网络技术

一、多线路技术实现智能选路和负载均衡

目前，大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小，严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商，深信服科技在IPSec VPN 中，创新性地采用了多线路智能选路功能，并成功应用到SINFOR SSL VPN安全网关中。

所谓多线路智能选路技术，即是指在企业数据中心网络的网关位置部署SINFOR SSL VPN安全网关，并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时，SINFOR SSL VPN 网关会自动检测最优线路，使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高，解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。

若采用其他方案来解决类似问题，则用户往往需要单独购买一个线路负载均衡器，才能实现多线路负载均衡的效果。而SINFOR SSL VPN的多线路技术，不仅解决了跨运营商部署VPN网络时的延迟问题，还实现了多条线路的带宽叠加和负载均衡，用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。

SINFOR SSL VPN安全网关的多线路智能选路和负载均衡功能，减少了企业在IT部署的采购投入，降低了企业的总体拥有成本。

1

多线路智能选择最优线路

目前对于大部分SSL VPN设备而言，所支持的应用类型是有限的，几乎仅限于支持Web等B/S的应用，而无法像IPSec VPN一样支持基于网络层以上的

SINFOR SSL VPN安全网关通过html智能重构技术、应用转换技术和IP Tunnel技术，实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持，包括：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。 由于采用了IP Tunnel技术，SINFOR SSL VPN安全网关实现了对应用程序的完整支持，客户端在打开浏览器的SSL VPN登录界面时，只需安装一个Active X控件（可选），在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡，因而SSL 远程登录用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL VPN在总部网络采用路由模式的部署方式，总部网络还能够实现与远程接入用户的双向访

2

问。这种领先技术的应用，使得SINFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。

客户端安全检查，保证接入安全 在用户通过计算机浏览器打开SSL 登录界面时，SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，保证SINFOR SSL VPN接入安全，避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。

内置CA中心，集成短信认证等多种认证方式SINFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道，除了使用标准SSL

3

协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外，还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN（IPSec和SSL）系统，安全方便。

SINFOR SSL VPN安全网关内置了CA中心，企业或者事业单位可自建CA中心，用户可不必购买单独的CA认证体系，为企业减少了投入成本。同时，SINFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。

SINFOR SSL VPN安全网关内置有LDAP/AD、Radius、Secur ID、短信认证等多种安全认证方式，可以根据相应的安全级别，对客户端组合几种认证方式，最大限度地保证了接入用户的合法性。

当前，间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一旦泄漏将造成企业数据的安全隐患。深信服科技采用了基于手机短信的动态身份认证系统来消除该隐患，方便易用，保证了用户使用SSL VPN访问总部资源时的安全性。

提供细致的访问权限控制功能 SINFOR SSL VPN通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。

完善的用户和资源管理 SINFOR SSL VPN内置有多种用户和资源管理

4

方式，可以自建用户，也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证，可以根据用户、用户组、公用账号、私有账号等多种方式对用户进行管理。管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式，为远程接入用户分配细致的访问权限控制。

流量等多种方式，保证了用户合理地使用VPN资源。并且，在SSL VPN网关中的直观式管理图形用户界面（GUI）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个VPN系统的运行状况。

支持动态IP、方便易用由于宽带的普及以及ADSL资费的降低，国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。SINFOR SSL VPN集成了深信服科技独创的基于Web的动态IP寻址技术（专利技术），使的SINFOR SSL VPN网关在部署的时候无需固定IP，完全支持动态IP。并且，当企业在使用SINFOR SSL VPN网关的SSL VPN功能时，可以使用和IPSec VPN 相同的Webagent来解析网关的动态IP，减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时，也更加便捷。由于支持动态IP接入，SINFOR SSL VPN同样也适合中小型企业。

二、 SINFOR SSL VPN网关网络和系统结构图 1 路由模式部署图

5

2 透明模式部署图

3

双

机

热

备

原

理

图

6

三、 SINFOR SSL VPN网关技术特点 1 更方便易用的SSL VPN

1) 无需安装客户端，立即使用SINFOR SSL VPN严格遵照SSL协议标准，因此无需在客户终端安装任何软件(如果需要使用DKEY做双因素认证，则需要在线安装DKEY驱动)。这样就省去了管理员维护大量客户端的诸多麻烦，网络管理成本也随之降低。和一些SSL VPN不同，SINFOR SSL VPN即使是对C/S应用的支持也不需要安装任何客户端。借助于SINFOR SSL VPN独创的基于Web的IPSec客户端在线安装方式，用户也可以根据实际情况，方便地安装使用IPSec VPN ，结合自身的需求，按需部署IPSec /SSL VPN网络。

7

借助于深信服的专利技术之一：基于Web的动态IP寻址技术，SINFOR SSL VPN网关可以支持动态IP。用户除了可以通过固定IP、域名等方式登录到SSL VPN安全网关以外，还支持使用Webagent技术来解决寻址问题，用户无需固定IP便可支持动态IP的连网方式。并且一个Webagent文件既可以用来进行IPSec VPN的寻址，也可以进行SSL VPN的寻址，用户可以自行搭建完全的、不依赖于第三方的寻址技术，按需构建属于自己的VPN网络。

2) 完全的网络兼容性和设备兼容性借助于浏览器技术，SINFOR SSL VPN可以支持所有网络环境，只要浏览器能够上网就可以使用SSL VPN。

目前，SINFOR SSL VPN所支持的浏览器类型包含Html/Dhtml, Jsp, Asp,Java applet, Active, Cookies等各种Web技术。

3) 使用HTML智能重构技术获得广泛的Web应用支持如果SSL VPN仅仅对Web应用做简单的HTTP 到 HTTPS 的协议转换和代理将无法支持所Web应用。比如有一个链接指向本地的一个网页写成了绝对路径，如:http://192.168.0.1/entry/link.htm，那么这个链接在192.168.0.0的局域网内是可以正常访问的，但是到了SSL VPN的浏览器上，如果保留这个链接不变，由于使用者不在局域网络，将导致无法打开此链接。因此，SSL VPN还需要对

这些链接做识别，重写HTML，将其转换成Https的有效链接，此类情况在实际应用中还会有很多。使用深信服公司的HTML智能重构技术，SINFOR SSL VPN可以重写类似HTML代码，从而支持几乎所

8

有Web应用。SINFOR SSL VPN并不重写所有HTML代码，而是根据智能搜索引擎判断出需要重构的网页再加以修改，以保证响应的速度。

4) 使用IP Tunnel技术完整支持所有C/S应用除了对B/S应用的全面支持，SINFOR SSL VPN还使用应用转换技术支持FTP、SMTP、POP3等需要双向访问的应用，通过应用转换技术，将使用Web界面提供该应用的支持。SINFOR SSL VPN提供了基于Web的FTP访问方式，用户在Web界面中输入正确的用户名和密码以后便可访问到内网的的FTP服务，同时也提供了基于Web方式的邮件收发系统，方便了没有邮件客户端的用户使用公司内部的邮件系统。

对于大多数C/S应用，SINFOR SSL VPN安全网关采用Proxy IE技术支持TCP代理应用。而通过IP Tunnel技术，SSL VPN网关就能够支持目前所有基于TCP/IP协议的各种应用。SINFOR SSL VPN可以支持所有的基于IP层以上的静态或者动态端口的C/S应用，包括网上邻居、文件共享、Ftp、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等各种TCP协议的B/S和C/S应用以及UDP应用。 同时，SINFOR SSL VPN安全网关对应用的透明访问功能，使得客户端在使用SSL VPN时，不需要更改任何C/S应用程序客户端的配置便可以访问。若企业内部自建有DNS服务器，由于SSL VPN网关支持内网DNS服务，用户在客户端登录时可直接输入相应的内部域名，就可以访问到指定资源。

若用户的内网资源有Web类的应用系统，由于SSL VPN网关支持自动定位URL功能，用户可以在资源列表中直接添加详细的内网URL地址，

9

通过细致的权限划分，客户端通过严格的身份校验之后，即可在其权限范围内直接点击此URL地址，访问到相应的页面。同时SSL VPN网关还支持隐藏服务，可以把相应的资源以隐藏的方式显示在资源列表中（服务可用，但是在该用户所可使用的资源列表中看不出来），更好地方便管理员结合实际情况为用户分配相应的访问权限。

10