作為HTTPS服務器,所有SSL VPN都同樣面臨著DOS的威脅,。所以大多數(shù)SSL VPN設備都需要前置防火墻保護其安全,。而SANGFOR SSL VPN自身就是一個防火墻,集成了對DOS等攻擊的防御手段,。
對于來自外部的DOS攻擊,,其防御DOS的基本原理如下:在網(wǎng)絡層模擬應用層對DOS攻擊的主機發(fā)起應答,,由于DOS攻擊主機無法完成3次握手,因此可以識別出不完整的請求,,避免了把攻擊發(fā)送到SSL VPN應用上,。而對于真實的SYN,在網(wǎng)絡層完成了SYN的3次握手后,,再模擬請求的客戶端把SYN請求發(fā)送到應用層,。通過這種SYN代理的方法就使得正常的SSL VPN遠程訪問順利的通過防火墻到達內(nèi)部服務器,而DOS攻擊則被拒之門外,。
SANGFOR SSL VPN安全網(wǎng)關不僅可以防御來自外網(wǎng)的DOS攻擊,,對于內(nèi)網(wǎng)計算機發(fā)起的DOS攻擊,SSL VPN安全網(wǎng)關也可以進行防御,。管理員可以在SANGFOR SSL VPN安全網(wǎng)關內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表,,若檢測到來自該列表之內(nèi)的計算機發(fā)起的連接請求,則認為是合法用戶,;而若是來自該列表之外的IP地址,,則被認為是攻擊。這對于通常偽造源IP地址的DOS攻擊發(fā)起端來說,,將是一個有效的防范措施,。 但SSL VPN并不能完全取代IPSec VPN。普陀區(qū)原則VPN報價方案
簡單易用的用戶體驗
更兼容: 兼容市場主流PC操作系統(tǒng)接入 | 兼容IE,、Firefox,、 Opera、Chrome等多種瀏覽器 | 適合主流移動終端設備,,提供更佳用戶體驗|IPV6
更簡潔: 輕量級SSL VPN登錄插件 | 用戶登錄操作簡單 | SSL VPN 運維效率提升
更快速: 多重傳輸加速機制 | 用戶訪問體驗保障 | 帶寬成本降低
應用場景
企業(yè)核心業(yè)務安全接入場景
存在問題:
業(yè)務系統(tǒng)身份認證方式易被仿造,;權限限制不明確,容易被攻擊者發(fā)起跳板攻擊:
訪問業(yè)務系統(tǒng)時,,終端同時訪問互聯(lián)網(wǎng),,引發(fā)泄密問題
解決方案:
多種認證組合方式,增加身份驗證的安全性,。
嚴格限定系統(tǒng)訪問權限,。
使用SSL VPN專線功能,訪問內(nèi)部業(yè)務時,,同一個終端無法訪問互聯(lián)網(wǎng),,避免泄密事件發(fā)生及攻擊者利用。
青浦區(qū)口碑好的VPN管理系統(tǒng)使用VPN技術來構建安全的業(yè)務網(wǎng)絡,。
SANGFOR SSL VPN網(wǎng)關技術
豐富的認證方式
在SANGFOR SSL VPN安全網(wǎng)關支持LocalDB,、LDAP/AD、Radius,、第三方CA,、自建CA,、Dkey、短信認證(短信網(wǎng)關),、企業(yè)微信,、釘釘、硬件特征碼,、動態(tài)令牌多種安全認證方式,比較大限度地保證了接入用戶的合法性,。
混合認證保護機制
單一的認證方式易被竊取,,為了進一步提高身份認證的安全性,深信服創(chuàng)新性提出混合認證,,針對上面提到的用戶名和密碼,、CA數(shù)字證書、LDAP/AD,、Radius,、Dkey、硬件特征碼,、短信認證,、動態(tài)令牌認證方式可以進行五個因素以上的捆綁認證,這幾種認證方式必須同時滿足才能夠接入SSL VPN系統(tǒng),。如果需要幾種接入方式做備份接入選擇,,那么深信服創(chuàng)新性提出或組合,對于以上幾種認證方式進行或組合,,只要通過一種主認證方式即可接入到SSL VPN系統(tǒng)中,。
多種認證方式、完善的認證體系,,使得企業(yè)在選擇的時候,,可以根據(jù)相應的安全級別,對客戶端的認證方式進行組合,,比較大限度地保證了接入用戶的合法性和企業(yè)內(nèi)網(wǎng)資源的高度安全,。
動態(tài)身份認證提供多重保證
當前間諜軟件、木馬等安全威脅日益嚴重,,傳統(tǒng)的基于口令的認證方式容易被竊取,,一旦泄漏將造成企業(yè)數(shù)據(jù)的安全問題。深信服科技采用了多種動態(tài)身份認證系統(tǒng)來消除該問題,,保證了用戶使用SSL VPN訪問總部資源時的安全性,。
? DKEY認證
SANGFOR SSL VPN安全網(wǎng)關采用SSL協(xié)議加密建立安全的**加密通道,除了使用標準SSL協(xié)議內(nèi)置的RC4等加密算法和RSA128bit簽名算法來保證數(shù)據(jù)的安全性之外,,還使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證,,并使用PIN碼保護DKEY的安全,。這種USB DKEY可以同時支持兩套VPN(IPSec和SSL)系統(tǒng),安全方便,。
? 免驅動USBDKey
針對一般的USBDKEY在使用的過程中跟U盤一樣需要安裝該USB Key的驅動,,但是往往驅動的兼容性問題導致無法正常登錄SSL VPN,導致業(yè)務無法開展,。針對這樣的情況,,深信服提出免驅動DKey認證,當您使用DKey進行登錄的時候,,不需要安裝DKey也能夠正常登錄SSL VPN,,無需擔心驅動的兼容新問題,提高業(yè)務訪問效率,。
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡的安全控制問題,。
與其他第三方認證系統(tǒng)結合,保護前期投資
從整個業(yè)界范圍來看,,認證系統(tǒng)多種多樣,,采用的數(shù)據(jù)格式也不禁相同,為了保護前提的投資,,需要跟原有的認證系統(tǒng)進行結合,,但是作為SSL VPN來說不能完美對于所有的認證系統(tǒng)都能進行充分的結合,深信服提出了通過深信服自己的Radius服務器作為中轉,,從而實現(xiàn)與其他認證系統(tǒng)的完美結合,,而且SANGFOR Radius強大的擴展性可以滿足您與第三方進行對接的要求,解決了客戶的問題信息傳輸安全性的問題,。
法避免在每個終端上安裝客戶端的麻煩,。普陀區(qū)原則VPN業(yè)務
單一的認證方式易被竊取,為了進一步提高身份認證的安全性,,深信服創(chuàng)新性提出混合認證,。普陀區(qū)原則VPN報價方案
開放數(shù)據(jù)接口提供二次開發(fā)
通過SSL VPN已經(jīng)建立了一整套完善的認證體系,對于這樣的完整體系需要引入到第三方的系統(tǒng)之上繼續(xù)做認證,,針對于這樣的情況深信服通過開放SSL VPN中的部分數(shù)據(jù)庫信息,,第三方可以調(diào)取其中的數(shù)據(jù)信息,通過這些信息可以根據(jù)實際的需要進行二次開發(fā),,從而跟更多的應用系統(tǒng)結合,。
通過SSL VPN已經(jīng)建立了一整套完善的認證體系,對于這樣的完整體系需要引入到第三方的系統(tǒng)之上繼續(xù)做認證,,針對于這樣的情況深信服通過開放SSL VPN中的部分數(shù)據(jù)庫信息,,第三方可以調(diào)取其中的數(shù)據(jù)信息,通過這些信息可以根據(jù)實際的需要進行二次開發(fā),,從而跟更多的應用系統(tǒng)結合,。
普陀區(qū)原則VPN報價方案
上海黑象信息科技有限公司專注技術創(chuàng)新和產(chǎn)品研發(fā),,發(fā)展規(guī)模團隊不斷壯大。公司目前擁有專業(yè)的技術員工,,為員工提供廣闊的發(fā)展平臺與成長空間,,為客戶提供高質(zhì)的產(chǎn)品服務,深受員工與客戶好評,。公司業(yè)務范圍主要包括:技術開發(fā),,技術轉讓,技術咨詢,,技術服務等,。公司奉行顧客至上、質(zhì)量為本的經(jīng)營宗旨,,深受客戶好評。公司深耕技術開發(fā),,技術轉讓,,技術咨詢,技術服務,,正積蓄著更大的能量,,向更廣闊的空間、更寬泛的領域拓展,。