江苏IPSEC VPN解决方案 上海雪莱信息科技供应

作为HTTPS服务器，所有SSL VPN都同样面临着DOS的威胁。所以大多数SSL VPN设备都需要前置防火墙保护其安全。而SANGFOR SSL VPN自身就是一个防火墙，集成了对DOS等攻击的防御手段。

对于来自外部的DOS攻击，其防御DOS的基本原理如下：在网络层模拟应用层对DOS攻击的主机发起应答，由于DOS攻击主机无法完成3次握手，因此可以识别出不完整的请求，江苏IPSEC VPN解决方案，避免了把攻击发送到SSL VPN应用上。而对于真实的SYN，在网络层完成了SYN的3次握手后，再模拟请求的客户端把SYN请求发送到应用层。通过这种SYN代理的方法就使得正常的SSL VPN远程访问顺利的通过防火墙到达内部服务器，江苏IPSEC VPN解决方案，而DOS攻击则被拒之门外。

SANGFOR SSL VPN安全网关不仅可以防御来自外网的DOS攻击，江苏IPSEC VPN解决方案，对于内网计算机发起的DOS攻击，SSL VPN安全网关也可以进行防御。管理员可以在SANGFOR SSL VPN安全网关内增添内网网段列表，若检测到来自该列表之内的计算机发起的连接请求，则认为是合法用户；而若是来自该列表之外的IP地址，则被认为是攻击。这对于通常伪造源IP地址的DOS攻击发起端来说，将是一个有效的防范措施。

硬件绑定（HardCA）

传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺点，SANGFOR SSL VPN使用了深信服公司的特色技术－基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息（如CPU、硬盘、网卡等）进行绑定，即便用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，因而不会造成非法用户接入。

动态令牌认证

动态令牌是技术**的一种双因素强身份认证体系，采用用户PIN码+动态令牌码构成完整用户口令，令牌码由令牌内置种子和当前时间通过伪随机算法生成，每分钟改变一次，而且是一次性密码（密码使用后立即失效，不能重复使用）。由于实际上的安全问题都和密码有关，** 密码是最常见的口令攻击手段，因此动态令牌很好的解决了以上问题，为用户的使用提供了极高的安全性保证。

与Radius结合

Radius作为3A体系中重要的一个元素，对于一些大型的集团型公司来说都部署了Radius服务器作为身份认证的一个因素，如果重新在SSL VPN上建立一套认证体制的化就会造成需要管理两套认证体制，因此为了减少增加认证体制所带来的麻烦。SSL VPN需要与Radius进行完美的结合。

深信服SSL VPN能够读取Radius的分组权限信息，这样在Radius中已经建立好的分组就可以映射到SSL VPN中，从而实现角色的划分和资源的绑定。

同样为了实现多样的认证，深信服SSL VPN也支持读取Radius中的手机号码属性，从而跟短信认证可以完美结合，实现双因素的认证。

同样为了实现通过Radius进行认证的用户也能够分配到虚拟IP，深信服SSL VPN可以读取Radius中的IP属性段，从而也可以绑定虚拟IP，实现通过Radius访问也能够进行IP资源的正常访问。

声明： 非本网作品均来自互联网，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其他问题，请及时与本网联系，我们将在第一时间删除内容，本网站对此声明具有最终解释权。