作為HTTPS服務(wù)器,所有SSL VPN都同樣面臨著DOS的威脅。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護其安全。而SANGFOR SSL VPN自身就是一個防火墻,集成了對DOS等攻擊的防御手段。
對于來自外部的DOS攻擊,其防御DOS的基本原理如下:在網(wǎng)絡(luò)層模擬應(yīng)用層對DOS攻擊的主機發(fā)起應(yīng)答,由于DOS攻擊主機無法完成3次握手,因此可以識別出不完整的請求,避免了把攻擊發(fā)送到SSL VPN應(yīng)用上。而對于真實的SYN,在網(wǎng)絡(luò)層完成了SYN的3次握手后,再模擬請求的客戶端把SYN請求發(fā)送到應(yīng)用層。通過這種SYN代理的方法就使得正常的SSL VPN遠程訪問順利的通過防火墻到達內(nèi)部服務(wù)器,而DOS攻擊則被拒之門外。
SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來自外網(wǎng)的DOS攻擊,對于內(nèi)網(wǎng)計算機發(fā)起的DOS攻擊,SSL VPN安全網(wǎng)關(guān)也可以進行防御。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表,若檢測到來自該列表之內(nèi)的計算機發(fā)起的連接請求,則認為是合法用戶;而若是來自該列表之外的IP地址,則被認為是攻擊。這對于通常偽造源IP地址的DOS攻擊發(fā)起端來說,將是一個有效的防范措施。 使用SSL安全特性為客戶解決原有關(guān)鍵系統(tǒng)安全保障問題。山西HUAWEIVPN廠家
與口袋助理APP結(jié)合認證
SSL VPN短信認證通常需要與企業(yè)短信平臺進行集成,SSL VPN短信認證模塊支持與GSM/CDMA短信或短信網(wǎng)關(guān)聯(lián)動,通過下發(fā)實時短信驗證碼的形式,驗證用戶信息,提高用戶登錄SSL VPN身份驗證安全。
傳統(tǒng)短信認證方式存在的問題:
穩(wěn)定差
使用短信方式,批量發(fā)送能力差、發(fā)送速度慢、有延時,在信號不好的機房使用可能發(fā)送質(zhì)量不穩(wěn)定。
使用短信網(wǎng)關(guān)方式,雖然批量發(fā)送能力較強,但是運營商對短信內(nèi)容有嚴格的審計和過濾,可能導(dǎo)致VPN用戶無法正常接收到驗證碼短信。
使用短信網(wǎng)關(guān)方式,每個手機號碼在一定時間內(nèi)發(fā)送的短信條數(shù)有限制,如果用戶頻繁獲取短信驗證碼,可能導(dǎo)致短信通道被封,所有用戶都無法正常接收短信驗證碼,嚴重影響辦公。
山東SANGFORVPN廠家為客戶提供了更具價值的整體解決方案。
SSL VPN給您帶來的價值
降低管理成本,提升組織經(jīng)營效益
由于SSL VPN無需安裝客戶端,對于使用端透明,無需安排專門的人員進行維護,針對于傳統(tǒng)的IPSEC需要安裝客戶端,一旦出現(xiàn)意外需要遠程進行維護,不管是派專人維護還是遠程維護必將增加維護成本,對于一兩個點接入的情況這樣的維護成本還可以接受,但是面對成千上百個點來說,那將是一筆巨大的維護成本,而且極容易造成業(yè)務(wù)效率的下降。SSL VPN無需安裝客戶端,**依托于瀏覽器,不依賴網(wǎng)絡(luò)環(huán)境(只要能上網(wǎng)均可訪問),這三大特點將進一步降低組織的維護運維成本,從而進一步降低整體管理成本。
多方位的密碼安全保障
對于采用在SSL VPN上建立的用戶名和密碼,深信服采用了多種機制保證密碼的安全性。
一旦系統(tǒng)啟用防密碼***功能以后,用戶連續(xù)輸入密碼錯誤次數(shù)達到一定的數(shù)量以后,系統(tǒng)會將該帳號鎖定一段時間,防止密碼被猜解。對于被鎖定的用戶可以通過查看鎖定用戶在線列表來解除被鎖定的用戶,從而使其快速解凍。
面對大量的用戶,管理員出于管理的方便可能針對每個用戶設(shè)定了初始密碼,但是出于密碼的安全性考慮,必須提供一定的密碼安全保障來保證密碼的安全性。深信服提供強迫初次登陸修改密碼,可以要求密碼必須至少多少位,根據(jù)您的要求可以設(shè)定密碼的最小長度,也可以設(shè)定密碼必須包含數(shù)字、字母、特殊符號,從而保證密碼的復(fù)雜度,但是不能要求密碼與用戶名相同、密碼不能與舊密碼相同。對于密碼的管理,可以實現(xiàn)定時修改密碼,密碼過期前多少天提醒用戶進行密碼修改,通過上面一系列的措施保證用戶的密碼的安全性。 因此在此基礎(chǔ)上建立的遠程接入方案在面臨越來越多的End To Lan(點對網(wǎng))應(yīng)用情況下已經(jīng)力不從心。
硬件綁定(HardCA)
傳統(tǒng)的用戶名和密碼或者CA證書認證方式都存在證書或密碼被盜用的問題。為避免傳統(tǒng)方案的泄密缺點,SANGFOR SSL VPN使用了深信服公司的特色技術(shù)-基于PC硬件特征的證書認證系統(tǒng)(HARDCA)來實現(xiàn)基于硬件的認證。該認證原理是將用戶賬號與其所在計算機硬件信息(如CPU、硬盤、網(wǎng)卡等)進行綁定,即便用戶賬號意外泄露,由于非法用戶無法使用與此賬號事先綁定的那臺計算機,因而不會造成非法用戶接入。
動態(tài)令牌認證
動態(tài)令牌是技術(shù)**的一種雙因素強身份認證體系,采用用戶PIN碼+動態(tài)令牌碼構(gòu)成完整用戶口令,令牌碼由令牌內(nèi)置種子和當前時間通過偽隨機算法生成,每分鐘改變一次,而且是一次性密碼(密碼使用后立即失效,不能重復(fù)使用)。由于實際上的安全問題都和密碼有關(guān),** 密碼是最常見的口令攻擊手段,因此動態(tài)令牌很好的解決了以上問題,為用戶的使用提供了極高的安全性保證。
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡(luò)的安全控制問題。河北IPSEC VPN哪家好
網(wǎng)絡(luò)中無處不在的網(wǎng)絡(luò)延時、網(wǎng)絡(luò)丟包導(dǎo)致業(yè)務(wù)訪問速度急劇下降。山西HUAWEIVPN廠家
SANGFOR SSL VPN安全網(wǎng)關(guān)可以限制內(nèi)部局域網(wǎng)每個IP地址在一分鐘內(nèi)可發(fā)起的比較大TCP連接數(shù)和發(fā)送的比較大SYN包次數(shù)(數(shù)值可依據(jù)內(nèi)網(wǎng)計算機數(shù)量自定義),阻止了局域網(wǎng)內(nèi)某些計算機傳染了攻擊或者木馬程序,對外發(fā)起大量的連接請求從而導(dǎo)致企業(yè)網(wǎng)絡(luò)帶寬耗盡、網(wǎng)關(guān)設(shè)備癱瘓宕機等情況的發(fā)生。一旦檢測到攻擊后,SANGFOR SSL VPN安全網(wǎng)關(guān)可以立即對攻擊主機進行鎖,從而及時有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計算機發(fā)起的DOS攻擊行為,避免了企業(yè)員工在上網(wǎng)時不小心傳染了攻擊而造成DOS攻擊給企業(yè)帶來的法律糾結(jié)、名譽受損等風險。山西HUAWEIVPN廠家
上海黑象信息科技有限公司是一家貿(mào)易型類企業(yè),積極探索行業(yè)發(fā)展,努力實現(xiàn)產(chǎn)品創(chuàng)新。黑象信息是一家有限責任公司(自然)企業(yè),一直“以人為本,服務(wù)于社會”的經(jīng)營理念;“誠守信譽,持續(xù)發(fā)展”的質(zhì)量方針。公司業(yè)務(wù)涵蓋工藝禮品,電子產(chǎn)品,制作各類廣告,價格合理,品質(zhì)有保證,深受廣大客戶的歡迎。黑象信息以創(chuàng)造***產(chǎn)品及服務(wù)的理念,打造高指標的服務(wù),引導(dǎo)行業(yè)的發(fā)展。