深信服SSL VPN产品白皮书 文档密级:公开
速度,解决了网络环境存在延迟大、带宽小的瓶颈问题。
对于部分大型组织机构来说,往往出口已经部署了高端的路由器或者防火墙作为网关,面对已经完善的网络建设,SSL VPN应该如何部署能够利用前置的两条线路进行自动选路,让分布在全国各地的移动人员选择更快速的的线路接入,提高效率。深信服进一步扩展了智能自动选路技术,提供了基于单臂模式下的自动选路,让众多的组织结构也能够实现自动的选路,提高业务办公效率。
3.2.3 多线路带宽叠加技术,扩大出口带宽
现在移动办公的规模已经快速发展,随用访问者增多,必然给企业的出口带宽带来压力,一般的企业都会准备有多条网络出口,以作备用,如何利用这多条带宽把业务访问效率提高?如何让多条业务线路形成智能的热备以增强系统平台的稳定性?
通常要实现链路的访问负载和智能热备,企业需要另外购买负载均衡设备,这样就增加了IT的投入成本。
为了解决上述问题,高性价比、低成本地满足企业对带宽的要求,深信服科技发明了多线路带宽迭加及复用技术(专利号:CN200310112006X)。SANGFOR SSL VPN安全网关支持各种不同接入方式的线路绑定,最多可支持6条不同线路的带宽叠加和负载均衡,大大提高了SSL VPN的数据传输速度,并且通过内置防火墙/NAT模块,还可以实现多线路共同访问Internet,成倍提高了企业局域网内用户的上网速度。
针对不同的上网线路,还可以启用多线路策略,用户可以根据线路情况选择带宽叠加模式、线路主备模式或者动态适应模式等多线路策略。同时,SANGFOR SSL VPN安全网关内置了5个Qos级别和多条Qos规则,用户可根据自身实际情况设置相应的QOS级别。
深信服科技版权所有 www.sangfor.com.cn 21
深信服SSL VPN产品白皮书 文档密级:公开
3.2.4 HTP技术,提高无线和恶劣环境下的访问速度
随着无线技术的发展,现在开始普遍使用3G网络来实现随时随地的商务接入,虽然3G网络速度对比以前的GPRS大有提升,但是仍然受环境影响。除了无线环境外,平时我们在公共网络中使用的网络由于P2P类下载软件的流行,导致带宽被占用,那么通过这样的线路访问SSL VPN的时候同样非常的慢。
实际以上所有速度慢的问题都是由于网络中存在的延时和丢包导致的,时延大和高丢包导致网络传输环境非常的差,而往往时延越大传输速度越慢,如果丢包达到一定程度,速度就会更加的慢,双方根本就无法建立通信,更不要说进行数据的传输了。
针对这样的情况,深信服提出了HTP技术。HTP协议(HighSpeed Transmission Protocol)是基于UDP的可靠传输协议,通过改善拥塞控制算法和提高窗口大小改善TCP传输效率,能够显著提升存在丢包和延时网络的传输速度。
HTP协议图示
3.2.5 动态压缩技术,全面提高传输速度
随着业务的增长,交互的数据量也随之增加,本身传统的压缩对于所有类型的数据进行压缩,而压缩也必然会消耗系统资源,导致性能下降。本身有些数据由于结构的特殊性可能压缩比不高,一旦进行了压缩,消耗了系统资源却没有提升多少速度!严重影响了效率,降低了响应速度。
针对这样的应用背景,深信服提出了动态压缩(专利号:200810065397.7),针对不同的数据选用动态的压缩策略,根据上一次压缩状态来选择本次的压缩策略,通过动态选择策略来提高压缩效率的同时,降低系统负载,从而提高整体的数据处理速度,提高业务的访问速度。
深信服科技版权所有 www.sangfor.com.cn 22
深信服SSL VPN产品白皮书 文档密级:公开
3.2.6 基于Web的压缩技术,进一步提高传输效率
随着软件技术的发展,越来越多的应用系统都采用了B/S的构架,当B/S应用数据量增大时,在一定的网络环境中必然会影响B/S应用的传输速度,因此有必要针对B/S类型的应用提供一定的压缩手段,深信服专门提供Web资源的压缩进一步提高传输效率。
3.2.7 流缓存技术-大幅减少数据冗余碎片
SANGFOR SSL VPN采用SANGFORSpeed2加速引擎中特有的“基于码流特征的数据优化”技术,能够大大降低广域网传输过程中的数据流量,根据实际的测试最多时甚至能够将流量减少95%以上。
深信服流缓存技术原理是:在广域网中传输的是数据包,就是类似于“010100011”这样的0和1的数字组合排列,“基于码流特征的数据优化”技术能够把数据包拆分成很多“碎片”,并对“碎片”分配唯一指针,将指针分别存储在本地设备和目的地接收设备中,当具有相同指针内容再次需要传输时,只传输指针到目的地,接收设备根据指针便在本地的设备中提取出内容。
只要“碎片”足够小,传递内容相同的概率就会足够大。对于同一个用户而言,往往需要频繁传输相同或相似信息,效果非常明显。
举一个简单的例子,如对于PPT文件来讲,所有页码中Logo、表头、表尾内容都是相同的,不需要重传,并且对再次更改的PPT,往往只是更改了非常少的内容,再次传送则实际上仅需要传送更改的内容即可。
目前很多加速产品采用了文件缓存方式进行加速,即将文件缓存在网关上,用户访问文件的时候实际上是从本地网关取得文件,并没有直接访问远程服务器上的文件,这种方法存
深信服科技版权所有 www.sangfor.com.cn 23
深信服SSL VPN产品白皮书 文档密级:公开
在两个比较明显的问题:
1、 无法保证文件的实时性,如果服务器上面的文件更新了,可能导致用户访问的还是
更新以前的版本。
2、 如果服务器上面的文件变化较小,比如一个100MB的ZIP文件中增加了一个1MB
打包文件,需要将整个文件重新传输一次。
SANGFORSpeed2引擎中的“基于码流特征的数据优化”技术完全可以来替代文件缓存技术,通过优化的模式匹配算法,可以使网络中传输的数据足够小,能够达到和文件缓存相当的加速速度,还能在保证实时性同时对变化较小的文件同样能够起到加速作用。
使用流缓存的客户端,完全不需要做任何的配置,就可以自如启用,流缓存效果也会一一用直观的报表呈现出来。
3.2.8 自主研发SRAP远程应用传输协议,提升远程应用访问速度
SRAP: 即Sangfor Remote Access Protocol, 是深信服自主研发的终端虚拟化技术协议框架。是用于代替RDP协议,通过数据转发控制,数据压缩、缓存与过滤等方式,提升EasyConnect远程应用速度。SRAP对于原来的RDP来说,无论是视频还是普通的OA等应用系统,数据压缩率都已经有较大的改进,速度方面也有很大提升。
3.3 更好用的SSL VPN
SSLVPN设备最终使用者是业务系统使用者,这样的终端用户通常不会具备过多的IT技能,所以SSLVPN作为业务登录平台,必须具备足够的易用性,才能更好帮助企业进行信息化建设。
3.3.1 支持所有网络应用
SANGFOR SSL VPN安全网关通过WEB智能重构技术、应用转换技术和IP Tunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,WEB智能重构技术,包括针对HTML、XML、JS/VBS、Applet/ActiveX/Flash等多种网页技术实现重构;应用包括:包括:网上邻居、文件共享、TELNET、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等所有IPSEC能够支持的应用。
深信服科技版权所有 www.sangfor.com.cn 24
深信服SSL VPN产品白皮书 文档密级:公开
由于采用了IP Tunnel技术,SANGFOR SSL VPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSL VPN登录界面时,只需安装一个Active X控件(可选),在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡,因而SSL 远程登录用户便可使用所有基于IP网络层以上的应用。若SANGFOR SSL VPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用,使得SANGFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。
3.3.2 全面适应各种平台
借助于浏览器技术,SANGFOR SSL VPN可以支持所有网络环境,只要浏览器能够上网就可以使用SSL VPN。
目前,SANGFOR SSL VPN所支持的浏览器类型包含Html/Dhtml, Jsp, Asp,Java applet, Active, Cookies等各种Web技术,支持包括IE、FireFox ,Safari,Google chrome,Opera等主流浏览器;同时支持微软Windows系列、Linux系列、Mac OS系列等操作系统。为业务访问提供最广泛的兼容性。
3.3.3 提供IPSec/SSL一体化选择
传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置(SANGFOR IPSec VPN采用DKEY方式实现IPSec VPN零配置)。若企业的远程接入和移动办公数量增多,企业的维护成本将会成线性增加。而SSL VPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全接入到内部网络,安全地访问应用程序,无需安装或设置客户端软件,降低了企业的维护成本。因而SSL在点对网互连方面,其易用性和安全性方面有着突出的优势。
由于SSL VPN只适合点对网的连接,无法实现多个网络之间的安全互连。因而,在企业组建网对网方面,IPSec VPN就有着无可比拟的优势。而在点对网方面,由于IPSec VPN要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置,因而IPSec VPN在易用性和维护成本上远远不如SSL VPN。
SANGFOR SSL VPN安全网关结合了IPSec和SSL 两套主流的VPN技术,实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补,避免了单一VPN设备存在的不足。对于企业或者事业单位的分支网络,可以使用IPSec VPN实现安全互连,
深信服科技版权所有 www.sangfor.com.cn 25