随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。而在中国,这种远程接入办公的趋势也同样越来越明显。
过去,大多数公司都是使用传统的IPSec ×××来解决远程接入的问题。但是IPSec ×××最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是IPSec ×××自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和******提供了很多可能的途径(深信服科技的IPSec ×××已经比较好的解决了这个问题)。如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。
然后是对网络的支持问题:传统的IPSec ×××在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec ×××对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,SSL ×××技术孕育而生。SSL ×××的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL ×××公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
但SSL ×××并不能取代IPSec ×××。因为,这两种技术目前应用在不同的领域。SSL ×××考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec ×××是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,IPSec工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。
一、 SINFOR SSL ×××安全网关简介
为了便于用户既能很好的解决网间互连,又能便捷的实现移动办公应用,深信服科技推出了IPSec/SSL一体化的×××安全网关——SINFOR SSL ×××硬件网关。该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL 两套主流×××技术的完美结合。目前该系列产品有四款产品:M5100-S、M5400-S、M5600-S、M5800-S。
1、IPSec ×××功能
SINFOR SSL ×××安全网关集成了IPSec ×××功能,具备有SINFOR IPSec ×××的全部功能和技术特点,并集成了企业级的状态防火墙,有效保证了企业内网安全。SINFOR SSL ×××安全网关的IPSec ×××功能采用了深信服科技×××领域的四项发明专利,即:WebAgent动态IP寻址技术,HARDCA硬件认证,多线路绑定的×××系统,即插即用、随身携带的×××客户端。
SINFOR SSL ×××安全网关的IPSec ×××功能可以和深信服科技IPSec ×××产品:P5100、S5100、M5100、M5400、M5600、M5800等×××硬件网关以及DLAN系列软件×××产品实现互连互通,方便用户根据自身实际环境按需选择产品模块,构建量身定制的×××网络。
2、SSL ×××功能
SINFOR SSL ×××安全网关使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制,因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。
SINFOR SSL ×××安全网关内置了CA认证,用户可自建CA中心,也可支持第三方CA认证。除了支持常规的Local DB,LDAP/AD,Radius,Secur ID等认证以外,SINFOR SSL ×××安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能,SINFOR SSL ×××安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户终端软件就可以安全访问公司的任何资源。
由于采用了IPTunel技术,SINFOR SSL ×××安全网关实现了对应用程序的完整支持。包括:文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言,由于SSL 的易用性,无需部署和维护客户端软件,极大降低了企业的管理和维护成本。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说,SINFOR SSL ×××提供了性价比极高的远程接入解决方案,降低了企业的总体拥有成本。
目前针对国内存在的不同运营商之间×××互连使用时带宽小、延迟大的问题,SINFOR SSL ×××安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术(专利之一),在企业的数据中心采用多条上网线路,当×××客户端在访问总部资源时,SINFOR SSL ×××安全网关会自动检测最优线路,使得使用不同运营商上网线路的×××客户端访问企业数据总部时的速度大大提高。SINFOR SSL ×××安全网关的多线路智能选路功能,不仅解决了跨运营商部署×××网络时的延迟问题,还实现了企业上网线路的带宽叠加和负载均衡,有效扩大了网络的出口带宽,保证了企业×××网络的稳定性。
为了避免因SSL 的易用性,客户端的不安全因素通过SSL ×××登陆到企业内部网络而导致的安全问题,SINFOR SSL ×××安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL ×××登陆到企业总部带来的安全隐患,保证远程接入的安全性。并且,SINFOR SSL ×××安全网关除了支持多种常规安全认证以外,还增加了基于手机短信的动态身份认证功能。
当前,间谍软件、***等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。SINFOR SSL ×××安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。即使用户在登陆SSL ×××时所使用的计算机存在间谍软件、***等泄密工具,由于无法获得用户每次登陆时通过其手机接受的短信认证码,因而有效防止口令泄漏,保证了用户使用SSL ×××访问总部资源时的安全性。
二、 SINFOR SSL ×××功能介绍
作为新一代的远程接入解决方案,深信服科技推出的IPSec/SSL一体化的SINFOR SSL ×××有以下多种功能和技术特色:
3.1 IPSec/SSL 一体化
传统的IPSec ×××在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置(SINFOR IPSec ×××采用DKEY方式实现IPSec ×××零配置)。若企业的远程接入和移动办公数量增多,企业的维护成本将会成线性增加。而SSL ×××最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,无需安装或设定客户端软件,降低了企业的维护成本。因而,SSL在点对网互连方面,其易用性和安全性方面有着突出的优势。
然而,由于SSL ×××只适合点对网的连接,无法实现多个网络之间的安全互连。因而,在企业组建网对网方面,IPSec ×××就有着无可比拟的优势。而在点对网方面,由于IPSec ×××要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置,因而在易用性和维护成本上远远不如SSL ×××。
SINFOR SSL ×××安全网关结合了IPSec和SSL 两套主流的×××技术,实现了在一台安全网关设备上稳定高效运行两套×××系统。利用两者的优势进行互补,避免了单一×××设备存在的不足。对于企业或者事业单位的分支网络,可以使用IPSec ×××实现安全互连,而对于内部员工、合作伙伴、移动人员可利用SSL ×××的易用性实现安全接入。最大限度地发挥了IPSec /SSL ×××给企业带来的效益,节约了企业大量的管理成本和投入成本。
3.2 多线路技术实现智能选路和负载均衡(专利之一)
目前,大规模×××网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了×××的应用效果。作为国内领先的×××和网络安全研发产商,深信服科技在IPSec ××× 中,创新性地采用了多线路智能选路功能,并成功应用到SINFOR SSL ×××安全网关中。
所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署SINFOR SSL ×××安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多×××客户端在使用不同运营商的上网线路访问总部资源时,SINFOR SSL ××× 网关会自动检测最优线路,使得采用不同运营商上网线路的×××客户端访问企业数据总部时的速度大大提高,解决了用户在不同运营商网络之间部署×××网络时存在延迟大、带宽小的瓶颈问题。
若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而SINFOR SSL ×××的多线路技术,不仅解决了跨运营商部署×××网络时的延迟问题,还实现了多条线路的带宽叠加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。
SINFOR SSL ×××安全网关的多线路智能选路和负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。
3.3 完整支持所有应用系统
目前对于大部分SSL ×××设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSec ×××一样支持基于网络层以上的所有应用,因而也限制了SSL ×××的发展。
SINFOR SSL ×××安全网关通过html智能重构技术、应用转换技术和IPTunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。并且提供了Web资源、
由于采用了IPTunel技术,SINFOR SSL ×××安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSL ×××登陆界面时,只需安装一个Active X控件,在客户端的机器上会生成一块专门用于SSL ×××通讯的虚拟网卡,因而SSL 远程登陆用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL ×××在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用,使得SINFOR SSL ×××能够支持任何复杂的各种B/S和C/S的应用。
3.4 客户端安全检查,保证接入安全
在用户通过计算机IE打开SSL 登陆界面时,SINFOR SSL ×××安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SINFOR SSL ×××接入安全,避免客户端计算机的不安全因素通过SSL ×××传输到企业内部网络产生的安全隐患。
3.5 集成多种认证方式,内置CA中心
SINFOR SSL ×××安全网关采用SSL协议加密建立安全的专用加密通道,除了使用RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套×××(IPSec和SSL)系统,安全方便。
SINFOR SSL ×××安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。同时,SINFOR SSL ×××安全网关也可无缝支持已有的第三方CA认证。
SINFOR SSL ×××安全网关内置有LDAP/AD、Radius、Secur ID、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。
当前,间谍软件、***等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。深信服科技采用了基于手机短信的动态身份认证系统来消除该隐患,方便易用,保证了用户使用SSL ×××访问总部资源时的安全性。
3.6 提供细致的接入权限控制功能
SINFOR SSL ×××通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
3.7 完善的用户和资源管理
SINFOR SSL ×××内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证,可以根据用户、用户组、公用帐号、私有帐号等多种方式对用户进行管理。管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式,为远程接入用户分配细致的访问权限控制。
同时,SINFOR SSL ×××集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式,保证了用户合理地使用×××资源。并且,在SSL ×××网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个×××系统的运行状况。
3.8 支持动态IP、方便易用
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。SINFOR SSL ×××集成了深信服科技独创的基于Web的动态IP寻址技术(专利技术),使的SINFOR SSL ×××网关在部署的时候无需固定IP,完全支持动态IP。并且,当企业在使用SINFOR SSL ×××网关的SSL ×××功能时,可以使用和IPSec ××× 相同的Webagent来解析网关的动态IP,减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时,也更加便捷。由于支持动态IP *** 安全 网关 IPSec/SSL ***二合一网关,最佳的***解决方案!
转载于:https://blog.51cto.com/25109/3455
761
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
