深信服SSL VPN产品白皮书 文档密级:公开
而对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IPSec /SSL VPN给企业带来的效益,节约了企业大量的管理成本和投入成本,真正做到一台设备的投资,两种设备的功能 。
3.3.4 虚拟门户功能
深信服SSLVPN借助于多页面隔离访问技术,实现独立的虚拟门户访问。 SSL VPN虚拟门户功能的主要价值在于:
1、 安全性:实现登录用户的完全隔离访问。在终端登录用户使用中,他们将完全接触
不到不同权限的其他用户,每一组单独使用不同的系统地址,不同的登录页面,不同的认证方式,访问不同的资源页面,从而实现完全的隔离访问。
2、 管理性:对于拥有不同的分支结构或者不同部门之间的登陆,虚拟门户能在一台设
备上虚拟多个登录平台,提供给不用的用户组织使用,能实现多台设备分别登录的效果,实现更好的管理性。
虚拟门户功能,将让客户能把一台SSLVPN设备,虚拟成多台来提供不同的部门和分属子公司进行访问。
3.3.5 配置向导简化管理员的操作过程
为了简化您的操作,SANGFOR SSL VPN安全网关提供了配置向导来对管理员的基本操作进行指引,管理员可以在配置向导的指引下完成对系统参数、资源、用户管理等的配置和修改,使得即使是对设备不太熟悉的用户也可以顺利的完成相关的配置工作。
深信服科技版权所有 www.sangfor.com.cn 26
深信服SSL VPN产品白皮书 文档密级:公开
3.3.6 隐藏服务模式
在用户的资源列表中,除了对C/S应用的透明支持之外,SANGFOR SSL VPN还增加了一个隐藏服务。用户在访问总部的SSL资源时,SSL VPN可以将某些特殊的资源隐藏起来,用户在其资源列表中无法看到该项资源,但用户仍然可以使用。这种支持隐藏服务的功能,更加保证了企业内网资源的安全性。
3.3.7 支持动态IP
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。SANGFOR SSL VPN集成了深信服科技独创的基于Web的动态IP寻址技术(专利技术),使的SANGFOR SSL VPN网关在部署的时候无需固定IP,完全支持动态IP。并且,当企业在使用SANGFOR SSL VPN网关的SSL VPN功能时,可以使用和IPSec VPN 相同的Webagent来解析网关的动态IP,减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时,也更加便捷。由于支持动态IP接入,SANGFOR SSL VPN同样也适合中小型企业。
3.3.8 管理员分级分权限管理
通常我们在对普通用户管理的时候有多种的认证方法,但是却容易忽视另外一个和安全密切相关的地方——没有为系统管理员提供足够的安全保障,普通的系统通常只需要使用用户名和密码就可以进行登录,SANGFOR SSL VPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。根据企业内部的管理形式,深信服将设备管理员分为超级管理员和受限管理员,受限管理员只能管理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色,不能对于不在所辖组的用户进行管理和维护。
深信服科技版权所有 www.sangfor.com.cn 27
深信服SSL VPN产品白皮书 文档密级:公开
3.3.9 定制登录界面功能
SANGFOR SSL VPN安全网关的可定制登录界面功能,可以为远程用户创建全面可定制的登录界面,为不同角色的用户提供个性化的登录界面外观,从而改进用户体验。您可以将设计好的页面上传到设备中,从而完成登录页面的定制。可能在实际的操作中出现了一些意外,您也可以恢复到默认的页面,从而避免因为不合适的页面导致无法正常使用。
深信服在SSL VPN设备中已经建立了四套认证界面模板,您可以根据自身的需要选择合适的认证模板。
3.3.10 单点登录功能(SSO)
当通过SSL VPN发布了众多的应用系统之后,每登录一个应用系统都需要输入对应的用户名和密码才能够正常登录。但是众多的应用系统密码很容易是人搞混或者忘记,导致工作效率严重下降,为了避免记忆众多的应用系统密码而带来的麻烦,因此引入单点登录功能,您只需要登录SSL VPN系统后就可以直接登录到应用系统,避免再次手动输入用户名密码带来的麻烦,从而提高访问效率。深信服针对不同的应用系统提供不同的单点登录构建方式,针对C/S应用深信服采用提前录制的方式进行构建。针对B/S的应用解析其内部传递函数采用自动构建访问参数的方式。为了提高单点登录数据传递的安全性,深信服提供根据javascript函数来进行加密,保证单点登录信息传递的安全性。为了进一步提高单点登录的适用性,深信服提供针对不同的资源可以设定不同的单点登录账号,从而实现不同用户登录不同应用系统采用不同账号进行单点登录,提高了单点登录的方便性。
深信服科技版权所有 www.sangfor.com.cn 28
深信服SSL VPN产品白皮书 文档密级:公开
3.3.11 移动终端设备的完美支持
对Android、IOS、windows等移动终端设备提供完美的支持,并且会根据终端设备的类型调整登录界面,为用户提供最好的显示效果。
3.3.12 内网DNS支持
内部拥有众多的应用系统,内部的IP都是随机进行分配,但是都通过一台DNS服务器进行解析。为了更好的实现解析,可以通过设置相关的解析规则,深信服SSL VPN支持“*”和“?”匹配符号的正则表达式(“*”表示任意字符串,“?”表示任意字符),可以设定内部的首选DNS和备选DNS,从而实现对于域名的完整解析。
3.3.13 多虚拟IP池支持
通过深信服的IP Tunnel技术可以完美支持IP层以上的所有数据。为了让用户更好的使用IP资源,IPTunnel必须获得相应的虚拟IP才可以正常的工作。但是对于一些大型的集团公司来说,已经规划好了IP,需要实现根据远程接入的IP来实现身份的绑定,深信服可以针对每个人绑定固定的虚拟IP,从而实现用户身份与虚拟IP的绑定。如果对于用户接入没有那么严格的要求,但是对于集团内部各个部门已经规划好了IP段,为了实现通过IP段来区分不同的部门,深信服可以实现用户组与IP池的绑定。对于通过第三方认证的用户,深信服可以读取LDAP和Radius服务器上的虚拟IP信息,从而实现与第三方的完美结合。
3.3.14 User权限下正常访问
微软操作系统对于管理员也进行了分权限管理,在Administrator账号下可以安装任意的插件,从而可以进行任意资源的访问。但是在User权限下,由于微软操作系统的权限限制,因此在User权限下无法正常的安装各种插件。为了让用户更好的在User权限下正常使用,深信服提供了权限提升控件,只要在Administrator权限下安装了权限提升服务,那么在User权限下就可以正常使用所有的插件。
深信服科技版权所有 www.sangfor.com.cn 29
深信服SSL VPN产品白皮书 文档密级:公开
3.3.15 默认服务页面
对于应用资源的比较少的用户来说,往往可能只有一个资源,但是SSL VPN的登录流程是通过认证后必然要跳转到资源列表页面,然后点击应用资源才能登录到应用系统中。对于只要少量资源的用户来说通过认证后需要跳到资源列表页面再点击应用资源才能访问,为了进一步提高效率,可以根据用户经常使用的习惯来设置默认的应用服务页面,避免跳转到资源列表页面,而通过身份认证后直接跳转到应用资源列表,从而减少了登录等待时间,提高了登录效率。
3.3.16 系统托盘
对于一些特殊的环境下,可能需要长时间的登录SSL VPN,但是往往SSL VPN是依托于浏览器的,如果用户在操作的过程中不小心关闭了浏览器,那SSL VPN就有可能断开,导致业务中断,为了避免因为误操作而导致浏览器关闭,深信服提供了系统托盘,当您点击关闭的时候可以将浏览器最小化成任务栏的系统托盘,从而避免因为误操作导致SSL VPN关闭。
3.3.17 全网资源-智能递推
对于一些高校或者大型的集团公司来说,面对众多的应用系统为了方便内部人员的访问,一般都做成了统一门户的访问方式。在门户页面中除了本身的各种应用系统外,内部还有大量的访问模块如果一一进行添加将非常麻烦。特别是针对一些资源中含有外联的地址,
深信服科技版权所有 www.sangfor.com.cn 30