產(chǎn)品培訓(xùn)-VPN(客戶)-深信服

VPN產(chǎn)品培訓(xùn)1.VPN背景知識介紹2.廣域網(wǎng)絡(luò)存在問題3.IPSecVPN應(yīng)用領(lǐng)域4.SSLVPN應(yīng)用領(lǐng)域VPN背景知識介紹VPN簡介VPN（VirtualPrivateNetwork）虛擬專用網(wǎng)：

依靠ISP（InternetServiceProvider互聯(lián)網(wǎng)服務(wù)提供商）提供的公網(wǎng)線路（如ADSL等），建立專用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，是DDN、FR、ATM等技術(shù)的替代方式主要作用 連接各私有網(wǎng)絡(luò)和私人用戶 保護在公網(wǎng)上傳播的數(shù)據(jù) 實現(xiàn)對專有資源的訪問授權(quán)VPN相對于專線的優(yōu)勢:

性價比高！VPN網(wǎng)絡(luò)定位VPN由外向內(nèi)由內(nèi)向外內(nèi)部網(wǎng)絡(luò)IPSecVPN優(yōu)勢

-網(wǎng)對網(wǎng)的組網(wǎng)方式，可實現(xiàn)三級或多級組網(wǎng) -組網(wǎng)方式較為固定，適合機構(gòu)間組網(wǎng)

-用戶透明訪問，無需登錄操作（移動用戶仍需軟件客戶端）不足之處

-權(quán)限不可具體到用戶，

-網(wǎng)絡(luò)層完全開放，內(nèi)網(wǎng)資源直接暴露給分支用戶

-不適用于手持移動終端IPSecVPN組網(wǎng)深信服AC(上網(wǎng)行為管理）、SSLVPN、WAC（廣域網(wǎng)加速）、SG（上網(wǎng)優(yōu)化管理）都含有IPSecVPN模塊，為客戶實現(xiàn)網(wǎng)絡(luò)優(yōu)化的同時提供更高的網(wǎng)絡(luò)價值！SSLVPN優(yōu)勢

點對網(wǎng)的組網(wǎng)方式，二級組網(wǎng) 基于瀏覽器的訪問，使用方便 適用于手持移動終端 權(quán)限劃分可具體到用戶不足之處 二級組網(wǎng)，不適用于多級網(wǎng)絡(luò)組網(wǎng) 應(yīng)用單向訪問，不適用于總部與分支都有業(yè)務(wù)系統(tǒng)的訪問 用戶終端需要登錄操作

SSLVPN組網(wǎng)深信服SSLVPN為SSL/IPSec二合一VPN設(shè)備，提供網(wǎng)對網(wǎng)機構(gòu)組網(wǎng)、點對網(wǎng)移動辦公雙價值！IPSecVPN與SSLVPN區(qū)別IPSecVPN 網(wǎng)對網(wǎng)的組網(wǎng)方式，三級或多級組網(wǎng)

組網(wǎng)固定 用戶透明訪問 權(quán)限不可具體到用戶 不適用于手持移動終端SSLVPN

點對網(wǎng)的組網(wǎng)方式，二級組網(wǎng) 瀏覽器訪問 適用與手持移動終端 權(quán)限劃分可具體到用戶廣域網(wǎng)建設(shè)存在的問題廣域網(wǎng)建設(shè)存在的問題隨著組織機構(gòu)擴大，眾多分支如何實現(xiàn)互聯(lián)？

眾多互聯(lián)解決方案，那種是最適合企業(yè)的互聯(lián)解決方案互聯(lián)網(wǎng)虛擬專用網(wǎng)網(wǎng)絡(luò)專線廣域網(wǎng)建設(shè)存在的問題數(shù)據(jù)傳輸?shù)陌踩匀绾伪ＷC

-依賴互聯(lián)網(wǎng)運行的業(yè)務(wù)系統(tǒng)時刻面臨著數(shù)據(jù)遭到竊取等安全隱患。

-不法分子輕易就能偽造或纂改企業(yè)的重要商業(yè)信息。

-近而給企業(yè)帶來名譽和財產(chǎn)上的損失，以及法律糾紛等問題。

廣域網(wǎng)建設(shè)存在的問題總部及分支內(nèi)網(wǎng)安全如何保障企業(yè)分支UserUserUserServersMail

ServerMail

ServerWeb

ServerWeb

ServerDMZ企業(yè)分支

企業(yè)總部網(wǎng)絡(luò)IPSpoofing攻擊DoS攻擊Worm病毒所知的攻擊后門攻擊未知攻擊…越來越多…在大型企業(yè)網(wǎng)絡(luò)中，分支內(nèi)網(wǎng)安全往往影響總部網(wǎng)絡(luò)的安全廣域網(wǎng)建設(shè)存在的問題大型企業(yè)網(wǎng)絡(luò)如何進行集中管理

企業(yè)眾多分支內(nèi)網(wǎng)安全策略無法統(tǒng)一配置分支節(jié)點設(shè)備運行狀況及鏈路情況如何監(jiān)控？大量移動用戶配置維護耗費管理員大量時間和精力-分支增加帶來管理及現(xiàn)場支持成本的持續(xù)增長導(dǎo)致的結(jié)果是：網(wǎng)絡(luò)規(guī)模越大，帶來的管理成本也越大IPSecVPN應(yīng)用領(lǐng)域VPN應(yīng)用領(lǐng)域及優(yōu)勢大中型企業(yè)異地機構(gòu)互聯(lián)中小型分支IPSecVPNIPSecVPN合作伙伴IPSecVPN內(nèi)部網(wǎng)InternetSANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPN方案描述應(yīng)用背景：公司分支機構(gòu)和各門店營銷點分部在全國各個區(qū)域。需要把ERP、進銷存和財務(wù)系統(tǒng)在所有各機構(gòu)統(tǒng)一部署帶來價值：各分支從互聯(lián)網(wǎng)上通過VPN隧道就能安全、便捷、低成本的訪問企業(yè)總部應(yīng)用資源并實現(xiàn)信息共享VPN應(yīng)用領(lǐng)域及優(yōu)勢大網(wǎng)中建小網(wǎng)小型分支IPSecVPNIPSecVPNIPSecVPN方案描述應(yīng)用背景：行業(yè)專網(wǎng)是行業(yè)內(nèi)部生產(chǎn)、工作的網(wǎng)絡(luò)平臺，幾乎所有本行業(yè)單位都使用該網(wǎng)絡(luò)。因為使用人員廣泛，成分復(fù)雜，加之有大量需要對內(nèi)部保密的應(yīng)用（如財務(wù)系統(tǒng)）帶來價值：利用VPN在專網(wǎng)內(nèi)構(gòu)建有保密功能的“安全子網(wǎng)”，給用戶數(shù)據(jù)信息帶來真正的安全SANGFORM/P/SVPN中型分支SANGFORM/P/SVPNSANGFORMVPN行業(yè)專網(wǎng)財務(wù)子網(wǎng)專線專線專線其它子網(wǎng)中心站點VPN應(yīng)用領(lǐng)域及優(yōu)勢行業(yè)專網(wǎng)建設(shè)延伸末端分支專線InternetSANGFORP/SVPNSANGFORMVPNSANGFORMVPN二級分支SANGFORMVPN行業(yè)專網(wǎng)二級分支末端分支SANGFORP/SVPNIPSecVPNIPSecVPN一級部門應(yīng)用背景：行業(yè)用戶專線網(wǎng)絡(luò)構(gòu)建完成后，常常面臨延伸的困擾，地市延伸至縣，市/縣延伸至鄉(xiāng)鎮(zhèn)和街道各個節(jié)點，如果全部鋪設(shè)專線，要面臨費用和實施兩方面的困難帶來價值：

VPN使行業(yè)用戶利用互聯(lián)網(wǎng)來安全、方便、價廉的延伸行業(yè)專網(wǎng)，降低成本的同時提供靈活可控的安全方案描述VPN應(yīng)用領(lǐng)域及優(yōu)勢構(gòu)建VPN備份網(wǎng)絡(luò)中小型分支IPSecVPNIPSecVPNIPSecVPNInternet方案描述應(yīng)用背景：對可用性要求很高的企業(yè)，為了提供專線的備份網(wǎng)絡(luò)，常利用互聯(lián)網(wǎng)這種低廉的基礎(chǔ)網(wǎng)絡(luò)來建設(shè)備份網(wǎng)絡(luò)帶來價值：基于VPN技術(shù)構(gòu)建的備份網(wǎng)絡(luò)，相較專線備份網(wǎng)絡(luò)能大大節(jié)省企業(yè)成本，并提供更高的安全性和部署靈活性SANGFORM/P/SVPN大型分支SANGFORM/P/SVPNSANGFORMVPN行業(yè)專網(wǎng)專線專線專線VPN應(yīng)用領(lǐng)域及優(yōu)勢

專線改造及替換中型分支快速IPSec快速IPSec小型分支InternetSANGFORWANACCSANGFORWANACC大型分支SANGFORWANACCSANGFORWANACC方案描述應(yīng)用背景：隨著企業(yè)分支及應(yīng)用的增多，對專線數(shù)量及帶寬的需求日益增多，也因此給企業(yè)帶來沉重的經(jīng)濟負(fù)擔(dān)帶來價值：采用快速VPN替代原有專線，不單大幅降低線路成本，其加速技術(shù)能使用戶獲得類似專線乃至超過專線鏈路下的訪問速度，提升企業(yè)效率中心站點快速IPSec成本線路每月ADSL成本500上海-深圳2MDDN12000每月節(jié)約成本：12000×3-500×2=35000VPN設(shè)備成本：1臺M5100，3臺M5000，總成本134550投資回報分析：134500/35000=3.84即3.84個月可以收回投資以客戶有三條2M專線為例，替換為VPN后，總部增加兩條ADSL（我們的加速產(chǎn)品可以使用多線路），各分支直接使用已有的ADSL（所以無須計算成本增加）專線替換投資回報分析VPN網(wǎng)絡(luò)優(yōu)勢—最佳投資回報成本線路每月上海-深圳768KbDDN7000上海-深圳2MDDN12000每月節(jié)約成本：（12000-7000）×3=15000加速VPN設(shè)備成本：1臺M5100，3臺M5000，總成本134550投資回報分析：134500/15000=8.97即8.97個月可以收回投資以客戶有三條專線為例示例適合客戶原本需要增加到2M，采用加速VPN后無需增加帶寬成本減少投資回報分析SSLVPN應(yīng)用領(lǐng)域常用的應(yīng)用背景大量出差在外的人員需要移動辦公希望第三方機構(gòu)（有業(yè)務(wù)交互的第三合作伙伴、有業(yè)務(wù)往來的第三方機構(gòu)、被監(jiān)管的組織和機構(gòu)）也能用到一部分IT系統(tǒng)，但必須保證嚴(yán)格的權(quán)限分配和接入的安全性。偏遠(yuǎn)地區(qū)的分支，維護成本高，專線無法涉及或者設(shè)備維護成本高，需要一種簡單便捷的接入方式。Internet內(nèi)網(wǎng)外網(wǎng)移動接入第三方接入遠(yuǎn)程接入（偏遠(yuǎn)地區(qū)）SSLVPN解決之道SSLVPN解決之道的價值點針對移動辦公：為用戶提供一種安全快速的接入訪問針對第三方接入：為用戶提供一種基于細(xì)致權(quán)限劃分、分級分權(quán)限管理的安全快速接入訪問針對偏遠(yuǎn)分支：為用戶提供一種方便好用安全的接入訪問方式隔離內(nèi)網(wǎng)服務(wù)器面臨的問題僅僅服務(wù)器的認(rèn)證遠(yuǎn)遠(yuǎn)不能滿足安全性要求，仍然存在著賬號被竊取的風(fēng)險訪問過程中數(shù)據(jù)未經(jīng)過加密，存在著數(shù)據(jù)竊取隱患對于內(nèi)部的服務(wù)器需要做邏輯隔離，防止不相干人員訪問，保護服務(wù)器安全WLAN非法接入面臨的問題WLAN賬號WPA和WEP易被人破解，從而通過WLAN非法接入到內(nèi)部網(wǎng)絡(luò)中對于非法接入的用戶無法做隔離，導(dǎo)致內(nèi)部資源信息泄漏對于內(nèi)部眾多的訪問資源無法提供細(xì)致的權(quán)限劃分，防止越權(quán)訪問SSLVPN的應(yīng)用背景匯總（1）領(lǐng)導(dǎo)和員工出差或者在家，希望還能用到公司的IT系統(tǒng)。（2）希望第三方機構(gòu)（有業(yè)務(wù)交互的第三合作伙伴、有業(yè)務(wù)往來的第三方機構(gòu)、被監(jiān)管的組織和機構(gòu)）也能用到一部分IT系統(tǒng)，但必須保證嚴(yán)格的權(quán)限分配和接入的安全性。（3）偏遠(yuǎn)地區(qū)的分支，維護成本高，專線無法涉及或者設(shè)備維護成本高，需要一種簡單便捷的接入方式。SSLVPN應(yīng)用背景匯總（4）專網(wǎng)的規(guī)模太大，面臨安全隱患。需要在數(shù)據(jù)加密，身份認(rèn)證，審計等方面做更多考慮。（5）對于特定的服務(wù)器需要進行隔離，提供強身份認(rèn)證和接入訪問數(shù)據(jù)加密，保證接入訪問安全（6）針對無線AP接入中存在的非法訪問，導(dǎo)致組織內(nèi)部的網(wǎng)絡(luò)資源泄漏，因此需要一種基于身份認(rèn)證、數(shù)據(jù)傳輸安全、權(quán)限劃分的安全接入方式（7）大量人員采用PDA或者智能手機的接入方式，需要一種安全便捷的接入方式。（8）重要應(yīng)用系統(tǒng)需要做強身份認(rèn)證，必須保證接入賬號的唯一性（9）有獨立的業(yè)務(wù)門戶頁面，里面有多級域名和多級鏈接，如何防止資源被漏訪深信服VPN產(chǎn)品優(yōu)勢SANGFORVPN技術(shù)優(yōu)勢

最快的VPN

最安全的VPN

最易用的VPN

面向未來的VPNSANGFORVPN--最快的VPN我們致力提供最快的VPN多線路技術(shù)，可以有效提高分支的接入訪問速度暢聯(lián)技術(shù)，在跨運營商的環(huán)境下仍能獲得較好的傳輸效率高效壓縮技術(shù)，在帶寬不變的情況下，流壓縮技術(shù)能有效減少負(fù)載數(shù)據(jù)量，從而提高數(shù)據(jù)傳輸速度可擴展廣域網(wǎng)加速技術(shù)，大幅提升用戶體驗，解決網(wǎng)絡(luò)帶寬和傳輸速度問題第一品牌之技術(shù)優(yōu)勢最快的VPN暢聯(lián)技術(shù)-在跨運營商的傳輸時，即使網(wǎng)絡(luò)兩端的帶寬足夠，但運營商網(wǎng)絡(luò)間頻繁的丟包率仍然會導(dǎo)致傳輸性能的大幅下降暢聯(lián)技術(shù)優(yōu)化了數(shù)據(jù)傳輸機制，在丟包率高達(dá)30%的情況下也能將丟包還原保證數(shù)據(jù)的傳輸質(zhì)量，非常適合于丟包嚴(yán)重的環(huán)境！速度最快的VPNSANGFORVPN--帶給您全面的安全第一品牌之技術(shù)優(yōu)勢硬件鑒權(quán)，采用硬件特殊屬性（CPU、網(wǎng)卡、硬盤等信息）作為接入身份驗證，只有經(jīng)總部授權(quán)的硬件設(shè)備才允許接入訪問權(quán)限控制，細(xì)致控制分支及移動的訪問權(quán)限，防止非法不授權(quán)的內(nèi)網(wǎng)訪問VPN專線，遠(yuǎn)程用戶接入VPN后斷開與互聯(lián)網(wǎng)的鏈接，阻斷黑客對終端電腦的控制用戶使用時間管理、帳號過期時間管理最安全的VPN第一品牌之技術(shù)優(yōu)勢隧道間路由，實現(xiàn)兩點間在不直接建立VPN情況的互訪分支通過總部上網(wǎng)，總部可以控制分支互聯(lián)網(wǎng)的訪問行為選路策略細(xì)化到用戶，實現(xiàn)在多個最優(yōu)線路上鏈路負(fù)載單臂下的多線路，VPN設(shè)備單臂部署，前置上網(wǎng)設(shè)備如有多線路即可在設(shè)備上配置多線路，實現(xiàn)VPN多線路功能隧道內(nèi)NAT，可實現(xiàn)兩個相同網(wǎng)段建立VPN連接隧道隧道內(nèi)流控，為每個分支合理分配帶寬，整體提升用戶使用體驗最易用的VPN所提供的可靠性雙機功能

-兩臺設(shè)備以主備方式進行工作，出現(xiàn)故障設(shè)備將自動切換網(wǎng)關(guān)模式單臂模式SecureCenter集中管理平臺

--分布式部署與管理SecureCenter集中管理平臺

--分布式部署與管理大型VPN網(wǎng)絡(luò)最具性價比的集中管理解決方案中小型分支IPSecVPNIPSecVPN移動用戶SSLVPN合作伙伴IPSecVPN內(nèi)部網(wǎng)InternetSC管理平臺SANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPNSecureCenter集中管理平臺

--分布式部署與管理內(nèi)置的狀態(tài)監(jiān)控功能,能詳細(xì)記錄顯示：在線網(wǎng)點信息網(wǎng)點實時信息網(wǎng)點異常信息網(wǎng)點版本信息VPN設(shè)備拓補監(jiān)控還可查看詳細(xì)的SC設(shè)備的系統(tǒng)及操作日志SANGFORSSLVPN優(yōu)勢最快最好用最安全SANGFORSSLVPN最安全多種方式組合認(rèn)證+密碼防暴破保護客戶端安全檢測，結(jié)合檢測結(jié)果的授權(quán)和準(zhǔn)入細(xì)粒度權(quán)限控制+主從帳號綁定獨立日志中心記錄提供用戶、資源、安全、管理員、系統(tǒng)日志多種認(rèn)證方式多種認(rèn)證方式組合認(rèn)證，提供比網(wǎng)銀還安全的認(rèn)證手段將應(yīng)用系統(tǒng)賬號與SSLVPN賬號強制綁定以增強應(yīng)用系統(tǒng)賬號使用安全性，確保各用戶只能以指定的應(yīng)用系統(tǒng)帳號登錄系統(tǒng)。主從帳號綁定（專利）客戶端安全策略（1）準(zhǔn)入：保障客戶端具備相應(yīng)安全環(huán)境要求方可接入內(nèi)網(wǎng)，防止安全隱患（2）授權(quán)：根據(jù)客戶端不同