网神SSL-VPN产品---1..优秀PPT.ppt

《网神SSL-VPN产品---1..优秀PPT.ppt》由会员分享，可在线阅读，更多相关《网神SSL-VPN产品---1..优秀PPT.ppt（53页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网神SSL VPN产品 技术培训胶片目目 录SSL VPN背景与基本原理介背景与基本原理介绍网神网神SSL VPN的特点的特点网神网神SSL VPN部署方式，部署方式，业务模式模式SSL VPN的配置操作的配置操作SSLVPN背景介背景介绍SSLVPN(Security Socket Layer)。是由Netscape Communitcation于90年头发展起来的平安套接层协议，现在已作为互联网上平安电子商务交易的标准。用于保障Word Wide Web（WWW）通讯的平安。主要任务是供应私密性，信息完整性和身份认证。现有标准阅读器都能支持SSLVPN技术。其应用随着Web的普及和电子商务

2、、远程办公的兴起而发展快速。识别一个网站是否启用了 SSL 平安协议最简洁最干脆的方法就是看它的网址信息，通常的我们看到的都是以 :/开头的网址，而接受了该平安协议后，网址的开头是：s:/，多了一个 s，缺省端口是 TCP 443SSLVPN与与传统VPN对比比优势 1 操作平台独立性。SSL VPN 是通过标准的阅读器连接网络，不须要特殊的操作平台，SSLVPN 可以允许从任何地方进行远程访问，而和用户的操作系统平台无关。2 基于阅读器的接入。与IPSec VPN远程接入须要安装客户端软件不同，SSLVPN无需安装任何的客户端软件就可以访问企业网络。3 高级访问限制。SSLVPN 可供应高级

3、的应用程序级限制来访问企业内部数据而IPSec VPN只能供应网络层访问接入。4 牢靠性高。IPSec最适合的环境是固定办公区域，移动办公用户须要安装客户端软件才能建立加密隧道，但并非全部客户端环境均支持IPSec VPN的客户端程序。终端用户可能须要做出类似重新安装系统那样困难的操作，才能运用；5 平安性高。IPSec的用户验证方式单一并且简洁，无法明确区分运用该终端的人是否是可 授权的指定用户。IPSec无法对终端设备软件系统的平安性做出评估，无法检查终端用户的应用环境。SSLVPN原理原理 smtpftpSecure Socket LayerTCP/IP LayerSSL是一个不依靠于平

4、台和运用程序的协议，用于保障TCP-based运用平安，SSL在TCP层和运用层之间，就像运用层连接到TCP连接的一个插口。Application LayerTransport LayerNewwork LayerSSLVPN原理原理HandshakeAlertChange CipherSpecApplication DataRecord ProtocolSSL是一个层次化的协议，最底层是SSL record protocol(SSL纪录协议），record protocol包含一些信息类型或者说是协议，用于完成不同的任务。SSLVPN原理1.Record protocol2.protocol

5、:（记录协议）是主要的封装协议，它传输不同的高层协议和运用层数据。它从上层用户协议获得信息并且传输，执行须要的任务，例如：分片，压缩，运用MAC和加密，并且传输最终数据。它也执行反向行为，解密，确认，解压缩和重组装来获得数据。记录协议包括四个上层客户协议，Handshake（握手）协议，Alert（告警）协议，Change Cipher Spec（修改密钥说明）协议，Application Data（运用层数据）协议。SSLVPN原理3.Application Data protocol (运用程序数据协议）处理上层运用程序数据的传输。2.Handshake protocols 握手协议负责建

6、立和复原SSL会话。它由三个子协议组成。a.Handshake Protocol（握手协议）协商SSL会话的平安参数。b.Alert Protocol（告警协议）一个事务管理协议，用于在SSL对等体间传递告警信息。告警信息包括，1.errors(错误），2.exception conditions（异样状况）例如:错误的MAC或者解密失败，3.notification（通告）例如：会话终止。c.Change Cipher Spec Protocol（修改密钥说明）协议,用于在后续记录中通告密钥策略转换。目目 录SSL VPN背景与基本原理介背景与基本原理介绍网神网神SSL VPN的特点的特点网

7、神网神SSL VPN部署方式，部署方式，业务模式模式SSL VPN的配置操作的配置操作产品品简介介四大特性解决平安接入需求有“远程平安访问核心业务”需求的地方，都须要SSL VPN网神SSL VPN八大产品特色 领先的多链路智能选路技术实现对远程用户接入的快速响应独创的虚拟安全桌面技术确保业务数据终端无痕唯一支持动态短信授权确保关键业务访问可控终端快速安全接入“1秒钟”即可安全接入业务系统 多核、并行软硬件架构，自主研发的SecOS 安全操作系统 支持 IPV6 网络安全接入满足下一代互联网安全需求模块化按需配置，支持34个千兆或8个万兆口模块化接口配置高性能同时支持最大并发用户65000，加

8、密吞吐最高达2G产品品简介介产品功能关品功能关键指指标WAFIPsec VPNSSL VPNIDS 网神Sec SSL 防火墙主要功能：SSL VPN协助功能：IPSecVPN 防火墙控标功能：IDS WAF网神SSL VPN产品功能一览 产品关键技术及技术原理介绍产品关品关键技技术及技及技术原理介原理介绍产品关品关键技技术及技及技术原理介原理介绍产品关品关键技技术及技及技术原理介原理介绍虚拟服务的目的：用户不通过授权就可以通过虚拟服务的目的：用户不通过授权就可以通过SSL VPN设备代设备代理服务；理服务；虚拟服务和虚拟服务和DNAT区分：区分：干脆通过干脆通过SSL隧道代理服务。隧道代理服

9、务。不须要修改应用服务器回指路由。不须要修改应用服务器回指路由。可以用可以用VPN设备的随意接口设备的随意接口IP进行访问。进行访问。虚拟服务简介在SSL-VPN中，只要配置了地址映射，作用就是把从内部网进入到SSL隧道的IP报文的源IP地址映射为“地址映射”中配置的地址；把从SSL隧道中解析出来须要送到内部网的IP报文的目的地址从映射的地址转换为内部地址。LAN1和LAN2利用两台网神SSL VPN实现网络互联。LAN1中有一台PC1，IP地址为；LAN2中有一台PC2，IP地址为。Flow1为从PC1发出、目的地为PC2的IP报文；Flow2为从PC2发出、目的地为PC1的IP报文；NAT

10、在SSL-VPN中，对用户的管理依据森林模型进行管理，系统中每个用户都是叶子节点，每个用户可以属于多个组。VPN网关在授权时只针对用户组授权，不针对单个的用户账号进行授权。VPN网关中可以有多个认证服务器，每个认证服务器均构成一个根组，其下可以有多个用户组和用户。在授权时，用户得到的授权是从其所属的组继承来的，授权继承关系是依据递归的方式进行的，即用户能够继承从其干脆父组到根组的全部组的授权。SSL-VPN中添加用户账号有三种方式：1）干脆添加本地的口令、证书账号；本地用户密码以HASH值的形式保存。2）通过添加远程认证服务器，并从服务器下载用户账号（仅限于LDAP，AD服务器）；3）通过添加

11、远程认证服务器，默认允许用户访问，当用户第一次访问VPN网关之后，VPN网关记录远程认证用户的账号信息及其与组的关系。用户管理介绍目目 录SSL VPN背景与基本原理介背景与基本原理介绍网神网神SSL VPN的特点的特点网神网神SSL VPN部署方式，部署方式，业务模式模式SSL VPN的配置操作的配置操作常见部署模式常见部署模式-直连模式直连模式直连部署模式将网神SSL VPN以串接的方式连入网络中，成为内外网通讯的唯一路径。产品部署模式常见部署模式常见部署模式-旁路模式旁路模式旁路部署模式将网神SSL VPN与内外网络的接口连接在一个交换机上。它的接入无需修改现有的网络拓扑，可依据需求敏捷

12、接入。产品部署模式典型应用场景典型应用场景-双机热备双机热备网神 SSL VPN平安接入网关支持两种双机热备方式：主机-备机/主机-主机。主机-备机模式（AP）：当主机DOWN掉后，备机切换成主机，供应服务，保证网络连通性。主机-主机模式（AA）：1.两台设备都在线工作，当其中一台设备DOWN掉后，由另外一台处理全部恳求。2.两台设备同时供应服务，可依据客户端组件的计算，对客户端的恳求实施负载均衡处理，保证两台网神SSL VPN均衡的工作。(负载均衡)产品部署模式典型应用场景典型应用场景-多多ISPISP结合具体的国情，供应多个外网接口。可分别配置为不同运营商供应的IP地址。便利终端用户从不同

13、运营商线路接入系统时，由客户端组件计算选择较好的链路进行连接，保证客户端的连接速度，保证用户运用体验的质量。产品部署模式端到端的连接端到端的连接Site to Site功能实现两个网段通过专有通道实现平安连通。比较适合于公司分支结构通过Site to Site的连接平安接入公司总部中，实现资源平安相互访问。产品部署模式代理（代理（Proxy）工作模式）工作模式用户应用程序Proxy127.0.0.x:port192.16.5.5:80a.b.c.d:443用户应用程序知道连接的是本机的端口；但是它不关切这个Proxy自动将用户应用程序到应用服务器的连接捕获转到本地端口Proxy干脆传递的是应用

14、层的数据，所以可以解析高层协议Proxy须要暴露的端口信息更少，更能够支持高级协议嵌入工作模式产品工作模式NC（network connect）工作模式）工作模式用户相当于在干脆在本地访问内部数据 NC原理原理在客户端安装虚拟网卡，添加NC路由；通过SSL协议来承载IP报文客户端数据流向：客户端访问应用的IP报文通过被添加的NC路由被送向虚拟网卡；虚拟网卡将IP报文截获并重新发向SSL层进行处理；加入SSL头的IP报文作为一个独立的应用数据传向真实网卡；管理端数据流向：真实网卡获得客户端传来的数据 数据一层层解包，到SSL层解开得到客户应用数据的IP包；该IP包被转交给管理端的虚拟网卡，并通过

15、虚拟网卡转交给管理端上的 对应的真实接口传送出去；工作模式网关互网关互联Site2Site原理原理模拟IPSec的端到端;和IPSec的区分：用SSL层而不是IP层来承载IP包；和NC服务的异同：都利用NC连接在SSL层承载IP包 NC服务是PC到SSL VPN设备之间的连接，而Site2Site是在两台SSL VPN设 备之间建立NC连接。总结：利用NC的原理，将NC客户端的PC机换成SSL VPN设备，就构成了Site2Site功能。目目 录SSL VPN背景与基本原理介背景与基本原理介绍网神网神SSL VPN的特点的特点网神网神SSL VPN部署方式，部署方式，业务模式模式SSL VPN

16、的配置操作的配置操作步骤1：运用交叉网线，将管理计算机连接到管理网口。管理网口指：网神SecSSL GE0口步骤2：将管理计算机的IP地址设置为与管理网口IP地址同一网段。管理网口IP地址缺省为192.168.1.100，所以，可设置管理计算机IP地址为“192.168.1.XXX”。例如，可设置管理计算机的IP地址为“192.168.1.11”，子网掩码为“255.255.255.0”。步骤3：在管理计算机的Web阅读器中，输入“s:/192.168.1.100/admin/”。步骤4：在“用户名”中输入“admin”，在“密码”中输入“admin”。步骤5：单击“登录”，系统显示SecSS

17、L 3600主界面。设备登登录HA配置配置第一步，HA基本配置。两台设备都须要操作。HA配置配置其次步，添加业务地址。两台设备都须要操作。第三步，启动双机，同步配置。只需主设备进行操作。HA配置配置代理模式配置代理模式配置第一步，配置接口地址。留意配置接口路由。其次步，配置应用发布。代理模式配置代理模式配置第三步，建立用户帐号。代理模式配置代理模式配置第四步，创建用户组。留意，策略只对用户组有效。代理模式配置第五步，建立策略，关联用户组与发布的应用。代理模式配置代理模式配置NC模式配置第一步，配置接口地址。留意配置接口路由。NC模式配置其次步，发布业务，留意选择NC模式。可选择性开启虚拟平安桌

18、面NC模式配置第三步，NC配置。1 设置NC地址池。2 开启ARP代理。3 NC配置关联用户组NC模式配置第四步，添加用户，用户组。策略关联。此步骤与代理械无异，具体操作参照代理模式。NC模式配置第五步，平安桌面策略（可选项）。NC模式配置第六步，NAT配置。NC模式必须要有这个配置。NC模式配置第七步，下载SSLVPN客户端程序。下载安装客户端产品功能关品功能关键指指标支持预防支持预防syn floodsyn flood攻击，忽视攻击，忽视icmpicmp回显恳求回显恳求产品功能关品功能关键指指标远程唤醒功能，管理员可以在用户界面配置办公室电脑远程唤醒功能，管理员可以在用户界面配置办公室电脑

19、MACMAC地址，地址，用户登陆后，点击唤醒电脑列表中对应的按钮可以远程唤醒电脑用户登陆后，点击唤醒电脑列表中对应的按钮可以远程唤醒电脑,每个用户帐号可以有多个远程唤醒电脑。（要求供应配置截图）每个用户帐号可以有多个远程唤醒电脑。（要求供应配置截图）（网神独有控标点）（网神独有控标点）产品功能关品功能关键指指标认证方式支持本地认证、认证方式支持本地认证、USBKeyUSBKey、短信认证、短信认证、指纹认证指纹认证、邮箱认、邮箱认证、证书认证、动态口令认证、证、证书认证、动态口令认证、LDAPLDAP认证、认证、windows ADwindows AD认证、认证、RADIUSRADIUS认证，

20、并且支持支持本地用户名密码、证书认证、第三方认证，并且支持支持本地用户名密码、证书认证、第三方证书、证书、LDAPLDAP、短信认证、指纹认证、邮箱认证之间的、短信认证、指纹认证、邮箱认证之间的“与与”的认的认证。可实现证。可实现USBKeyUSBKey认证、认证、LDAPLDAP认证、硬件特征码等多种因子绑定认证、硬件特征码等多种因子绑定认证。认证。产品功能关品功能关键指指标支持支持RADIUSRADIUS双机认证双机认证，管理员可定义的，管理员可定义的Radius Radius 属性组与系统中其属性组与系统中其他组一样作为授权对象，可实时与他组一样作为授权对象，可实时与RADIUSRADI

21、US建立联系，保证用户数建立联系，保证用户数据更新，保证认证的高可用性。据更新，保证认证的高可用性。产品功能关品功能关键指指标支持短信访问授权功能，用户登录时，向授权人发送授权短信；授支持短信访问授权功能，用户登录时，向授权人发送授权短信；授权人须要在确定时间内回复是否同意授权，可以指定授权策略，每权人须要在确定时间内回复是否同意授权，可以指定授权策略，每一条策略可设置授权人帐号、多个远程接入用户组、授权有效期一条策略可设置授权人帐号、多个远程接入用户组、授权有效期（一天、一周、单次登录）、授权回复超时时间，用户授权失败或（一天、一周、单次登录）、授权回复超时时间，用户授权失败或者授权人超时没有授权，用户可以重新登录发起授权，两次授权之者授权人超时没有授权，用户可以重新登录发起授权，两次授权之间没有依靠关系。间没有依靠关系。产品功能关品功能关键指指标可单独对每个应用进行负载均衡，应用服务后端由多个服务器供应，可单独对每个应用进行负载均衡，应用服务后端由多个服务器供应，多个服务为功能对等的业务服务器，可以实现对此应用负载均衡多个服务为功能对等的业务服务器，可以实现对此应用负载均衡.