硬件綁定(HardCA)
傳統的用戶名和密碼或者CA證書認證方式都存在證書或密碼被盜用的問題。為避免傳統方案的泄密缺點���,SANGFOR SSL VPN使用了深信服公司的特色技術-基于PC硬件特征的證書認證系統(HARDCA)來實現基于硬件的認證。該認證原理是將用戶賬號與其所在計算機硬件信息(如CPU��、硬盤、網卡等)進行綁定���,即便用戶賬號意外泄露,由于非法用戶無法使用與此賬號事先綁定的那臺計算機�����,因而不會造成非法用戶接入�����。
動態令牌認證
動態令牌是技術**的一種雙因素強身份認證體系�����,采用用戶PIN碼+動態令牌碼構成完整用戶口令,令牌碼由令牌內置種子和當前時間通過偽隨機算法生成��,每分鐘改變一次�����,而且是一次性密碼(密碼使用后立即失效��,不能重復使用)。由于實際上的安全問題都和密碼有關�,** 密碼是最常見的口令攻擊手段���,因此動態令牌很好的解決了以上問題,為用戶的使用提供了極高的安全性保證�����。
SSL VPN可以立即安裝�����、立即生效��。楊浦區信息VPN軟件
與口袋助理APP結合認證
SSL VPN短信認證通常需要與企業短信平臺進行集成,SSL VPN短信認證模塊支持與GSM/CDMA短信或短信網關聯動���,通過下發實時短信驗證碼的形式,驗證用戶信息���,提高用戶登錄SSL VPN身份驗證安全。
傳統短信認證方式存在的問題:
費用高
使用***方式��,需要購買硬件***��,并支付短信費用
使用短信網關方式���,同樣需要支付短信費用����,甚至需要購買短信代理平臺
通過上面分析我們可以得出����,無論是***還是短信網關方式,都需要支付短信費��,而且費用不低����。以一個公司平均每天1000次登錄為例計算���,一條短信費大致為8分��,那么一年的投入是:1000*0.08*365=29200元
如果使用包月套餐���,目前的市場價格大致為2000元/月包30000條短信����,超出部分按一條1毛錢另外計費。那么一年的投入是:2000*12=24000元。
由此可見�����,客戶每年在短信費上投入的成本著實不少����。而且用戶越多,使用時間越長,成本越高。例如使用短信網關5年,投入成本將達10萬以上。
徐匯區企業VPN承諾守信使用VPN技術來構建安全的業務網絡��。
對網絡的支持問題
傳統的IPSec VPN在網絡適應性上都存在一些問題��,雖然一些領導廠商已經或正在解決網絡兼容性問題�,但由于IPSec VPN對防火墻的安全策略的配置較為復雜(往往要開放一些非常用端口)��,因此客戶端的網絡適應性還是不能做到****完美�。
移動設備支持問題
隨著未來通訊技術的發展�,移動終端的種類將會越來越多,IPSec 客戶端需要有更多的版本來適應這些終端����,但隨著終端種類的性增長����,這幾乎是不可能的��。
因此SSL VPN技術就孕育而生了,SSL VPN的突出優勢在于Web安全和移動接入����,它可以提供遠程的安全接入���,而無需安裝或設定客戶端軟件���。SSL在Web的易用性和安全性方面架起了一座橋梁���。目前��,對SSL VPN公認的三大好處是:首先是它的簡單性,它不需要復雜配置�,可以立即安裝�、立即生效��;第二個好處是不需要安裝客戶端��,直接利用瀏覽器中內嵌的SSL協議就行;第三個好處是兼容性好,可以適用于任何的終端及操作系統。
作為HTTPS服務器�����,所有SSL VPN都同樣面臨著DOS的威脅����。所以大多數SSL VPN設備都需要前置防火墻保護其安全。而SANGFOR SSL VPN自身就是一個防火墻����,集成了對DOS等攻擊的防御手段����。
對于來自外部的DOS攻擊���,其防御DOS的基本原理如下:在網絡層模擬應用層對DOS攻擊的主機發起應答��,由于DOS攻擊主機無法完成3次握手,因此可以識別出不完整的請求����,避免了把攻擊發送到SSL VPN應用上��。而對于真實的SYN,在網絡層完成了SYN的3次握手后����,再模擬請求的客戶端把SYN請求發送到應用層����。通過這種SYN代理的方法就使得正常的SSL VPN遠程訪問順利的通過防火墻到達內部服務器,而DOS攻擊則被拒之門外���。
SANGFOR SSL VPN安全網關不僅可以防御來自外網的DOS攻擊,對于內網計算機發起的DOS攻擊�,SSL VPN安全網關也可以進行防御�。管理員可以在SANGFOR SSL VPN安全網關內增添內網網段列表�,若檢測到來自該列表之內的計算機發起的連接請求,則認為是合法用戶�;而若是來自該列表之外的IP地址��,則被認為是攻擊。這對于通常偽造源IP地址的DOS攻擊發起端來說�,將是一個有效的防范措施����。
越來越多外部人員需要訪問內部的應用系統��。
訪問權限控制功能提供**細致的權限管理
SANGFOR SSL VPN通過獨特的角色管理功能��,提供了細致到每個URL和不同應用的權限劃分。通過給不同用戶設置不同角色來分配訪問授權���,一個用戶可以賦予多個角色以適合各種復雜的組織結構���?;诮巧脑L問限制為企業網絡提供了較強的安全性。通過行為引擎,管理員還可以查看遠程接入用戶的所有訪問記錄����。
SANGFOR SSL VPN內置有多種用戶和資源管理方式�����,可以自建用戶,也可以從第三方導入����,支持LDAP/AD��、RADIUS等第三方認證,可以根據用戶��、用戶組�����、公用賬號�����、私有賬號等多種方式對用戶進行管理。管理員可根據角色����、Web資源��、C/S資源、IP資源等權限劃分方式,為遠程接入用戶分配細致的訪問權限控制。
同時,SANGFOR SSL VPN集成了用戶并發限制�����、公用賬號并發限制和用戶流量限制等多種方式�,保證了用戶合理地使用VPN資源�����。并且����,在SSL VPN網關中的直觀式管理圖形用戶界面(GUI)的實時監控狀態欄中�����,可以實時地監控用戶的接入情況���,觀察整個VPN系統的運行狀況��。
由于IPSec VPN對防火墻的安全策略的配置較為復雜。徐匯區企業VPN承諾守信
在每個遠程接入的終端都需要安裝相應的IPSec客戶端���。楊浦區信息VPN軟件
快速重傳-允許接收端通過使用 SACK TCP 選項指示**多四個接收數據的非鄰接塊��。RFC 2883 定義用于確認重復的數據包的 SACK
TCP
選項中的字段的額外使用。發送端可以通過此操作確定何時重傳了不必要的段并調整其行為,以防今后不必要的重傳���。發送的重傳越少,整體吞吐量越合理。
快速恢復-快速檢測出丟包,并能快速準確重傳該包���,對時延較大,網絡狀況較差的情況能夠有效的提升帶寬利用率,通過更改快速恢復過程中發送端可以用來提高發送速率的方法�,提供更大的吞吐量����。
慢啟動-避免發送
TCP
對等方擁塞整個網絡的現有算法被稱為“慢啟動”和“擁塞避免”�。在連接**初發送數據和還原丟失段時����,這些算法可以增大發送窗口,即發送端可以發送的段數量。對于每個接收到的確認段或每個已經確認的段�,“慢啟動”算法會以一個完整的
TCP 段增大發送窗口����。對于每個已經確認的完整窗口的數據���,“擁塞避免”算法以一個完整的 TCP
段增大發送窗口�����。利用這些算法增大發送窗口的速度就足以充分利用連接帶寬�����。
楊浦區信息VPN軟件
上海黑象信息科技有限公司致力于商務服務,是一家其他型公司��。公司業務分為技術開發����,技術轉讓,技術咨詢����,技術服務等�,目前不斷進行創新和服務改進���,為客戶提供良好的產品和服務��。公司秉持誠信為本的經營理念�,在商務服務深耕多年��,以技術為先導,以自主產品為重點���,發揮人才優勢,打造商務服務良好品牌����。在社會各界的鼎力支持下�,持續創新�,不斷鑄造***服務體驗,為客戶成功提供堅實有力的支持���。