www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 和报表,以利用户进行审计。
联想网御SAG产品能够对登录用户、登录位置、登录时间、访问行为等多种数据进行详尽日志记录,同时支持日志分类、查找以及多种报表格式,以便审计人员使用。
图表 5 日志分析示意图
3.5 个性定制、满足需求
联想网御SAG产品为用户提供了标准的应用集成门户功能,帮助用户快速的将多个应用集中到一个门户上。
下图为标准门户范例。
10 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书
图 6 标准门户集成示意图
另外,联想网御SAG产品还可以根据用户需求的表现形式和具体功能都可以进行个性化定制服务。
下图为某用户的定制门户范例:
11 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书
图 7 个性门户定制示意图
4 技术优势
4.1 智能安全通道技术
联想网御SAG产品通过Web反向代理技术,可以将普通Web应用的HTTP协议数据经过解析处理和转换,封装成HTTPS协议数据发给客户端浏览器解密显示。此时,客户终端上无需安装任何客户端程序和控件,实现100%零客户端SSL VPN访问。联想网御SAG产品还利用独有的透明代理技术和动态协议分析技术,将包括基于TCP、UDP、ICMP协议实现的各种静态端口和动态端口C/S架构应用协议数据,转换封装为SSL协议加密数据进行处理和转发。联想网御SAG产品还利用虚拟网卡技术实现了Full Tunnel SSL VPN访问,客户端通过虚拟IP地址可以与内网中所有服务器通讯,同时内网主机也可以通过虚拟IP地址连接互联网上的客户端终端,实现了真正的双向SSL VPN访问,做到了与应用无关。可以说,用户通过联想网御SAG产品可以访问内部所有的应用系统。
4.2 易用单点登录技术
联想网御SAG产品可对内网Web应用的认证功能进行协议分析,判断其采用的是哪种口令提交方法(如基于域认证的口令提交方式、基于表单的口令提交方式等)。用户只要提交一次用户名口令登录SSL VPN后,SSL VPN网关就会记录该用户的认证信息,当该用户通过SAG访问内网带有认证功能的Web应用时,
12 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 认证过程可以由SAG代替用户自动完成。用户无需再次输入用户名口令,便可以直接打开认证成功登录后的界面。
同时提供标准接口,可以与第三方单点登录系统快速集成。
4.3 完整身份鉴别技术
联想网御SAG产品提供了多种客户端身份认证方式,包括简单用户名口令方式、短信口令方式、动态口令方式、证书认证方式、电子钥匙认证等方式。联想网御SAG产品还实现了兼容多种业界标准认证协议,包括Radius、LDAP、Windows AD、TACACS+等。为了更好的提供证书认证服务,联想网御SAG产品实现了PKI/CA的兼容和支持,包括了证书请求的生成,证书应答或密钥对证书的导入,还可以与第三方CA以OCSP、CRL、LDAP发布等方式互动校验证书的有效性,提供完整的证书认证功能。
4.4 动态授权管理技术
联想网御SAG产品采用了角色关联技术,将用户归属到不同角色,然后将服务资源授权给不同的角色,实现了不同身份的用户登录SSL VPN后,他所允许访问的服务也是不同的。同时,联想网御SAG产品还将时间、网络位置,客户端认证方式、终端健康状况等因素结合到了授权管理中,利用该技术,同一个用户在不同时间,不同地点,以不同认证方式,在不同的终端设备上登录SSL VPN时,其访问权限也是不同的,实现了动态改变访问策略,更灵活更合理。
4.5 整合Site to Site SSL VPN技术
联想网御SAG产品实现了独有的网关与网关SSL隧道连接和数据交换技术,实现了网关之间通过认证加密建立SSL VPN通道,这样部署在不同地方的网络便可以通过SSL VPN网关进行互联访问。
4.6 智能路径选择技术
联想网御SAG产品可以通过多个公网接口对外提供接入服务,利用接口路由转发技术保证数据来回路径一致。同时,联想网御SAG产品可以智能识别接
13