深信服SSL VPN产品白皮书 文档密级:公开
因此为了更好的实现与现有资源的匹配,深信服可以预先解析该页面中可能出现的链接,对于这些链接自动添加到资源中并放通(智能探测技术)。从而防止出现部分资源漏访的情况,保证业务正常访问,提高办公业务效率。
资源智能递推的实现价值:对于管理员来说,不需要针对门户中的多级域名和多级链接逐个添加资源,通过智能探测可以自动放通,大大降低管理员工作量,降低管理成本;而对安全性的考虑,对于管理员来说只需要将门户的域名添加到资源中,无需再去添加多级链接中的其他资源的IP和端口,大大降低了因开放多个IP和端口所带来的安全隐患,提高安全性。
3.4 更稳定的SSL VPN
3.4.1 多线路技术实现线路备份,保证VPN线路稳定
SANGFOR SSL VPN支持多达6条线路的线路备份和负载均衡,大大提高了VPN网络的稳定性。由于VPN的稳定性是依赖于线路本身的稳定性,若采用单条线路,一旦中断,将造成整个VPN系统陷入瘫痪。通过多线路带宽迭加及复用技术(专利号:CN200310112006X),将多条线路、不同方式接入方式的上网线路实现带宽迭加和互为备份,保证了整个系统的持续可靠运行。若任何一条线路出现故障,SANGFOR SSL VPN可以将数据无缝切换到其他正常线路,不会影响SSL VPN用户的接入和访问。并且若故障线路恢复正常,VPN的连接隧道将自动愈合。这一切都是系统自动进行,无需人工干预,保证了
深信服科技版权所有 www.sangfor.com.cn 31
深信服SSL VPN产品白皮书 文档密级:公开
用户的重要应用持续、不间断地稳定运行。
同时,SANGFOR SSL VPN安全网关还进一步实现了多条Internet线路的QOS功能,根据不同线路的带宽情况智能分配负载,最大限度的提高带宽利用率。
3.4.2 资源服务器的智能负载功能
当业务系统访问量上去之后,单台服务器已经不足以支撑性能要求,这个时候就必须把多台服务器组建集群。为了能让多台服务器能更好工作,深信服SSLVPN设备可启用资源负载均衡访问机制。根据服务器自身的处理情况,可以对连入的多台资源服务器预设好的访问的权值,SSLVPN设备智能分配终端用户的访问请求到对应的服务器。这样的好处一是能让终端用户得到效率最高的访问服务;二是在多台服务器之间实现了最佳的稳定性备份。
3.4.3 会话自动恢复,提高网络适应能力
SANGFOR SSL VPN提供了看门狗提供自动恢复功能和配置备份功能,支持ADSL断线重拨功能。若由于线路中断而造成的VPN隧道中断,一旦线路恢复,SANGFOR SSL VPN随即将自动恢复,无需人工干预。
3.4.4 非对称集群功能,满足大并发接入
面对大并发的用户量,单个设备所能承受的并发数毕竟有限。为了更好的支持大并发的用户,深信服可以通过多设备的集群功能实现接入的负载均衡,根据单台设备的性能将所有的SSL VPN连接动态的负载到所有设备上面,从而实现更大并发的用户接入。
深信服科技的多台集群之间实现了完美的Session同步,多台设备即时同时更新用户信息,在其中一台设备出现故障之后,该设备服务中的用户会被无缝迁移到其它设备,设备的
深信服科技版权所有 www.sangfor.com.cn 32
深信服SSL VPN产品白皮书 文档密级:公开
意外事故将不会给用户的业务访问带来任何负面影响。
深信服SSL VPN创新地推出了非对称的跨型号集群功能,能支持不同型号的多台设备组建集群,这样企业就可以根据实际的需要情况,选择当前所需要购买的对应型号,给予企业信息化更为自主的规划空间。
3.5 应用虚拟化
3.5.1 远程应用发布
移动互联网的发展带动了更多移动办公的需求。随着各种智能手机、平板电脑以及3G网络的普及,人们的操作习惯和使用偏好正从原来笨拙的台式机、笔记本慢慢迁移到更加便携更加灵活的智能终端。办公人员希望无论在何时何地,只要能连上互联网,就能实现业务的及时处理。
深信服科技推出的远程应用发布方案包含了多种技术及管理策略,全方位保证远程办公中的数据安全;同智能终端完美结合,自主研发SRAP传输协议提供畅快的使用体验,方便客户快速开展业务;涵盖当今主流智能终端操作系统,满足不同人群的个性需求
远程应用发布功能通过以下组件来实现:
远程应用发布模块:内置在SSLVPN 设备中,拥有获取应用发布服务器上的资源信息,为终端提供访问,并负责身份认证、传输数据处理等工作,是远程应用发布的核心组件。
RemoteApp Agent:深信服服务端控件,安装在应用发布服务器上,用来提供远程应用服务和监控应用发布服务器状态信息的程序。该程序默认为服务器开启自动启动。
RemoteApp Client:客户端控件,在移动终端上命名为EasyConnect,提供接入终端服
深信服科技版权所有 www.sangfor.com.cn 33
深信服SSL VPN产品白皮书 文档密级:公开
务器的功能,苹果终端可在APPStore免费下载安装,Android终端可在google play及其他常见的安卓市场中下载使用,PC终端将自动安装相应客户端控件。
应用程序客户端:需要发布给移动终端用户使用的应用程序,需要提前在应用发布服务器安装,如Office、写字板等程序,基于C/S架构的应用系统需要在在应用发布服务器上安装客户端软件,B/S架构业务系统,需要在应用发布服务器上安装相应版本的IE浏览器。
3.6 企业移动管理
支持扩展企业移动管理(EMM,Enterprise Mobility Management)解决方案。EMM是指通过移动信息化管理手段,针对企业移动信息化建设过程中涉及到的企业移动设备、应用、信息等内容提供信息化管理及安全保障的解决方案。
深信服企业移动管理解决方案,是一种为企业用户打造的、解决客户移动信息化过程中的安全及管理问题的解决方案。用户通过简单的操作,对智能终端进行注册、同时配置深信服EMM管理网关即可实现移动设备管理(MDM)、移动用户管理(MUM)、移动应用管理(MAM)、移动内容管理(MCM)四项子管理方案功能,为用户提供从用户、设备到应用、内容的全面管理。
3.6.1 移动设备管理(MDM)
移动设备管理解决方案支持对移动设备进行管理,包括设备注册、设备擦除、用户关联、策略关联、状态监测等功能,帮助管理员管理轻松管理海量设备,降低运维成本。
3.6.2 便捷的批量移动终端管理
移动设备管理(MDM)方案可轻松使贵单位具备批量设备管理能力。当移动办公用户使用移动办公系统时,系统会按照用户权限策略要求,提示用户进行设备注册。用户注册后,
深信服科技版权所有 www.sangfor.com.cn 34
深信服SSL VPN产品白皮书 文档密级:公开
贵单位管理员即可对该设备进行基础信息查看及相应的策略管控。可查看的信息包括用户设备名称、关联用户、注册时间、设备型号、操作系统、手机串号、是否Root/越狱、设备状态是否正常等,一旦设备出现违规情况,系统界面会对管理员发出消息通知,管理员可根据以上信息对违规设备进行消息推送、设备锁定、数据擦除、弱口令拒绝等操作,强制用户终端达到公司规定的安全级别,以此保证数据不外泄。
3.6.3 严格的设备密码策略
移动设备管理(MDM)方案可以强制用户必须将密码设置为带有字母和数字的复杂密码;可强制手机超时自动锁屏;可设置修改密码规则(新密码与旧密码不能一样);可设置密码有效周期,例如1个月要重新设置一次密码;可防止暴力破解,在多次输入错误密码时删除所有数据。
3.6.4 远程锁定移动设备
通过 MDM 方案的设备锁定功能,管理员可以远程锁定手机,让违规手机无法使用。Android设备被锁定之后,设备将无法正常使用,目前只能从控制台进行解锁;iOS设备被锁定之后,设备上输入解锁密码即可继续使用。
3.6.5 远程擦除办公终端数据
手机丢失、人员离职等情况下,把手机还原到出厂状态,擦除终端上的所有数据,避免企业信息泄露。
3.6.6 企业消息推送
MDM 方案集成消息推送功能,管理员可以定向给用户推送通知信息。有时候需要群发放假、会议等通知。为了企业数据安全,有些用户规定移动办公专用设备不允许安装QQ、微信等应用,企业也没有内部专用的即时通讯系统,发邮件不一定经常接收,发短信成本较高。这种情况下,利用移动设备管理的消息推送功能可以将信息直接推送给所有移动办公用户,以上问题就解决了。
深信服科技版权所有 www.sangfor.com.cn 35