硬件綁定(HardCA)
傳統(tǒng)的用戶名和密碼或者CA證書認證方式都存在證書或密碼被盜用的問題��。為避免傳統(tǒng)方案的泄密缺點��,SANGFOR SSL VPN使用了深信服公司的特色技術(shù)-基于PC硬件特征的證書認證系統(tǒng)(HARDCA)來實現(xiàn)基于硬件的認證���。該認證原理是將用戶賬號與其所在計算機硬件信息(如CPU��、硬盤���、網(wǎng)卡等)進行綁定���,即便用戶賬號意外泄露,由于非法用戶無法使用與此賬號事先綁定的那臺計算機���,因而不會造成非法用戶接入���。
動態(tài)令牌認證
動態(tài)令牌是技術(shù)**的一種雙因素強身份認證體系,采用用戶PIN碼+動態(tài)令牌碼構(gòu)成完整用戶口令��,令牌碼由令牌內(nèi)置種子和當前時間通過偽隨機算法生成,每分鐘改變一次��,而且是一次性密碼(密碼使用后立即失效��,不能重復使用)���。由于實際上的安全問題都和密碼有關(guān)���,** 密碼是最常見的口令攻擊手段��,因此動態(tài)令牌很好的解決了以上問題��,為用戶的使用提供了極高的安全性保證���。
網(wǎng)絡(luò)中無處不在的網(wǎng)絡(luò)延時���、網(wǎng)絡(luò)丟包導致業(yè)務(wù)訪問速度急劇下降。江西SANGFORVPN費用
多方位的密碼安全保障
對于采用在SSL VPN上建立的用戶名和密碼���,深信服采用了多種機制保證密碼的安全性���。
一旦系統(tǒng)啟用防密碼***功能以后��,用戶連續(xù)輸入密碼錯誤次數(shù)達到一定的數(shù)量以后��,系統(tǒng)會將該帳號鎖定一段時間���,防止密碼被猜解。對于被鎖定的用戶可以通過查看鎖定用戶在線列表來解除被鎖定的用戶��,從而使其快速解凍��。
面對大量的用戶��,管理員出于管理的方便可能針對每個用戶設(shè)定了初始密碼���,但是出于密碼的安全性考慮��,必須提供一定的密碼安全保障來保證密碼的安全性���。深信服提供強迫初次登陸修改密碼,可以要求密碼必須至少多少位���,根據(jù)您的要求可以設(shè)定密碼的最小長度��,也可以設(shè)定密碼必須包含數(shù)字���、字母���、特殊符號,從而保證密碼的復雜度���,但是不能要求密碼與用戶名相同���、密碼不能與舊密碼相同。對于密碼的管理��,可以實現(xiàn)定時修改密碼���,密碼過期前多少天提醒用戶進行密碼修改,通過上面一系列的措施保證用戶的密碼的安全性���。
SANGFORVPN解決方案SSL VPN可以立即安裝���、立即生效。
與口袋助理APP結(jié)合認證
SSL VPN短信認證通常需要與企業(yè)短信平臺進行集成��,SSL VPN短信認證模塊支持與GSM/CDMA短信或短信網(wǎng)關(guān)聯(lián)動���,通過下發(fā)實時短信驗證碼的形式��,驗證用戶信息��,提高用戶登錄SSL VPN身份驗證安全��。
傳統(tǒng)短信認證方式存在的問題:
費用高
使用***方式���,需要購買硬件***��,并支付短信費用
使用短信網(wǎng)關(guān)方式���,同樣需要支付短信費用,甚至需要購買短信代理平臺
通過上面分析我們可以得出���,無論是***還是短信網(wǎng)關(guān)方式���,都需要支付短信費,而且費用不低��。以一個公司平均每天1000次登錄為例計算��,一條短信費大致為8分��,那么一年的投入是:1000*0.08*365=29200元
如果使用包月套餐,目前的市場價格大致為2000元/月包30000條短信��,超出部分按一條1毛錢另外計費���。那么一年的投入是:2000*12=24000元��。
由此可見��,客戶每年在短信費上投入的成本著實不少���。而且用戶越多,使用時間越長��,成本越高���。例如使用短信網(wǎng)關(guān)5年,投入成本將達10萬以上���。
短信認證
無線技術(shù)的突飛猛進給網(wǎng)絡(luò)世界又帶來一次巨大的**���,其靈活可靠的特點吸引了所有人的視線,因此���,依靠無線通訊技術(shù)的短信認證技術(shù)也應(yīng)運而生���。短信認證技術(shù)是一種革新型認證解決方案��,此認證系統(tǒng)分為手機短信終端和短信認證服務(wù)器兩部份��。終端用戶在既有移動電話和PAD的基礎(chǔ)上��,通過手機短信獲得雙因素用戶認證訪問代碼���,就能夠安全地訪問網(wǎng)絡(luò)資源。深信服支持與***進行互動來進行短信認證��。
短信網(wǎng)關(guān)
除了通過短信群發(fā)方式進行短信發(fā)送外���,深信服還支持運營商的短信網(wǎng)關(guān)���,如果您的網(wǎng)絡(luò)中已經(jīng)部署了短信網(wǎng)關(guān)(移動、聯(lián)通或電信的短信網(wǎng)關(guān))��,深信服可以和您的短信網(wǎng)關(guān)結(jié)合���,實現(xiàn)短信認證��。
當可能由于網(wǎng)絡(luò)的延時或者網(wǎng)絡(luò)運營商的問題導致短信未及時發(fā)出���,完全影響了使用者的使用���,導致業(yè)務(wù)無法正常使用,針對這樣的情況���,深信服為您提供短信重發(fā)功能��,讓您能夠方便快捷使用短信認證���。
SSL VPN的突出優(yōu)勢在于Web安全和移動接入。
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當中SSL 協(xié)議(RFC2246)���。它是一種安全可靠的協(xié)議���,包括以下三個協(xié)議:
握手協(xié)議:客戶和服務(wù)器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性,有三個特點 身份鑒別��,至少對一方實現(xiàn)鑒別��,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的���,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性��,有兩個特點 保密性���,使用了對稱加密算法 完整性,使用HMAC算法 用來封裝高層的協(xié)議
正是因為SSL 協(xié)議本身的安全性也導致他被多方位的應(yīng)用到網(wǎng)上銀行��。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進行封裝���。
如果**將TCP 數(shù)據(jù)做了簡單的封裝��,或者把IPSEC VPN做些修改��,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口��,不能算是真正的SSL VPN���。鑒別這種偽SSL VPN,可以使用標準的HTTP流量測試工具或者通過抓包工具���。如果能進行SSL 對接��,并進行SSL負載測試的就是真正的SSL VPN���。但是普通客戶往往沒有這個測試條件��,因此建議在SSL VPN選型時購買經(jīng)過國家密碼管理局批準的產(chǎn)品型號���,以及經(jīng)過公安部檢測通過并獲得VPN銷售許可證的產(chǎn)品。
在每個遠程接入的終端都需要安裝相應(yīng)的IPSec客戶端��。SSL VPN報價
深信服科技的IPSec VPN已經(jīng)比較好的解決了這個問題���。江西SANGFORVPN費用
與LDAP(AD)結(jié)合
隨著組織規(guī)模的擴大���,為了更好的進行認證,大部分的組織都建立了LDAP(AD)服務(wù)器��,通過LDAP服務(wù)器來進行人員的統(tǒng)一管理���。LDAP可以根據(jù)組織內(nèi)部的結(jié)構(gòu)來進行人員的劃分���,完全根據(jù)企業(yè)內(nèi)部的組織架構(gòu)來建立LDAP的人員結(jié)構(gòu)。
深信服能夠與LDAP進行聯(lián)動���,無需在SSL VPN設(shè)備上建立LDAP上的用戶���,直接將認證的數(shù)據(jù)轉(zhuǎn)向LDAP服務(wù)器,讓LDAP進行判斷��。如果有一些特殊的需要��,也可以將LDAP中的用戶導入到設(shè)備中��,可以根據(jù)您的需要定時進行同步��,您可以選擇一個固定的時間進行同步���,也可以選擇實時的進行同步���,從而保證LDAP上的用戶與SSL VPN上的用戶信息保持同步。
江西SANGFORVPN費用
上海黑象信息科技有限公司位于橫沙鄉(xiāng)富民支路58號A3-2486室���。公司業(yè)務(wù)涵蓋工藝禮品���,電子產(chǎn)品,制作各類廣告等���,價格合理���,品質(zhì)有保證���。公司將不斷增強企業(yè)重點競爭力,努力學習行業(yè)知識��,遵守行業(yè)規(guī)范��,植根于禮品��、工藝品���、飾品行業(yè)的發(fā)展��。黑象信息秉承“客戶為尊���、服務(wù)為榮、創(chuàng)意為先���、技術(shù)為實”的經(jīng)營理念��,全力打造公司的重點競爭力���。