SSL-VPN培训-深信服2011年3月最新版

SSLVPN产品培训1.SSLVPN背景知识介绍2.SSLVPN应用领域3.深信服SSLVPN特色功能和新增功能VPN背景知识介绍Page4VPN简介VPN（VirtualPrivateNetwork）虚拟专用网：依靠ISP（InternetServiceProvider互联网服务提供商）提供的公网线路（如ADSL等），建立专用数据通信网络的技术，是DDN、FR、ATM等技术的替代方式主要作用连接各私有网络和私人用户保护在公网上传播的数据实现对专有资源的访问授权VPN相对于专线的优势:性价比高！部署便利！Page5SSLVPN•优势1.点对网的组网方式，二级组网2.基于浏览器的访问，使用方便3.适用于手持移动终端4.权限划分可具体到用户•不足之处二级组网，不适用于多级网络组网应用单向访问，不适用于总部与分支都有业务系统的访问Page6SSLVPN组网深信服SSLVPN为SSL/IPSec二合一VPN设备，提供网对网机构组网、点对网移动办公双价值！SSLVPN应用领域如何判断客户有需求•网络普通互联网线路——使用VPN实现业务互联，移动办公专线——使用VPN替换，可以节约成本已有VPN——使用更快更好用的SANGFORVPN替换•应用是否有应用使用群体是谁（有分支共用应用系统、领导出差）？该应用是否重要（核心业务、日常办公）？该应用是否注重安全性？常用的应用背景•出差在外的人员需要移动办公•希望第三方机构（有业务交互的第三合作伙伴、有业务往来的第三方机构、被监管的组织和机构）也能用到一部分IT系统，但必须保证严格的权限分配和接入的安全性。•偏远地区的分支，维护成本高，专线无法涉及或者设备维护成本高，需要一种简单便捷的接入方式。内网外网移动接入第三方接入远程接入（偏远地区）SSLVPN解决之道SSLVPN的创新应用点•除了移动办公、远程协同办公互联等常规的使用方法之外，SANGOFRSSLVPN可以应用于内网，利用创新应用点帮助客户解决更多业务网络问题。新应用点一：内部专网权限划分专网的规模太大，无法做细致的权限划分，无法做细致的身份认证，无法对于传输过程中的数据进行加密，保证安全性专网总部防火墙L3SwitchD系统内部电脑B系统C系统E系统交换机A系统交换机A部门B部门C部门B部门A部门C部门分部分部做细致的身份认证针对不同的人员划分不同的访问权限，提高专网访问安全性新应用点二：网络隔离控制•之间通过代理服务器进行隔离，我们设备以单臂形式接入，对于后台应用做隔离发布新应用点三：防WLAN非法接入访问•通过SSLVPN来隔离接入的用户，防止无线WLAN的非法接入，提高WLAN接入的安全性。新应用点四：智能终端接入访问•数字城管的前置PDA采集器、移动警务PDA、移动工商PDA等，未来还将会有更多的基于PDA的应用系统出现•惠州移动就打算使用PDA来给各部门经理做移动办公•广东粤电集团领导就通过多普达PDA进行移动办公新应用点五：加强系统身份认证•内部重要的应用系统，简单的用户名密码无法保证安全，需要提供强身份认证手段保证接入访问的安全。•针对简单应用通过SSLVPN做强身份认证•将应用系统账号与SSLVPN账号绑定增强应用系统账号使用安全性新应用点六：易用的单点登录统一业务认证平台•内部有多个应用系统，工作需要反复属于登录地址或者打开软件系统，反复属于账号密码。•使用SSLVPN的单点登录系统，建立统一的安全认证平台。•部署之后，用户仅仅登录到统一的认证平台之后，就可以直接使用鼠标点击平台上的资源就访问任何一个业务系统，无需另外输入系统B/S路径，甚至无需点击其他的C/S客户端，也无需再次输入用户账号密码。新应用点七：虚拟隔离方案•采用安全桌面、远程应用发布等SANGFOR虚拟化技术，实现业务系统、互联网的虚拟隔离，保证核心机密不会泄露。•适用于：数据防泄密；代替网络物理隔离。••真实计算机虚拟桌面默认桌面系统登录认证深信服SSLVPN特色功能和新增功能2020/4/7SSL5.0实现支持系统平台•支持Lunix，包括：Ubuntu，RedhatFC，RHEL，SUSE，红旗的最新版本；•支持MAC，包括：386和PPC平台下的雪豹系列和Tiger系列的最新版本（从05年到现在的版本）2020/4/7SSL5.0支持的浏览器•SSL新版本中可支持的非IE内核浏览器包括：火狐FireFox，Safari，Googlechrome，Opera；（USBKEY认证只支持FireFox)•智能手机终端支持能力：支持所有智能手机系统的B/S应用；包括塞班、Iphone、黑莓等；支持WindowsMobile系统的C/S应用；•将应用系统账号与SSLVPN账号强制绑定以增强应用系统账号使•用安全性，确保各用户只能以指定的应用系统帐号登录系统。主从帐号绑定（专利）客户端安全策略（1）准入：保障客户端具备相应安全环境要求方可接入内网，防止安全隐患（2）授权：根据客户端不同安全等级（策略）授予不同业务系统的访问权限，保障访问安全VPN专线功能•可以设定终端在经过SSL认证之后，登录了VPN系统，就被强制断开其他互联网连接，保证业务数据隔离互联网威胁。总部网通用户电信用户网通线路电信线路多线路智能选路•智能选路优先选择速度快的线路建立VPN隧道，纯WEB版本下只有深信服设备可以实现智能选路功能，没有此功能，将无法在那些不能安装插件（如PDA和将来的无线终端）的环境下使用多线路功能•“智能选路”功能SSLVPN设备在内网单臂模式部署情况下，仍然可以实现。支持B/S应用和C/S应用的单点登录更为完善的单点登录VPN专线功能•可以设定终端在经过SSL认证之后，登录了VPN系统，就被强制断开其他互联网连接，保证业务数据隔离互联网威胁。•基于用户和用户组限制上下行带宽，可做会话限制•保证客户端访问效果，防止恶意占用带宽流量管理虚拟门户•一台设备可以虚拟为多个门户，提供不同的用户进行访问，实现最佳的安全隔离和平台多用途。安全桌面•安全桌面：SecurityDesktop•基本形成：将在用户终端桌面形成另外一个虚拟桌面。•安全桌面的特性：禁止网络数据交换禁止本机数据交换禁止使用外设拷贝清除数据和操作虚拟安全桌面安全桌面-SecurityDesktop•安全桌面中两种部署模式：•使用业务隔离模式——实现内部信息防泄密；•使用互联网隔离模式——实现彻底隔离互联网威胁远程应用发布功能应用虚拟化技术——业务快速发布：仅传输应用显示信息和操作指令；终端免装客户端；减少带宽依赖；更便利实现随时随地的移动办公！远程应用发布•快速发布大型客户端业务系统•仅发布系统应用窗口•远程应用发布与安全桌面的区别安全桌面是运行在客户端的，需要耗费客户端的内存，远程应用发布是运行在服务器端的，对服务器性能要求很高，客户端只是用来显示。从安全性上考虑，安全桌面安全性更高。2020/4/7•附：远程终端和远程桌面的区别•1.关于许可授权•远程终端服务：需要CAL客户访问授权证书，这个证书是需要向微软公司购买的；•远程桌面：不需要CAL许可证书的；•2.关于收费•远程桌面是完全免费的，而远程终端服务只有120天的使用期限制，超过期限需购买许可证；•3.关于并发登录数•远程桌面最多只允许两个管理员登陆的进程（默认是1，XPsp2以上通过设置可以支持2个），而终端服务没有限制，只要你购买了足够的许可证想多少个用户同时登录一台服务器都是可以的（默认是2个并发连接，可通过组策略更改）；•4.关于登录用户权限要求•远程桌面只能容许管理员权限的用户登录，而远程终端服务则没有这个限制，任意权限的用户都可以通过终端服务远程控制服务器，但登录后权限还是和自己的权限一致而已商机挖掘•明确现阶段的商机目标：•SD：网络隔离；•RDP：系统集中管理、快速发布•可替代的方案类型：文件加密、DLP（数据防泄密）、物理隔离、远程应用发布、桌面管理。•优势：更彻底地实现安全和管理。•目标客户：金融的网络隔离；运营商的防泄密；企业核心部门防泄密；已有项目机会•1、企业：柒牌集团；新贺服饰；（SD防泄密）•2、两家大型银行（网络隔离需求-代替物理隔离）；•3、某大型西餐连锁：远程应用发布（实现客户端的集中管理），SD（远程实现防泄密）；•4、某运营商：SD（防泄密）；深圳市南山区麒麟路1号科技创业中心4楼Add:4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:518052Tel:+86-755-26581949Fax:+86-755-26581959Email:master@sangfor.com.cn谢谢