可以保护运行在IP上的任何协议,如TCP,UDP和ICMP。
IPSec提供密码安全服务。
这些服务包括到认证、完整性、访问控制和私密性。
IPSec包括远程工作点间进行信息交换时的加密和校验。
你可以建立加密隧道,或只在主机之间作加密。
所以,IPSec是最具扩展性的完整的网络安全解决方案。
在IPSECVPN里,通信双方首先要采用一定的方式建立连接,确定所要采用的安全策略和使用模式,包括加密运算法则和身份验证方法类型等。
一旦IPSEC通道建立,所有其上层协议数据都被进行加密,而不管这些通道构建时所采用的安全和加密方法如何。
什么是SSLVPN?
SSL(SecureSocketsLayer,安全套接层协议层)它是Netscape公司提出的基于WEB应用的安全协议。
SSL主要工作在应用层。
SSL协议指定了一种在应用程序协议(如Http,Telenet,Nmtp,Ftp)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密,服务器认证,消息完整性以及可选的客户机认证。
SSLVPN提供下述情况的解决方案:
企业需要通过互联网(笔记本型计算机、移动个人计算机、远程用户接入)达到广泛而全面性的信息存取。
SSLVPN能满足所有你的远程接入需要。
SSLVPN技术为你提供增强的灵活性,以便更好地配合你公司的安全性和基础结构需要,同时给你的用户一个统一的、容易的界面和一个简化的用户经验。
SSLVPN还提供了高可用性,它具有可靠的冗余能力,排除了单点故障的可能性,减少系统停机时间,另外它还具有负载均衡的能力,提高系统的整体性能。
SSLVPN较传统VPN技术有哪些特点?
由于使用标准的浏览器,即可接入SSLVPN访问内部系统,所以SSLVPN方案被称为无客户端的VPN方案,提供任意客户端、任何地点、任何时间的安全接入能力。
SSLVPN可以成功地穿越防火墙,能处理网络地址转换(NAT)问题,而对基于IPSec的VPN来说,这是一个难题。
登陆SSLVPN是需要经过用户认证、授权、审计的,这样就为用户访问内部应用系统提供了安全的手段,便于内部应用系统的安全发布。
•SSL是无客户端的VPN技术,任何访问都只需要通过普通的Web浏览器完成,因此大大降低系统安装维护的复杂度和用户成本;
•SSL是处于应用层和TCP/UDP层之间的一种安全协议,相比较处于网络层的IPSec,SSL可以提供基于应用层的访问控制,更适合远程安全访问的移动性和分散性的特点;
•SSL不存在穿越防火墙的问题,任何可以连接Internet的环境都可以实现SSLVPN,因此更适合远程安全访问的需求;
•SSLVPN设备可以提供更加强大的认证、授权和审计的功能,实现企业对不同用户访问的权限控制和日志记录。
什么是B/S构架?
B/S构架主要是指:
Browser/Server结构,即浏览器和服务器结构,在这种结构下,用户工作界面是通过WWW浏览器来实现,极少部分事务逻辑在前端(Browser)实现,但是主要事务逻辑在服务器端(Server)实现。
这样就大大简化了客户端电脑载荷,减轻了系统维护与升级的成本和工作量,降低了用户的总体成本(TCO)。
以目前的技术看,局域网建立B/S结构的网络应用,并通过Internet/Intranet模式下数据库应用,相对易于把握、成本也是较低的。
它是一次性到位的开发,能实现不同的人员,从不同的地点,以不同的接入方式(比如LAN,WAN,Internet/Intranet等)访问和操作共同的数据库;它能有效地保护数据平台和管理访问权限,服务器数据库也很安全。
特别是在JAVA这样的跨平台语言出现之后,B/S架构管理软件更是方便、快捷、高效。
什么是C/S构架?
C/S又称Client/Server或客户/服务器模式。
服务器通常采用高性能的PC、工作站或小型机,并采用大型数据库系统,如Oracle、Sybase、Informix或SQLServer。
客户端需要安装专用的客户端软件。
C/S的优点是能充分发挥客户端PC的处理能力,很多工作可以在客户端处理后再提交给服务器。
对应的优点就是客户端响应速度快。
缺点主要有以下几个:
只适用于局域网。
而随着互联网的飞速发展,移动办公和分布式办公越来越普及,这需要我们的系统具有扩展性。
这种方式远程访问需要专门的技术,同时要对系统进行专门的设计来处理分布式的数据。
什么是RC4?
RC4(Ron'sCipher4)属于对称密钥算法的一种,一般采用128位的算法。
RC系列算法是大名鼎鼎的RSA三人组设计的密钥长度可变的流加密算法,其中最流行的是RC4算法,RC系列算法可以使用2048位的密钥,该算法的速度可以达到DES加密的10倍左右。
什么是DES?
DESDataEncryptionStandard数据加密标准,DES算法是一种分组密码,通过反复使用加密组块替代和换位两种技术,经过16轮的变换后得到密文,安全性很高。
DES属于传统的对称密码体制,其加密密钥与解密密钥是相同的,由于其安全性高,计算较简单,所以一度攻获得广泛使用。
什么是3DES?
3DES(TripleDES):
是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
什么是AES?
AES(AdvancedEncryptionStandard):
高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前AES标准的一个实现是Rijndael算法。
什么是RSA?
由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的。
什么是DSA?
DSA(DigitalSignatureAlgorithm):
数字签名算法,是一种标准的DSS(数字签名标准)。
什么是MD5?
MD5(MessageDigestAlgorithm5):
是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值。
什么是SHA?
SHA(SecureHashAlgorithm)这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值。
现在有将IPSec和SSL合二位一的产品吗?
目前市场都是针对不同的协议开发了不同的产品,目前市场上只有少数厂商(比如深信服)推出了将这两种协议合二位一的产品,主要是满足客户不断增长的业务需要。
IPSecVPN主要工作在哪个层?
主要是工作在网络层
SSLVPN工作在七层协议的哪个层?
主要是工作在应用层
什么是服务器证书?
服务器证书是安装在你的WEB服务器上,你可将服务器证书视为一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,且可以通过服务器证书进行具有SSL加密的通讯过程。
服务器证书如何操作?
用户连接到你的Web站点,该Web站点受服务器证书所保护。
(可由查看URL的开头是否为"https:
"来进行辩识,或浏览器会提供你相关的信息)。
你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。
用户的网页浏览器程序产生一把唯一的"会话钥匙码",用以跟网站之间所有的通讯过程进行加密。
使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码。
现在,具有安全性的通讯过程已经建立。
这个过程仅需几秒钟时间,且使用者不需进行任何动作。
依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示目前的工作阶段具有安全性。
应该选择VPN硬件网关还是软件网关?
现在市面上的目前有两种形式的VPN产品,包括硬件VPN和软件VPN。
前者是采用专用硬件平台的VPN设备,后者是在服务器或者PC上安装软件VPN产品。
目前软件本身就存在风险,而且可能存在漏洞。
另外软件不适合放在网络出口处,本身由于PC自身操作系统存在很大漏洞,极有可能为整个网络带来很多安全问题。
所以为了更好的保护整个网络,我们推荐您使用硬件的VPN设备。
深信服SSLVPN产品特性
深信服SSLVPN支持哪些加密算法?
密钥算法:
DES(56-bit),3DES(168-bit),RC4(128-bit),AES(128bitor256bit)
公钥算法:
RSA(1024-bit+),DSA
消息认证:
MD5(128-bit),SHA-1(160-bit)
深信服SSLVPN支持ADSL自动重拨吗?
支持。
一旦外网的连接中断,立即进行自动重拨。
深信服SSLVPN主要是什么操作系统?
深信服SSLVPN是在Linux的操作系统下开发的,具有很强的安全性以及稳定性。
深信服SSLVPN主要支持哪些浏览器平台?
支持Windows98/2000/XP/2003/Vista操作系统,支持WindowsPPC2002/2003、Mobile5.0等智能终端系统。
SSLVPN目前支持最新的Vista系统吗?
作为专业的SSL技术和方案供应商,深信服科技一向关注业界动态,并在Vista正式上市的同时发布了支持Vista系统的SSL新版本。
SSLVPN目前支持Linux、WindowsCE终端吗?
由于目前市面上对微软的操作系统应用的还是比较多的,所以为了满足大部分的客户需求我们都支持现有的微软操作系统。
如果您有这方面的特殊需求,我们可以根据你的需求进行特殊定制。
目前深信服正在研发中,后续版本中会支持
深信服SSLVPN是如何支持动态IP的?
深信服SSLVPN产品的寻址采用了一种非常灵活的方式,以Web脚本文件的形式运行在任意WWW服务器(拥有合法域名,能够支持asp或php)上,此Web文件仅仅是对IP地址的变化进行监控,而所有的数据传输、隧道建立等等都是直接通过Internet进行的,因此对Web服务器负担非常小,几乎不占用网络资源,通过这种方式客户完全就象拥有固定IP地址一样(断线后恢复时间仅需一到两分钟时间),深信服SSLVPN可同时使用两个Web文件寻址,只要有一个文件正常工作即可实现VPN应用,确保系统稳定可靠。
在客户正式购买网网通产品后,深信服科技将免费提供Webagent文件,客户可以自行传送到自己的web站点上,无需依赖于深信服科技提供的服务,如果客户自己拥有固定IP,则无需使用WebAgent。
SSLVPN支持C/S的构架吗?
深信服SSLVPN支持C/S的构架,支持基于IP层以上的各种TCP/IP应用,包括动态和静态的C/S应用。
SSLVPN支持什么应用?
深信服SSLVPN支持TCP/UDP/ICMP协议应用
SSLVPN传输的数据能进行压缩吗?
一般在加密传输之前都要进行数据的压缩,主要目的是减少传输数据的数据量,从而提高数据传输速度。
深信服采用LZO流媒体压缩技术,一般传输效率能提高到130%。
SSLVPN能够和第三方的认证结合吗?
能够与第三方的认证结合。
目前支持的类型包括LocalDB(本地用户名和密码)、Radius(RemoteAuthenticationDialInUserService,远程用户拨号系统)、LDAP(LightweightDirectoryAccessProtocol,轻量级目录访问协议),MicrosoftAD(微软活动目录)无缝与现有网络中的认证方式结合,便于进行全面管理。
SSLVPN支持CA认证吗?
支持内置CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。
深信服SSLVPN支持双向数字证书吗?
SINFORSSLVPN能够支持双向的数字证书:
不仅支持使用证书对服务器身份进行认证,还能使用证书对客户端身份进行验证。
这样SINFORSSLVPN就能支持开放的PKI体系,和许多使用CA中心的应用有效集成,简化认证过程:
即同一套PKI既用于SSLVPN的接入认证,又用于接入后登录应用系统的认证。
SSLVPN还支持什么样的动态身份认证手段?
目前深信服支持USBKEY、短信认证、动态令牌、硬件特征码多种动态身份识别认证。
什么是USBKEY?
这把KEY就相当于一把钥匙一样,里面会存有用户的认证信息,为了防止USBKEY丢失被盗用,里面还加入了PIN码,有效保证安全性。
什么是短信认证?
当用户先输入用户名和密码后,需要再次输入SSL接入平台发到该用户所绑定手机的动态密码才能登陆。
什么是动态令牌?
动态令牌是一种采取服务器端和用户端同步来进行身份认证的手段,除了输入用户名和PIN码外还要输入大概30秒变化一次的动态令牌码,只有这两个因素完全符合才能保证客户端接入的安全性。
什么是硬件特征码认证?
本身使用的电脑设备就有自己的一些硬件特征,比如主板、硬盘序列号、CPU序列号等等,通过获取和生成终端的硬件特征文件作为主机的身份证书,当此用户接入时只有匹配了相应的硬件信息才能获取权限,保证端点接入的唯一性。
深信服SSLVPN支持单点登陆吗?
支持对于B/S应用和C/S应用的单点登录技术。
深信服SSLVPN支持虚拟IP池吗?
支持。
当内网中有一些空闲的IP时,可以放到虚拟IP池中,当SSL移动用户接入时可以分配内网中空闲的IP来进行访问,保证接入的安全性。
我的用户名和密码能改吗?
如果是结合本身的认证服务器来进行验证,那么修改用户名和密码只能在自身的服务器上来操作。
如果是自建的用户名和密码,那么就可以在登陆的时候进行密码修改,并支持定时修改功能,帮助您更好的管理您的密码。
密码修改有权限之分吗?
密码修改是有权限的,不是所有人都可以进行修改。
或者是部门负责人或者是信息中心的人,这些都类似于企业管理中的部门。
不同的人拥有不同的密码修改权限。
深信服SSLVPN有哪些基于权限的管理?
深信服SSL支持按用户分配接入权限和访问权限,提供基于用户、用户组、角色、Web资源、APP资源、IP资源等多种方式的权限控制。
深信服具有哪些管理方式?
深信服提供用户组管理以及角色管理,不同的组扮演不同的角色,访问的资源也不一样。
深信服SSLVPN支持对组员同时在线的限制吗?
支持。
为了更好的提供对资源的有效访问,深信服提供对一个组中同时在线用户的限制,保证资源充分利用。
同时支持对每一个用户可以进行流量限制。
深信服SSLVPN支持一个用户名多人登陆的方式吗?
深信服SSLVPN支持私有账号和公有账号,公有账号可以让多人同时登陆,但是可以限制公有账号的并发数量。
我能实时查看在线用户吗?
深信服提供对于管理员的实时查看功能,可以查看接入用户的情况以及在线中断用户,随时监控整个系统运行状况。
深信服SSLVPN支持对接入的机器客户端的安全检查吗?
支持。
当客户端机器接入到内部网络中,对接入的客户端机器进行扫描,检查计算机系统是否打了补丁、是否安装有相应的杀毒程序等,保证SINFORSSLVPN接入安全,避免客户端计算机的不安全因素通过SSLVPN传输到企业内部网络产生的安全隐患。
深信服SSLVPN支持清除客户端Cache吗?
支持。
支持客户端缓存清空,Cookie清除,访问记录清除。
深信服SSLVPN支持移动客户端定时不操作强制退出吗?
为了防止有人盗用,深信服SSLVPN支持客户端在设定时间内无操作,则强制超时退出。
深信服SSLVPN支持多子网吗?
支持。
深信服支持最多50个的安全子网。
深信服支持VPN专线功能吗?
支持。
当SSL用户接入到内网后,用户的广域网连接随即失效,而VPN隧道保持连通。
主要目的是避免恶意的主控端通过控制用户的主机而达到潜入内网的目的。
深信服SSLVPN有哪些防御功能?
支持TCP/UDP/ICMP的所有包过滤功能;
支持静态和动态NAT,端口NAT,虚拟服务。
NAT访问权限支持MAC地址绑定,时段访问,用户规则等;
使用状态检测功能检测碎片攻击;
使用状态检测功能检测Synflood,Icmpflood;
使用状态检测功能检测Dos;
深信服SSLVPN支持远程管理吗?
支持WEBUI的管理方式。
深信服支持WEB管理界面吗
支持。
采用直观的Web管理界面、CLI高级配置和远程管理,提供人性化的配置向导,可在30分钟内部署完毕。
深信服SSLVPN支持登陆页面的定制吗?
深信服不仅支持登陆页面的定制,还支持欢迎页面、服务页面、注销页面、出错页面、短信认证页面的定制。
深信服SSLVPN页面定制支持分级吗?
页面定制支持分级,目前有三级:
系统默认页面、部分定制、完全定制
系统默认页面:
系统中内置的页面
部分定制:
主要修改各种页面中固定位置所显示的文字信息或替换固定位置的图片
完全定制:
完全根据客户自行设计页面,提供该设计页面的URL地址,然后用SSL设备调用出来,并无缝结合到SSLVPN使用过程中。
深信服支持SNMP协议吗
支持。
通过以标准方式集成第三方管理系统,实现更强大的监控功能。
如果总部使用的是电信网络,而客户端SSL接入的网络是网通的网络,会不会速度很慢?
当然会很慢。
但是深信服创造性提出多线路复用技术来解决不同运营商之间的互联问题。
深信服SSLVPN支持智能选路功能吗?
支持。
在多条线路的基础上,根据SSL客户端的线路进行智能选路,让相同运营商之间进行互联,解决跨运营上的高延迟的问题,保证数据传输的速度。
深信服SSLVPN支持配置备份吗
支持本地、远程备份及恢复。
深信服SSLVPN支持线路备份以及负载均衡吗
支持。
目前支持支持2~6条Internet线路的线路备份和负载均衡。
一旦VPN隧道断开,深信服SSLVPN支持隧道自动愈合吗
支持。
隧道自动愈合,无需人工干涉。
深信服SSLVPN支持双机热备吗
支持。
支持双机热备,自动同步配置信息,一旦出现故障,设备向自动切换,保证VPN正常运行。
深信服SSLVPN支持集中管理吗?
支持。
当接入的客户比较多时,提供SC(SecureCenter,安全中心)集中管理平台。
实现对多台VPN设备的集中管理功能以及查看故障的功能。
支持统一的策略下放。
深信服SSLVPN支持QOS功能吗?
支持。
支持5级QOS功能,支持1024个QOS分类规则。
保证重要数据有限传送。
深信服SSLVPN支持升级功能吗
支持。
本地和远程升级SinforOS和SinforSSLVPN模块,获得新特性。
深信服SSLVPN支持日志吗?
支持。
本身SSLVPN带有存储器进行日志的保存,为了满足更大的数据量,支持独立的数据服务中心来作日志中心,方便查询。
深信服SSLVPN支持哪些类型的日志?
日志包括:
系统信息、告警日志、错误日志、调试日志、用户日志
深信服SSLVPN支持日志备份吗?
支持。
可安装独立的日志备份服务器,对日志容量无限制。
可指定定期删除日志。
系统部署
深信服SSLVPN一般部署在什么位置?
深信服SSLVPN网关部署方式非常灵活,首先,它可以通过域名接入,也可以通过IP地址接入。
可以是单臂接入,不影响企业已有的网络拓扑结构。
一般情况下,SSLVPN网关部署在防火墙后面,最好在DMZ区内,在SSLVPN网关和服务器中间可以防止IDP或IPS等设备增强安全性。
由于底层是反向代理架构,在完成部署时,要保证两点:
客户端要能够访问SSLVPN提供的门户站点,一般采用TCP443端口;SSLVPN网关端口地址要能够访问内部服务器各种应用。
深信服SSLVPN支持单臂部署模式吗?
支持。
主要是为了不影响网络拓扑结构。
深信服SSLVPN支持网桥模式吗?
支持。
深信服SSLVPN支持路由模式吗?
支持。
操作功能
SinforSSLVPN的安装、使用和维护是否复杂?
作为专业的VPN解决方案供应商,深信服科技一直致力于为客户提供安全可靠、实施简单、使用方便的VPN产品,将复杂的应用隐藏在简单的界面配置后面,用户无需专业的技术知识即可轻松实现应用和维护。
用户只需第一次进行简单配置(SSLVPN提供了完善的安装配置向导),以后的使用过程中无需任何人工干预(不调整配置的情况下),只需启动硬件网关,无需其他操作,SinforSSLVPN即可自动完成拨号、VPN、防火墙、NAT等功能的启动和应用,极大方便了用户的使用。
如何判断SSLVPN硬件网关正常启动了,如果无法找到硬件的内网IP,可能有哪些原因?
正常启动会有一声短响,待ALAM桔红色的灯熄灭,表示所有服务启动完成。
可对其进行操作。
找不到硬件的内网IP,可能是接线错误,请确认接线是否正确。
如何进行硬件升级?
如果升级系统能找到网关内网IP,但是修改客户端IP后也无法登录网关,有什么办法恢复网关的缺省网络配置?
升级硬件的步骤:
1,加载升级包;2,登录网关;3升级firmware
如果无法登录网关,在客户端软件中“升级”中的“恢复默认网络配置”恢复到缺省的网络配置。
如何确认SSLVPN的运行状态
第一、如何检查VPN服务是否运行:
VPN服务的运行状态需要通过SSLVPNGATEWAYCLIENT软件控制台(打开主控台,在主控台左端栏目中点击SSLVPN的运行图标)来查看,如果SSLVPN图标是彩色的表明SSLVPN服务已经启动,如果是灰色则SSLVPN服务已经停止了,也可以在右侧的配置界面中看到SSLVPN的运行状态,并可通过“启动服务”和“停止服务”按钮来控制SSLVPNVPN服务。
第二、如何检查用户是否接入:
总部端可以在SSLVPNGATEWAYCLIENT软件的运行状态栏中看到用户是否接入(可以看到接入账号、接入的内外网IP、接入时间等)等详细的接入和退出日志。
在SSLVPN这边如何查看用户的接入状态
通过SSLVPNGATEWAYCLIENT软件连到硬件网关,打开主控台,点击主控台左边栏目中MSSLVPN选项,在右边的界面中就可以看到SSLVPN运行状态,如果接入正常,可以看到所接入用户的IP及接入时间。
常见故障日志
升级会员 