SANGFOR_SSL VPN产品入门培训_XXXX04

SSLVPN产品培训深信服科技1.SSLVPN背景知识介绍2.SSLVPN应用领域3.产品选型4.深信服VPN优势VPN背景知识介绍Page4VPN简介VPN（VirtualPrivateNetwork）虚拟专用网：依靠ISP（InternetServiceProvider互联网服务提供商）提供的公网线路（如ADSL等），建立专用数据通信网络的技术，是DDN、FR、ATM等技术的替代方式主要作用连接各私有网络和私人用户保护在公网上传播的数据实现对专有资源的访问授权VPN相对于专线的优势:性价比高！部署便利！Page5VPN网络定位内部网络Page6SSLVPN•优势点对网的组网方式，二级组网基于浏览器的访问，使用方便适用于手持移动终端权限划分可具体到用户•不足之处二级组网，不适用于多级网络组网应用单向访问，不适用于总部与分支都有业务系统的访问用户终端需要登录操作Page7SSLVPN组网深信服SSLVPN为SSL/IPSec二合一VPN设备，提供网对网机构组网、点对网移动办公双价值！SSLVPN应用领域如何判断客户有需求•网络专线已有VPN普通互联网线路•应用是否有应用使用群体是谁（共享给分支、领导出差）？该应用是否重要（支撑业务、日常办公）？该应用是否注重安全性？常用的应用背景•大量出差在外的人员需要移动办公•希望第三方机构（有业务交互的第三合作伙伴、有业务往来的第三方机构、被监管的组织和机构）也能用到一部分IT系统，但必须保证严格的权限分配和接入的安全性。•偏远地区的分支，维护成本高，专线无法涉及或者设备维护成本高，需要一种简单便捷的接入方式。内网外网移动接入第三方接入远程接入（偏远地区）SSLVPN解决之道新应用点一：内部专网权限划分专网的规模太大，无法做细致的权限划分，无法做细致的身份认证，无法对于传输过程中的数据进行加密，保证安全性专网总部防火墙L3SwitchD系统内部电脑B系统C系统E系统交换机A系统交换机A部门B部门C部门B部门A部门C部门分部分部做细致的身份认证针对不同的人员划分不同的访问权限，提高专网访问安全性新应用点二：隔离内网服务器•直接将SSLVPN设备以单臂形式部署，只存在着通过SSLVPN访问的路由信息，将服务器进行隔离防止非法接入访问，为所有服务器提供一个安全的访问平台新应用点三：网络隔离控制•之间通过代理服务器进行隔离，我们设备以单臂形式接入，对于后台应用做隔离发布新应用点四：防WLAN非法接入访问•通过SSLVPN来隔离接入的用户，防止无线WLAN的非法接入，提高WLAN接入的安全性。新应用点五：无线终端接入访问•数字城管的前置PDA采集器、移动警务PDA、移动工商PDA等，未来还将会有更多的基于PDA的应用系统出现•惠州移动就打算使用PDA来给各部门经理做移动办公•广东粤电集团领导就通过多普达PDA进行移动办公新应用点六：强身份认证•内部重要的应用系统，简单的用户名密码无法保证安全，需要提供强身份认证手段保证接入访问的安全。•针对简单应用通过SSLVPN做强身份认证•将应用系统账号与SSLVPN账号绑定增强应用系统账号使用安全性产品选型•SSLVPN加密速度•最大并发用户数•注意区别：最大并发用户数、授权、实际并发的区别！SSLVPN选型参数指标SANGFORSSLVPN型号型号网口SSL加密速度最大并发用户数防火墙吞吐量外型M5100-S4个百兆电口70Mbps20095Mbps1UM5100-S-P4个百兆电口90Mbps400300Mbps1UM5400-S6个千兆电口150Mbps800700Mbps1UM5400-S-P6个千兆电口202Mbps16001Gbps1UM5500-S6个千兆电口，2个千兆光口220Mbps20001.2Gbps2UM5600-S4个千兆电口，2个千兆光口240Mbps30001.5Gbps2UM5800-S3个千兆电口，4个千兆光口320Mbps40002.2Gbps2UM5900-S4个千兆电口，4个千兆光口600Mbps120003Gbps2U深信服SSLVPN产品优势SANGFORSSLVPN优势最快最好用最安全SANGFORSSLVPN最安全•多种方式组合认证+密码防暴破保护•客户端安全检测，结合检测结果的授权和准入•细粒度权限控制+主从帐号绑定•独立日志中心记录提供用户、资源、安全、管理员、系统日志多种认证方式•多种认证方式组合认证，提供比网银还安全的认证手段•将应用系统账号与SSLVPN账号强制绑定以增强应用系统账号使•用安全性，确保各用户只能以指定的应用系统帐号登录系统。主从帐号绑定（专利）客户端安全策略（1）准入：保障客户端具备相应安全环境要求方可接入内网，防止安全隐患（2）授权：根据客户端不同安全等级（策略）授予不同业务系统的访问权限，保障访问安全速度性•网络丢包和延时：HTP快速传输协议•多条互联网出口线路、跨运营商访问：多线路智能选路•多台服务器自动负载：资源负载均衡•手机、PDA访问界面自适应：Web优化HTP协议（HighSpeedTransmissionProtocol）是基于UDP的可靠传输协议，通过改善拥塞控制算法和提高窗口大小改善TCP传输效率。HTP快速传输协议总部网通用户电信用户网通线路电信线路多线路智能选路•智能选路优先选择速度快的线路建立VPN隧道，纯WEB版本下只有深信服设备可以实现智能选路功能，没有此功能，将无法在那些不能安装插件（如PDA和将来的无线终端）的环境下使用多线路功能资源负载均衡•通过负载均衡算法来保证资源的负载均衡接入，动态选择接入服务器，提高访问效率•针对Web页面使用PDA等移动终端访问时出现比例失调、访问速度慢的问题•通过图片过滤、缩小、模糊化策略实现对于图片的优化处理，提高不同WEB资源、不同网络环境用户访问WEB资源的体验Web优化面向未来网络适应性强管理简单方便容易上手4个层次的易用性考虑让您的SSLVPN成为适应范围更广！最好用的SSLVPN支持B/S应用和C/S应用的单点登录单点登录•对于将SSLVPN作为办公工具的，需要长时间在线，但是有可能存在的误操作导致SSLVPN关闭，影响业务•提供系统托盘，最小化的任务栏，防止误操作而关闭SSLVPN系统托盘分级分权限管理•多达16级的管理员分级管理•查看与配置权限的分配•基于用户和用户组限制上下行带宽，可做会话限制•保证客户端访问效果，防止恶意占用带宽流量管理支持253个站点非对称集群性能平滑扩充集群主主工作模式保证稳定性集群-高可用稳定性保证深圳市南山区麒麟路1号科技创业中心4楼Add:4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:518052Tel:+86-755-26581949Fax:+86-755-26581959Email:master@sinfors.com.cn