联想网御SSL VPN产品白皮书-2091201 - 图文 下载本文

www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 ? 应用模块层

应用模块层有身份认证、授权管理、安全传输、日志审计等模块组成。 1) 身份认证

身份认证即验证注册用户的身份,是授权和审计的基础。认证方式分为以下几种:本地口令、动态口令、短信口令、口令+动态附加码、证书+USBKey、口令+证书+USBKey等,提供OCSP、CRL等证书认证接口,用于第三方CA认证。

2) 安全传输

SSL VPN使用SSL协议完成应用层认证和加密。SSL协议使用公开密钥体制和X.509数字证书技术保护传输信息的机密性和完整性。SSL安全功能组件包括三部分:认证(在连接两端对服务器或同时对服务器和客户端进行验证),加密(对通信进行加密,只有经过加密的双方才能交换信息并相互识别),完整性检验(进行信息内容检测,防止被篡改)。使用的加密算法有RC4、3DES、AES,散列算法有MD5、SHA1、SHA256等;以及国内的加密算法SCB2/SM1,散列算法有SM3。

3) 授权管理

授权管理即基于用户或角色对应用访问行为进行控制。授权管理技术将用户归属到不同角色,角色拥有对不同资源的访问权限,用户登录后只能访问授权范围内的资源与应用,可根据用户登录的时间及所处的网络位置不同,采用的不同认证方式应用不同的访问策略。

对于Web应用,也支持对SQL注入、跨站脚本、非法URL访问进行控制等功能,同时对用户的最大并发数进行控制,有效防止一个帐号恶意产生大量连接的DoS攻击行为。

4) 安全审计

SSL VPN在日志中可记录哪个用户、在什么时间,在什么位置通过哪个ISP登录了SSL VPN,访问了什么服务,访问了哪些Web页面等等。另外,SSL VPN

6 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 产品还提供基于各种条件的查询功能,可以根据时间范围生成报表提供浏览和下载。

? 用户接口层

用户接口层主要包括WEB用户模块和WEB管理模块,为用户提供一个清新的使用和管理界面,同时用户也可以很方便地对它们进行个性化处理,形成一个个性的、融合的、直观的管理体系。

图 3 SAG产品架构图

3 产品特色

3.1 快速部署,多重延伸:

对于已有互联网接入的用户,从部署SAG产品到将内部某项应用延伸至互联网仅需短短的3-5分钟时间。

例如,某用户需要将局域网上的报销审批系统扩展至领导在出差中或在家也可使用,仅需短短的3步即可。1:在SAG网关上设置报销审判系统的IP;2:将SAG网关接入网络(并联或串联均可);3:赋予SAG网卡公网IP或者在防火墙上为SAG网关映射公网IP。用户的领导就可以实现不必非要在办公室,而是在家、在酒店、在任意一个能够接入互联网的地点都能审批报销申请了。

7 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书

图 4 SAG应用示意图

随着移动互联网、3G等技术的普及,借助SAG设备,我们的用户除了可以在任意能接入互联网的地点利用电脑使用内网的应用系统外,还可以利用PDA、智能手机等多种方式来接入应用系统,真正实现网络无界应用无限。

甚至于还有部分用户,借助SAG产品与已有或在建统一帐号管理、统一授权管理等系统整合协同工作,实现了统一门户、统一身份管理,统一授权管理的安全接入解决方案,大大的降低了组织的运营成本。

3.2 杰出性能、线性扩展

最高端SAG产品单台即可达到10000并发用户数,即使对于一个10万人规模的常规组织,也足以支持。在面对更高的性能要求时,独有的线性集群技术保证了多台设备的无损耗线性扩展。

联想网御SAG产品拥有从25并发用户到10000并发用户的全线产品系列。面对大型组织的高性能需求,在硬件上采用了先进的ASIC加专业多核硬件平台架构,在软件上研发了TCP/HTTP压缩、TCP协议优化、信息缓存等加速技术,即使面对10万人规模的大型用户,单台设备依然游刃有余。

为了保护用户的投资和应对更高的性能挑战,联想网御还研发并申请了相关

8 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 专利,保证多个设备集群工作时,性能递增无损耗,实现线性扩展。而且这种集群可以采用多型号混编模式,例如:客户在前期应用尚不充分时购买一台200用户的SAG产品,后期业务提升后希望扩展到1000用户,只需再购买一台800用户的SAG产品直接叠加即可不会造成任何的投资浪费。

3.3 多重保护、安全可靠

根据对外延伸的业务系统或者应用系统的重要性的不同,联想网御SAG产品提供了身份验证、权限控制、终端识别和应用防护的4层安全保障体系。

在身份验证上,SAG产品既可以采用内置的验证系统,也能够和用户原有的CA系统无缝集成。口令、USBKey、手机、证书甚至IC卡等都可以结合成身份验证手段,PKI/CA、Radius、LDAP等也都可以作为身份验证技术。

在权限控制上,不同于常规产品仅基于用户或用户角色的控制方式,联想网御SAG产品提供了独特的基于多重因素的动态权限管理技术,可以根据用户、用户角色、登录方式、认证方式、登录位置、登录时间、终端状态等多种方式的组合来赋予登录用户相应权限。例如对某研究所研究人员,当其在家用配发的笔记本连入网络并采用了动态口令卡认证时,根据预先设定的策略,可以使用内网的全部应用系统;但是当其使用家用的台式电脑登录时,则不允许访问核心数据库;而当其是在某网吧上网,只采用了用户名密码认证方式时,则仅允许使用内部邮件系统。通过多重因素的组合权限控制,充分的保障用户的业务安全。

联想网御SAG产品能够对接入终端的软件特征(例如操作系统、进程、注册表等)和硬件特征(例如MAC,CPU ID等)进行识别,作为动态权限管理的一个因素进一步提高整个系统的安全性。同时还通过隧道隔离和痕迹消除技术,大大的降低在终端泄密的风险。

联想网御SAG产品还能够在加密数据流的内部实现应用层的安全防护,无论SQL注入、Java脚本还是DoS攻击,均可有效防御。

3.4 详尽日志、利于审计

即使对于加密的业务流,联想网御SAG产品仍然可以提供详尽丰富的日志

9