您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 人事档案/员工关系 > 深信服新员工IPSEC VPN产品培训
IPSecVPN产品介绍2010年11月主讲:市场行销部杨海源E-MAIL:yhy@sangfor.comtel:15838177732学习目标学习完本课程,您应该能够了解VPN是什么、能做什么深信服VPN产品功能及组网方式深信服VPN的竞争优势如何对深信服VPN进行选型VPN行业情况课程大纲:1、VPN背景知识介绍2、广域网建设存在的问题3、VPN应用领域及优势4、深信服VPN产品介绍5、深信服VPN竞争优势6、产品选型及版本介绍VPN背景知识介绍Page5VPN简介VPN(VirtualPrivateNetwork)虚拟专用网:•是依靠ISP(InternetServiceProvider互联网服务提供商),在公用网络中建立专用数据通信网络的技术,是DDN、FR、ATM等PVC(虚拟固定线路)技术的替代连接技术.主要作用:•1.连接各私有网络和私人用户•2.保护在公网上传播的数据•3.实现对专有资源的访问授权Page6VPN-信息化建设的基础平台VPN好比是路和桥,而ERP、CRM、OA、VOIP、视频电话等各种企业应用系统则是跑在路或桥上的各种汽车!VPN能将企业局域网内的各种应用系统安全扩展到全球的任何一个分支机构,同时实现随时随地的“移动办公”!ERPOACRMPage7目前常用的VPN技术OSI层次VPN实现方式SSLSocket5IPSecPPTP&L2TPVPN采用隧道技术传输即将数据封装在隧道中进行传输,按工作在OSI模型层次可分为二层、三层隧道协议Page8加密算法对称加密算法•DES:数据加密标准,速度较快,适用于加密大量数据的场合•3DES:是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高•AES:高级加密标准,是下一代的加密算法标准,速度快,安全级别高•BLOWFISH:它使用变长的密钥,长度可达448位,运行速度很快Page9加密算法公开密钥算法•RSA:由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块长度也是可变的•DSA:数字签名算法,是一种标准的DSS(数字签名标准);•ECC:椭圆曲线加密算法,安全性更高、算法实现性能更好,是前面两个公钥算法的取代者Page10加密算法公开密钥算法•MD5:是RSA数据安全公司开发的一种单向散列算法,用来把不同长度的数据块进行暗码运算成一个128位的数值•SHA:这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值•MAC:消息认证代码,是一种使用密钥的单向函数,可以用它们在系统上或用户间认证文件或消息•CRC:循环冗余校验码,CRC校验由于实现简单,检错能力强,被广泛使用在各种数据校验应用中保证数据完整性,不被篡改和修改!广域网建设存在的问题Page12广域网建设存在的问题随着组织机构扩大,众多分支如何实现互联?众多互联解决方案,那种是最适合企业的互联解决方案互联网虚拟专用网网络专线Page13广域网建设存在的问题数据传输的安全性如何保证-依赖互联网运行的业务系统时刻面临着数据遭到窃取等安全隐患。-不法分子轻易就能伪造或纂改企业的重要商业信息。-近而给企业带来名誉和财产上的损失,以及法律纠纷等问题。Page14广域网建设存在的问题分支接入的真实性如何保证-假冒用户任意访问并窃取企业数据资料-假冒用户可以肆意安插木马等间谍程序假冒用户企业内网应用服务Page15广域网建设存在的问题如何提升分支访问应用速度-广域网传输存在过多协议交互,严重影响了应用系统性能。-网络上传输大量重复的数据,严重浪费了宝贵的带宽资源。用户应有的带宽在广域网传输的延时中慢慢消耗待尽!Page16广域网建设存在的问题大型企业网络如何进行集中管理-企业众多分支内网安全策略无法统一配置-分支节点设备运行状况及链路情况如何监控?-大量移动用户配置维护耗费管理员大量时间和精力-分支增加带来管理及现场支持成本的持续增长导致的结果是:网络规模越大,带来的管理成本也越大Page17IPSecVPN组网深信服AC(上网行为管理)、SSLVPN、WAC(广域网加速)、SG(上网优化管理)都含有IPSecVPN模块,为客户实现网络优化的同时提供更高的网络价值!VPN应用领域及优势如何判断客户有需求•网络专线已有VPN普通互联网线路•应用是否有应用使用群体是谁(共享给分支、领导出差)?该应用是否重要(支撑业务、日常办公)?该应用是否注重安全性?Page20VPN应用领域及优势大中型企业异地机构互联中小型分支IPSecVPNIPSecVPN合作伙伴IPSecVPN内部网InternetSANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPN方案描述•应用背景:公司分支机构和各门店营销点分部在全国各个区域。需要把ERP、进销存和财务系统在所有各机构统一部署•带来价值:各分支从互联网上通过VPN隧道就能安全、便捷、低成本的访问企业总部应用资源并实现信息共享Page21VPN应用领域及优势大网中建小网小型分支IPSecVPNIPSecVPNIPSecVPN方案描述•应用背景:行业专网是行业内部生产、工作的网络平台,几乎所有本行业单位都使用该网络。因为使用人员广泛,成分复杂,加之有大量需要对内部保密的应用(如财务系统)•带来价值:利用VPN在专网内构建有保密功能的“安全子网”,给用户数据信息带来真正的安全SANGFORM/P/SVPN中型分支SANGFORM/P/SVPNSANGFORMVPN行业专网财务子网专线专线专线其它子网中心站点Page22VPN应用领域及优势专线改造及替换中型分支快速IPSec快速IPSec小型分支InternetSANGFORWANACCSANGFORWANACC大型分支SANGFORWANACCSANGFORWANACC方案描述•应用背景:随着企业分支及应用的增多,对专线数量及带宽的需求日益增多,也因此给企业带来沉重的经济负担•带来价值:采用快速VPN替代原有专线,不单大幅降低线路成本,其加速技术能使用户获得类似专线乃至超过专线链路下的访问速度,提升企业效率中心站点快速IPSecPage23VPN应用领域及优势行业专网建设延伸末端分支专线InternetSANGFORP/SVPNSANGFORMVPNSANGFORMVPN二级分支SANGFORMVPN行业专网二级分支末端分支SANGFORP/SVPNIPSecVPNIPSecVPN一级部门•应用背景:行业用户专线网络构建完成后,常常面临延伸的困扰,地市延伸至县,市/县延伸至乡镇和街道各个节点,如果全部铺设专线,要面临费用和实施两方面的困难•带来价值:VPN使行业用户利用互联网来安全、方便、价廉的延伸行业专网,降低成本的同时提供灵活可控的安全方案描述Page24VPN应用领域及优势构建VPN备份网络中小型分支IPSecVPNIPSecVPNIPSecVPNInternet方案描述•应用背景:对可用性要求很高的企业,为了提供专线的备份网络,常利用互联网这种低廉的基础网络来建设备份网络•带来价值:基于VPN技术构建的备份网络,相较专线备份网络能大大节省企业成本,并提供更高的安全性和部署灵活性SANGFORM/P/SVPN大型分支SANGFORM/P/SVPNSANGFORMVPN行业专网专线专线专线Page25成本线路每月ADSL成本500上海-深圳2MDDN12000•每月节约成本:12000×3-500×2=35000•VPN设备成本:1台M5100,3台M5000,总成本134550•投资回报分析:134500/35000=3.84•即3.84个月可以收回投资•以客户有三条2M专线为例,替换为VPN后,总部增加两条ADSL(我们的加速产品可以使用多线路),各分支直接使用已有的ADSL(所以无须计算成本增加)专线替换投资回报分析VPN网络优势—最佳投资回报Page26成本线路每月上海-深圳768KbDDN7000上海-深圳2MDDN12000•每月节约成本:(12000-7000)×3=15000•加速VPN设备成本:1台M5100,3台M5000,总成本134550•投资回报分析:134500/15000=8.97•即8.97个月可以收回投资•以客户有三条专线为例•示例适合客户原本需要增加到2M,采用加速VPN后无需增加带宽成本减少投资回报分析SANGFORVPN产品介绍Page28SANGFORVPN技术优势•最快的VPN•最安全的VPN•最易用的VPNPage29SANGFORVPN--最快的VPN我们致力提供最快的VPNPage30•多线路技术,可以有效提高分支的接入访问速度•畅联技术,在跨运营商的环境下仍能获得较好的传输效率•高效压缩技术,在带宽不变的情况下,流压缩技术能有效减少负载数据量,从而提高数据传输速度•可扩展广域网加速技术,大幅提升用户体验,解决网络带宽和传输速度问题•更高的加密速度,未来设备性能会有较大提升第一品牌之技术优势最快的VPNPage31畅联技术•-在跨运营商的传输时,即使网络两端的带宽足够,但运营商网络间频繁的丢包率仍然会导致传输性能的大幅下降•畅联技术优化了数据传输机制,在丢包率高达30%的情况下也能将丢包还原保证数据的传输质量,非常适合于丢包严重的环境!速度最快的VPNPage32速度最快的VPN内置加速模块的VPN-基于加速VPN产品构建快速VPN网络,能有效解决网络传输中影响应用性能的延时、协议交互、重复数据传输等问题快速VPN对应用系统性能改善的效果Page33SANGFORVPN--带给您全面的安全Page34第一品牌之技术优势•硬件鉴权,采用硬件特殊属性(CPU、网卡、硬盘等信息)作为接入身份验证,只有经总部授权的硬件设备才允许接入•访问权限控制,细致控制分支及移动的访问权限,防止非法不授权的内网访问•VPN专线,远程用户接入VPN后断开与互联网的链接,阻断黑客对终端电脑的控制•用户使用时间管理、帐号过期时间管理•CleanVPN,通过AC在总部的控制功能,来对VPN的数据进行审计、流控、优化最安全的VPNPage35全面的安全手段最全面的认证VPN专线传输安全从接入、认证、传输等全方面保护信息安全双向的权限安全内网安全Page36全面的安全手段-标准用户名密码认证存在被盗用的可能-基于DKEY的双因素认证确保用户身份唯一-硬件鉴权认证能保证接入终端的唯一性-身份认证过程支持RADIUS、LDAP等外部认证严格的身份认证是安全的第一要素Page37DKEY认证•专利号:2004100272163•DKEY中携带有VPN客户端的配置信息,移动用户只需安装移动模块、不需任何配置。当移动用户结束使用后,仅需拔出DKEY,该机运行的VPN软件会自动关闭,所有的配置信息也自动清空,杜绝了他人利用该计算机非法接入总部的安全隐患用户信息+DKEYPage38全面的安全手段硬件鉴权(专利号:031141803)-采用硬件的特殊属性(CPU、网卡、硬盘等设备ID)作为接入身份验证,只有经总部授权的硬件设备才允许接入-硬件鉴权可以有效保证接入终端身份的唯一性。同时还可以防止管理员在一些公共场所进行接入登陆,从而带来的用户名密码遭到窃取的安全隐患硬件特征码01Page39•支持DES/3DES/AES/MD5及国密办SCB2等多种算法•用户可为每个分支及移动接入选取不同的加密算法•采用改进的IPSec封装和TCP封装防止数据包伪造全面的安全手段多种加密技术保证数据传输的安全隧道封装IP隧道头(TCP头/UDP头部)帧头负载加密IP头部负载原始数包Page40全面的安全手段VPN专线功能保证接入安全VPN隧道专线SANGFORVPN新闻游戏…视频可选防火墙模块提供更多安全手段来保护内网及分支接入安全Page41SANGFORVPN--带给您的易用性Page42第一品牌之技术优势•隧道间路由,实现两点间在不直接建立VPN情况的互访•分支通过
本文标题:深信服新员工IPSEC VPN产品培训
链接地址:https://www.777doc.com/doc-1012933 .html