? 版权声明
Copyright ? 2006-2011 网御神州科技(北京)有限公司 (“网御神州”) 版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
? 文档信息
文档名称 网神SecSSL 3600安全接入网关技术白皮书 扩散范围 销售/售前/客服/渠文档版本号 V6.4.1 道商/用户 作者 陈蛟 日期 2011/04/28 初审人 宋伟 复审人 陈华平
? 版本变更记录
时间 版本 说明 作者
? 版权所有 网御神州科技(北京)有限公司
2
网神SecSSL 3600安全接入网关·技术白皮书
目 录
1 产品概述 ............................................................................................................... 5 2 产品功能说明 ....................................................................................................... 7 2.1 SSL 应用发布 ............................................................................................. 7 2.1.1 B/S软件的应用 ................................................................................. 7 2.1.2 企业站点的应用 ................................................................................. 7 2.1.3 单点登录功能(SSO) ..................................................................... 8 2.1.4 C/S应用发布 ..................................................................................... 8 2.1.5 TCP端口应用 .................................................................................. 10 2.1.6 SSL 隧道模式 .................................................................................. 10 2.2 LAN TO LAN 的解决方案 .................................................................... 11 2.3 远程用户安全性检查 ................................................................................ 11 2.4 远程用户访问认证 .................................................................................... 12 2.5 用户访问策略 ............................................................................................ 12 2.6 日志审计功能 ............................................................................................ 12 2.7 防火墙功能 ................................................................................................ 13 2.8 支持动态IP接入 ...................................................................................... 13 2.9 完美的个性化定制 .................................................................................... 14 3 产品技术优势 ..................................................................................................... 14 3.1 将C/S应用转成B/S访问 ...................................................................... 14
? 版权所有 网御神州科技(北京)有限公司
3
网神SecSSL 3600安全接入网关·技术白皮书
3.2 Web应用功能 .......................................................................................... 15 3.3 访问的安全性 ............................................................................................ 15 3.4 稳定性及高可用性 .................................................................................... 17 3.5 低带宽运行特性 ........................................................................................ 17 3.6 部署灵活,维护简单 ................................................................................ 18 4 典型应用 ............................................................................................................. 18
? 版权所有 网御神州科技(北京)有限公司
4
网神SecSSL 3600安全接入网关·技术白皮书
1 产品概述
网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。
网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。
网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
? 版权所有 网御神州科技(北京)有限公司
5
网神SecSSL 3600安全接入网关·技术白皮书
网神SSL VPN的基于代理主机的,它通过终止网络边缘的连接而提供一个附加的安全层。这就意味着只有经过授权的用户才被获准接入,而非法远程用户绝不会直接连接到你的网络。这降低了恶意的或意外的病毒攻击。网神SSL VPN产品,对访问者进行了强制的安全检查,也可以在其使用特殊的安全应用时隔离其和外部网络的联系,从而保护应用的高安全性。
网神SSL VPN严格制度管理控制技术能够使你明确而容易地定义资源安全的发布,细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。全范围身份认证方法的支持:网神SSL VPN支持广泛范围的鉴别系统,包括用户名/密码、数字认证、LDAP、RADIUS、RSA SecurID 标记和其它通用的双因素等认证系统。网神SSL VPN提供了额外的安全性功能特性,以适应各种接入的设备。例如,若从公共网吧改进安全性,SSL提供一个“话路终止”功能部件。能够使用户阻挡认证形式的自动完成,所以,避免了用户粗心地将密码信息留在一个网吧所造成的安全隐患。网神SSL VPN产品让用户轻松而安全地实现远程访问,让公司的网络应用部署更灵活,同时,网神SSL VPN 还可以为企业最大化地节约成本,而且,网神SSL VPN会为企业用户提供最好的整体解决。
网神SSL VPN通过結合 SSL 和代理技术来减少风险终端控制技术检测、保护使用者环境,从而授权使用者的访问级別,策略执行不仅基于使用者名称,还能检测使用者环境的信任级別,可以针对那些需要特殊环境的使用者,提供最好的解決方案。
网神SSL VPN提供了用户自己定义界面的功能 ,用户可以根据自己的个性,定制入口界面,用户还可以把登录的LOGO换成自己公司的,并且,可以
? 版权所有 网御神州科技(北京)有限公司
6
网神SecSSL 3600安全接入网关·技术白皮书
让不同的用户定制属于自己的界面,让用户真正体验网御神州产品的感受。
2 产品功能说明
2.1 SSL 应用发布
网神SSL VPN提供了很强的Web代理功能,网神SSL VPN所支持的浏览器类型包Html,Dhtml,Jsp,Asp,Java applet,Active,Cookies等各种Web技术。可以让远程用户安全地使用内部的Web资源,具体如下:
2.1.1 B/S软件的应用
通过网神SSL VPN可以发布企业内部B/S软件系统,如OA。最初的B/S应用,是通过前端的路由器或防火墙转发应用端口来实现的,但安全性和可靠性没有保障,而且数据在公网上传输是没有加密的,通过网神SSL VPN就可以轻松解决这个问题。
2.1.2 企业站点的应用
企业内部有很多站点应用,如大集团公司内部有很多网站,上面有很多内部新闻,信息公告等,这个网站是不能公开发布的,必须是企业内部的人员才可以访问,另外,远程的员工和出差员工也可能要看这些信息,这就要有一个安全的访问方式,网神SSL VPN的Web应用可以为企业用户解决这个问题,首先,在网神SSL VPN 上发布站点资源,包括外部的站点(网站在外部或托管的),然后,给用户作个认证方式,这样,企业用户就可以安全地使用内部站点的资源了。
? 版权所有 网御神州科技(北京)有限公司
7
网神SecSSL 3600安全接入网关·技术白皮书
2.1.3 单点登录功能(SSO)
网神SSL VPN产品,给应用系统复杂且多的企业,提供了一个全新的基于应用的安全管理方式, 他可以结合企业目录服务,对一个内部网络用户进行集中式应用的权限分发和管理(即统一的身份认证和访问控制), 通过内置的SSO(Single sign on)单点登录,将不同应用的不同身份认证方式,不同的访问权限,进行一个有效的整合,方便了用户的使用,简化了多次的登录过程和网络管理员在权限管理上的复杂性。
网神SSL VPN将门户网站和权限控制、身份认证、SSO进行了统一的整合,只要经过一次身份合法确认后,权限内的其他应用就不用再次输入密码了,有效地解决了企业应用系统多时输入过多密码的不便。
2.1.4 C/S应用发布
网神SSL VPN对C/S架构的应用,提供了一个更好的解决方案,就是能让用户在游览器里就能够使用自己的C/S程序,而无需安装软件的客户端。以前,我们在用C/S软件的时候,总是这样设计的,首先,要先装好一台服务器,然
? 版权所有 网御神州科技(北京)有限公司
8
网神SecSSL 3600安全接入网关·技术白皮书
后,在上面装好C/S应用的服务器端软件及数据库,最后,用户还要在客户端电脑上安装C/S应用软件的客户端,然后,用户在使用的时候,先运行自己电脑上的软件客户端,再联到服务器端,最后,才可以使用这个软件,那这个应用如何在互联网上使用呢?我们一个企业的ERP应用来做个分析:
传统方案,首先还是要在总部装一台服务器并装好ERP的服务器端,并且,要把服务器软件的应用端口要映射到公网上,远程用户电脑上装上ERP客户端,然后,用ERP客户端去联服务器端,这样,远程用户可以使用这个软件系统。
网御神州方案,总部先装好一台ERP服务器,然后,前面装一台VPN,远程用户不用装ERP的客户端软件,直接可以用浏览器以VPN的形式去访问ERP服务器。
以上两个方案,我们作个比较
功能描述
方案二 无需安装 有 有 方案一 远程用户客户端软件 需要安装 加密 认证 跨平台 安全性 速度 易用性 软件维护 无 无 Windows 支持JAVA浏览器的任何平台 低 慢 一般 复杂 高 快 好 简单 从上表可以看出,方案二的优势非常明显,网神SSL VPN的C/S转B/S应用为企业提供了既安全,又简单的远程应用解决方案,是企业用户C/S应用的
? 版权所有 网御神州科技(北京)有限公司
9
网神SecSSL 3600安全接入网关·技术白皮书
最佳选择。
2.1.5 TCP端口应用
网神SSL VPN还提供了一种更灵活的应用方式,TCP端口应用,这种应用可以发布总部服务器上任何一个TCP端口,如1433,21,80等,远程用户只要通过SSL认证后,即可直接使用这个发布的TCP端口,这种应用给企业应用布署提供了更灵活的解决方案,适合于复杂的网络环境及应用环境,而且这个方式也可以弥补一些Web应用中的不足和一些复杂的Web应用,为企业提供了一个可伸缩性的解决方案。利用TCP发布的端口应用,远程用户可安全地,透明的访问总部服务器的资源,如内部的MAIL系统,远程用户可以利用TCP应用,直接使用自己的MAIL系统,TCP端口应用的透明方式,使用户无需修改自己的MAIL参数,而直接可以使用内部MAIL系统,给用户使用带来了极大的方便性。
2.1.6 SSL 隧道模式
针对于企业应用中的UDP应用,及语音和视频流应用,网神SSL VPN提供了全隧道模式,这个隧道模式完全支持网络层以上的所有应用,而且,还可以让网络管理人员在远程能够访问到企业内部的所有电脑及网络设备;只要远程用户通过网神SSL VPN 界面开启客户端隧道功能,就可以访问总部已发布的网络资源了,并且,还可以双向访问,网神SSL VPN 隧道模式,为企业用户提供了更加完整的远程应用解决方案。
? 版权所有 网御神州科技(北京)有限公司
10
网神SecSSL 3600安全接入网关·技术白皮书
2.2 LAN TO LAN 的解决方案
对于异地网络互联,分公司和总部的互联的应用需求,网神SSL VPN 还提供了LAN TO LAN的完美解决方案,只要总部和分公司各安装一台网神SSL VPN,就可以轻松实现两个内部网络的互联,真正地把不同地区的两个局域网联在一起,让用户感觉不到地域的间隔,就像访问内网一样来访问总部的资源,给用户访问带来极大的方便。
支持IPSEC协议互联,支持IPSEC客户端接入,为远程用户提供了一个完整的解决方案,另外,还支持PPTP SERVER,当用户选用此功能时,在登录SSL时,SSL会自动建立一条PPTP隧道到SSL上,省去了用户的配置过程,应用更加方便。
2.3 远程用户安全性检查
网神SSL VPN针对远程用户还提供了一种安全性检查机制,当远程用户在使用网神SSL VPN前,首先,对用户电脑系统进行一些可定制的检查,如WINDOWS的安全补丁,防病毒软件等有没有安装,也可以对用户的电脑进行绑定,检查用户电脑系统及硬件是不是允许访问的电脑,这样,对于企业内部来说,又多了一层安全的保护,网神SSL VPN 的远程用户安全性检查,既确保了远程用户的可信度,又可以减少由于远程接入而带来的安全隐患。
支持用户上网隔离,用户登录SSL后,不能使用外网资源,如QQ、网站等,支持硬件绑定,把用户账号和电脑硬件绑定在一起,这样,可以锁定用户使用的电脑,增加用户接入的安全性,支持用户登录时的软键盘使用,可以有效防止用户端的木马记录键盘信息。
? 版权所有 网御神州科技(北京)有限公司
11
网神SecSSL 3600安全接入网关·技术白皮书
2.4 远程用户访问认证
为了提高企业门户的安全性,网神SSL VPN提供了多种用户认证方式,包括本地用户认证,证书认证,WINDOWS AD,RADIUS,LDAP,USB-KEY,动态令牌,短信认证等,为企业用户提供了多种认证及交叉认证,从而更灵活地布转署了认证策略,让企业放心地提供远程接入,让远程访问更加安全。
此外,网御神州SSL还可以使用第三方的数据库认证,如结合SQL,ORACLE,SYBASE等数据的账号作为SSL的登录认证账号,还有更高级的认证,指纹认证和邮箱账号认证。支持多种文本账号批量导入,支持LDAP账号,数据库账号导入,与第三方数据库完美结合。支持认证顺序配置,包括第三方数据库认证,支持VIP用户。
2.5 用户访问策略
网神SSL VPN还支持细致的用户锁定策略,支持时段锁定和管理员解锁两种方式, 指纹用户的增强,支持后台管理指纹的录制和指纹的增删等 支持检验与校验模式两种方式的指纹认证模式,支持任意的类型用户的,对应用户与默认用户的分配权限的模式。可以配置用户访问时间的控制策略,包括多个时间段,有效控制站点的开发时间。
2.6 日志审计功能
可以对用户的访问过程作详细记录,网神SSL VPN网关提供了调试、信息、告警、错误等级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。
? 版权所有 网御神州科技(北京)有限公司
12
网神SecSSL 3600安全接入网关·技术白皮书
由于VPN网关的存储空间有限,网神SSL VPN还提供了独立的日志中心。通过第三方的日志中心,管理员可查看用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。网神SSL VPN安全网关丰富的日志中心,为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。
2.7 防火墙功能
网神SSL VPN还提供了一些防火墙功能,支持路由模式,支持PPPOE,NAT,DHCP,用户可根据自己的需求来定制自己的防火墙规则,如根据IP,端口,协议,时间等参数,进行对内网及外网的控制,为企业用户又提供了一层安全保护。
2.8 支持动态IP接入
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。网神SSL VPN集成了目前常用的动态域名客户端,可以轻松解决用户动态公网IP接入的问题,使网神SSL VPN在部署的时候无需固定IP,完全支持动态IP。由于网神SSL VPN内置动态域名客户端,所以,用户就不必在前端的路由器或电脑上安装动态域名软件,这样,不仅可以减少了管理员的维护量,而且,也增加了远程接入的可靠性,移动办公人员使用浏览器连接入公司内网时,也更加便捷。由于支持动态IP接入,网神SSL VPN同样也适合中小型企业。
? 版权所有 网御神州科技(北京)有限公司
13
网神SecSSL 3600安全接入网关·技术白皮书
2.9 完美的个性化定制
网神SSL VPN可以为远程用户创建全面可定制的登录界面,它支持消息公告以及时的发布企业信息,Logo及页面定制,用户界面风格定制,页面标题定制,前台资源图标定制。
为不同角色的用户提供个性化的登录界面外观,从而改进用户体验。
3 产品技术优势
3.1 将C/S应用转成B/S访问
传统的C/S 结构的应用系统运行性能稳定,但在进行异地分支运行时,有安装、维护成本高的缺点,尤其是在一个企业有很多C/S的应用需要分配给远程用户时,系统管理员需要给远端用户安装多个C/S的客户端,安装和维护成本更高。
现在,网神SSL VPN可以将C/S的应用集中管理,使用户通过Web方式,将企业C/S的应用按不同的用户,分配给不同的应用.也就是将多个C/S应用接转化为B/S 架构,使企业集团中所有的应用系统都可使用标准的浏览器运行,同时可优化企业中B/S 架构的应用。
使用网神SSL VPN,可以将需要在远程安装客户端的应用程序,完全集中在中心进行管理,无需要任何客户端即无VPN客户端和应用程序客户端(比如用友ERP的远程用户,无须安装ERP的CLIENT端),仅仅使用WINDOWS标准的浏览器实现远程访问(包括B/S 、C/S应用),简化了工作环节,与传统的PC
? 版权所有 网御神州科技(北京)有限公司
14
网神SecSSL 3600安全接入网关·技术白皮书
组网方式相比大大地减少了维护人员的工作量,解决了C/S应用部署难的问题。既将C/S系统转换为B/S架构,大大降低了总体拥有成本,由于CAB技术完全基于中心系统运行的特性,使得网络硬件升级换代的代价大大降低,只需中心端适当升级即可,远程客户端本身不必考虑。
3.2 Web应用功能
网神SSL VPN所支持的浏览器类型包含Html,Dhtml, Jsp, Asp,Java applet, Active, Cookies等各种Web技术,通过html智能重构技术、应用转换技术和TCP端口应用技术及IP层隧道功能,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。
3.3 访问的安全性
SSL用户在访问过程中的安全性保障是通过以下几方面进行的: 1. 用户认证
本地用户认证,证书认证,WINDOWS AD,RADIUS,LDAP,USB-KEY,动态令牌,短信认证等多因子多因素强认证功能,支持硬件绑定认证,支持第三方数据库认证(SQL,SYBASE,ORACLE),支持指纹认证,支持邮箱账号认证,支持多种认证混合使用,极大的提高了远程用户可信度和安全性;
2. 客户端安全检查
? 版权所有 网御神州科技(北京)有限公司
15
网神SecSSL 3600安全接入网关·技术白皮书
对用户电脑的系统进行定制检查,如WINDOWSA的安全补丁,防病毒软件安装等,发现不符合条件的,不允许访问到SSL; 3. 高效认证加密
用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性和完整性; 4. 细致的访问权限控制
网神SSL VPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
5. 自动清除访问记录,实现“零痕迹”访问
网神SSL VPN在用户结束访问以后,会自动清除Cookie,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。 6. 超时退出,防止窥探
为防止用户在没有注销的情况下长时间离开,导致他人窥探到网神SSL VPN内的机密信息,网神SSL VPN安全网关特别加入了不活动检测引擎。 当检测到客户端在指定时间内没有任何访问内网资源的流量时,网神SSL VPN接入网关将自动弹出对话框,提示用户:“SSL连接会在X秒内超时关闭,继续还是注销?”,若用户在该时间内仍未选择相应动作,则
? 版权所有 网御神州科技(北京)有限公司
16
网神SecSSL 3600安全接入网关·技术白皮书
网神SSL VPN安全网关将自动注销,中断会话并重新返回登录界面。
3.4 稳定性及高可用性
由于网神SSL VPN采用的是其于LINUX的内核,并对其内核进行优化,系统的稳定性得到更一步提高,加上采用特定的硬件设备,及对硬件的定制开发,使得网神SSL VPN的稳定性更加可靠,网神SSL VPN支持多设备进行负载均衡及SSL热备,从而,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。
3.5 低带宽运行特性
目前,用户大多通常使用ADSL 2MB的带宽,如果不采用其他加速技术,在速度上很难满足用户的正常使用,尤其是C/S系统在有大量数据库查询动作时,速度问题尤其明显,因此远程用户除考虑VPN远程连接的稳定性、VPN技术的安全性还需要考虑VPN系统对带宽的占有率,在正常情况下,提高远程VPN运行速度,大多是通过提高带宽方法来增加速度,也有通过使用CITRIX和RDP的技术来实现。现在,网神SSL VPN产品就从根本上为用户解决了速度问题。
网神SSL VPN采用了CAB技术,提供了数据压缩和应用加速功能,在网络上只传输鼠标、键盘指令和远端变化部分的屏幕信息,带宽占有量只要30K。通过网神SSL VPN平台,使用CDMA和GPRS上网方式 也可以流畅的运行您广域网络上的应用。
? 版权所有 网御神州科技(北京)有限公司
17
网神SecSSL 3600安全接入网关·技术白皮书
3.6 部署灵活,维护简单
网神SSL VPN可以采用直接连接互联网或内部单臂模式,对于企业部署极为简单,并且,应用发布简单,可以快速的部署应用,对于远程用户来说,应用更为简单,只需打开浏览器,就可以轻松实现远程访问,由于一般只需维护总部的SSL和服务器,远程用户的维护量几乎为零。
4 典型应用
1) 单机模式组网示例
单机模式为最简便的部署方式,适用于不需要区分多ISP的组网。一个典型的单机模式组网示例;如下:
2) 多ISP组网示例
多ISP组网模式适用于需要区分多ISP的组网,以便解决跨运营商访问网神SSL VPN可能出现的低速和不稳定的问题。一个典型的多出口模式组网示例,
? 版权所有 网御神州科技(北京)有限公司
18
网神SecSSL 3600安全接入网关·技术白皮书
如下图所示。
3) HA模式组网示例
HA模式适用于需要提供高可用性的组网,可最大程度地保证系统可靠性,确保远程用户可随时远程接入内部网络。一个典型的HA模式组网示例,如下图所示。
4) Site-Site模式组网示例
? 版权所有 网御神州科技(北京)有限公司
19
网神SecSSL 3600安全接入网关·技术白皮书
Site-Site模式适用于提供对两个分支机构之间的VPN连接和资源共享,使得用户只需要网神SSL VPN就可以构建完整的VPN网络。
? 版权所有 网御神州科技(北京)有限公司
20
因篇幅问题不能全部显示,请点此查看更多更全内容