Board logo

标题: 下一代SSLVPN——中神通SSLVPN优点描述(V1.2) [打印本页]

作者: Zeus    时间: 2015-9-10 09:50     标题: 下一代SSLVPN——中神通SSLVPN优点描述(V1.2)

与传统基于浏览器插件、偏于应用接入的SSLVPN相比,中神通SSLVPN是第3层即IP层VPN,所有本地基于TCP、UDP、ICMP协议的网络应用都可以通过VPN互联,客户端方面以专用软件+浏览器的组合为主,具备远程应用接入、异地科学上网和客户端组网互联等多种用途,具体来讲有以下优势:
1VPN性能更好
用户操作层与数据传输层分离,提高了数据处理的性能,对外公开的可以只有一个数据传输端口,用户可以事先在内网中登陆WEB门户修改缺省口令、下载安装软件,外网VPN隧道建立后可以以虚拟IP的方式登陆WEB门户,既安全高效又方便了管理员和用户。
2)数据穿透力更强
传统SSLVPN只能通过TCP协议进行数据传输,遇到只开放DNS53/UDP)端口的WEB认证网络环境时就无法连通,本SSLVPN既可以用TCP协议也可以用UDP协议传输,使得数据穿透力更强,使用范围更广。另外,为了避免IPS、GFW、流控、内容过滤或上网行为管理设备的误扰,本SSLVPN采取了特别加密措施以保证能稳定的联网通讯。
3)原有网络设备或服务器无需改变配置
如果客户网络中只有一个公网IP,而且主路由器不可更换,那么SSLVPN设备需要单臂旁路接入内网,此时,网络设备或服务器不需要做任何配置的修改——不用安装SSLVPN客户端、不用设置缺省网关或策略路由,只要SSLVPN设备能连通网络设备或服务器就可以让VPN虚拟网段访问到它。这样,网络设备或服务器既能对公网提供公开服务,也能同时接入多个VPN网关,对各VPN客户提供私密服务。
4)服务端更安全
取消了公网SSLVPN WEB用户登陆及管理后台界面,避免了服务器信息泄露和黑客攻击,所有来自公网的扫描和攻击,例如SQL注入、XSS攻击、域名劫持、钓鱼网站、挂马、后门、拖库、搜索引擎爬虫扫描、弱口令扫描、WEB服务器缺陷扫描等都不在是有效的威胁。可同时接入多台服务器并相互隔离,不同服务器之间的访问由SSLVPN网关控制,即多DMZ安全域架构,同时,在所有接入的网段都有针对IP冲突、ARP异常的实时监控和报警,避免联网设备被局域网内的ARP病毒等不稳定因素所干扰。
5)客户端更安全方便
具备Windows、Linux、Mac OS X、安卓、iOS等操作系统下的客户端软件。Windows下有32、64位自适应安装包,通过安装、运行包含定制配置文件的客户端软件,杜绝了ActiveX、Java Applet等浏览器插件带来的客户端不安全性和局限性——任何浏览器无需管理员身份均可使用、无需对浏览器安全属性、浏览器加载项、防病毒软件、后台服务项等做专门设置,无需每次登陆时连接厂家的服务器检查插件的版本,可以实现即装即用0配置、开机自动运行以及自动重连的功能。
6)用户认证机制更完善
在双因子认证(数字证书+用户名口令)的前提下,强制用户修改缺省口令,划清了用户与管理员之间的责任,保证了整个系统运行的健壮性。用户名和虚拟IP具备一对一的绑定功能,方便网络管理和审计。系统内置用户管理系统,无需建设RADIUS、AD、LDAP数据库或/及CA、RA、PKI等数字证书公钥基础设施。
7)路由资源定义更灵活
服务端下发必要的路由和DNS服务器设置给客户端,这些路由和DNS服务器设置在客户端连接后生效,断开后被删除,这样,既能连接VPN远程应用,又不影响本地其它网络应用。资源定义与访问控制策略分离,需要公开的资源可以在WEB门户中显示,需要保密的资源可以不定义、不显示出来,但仍旧可以连接。
8VPN使用更有效率
SSL协议可以只用于加密和建立VPN隧道,用户认证、访问控制可以在VPN隧道建立后进行,对于自身加密的应用(HTTPS等),甚至可以直接用DNAT端口映射+用户认证,而不用VPN以提高性能,与传统的SSLVPN需要用户WEB登陆才能建立VPN隧道的使用体验一致,但策略实施更灵活、使用和管理更方便。
9VPN隧道内流量的管控能力更细致
VPN建立后,还可以对VPN隧道内的流量进行基于用户名/IP地址、时间、流量、会话、QoSNAT地址转换和ACL访问控制,以及网络审计、流量统计、上网行为管理、WEB过滤、入侵检测与防御等7层内容过滤,提升了VPN管理员及运营商的管控能力。
10)具备无线接入、虚拟化及云计算的能力
无线用户连接上WIFI后,可以再连接本SSLVPN以确保安全;通过部署虚拟化产品(UTMWALL-VM),可以将本SSLVPN集成到应用系统的Windows环境里,节省了硬件、空间、电力等费用,使得远程应用接入方式又多了一种选择;还可以将本SSLVPN随应用系统或独立部署到公有云、私有云中,实现云VPN功能,让云计算更安全。


SSLVPN产品优势对比表:

优点描述 中神通 深信服 天融信 网神 Juniper CISCO Array
适应面广:
Windows没有版本限制,浏览器无需安装插件
           
自身安全:
没有公开的WEB门户,后台不使用PHP、SQL,前端不使用ActiveX、Java等不安全的开发程序
           
快速高效:
WEB门户与数据传输端口分离,不再共用一个传输端口
           
穿透力强:
传输端口不仅限于TCP,UDP同样行,还有加密反审查措施
           
应用安全:
VPN隧道内不仅集成防火墙,还有网络审计、流量统计、上网行为管理、WAF、IDS/IPS等7层内容过滤
           
可定制化:
可针对用户需求定制安装包
           
虚实结合:
虚拟化平台、共有云、私有云部署
         


更多信息请查看:

1)SSLVPN视频演示
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=666
2)已知传统VPN安全漏洞
http://www.trustcomputing.com.cn/bbs/tag.php?name=VPN
深信服产品安全漏洞:www.wooyun.org/corps/深信服
天融信产品安全漏洞:www.wooyun.org/corps/天融信
网神产品安全漏洞:www.trustcomputing.com.cn/bbs/tag.php?name=%CD%F8%C9%F1
思科CISCO产品安全漏洞:www.trustcomputing.com.cn/bbs/tag.php?name=CISCO
3)用于服务器接入的防火墙网关的八个关键性功能
http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/101-serverfw
[ 本帖最后由 Zeus 于 2015-10-9 10:32 编辑 ]




欢迎光临 中神通公司交流论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0