隨著互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)的進(jìn)步和商務(wù)模式的發(fā)展�,在互聯(lián)網(wǎng)技術(shù)的幫助下提升業(yè)務(wù)效率已經(jīng)是必然的選擇:利用信息化�����,加速業(yè)務(wù)流程;利用互聯(lián)網(wǎng)��,實(shí)現(xiàn)隨時(shí)隨地的業(yè)務(wù)響應(yīng)��?����;ヂ?lián)網(wǎng)技術(shù)已經(jīng)徹底改變了傳統(tǒng)的業(yè)務(wù)辦理模式��,借助信息化�����,相關(guān)業(yè)務(wù)信息實(shí)現(xiàn)快速的處理和共享�����,人員無(wú)論在何時(shí)何地,只要能連上互聯(lián)網(wǎng)��,就能實(shí)現(xiàn)業(yè)務(wù)的及時(shí)處理�。
與此同時(shí),業(yè)務(wù)信息網(wǎng)絡(luò)化另外一方面是帶來(lái)了安全的威脅:企業(yè)本身的商業(yè)數(shù)據(jù)�、企業(yè)的信息等一旦被泄露,則會(huì)帶來(lái)難以估計(jì)的損失���,而一旦通訊或存儲(chǔ)的信息被篡改��,則更會(huì)帶來(lái)難以估計(jì)的后果�。由此���,業(yè)務(wù)信息化�����,首先需要解決的是安全問(wèn)題�����。
越來(lái)越多外部人員需要訪問(wèn)內(nèi)部的應(yīng)用系統(tǒng)。華為VPN解決方案
多方位的密碼安全保障
對(duì)于采用在SSL VPN上建立的用戶名和密碼,深信服采用了多種機(jī)制保證密碼的安全性��。
一旦系統(tǒng)啟用防密碼***功能以后�,用戶連續(xù)輸入密碼錯(cuò)誤次數(shù)達(dá)到一定的數(shù)量以后,系統(tǒng)會(huì)將該帳號(hào)鎖定一段時(shí)間��,防止密碼被猜解��。對(duì)于被鎖定的用戶可以通過(guò)查看鎖定用戶在線列表來(lái)解除被鎖定的用戶�,從而使其快速解凍。
面對(duì)大量的用戶���,管理員出于管理的方便可能針對(duì)每個(gè)用戶設(shè)定了初始密碼���,但是出于密碼的安全性考慮,必須提供一定的密碼安全保障來(lái)保證密碼的安全性���。深信服提供強(qiáng)迫初次登陸修改密碼�,可以要求密碼必須至少多少位��,根據(jù)您的要求可以設(shè)定密碼的最小長(zhǎng)度����,也可以設(shè)定密碼必須包含數(shù)字��、字母�����、特殊符號(hào)����,從而保證密碼的復(fù)雜度����,但是不能要求密碼與用戶名相同、密碼不能與舊密碼相同����。對(duì)于密碼的管理,可以實(shí)現(xiàn)定時(shí)修改密碼����,密碼過(guò)期前多少天提醒用戶進(jìn)行密碼修改,通過(guò)上面一系列的措施保證用戶的密碼的安全性�����。
江蘇SANGFORVPN代理商深信服科技持續(xù)**著業(yè)界內(nèi)的技術(shù)創(chuàng)新��。
SANGFOR SSL VPN網(wǎng)關(guān)技術(shù)
豐富的認(rèn)證方式
在SANGFOR SSL VPN安全網(wǎng)關(guān)支持LocalDB、LDAP/AD���、Radius、第三方CA��、自建CA�����、Dkey���、短信認(rèn)證(短信網(wǎng)關(guān))��、企業(yè)微信�、釘釘�����、硬件特征碼����、動(dòng)態(tài)令牌多種安全認(rèn)證方式,比較大限度地保證了接入用戶的合法性�。
混合認(rèn)證保護(hù)機(jī)制
單一的認(rèn)證方式易被竊取�����,為了進(jìn)一步提高身份認(rèn)證的安全性����,深信服創(chuàng)新性提出混合認(rèn)證�����,針對(duì)上面提到的用戶名和密碼�、CA數(shù)字證書、LDAP/AD��、Radius���、Dkey�、硬件特征碼��、短信認(rèn)證�、動(dòng)態(tài)令牌認(rèn)證方式可以進(jìn)行五個(gè)因素以上的捆綁認(rèn)證,這幾種認(rèn)證方式必須同時(shí)滿足才能夠接入SSL VPN系統(tǒng)��。如果需要幾種接入方式做備份接入選擇�,那么深信服創(chuàng)新性提出或組合����,對(duì)于以上幾種認(rèn)證方式進(jìn)行或組合���,只要通過(guò)一種主認(rèn)證方式即可接入到SSL VPN系統(tǒng)中。
多種認(rèn)證方式��、完善的認(rèn)證體系���,使得企業(yè)在選擇的時(shí)候��,可以根據(jù)相應(yīng)的安全級(jí)別���,對(duì)客戶端的認(rèn)證方式進(jìn)行組合,比較大限度地保證了接入用戶的合法性和企業(yè)內(nèi)網(wǎng)資源的高度安全�。
作為HTTPS服務(wù)器,所有SSL VPN都同樣面臨著DOS的威脅���。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護(hù)其安全����。而SANGFOR SSL VPN自身就是一個(gè)防火墻�����,集成了對(duì)DOS等攻擊的防御手段。
對(duì)于來(lái)自外部的DOS攻擊�����,其防御DOS的基本原理如下:在網(wǎng)絡(luò)層模擬應(yīng)用層對(duì)DOS攻擊的主機(jī)發(fā)起應(yīng)答����,由于DOS攻擊主機(jī)無(wú)法完成3次握手,因此可以識(shí)別出不完整的請(qǐng)求����,避免了把攻擊發(fā)送到SSL VPN應(yīng)用上。而對(duì)于真實(shí)的SYN�,在網(wǎng)絡(luò)層完成了SYN的3次握手后,再模擬請(qǐng)求的客戶端把SYN請(qǐng)求發(fā)送到應(yīng)用層�����。通過(guò)這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問(wèn)順利的通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器�����,而DOS攻擊則被拒之門外。
SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來(lái)自外網(wǎng)的DOS攻擊����,對(duì)于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊,SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御�����。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表�,若檢測(cè)到來(lái)自該列表之內(nèi)的計(jì)算機(jī)發(fā)起的連接請(qǐng)求,則認(rèn)為是合法用戶��;而若是來(lái)自該列表之外的IP地址�,則被認(rèn)為是攻擊��。這對(duì)于通常偽造源IP地址的DOS攻擊發(fā)起端來(lái)說(shuō)�,將是一個(gè)有效的防范措施。
IPSec VPN自身安全問(wèn)題�。
快速重傳-允許接收端通過(guò)使用 SACK TCP 選項(xiàng)指示**多四個(gè)接收數(shù)據(jù)的非鄰接塊。RFC 2883 定義用于確認(rèn)重復(fù)的數(shù)據(jù)包的 SACK
TCP
選項(xiàng)中的字段的額外使用�。發(fā)送端可以通過(guò)此操作確定何時(shí)重傳了不必要的段并調(diào)整其行為,以防今后不必要的重傳�。發(fā)送的重傳越少,整體吞吐量越合理��。
快速恢復(fù)-快速檢測(cè)出丟包,并能快速準(zhǔn)確重傳該包�����,對(duì)時(shí)延較大��,網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率��,通過(guò)更改快速恢復(fù)過(guò)程中發(fā)送端可以用來(lái)提高發(fā)送速率的方法�����,提供更大的吞吐量����。
慢啟動(dòng)-避免發(fā)送
TCP
對(duì)等方擁塞整個(gè)網(wǎng)絡(luò)的現(xiàn)有算法被稱為“慢啟動(dòng)”和“擁塞避免”。在連接**初發(fā)送數(shù)據(jù)和還原丟失段時(shí)�,這些算法可以增大發(fā)送窗口,即發(fā)送端可以發(fā)送的段數(shù)量�。對(duì)于每個(gè)接收到的確認(rèn)段或每個(gè)已經(jīng)確認(rèn)的段,“慢啟動(dòng)”算法會(huì)以一個(gè)完整的
TCP 段增大發(fā)送窗口�。對(duì)于每個(gè)已經(jīng)確認(rèn)的完整窗口的數(shù)據(jù),“擁塞避免”算法以一個(gè)完整的 TCP
段增大發(fā)送窗口�。利用這些算法增大發(fā)送窗口的速度就足以充分利用連接帶寬。
SSL VPN可以提供遠(yuǎn)程的安全接入����。IPSEC VPN哪個(gè)好
由于IPSec VPN對(duì)防火墻的安全策略的配置較為復(fù)雜����。華為VPN解決方案
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當(dāng)中SSL 協(xié)議(RFC2246)�。它是一種安全可靠的協(xié)議,包括以下三個(gè)協(xié)議:
握手協(xié)議:客戶和服務(wù)器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性���,有三個(gè)特點(diǎn) 身份鑒別���,至少對(duì)一方實(shí)現(xiàn)鑒別,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的�����,中間人不能夠知道 協(xié)商過(guò)程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性��,有兩個(gè)特點(diǎn) 保密性����,使用了對(duì)稱加密算法 完整性���,使用HMAC算法 用來(lái)封裝高層的協(xié)議
正是因?yàn)镾SL 協(xié)議本身的安全性也導(dǎo)致他被多方位的應(yīng)用到網(wǎng)上銀行�����。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過(guò)SSL協(xié)議進(jìn)行封裝���。
如果**將TCP 數(shù)據(jù)做了簡(jiǎn)單的封裝����,或者把IPSEC VPN做些修改�����,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口��,不能算是真正的SSL VPN��。鑒別這種偽SSL VPN�,可以使用標(biāo)準(zhǔn)的HTTP流量測(cè)試工具或者通過(guò)抓包工具。如果能進(jìn)行SSL 對(duì)接���,并進(jìn)行SSL負(fù)載測(cè)試的就是真正的SSL VPN����。但是普通客戶往往沒(méi)有這個(gè)測(cè)試條件���,因此建議在SSL VPN選型時(shí)購(gòu)買經(jīng)過(guò)國(guó)家密碼管理局批準(zhǔn)的產(chǎn)品型號(hào)�����,以及經(jīng)過(guò)公安部檢測(cè)通過(guò)并獲得VPN銷售許可證的產(chǎn)品����。
華為VPN解決方案
上海黑象信息科技有限公司致力于禮品、工藝品�����、飾品���,是一家貿(mào)易型公司��。公司業(yè)務(wù)涵蓋工藝禮品��,電子產(chǎn)品����,制作各類廣告等��,價(jià)格合理����,品質(zhì)有保證。公司將不斷增強(qiáng)企業(yè)重點(diǎn)競(jìng)爭(zhēng)力����,努力學(xué)習(xí)行業(yè)知識(shí),遵守行業(yè)規(guī)范�,植根于禮品、工藝品����、飾品行業(yè)的發(fā)展。黑象信息憑借創(chuàng)新的產(chǎn)品���、專業(yè)的服務(wù)�、眾多的成功案例積累起來(lái)的聲譽(yù)和口碑�����,讓企業(yè)發(fā)展再上新高���。