深信服ssl+ipsecvpn.docVIP

SSL+IPSEC VPN解决方案 1、总部架设一台ssl 2050 vpn，下属办证点小于10台计算机的，用sslvpn接入；大于10台计算机的，用1050ipsecvpn 连接总部ssl2050vpn。实现所有办证点与总部服务器服务器之间的访问。总部计算机通过内网直接访问服务器。 2、下属办证点网络接入支持移动、联通、电信、ADSL、3G上网卡等互联网接入方式。 3、运营商之间互访速度慢的问题，sangfor ssl vpn拥有的多线路技术，实现对多条线路间自动选择最快的线路进行传输，或通过多线路的带宽叠加成倍的扩大出口带宽，将线路之间的传输瓶颈影响降到最小。 方案优势 1.部署便利、使用方便：使用普通的ADSL、以太网接入线路，通过SSL/IPSec二合一VPN设备、IPSec VPN进行企业的整体部网，在总部与大型分支之间构建IPSec VPN隧道，实现总部与分支、分支与分支之间安全、透明的互访，构建一张“大局域网”。小型分支和移动办公人员只需通过浏览器实现随时随地的SSL VPN接入，打破时间、地域的限制。 2.高速接入体验：速度性远超普通的VPN，提供了网络的高速和高可用性。在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品，具有特有的多线路复用技术、跨运行商智能选路技术、畅联技术、动态压缩技术等广域网加速技术的应用，通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果，从而保证了快速接入。 3.应用的统一管理：通过SSL VPN对公司应用进行统一发布，实现对用户的应用使用权限划分、接入流量限制等等管理措施，保证各个用户的访问在授权范围内，不会对主要的系统造成影响和破坏。并支持日志数据中心，详细的记录了各个用户的访问日志和应用资源的使用情况，为以后的业务审计和网络规划提供了参考依据。 4.高安全性：通过SANGFOR SSL VPN的多种认证方式、多重安全机制保障了内部重要应用既实现了信息平台的共享，又实现了从应用发布、用户认证、用户接入乃至断开连接的一整套的高安全性。消除了企业信息平台共享的安全风险。 5.性价比高，易于扩展：SANGFOR VPN只需要使用普通的ADSL线路就能实现VPN的网络连接，让分支和移动用户轻松的访问，是一次性的投资。相对于专线需要每月高额的投资，无疑大大降低了企业的运营成本。而新增分公司或者员工移动办公需求增加，只需要增加一台设备或是开通移动授权即可，扩展性强，性价比高。 技术优势 便捷的访问 分公司使用IPSec VPN与总部的SSL/IPSec VPN建立起IPSec VPN通道，对于分公司的使用人员相当于透明部署，直接进入应用就可以实现访问。SANGFOR IPSec VPN支持隧道间路由，构建总部与分支、分支与分支之间互通互访的“大局域网”。 对于SANGFOR SSL VPN，是利用浏览器中内嵌的SSL协议，在移动客户端与总部的SSL VPN中建立一条SSL VPN通道。出差领导和员工、分公司员工只需要打开浏览器登录相应的SSL VPN页面并通过认证，即可通过SSL VPN访问内网资源，不需要在终端上安装任何客户端软件。 SANGFOR SSL VPN支持B/S和C/S应用的单点登录功能，实现只需要通过SSL VPN认证，无需反复输入各种系统的帐号密码就可以直接使用所有的远程应用。启动了单点登录功能在成功登陆SSL VPN页面直接跳转到对应用的资源列表页面，对于B/S资源直接点击就可以进入，对于C/S资源，通过启用该应用的客户端软件就可以直接使用，大大提高了访问应用的易用性。 安全的访问 SANGFOR VPN对于安全方面的定义分为接入的安全、传输的安全、资源的安全、断开的安全四个方面进行全面的保障。 1.接入的安全：单纯的帐号密码认证容易遭到密码丢失、密码遭到破解等威胁，SANGFOR SSL VPN支持多种用户安全认证方式，从最基本的用户名密码认证到短信认证、硬件特征码认证、动态令牌认证、自建CA认证等多重认证方式。并支持与Radius、LDAP、第三方CA进行无缝的结合。并支持认证方式的“与”组合和“或”组合，可不同的终端安全要求对用户组、用户进行特定认证方式组合设置。 支持根据客户端CPU、硬盘等提取的硬件特征码终端绑定功能，确保接入终端的确定性。并可通过客户端安全检查检测电脑终端的操作系统（版本及补丁）、杀毒软件、防火墙、注册表、硬盘文件、进程等信息进行接入的授权许可，阻断不安全终端进行接入，避免因为终端安全短板所带来的安全隐患问题。 对于仅适用用户名密码认证的用户，支持图形验证码、软键盘等多种密码安全策略，并支持针对IP和用户的防暴力破解，彻底瓦解黑客等其他别有用心的人通过密码暴破方式强行攻入内网的行为。 2.传输的安全：SANGFOR V