深信服VPN技术方案 - 图文

SANGFOR SSL VPN V6.1方案 文档密级：公开

SANGFOR SSL VPN

V6.1方案

深信服科技有限公司 2014年6月7日

深信服科技版权所有 www.sangfor.com.cn

i

SANGFOR SSL VPN V6.1方案 文档密级：公开

目录

第1章

1.1 1.2

1.2.1 1.2.2 1.2.3 1.2.4 1.2.5

第2章 第3章

3.1 3.2 3.3 3.4 3.5 第4章

4.1 4.2 第5章

5.1

5.1.1

5.1.1.1 5.1.1.2 5.1.1.3 5.1.1.4 5.1.1.5 5.1.1.6

需求概述..................................................................................... 1 背景介绍..................................................................................... 1 需求分析..................................................................................... 1 安全性问题................................................................................. 2 远程访问速度性问题................................................................. 3 使用者终端易用性问题............................................................. 4 业务稳定性问题......................................................................... 4 整网设备管理便利性问题......................................................... 4 VPN技术介绍............................................................................ 5 方案设计原则............................................................................. 6 安全性原则................................................................................. 6 高速性原则................................................................................. 6 易用性原则................................................................................. 6 稳定性原则................................................................................. 6 合理、便利的管理..................................................................... 7 整体方案设计............................................................................. 7 深信服SSL VPN解决方案 ....................................................... 7 产品选型................................................................................... 10 方案技术特点........................................................................... 11 更安全的SSL VPN .................................................................. 11 身份认证安全........................................................................... 12

多种方式混合认证............................................................ 12 USB KEY认证.................................................................. 13 动态令牌认证.................................................................... 13 短信认证............................................................................ 13 硬件绑定（HardCA） ...................................................... 15 CA认证 ............................................................................. 16

深信服科技版权所有 www.sangfor.com.cn ii

SANGFOR SSL VPN V6.1方案 文档密级：公开

5.1.1.7 5.1.1.8 5.1.1.9 5.1.2

5.1.2.1 5.1.2.2 5.1.2.3 5.1.2.4 5.1.2.5 5.1.2.6 5.1.3 5.1.4

5.1.4.1 5.1.4.2 5.1.4.3 5.1.5

5.1.5.1 5.1.5.2 5.1.5.3 5.1.6 5.1.7 5.2

5.2.1 5.2.2 5.2.3 5.2.4

5.2.4.1 5.2.4.2 5.2.5

LDAP认证、Radius认证 ................................................ 17 强密码保护功能................................................................ 19 主从帐号绑定.................................................................... 21 终端访问安全........................................................................... 23

沙盒技术............................................................................ 23 客户端安全检查................................................................ 25 防中间人攻击检测............................................................ 27 用户超时控制功能............................................................ 28 VPN专线........................................................................... 29 客户端零痕迹清除功能.................................................... 30 数据传输安全........................................................................... 30 应用权限安全........................................................................... 30

基于角色的应用访问授权................................................ 30 URL细粒度授权............................................................... 31 服务器区结构隐藏............................................................ 32 远程应用发布数据安全........................................................... 34

终端服务器权限控制........................................................ 34 业务数据安全防泄密保障................................................ 35 可对虚拟终端服务器运行状态监控................................ 35 应用访问审计安全................................................................... 35 集成企业级状态防火墙........................................................... 39 更快速的SSL VPN .................................................................. 40 远程应用发布SRAP协议....................................................... 40 多线路智能选路....................................................................... 41 HTP快速传输协议 .................................................................. 43 数据加速技术........................................................................... 44

基于码流特征的数据优化................................................ 44 高强度压缩技术................................................................ 46 应用加速................................................................................... 47

深信服科技版权所有 www.sangfor.com.cn iii

SANGFOR SSL VPN V6.1方案 文档密级：公开

5.2.5.1 5.2.5.2

5.3

5.3.1 5.3.2 5.3.3 5.3.4

5.3.4.1 5.3.4.2 5.3.4.3 5.3.4.4 5.3.4.5 5.3.4.6 5.3.5

5.3.5.1 5.3.5.2 5.3.5.3 5.3.6 5.3.7 5.3.8 5.3.9 5.3.10 5.3.11 5.3.12 5.3.13 5.3.14 5.3.15 5.4

5.4.1

WEB/IP应用加速 ............................................................. 47 资源负载均衡.................................................................... 48 更易用的SSL VPN .................................................................. 49 SSL/IPSec VPN 一体化选择 .................................................. 49 高平台兼容性、应用支持性................................................... 50 虚拟门户................................................................................... 51 远程应用发布........................................................................... 52

移动终端结合多点触摸操作技术.................................... 52 独特鼠标模拟、键盘模拟技术........................................ 53 并发多任务会话支持........................................................ 53 支持虚拟打印机映射........................................................ 54 输入法映射技术................................................................ 54 单点登录功能.................................................................... 55 快捷启动 .................................................................................. 55

应用系统单点登录功能（SSO） .................................... 55 C/S应用链接启动............................................................. 56 SSL VPN快捷启动 ........................................................... 57 基于Web的文件共享 ............................................................. 59 及时消息发送........................................................................... 60 系统托盘................................................................................... 60 支持内网DNS、外网DNS..................................................... 61 多虚拟IP池支持 ..................................................................... 61 默认服务页面........................................................................... 62 全网资源添加........................................................................... 63 页面定制................................................................................... 63 匿名登录功能........................................................................... 64 智能递推................................................................................... 65 更稳定的SSL VPN .................................................................. 67 Webagent技术实现动态IP组网 ............................................ 67

深信服科技版权所有 www.sangfor.com.cn iv

SANGFOR SSL VPN V6.1方案 文档密级：公开

5.4.2 5.4.3

5.4.3.1 5.4.3.2 多线路备份............................................................................... 67 跨平台兼容性........................................................................... 68

智能终端与Windows无缝结合 ...................................... 68 全面支持主流移动操作系统............................................ 68 5.4.4 5.5

5.5.1 5.5.2 5.5.3

第6章

6.1 6.2 6.3 6.4 第7章

7.1 7.2 7.3 7.4 7.5 第8章

8.1 8.2 8.3 第9章

9.1 9.2 9.3 9.4

深信服科技版权所有集群技术................................................................................... 68 高管理性的SSL VPN .............................................................. 69 流量管理和会话限制............................................................... 69 用户分级管理........................................................................... 70 管理员分级管理....................................................................... 71 方案价值................................................................................... 73 安全、稳定的业务发布........................................................... 73 快速访问提升工作效率........................................................... 73 便捷的用户使用体验，降低管理工作量............................... 73 高性价比组网、扩容方便....................................................... 73 典型客户案例........................................................................... 74 中国人民银行总行选择深信服SSL VPN .............................. 74 中国平安集团应用深信服远程应用发布EasyConnect ........ 76 中国航天科技集团应用深信服VPN组网方案..................... 77 中国海油构建分布式VPN远程访问系统............................. 79 更多成功客户列表................................................................... 82 深信服售后服务体系............................................................... 83 售后服务体系概述................................................................... 83 技术支持及服务内容............................................................... 87 专业的CTI中心，完善的用户档案系统 .............................. 87 深信服科技介绍....................................................................... 88 关于深信服............................................................................... 88 网络安全产品........................................................................... 89 网络优化产品........................................................................... 90 深信服获得的荣誉................................................................... 91

www.sangfor.com.cn v

SANGFOR SSL VPN V6.1方案 文档密级：公开

第1章 需求概述

1.1 背景介绍

随着现代信息技术的发展，越来越多的组织单位将日常办公平台逐渐迁移到网络平台、统一应用平台之上。办公网络化、应用集中化的变革带来了资源全局统一调配、业务流程化、办公规范化的巨大优势。

2012年，约有20％的企业员工将自己的iPhone、iPad或Android设备带入工作场所，处理工作相关活动。IT消费化带来了BYOD新风尚，实现了Anydevice的真正自由。现在，BYOD已经不是一个趋势的概念，她正以不可阻挡之势改变人们的工作方式，成为办公手段的一个必要补充。我们可以利用更多的时间碎片收发电邮、跟踪销售机会点，将企业的信息化管理推向前端，使客户的界面变得更扁平化，提升决策效率和响应速度。然而，BYOD的开放性容易引入各种安全和管理风险，您的企业做好了应对BYOD挑战的准备吗？

目前，单位已经建立起一套统一的应用平台，包括（添加客户现有应用情况、网络现状）业务系统如MIS系统、生产管理系统、营销系统等，以及日常办公系统OA系统、财务系统、邮件系统等。单位的信息网络是以信息中心机房为中心，所有应用系统服务器都安装在信息中心机房内的专属服务器区。各分支单位采用专线或者公网线路与总部互联进行正常的办公。为业务的进一步的快速发展奠定了坚实的基础。自应用平台运行以来，内部办公人员通过网络可以迅速地获取信息，大大加快了整体的办公效率，信息化效益得到彰显。

1.2 需求分析

随着业务的不断发展，IT运用与业务结合的不断深入，我们发现目前的网络状况已经不能很好的满足业务发展的需要，有如下问题需要解决：

网上业务的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。

深信服科技版权所有 www.sangfor.com.cn

1

SANGFOR SSL VPN V6.1方案 文档密级：公开

1.2.1 安全性问题

结合客户的网络状况，我们看到有以下几个方面的问题亟需解决。 1、身份认证安全

现有采用的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。

2.终端访问安全

一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。为了保证整体安全防御水平，就需要对接入的终端主机的安全水平采取一定的控制措施。

例如金融交易系统等包含重要数据的业务系统，当用户通过远程接入的方式访问到这些系统时，由于系统交互、缓存等原因往往会在终端主机上保存部分应用数据，容易导致重要数据人为或是无意的泄漏，存在重大的信息安全隐患。如何让用户能方便快捷的远程办公的同时保障重要应用系统、核心数据的不外泄，是IT管理人员需要考虑的一个非常重要的方面。

3.权限划分安全

总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。所以，对于不同的应用系统需要对访问人员做好细致的访问权限控制，

4.应用访问审计安全

为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。

5.业务数据迁移智能终端访问安全性

深信服科技版权所有 www.sangfor.com.cn

2

SANGFOR SSL VPN V6.1方案 文档密级：公开

随着将业务系统迁移到BYOD终端，业务数据呈现于移动智能终端设备上，如何避免重要的业务数据随着智能终端丢失而造成泄密的风险，如何保障业务数据通过BYOD访问安全性，需要对业务系统迁移至智能终端访问做必要的安全措施。

1.2.2 远程访问速度性问题

影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问速度将大大影响用户的访问体验及办公效率，网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。

1.跨运营商访问问题

国内固网运营商为南电信北网通的格局，跨运营商访问时往往存在较为严重的丢包现象，一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。尤其是对于遍布各地远程接入用户而言，线路的运营商环境也多种多样，需要寻求一种方式解决跨运营商高丢包导致的速度问题。

2.高丢包、高延时访问问题

无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢，严重影响了远程办公的效率。如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率？

3.手持移动终端访问问题

许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公，但手持移动终端的受3G信号的制约，其访问速度往往不如有线网络。对于手持移动终端使用的最多的是B/S架构的应用，但现在B/S架构往往是针对电脑进行设计的，一旦使用PDA、智能手机访问，往往出现页面变形、图像过大等现象，影响用户体验的同时，过大的页面冗余数据量也拖慢了用户的访问速度。

4.大量重复冗余数据量

应用系统的使用往往存在大量的冗余数据，如同样的页面、文件中的相同的元素、系统每次交互的相同数据，这些冗余数据量的传输占用了大量的带宽资源，拖慢应用响应速度，影响了工作效率。

5.微软RDP协议本身缺陷

随着BYOD的流行，越来越多的企业为了将业务迁移至智能终，采用远程应用发布的

深信服科技版权所有 www.sangfor.com.cn 3

SANGFOR SSL VPN V6.1方案 文档密级：公开

形式，其核心是基于微软RDP远程桌面协议，而RDP桌面协议本身固有的协议，以及对带宽大小的要求，导致智能终端通过3G进行移动办公时访问速度没有保障，如何避免采用远程应用发布时的RDP协议访问速度问题成为企业3A办公的瓶颈，也成为企业需要重点考虑的问题。

1.2.3 使用者终端易用性问题

在考虑到安全接入方式的时候，尤其需要考虑到终端易用性问题。需要接入到总部应用系统访问的人员普遍的IT水平都不高，复杂的软件端安装、参数调配都是非常不合适的。同时，接入应用系统的核心为办公，就需要提供一种最便利、最简单的接入方式，最大的方便接入人员的办公。

在一体化办公平台有往往需要使用到多个应用系统进行办公，远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公，效率低下的同时，还容易混淆。

企业业务系统迁移至智能终端时，企业为智能终端系统Android、iOS开发业务系统APP，能否将VPN SDK包直接嵌入业务系统中，避免拨号连接VPN，再次启动APP，提高用户办公效率。

1.2.4 业务稳定性问题

远程发布的业务系统将直接关系到组织的业务能否正常运营、工作能否正常开展的问题，需要保证高可靠、高可用的稳定性。而VPN作为发布业务系统的基础平台，同样需要保证高稳定的运行以支撑整个业务的持续稳定。

1.2.5 整网设备管理便利性问题

需要接入到总部的部分远程分支没有配备专门的IT管理人员，在构建VPN网络时需要考虑到客户端维护成本问题，若是在分支端采用设备架设的方式则必须派专员去对设备进行维护，造成管理成本的上升。

组织的规模较为庞大，处于地域、组织架构等管理需要，面对不同的用户组需要由不同的管理员进行管理，保障信息安全的同时亦可提高管理效率。

深信服科技版权所有 www.sangfor.com.cn 4

SANGFOR SSL VPN V6.1方案 文档密级：公开

第2章 VPN技术介绍

VPN（Virtual Private Network）是虚拟专用网的简称，虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术，实现低成本、高安全地解决数据传输及应用发布平台。VPN 架构中采用了多种安全机制，如身份认证技术（Authentication）、加解密技术（Encryption）、密钥管理技术、隧道技术（Tunneling）等。通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。

SSL VPN是VPN的主流技术之一，即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于IPSec VPN等其他传统的VPN技术而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，非常适用于远程移动办公、无专门管理人员的分支接入等场景。而从OSI七层模型来看，SSL VPN是基于第七层应用层的VPN技术，相对于传统的IPSec VPN（三层网络层）、L2TP（二层数据链路层）、PPTP（二层数据链路层）等VPN连接方式，SSL VPN在对应用权限的划分上可做得更为细致，数据传递机制也不是简单的封装转发，从整体业务发布安全性的角度上来说安全系数更高。同时，基于SSL VPN部署的灵活性、使用的灵活性等特质，从安全防护方面，SSL VPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案，为用户提供多方面价值。

高性价比组网、安全业务发布、便利的终端使用、更多的价值体现，综合这几方面优势，我们推荐采用SSL VPN的方式构建整个综合组网方案。

深信服科技版权所有 www.sangfor.com.cn 5

SANGFOR SSL VPN V6.1方案 文档密级：公开

第3章 方案设计原则

3.1 安全性原则

VPN网络的运行基础是Internet，所有的数据也必须经过Internet进行交换，而这些数据都是组织机构的私密信息，不允许为无关人员所知。同时VPN网络是在开放的Internet平台之上构建的虚拟网络，也必须保证没有获得授权的用户无法接入VPN网络。

综合考虑用户的具体应用和需求，VPN网络的安全性有五层含义：一是用户身份的安全；二是接入终端的安全；三是数据传输的安全；四是权限访问安全；五是审计的安全；六是智能终端访问业务系统数据安全性，六大安全全面保障VPN的安全性。

3.2 高速性原则

远程办公最大的制约因素就是速度方面的问题，磕磕绊绊的访问速度大大拖滞了员工的办公效率。网络速度低下的原因可分为以下几点：跨运营商访问、传输数据量冗余、高丢包高延时的恶劣网络环境、手持移动终端的无线访问。而从优化的层次来看，可分为线路、传输协议、数据、应用四个层次。所以在设计接入方案的时候就需要从这四个层次入手解决远程办公速度低下的问题。

3.3 易用性原则

对于终端用户而言，如何保证VPN使用的简单易用是非常重要的一个方面。终端用户普遍IT水平不高，其在使用VPN最核心的需求是为了接入到总部内网进行远程办公，在其接入和办公的过程中就需要最大程度的简化其复杂度，避免繁杂的客户端配置及操作，最大程度的提高用户的办公效率，从另一方面也大大降低了网络管理人员对整个VPN客户端维护工作量。

3.4 稳定性原则

VPN支撑着整个组织的应用远程发布，分支机构及移动办公人员都需要依靠VPN网络所承载的办公平台进行日常的办公和事物的紧急处理。一旦VPN网络出现故障，将直接影响到其上所有人员的正常办公，严重的甚至将导致业务的中断酿成重大的网络事故，造成的损失将难以估量。所以，对于VPN这张基础承载网络如何保持长时间高稳定的运行显得

深信服科技版权所有 www.sangfor.com.cn

6

SANGFOR SSL VPN V6.1方案 文档密级：公开

尤为的重要。在方案设计中，将充分的考虑到整个网络、业务的稳定性问题。

3.5 合理、便利的管理

从IT部门工作的角度出发，除了需要保证应用的发布安全、用户的使用方便快捷、网络的稳定性之外，还需要考虑到网络管理的合理化，保证网络管理的有序性、安全性、便利性，提高管理效率，降低管理风险。

第4章 整体方案设计

4.1 深信服SSL VPN解决方案

结合实际网络及应用情况，我们推荐采用深信服SSL VPN设备进行全网组网/移动办公，

业务系统（OA/ERP等）服务器虚拟终端服务器SiEasyConnect远程应用发布深信服SSL VPN集团总部IPSec VPN隧道SSL VPN隧道分公司深信服VPN移动办公智能终端方案说明：

在核心交换上以单臂方式部署一台深信服VPN-2050 SSL VPN，内网服务器区应用系

深信服科技版权所有 www.sangfor.com.cn

7

SANGFOR SSL VPN V6.1方案 文档密级：公开

统的安全发布；与此同时内网部署终端应用服务器，通过深信服EasyConnect将需要通过智能终端访问的业务发布出去。

应用平台移动办公

采用SSL VPN对应用进行安全发布，避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时，可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立，如同登录网银、邮箱一般符合日常的网络使用习惯，容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一，现今网上银行基本都采用SSL协议进行数据传输保护，对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密，安全性有保障。

? 应用系统安全加固

在系统安全加固方面，采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合，多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。

由于登录SSL VPN的身份已通过多重认证的确认，而后又进行指定应用账号访问，即可保障登录应用系统的人员的身份。

? 专网内隧道逻辑隔离，构建统一应用平台

对于已经建立专线组网的分支，将应用系统以SSL VPN资源的方式进行，进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭，但分支用户登录SSL VPN之后，在其资源列表界面将会显示该用户权限下可访问的应用系统，用户可直接点击其上的链接进行快速访问。同时，可针对这些应用系统进行单点登录设置，点击链接即可自动通过应用本身的认证，可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发，对于用户权限外的应用，SSL VPN将自动阻断其连接，防止恶意盗链。

? 服务器区隔离保护

将深信服SSL VPN设备以单臂方式部署，通过配置使数据流经由SSL VPN后走向内网服务器区，对办公网与服务器区这两部不同安全级别的区域进行隔离。由于SSL VPN设备

深信服科技版权所有 www.sangfor.com.cn 8

SANGFOR SSL VPN V6.1方案 文档密级：公开

对外只开放443端口，从而可屏蔽掉其他端口的攻击。SSL VPN的数据流处理方式可隐藏内网服务器区结构，并对服务器访问的IP、域名进行伪装。SSL VPN在进行用户对服务器区发起的访问时，采用SSL VPN登录认证、细粒度应用访问授权、传输数据加密，从数据安全的角度提供隔离保护。

? 远程应用发布EasyConnect

深信服EasyConnect远程应用发布解决方案通过SSL VPN和企业内网部署的终端服务器，将企业应用程序界面用图形的方式呈现于智能终端之上。在部署过程中，无需对现网结构和应用程序做任何改变，轻松实现跨平台访问，解决企业用户通过iPhone、iPad、Android等智能终端访问的问题，实现业务数据快速迁移，同时保障业务系统数据不落地，存储在终端服务器，同时根据本地用户习惯，融入本地输入法、打印机、本地签名等提升用户使用便捷度。

? EasyApp

对于已具备APP客户端的业务系统，如客户自主开发集成VPN功能，需要非常大的工作量。深信服可以为具备Socket开发能力的第三方应用开发商提供软件开发工具包VPN SDK包，极大地降低开发商的开发工作量。客户可根据需要选择合适的精简集成SDK的方式，就可使得最终用户具备多种身份认证和数据SSL传输加密的功能，从而增加业务系统的安全性。

深信服科技版权所有 www.sangfor.com.cn 9

SANGFOR SSL VPN V6.1方案 文档密级：公开

4.2 产品选型

结合网络实际情况及需求，本方案推荐采用VPN-2050一体化网关构建远程办公一体化平台。深信服SSL VPN一体化网关是国内第一款SSL/IPSec一体化设备，隶属于SSL VPN产品系列。VPN-2050系列荣膺了众多奖项。据国际权威调查分析机构Frost ＆ Sullivan针对2012年SSL VPN中国市场调查报告显示，深信服SSL VPN 2012年以40.3%的市场份额，连续多年领导国内SSL VPN市场。

深信服科技版权所有 www.sangfor.com.cn 10

SANGFOR SSL VPN V6.1方案 文档密级：公开

第5章 方案技术特点

5.1 更安全的SSL VPN

SANGFOR SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系，由头至尾保证整个SSL VPN接入访问的安全性。

深信服科技版权所有 www.sangfor.com.cn 11

SANGFOR SSL VPN V6.1方案 文档密级：公开

5.1.1 身份认证安全

5.1.1.1 多种方式混合认证

许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。

SANGFOR SSL VPN支持多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持USB KEY、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。

单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。“与”组合认证可实现多达5种以上认证方式的捆绑，必须同时满足才能够接入SSL VPN系统。“或”组合认证可对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到SSL VPN系统中。

通过多因素组合认证大大加强认证安全的强度，确保接入SSL VPN的用户的身份的确认性。

深信服科技版权所有 www.sangfor.com.cn 12

SANGFOR SSL VPN V6.1方案 文档密级：公开

5.1.1.2 USB KEY认证

SANGFOR SSL VPN支持基于数字证书的USB KEY认证，将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。同时，SANGFOR SSL VPN支持无驱USB KEY认证，客户端无需安装驱动即可使用USB KEY进行登录认证，大大提高了客户端使用的易用性。

USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统，安全方便。

5.1.1.3 动态令牌认证

动态令牌认证是技术领先的一种双因素身份认证体系，内嵌特殊运算芯片，以事件同步的技术手段，通过符合国际安全认可的OATH动态口令演算标准，使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。由于实际上的安全问题都和密码有关，盗窃和破解密码是最常见的口令攻击手段，因此动态令牌很好的解决了以上问题，为用户的使用提供了极高的安全性保证。

5.1.1.4 短信认证

USB KEY、动态令牌等认证方式能非常好的保证认证的安全性，但却需要随身携带USB KEY、动态令牌这些小硬件，对于经常需要出差办公的人员来说难免有些不方便。

短信认证很好的解决了这个问题，此认证系统分为手机终端和短信服务器两部分，手机往往是随身携带的，相对于USB KEY、动态令牌随身携带的方式更易让用户接受。当用

深信服科技版权所有 www.sangfor.com.cn 13

SANGFOR SSL VPN V6.1方案 文档密级：公开

户在进行SSL VPN登录认证时，短信服务器将为该用户自动生成一个6位的数字随机认证码，并以短信的方式发送到用户所绑定手机号码的手持终端上，用户即可在认证界面上输入该6位认证码通过短信认证。短信认证很好的解决的多因素认证安全性与使用便捷性的问题。

对于短信服务器端，SANGFOR SSL VPN支持短信猫及短信网关两种方式。短信猫为小硬件设备，将短信猫连入设备的CONSOLE口并进行相应配置即可实现短信认证功能。若机房内电磁屏蔽效果较好，为了保证使用短信猫发送随机认证码短信的效果，也可在内网中选择一台电脑安装短信认证软件，并将短信猫接入电脑的COM口，同样可实现短信认证的效果。

如果您的网络中已经部署了短信网关（移动和联通短信网关），SANGFOR SSL VPN可以和您的短信网关结合，实现短信认证。

当网络因为延时、网络运营商等问题导致短信未能及时发出，将可能影响到用户的SSL VPN登录，导致业务无法正常使用。针对这样的情况，SANGFOR SSL VPN为您提供

深信服科技版权所有 www.sangfor.com.cn 14

SANGFOR SSL VPN V6.1方案 文档密级：公开

短信重发功能，让您能够方便快捷使用短信认证。

用户短信认证界面

5.1.1.5 硬件绑定（HardCA）

对于仅使用用户名/密码认证的用户，为了保证用户登录SSL VPN限定在某一台或是某几台终端上，因用户帐号意外泄漏、帐号盗用导致数据的泄露问题，可对登录终端进行绑定。

通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现，但是对于SSL VPN用户，采用这样的终端访问方式是不合适的。移动用户需要走出局域网远程访问，IP地址经常是不固定的。而标识网卡的MAC地址也能进行手工的改动，导致终端存在被仿冒的威胁。

SANGFOR SSL VPN打破常规，通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息，如CPU、硬盘、网卡等信息生成数字证书，并对证书和用户进行绑定实现用户身份的唯一性控制。

当用户登录SSL VPN，客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送到SANGFOR SSL VPN设备。需要进行绑定的账号用户工作平台若是在不同的客户端上，我们可按不同用户、用户组实际需要设置不同的特征码的个数（1-100个硬件特征码），保证终端绑定安全的基础上实现人性化的管理。

深信服科技版权所有 www.sangfor.com.cn 15

SANGFOR SSL VPN V6.1方案 文档密级：公开

硬件特征码配置界面

同时，SANGFOR SSL VPN支持硬件特征码的自动审批的设置。用户在提交了硬件特征码后，若是该用户名下没有提交过硬件特征码，或该终端与该用户名下的硬件特征库匹配不上且该用户的硬件特征码个数没有达到上限，SSL VPN系统自动将通过该特征码的审批，用户端界面直接跳转到资源服务页面，减轻管理员反复审批特征码的工作。

启用了硬件特征码认证的用户在通过SSL VPN登录身份认证时，SSL VPN将自动获取终端CPU、硬盘、网卡的硬件信息并生成特征码提交到SSL VPN设备进行硬件特征码认证，若该特征码与该用户名下的特征码匹配不上，即采用非法终端登录SSL VPN，系统将判断该用户为非法登录，拒绝通过认证。

通过硬件特征码认证，很好的保证了用户登录SSL VPN终端的唯一性，一方面可在无需追加投资的基础上实现双因素认证，避免单一用户名密码遭窃后造成的越权访问。另一方面，通过硬件特征码的唯一确定性，确保了用户登录SSL VPN的范围的圈定，尤其对于某些重要的应用系统可限定仅使用个别安全级别高的终端登录，保证系统、数据安全性。

5.1.1.6 CA认证

SANGFOR SSL VPN安全网关内置了CA中心，完美支持PKI体系。通过SSL VPN内置CA中心，企业或者事业单位可自建CA，避免单独购买CA的额外投资，减少投入成本。同时，SANGFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。

深信服科技版权所有 www.sangfor.com.cn 16

SANGFOR SSL VPN V6.1方案 文档密级：公开

在数字证书使用的过程中必然涉及到数字证书的过期等问题，为了更好的保持与证书状态信息的同步，SANGFOR SSL VPN支持OCSP服务器，实时保持与OCSP服务器的同步，让所有证书的状态信息都能够及时得到反馈，保证CA证书认证的安全性。

5.1.1.7 LDAP认证、Radius认证

LDAP

组织已经采用LDAP进行用户的管理，SANGFOR SSL VPN可与LDAP进行联动，只需在SSL VPN设备中根据LDAP中的OU组结构建立用户组结构，并为用户组绑定相应的OU结构，无需再设备中一个个建立具体用户。当用户向SSL VPN提交用户名密码进行身份认证时，SSL VPN自动将此认证信息提交给LDAP进行认证，并根据反馈信息判断该用户是否为合法用户。当用户通过了LDAP认证，SSL VPN设备将根据LDAP返回该用户的OU值，将该用户自动归于绑定了该OU的用户组，该用户即享用该用户组所有认证、策略、授权等属性。

深信服科技版权所有 www.sangfor.com.cn 17

SANGFOR SSL VPN V6.1方案 文档密级：公开

同时，SANGFOR SSL VPN可读取LDAP中用户的手机号码、IP属性，方便实现短信认证和虚拟IP的绑定。通过SSL VPN与LDAP的联动，大大降低管理员对用户管理的维护工作量。

Radius

组织中已经采用Radius进行用户的认证管理，可进行SSL VPN与Radius的联动。在SSL VPN设备中建立相应的用户组结构，并勾选Radius认证并绑定相应的Class属性值。但用户向SSL VPN提交用户名密码认证信息时，SSL VPN将此信息以标准的Radius协议格式向Radius服务器发起认证请求，Radius将返回认证结果。若Radius认证通过，则将在返回给SSL VPN的数据包中捎带Class分组属性，SSL VPN将根据绑定该属性的用户组赋予该用户相应的认证、策略、授权等属性。若Radius认证未通过，SSL VPN则将拒绝该用户登录。

同样为了实现认证的多样保证身份安全，SANGFOR SSL VPN支持读取Radius中的手机号码属性，从而跟短信认证可以完美结合，实现双因素的认证。SANGFOR SSL VPN支持读取Radius中的IP属性段，从而进行虚拟IP的绑定，保证通过Radius认证也同样可进行正常的IP资源访问。

深信服科技版权所有 www.sangfor.com.cn 18

SANGFOR SSL VPN V6.1方案 文档密级：公开

通过Radius的结合，可实现统一的用户管理，提高管理员的管理效率。 第三方数据库结合

组织中使用My SQL、SQL Server、Oracle、Access等数据库系统保存用户的账号、密码等认证、属性信息，对组织内账号信息进行管理。同样可进行SSL VPN与数据库系统中的用户认证信息进行结合，实现统一管理。

可在内网中一台主机上安装深信服提供的Sradius软件构建一台简单的RADIUS服务器进行数据库用户信息的读取。当用户提交认证信息时，SSL VPN设备将会将用户名密码提交给Sradius服务器，由Sradius服务器读取后台数据库相应信息进行认证判断，从而实现SSL VPN与数据库的联动。

5.1.1.8 强密码保护功能

整个组织的局域网往往具备了防火墙、防病毒等各项安全防护措施，但使用SSL进行登录的客户端却是在组织网络的保护层之外，直接暴露在互联网中的各种病毒、木马、黑客攻击的范围之中。对于仅仅使用了用户名密码进行认证的用户而言，最重要的就是保障密码的安全，而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码，以SSL用户为突破口盗取组织内部重要数据。

SANGFOR SSL VPN支持终端用户的防暴破登录设置，通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。

深信服科技版权所有 www.sangfor.com.cn 19

SANGFOR SSL VPN V6.1方案 文档密级：公开

对于单纯使用用户名密码的SSL VPN用户对其密码的保护更显得尤为重要。SANGFOR SSL VPN提供了强大的安全保障策略，如软键盘、图形校验码、最小密码长度设置等多重密码安全保护策略，加强密码的安全强度。

1) 限定密码长度至少多少位 2) 密码不能包含用户名 3) 新密码不能与旧密码一样

4) 密码必须包括：数字，字母，特殊字符（shift+数字）

5) 每隔几天必须修改密码，密码过期前几天开始提示用户修改密码 6) 首次登陆必须修改密码

7) 软键盘：每次使用软键盘，其上的数字、字母顺序将变化一次，保证安全性 图形验证码

SANGFOR SSL VPN安全网关提供图形码校验功能，用户在输入用户名和密码以后还需要将系统随即生成图片中的信息输入才可实现正常登录，防止非法使用者通用自动猜解程序进行的试探。通过内部的计算程序，SANGFOR SSL VPN提供的图形验证码可实现数字和字母的组合，每次变换不同的图形验证码。

深信服科技版权所有 www.sangfor.com.cn 20

SANGFOR SSL VPN V6.1方案 文档密级：公开

软键盘功能

为了提高用户密码的安全性，防止被木马程序截获用户输入的密码信息，SANGFOR SSL VPN安全网关提供了软键盘功能，用户在输入密码时可使用界面上提供的软键盘，这样木马程序就无法通过截获用户键盘输入数据的方法来窃取密码了。为了进一步增加软键盘的安全性，SANGFOR SSL VPN提供动态变换功能，即每次登陆的时候字母键和数字键跟上一次都是不同的，从而进一步保证密码的安全性。

5.1.1.9 主从帐号绑定

传统的SSL VPN对于成功接入到内网的SSL VPN用户就完全不做身份确认上的控制，给予了“完全信任”。但这样的“信任”就给居心不良者进行一个越权访问漏洞。若某个用户在登录SSL VPN之后，使用如领导等人享有较高权限的应用帐号登录某系统进行越权访问，将造成重要数据的泄漏，导致的危害将无法估量。

为了解决此问题，SANGFOR SSL VPN独创主从帐号绑定技术（专利技术），通过将SSL VPN登录帐号与应用帐号的对应绑定，杜绝用户在登录SSL VPN后使用他人帐号访问应用的行为，防止越权访问。

深信服科技版权所有 www.sangfor.com.cn 21

SANGFOR SSL VPN V6.1方案 文档密级：公开

主从帐号绑定支持对B/S应用和C/S应用的帐号绑定。

当应用为B/S应用时并采用直接点击资源列表打开资源的方式访问，如下图所示，用户wrm在登录SSL VPN后，点击资源列表中的CRM资源。在CRM资源登录界面的登录名处将自动填入SSL VPN设备中为该SSL VPN用户所绑定的登录名，且该登录名无法更改或删除。

若为C/S应用，或对于B/S资源，用户在登录SSL VPN后自行打开浏览器输入资源地址访问，主从绑定将通过监听特定的URL、IP并与数据流解析相结合的方式，监听用户输入的帐号是否所绑定的帐号一致，进行数据包阻止或放行判定。

当SSL VPN登录用户窃取他人帐号密码进行应用越权访问时，SANGFOR SSL VPN就会自动识别阻止访问并进行报错，同时会在日志中心中保存相应的记录。下图为通过主从绑定后越权访问的告警显示：

深信服科技版权所有 www.sangfor.com.cn 22

SANGFOR SSL VPN V6.1方案 文档密级：公开

许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证，过于简单的认证容易帐号遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统。结合多因素组合认证、登录后的主从帐号绑定，实现指定的用户登录SSL VPN后通过指定的帐号访问指定的应用，达到增强重要系统认证安全性的目地。

5.1.2 终端访问安全

5.1.2.1 沙盒技术

某些核心系统中包含有较为重要、敏感的数据，通常仅可在内网中访问这些应用系统。但为了方便办公的需要，需要让用户能在酒店、机场、家中等外网环境通过SSL VPN访问到这些系统。但应用的访问往往会将部分数据留在本地，如Lotus Notes平台、交易系统、OutLook等。如此一来，就形成了远程办公与数据安全的矛盾。

为了解决此类问题，SANGFOR SSL VPN采用了沙盒技术，可指定部分或全部对数据安全性要求较高的应用必须置于安全桌面中访问。当客户端登录SSL VPN后，将在客户端自动使用虚拟技术生成与原有默认桌面完全一样一个封闭式的安全桌面（沙盒），用户在通过SSL VPN访问启用了安全桌面的应用时，终端与服务器端所有交互的应用数据将仅会保存在该沙盒之中，并进行高强度的加密。

深信服科技版权所有 www.sangfor.com.cn 23

SANGFOR SSL VPN V6.1方案 文档密级：公开

在该沙盒中的数据，无法通过拷贝到本机默认桌面、拷贝到外设、与局域网通信、与外网通信等任何方式将数据传送到沙盒之外。

当用户退出SSL VPN之后，沙盒中的所有数据都进行清除，所有的操作将会被重定向。即使是断电导致的安全桌面崩溃，沙盒中的数据也是通过高强度加密保证安全性。下一次SSL VPN登录启动时，安装桌面会自动检测之前的遗留痕迹并进行清除。

在安全桌面内可做到：

禁止与本计算机通讯：禁止安全桌面与默认桌面通信

禁止与本地网络通讯：安全桌面内禁止与内网内其他计算机通信。 禁止与外网通讯：安全桌面内禁止使用网络应用或将数据通过网络通信泄漏 禁止使用外设拷贝（USB，打印机，COM，CD-RW等）

深信服科技版权所有 www.sangfor.com.cn 24

SANGFOR SSL VPN V6.1方案 文档密级：公开

5.1.2.2 客户端安全检查

组织的网络往往采用了防火墙、防毒墙、IPS等完善的安全设备对内网进行保护。但用户因出差等原因，往往需要走出内网，使用家中、酒店、网吧的电脑通过SSL VPN连接到总部的网络进行远程办公。一旦成功建立了SSL VPN连接，就相当于总部的网络边界扩展到了这些终端上。而公共电脑普遍安全防御水平都不高，病毒木马众多，若是不采用很好的防范机制，这些安全威胁将通过SSL VPN隧道直逼总部网络，造成重大安全隐患。

对于终端接入的安全需要从终端本身方面保证，控制终端的必须达到一定的安全标准才允许接入，避免危险终端的接入。SANGFOR SSL VPN支持根据客户端安全检查结果进行相应应用访问权限的准入和授权。准入即是否允许该用户登录SSL VPN，授权即达到了某一安全级别可授予该用户什么样的应用权限。

深信服科技版权所有 www.sangfor.com.cn 25

本文来源：https://www.bwwdw.com/article/m8e2.html