网神SSL-VPN产品---1...ppt

《网神SSL-VPN产品---1...ppt》由会员分享，可在线阅读，更多相关《网神SSL-VPN产品---1...ppt（53页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网神SSL VPN产品 技术培训胶片目 录SSL VPN背景与基本原理介绍网神SSL VPN的特点网神SSL VPN部署方式，业务模式SSL VPN的配置操作SSLVPN背景介绍SSLVPN(Security Socket Layer)。是由Netscape Communitcation于90年代发展起来的安全套接层协议，现在已作为互联网上安全电子商务交易的标准。用于保障Word Wide Web（WWW）通讯的安全。主要任务是提供私密性，信息完整性和身份认证。现有标准浏览器都能支持SSLVPN技术。其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。识别一个网站是否启用了 SSL 安

2、全协议最简单最直接的办法就是看它的网址信息，通常的我们看到的都是以 http:/开头的网址，而采用了该安全协议后，网址的开头是：https:/，多了一个 s，缺省端口是 TCP 443SSLVPN与传统VPN对比优势 1 操作平台独立性。SSL VPN 是通过标准的浏览器连接网络，不需要特殊的操作平台，SSLVPN 可以允许从任何地方进行远程访问，而和用户的操作系统平台无关。2 基于浏览器的接入。与IPSec VPN远程接入需要安装客户端软件不同，SSLVPN无需安装任何的客户端软件就可以访问企业网络。3 高级访问控制。SSLVPN 可提供高级的应用程序级控制来访问企业内部数据而IPSec V

3、PN只能提供网络层访问接入。4 可靠性高。IPSec最适合的环境是固定办公区域，移动办公用户需要安装客户端软件才能建立加密隧道，但并非所有客户端环境均支持IPSec VPN的客户端程序。终端用户可能需要做出类似重新安装系统那样复杂的操作，才能使用；5 安全性高。IPSec的用户验证方式单一并且简单，无法明确区分使用该终端的人是否是可 授权的指定用户。IPSec无法对终端设备软件系统的安全性做出评估，无法检查终端用户的应用环境。SSLVPN原理httpsmtpftpSecure Socket LayerTCP/IP LayerSSL是一个不依赖于平台和运用程序的协议，用于保障TCP-based运

4、用安全，SSL在TCP层和运用层之间，就像运用层连接到TCP连接的一个插口。Application LayerTransport LayerNewwork LayerSSLVPN原理HandshakeAlertChange CipherSpecApplication DataRecord ProtocolSSL是一个层次化的协议，最底层是SSL record protocol(SSL纪录协议），record protocol包含一些信息类型或者说是协议，用于完成不同的任务。SSLVPN原理1.Record protocol protocol:（记录协议）是主要的封装协议，它传输不同的高层协议和

5、运用层数据。它从上层用户协议获取信息并且传输，执行需要的任务，例如：分片，压缩，运用MAC和加密，并且传输最终数据。它也执行反向行为，解密，确认，解压缩和重组装来获取数据。记录协议包括四个上层客户协议，Handshake（握手）协议，Alert（告警）协议，Change Cipher Spec（修改密钥说明）协议，Application Data（运用层数据）协议。SSLVPN原理3.Application Data protocol (运用程序数据协议）处理上层运用程序数据的传输。2.Handshake protocols 握手协议负责建立和恢复SSL会话。它由三个子协议组成。a.Hands

6、hake Protocol（握手协议）协商SSL会话的安全参数。b.Alert Protocol（告警协议）一个事务管理协议，用于在SSL对等体间传递告警信息。告警信息包括，1.errors(错误），2.exception conditions（异常状况）例如:错误的MAC或者解密失败，3.notification（通告）例如：会话终止。c.Change Cipher Spec Protocol（修改密钥说明）协议,用于在后续记录中通告密钥策略转换。目 录SSL VPN背景与基本原理介绍网神SSL VPN的特点网神SSL VPN部署方式，业务模式SSL VPN的配置操作产品简介终端安全控制：端

7、安全控制：确保接入确保接入终端端对涉密网无威涉密网无威胁，安全可靠接入，安全可靠接入数据数据传输安全：安全：保障机密数据保障机密数据传输安全安全人人员访问权限控制：限控制：不同角色的人不同角色的人员针对不同的不同的业务分配不同分配不同权限，达到精限，达到精细化化权限分配控制限分配控制业务应用安全保障：用安全保障：保保护核核心心业务系系统免于暴露在互免于暴露在互联网，避网，避免遭受攻免遭受攻击四大特性解决安全接入需求有“远程安全访问核心业务”需求的地方，都需要SSL VPN网神SSL VPN八大产品特色 领先的多链路智能选路技术实现对远程用户接入的快速响应独创的虚拟安全桌面技术确保业务数据终端无

8、痕唯一支持动态短信授权确保关键业务访问可控终端快速安全接入“1秒钟”即可安全接入业务系统 多核、并行软硬件架构，自主研发的SecOS 安全操作系统 支持 IPV6 网络安全接入满足下一代互联网安全需求模块化按需配置，支持34个千兆或8个万兆口模块化接口配置高性能同时支持最大并发用户65000，加密吞吐最高达2G产品简介产品功能关键指标WAFIPsec VPNSSL VPNIDS 网神Sec SSL 防火墙主要功能：SSL VPN辅助功能：IPSecVPN 防火墙控标功能：IDS WAF网神SSL VPN产品功能一览 多多链路智能路智能选路技路技术实现对远程用程用户接入的快速响接入的快速响应；说

9、明：支持多条明：支持多条链路接入，即路接入，即满足中国南北足中国南北电信网通的信网通的带宽差差别，又能，又能实现冗余冗余备份；第一次接入份；第一次接入时通通过ping的方式，来的方式，来选择性能最好的一个性能最好的一个链路，路，从而从而实现快速的响快速的响应。用用户桌面桌面远程程唤醒功能醒功能 实现随随时随地随地办公与公与节能减排的最佳平衡能减排的最佳平衡,管理管理员可以可以为用用户注册用注册用户的桌面的桌面电脑，这样用用户在登在登录系系统后可以通后可以通过远程程唤醒的方式启醒的方式启动办公的桌面公的桌面电脑，实现远程程访问自己的自己的办公主机；公主机；根据根据MAC地址的唯一性，在同一个广播

10、域中，向有地址的唯一性，在同一个广播域中，向有该MAC地址的网卡地址的网卡发送送唤醒的数据包，醒的数据包，从而启从而启动对应的的电脑.产品关键技术及技术原理介绍产品关键技术及技术原理介绍多多链路智能路智能选路技路技术，实现对远程用户接入的快速响应。支持多条链路接入，即满足中国南北电信网通的带宽差别，又能实现冗余备份；第一次接入时通过ping的方式，来选择性能最好的一个链路，从而实现快速的响应。虚虚拟桌面桌面领先的虚先的虚拟安全桌面技安全桌面技术,确保确保业务数据数据远端不落地；虚端不落地；虚拟安全桌面使得用安全桌面使得用户的桌面数据都在虚的桌面数据都在虚拟安全桌面里面，安全桌面里面，业务数据不

11、会泄漏，数据不会泄漏，满足客足客户当前形当前形势下的防数据泄漏要求。使用下的防数据泄漏要求。使用时临时格式格式化出一部分磁化出一部分磁盘空空间，对进入入VSD操作的数据操作的数据进行存放，退出后行存放，退出后还原原这部分空部分空间，并，并对其他各其他各种可能和外部通种可能和外部通讯的接口加以控制，从而确保数据在本地不留痕迹的接口加以控制，从而确保数据在本地不留痕迹。Pki（public key infrastructure）公钥基础设施，是一种标准的密钥管理平台，建立一个权威机构（认证中心CA)来证明通信节点的真实性。公钥证书是由公钥基础设置（PKI）中的CA签名的用来绑定公钥持有者身份与其公

12、钥的对应关系的文件。SSL-VPN中涉及公钥证书的有三个部分：1.使用公钥证书标识网关的可信身份；2.使用公钥证书认证远端用户的身份；3.证书管理功能，为远端用户签发公钥证书以及相应的管理工作。产品关键技术及技术原理介绍产品关键技术及技术原理介绍动态短信授短信授权确保关确保关键业务访问可控，可控，满足足审计要求。用要求。用户访问关关键业务的的时候，可以候，可以设置短信置短信临时授授权，这种功能种功能对于外包于外包业务人人员访问企企业业务数据具有数据具有满足企足企业IT系系统合合规性的作用。性的作用。虚拟服务的目的：用户不通过授权就可以通过虚拟服务的目的：用户不通过授权就可以通过SSL VPN设

13、备代设备代理服务；理服务；虚拟服务和虚拟服务和DNAT区别：区别：直接通过直接通过SSL隧道代理服务。隧道代理服务。不需要修改应用服务器回指路由。不需要修改应用服务器回指路由。可以用可以用VPN设备的任意接口设备的任意接口IP进行访问。进行访问。虚拟服务简介在SSL-VPN中，只要配置了地址映射，作用就是把从内部网进入到SSL隧道的IP报文的源IP地址映射为“地址映射”中配置的地址；把从SSL隧道中解析出来需要送到内部网的IP报文的目的地址从映射的地址转换为内部地址。LAN1和LAN2利用两台网神SSL VPN实现网络互联。LAN1中有一台PC1，IP地址为192.168.1.1；LAN2中有

14、一台PC2，IP地址为192.168.2.1。Flow1为从PC1发出、目的地为PC2的IP报文；Flow2为从PC2发出、目的地为PC1的IP报文；NAT在SSL-VPN中，对用户的管理按照森林模型进行管理，系统中每个用户都是叶子节点，每个用户可以属于多个组。VPN网关在授权时只针对用户组授权，不针对单个的用户账号进行授权。VPN网关中可以有多个认证服务器，每个认证服务器均构成一个根组，其下可以有多个用户组和用户。在授权时，用户得到的授权是从其所属的组继承来的，授权继承关系是按照递归的方式进行的，即用户能够继承从其直接父组到根组的所有组的授权。SSL-VPN中添加用户账号有三种方式：1）直接

15、添加本地的口令、证书账号；本地用户密码以HASH值的形式保存。2）通过添加远程认证服务器，并从服务器下载用户账号（仅限于LDAP，AD服务器）；3）通过添加远程认证服务器，默认允许用户访问，当用户第一次访问VPN网关之后，VPN网关记录远程认证用户的账号信息及其与组的关系。用户管理介绍目 录SSL VPN背景与基本原理介绍网神SSL VPN的特点网神SSL VPN部署方式，业务模式SSL VPN的配置操作常见部署模式常见部署模式-直连模式直连模式直连部署模式将网神SSL VPN以串接的方式连入网络中，成为内外网通讯的唯一路径。产品部署模式常见部署模式常见部署模式-旁路模式旁路模式旁路部署模式将

16、网神SSL VPN与内外网络的接口连接在一个交换机上。它的接入无需修改现有的网络拓扑，可根据需求灵活接入。产品部署模式典型应用场景典型应用场景-双机热备双机热备网神 SSL VPN安全接入网关支持两种双机热备方式：主机-备机/主机-主机。主机-备机模式（AP）：当主机DOWN掉后，备机切换成主机，提供服务，保证网络连通性。主机-主机模式（AA）：1.两台设备都在线工作，当其中一台设备DOWN掉后，由另外一台处理所有请求。2.两台设备同时提供服务，可根据客户端组件的计算，对客户端的请求实施负载均衡处理，保证两台网神SSL VPN均衡的工作。(负载均衡)产品部署模式典型应用场景典型应用场景-多多I

17、SPISP结合具体的国情，提供多个外网接口。可分别配置为不同运营商提供的IP地址。方便终端用户从不同运营商线路接入系统时，由客户端组件计算选择较好的链路进行连接，保证客户端的连接速度，保证用户使用体验的质量。产品部署模式端到端的连接端到端的连接Site to Site功能实现两个网段通过专有通道实现安全连通。比较适合于公司分支结构通过Site to Site的连接安全接入公司总部中，实现资源安全互相访问。产品部署模式代理（Proxy）工作模式用户应用程序Proxy127.0.0.x:port192.16.5.5:80a.b.c.d:443用户应用程序知道连接的是本机的端口；但是它不关心这个Pr

18、oxy自动将用户应用程序到应用服务器的连接捕获转到本地端口Proxy直接传递的是应用层的数据，所以可以解析高层协议Proxy需要暴露的端口信息更少，更能够支持高级协议嵌入工作模式产品工作模式NC（network connect）工作模式用户相当于在直接在本地访问内部数据 NC原理在客户端安装虚拟网卡，添加NC路由；通过SSL协议来承载IP报文客户端数据流向：客户端访问应用的IP报文通过被添加的NC路由被送向虚拟网卡；虚拟网卡将IP报文截获并重新发向SSL层进行处理；加入SSL头的IP报文作为一个独立的应用数据传向真实网卡；管理端数据流向：真实网卡获得客户端传来的数据 数据一层层解包，到SSL层

19、解开得到客户应用数据的IP包；该IP包被转交给管理端的虚拟网卡，并通过虚拟网卡转交给管理端上的 对应的真实接口传送出去；工作模式网关互联Site2Site原理模拟IPSec的端到端;和IPSec的区别：用SSL层而不是IP层来承载IP包；和NC服务的异同：都利用NC连接在SSL层承载IP包 NC服务是PC到SSL VPN设备之间的连接，而Site2Site是在两台SSL VPN设 备之间建立NC连接。总结：利用NC的原理，将NC客户端的PC机换成SSL VPN设备，就构成了Site2Site功能。目 录SSL VPN背景与基本原理介绍网神SSL VPN的特点网神SSL VPN部署方式，业务模式

20、SSL VPN的配置操作步骤1：使用交叉网线，将管理计算机连接到管理网口。管理网口指：网神SecSSL GE0口步骤2：将管理计算机的IP地址设置为与管理网口IP地址同一网段。管理网口IP地址缺省为192.168.1.100，所以，可设置管理计算机IP地址为“192.168.1.XXX”。例如，可设置管理计算机的IP地址为“192.168.1.11”，子网掩码为“255.255.255.0”。步骤3：在管理计算机的Web浏览器中，输入“https:/192.168.1.100/admin/”。步骤4：在“用户名”中输入“admin”，在“密码”中输入“admin”。步骤5：单击“登录”，系统显

21、示SecSSL 3600主界面。设备登录HA配置第一步，HA基本配置。两台设备都需要操作。HA配置第二步，添加业务地址。两台设备都需要操作。第三步，启动双机，同步配置。只需主设备进行操作。HA配置代理模式配置第一步，配置接口地址。注意配置接口路由。第二步，配置应用发布。代理模式配置第三步，建立用户帐号。代理模式配置第四步，创建用户组。注意，策略只对用户组有效。代理模式配置第五步，建立策略，关联用户组与发布的应用。代理模式配置NC模式配置第一步，配置接口地址。注意配置接口路由。NC模式配置第二步，发布业务，注意选择NC模式。可选择性开启虚拟安全桌面NC模式配置第三步，NC配置。1 设置NC地址池

22、。2 开启ARP代理。3 NC配置关联用户组NC模式配置第四步，添加用户，用户组。策略关联。此步骤与代理械无异，具体操作参照代理模式。NC模式配置第五步，安全桌面策略（可选项）。NC模式配置第六步，NAT配置。NC模式必须要有这个配置。NC模式配置第七步，下载SSLVPN客户端程序。下载安装客户端产品功能关键指标支持预防支持预防syn floodsyn flood攻击，忽略攻击，忽略icmpicmp回显请求回显请求产品功能关键指标远程唤醒功能，远程唤醒功能，管理员可以在用户界面配置办公室电脑管理员可以在用户界面配置办公室电脑MACMAC地址，地址，用户登陆后，点击唤醒电脑列表中对应的按钮可以远

23、程唤醒电脑用户登陆后，点击唤醒电脑列表中对应的按钮可以远程唤醒电脑,每个用户帐号可以有多个远程唤醒电脑。每个用户帐号可以有多个远程唤醒电脑。（要求提供配置截图）（要求提供配置截图）（网神独有控标点）（网神独有控标点）产品功能关键指标认证方式支持本地认证、认证方式支持本地认证、USBKeyUSBKey、短信认证、短信认证、指纹认证指纹认证、邮箱认、邮箱认证、证书认证、动态口令认证、证、证书认证、动态口令认证、LDAPLDAP认证、认证、windows ADwindows AD认证、认证、RADIUSRADIUS认证，并且支持支持本地用户名密码、证书认证、第三方认证，并且支持支持本地用户名密码、证

24、书认证、第三方证书、证书、LDAPLDAP、短信认证、指纹认证、邮箱认证之间的、短信认证、指纹认证、邮箱认证之间的“与与”的认的认证。可实现证。可实现USBKeyUSBKey认证、认证、LDAPLDAP认证、硬件特征码等多种因子绑定认证、硬件特征码等多种因子绑定认证。认证。产品功能关键指标支持支持RADIUSRADIUS双机认证双机认证，管理员可定义的，管理员可定义的Radius Radius 属性组与系统中其属性组与系统中其他组一样作为授权对象，可实时与他组一样作为授权对象，可实时与RADIUSRADIUS建立联系，保证用户数建立联系，保证用户数据更新，保证认证的高可用性。据更新，保证认证的

25、高可用性。产品功能关键指标支持短信访问授权功能支持短信访问授权功能，用户登录时，向授权人发送授权短信；授，用户登录时，向授权人发送授权短信；授权人需要在一定时间内回复是否同意授权，可以指定授权策略，每权人需要在一定时间内回复是否同意授权，可以指定授权策略，每一条策略可设置授权人帐号、多个远程接入用户组、授权有效期一条策略可设置授权人帐号、多个远程接入用户组、授权有效期（一天、一周、单次登录）、授权回复超时时间，用户授权失败或（一天、一周、单次登录）、授权回复超时时间，用户授权失败或者授权人超时没有授权，用户可以重新登录发起授权，两次授权之者授权人超时没有授权，用户可以重新登录发起授权，两次授权之间没有依赖关系。间没有依赖关系。产品功能关键指标可单独对每个应用进行负载均衡可单独对每个应用进行负载均衡，应用服务后端由多个服务器提供，应用服务后端由多个服务器提供，多个服务为功能对等的业务服务器，可以实现对此应用负载均衡多个服务为功能对等的业务服务器，可以实现对此应用负载均衡.100.0.0.100/24200.0.0.100/24192.168.1.100/2410.10.10.100/24