WATERS高效液相的标准操作规程(SOP)试用稿技术人员就可以在几分钟内进行远程维护,效率非常高,同时更可以提供24小时 的实时服务。 ? 客户端操作简单
所以对客户端的技术要求非常低,不需要专业技术人员就可以操作。而维护中心的 人员更可像是在局域网中,针对远程的服务器或软件系统进行维护。 ? 安全性高
客户端进行连接时,只需要开放防火墙向外的TCP 443端口,无需开放任何向内 端口,安全性高,同时整个连接过程使用SSL加密技术进行,可靠保证整个数据传 输的保密安全。
三 产品优势
节点安全机制检查
随着远程用户的接入,对于网络管理员来说,相当于将企业的办公网络进行了延伸,如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效,Juniper的IVE系统提供全面的解决方案,可以对接入节点的安全策略进行检查,并且根据检查的结果,实施相应的访问控制。并且允许管理员对以下的选项进行定制。
? 和第三方节点安全解决方案整合,如InfoExpress,McAfee,Sygate,Zone Labs等 ? 注册表参数检查
? 开放/不允许的 ports检查 ? 允许/不允许的进程检查 ? 允许/不允许的文件检查 ? 检查定制的dlls
? 对第三方软件实施心跳检查
? 应用认证检查 (进程, 文件 MD5 Hash)
? 与赛们铁可的恶意软件防护功能相结合,提供了客户端对恶意软件访问的支持
访问缓存清除代理
如果远程用户使用了不可信任的远程主机,对企业的内部网络进行了访问,浏览器的缓存中将会保留一部分访问的数据,很容易造成敏感信息的意外泄漏,Juniper的IVE系统为此提
页脚内容8
WATERS高效液相的标准操作规程(SOP)试用稿供了缓存清除的功能,用户在登陆内部网络的时候,自动在本地加载一个缓存清除代理,在用户正常注销或者非正常退出的情况下,清除系统的该次访问留下的会话数据和临时文件。保证了敏感信息不会保留在客户端主机上。 对登陆用户的身份验证
IVE系统支持数字证书的使用,可以单独的利用客户端的数字证书对用户身份进行验证,从而避免了输入用户名/密码的麻烦。同时,IVE系统还支持多种认证服务器(包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证,包括ActivCard ActivPack?、RSA SecurID?和Secure Computing SafeWord? PremierAccess?以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/Active Directory的用户组的特性,方便管理员定义策略。
对于XXX系统,由于已经存在了PKI系统,我们可以利用证书的方式对客户端进行认证,这样我们需要为IVE系统也申请一个数字证书(也可以将根CA证书导入到IVE系统当中),这样的话,只有递交了正确的数字证书的用户,才能够通过IVE系统的认证,具有对后台服务器的访问权限。同时,IVE系统还支持通过CRL下载或者OCSP协议等,对证书的状态进行查询,这样的话,失效的证书也无法登陆IVE平台。
同时我们也可以采用用户名、密码与数字证书相结合的方式,登陆的用户必须在递交合法的数字证书的同时,输入相应的用户名和密码,才能够登陆IVE平台。IVE平台也提供了对用户端密码暴力破解的防护,为了防止字典探测攻击。系统对多次登陆请求的频率进行了限制。 安全的数据传输
远程访问的用户的数据在不可信任的互联网上传输的时候,采用了SSL加密的技术,保证了信息不会因为被侦听,窃取而造成重要信息的泄露。SSL 传输可以设定相关的加密的强度,为了安全需要,可以采用高强度的加密传输,数据的加密采用对称密钥的方式,系统缺省2分钟协商一次密钥信息,保证了恶意的攻击者无法得到准确的密钥。
如果用户提交的认证信息正确,系统将会发放一个授权的标记(TOKEN),在WEB请求当中,这个标记保存在一个加密的回话COOKIE当中,这种做法保证了系统不会受到冒认者的攻击。因为一个攻击者需要来伪造一个会话的标记(TOKEN)才能达到冒认的效果,而这又是很难实现的,
同时在互联网上传输的数据包,其目的地址都是对于与IVE平台的公网地址,也不会泄露网络内部服务器的网络拓扑。 坚固安全的系统平台
IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。系统可以通过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性。
IVE系统不运行通常的用户和程序服务,因此不会导致针对这些服务的攻击。IVE系统不允许管理员创建、维护系统级的用户帐号。因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。
IVE系统内部采用了内核级别的包过滤机制,利用预定义的一些规则,对进入系统的数据包进行判断和检查,保证了只有合法的数据包才可以进入或者通过IVE系统。
页脚内容8
WATERS高效液相的标准操作规程(SOP)试用稿IVE系统上的所有信息都采用了AES的加密处理,保证了及时设备被进入或者被偷走,恶意的攻击者都无法看到系统中的相关信息。
Juniper IVE 平台的设计和开发过程通过多个安全专业保障公司和专家的审查和验证,TrueSecure,世界领先的针对互联网连接安全提供保证方案的组织,为Juniper IVE平台进行了验证,并且提供了相关的报告,Juniper IVE也是SSL VPN同类产品中唯一通过TrueSecure验证的产品,另外,Dan Farmer(SATAN的作者,一位受人尊重的安全专家)和Cryptography Research(SSL 3.0的合作设计者)也对IVE系统进行了审计和验证。
动态全面的资源访问控制
Juniper IVE系统支持全面的细粒度的访问控制机制,真正实现了对用户身份(Who),访问的目的资源(What),时间(When),位置(Where)和方式(How)的动态控制。
? 动态认证策略:IVE平台可以通过多种要素对用户身份进行认证,包括提供身份前检查和
提供身份后检查,其中提供身份前检查的内容可包括:源地址、网络接口(内/外)、证书、节点安全状况检查(包括主机检查和缓存清除)、浏览器、登录的URL、SSL版本和加密级别;提供身份后检查的内容可包括:身份确定、证书特性、密码长度、同时登录用户数、目录服务密码等等;IVE平台可以根据这些内容,将登陆的用户划分为相应的角色,并且基于角色实现授权。另外上面的很大一部分检查都是一个动态的过程,IVE平台可以定时的检查客户端的相关信息。如可以定时的检查客户端的防病毒软件是否开启,如果用户在使用过程中关闭了防病毒软件,系统可能会因此在用户的访问过程中改变该用户所属的角色,重新为该用户分配相应的权限。这样的话,就实现了一个动态的访问规则的控制。 ? 角色定义和访问手段的控制:管理员可以定义用户属于一个或多个角色,对不同角色提供
不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问;对于不同的用户角色,管理员赋予不同的访问权限,首先是对访问方式的授权,如指定的用户只能通过WEB或者C/S方式进行等等 ? 对目的资源的访问控制策略:对于不同的应用资源,管理员可以提供不同的访问策略,策
略可以以IP地址为基础,也可以实现到基于URL级别或者文件级别的应用层的访问控制, ? 我们可以实现通过得到LDAP目录服务器的相关证书信息,根据这些信息进行权限的分配。
页脚内容8
SSL VPN远程维护解决方案
