深信服SSL VPN技术白皮书.docx

1、深信服SSL VPN技术白皮书SSL VPN V4.1技术白皮书 目录第1章 序言 5第2章 SANGFOR SSL VPN网关简介 7第3章 SANGFOR SSL VPN网关技术 93.1 更快的SSL VPN 93.1.1 多线路智能选路解决您的网络延迟问题 93.1.2 多线路带宽叠加技术，扩大出口带宽 103.1.3 HTP技术，提高无线和恶劣环境下的访问速度 113.1.4 动态压缩技术，全面提高传输速度 123.1.5 基于Web的压缩技术，进一步提高传输效率 123.1.6 强大的硬件加速卡，更快的SSL处理速度 123.2 更安全的SSL VPN 133.2.1 集成多种认证

2、方式 133.2.2 混合认证 133.2.3 动态身份认证提供多重保证 143.2.4 内置的CA中心提供完整认证体系 153.2.5 与LDAP（AD）结合 163.2.6 与Radius结合 163.2.7 与第三CA结合 173.2.8 开放数据接口提供二次开发 173.2.9 与其他第三方认证系统结合，保护前期投资 173.2.10 图形码验证功能 173.2.11 软键盘功能 183.2.12 会话超时控制功能 183.2.13 全面的密码安全保障 183.2.14 客户端安全检查从端点开始保障您的网络安全 193.2.15 强化的网络防护VPN虚拟专线功能 193.2.16 零痕

3、迹访问功能避免安全漏洞 193.2.17 真正的SSL 协议加密传输 193.2.18 访问权限控制功能提供最细致的权限管理 203.2.19 完善的日志系统 213.2.20 丰富的日志信息 213.2.21 强大的实时监控能力 213.2.22 集成企业级状态防火墙 223.3 更好用的SSL VPN 233.3.1 能支持您的所有网络应用 233.3.2 B/S正则替换，全面适应各种平台 243.3.3 提供IPSec/SSL一体化选择 243.3.4 配置向导简化管理员的操作过程 253.3.5 隐藏服务模式 253.3.6 支持动态IP 253.3.7 管理员分级分权限管理 263.

4、3.8 定制登录界面功能 263.3.9 单点登录功能（SSO） 263.3.10 移动终端设备的完美支持 273.3.11 内网DNS支持 273.3.12 多虚拟IP池支持 273.3.13 User权限下正常访问 273.3.14 默认服务页面 283.3.15 系统托盘 283.3.16 全网资源 283.4 更稳定的SSL VPN 283.4.1 支持动态IP 283.4.2 多线路技术实现线路备份，保证VPN线路稳定 293.4.3 双机热备，保证VPN网络稳定性 293.4.4 自动恢复，提高网络适应能力 303.4.5 集群功能，满足大并发接入 30第4章 SANGFOR SS

5、L VPN网关网络和系统结构 304.1 路由模式部署 304.2 单臂模式部署 314.3 双机热备原理 314.4 客户端登录和使用界面 324.4.1 缺省登录界面 324.4.2 可用资源界面 32第5章 SANGFOR SSL VPN网关技术优势 335.1 更方便易用的SSL VPN 335.1.1 单点登录 335.1.2 默认服务页面 335.1.3 分级分权限管理 335.1.4 集群 335.1.5 完全页面定制 345.2 更安全的SSL VPN 345.2.1 混合认证 345.3 更快的SSL VPN 345.3.1 多线路技术 345.3.2 HTP技术 345.3

6、.3 压缩技术 355.3.4 更多广域网加速技术 355.4 更好管理和易用的SSL VPN 355.4.1 动态IP快速建立隧道 35第6章 深信服公司简介 36第7章 附录 377.1 VPN技术背景知识 377.1.1 VPN简介 377.1.2 SSL 协议介绍 407.1.3 SSL VPN技术 41第1章 序言随着移动数据技术的进步和商务模式的发展，选择远程办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公，这个比例在未来的两年内将会上升到80%。而在中国，这种远程接入办公的趋势也同样越来越明显。过去，大多数公司都是使用传统的IPSec VP

7、N来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan（网对网）的安全问题而制定的协议，因此在此基础上建立的远程接入方案在面临越来越多的End To Lan（点对网）应用情况下已经力不从心。 首先是客户端配置问题在每个远程接入的终端都需要安装相应的IPSec客户端，并且需要做复杂的配置，随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。 其次是IPSec V

8、PN自身安全问题往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径（深信服科技的IPSec VPN已经比较好的解决了这个问题）。如果仅仅在受控的电脑上，比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题，但如果要让合作伙伴或者客户的电脑接入，就难以控制了。 然后是对网络的支持问题传统的IPSec VPN在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于IPSec VPN对防火墙的安全策略的配置较为复杂（往往要开放一些非常用端口），因此客户端的网络适应性还是

9、不能做到百分之百完美。 最后是移动设备支持问题随着未来通讯技术的发展，移动终端的种类将会越来越多，IPSec 客户端需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。因此SSL VPN技术就孕育而生了，SSL VPN的突出优势在于Web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作

10、系统。但SSL VPN并不能完全取代IPSec VPN，这两种技术目前应用在不同的领域，是可以进行互补的。SSL VPN考虑的是单点接入网络，是应用在点对网结构的接入模式；而IPSec VPN是在两个局域网之间通过Internet建立的安全连接，保护的是网对网之间的通信。所以我们在选择VPN技术的时候应该根据实际的业务需求出发，选择某一种或者二合一的VPN技术。SSL VPN给您带来的价值提高办公效率，提升组织响应能力为了实现随时随地地办公，进一步提高办公效率。但是网络中无处不在的网络延时、网络丢包导致业务访问速度急剧下降，原本需要几秒处理的事情，现在却拖延到了几分钟，严重影响了办公效率。深信

11、服针对网络中存在的问题，通过深信服的HTP技术、动态压缩技术、多线路智能选路技术、不断加入的广域网优化技术将进一步解决恶劣环境下访问速度慢的问题，全面提高远程接入访问的办公效率。降低管理成本，提升组织经营效益由于SSL VPN无需安装客户端，对于使用端透明，无需安排专门的人员进行维护，针对于传统的IPSEC需要安装客户端，一旦出现意外需要远程进行维护，不管是派专人维护还是远程维护必将增加维护成本，对于一两个点接入的情况这样的维护成本还可以接受，但是面对成千上百个点来说，那将是一笔巨大的维护成本，而且极容易造成业务效率的下降。SSL VPN无需安装客户端，仅仅依托于浏览器，不依赖网络环境（只要能

12、上网均可访问），这三大特点将进一步降低组织的维护运维成本，从而进一步降低整体管理成本。保障组织信息安全，防止核心信息外泄随着组织规模的扩大，业务系统也在不断增多，也有越来越多外部人员需要访问内部的应用系统，但是通过广域网访问存在的安全隐患让组织非常害怕这些关键业务数据的泄密，因此需要建立一种安全可靠的远程接入访问机制，针对众多的应用系统提供细致的权限划分、高效的数据加密机制、丰富多样的身份认证手段、全面的单点接入安全检查、完整的日志审计，全面防止内部核心应用系统的数据泄密，保护组织信息安全第2章 SANGFOR SSL VPN网关简介为了便于用户既能很好的解决网间互连，又能便捷的实现移动办公应

13、用，深信服科技推出了IPSec/SSL一体化的VPN安全网关SANGFOR SSL VPN硬件网关。该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL 两套主流VPN技术的完美结合。目前该系列产品有四款产品：M5100-S、M5400-S、M5600-S、M5800-S。1、IPSec VPN功能SANGFOR SSL VPN安全网关集成了IPSec VPN功能，具备有SANGFOR IPSec VPN的全部功能和技术特点，并集成了企业级的状态防火墙，有效保证了企业内网安全。SANGFOR SSL VPN安全网关的IPSec VPN功能采用了深信服科技VPN领域的四项发明专利，即

14、：Webagent动态IP寻址技术，HARDCA硬件认证，多线路绑定的VPN系统，即插即用、随身携带的VPN客户端。（注：由于篇幅有限，有关SANGFOR IPSec VPN的技术特点请参考SANGFOR IPSec VPN技术白皮书，在此就不详细进行阐述）SANGFOR SSL VPN安全网关的IPSec VPN功能可以和深信服科技IPSec VPN产品：P5100、S5100、M5100、M5400、M5600、M5800等VPN硬件网关以及DLAN系列软件VPN产品实现互连互通，方便用户根据自身实际环境按需选择产品模块，构建量身定制的VPN网络。2、SSL VPN功能SANGFOR SS

15、L VPN安全网关使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制，因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。SANGFOR SSL VPN安全网关内置了CA认证，用户可自建CA中心，也可支持第三方CA认证。除了支持常规的Local DB，LDAP/AD，Radius，Secur ID等认证以外，SANGFOR SSL VPN安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key

16、认证相结合，结合客户端计算机安全检查功能，SANGFOR SSL VPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户终端软件就可以安全访问公司的任何资源。由于采用了IP Tunnel技术，SANGFOR SSL VPN安全网关实现了对应用程序的完整支持。包括：文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言

17、，由于SSL 的易用性，无需部署和维护客户端软件，极大降低了管理和维护VPN网络的工作量。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说，SANGFOR SSL VPN提供了性价比极高的远程接入解决方案，降低了企业的总体拥有成本。目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题，SANGFOR SSL VPN安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术（专利之一），在企业的数据中心采用多条上网线路，当VPN客户端在访问总部资源时，SANGFOR SSL VPN安全网关会自动检测最优线路，使得使用不同运营商上网线路的VP

18、N客户端访问企业数据总部时的速度大大提高。SANGFOR SSL VPN安全网关的多线路智能选路功能，不仅解决了跨运营商部署VPN网络时的延迟问题，还实现了企业上网线路的带宽迭加和负载均衡，有效扩大了网络的出口带宽，保证了企业VPN网络的稳定性。为了避免因SSL 的易用性，客户端的不安全因素通过SSL VPN登录到企业内部网络而导致的安全问题，SANGFOR SSL VPN安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL VPN登录到企业总部带来的安全隐患，保证远程接入的安全性。并且，SANGFOR SSL VPN安全网关除了支持多种常规安全认证以

19、外，还增加了基于手机短信的动态身份认证功能。当前，间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。SANGFOR SSL VPN安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。即使用户在登录SSL VPN时所使用的计算机存在间谍软件、木马等泄密工具，由于无法获得用户每次登录时通过其手机接受的短信认证码，因而有效防止口令泄漏，保证了用户使用SSL VPN访问总部资源时的安全性。第3章 SANGFOR SSL VPN网关技术作为新一代的远程接入解决方案，深信服科技推出的IPSec/SSL一体化网关有以下多种功能和技术特色：3.1 更

20、快的SSL VPN3.1.1 多线路智能选路解决您的网络延迟问题作为国内领先的VPN和网络安全研发产商，深信服科技在IPSec VPN 中，创新性地采用了多线路智能选路功能，并成功应用到SANGFOR SSL VPN安全网关中，针对SSL VPN更多使用的是浏览器进行登录，深信服创造性的提出了一种基于Web的自动选路方法（200510121083.0），该技术是深信服科技在VPN领域众多专利技术之一。所谓多线路智能选路技术，即是指在企业数据中心网络的网关位置部署SANGFOR SSL VPN安全网关，并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽迭加。当远程的众多商业用户通过

21、SSL VPN在使用不同运营商的上网线路访问总部资源时，SANGFOR SSL VPN 网关会自动检测最优线路，使得商业用户访问组织内部数据时能得到最高的访问速度，解决了网络环境存在延迟大、带宽小的瓶颈问题。对于部分大型组织机构来说，往往出口已经部署了高端的路由器或者防火墙作为网关，面对已经完善的网络建设，SSL VPN应该如何部署能够利用前置的两条线路进行自动选路，让分布在全国各地的移动人员选择最快的线路接入，提高效率。深信服进一步扩展了智能自动选路技术，提供了基于单臂模式下的自动选路，让众多的组织结构也能够实现自动的选路，提高业务办公效率。以下是针对两种不同部署模式下多线路智能选路的图示路

22、由模式下多线路智能选择最优线路功能单臂模式下多线路自动选路功3.1.2 多线路带宽叠加技术，扩大出口带宽若采用其他方案来解决类似问题，则用户往往需要单独购买一个线路负载均衡器，才能实现多线路负载均衡的效果。而SANGFOR SSL VPN的多线路技术，不仅解决了跨运营商部署VPN网络时的延迟问题，还实现了多条线路的带宽叠加和负载均衡，用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。SANGFOR SSL VPN安全网关的负载均衡功能，减少了企业在IT部署的采购投入，降低了企业的总体拥有成本。目前，随着国内宽带网络的普及以及资费的进一步降低，大部分企业或事业单位

23、普遍采用ADSL等小区宽带的接入方式。虽然目前电信运营商正在做提高ADSL带宽服务的市场和技术准备，但是对于速度要求比较高的企业，单条ADSL的带宽容量已经无法满足企业日益增长的用户需求。由于ADSL技术本身的限制，即使ADSL的带宽容量扩充到2M或8M，单条ADSL的上传速率只能达到几百K。这对于一些数据量比较大、对带宽要求比较高的企业信息系统来说（比如ERP系统），单条ADSL的连接速度就显得捉襟见肘了。为了解决上述问题，高性价比、低成本地满足企业对带宽的要求，深信服科技发明了多线路带宽迭加及复用技术（专利号：CN200310112006X）。SANGFOR SSL VPN安全网关支持各种

24、不同接入方式的线路绑定，最多可支持6条不同线路的带宽叠加和负载均衡，大大提高了SSL VPN的数据传输速度，并且通过内置防火墙/NAT模块，还可以实现多线路共同访问Internet，成倍提高了企业局域网内用户的上网速度。针对不同的上网线路，还可以启用多线路策略，用户可以根据线路情况选择带宽叠加模式、线路主备模式或者动态适应模式等多线路策略。同时，SANGFOR SSL VPN安全网关内置了5个Qos级别和多条Qos规则，用户可根据自身实际情况设置相应的QOS级别。3.1.3 HTP技术，提高无线和恶劣环境下的访问速度随着无线技术的发展，大量的商业人士通过无线网卡CDMA/GPRS来实现随时随地

25、的接入网络获取更多的信息资讯，虽然CDMA/GPRS的理论速度都达到了100kbps以上，比较好的CDMA已经达到230kbps，但是实际的速率往往只有100kbps左右，而这样的速度深处不同的网络环境中将更差，甚至会低到60kbps，这样的速率跟我们早期使用的猫有什么区别。除了无线环境外，平时我们使用的ADSL或者光纤中由于P2P类下载软件的流行，导致带宽被占用，那么通过这样的线路访问SSL VPN的时候同样非常的慢。实际以上所有速度慢的问题都是由于网络中存在的延时和丢包导致的，时延大和高丢包导致网络传输环境非常的差，而往往时延越大传输速度越慢，如果丢包达到一定程度，速度就会更加的慢，双方根

26、本就无线建立通信，更不要说进行数据的传输了。针对这样的情况，深信服提出了HTP技术。HTP协议（HighSpeed Transmission Protocol）是基于UDP的可靠传输协议，通过改善拥塞控制算法和提高窗口大小改善TCP传输效率，能够显著提升存在丢包和延时网络的传输速度。HTP协议图示3.1.4 动态压缩技术，全面提高传输速度随着业务的增长，交互的数据量也随之增加，本身传统的压缩对于所有类型的数据进行压缩，而压缩也必然会消耗系统资源，导致性能下降。本身有些数据由于结构的特殊性可能压缩比不高，一旦进行了压缩，消耗了系统资源却没有提升多少速度！严重影响了效率，降低了响应速度。针对这样的

27、应用背景，深信服提出了动态压缩（专利号：200810065397.7），针对不同的数据选用动态的压缩策略，根据上一次压缩状态来选择本次的压缩策略，通过动态选择策略来提高压缩效率的同时，降低系统负载，从而提高整体的数据处理速度，提高业务的访问速度。3.1.5 基于Web的压缩技术，进一步提高传输效率随着软件技术的发展，越来越多的应用系统都采用了B/S的构架，当B/S应用数据量增大时，在一定的网络环境中必然会影响B/S应用的传输速度，因此有必要针对B/S类型的应用提供一定的压缩手段，深信服专门提供Web资源的压缩进一步提高传输效率。3.1.6 强大的硬件加速卡，更快的SSL处理速度SANGFOR

28、SSL VPN安全网关内置了硬件SSL加速卡，将需要计算程度较高的加密/解密流程从CPU中分离出来，提高SSL VPN网关的性能。3.2 更安全的SSL VPN3.2.1 集成多种认证方式在SANGFOR SSL VPN安全网关支持LocalDB、LDAP/AD、Radius、第三CA、自建CA、USBDkey、Secur ID、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，最大限度地保证了接入用户的合法性。3.2.2 混合认证针对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等，SANGFOR SSL VPN基于短信认证多种认证方式，有效地抵御了这类对企业重要资源

29、造成的威胁。即使终端用户的机器被黑客攻击，控制了用户的机器，或者一些间谍软件、钓鱼软件泄漏了用户名密码等访问口令，由于采用了手机短信认证的动态身份认证系统，也无法威胁到企业的内部资源。对于昂贵的动态令牌认证系统来说，基于手机短信的身份认证是动态令牌的完美替代品，为用户提供了更加安全可靠和方便实用的动态身份认证服务。 多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度安全。单一的认证方式易被窃取，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对上面提到的用户名和密码、CA数字证

30、书、LDAP、Radius、AD、USBKey、硬件特征码、短信认证可以进行五个因素以上的捆绑认证，这几种认证方式必须同时满足才能够接入SSL VPN系统。如果需要几种接入方式做备份接入选择，那么深信服创新性提出或组合，对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到SSL VPN系统中。3.2.3 动态身份认证提供多重保证当前间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。深信服科技采用了多种动态身份认证系统来消除该隐患，保证了用户使用SSL VPN访问总部资源时的安全性。 USB DKEY认证SANGFOR SSL VP

31、N安全网关采用SSL协议加密建立安全的专用加密通道，除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外，还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN（IPSec和SSL）系统，安全方便。 免驱动USBDKey针对一般的USBDKEY在使用的过程中跟U盘一样需要安装该USBDkey的驱动，但是往往驱动的兼容性问题导致无法正常登录SSL VPN，导致业务无法开展。针对这样的情况，深信服提出免驱动DKey认证，当您首次使用USBDKey进行登录的时候，不需要安装

32、USBDKey也能够正常登录SSL VPN，无需担心驱动的兼容新问题，提高业务访问效率。 短信认证无线技术的突飞猛进给网络世界又带来一次巨大的革命，其灵活可靠的特点吸引了所有人的视线，因此，依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新型认证解决方案，此认证系统分为手机短信终端和短信认证服务器两部份。终端用户在既有移动电话和PDA的基础上，通过手机短信获得双因素用户认证访问代码，就能够安全地访问网络资源。深信服支持与短信猫进行互动来进行短信认证。 短信网关除了通过短信猫方式进行短信发送外，深信服还支持运营商的短信网关，如果您的网络中已经部署了短信网关（移动和联通短信网关），深信服可以和您的短信网关结合，实现短信认证。当可能由于网络的延时或者网络运营商的问题