深信服SSL VPN产品白皮书 文档密级:公开
全网分布式集群部署
4.2 客户端登录和使用界面
4.2.1 缺省登录界面
说明:该页面使用Portal定制功能后,可以根据用户的要求进行定制。
定制页面:
深信服科技版权所有 www.sangfor.com.cn 41
深信服SSL VPN产品白皮书 文档密级:公开
4.2.2 可用资源界面
深信服科技版权所有 www.sangfor.com.cn 42
深信服SSL VPN产品白皮书 文档密级:公开
第5章 深信服公司简介
关于深信服
深信服公司成立于2000年,是中国最大的应用层网络设备供应商,致力于提供基于网络应用层的产品及解决方案。目前,全球有超过21,000家用户正在使用深信服的产品。在中国入选世界500强的企业中,有85%以上的企业都是深信服的用户。截止2013年3月,深信服在全球共设有49个直属分支机构,分布在全球8个国家和地区,并拥有超过1400名员工。
作为中国应用层网络市场的领导者,深信服每年保持着50%以上的增长率,持续每年将总营收的15%投入到研发,并在深圳和北京设有研发中心。截至2013年3月,深信服共申请超过100项发明专利。同时,深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位。
深信服公司被评定为“国家规划布局内重点软件企业”,连续八年入选德勤“亚太地区高科技高成长500强”,连续两届荣获《财富》“卓越雇主——中国最适宜工作的公司”。
第6章 附录——VPN技术背景知识
由于SANGFOR VPN的技术涉及到了VPN,防火墙等多个领域,因此在这里对VPN和防火墙的背景知识做简单介绍。
6.1 VPN简介
VPN是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider因特网服务提供商)和其它NSP(Network Service Provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路,而是利用某种公众网的物理链路资源动态组成的。
IETF 组织对基于IP 的VPN 解释为:通过专门的隧道加密技术在公共数据网络上仿真
深信服科技版权所有 www.sangfor.com.cn 43
深信服SSL VPN产品白皮书 文档密级:公开
一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。早期的虚拟专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路(PVC)服务的网络,或通过运营商的DDN 专线网络构建用户自己虚拟专用网。
现在的VPN 是在Internet 上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,同时除了购买VPN 设备或VPN软件产品外,企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用,对于不同地区的客户联系也节省了长途电话费。这就是VPN 价格低廉的原因。
按照VPN的网络连接类型主要分为Site to Site 和End to Site两种类型。Site to Site 主要指的是网络和网络之间的VPN连接。而 End to Site 指的是移动终端到企业私有网络之间的VPN连接,而SSL VPN 就是 End to Site类型的VPN。
以OSI 模型参照标准,不同的VPN 技术可以在不同的OSI 协议层实现。 如下表: VPN在OSI中的层次 数据链路层 网络层 应用层
链路层VPN 技术 PPTP协议:
PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全VPN业务,1996 年成为IETF草案。PPTP是PPP 协议的一种扩展,提供了在IP 网上建立多协议的安全VPN 的通信方式,远端用户能够通过任何支持PPTP 的ISP 访问企业的专用网络。
PPTP 提供PPTP 客户机和PPTP服务器之间的保密通信。PPTP客户机是指运行该协议的PC 机,PPTP服务器是指运行该协议的服务器。通过PPTP,客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接,其中IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接
深信服科技版权所有 www.sangfor.com.cn 44
VPN实现技术 PPTP及L2TP IPSEC SSL 深信服SSL VPN产品白皮书 文档密级:公开
与PPTP服务器建立虚拟通路。
PPTP的最大优势是Microsoft公司的支持,另外一个优势是它支持流量控制,可保证客户机与服务器之间不拥塞,改善通信性能,最大限度地减少包丢失和重发现象。PPTP把建立隧道的主动权交给了客户,但客户需要在其PC机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。另外,PPTP仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
网络层VPN 技术 IPSec协议:
IPSec也是IETF 支持的标准之一,它和PPTP、L2TP不同之处在于它是第三层即IP层的加密。IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输(transport)模式。在隧道模式下,IPSec 把传输层的数据封装在安全的IP包中。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是更安全的,但会带来较大的系统开销。由于IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
SANGFORSL协议:
SANGFORSL是SANGFOR SSL VPN中IPSec VPN采用的安全链路协议。
SANGFORSL是基于IPSec协议的安全隧道,但改进了如下过程:提供压缩的IP头算法,由此提高网络利用率。普通的IPSec网络利用率在70%左右,而SANGFORSL达到90%改进的IP封装技术,使得SANGFORSL可通过任何路由器,提高对网络的适应能力。
SANGFORSL提供基于挑战―响应模式的身份认证。同时也提供基于硬件证书(HARDCA)的鉴权体系。数据传输采用隧道模式,支持各种加密算法,对会话的管理更具有灵活性,同时能适应各种网络层。
会话层VPN 技术 SOCKS协议:
SOCKS 处于OSI 模型的会话层,在SOCKS 协议中,客户程序通常是先连接到防火墙1080端口,然后由防火墙建立到目的主机的单独会话,这种情况下客户程序对目的主机是
深信服科技版权所有 www.sangfor.com.cn 45