深信服ssl+ipsecvpn_原创文档.pdfVIP

SSL+IPSECVPN解决方案

1、总部架设一台ssl2050vpn，下属办证点小于10台计算机的，用sslvpn

接入；大于10台计算机的，用1050ipsecvpn连接总部ssl2050vpn。实现所有办

证点与总部服务器服务器之间的访问。总部计算机通过内网直接访问服务器。

2、下属办证点网络接入支持移动、联通、电信、ADSL、3G上网卡等互联

网接入方式。

3、运营商之间互访速度慢的问题，sangforsslvpn拥有的多线路技术，实现

对多条线路间自动选择最快的线路进行传输，或通过多线路的带宽叠加成倍的扩

大出口带宽，将线路之间的传输瓶颈影响降到最小。

方案优势

1.部署便利、使用方便：使用普通的ADSL、以太网接入线路，通过SSL/IPSec

二合一VPN设备、IPSecVPN进行企业的整体部网，在总部与大型分支之间构

建IPSecVPN隧道，实现总部与分支、分支与分支之间安全、透明的互访，构建

一张“大局域网”。小型分支和移动办公人员只需通过浏览器实现随时随地的

SSLVPN接入，打破时间、地域的限制。

2.高速接入体验：速度性远超普通的VPN，提供了网络的高速和高可用性。

在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品，具有特有的

多线路复用技术、跨运行商智能选路技术、畅联技术、动态压缩技术等广域网加

速技术的应用，通过配置可选的加速模块甚至能让广域网的传输速度接近局域网

的效果，从而保证了快速接入。

3.应用的统一管理：通过SSLVPN对公司应用进行统一发布，实现对用户

的应用使用权限划分、接入流量限制等等管理措施，保证各个用户的访问在授权

范围内，不会对主要的系统造成影响和破坏。并支持日志数据中心，详细的记录

了各个用户的访问日志和应用资源的使用情况，为以后的业务审计和网络规划提

供了参考依据。

4.高安全性：通过SANGFORSSLVPN的多种认证方式、多重安全机制保

障了内部重要应用既实现了信息平台的共享，又实现了从应用发布、用户认证、

用户接入乃至断开连接的一整套的高安全性。消除了企业信息平台共享的安全风

险。

5.性价比高，易于扩展：SANGFORVPN只需要使用普通的ADSL线路就能

实现VPN的网络连接，让分支和移动用户轻松的访问，是一次性的投资。相对

于专线需要每月高额的投资，无疑大大降低了企业的运营成本。而新增分公司或

者员工移动办公需求增加，只需要增加一台设备或是开通移动授权即可，扩展性

强，性价比高。

技术优势

便捷的访问

分公司使用IPSecVPN与总部的SSL/IPSecVPN建立起IPSecVPN通道，对

于分公司的使用人员相当于透明部署，直接进入应用就可以实现访问。SANGFOR

IPSecVPN支持隧道间路由，构建总部与分支、分支与分支之间互通互访的“大

局域网”。

对于SANGFORSSLVPN，是利用浏览器中内嵌的SSL协议，在移动客户端与

总部的SSLVPN中建立一条SSLVPN通道。出差领导和员工、分公司员工只需要

打开浏览器登录相应的SSLVPN页面并通过认证，即可通过SSLVPN访问内网资

源，不需要在终端上安装任何客户端软件。

SANGFORSSLVPN支持B/S和C/S应用的单点登录功能，实现只需要通过SSL

VPN认证，无需反复输入各种系统的帐号密码就可以直接使用所有的远程应用。

启动了单点登录功能在成功登陆SSLVPN页面直接跳转到对应用的资源列表页

面，对于B/S资源直接点击就可以进入，对于C/S资源，通过启用该应用的客户

端软件就可以直接使用，大大提高了访问应用的易用性。

安全的访问

SANGFORVPN对于安全方面的定义分为接入的安全、传输的安全、资源的安

全、断开的安全四个方面进行全面的保障。

1.接入的安全：单纯的帐号密码认证容易遭到密码丢失、密码遭到破解等威

胁，SANGFORSSLVPN支持多种用户安全认证方式，从最基本的用户名密码认证

到短信认证、硬件特征码认证、动态令牌认证、自建CA认证等多重认证方式。

并支持与Radius、LDAP、第三方CA进行无缝的结合。并支持认证方式的“与”

组合和“或”组合，可不同的终端安全要求对用户组、用户进行特定认证