第1章 SANGFOR SSL-VPN技术特点
1.1 更安全的SSL VPN
SANGFOR SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系,由头至尾保证整个SSL VPN接入访问的安全性。
1.1.1 身份认证安全
1.1.1.1 多种方式混合认证
许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所造成的威胁将是不可估量的。
SANGFOR SSL VPN支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持LDAP/AD、Radius、CA等第三方认证,支持USB KEY、硬件特征码、短信认证(短信猫和短信网关)、动态令牌卡等加强认证方式。
单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服创新性提出混合认证,针对以上认证方式可以进行多因素的“与”、“或”组合认证。“与”组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入SSL VPN系统。“或”组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSL VPN系统中。
通过多因素组合认证大大加强认证安全的强度,确保接入SSL VPN的用户的身份的确认性。
1.1.1.2 USB KEY认证
SANGFOR SSL VPN支持基于数字证书的USB KEY认证,将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。同时,SANGFOR SSL VPN支持无驱USB KEY认证,客户端无需安装驱动即可使用USB KEY进行登录认证,大大提高了客户端使用的易用性。
USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统,安全方便。
1.1.1.3 动态令牌认证
动态令牌认证是技术领先的一种双因素身份认证体系,内嵌特殊运算芯片,以事件同步的技术手段,通过符合国际安全认可的OATH动态口令演算标准,使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证。
1.1.1.4 短信认证
USB KEY、动态令牌等认证方式能非常好的保证认证的安全性,但却需要随身携带USB KEY、动态令牌这些小硬件,对于经常需要出差办公的人员来说难免有些不方便。
短信认证很好的解决了这个问题,此认证系统分为手机终端和短信服务器两部分,手机往往是随身携带的,相对于USB KEY、动态令牌随身携带的方式更易让用户接受。当用户
在进行SSL VPN登录认证时,短信服务器将为该用户自动生成一个6位的数字随机认证码,并以短信的方式发送到用户所绑定手机号码的手持终端上,用户即可在认证界面上输入该6位认证码通过短信认证。短信认证很好的解决的多因素认证安全性与使用便捷性的问题。
对于短信服务器端,SANGFOR SSL VPN支持短信猫及短信网关两种方式。短信猫为小硬件设备,将短信猫连入设备的CONSOLE口并进行相应配置即可实现短信认证功能。若机房内电磁屏蔽效果较好,为了保证使用短信猫发送随机认证码短信的效果,也可在内网中选择一台电脑安装短信认证软件,并将短信猫接入电脑的COM口,同样可实现短信认证的效果。
如果您的网络中已经部署了短信网关(移动和联通短信网关),SANGFOR SSL VPN可以和您的短信网关结合,实现短信认证。
当网络因为延时、网络运营商等问题导致短信未能及时发出,将可能影响到用户的SSL VPN登录,导致业务无法正常使用。针对这样的情况,SANGFOR SSL VPN为您提供短信重发功能,让您能够方便快捷使用短信认证。
用户短信认证界面
1.1.1.5 硬件绑定(HardCA)
对于仅使用用户名/密码认证的用户,为了保证用户登录SSL VPN限定在某一台或是某几台终端上,因用户帐号意外泄漏、帐号盗用导致数据的泄露问题,可对登录终端进行绑定。
通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现,但是对于SSL VPN用户,采用这样的终端访问方式是不合适的。移动用户需要走出局域网远程访问,IP地址经常是不固定的。而标识网卡的MAC地址也能进行手工的改动,导致终端存在被仿冒的威胁。
SANGFOR SSL VPN打破常规,通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息,如CPU、硬盘、网卡等信息生成数字证书,并对证书和用户进行绑定实现用户身份的唯一性控制。
当用户登录SSL VPN,客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送到SANGFOR SSL VPN设备。需要进行绑定的账号用户工作平台若是在不同的客户端上,我们可按不同用户、用户组实际需要设置不同的特征码的个数(1-100个硬件特征码),保证终端绑定安全的基础上实现人性化的管理。
硬件特征码配置界面
同时,SANGFOR SSL VPN支持硬件特征码的自动审批的设置。用户在提交了硬件特征码后,若是该用户名下没有提交过硬件特征码,或该终端与该用户名下的硬件特征库匹配不上且该用户的硬件特征码个数没有达到上限,SSL VPN系统自动将通过该特征码的审批,用户端界面直接跳转到资源服务页面,减轻管理员反复审批特征码的工作。
启用了硬件特征码认证的用户在通过SSL VPN登录身份认证时,SSL VPN将自动获取终端CPU、硬盘、网卡的硬件信息并生成特征码提交到SSL VPN设备进行硬件特征码认证,若该特征码与该用户名下的特征码匹配不上,即采用非法终端登录SSL VPN,系统将判断该用户为非法登录,拒绝通过认证。
通过硬件特征码认证,很好的保证了用户登录SSL VPN终端的唯一性,一方面可在无需追加投资的基础上实现双因素认证,避免单一用户名密码遭窃后造成的越权访问。另一方面,通过硬件特征码的唯一确定性,确保了用户登录SSL VPN的范围的圈定,尤其对于某些重要的应用系统可限定仅使用个别安全级别高的终端登录,保证系统、数据安全性。
1.1.1.6 CA认证
SANGFOR SSL VPN安全网关内置了CA中心,完美支持PKI体系。通过SSL VPN内置CA中心,企业或者事业单位可自建CA,避免单独购买CA的额外投资,减少投入成本。同时,SANGFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。
在数字证书使用的过程中必然涉及到数字证书的过期等问题,为了更好的保持与证书状态信息的同步,SANGFOR SSL VPN支持OCSP服务器,实时保持与OCSP服务器的同步,让所有证书的状态信息都能够及时得到反馈,保证CA证书认证的安全性。
深信服VPN产品介绍(白皮书)
