2)数据穿透力更强
传统SSLVPN只能通过TCP协议进行数据传输,遇到只开放DNS(53/UDP)端口的WEB认证网络环境时就无法连通,本SSLVPN既可以用TCP协议也可以用UDP协议传输,使得数据穿透力更强,使用范围更广。另外,为了避免IPS、GFW、流控、内容过滤或上网行为管理设备的误扰,本SSLVPN采取了特别加密措施以保证能稳定的联网通讯。
3)原有网络设备或服务器无需改变配置
如果客户网络中只有一个公网IP,而且主路由器不可更换,那么SSLVPN设备需要单臂旁路接入内网,此时,网络设备或服务器不需要做任何配置的修改——不用安装SSLVPN客户端、不用设置缺省网关或策略路由,只要SSLVPN设备能连通网络设备或服务器就可以让VPN虚拟网段访问到它。这样,网络设备或服务器既能对公网提供公开服务,也能同时接入多个VPN网关,对各VPN客户提供私密服务。
4)服务端更安全
取消了公网SSLVPN WEB用户登陆及管理后台界面,避免了服务器信息泄露和黑客攻击,所有来自公网的扫描和攻击,例如SQL注入、XSS攻击、域名劫持、钓鱼网站、挂马、后门、拖库、搜索引擎爬虫扫描、弱口令扫描、WEB服务器缺陷扫描等都不在是有效的威胁。可同时接入多台服务器并相互隔离,不同服务器之间的访问由SSLVPN网关控制,即多DMZ安全域架构,同时,在所有接入的网段都有针对IP冲突、ARP异常的实时监控和报警,避免联网设备被局域网内的ARP病毒等不稳定因素所干扰。
5)客户端更安全方便
具备Windows、Linux、Mac OS X、安卓、iOS等操作系统下的客户端软件。Windows下有32、64位自适应安装包,通过安装、运行包含定制配置文件的客户端软件,杜绝了ActiveX、Java Applet等浏览器插件带来的客户端不安全性和局限性——任何浏览器无需管理员身份均可使用、无需对浏览器安全属性、浏览器加载项、防病毒软件、后台服务项等做专门设置,无需每次登陆时连接厂家的服务器检查插件的版本,可以实现即装即用0配置、开机自动运行以及自动重连的功能。
6)用户认证机制更完善
在双因子认证(数字证书+用户名口令)的前提下,强制用户修改缺省口令,划清了用户与管理员之间的责任,保证了整个系统运行的健壮性。在用户名口令认证基础上,还有设备认证,防止用户名口令泄露,额外添加了安全性。用户名和虚拟IP具备一对一的绑定功能,方便网络管理和审计,自动生成绑定IP,保障了用户设置的准确性。系统内置用户管理系统,无需建设RADIUS、AD、LDAP数据库或/及CA、RA、PKI等数字证书公钥基础设施,用户直编功能、自动生成绑定IP功能,方便大批量用户管理。
7)路由资源定义更灵活
服务端下发必要的路由和DNS服务器设置给客户端,这些路由和DNS服务器设置在客户端连接后生效,断开后被删除,这样,既能连接VPN远程应用,又不影响本地其它网络应用。资源定义与访问控制策略分离,需要公开的资源可以在WEB门户中显示,需要保密的资源可以不定义、不显示出来,但仍旧可以连接。
8)VPN使用更有效率
SSL协议可以只用于加密和建立VPN隧道,用户认证、访问控制可以在VPN隧道建立后进行,对于自身加密的应用(HTTPS等),甚至可以直接用DNAT端口映射+用户认证,而不用VPN以提高性能,与传统的SSLVPN需要用户WEB登陆才能建立VPN隧道的使用体验一致,但策略实施更灵活、使用和管理更方便。
9)VPN隧道内流量的管控能力更细致
VPN建立后,还可以对VPN隧道内的流量进行基于用户名/IP地址、时间、流量、会话、QoS的NAT地址转换和ACL访问控制,以及网络审计、流量统计、上网行为管理、WEB过滤、入侵检测与防御等7层内容过滤,提升了VPN管理员及运营商的管控能力。
10)具备无线接入、虚拟化及云计算的能力
无线用户连接上WIFI后,可以再连接本SSLVPN以确保安全;通过部署虚拟化产品(UTMWALL-VM),可以将本SSLVPN集成到应用系统的Windows环境里,节省了硬件、空间、电力等费用,使得远程应用接入方式又多了一种选择;还可以将本SSLVPN随应用系统或独立部署到公有云、私有云中,实现云VPN功能,让云计算更安全。
SSLVPN产品优势对比表:
| 优点描述 | 中神通 | 深信服 | 天融信 | 网神 | Juniper | CISCO | Array |
| 适应面广: Windows没有版本限制,浏览器无需安装插件 |
★ | ||||||
| 自身安全: 没有公开的WEB门户,后台不使用PHP、SQL,前端不使用ActiveX、Java等不安全的开发程序。额外进行硬件特征码验证。 |
★ | ||||||
| 快速高效: WEB门户与数据传输端口分离,不再共用一个传输端口 |
★ | ||||||
| 穿透力强: 传输端口不仅限于TCP,UDP同样行,还有加密反审查措施 |
★ | ||||||
| 应用安全: VPN隧道内不仅集成防火墙,还有网络审计、流量统计、上网行为管理、WAF、IDS/IPS等7层内容过滤 |
★ | ||||||
| 可定制化: 可针对用户需求定制安装包 |
★ | ||||||
| 虚实结合: 虚拟化平台、共有云、私有云部署 |
★ | ★ |
更多信息请查看:
1)SSLVPN视频演示
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=6662)已知传统VPN安全漏洞
http://www.trustcomputing.com.cn/bbs/tag.php?name=VPN