深信服培训VPN总结

深信服SSL VPN总结
VPN 是一种能够通过共享的网络基础设施，如：在因特网上提供安全、可靠连接的服务。

VPN 定义为专用网络之间通过公共网络实现的加密连接。

Vpn 默认地址：https://10.254.253.254：1000，账户名/密码：Admin/Admin，默认eth0口ip：10.254.253.254，默认eth1口ip：10.254.254.254
VPN的部署模式：
1）网关（多线路、单线路）模式
2）单臂（多线路、单线路）模式
1.网关（多线路、单线路）模式
对客户的环境做比较大的改动，用SSL设备替换原有部署在出口处的路由器。

2.单臂（多线路、单线路）模式
对客户的网络环境无变动，宕机也不影响网络，只连接LAN口到内网，防火墙、DHCP、NAT等功能无法使用
认证方式：
1)用户名、密码认证
2)数字证书/DKEY认证
3)LDAP认证
4)RADIUS认证
5)短信认证
6)硬件特征码认证
7)令牌认证
1.用户名、密码认证
基于用户名和密码的认证，用户登录正确的用户名和密码即可登录
2.数字证书/DKEY认证
数字证书认证包括自建CA和第三方CA，自建和第三方CA包括数字证书和DKEY，
DKEY包括有驱DKEY和无驱DKEY
（注意：生成了无驱DKEY不能再生成有驱DKEY；有驱DKEY可生成无驱DKEY）3.LDAP认证
轻量级目录访问协议TCP 389
4.RADIUS认证：远程用户拨号系统（目前最广泛的AAA认证）UDP 1812(认证) UDP
1813
（计费）
5.短信认证：SSL 设备通过发送短信校验码至用户绑定的手机号码上, 用户正确输入短
信校验码后才能登陆SSL。

短信认证需开通序列号才能使用。

（短信认证属于辅助认证，必须同时使用一种主要认证）
6.硬件特征码认证：实现SSL VPN 账号和计算机硬件绑定，一个账号只能使用一台或者
几台特定的电脑才能登陆，实现账号的安全性（硬件特征码属于辅助认证，必须同时使
用一种主要认证）
读取接入电脑硬件信息顺序：硬盘ID->网卡MAC>C盘ID>D盘ID>E盘ID...
7.令牌认证：（令牌认证属于辅助认证，必须同时使用一种主要认证）
VPN设备安全包括：
1)多种方式组合认证
2)主从账号绑定（专利）
3)客户端安全检查
4)安全桌面
5)防止中间人攻击
6)可选消除缓存
1.多种方式组合认证：
用多种认证方式组合在一起认证
2.主从账号绑定：
将系统账号与VPN账号绑定，确保账号的安全性
3.客户端安全检查：
①准入：确保客户的网络环境安全方可登陆
②授权：根据登陆账号的安全策略，放行符合策略的访问权限
4.安全桌面：
启用一个虚拟的桌面进行操作，避免泄露信息
5.防止中间人攻击：
针对伪造的证书和SSL通道进行检测，并给用户发送告警信息6.可选消除缓存
退出SSL VPN是自动删除一切信息
VPN设备速度包括：
1)TCP快速传输协议
2)多线路只能选路
3)资源负载均衡
4)WEB优化
5)流缓存
1.TCP快速传输协议
基于UDP的可靠传输协议，提高TCP的传输效率
2.多线路智能选路
实时检测线路，确保线路稳定快速
3.资源负载均衡
动态选择接入的服务器，提高访问速度
4.WEB优化
通过图片缩小、过滤、模糊化策略对图片做优化处理，提高访问速度5.流缓存
访问过后自动记录缓存，方便下次直接提取
Sangfor SSL资源是指远程接入SSL VPN后可供访问的内网服务。

根据机制和应用服务的不同可分为：
1)Web应用
2)TCP应用
3)L3VPN应用
4)SSL VPN以上版本新增了远程应用
1.Web应用
通过SSL将内网服务转化为https协议
支持应用类型：http应用、https应用、mail、ftp
优点：客户端免控件，所有浏览器均支持
2.TCP应用
安装控件，由控件抓取服务器数据并进行封装，将TCP转化为SSL协议支持应用类型：所有tcp应用
优点：使用范围广
3.L3VPN应用
安装虚拟网卡，由虚拟网卡抓取数据，封装后和SSL建立隧道传给SSL 支持应用类型：所有TCP、UDP、ICMP协议
特点：需安装虚拟网卡，实现方式类似ipsec vpn 移动客户端
内网服务器的资源的添加方式：
1)添加SSL VPN资源的时候添加域名
2）添加SSL VPN的资源的时候添加IP地址
优先级如下：
系统HOSTS > 内网DNS > WAN口DNS
安全桌面：
1）SSL VPN能为接入SSL VPN 的用户生成一个虚拟的工作环境，离开安全桌面时，所有的数据将被删除
2）功能要求
①安全桌面功能需要序列号授权方能使用
②需要在安全桌面内访问的资源，必须添加为TCP应用类型。