SANGFORSSLVPN技术白皮书文档格式.docx

1、（+60） 3 2201 0192泰国：（+66） 2 254 5884印尼：（+62） 21 5695 0789您也可以访问深信服科技网站：获得最新技术和产品信息目录第1章 序言 1第2章 SANGFOR SSL VPN网关简介 4第3章 SANGFOR SSL VPN网关技术 53.1 更安全的SSL VPN为业务互联保驾护航 53.1.1 丰富的认证方式 53.1.2 混合认证保护机制 53.1.3 动态身份认证提供多重保证 63.1.4 内置的CA中心提供完整认证体系 83.1.5 与第三方CA结合 93.1.6 与LDAP（AD）结合 93.1.7 与Radius结合 103.1.8

2、 开放数据接口提供二次开发 113.1.9 与其他第三方认证系统结合，保护前期投资 113.1.10 图形码验证功能 113.1.11 软键盘功能 113.1.12 会话超时控制功能 123.1.13 全面的密码安全保障 123.1.14 客户端安全检查从端点开始保障您的网络安全 123.1.15 强化的网络防护VPN虚拟专线功能 133.1.16 零痕迹访问功能避免安全漏洞 133.1.17 真正的SSL 协议加密传输 143.1.18 支持国产商用密码标准 153.1.19 访问权限控制功能提供最细致的权限管理 153.1.20 完善的日志系统 153.1.21 丰富的日志信息 163.1

3、.22 强大的实时监控能力 173.1.23 沙盒技术-安全桌面 173.1.24 集成企业级状态防火墙 183.2 更快的SSL VPN提升业务办公效率 193.2.1 自主研发单边加速技术，极大提升应用访问速度 193.2.2 多线路智能选路解决您的网络延迟问题 203.2.3 多线路带宽叠加技术，扩大出口带宽 213.2.4 HTP技术，提高无线和恶劣环境下的访问速度 223.2.5 动态压缩技术，全面提高传输速度 223.2.6 基于Web的压缩技术，进一步提高传输效率 233.2.7 流缓存技术-大幅减少数据冗余碎片 233.2.8 自主研发SRAP远程应用传输协议，提升远程应用访问

4、速度 243.3 更好用的SSL VPN 243.3.1 支持所有网络应用 243.3.2 全面适应各种平台 253.3.3 提供IPSec/SSL一体化选择 253.3.4 虚拟门户功能 263.3.5 配置向导简化管理员的操作过程 263.3.6 隐藏服务模式 273.3.7 支持动态IP 273.3.8 管理员分级分权限管理 273.3.9 定制登录界面功能 283.3.10 单点登录功能（SSO） 283.3.11 移动终端设备的完美支持 293.3.12 内网DNS支持 293.3.13 多虚拟IP池支持 293.3.14 User权限下正常访问 293.3.15 默认服务页面 30

5、3.3.16 系统托盘 303.3.17 全网资源-智能递推 303.4 更稳定的SSL VPN 313.4.1 多线路技术实现线路备份，保证VPN线路稳定 313.4.2 资源服务器的智能负载功能 323.4.3 会话自动恢复，提高网络适应能力 323.4.4 非对称集群功能，满足大并发接入 323.5 应用虚拟化 333.5.1 远程应用发布 333.6 企业移动管理 343.6.1 移动设备管理（MDM） 343.6.2 便捷的批量移动终端管理 343.6.3 严格的设备密码策略 353.6.4 远程锁定移动设备 353.6.5 远程擦除办公终端数据 353.6.6 企业消息推送 353

6、.6.7 移动用户管理（MUM） 363.6.8 多种身份认证 363.6.9 严格的权限管理 363.6.10 移动应用管理（MAM） 363.6.11 影子IT避免，保护企业数据安全 363.6.12 全面的移动应用管理 373.6.13 方便快速的应用安全封装 373.6.14 多应用统一登录 383.6.15 C/S、B/S架构企业应用商店，保证企业应用分发权威 383.6.16 图形解锁，轻松的二次认证 383.6.17 应用黑白名单，用技术手段保证“专设专用” 383.6.18 移动内容管理（MCM） 393.6.19 安全的企业移动内容管理 393.6.20 一机两用，BYOD的

7、公私隔离 39第4章 SSL VPN部署模式及用户使用 394.1 SANGFOR SSL VPN部署模式 394.2 客户端登录和使用界面 414.2.1 缺省登录界面 414.2.2 可用资源界面 42第5章 深信服公司简介 43第6章 附录VPN技术背景知识 436.1 VPN简介 436.2 SSL 协议介绍 466.3 SSL VPN技术 47第1章 序言随着互联网数据技术的进步和商务模式的发展，在互联网技术的帮助下提升业务效率已经是必然的选择：利用信息化，加速业务流程；利用互联网，实现随时随地的业务响应。互联网技术已经彻底改变了传统的业务办理模式，借助信息化，相关业务信息实现快速的

8、处理和共享，人员无论在何时何地，只要能连上互联网，就能实现业务的及时处理。与此同时，业务信息网络化另外一方面是带来了安全的威胁：企业本身的商业数据、企业的客户数据信息等一旦被泄露，则会带来难以估计的损失，而一旦通讯或存储的信息被篡改，则更会带来难以估计的后果。由此，业务信息化，首先需要解决的是安全问题。在计算机网络中，除了建设物理隔离的业务网络之外，还拥有更具性价比的解决方案，使用VPN（Virtual Private Network 虚拟专用网）技术来构建安全的业务网络。VPN利用的是包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。过去，大多数公司都是使用传统的

9、IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan（网对网）的安全问题而制定的协议，因此在此基础上建立的远程接入方案在面临越来越多的End To Lan（点对网）应用情况下已经力不从心。IPSec VPN应用于端点接入的不便： 首先是客户端配置问题在每个远程接入的终端都需要安装相应的IPSec客户端，并且需要做复杂的配置，随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端的麻烦，即使这些客户端很少出问题，但随着用户数量的增多，每天需

10、要维护的客户端绝对数量也不少。 其次是IPSec VPN自身安全问题往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径深信服科技的IPSec VPN已经比较好的解决了这个问题, 深信服科技使用硬件鉴权认证来实现设备的认证接入，使用VPN专线功能来实现和互联网的逻辑隔离，来保证入侵安全性。如果仅仅在受控的电脑上，比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题，但如果要让合作伙伴或者客户的电脑接入，就难以控制了。 然后是对网络的支持问题传统的IPSec VPN在网络适应性上都存在一些问题

11、，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于IPSec VPN对防火墙的安全策略的配置较为复杂（往往要开放一些非常用端口），因此客户端的网络适应性还是不能做到百分之百完美。 最后是移动设备支持问题随着未来通讯技术的发展，移动终端的种类将会越来越多，IPSec 客户端需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。因此SSL VPN技术就孕育而生了，SSL VPN的突出优势在于Web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处是：首先是它的简单性

12、，它不需要复杂配置，可以立即安装、立即生效；第二个好处是不需要安装客户端，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。但SSL VPN并不能完全取代IPSec VPN，这两种技术目前应用在不同的领域，是可以进行互补的。SSL VPN考虑的是单点接入网络，是应用在点对网结构的接入模式；而IPSec VPN是在两个局域网之间通过Internet建立的安全连接，保护的是网对网之间的通信。在现代的商业机构模式中，普遍都存在着这两种需求，所以我们在选择VPN技术的时候应该根据实际的业务需求出发，选择某一种或者二合一的VPN技术。SSL VPN给您带来的价值

13、安全护航，保证业务信息安全SSLVPN采用严谨的认证方式，高强度的加密模式，细致的权限分配和访问记录，实现对业务访问过程的全场护航，保证业务畅通无阻的同时规避网络安全风险。提高办公效率，提升组织响应能力为了实现随时随地地办公，进一步提高办公效率。但是网络中无处不在的网络延时、网络丢包导致业务访问速度急剧下降，原本需要几秒处理的事情，现在却拖延到了几分钟，严重影响了办公效率。深信服针对网络中存在的问题，通过深信服的HTP技术、动态压缩技术、多线路智能选路技术、不断加入的广域网优化技术将进一步解决恶劣环境下访问速度慢的问题，全面提高远程接入访问的办公效率。降低管理成本，提升组织经营效益由于SSL

14、VPN无需安装客户端，对于使用端透明，无需安排专门的人员进行维护，针对于传统的IPSEC需要安装客户端，一旦出现意外需要远程进行维护，不管是派专人维护还是远程维护必将增加维护成本，对于一两个点接入的情况这样的维护成本还可以接受，但是面对成千上百个点来说，那将是一笔巨大的维护成本，而且极容易造成业务效率的下降。SSL VPN无需安装客户端，仅仅依托于浏览器，不依赖网络环境（只要能上网均可访问），这三大特点将进一步降低组织的维护运维成本，从而进一步降低整体管理成本。保障组织信息安全，防止核心信息外泄随着组织规模的扩大，业务系统也在不断增多，也有越来越多外部人员需要访问内部的应用系统，但是通过广域网

15、访问存在的安全隐患让组织非常害怕这些关键业务数据的泄密，因此需要建立一种安全可靠的远程接入访问机制，针对众多的应用系统提供细致的权限划分、高效的数据加密机制、丰富多样的身份认证手段、全面的单点接入安全检查、完整的日志审计，全面防止内部核心应用系统的数据泄密，保护组织信息安全第2章 SANGFOR SSL VPN网关简介作为中国SSL VPN市场的第一品牌，深信服科技致力于为客户提供更快、更安全、更好用的SSL VPN产品，保护客户的业务安全可靠，提高客户的业务效率，从而实现共同成长。更懂客户业务的创新方案从为客户创造价值的目标出发，在深入了解客户业务情况的基础上，深信服科技运用最为创新性的方案

16、，为客户有效地解决业务在互联网转化的过程中所遇到的问题。除了像移动办公方案和多方接入的权限分配方案这些传统SSL VPN应用之外，深信服科技还不断提出创新性的运用，比如使用SSL安全特性为客户解决原有关键系统安全保障问题；运用SSL加密和逻辑隔离的特性为客户的核心数据实现安全防泄密。另外，结合深信服科技在前沿网络领域中完善的技术，为客户提供了更具价值的整体解决方案，比如SSL VPN和IPSec VPN二合一的解决方案，加速VPN解决方案等。通过大量的成功客户案例，证明了深信服科技在以客户为导向理念下，已经获得了市场的高度认可。业界持续领先的技术理念为了给客户提供最为完善的SSL VPN 产品

17、，深信服科技持续引领着业界内的技术创新。从2005年在全球第一家推出IPsec/SSL二合一的产品，2006年率先提供了包括短信、HardCA硬件鉴权、动态令牌、SSL VPN隧道逻辑隔离等安全技术，2007年根据中国实际网络环境率先实现跨运营商线路加速、SSL隧道自动愈合等技术，2008创新性地实现混合认证、动态压缩、无线线路优化等技术，2009年在全球首家实现非对称集群、智能隧道选路等技术，2010年更是推出了业内的更快速的SSL流缓存加速技术。深信服科技，运用最为创新的SSL VPN技术理念，为客户提供最好的VPN，并主导了中华人民共和国国家VPN标准制定。最广泛的客户认可度深信服科技S

18、SL VPN到2010年初为止，已经服务于超过一万八千家的用户，值得一提的是：世界五百强中的中国企业70%都选用深信服科技的VPN解决方案。深信服科技SSL VPN从2008年开始，便以超过三分之一的市场，一直占据中国市场第一的位置，而且份额还在不断扩大。截止2015年，深信服 SSL VPN 在大中华区市场占有率为47.8%第3章 SANGFOR SSL VPN网关技术作为中国市场占有率第一的SSLVPN解决方案供应商，深信服科技推出的IPSec/SSL一体化网关有以下多种功能和技术特色：3.1 更安全的SSL VPN为业务互联保驾护航3.1.1 丰富的认证方式在SANGFOR SSL VP

19、N安全网关支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，最大限度地保证了接入用户的合法性。3.1.2 混合认证保护机制单一的认证方式易被窃取，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对上面提到的用户名和密码、CA数字证书、LDAP/AD、Radius、Dkey、硬件特征码、短信认证、动态令牌认证方式可以进行五个因素以上的捆绑认证，这几种认证方式必须同时满足才能够接入SSL VPN系统。如果需要几种接入方式做备份接入选择，那么深信服创新性提出或组合，对于以上几种认证方式进行

20、或组合，只要通过一种主认证方式即可接入到SSL VPN系统中。多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度安全。3.1.3 动态身份认证提供多重保证当前间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。深信服科技采用了多种动态身份认证系统来消除该隐患，保证了用户使用SSL VPN访问总部资源时的安全性。 DKEY认证SANGFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道，除了使用标准SSL协议内置的RC4等

21、加密算法和RSA128bit签名算法来保证数据的安全性之外，还使用DKEY（一种USB 的身份认证设备）进行双因素身份认证，并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN（IPSec和SSL）系统，安全方便。 免驱动USBDKey针对一般的USBDKEY在使用的过程中跟U盘一样需要安装该USB Key的驱动，但是往往驱动的兼容性问题导致无法正常登录SSL VPN，导致业务无法开展。针对这样的情况，深信服提出免驱动DKey认证，当您首次使用DKey进行登录的时候，不需要安装DKey也能够正常登录SSL VPN，无需担心驱动的兼容新问题，提高业务访问效率。 短信认证无

22、线技术的突飞猛进给网络世界又带来一次巨大的革命，其灵活可靠的特点吸引了所有人的视线，因此，依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新型认证解决方案，此认证系统分为手机短信终端和短信认证服务器两部份。终端用户在既有移动电话和PAD的基础上，通过手机短信获得双因素用户认证访问代码，就能够安全地访问网络资源。深信服支持与短信猫进行互动来进行短信认证。 短信网关除了通过短信猫方式进行短信发送外，深信服还支持运营商的短信网关，如果您的网络中已经部署了短信网关（移动、联通或电信的短信网关），深信服可以和您的短信网关结合，实现短信认证。当可能由于网络的延时或者网络运营商的问题导致短信未

23、及时发出，完全影响了使用者的使用，导致业务无法正常使用，针对这样的情况，深信服为您提供短信重发功能，让您能够方便快捷使用短信认证。 硬件绑定（HardCA）传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷，SANGFOR SSL VPN使用了深信服公司的特色技术基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息（如CPU、硬盘、网卡等）进行绑定，即便用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，因而不会造成非法用户接入。 动态令牌认证动态令牌是技术领先的一种双因素强身

24、份认证体系，采用用户PIN码+动态令牌码构成完整用户口令，令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成，每分钟改变一次，而且是一次性密码（密码使用后立即失效，不能重复使用）。由于实际上的安全问题都和密码有关，盗窃和破解密码是最常见的口令攻击手段，因此动态令牌很好的解决了以上问题，为用户的使用提供了极高的安全性保证。3.1.4 内置的CA中心提供完整认证体系 SANGFOR SSL VPN安全网关内置了CA中心，企业或者事业单位可自建CA中心，用户可不必购买单独的CA认证体系，为企业减少了投入成本。同时，SANGFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。深信服内置的

25、CA中心可以支持建立服务器证书和个人身份证书，在减少投资成本的同时可以满足组织对于CA的大规模使用，让您构建您自己的CA认证中心。3.1.5 与第三方CA结合为了建立更加完善的认证体制，很多企业引进了CA中心，通过CA中心来建立更加完善的认证体制。深信服SSLVPN能够更好的实现与CA中心这样的认证体制的结合，支持包括UCS-2， GBK， UTF-8， GB2312， BIG5编码格式，支持der、crt、cer、p12、pfx、p7b格式证书，还可以读取CA证书中的指定字段，形成身份账号绑定和从而能够与第三方CA进行完美的结合，满足大规模用户对于认证的要求。深信服SSLVPN与第三方CA结

26、合，还可以支持设置证书中的内置授权值，并与之绑定账号完成组织结构的建立，达到更完美支持CA证书认证的效果。同时，深信服SSL VPN至少支持5张不同的CA根证书，以及配置证书绑定字段以及批量导入/导出用户证书记录等，即使是复杂数字证书体系也能良好的支持。3.1.6 与LDAP（AD）结合随着组织规模的扩大，为了更好的进行认证，大部分的组织都建立了LDAP（AD）服务器，通过LDAP服务器来进行人员的统一管理。LDAP可以根据组织内部的结构来进行人员的划分，完全根据企业内部的组织架构来建立LDAP的人员结构。深信服能够与LDAP进行联动，无需在SSL VPN设备上建立LDAP上的用户，直接将认证

27、的数据转向LDAP服务器，让LDAP进行判断。如果有一些特殊的需要，也可以将LDAP中的用户导入到设备中，可以根据您的需要定时进行同步，您可以选择一个固定的时间进行同步，也可以选择实时的进行同步，从而保证LDAP上的用户与SSL VPN上的用户信息保持同步。为了更好的体现认证的多样性，深信服SSL VPN提供读取LDAP中的手机号码，可以跟短信认证结合起来，这样就可以实现与LDAP结合的双因素认证。对于在LDAP中已经划分好了权限的情况，为了保持跟LDAP中权限的一致性，深信服SSL VPN支持导入LDAP中的Group属性，这样就可以完美继承LDAP中的权限属性，从而与LDAP中的权限保持一

28、致。当大量的用户通过LDAP进行认证，但是本地SSL VPN数据库中没有用户信息也无法分配虚拟IP，那就没有办法使用IP资源。为了解决这样的问题，深信服可以读取LDAP中的IP字段属性，从而通过LDAP可以进行虚拟IP的分配，这样通过LDAP进行认证的用户可以得到虚拟IP实现双向访问。3.1.7 与Radius结合Radius作为3A体系中重要的一个元素，对于一些大型的集团型公司来说都部署了Radius服务器作为身份认证的一个因素，如果重新在SSL VPN上建立一套认证体制的话就会造成需要管理两套认证体制，因此为了减少增加认证体制所带来的麻烦。SSL VPN需要与Radius进行完美的结合。深

29、信服SSL VPN能够读取Radius的分组权限信息，这样在Radius中已经建立好的分组就可以映射到SSL VPN中，从而实现角色的划分和资源的绑定。同样为了实现多样的认证，深信服SSL VPN也支持读取Radius中的手机号码属性，从而跟短信认证可以完美结合，实现双因素的认证。同样为了实现通过Radius进行认证的用户也能够分配到虚拟IP，深信服SSL VPN可以读取Radius中的IP属性段，从而也可以绑定虚拟IP，实现通过Radius访问也能够进行IP资源的正常访问。3.1.8 开放数据接口提供二次开发通过SSL VPN已经建立了一整套完善的认证体系，对于这样的完整体系需要引入到第三方

30、的系统之上继续做认证，针对于这样的情况深信服通过开放SSL VPN中的部分数据库信息，第三方可以调取其中的数据信息，通过这些信息可以根据实际的需要进行二次开发，从而跟更多的应用系统结合。3.1.9 与其他第三方认证系统结合，保护前期投资从整个业界范围来看，认证系统多种多样，采用的数据格式也不禁相同，为了保护前提的投资，需要跟原有的认证系统进行结合，但是作为SSL VPN来说不能完美对于所有的认证系统都能进行充分的结合，深信服提出了通过深信服自己的Radius服务器作为中转，从而实现与其他认证系统的完美结合，而且SANGFOR Radius强大的扩展性可以满足您与第三方进行对接的要求。3.1.10 图形码验证功能SANGFOR SSL VPN安全网关提供图形码校验功能，用户在输入用户名和密码以后还需要将系统随即生成图片中的信息输入