深信服SSL VPN产品白皮书 文档密级:公开
SANGFOR SSL VPN安全网关丰富的日志中心,为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。
3.1.21 丰富的日志信息
SANGFOR SSL VPN通过独立的第三方日志服务器,用户可以按照系统日志和用户日志两大类日志进行查询。管理员可对指定时间范围内的日志以及日志的级别如:错误、告警、信息、调试和进程类型进行查询。
同时,管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数,用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。SANGFOR SSL VPN安全网关丰富的日志中心,可详细分析出企业VPN资源的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。
深信服科技版权所有 www.sangfor.com.cn 16
深信服SSL VPN产品白皮书 文档密级:公开
3.1.22 强大的实时监控能力
通过远程监控平台,管理员可以实时地监控用户的接入情况,实时观察SSL VPN安全网关的运行情况。通过SSL VPN丰富的系统日志,可以及时定位故障,并实施远程维护。通过Web界面,管理员还可以随时查看每个在线用户的情况,可以随时中断可疑会话,方便快捷。还可以实现告警的短信通知,及时通知到终端用户。
3.1.23 沙盒技术-安全桌面
很多商业系统都缺少信息防泄密手段,使用者可以任意在本地留存副本和相关信息,也可以把相关数据传到别的计算机或者网络上,造成信息系统的泄密。除了主动泄密,中了木马和病毒,或者被黑客攻击的被动泄密行为也可能为企业带来巨大的损失,尤其是一些对数据安全性要求较高的机构及场合,如银行、基金、证券等金融单位,涉及重要研发机密的第三方接入等情况,尤其需要完善的信息保护方案,同时该方案不应该以牺牲工作效率为代价,最好不需要更改原来用户的办公习惯,从而在不影响业务的情况下,实现信息的防泄密保护工作。
深信服科技的SSLVPN 使用沙盒技术,提供安全桌面功能,可以有效保护数据的安全性,解决用户的敏感数据被泄露的问题。安全桌面可以由管理员设定针对资源和用户进行强行启用,启用安全桌面以后,客户端将自动使用虚拟技术生成一个封闭式虚拟的工作环境——安全桌面。安全桌面将与默认桌面显示完全一致。在安全桌面中,所有操作全部虚拟化,安全桌面内的进程和安全桌面外的进程是隔离的,与其他在本地网络或者互联网网络中的终端都是隔离的,这样就能形成一个完全信息隔离的工作环境,达到防止信息泄密的效果。信息无法流传出安全桌面,而在安全桌面退出之后,安全桌面中的所有操作、临时使用或者接
深信服科技版权所有 www.sangfor.com.cn 17
深信服SSL VPN产品白皮书 文档密级:公开
收到的数据都被删除,不会留下任何痕迹。
安全桌面可配合SSLVPN本身的用户身份认证、传输加密、授权访问等技术,可以提供给客户更为完整的安全网络解决方案。
3.1.24 集成企业级状态防火墙
和多数SSL VPN不同,SANGFOR SSL VPN网关集成了高性能的企业级状态防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击。内置的防DOS攻击功能,不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻击,SSL VPN安全网关也可以进行防御。
SANGFOR SSL VPN安全网关集成了企业级的状态检测防火墙。除了拥有企业级防火墙所具备的基本功能如:管理员权限分级、URL过滤、NAT功能、访问监控、上网控制、用户认证、流量控制、QOS、DHCP服务、自动拨号等功能以外,内置了高、中、低和自定义 4个安全级别,用户可以根据需要灵活配置。此外,SANGFOR SSL VPN安全网关独特的虚拟测试功能,为管理员创建了防火墙规则的虚拟测试环境。管理员通过可视化界面,对各种安全设置规则进行测试,从而杜绝人为配置错误导致的安全漏洞。
作为HTTPS服务器,所有SSL VPN都同样面临着DOS的威胁。所以大多数SSL VPN设备都需要前置防火墙保护其安全。而SANGFOR SSL VPN自身就是一个防火墙,集成了对DOS等攻击的防御手段。
深信服科技版权所有 www.sangfor.com.cn 18
深信服SSL VPN产品白皮书 文档密级:公开
对于来自外部的DOS攻击,其防御DOS的基本原理如下:在网络层模拟应用层对DOS攻击的主机发起应答,由于DOS攻击主机无法完成3次握手,因此可以识别出不完整的请求,避免了把攻击发送到SSL VPN应用上。而对于真实的SYN,在网络层完成了SYN的3次握手后,再模拟请求的客户端把SYN请求发送到应用层。通过这种SYN代理的方法就使得正常的SSL VPN远程访问顺利的通过防火墙到达内部服务器,而DOS攻击则被拒之门外。
SANGFOR SSL VPN安全网关不仅可以防御来自外网的DOS攻击,对于内网计算机发起的DOS攻击,SSL VPN安全网关也可以进行防御。管理员可以在SANGFOR SSL VPN安全网关内增添内网网段列表,若检测到来自该列表之内的计算机发起的连接请求,则认为是合法用户;而若是来自该列表之外的IP地址,则被认为是攻击。这对于通常伪造源IP地址的DOS攻击发起端来说,将是一个有效的防范措施。
同时,SANGFOR SSL VPN安全网关可以限制内部局域网每个IP地址在一分钟内可发起的最大TCP连接数和发送的最大SYN包次数(数值可依据内网计算机数量自定义),阻止了局域网内某些计算机感染了病毒或者木马程序,对外发起大量的连接请求从而导致企业网络带宽耗尽、网关设备瘫痪宕机等情况的发生。一旦检测到攻击后,SANGFOR SSL VPN安全网关可以立即对攻击主机进行封锁,从而及时有效阻断了由企业局域网内部计算机发起的DOS攻击行为,避免了企业员工在上网时不小心感染了病毒而造成DOS攻击给企业带来的法律纠纷、名誉受损等风险。
3.2 更快的SSL VPN提升业务办公效率
SSLVPN实现了便捷而又安全的办公同时,也受到了互联网的环境制约,办公效率会被互联网的链路质量所影响。如果是存在跨运营商的链路,向服务器传递一个附件需要等待几十秒毫不出奇,在业务操作的过程中反复的等待时间将会严重影响到办公效率。为了帮助客户更好利用互联网技术提升业务效率,深信服致力于开发更快速的的业务访问模式,利用多种广域网加速技术,提升系统的响应速度。
3.2.1 自主研发单边加速技术,极大提升应用访问速度
深信服科技的单边加速技术,是一种兼具灵活性和普适性的传输优化手段,能够显著提高网络效率,提升空间一般在2倍至10倍之间,有的情况甚至高达100倍。以往通过广域
深信服科技版权所有 www.sangfor.com.cn 19
