产品培训-VPN(客户)-深信服

VPN产品培训1.VPN背景知识介绍2.广域网络存在问题3.IPSecVPN应用领域4.SSLVPN应用领域VPN背景知识介绍Page4VPN简介VPN（VirtualPrivateNetwork）虚拟专用网：依靠ISP（InternetServiceProvider互联网服务提供商）提供的公网线路（如ADSL等），建立专用数据通信网络的技术，是DDN、FR、ATM等技术的替代方式主要作用连接各私有网络和私人用户保护在公网上传播的数据实现对专有资源的访问授权VPN相对于专线的优势:性价比高！Page5VPN网络定位内部网络Page6IPSecVPN•优势-网对网的组网方式，可实现三级或多级组网-组网方式较为固定，适合机构间组网-用户透明访问，无需登录操作（移动用户仍需软件客户端）•不足之处-权限不可具体到用户，-网络层完全开放，内网资源直接暴露给分支用户-不适用于手持移动终端Page7IPSecVPN组网深信服AC(上网行为管理）、SSLVPN、WAC（广域网加速）、SG（上网优化管理）都含有IPSecVPN模块，为客户实现网络优化的同时提供更高的网络价值！Page8SSLVPN•优势点对网的组网方式，二级组网基于浏览器的访问，使用方便适用于手持移动终端权限划分可具体到用户•不足之处二级组网，不适用于多级网络组网应用单向访问，不适用于总部与分支都有业务系统的访问用户终端需要登录操作Page9SSLVPN组网深信服SSLVPN为SSL/IPSec二合一VPN设备，提供网对网机构组网、点对网移动办公双价值！Page10IPSecVPN与SSLVPN区别•IPSecVPN网对网的组网方式，三级或多级组网组网固定用户透明访问权限不可具体到用户不适用于手持移动终端•SSLVPN点对网的组网方式，二级组网浏览器访问适用与手持移动终端权限划分可具体到用户广域网建设存在的问题Page12广域网建设存在的问题随着组织机构扩大，众多分支如何实现互联？众多互联解决方案，那种是最适合企业的互联解决方案互联网虚拟专用网网络专线Page13广域网建设存在的问题数据传输的安全性如何保证-依赖互联网运行的业务系统时刻面临着数据遭到窃取等安全隐患。-不法分子轻易就能伪造或纂改企业的重要商业信息。-近而给企业带来名誉和财产上的损失，以及法律纠纷等问题。Page14广域网建设存在的问题总部及分支内网安全如何保障企业分支UserUserUserServersMailServerMailServerWebServerWebServerDMZ企业分支企业总部网络IPSpoofing攻击DoS攻击Worm病毒所知的攻击后门攻击未知攻击…越来越多…在大型企业网络中，分支内网安全往往影响总部网络的安全注意Page15广域网建设存在的问题大型企业网络如何进行集中管理-企业众多分支内网安全策略无法统一配置-分支节点设备运行状况及链路情况如何监控？-大量移动用户配置维护耗费管理员大量时间和精力-分支增加带来管理及现场支持成本的持续增长导致的结果是：网络规模越大，带来的管理成本也越大IPSecVPN应用领域Page17VPN应用领域及优势大中型企业异地机构互联中小型分支IPSecVPNIPSecVPN合作伙伴IPSecVPN内部网InternetSANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPN方案描述•应用背景：公司分支机构和各门店营销点分部在全国各个区域。需要把ERP、进销存和财务系统在所有各机构统一部署•带来价值：各分支从互联网上通过VPN隧道就能安全、便捷、低成本的访问企业总部应用资源并实现信息共享Page18VPN应用领域及优势大网中建小网小型分支IPSecVPNIPSecVPNIPSecVPN方案描述•应用背景：行业专网是行业内部生产、工作的网络平台，几乎所有本行业单位都使用该网络。因为使用人员广泛，成分复杂，加之有大量需要对内部保密的应用（如财务系统）•带来价值：利用VPN在专网内构建有保密功能的“安全子网”，给用户数据信息带来真正的安全SANGFORM/P/SVPN中型分支SANGFORM/P/SVPNSANGFORMVPN行业专网财务子网专线专线专线其它子网中心站点Page19VPN应用领域及优势行业专网建设延伸末端分支专线InternetSANGFORP/SVPNSANGFORMVPNSANGFORMVPN二级分支SANGFORMVPN行业专网二级分支末端分支SANGFORP/SVPNIPSecVPNIPSecVPN一级部门•应用背景：行业用户专线网络构建完成后，常常面临延伸的困扰，地市延伸至县，市/县延伸至乡镇和街道各个节点，如果全部铺设专线，要面临费用和实施两方面的困难•带来价值：VPN使行业用户利用互联网来安全、方便、价廉的延伸行业专网，降低成本的同时提供灵活可控的安全方案描述Page20VPN应用领域及优势构建VPN备份网络中小型分支IPSecVPNIPSecVPNIPSecVPNInternet方案描述•应用背景：对可用性要求很高的企业，为了提供专线的备份网络，常利用互联网这种低廉的基础网络来建设备份网络•带来价值：基于VPN技术构建的备份网络，相较专线备份网络能大大节省企业成本，并提供更高的安全性和部署灵活性SANGFORM/P/SVPN大型分支SANGFORM/P/SVPNSANGFORMVPN行业专网专线专线专线Page21VPN应用领域及优势专线改造及替换中型分支快速IPSec快速IPSec小型分支InternetSANGFORWANACCSANGFORWANACC大型分支SANGFORWANACCSANGFORWANACC方案描述•应用背景：随着企业分支及应用的增多，对专线数量及带宽的需求日益增多，也因此给企业带来沉重的经济负担•带来价值：采用快速VPN替代原有专线，不单大幅降低线路成本，其加速技术能使用户获得类似专线乃至超过专线链路下的访问速度，提升企业效率中心站点快速IPSecPage22成本线路每月ADSL成本500上海-深圳2MDDN12000•每月节约成本：12000×3-500×2=35000•VPN设备成本：1台M5100，3台M5000，总成本134550•投资回报分析：134500/35000=3.84•即3.84个月可以收回投资•以客户有三条2M专线为例，替换为VPN后，总部增加两条ADSL（我们的加速产品可以使用多线路），各分支直接使用已有的ADSL（所以无须计算成本增加）专线替换投资回报分析VPN网络优势—最佳投资回报Page23成本线路每月上海-深圳768KbDDN7000上海-深圳2MDDN12000•每月节约成本：（12000-7000）×3=15000•加速VPN设备成本：1台M5100，3台M5000，总成本134550•投资回报分析：134500/15000=8.97•即8.97个月可以收回投资•以客户有三条专线为例•示例适合客户原本需要增加到2M，采用加速VPN后无需增加带宽成本减少投资回报分析SSLVPN应用领域常用的应用背景•大量出差在外的人员需要移动办公•希望第三方机构（有业务交互的第三合作伙伴、有业务往来的第三方机构、被监管的组织和机构）也能用到一部分IT系统，但必须保证严格的权限分配和接入的安全性。•偏远地区的分支，维护成本高，专线无法涉及或者设备维护成本高，需要一种简单便捷的接入方式。内网外网移动接入第三方接入远程接入（偏远地区）SSLVPN解决之道SSLVPN解决之道的价值点•针对移动办公：为用户提供一种安全快速的接入访问•针对第三方接入：为用户提供一种基于细致权限划分、分级分权限管理的安全快速接入访问•针对偏远分支：为用户提供一种方便好用安全的接入访问方式隔离内网服务器面临的问题•仅仅服务器的认证远远不能满足安全性要求，仍然存在着账号被窃取的风险•访问过程中数据未经过加密，存在着数据窃取隐患•对于内部的服务器需要做逻辑隔离，防止不相干人员访问，保护服务器安全WLAN非法接入面临的问题•WLAN账号WPA和WEP易被人破解，从而通过WLAN非法接入到内部网络中•对于非法接入的用户无法做隔离，导致内部资源信息泄漏•对于内部众多的访问资源无法提供细致的权限划分，防止越权访问SSLVPN的应用背景汇总（1）领导和员工出差或者在家，希望还能用到公司的IT系统。（2）希望第三方机构（有业务交互的第三合作伙伴、有业务往来的第三方机构、被监管的组织和机构）也能用到一部分IT系统，但必须保证严格的权限分配和接入的安全性。（3）偏远地区的分支，维护成本高，专线无法涉及或者设备维护成本高，需要一种简单便捷的接入方式。SSLVPN应用背景汇总（4）专网的规模太大，面临安全隐患。需要在数据加密，身份认证，审计等方面做更多考虑。（5）对于特定的服务器需要进行隔离，提供强身份认证和接入访问数据加密，保证接入访问安全（6）针对无线AP接入中存在的非法访问，导致组织内部的网络资源泄漏，因此需要一种基于身份认证、数据传输安全、权限划分的安全接入方式（7）大量人员采用PDA或者智能手机的接入方式，需要一种安全便捷的接入方式。（8）重要应用系统需要做强身份认证，必须保证接入账号的唯一性（9）有独立的业务门户页面，里面有多级域名和多级链接，如何防止资源被漏访深信服VPN产品优势SANGFORVPN技术优势•最快的VPN•最安全的VPN•最易用的VPN•面向未来的VPNSANGFORVPN--最快的VPN我们致力提供最快的VPN•多线路技术，可以有效提高分支的接入访问速度•畅联技术，在跨运营商的环境下仍能获得较好的传输效率•高效压缩技术，在带宽不变的情况下，流压缩技术能有效减少负载数据量，从而提高数据传输速度•可扩展广域网加速技术，大幅提升用户体验，解决网络带宽和传输速度问题第一品牌之技术优势最快的VPN畅联技术•-在跨运营商的传输时，即使网络两端的带宽足够，但运营商网络间频繁的丢包率仍然会导致传输性能的大幅下降•畅联技术优化了数据传输机制，在丢包率高达30%的情况下也能将丢包还原保证数据的传输质量，非常适合于丢包严重的环境！速度最快的VPNSANGFORVPN--带给您全面的安全第一品牌之技术优势•硬件鉴权，采用硬件特殊属性（CPU、网卡、硬盘等信息）作为接入身份验证，只有经总部授权的硬件设备才允许接入•访问权限控制，细致控制分支及移动的访问权限，防止非法不授权的内网访问•VPN专线，远程用户接入VPN后断开与互联网的链接，阻断黑客对终端电脑的控制•用户使用时间管理、帐号过期时间管理最安全的VPN第一品牌之技术优势•隧道间路由，实现两点间在不直接建立VPN情况的互访•分支通过总部上网，总部可以控制分支互联网的访问行为•选路策略细化到用户，实现在多个最优线路上链路负载•单臂下的多线路，VPN设备单臂部署，前置上网设备如有多线路即可在设备上配置多线路，实现VPN多线路功能•隧道内NAT，可实现两个相同网段建立VPN连接隧道•隧道内流控，为每个分支合理分配带宽，整体提升用户使用体验最易用的VPN所提供的可靠性双机功能-两台设备以主备方式进行工作，出现故障设备将自动切换网关模式单臂模式SecureCenter集中管理平台--分布式部署与管理SecureCenter集中管理平台--分布式部署与管理大型VPN网络最具性价比的集中管理解决方案中小型分支IPSecVPNIPSecVPN移动用户SSLVPN合作伙伴IPSecVPN内部网InternetSC管理平台SANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPNSecureCenter集中管理平台--分布式部署与管理内置的状态监控功能,能详细记录显示：•在线网点信息•网点实时信息•网点异常信息•网点版本信息•VPN设备拓补监控还可查看详细的SC设备的系统及操作日志SANGFORSSLVPN优势最