硬件绑定(HardCA)
传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺点����,SANGFOR SSL VPN使用了深信服公司的特色技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证��。该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定��,即便用户账号意外泄露���,由于非法用户无法使用与此账号事先绑定的那台计算机�����,因而不会造成非法用户接入。
动态令牌认证
动态令牌是技术领先的一种双因素强身份认证体系��,采用用户PIN码+动态令牌码构成完整用户口令��,令牌码由令牌内置种子和当前时间通过伪随机算法生成����,每分钟改变一次,而且是一次性密码(密码使用后立即失效����,不能重复使用)����。由于实际上的安全问题都和密码有关�,破解 密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证��。
SSL VPN可以立即安装�、立即生效。杨浦区信息VPN软件
与口袋助理APP结合认证
SSL VPN短信认证通常需要与企业短信平台进行集成,SSL VPN短信认证?��?橹С钟隚SM/CDMA短信或短信网关联动,通过下发实时短信验证码的形式,验证用户信息�����,提高用户登录SSL VPN身份验证安全��。
传统短信认证方式存在的问题:
费用高
使用***方式,需要购买硬件***����,并支付短信费用
使用短信网关方式����,同样需要支付短信费用,甚至需要购买短信代理平台
通过上面分析我们可以得出����,无论是***还是短信网关方式�����,都需要支付短信费,而且费用不低��。以一个公司平均每天1000次登录为例计算��,一条短信费大致为8分�����,那么一年的投入是:1000*0.08*365=29200元
如果使用包月套餐,目前的市场价格大致为2000元/月包30000条短信����,超出部分按一条1毛钱另外计费�。那么一年的投入是:2000*12=24000元��。
由此可见�,客户每年在短信费上投入的成本着实不少。而且用户越多��,使用时间越长�,成本越高����。例如使用短信网关5年,投入成本将达10万以上。
徐汇区企业VPN承诺守信使用VPN技术来构建安全的业务网络����。
对网络的支持问题
传统的IPSec VPN在网络适应性上都存在一些问题����,虽然一些领导厂商已经或正在解决网络兼容性问题���,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口)���,因此客户端的网络适应性还是不能做到百分之百完美�。
移动设备支持问题
随着未来通讯技术的发展,移动终端的种类将会越来越多�����,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长�,这几乎是不可能的���。
因此SSL VPN技术就孕育而生了�����,SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入����,而无需安装或设定客户端软件�。SSL在Web的易用性和安全性方面架起了一座桥梁��。目前,对SSL VPN公认的三大好处是:首先是它的简单性,它不需要复杂配置,可以立即安装�、立即生效���;第二个好处是不需要安装客户端���,直接利用浏览器中内嵌的SSL协议就行����;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
作为HTTPS服务器,所有SSL VPN都同样面临着DOS的威胁�����。所以大多数SSL VPN设备都需要前置防火墙?���;て浒踩6鳶ANGFOR SSL VPN自身就是一个防火墙,集成了对DOS等攻击的防御手段�����。
对于来自外部的DOS攻击,其防御DOS的基本原理如下:在网络层模拟应用层对DOS攻击的主机发起应答,由于DOS攻击主机无法完成3次握手���,因此可以识别出不完整的请求,避免了把攻击发送到SSL VPN应用上。而对于真实的SYN��,在网络层完成了SYN的3次握手后�����,再模拟请求的客户端把SYN请求发送到应用层�����。通过这种SYN代理的方法就使得正常的SSL VPN远程访问顺利的通过防火墙到达内部服务器���,而DOS攻击则被拒之门外��。
SANGFOR SSL VPN安全网关不仅可以防御来自外网的DOS攻击�,对于内网计算机发起的DOS攻击�,SSL VPN安全网关也可以进行防御。管理员可以在SANGFOR SSL VPN安全网关内增添内网网段列表��,若检测到来自该列表之内的计算机发起的连接请求���,则认为是合法用户�����;而若是来自该列表之外的IP地址��,则被认为是攻击。这对于通常伪造源IP地址的DOS攻击发起端来说����,将是一个有效的防范措施�����。
越来越多外部人员需要访问内部的应用系统�����。
访问权限控制功能提供最细致的权限管理
SANGFOR SSL VPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分�����。通过给不同用户设置不同角色来分配访问授权���,一个用户可以赋予多个角色以适合各种复杂的组织结构���?��;诮巧姆梦氏拗莆笠低缣峁┝私锨康陌踩?����。通过行为引擎,管理员还可以查看远程接入用户的所有访问记录����。
SANGFOR SSL VPN内置有多种用户和资源管理方式���,可以自建用户���,也可以从第三方导入���,支持LDAP/AD��、RADIUS等第三方认证���,可以根据用户�����、用户组����、公用账号、私有账号等多种方式对用户进行管理。管理员可根据角色、Web资源�����、C/S资源�����、IP资源等权限划分方式���,为远程接入用户分配细致的访问权限控制�。
同时���,SANGFOR SSL VPN集成了用户并发限制��、公用账号并发限制和用户流量限制等多种方式��,保证了用户合理地使用VPN资源。并且,在SSL VPN网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中�,可以实时地监控用户的接入情况����,观察整个VPN系统的运行状况�����。
由于IPSec VPN对防火墙的安全策略的配置较为复杂���。徐汇区企业VPN承诺守信
在每个远程接入的终端都需要安装相应的IPSec客户端���。杨浦区信息VPN软件
快速重传-允许接收端通过使用 SACK TCP 选项指示最多四个接收数据的非邻接块����。RFC 2883 定义用于确认重复的数据包的 SACK
TCP
选项中的字段的额外使用���。发送端可以通过此操作确定何时重传了不必要的段并调整其行为�����,以防今后不必要的重传���。发送的重传越少����,整体吞吐量越合理。
快速恢复-快速检测出丢包���,并能快速准确重传该包,对时延较大��,网络状况较差的情况能够有效的提升带宽利用率���,通过更改快速恢复过程中发送端可以用来提高发送速率的方法���,提供更大的吞吐量�。
慢启动-避免发送
TCP
对等方拥塞整个网络的现有算法被称为“慢启动”和“拥塞避免”。在连接最初发送数据和还原丢失段时,这些算法可以增大发送窗口����,即发送端可以发送的段数量。对于每个接收到的确认段或每个已经确认的段��,“慢启动”算法会以一个完整的
TCP 段增大发送窗口���。对于每个已经确认的完整窗口的数据�����,“拥塞避免”算法以一个完整的 TCP
段增大发送窗口���。利用这些算法增大发送窗口的速度就足以充分利用连接带宽�����。
杨浦区信息VPN软件
上海黑象信息科技有限公司致力于商务服务,是一家其他型公司�����。公司业务分为技术开发��,技术转让����,技术咨询���,技术服务等�����,目前不断进行创新和服务改进��,为客户提供良好的产品和服务。公司秉持诚信为本的经营理念����,在商务服务深耕多年�,以技术为先导,以自主产品为重点�,发挥人才优势�,打造商务服务良好品牌�。在社会各界的鼎力支持下,持续创新�����,不断铸造高品质服务体验���,为客户成功提供坚实有力的支持�。