发布时间 : 星期三 文章VPN技术白皮书 - 图文更新完毕开始阅读84a99182a45177232e60a26b
深信服SSL VPN产品白皮书 文档密级:公开
SSL VPN安全网关提供了软键盘功能,用户在输入密码的时候可以使用界面上提供的软键盘,这样木马程序就无法采用截获用户键盘输入的方法来窃取密码了。为了进一步增加软键盘的安全性,深信服提供动态变换功能,即每次登陆的时候字母键和数字键跟上一次都是不同的,从而进一步保证密码的安全性。
3.1.12 会话超时控制功能
为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSL VPN内的机密信息,SANGFOR SSL VPN安全网关特别加入了不活动检测引擎。
当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?”若用户在该时间内仍未选择相应动作,则SANGFOR SSL VPN安全网关将自动注销,中断会话并重新返回登录界面。
3.1.13 全面的密码安全保障
对于采用在SSL VPN上建立的用户名和密码,深信服采用了多种机制保证密码的安全性。
一旦系统启用防密码暴力功能以后,用户连续输入密码错误次数达到一定的数量以后,系统会将该帐号锁定一段时间,防止密码被暴力猜解。对于被锁定的用户可以通过查看锁定用户在线列表来解除被锁定的用户,从而使其快速解冻。
面对大量的用户,管理员出于管理的方便可能针对每个用户设定了初始密码,但是出于密码的安全性考虑,必须提供一定的密码安全保障来保证密码的安全性。深信服提供强迫初次登陆修改密码,可以要求密码必须至少多少位,根据您的要求可以设定密码的最小长度,也可以设定密码必须包含数字、字母、特殊符号,从而保证密码的复杂度,但是不能要求密码与用户名相同、密码不能与旧密码相同。对于密码的管理,可以实现定时修改密码,密码过期前多少天提醒用户进行密码修改,通过上面一系列的措施保证用户的密码的安全性。
3.1.14 客户端安全检查从端点开始保障您的网络安全
在用户通过计算机浏览器打开SSL 登录界面时,SANGFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保
深信服科技版权所有 www.sangfor.com.cn 12
深信服SSL VPN产品白皮书 文档密级:公开
证SANGFOR SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。
SSL VPN客户端安全检查保证接入安全
3.1.15 强化的网络防护-VPN虚拟专线功能
虚拟专线指用户登录SSL VPN以后,和内部业务系统构成一条虚拟的专线,此时用户将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐患,确保内部业务系统的安全性。
3.1.16 零痕迹访问功能避免安全漏洞
SANGFOR SSL VPN在用户结束访问以后会自动清除Cookie、临时文件等遗留在客户
深信服科技版权所有 www.sangfor.com.cn 13
深信服SSL VPN产品白皮书 文档密级:公开
端计算机上的信息,实现“零痕迹”访问,避免安全隐患。
3.1.17 真正的SSL 协议加密传输
SSL VPN依托于内嵌在各种浏览器当中SSL 协议(RFC2246)。它是一种安全可靠的协议,包括以下三个协议:
握手协议:客户和服务器之间相互鉴别 -协商加密算法和密钥 -它提供连接安全性,有三个特点 身份鉴别,至少对一方实现鉴别,也可以是双向鉴别 协商得到的共享密钥是安全的,中间人不能够知道 协商过程是可靠的
记录协议:SSL记录协议建立在可靠的传输协议(如TCP)之上 它提供连接安全性,有两个特点 保密性,使用了对称加密算法 完整性,使用HMAC算法 用来封装高层的协议
警告协议:这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止
SSL 协议数据交互的过程如下:
正是因为SSL 协议本身的安全性也导致他被广泛的应用到网上银行。而真正的SSL VPN必须将IP层以上的数据都通过SSL协议进行封装。
如果仅仅将TCP 数据做了简单的封装,或者把IPSEC VPN做些修改,将数据转发到443端口,不能算是真正的SSL VPN。鉴别这种伪SSL VPN,可以使用标准的HTTP流量测试工具如Loadrunner,Web bench,Avalanche等或者通过抓包工具Wireshark、Sniffer。如果能进行SSL 对接,并进行SSL负载测试的就是真正的SSL VPN。但是普通客户往往没有这个测试条件,因此建议在SSL VPN选型时购买经过国家密码管理局批准的产品型号,以及经过公安部检测通过并获得VPN销售许可证的产品。
深信服科技版权所有 www.sangfor.com.cn 14
深信服SSL VPN产品白皮书 文档密级:公开
3.1.18 支持国产商用密码标准
数据加密是信息安全体系中重要的安全保障环节,随着科技的不断发展,常用的商业密码算法(如DES,RSA,MD5等)已确认可被破解。密码技术存在短板,安全设备就形同虚设,只有采用相对安全的密码算法,才实现真正的网络安全。因此,国家密码管理局出台了新的密码算法(SM1,SM2,SM3,SM4)并要求相关单位选用国产商用密码标准。深信服SSL VPN支持常见的国际通用商用密码算法,同时也支持国密局规定的国产商用密码标准,全面保障用户的业务安全。
3.1.19 访问权限控制功能提供最细致的权限管理
SANGFOR SSL VPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
SANGFOR SSL VPN内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证,可以根据用户、用户组、公用账号、私有账号等多种方式对用户进行管理。管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式,为远程接入用户分配细致的访问权限控制。
同时,SANGFOR SSL VPN集成了用户并发限制、公用账号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。并且,在SSL VPN网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
3.1.20 完善的日志系统
SANGFOR SSL VPN网关提供了调试、信息、告警、错误四个级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。
由于VPN网关的存储空间有限,SANGFOR SSL VPN还提供了独立的日志中心。通过第三方的日志中心,管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数,用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。
深信服科技版权所有 www.sangfor.com.cn 15