深信服宝岛眼镜SSL统一认证平台安全接入
深信服SSL渠道高级认证培训07_外置数据中心部署和使用
外置数据安装
安装数据中心软件之前,需要检查服务器硬件和操作系统的条件,满足安装条件才 能继续进行安装。 1、硬件要求 最低配置: 硬盘:分区NTFS/FAT32格式,5G以上剩余空间。 内存:2G以上。 CPU:Intel E3 1220 V2及以上。 建议配置: 硬盘:NTFS分区,根据日均日志量及保存期限要求,建议500G以上。 内存:8G CPU:Intel E5620 2.40GHz 2、软件要求 Windows Server 2003 32位操作系统 Windows Server 2008 32位操作系统
在报表设置中,我们可对报表缓存存放的方 式和路径进行设置,另外还可设置流量统计 和流速趋势表格中显示的条数。
外置数据中心使用指导
四、数据管理
可进行日志库备份、还原、删除等操作
在日志库备份页面中,可以对各个节点当前 的日志库做备份。 在日志库还原页面中,可以将之前备份好的
日志库文件还原。如果日志库出现问题,可 以通过这种方式恢复到之前备份好的日志库。
注意事项
1、外置数据中心只支持安装在server2003 、server2008 32位系统。
2、SSL5.7和VSP外置数据中心安装程序不能通用。 3、安装时请关闭服务器杀毒软件和防火墙。
4、要确保设置的web服务器端口以及日志备份服务器端口未被其他程序占用。
5、安装路径不能包含中文,否则安装之后无法启动备份服务器。
外置数据中心安装
安装步骤:
1、双击安装程序SSLVPN_DC_5.7.exe,点击“下一步”进行安装
2、设置端口,一般按默认的即可,确保这些端口不与服务器上的其他程序冲突。 3、选择安装路径,点击“下一步安装完成”。 注:程序安装包在深信服 官网即可下载。
统一认证平台接入配置指南
统一认证平台接入配置指南统一认证平台接入配置指南统一认证平台接入配置指南是一个非常重要的指南,它为企业和组织提供了一种集中管理身份认证和授权的解决方案。
通过接入统一认证平台,企业可以简化用户认证流程,提高安全性,并提供更好的用户体验。
首先,接入统一认证平台需要进行一系列的配置。
在开始配置之前,首先需要了解统一认证平台的基本概念和原理。
统一认证平台通常由认证服务器、授权服务器、用户信息存储和管理、认证客户端等组件组成。
当用户访问企业的应用程序时,统一认证平台会负责验证用户的身份,并根据用户的权限向其提供相应的资源。
接下来,需要进行服务器的安装和配置。
根据统一认证平台的指南,企业需要选择适合自己的认证服务器和授权服务器,并进行相应的安装和配置。
这些服务器通常需要与企业的用户数据库进行集成,以便获取和管理用户的认证信息。
在服务器配置完成后,接入统一认证平台的下一步是配置认证客户端。
认证客户端是指企业的应用程序,在用户访问时,需要与统一认证平台进行通信,并接收认证信息。
根据指南,企业需要根据自己的应用程序类型选择相应的认证客户端,并进行相应的配置。
除了服务器和客户端的配置,统一认证平台还需要进行用户信息存储和管理的配置。
企业需要将用户的认证信息和权限信息存储在统一认证平台的用户信息数据库中,并进行相应的管理和维护。
这样,当用户进行认证时,统一认证平台就可以根据用户的信息进行验证和授权。
最后,企业还需要进行安全性的配置。
统一认证平台通常提供了一系列的安全性配置选项,如多因素认证、密码策略等。
企业需要根据自己的安全需求选择相应的配置,并进行相应的设置。
总结起来,统一认证平台接入配置指南为企业提供了一种集中管理身份认证和授权的解决方案。
通过正确配置认证服务器、授权服务器、认证客户端和用户信息存储和管理等组件,企业可以实现简化用户认证流程、提高安全性,并提供更好的用户体验。
同时,还需要根据自己的安全需求进行相应的安全性配置。
SanyECCPortal统一身份管理与安全认证方案V1.2
Sany ECC Portal统一身份管理与安全认证方案**:***日期:版本:保密范围/等级:修订审查分发前言 (5)概述 (6)第1章项目背景 (6)1.1 编制目的 (8)1.2 适用范围 (8)1.3 规范起草单位 (8)1.4 规范解释权 (8)1.5 名词解释和缩略语 (8)1.6 企业信息门户系统概述 (9)第2章总体建设方案建议 (9)2.1 系统总体设计 (9)2.2 高性能系统设计架构 (11)2.3 简化架构 (14)2.4 硬件建议配置 (15)第3章企业目录设计 (16)3.1 目录服务的相关概念 (16)3.2 目录服务器的选择 (19)3.3 目录服务Schema设计 (20)3.4 用户信息编码规则 (22)第4章统一身份管理的实现 (22)4.1 TIM的身份管理机制 (22)4.2 实现集中的控制 (23)4.3 下放管理任务 (24)4.4 自动化管理流程 (25)4.5 TIM集成技术的考虑 (27)第5章用户身份集成和同步的实现 (27)5.1 人力资源管理系统的同步 (27)5.2 与IBM PORTAL系统集成 (28)5.3 使用TDI与CSM,GSP系统的账号数据集成 (28)第6章统一认证和授权管理 (31)6.1 集中的安全策略管理 (31)6.2 集中的Web资源管理 (32)6.3 灵活多样的用户身份认证方式 (33)6.4 集中的授权管理 (34)6.5 丰富的管理和授权API (35)6.6 在Web环境下的单一登录 (36)6.7 和Websphere Portal Server的集成 (37)6.8 TAMeb集成技术的选择 (40)6.9 单点登录和集中认证的实现 (40)第7章单点登录的技术实现 (42)7.1 使用LTPA实现 (43)7.2 使用HTTP header(iv-user)实现 (43)7.3 使用GSO(Global Singn-On)实现 (44)第8章安全管理平台的系统管理 (45)8.1 系统监控设计 (45)8.1.1 目录服务 (45)8.1.2 访问控制 (46)8.1.3 身份管理 (46)8.1.4 门户 (46)8.2 备份和恢复设计 (47)8.2.1 目录服务 (47)8.2.2 访问控制 (47)8.2.3 身份管理 (47)8.2.4 门户 (48)8.3 安全性设计 (48)8.3.1 目录服务 (48)8.3.2 访问控制 (49)8.3.3 身份管理 (49)8.3.4 门户 (50)8.4 接口要求 (50)8.4.1 访问接口 (51)8.4.2 管理接口 (51)8.4.3 接口规范 (51)第9章应用开发的注意事项 (51)9.1 应用编码规则 (51)9.2 应用获取用户名方法 (52)9.3 应用获得客户端IP方法 (52)9.4 应用打包的配置 (52)9.5 单次登录集成测试 (53)前言本规范主要规定了三一集团企业信息门户系统中用户目录子系统的技术要求,主要包括系统的建设目标及原则、目录树架构规范、属性定义、目录的复制与同步、单点登录实现、用户目录管理与接口设计等要求。
A04-POC-SSL-测试方案v1.0
通用场景测试方案深信服科技股份有限公司修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人批准人1 完成通用场景标准化POC测试方案编写20161127 1.0 1.0 liuxf本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版权声明目录第1章前言 (4)1.1方案介绍 (4)1.2测试目的 (4)1.3测试设备 (4)1.4测试时间和人员 (4)1.5测试项目 (5)1.6测试环境 (5)第2章测试准备 (6)2.1深信服准备 (6)2.2客户方准备 (7)第3章现场测试 (7)3.1设备部署 (7)3.2全局配置 (8)3.3功能测试 (8)3.3.1从用户端到服务端全面防护 (9)3.3.1.1身份安全 (9)3.3.1.2终端安全 (13)3.3.1.3权限安全 (15)3.3.1.4传输安全 (17)3.3.1.5行为追溯 (18)3.3.2从用户端到服务器提升用户体验 (19)3.3.2.1轻量级客户端 (19)3.3.2.2提升SSL VPN兼容性 (20)3.3.2.3多重加速机制 (21)第4章测试结束 (24)4.1结果反馈 (24)4.2测试汇报 (24)第1章前言1.1方案介绍深信服SSL VPN帮助用户实现端到端的安全防护,优化端到端的业务访问体验,为客户打造一个更安全、体验更好的统一业务安全接入平台。
深信服统一业务安全接入平台,帮助用户在任何时间、任何地点、使用任何终端都能安全、快速地接入业务系统。
它以SSL/IPSec二合一VPN网关作为基础,又融合了EasyConnect(应用虚拟化)、EasyApp(App安全加固)、EMM(企业移动管理)、L3VPN等多种移动终端的安全接入方式,通过构建一套平台,就可以统一地管理移动用户接入的身份认证、访问权限、移动设备,提升移动接入的安全性,简化安全策略的部署,同时还提供优化的传输速度,让用户获得最佳的移动访问体验,帮助企业节省大量的IT建设开支。
深信服认证原理
深信服认证原理
深信服认证的原理是基于SNMP协议实现的。
SNMP协议是一种用于网络
设备管理的互联网标准协议,深信服认证利用SNMP协议,可以对网络设
备进行远程管理和控制。
具体来说,深信服认证原理主要包括以下几个方面:
1. 设备识别:通过SNMP协议,深信服认证可以识别并获取网络中的设备
信息,包括设备的IP地址、设备型号、设备类型等。
2. 权限管理:深信服认证可以对网络设备进行权限管理,根据不同用户的需求和角色,分配不同的管理权限。
例如,可以设置只读权限、读写权限等,以确保网络设备的安全性。
3. 远程控制:通过SNMP协议,深信服认证可以对网络设备进行远程控制
和管理,例如远程重启设备、关闭设备等。
4. 监控和维护:深信服认证可以对网络设备的运行状态进行实时监控,及时发现和处理故障,保证网络设备的正常运行。
总之,深信服认证原理是基于SNMP协议实现的,可以对网络设备进行远
程管理和控制,提高网络设备的可靠性和安全性。
统一身份认证系统技术方案
.. .. .. ..智慧海事一期统一身份认证系统技术方案资料.参考... .. .. ..目录..................................................................................................................................................... I .目录2.1.......................................................................................................................................... 总体设计2设计原则1.1 .................................................................................................................................3设计目标1.2 .................................................................................................................................31.3设计实现.................................................................................................................................41.4系统部署.................................................................................................................................6.................................................................................................................................. 方案产品介绍2.6统一认证管理系统2.1 .................................................................................................................系统详细架构设计2.1.16 .........................................................................................................身份认证服务设计2.1.27 .........................................................................................................授权管理服务设计2.1.301 .......................................................................................................单点登录服务设计2.1.431 .......................................................................................................身份信息共享与同步设计2.1.551 ...........................................................................................后台管理设计2.1.691 ...............................................................................................................安全审计设计2.1.712 ...............................................................................................................业务系统接入设计2.1.832 .......................................................................................................32数字证书认证系统2.2 ...............................................................................................................产品介绍3....................................................................................................................... 2.2.1 2系统框架42.2.2.. (2)软件功能清单52.2.3 (2)技术标准6....................................................................................................................... 2 2.2.482.数字证书运行服务方案 3................................................................................................................82运行服务体系....................................................................................................................... 3.1923.2证书服务方案.......................................................................................................................证书服务方案概述3.2.129 .......................................................................................................服务交付方案03 ............................................................................................................... 3.2.2服务支持方案6 ............................................................................................................... 3.2.33 8......................................................................................................... 3.33CA基础设施运维方案运维方案概述83.3.1 (3)系统运行管理8CA3.3.23 .............................................................................................................系统访问管理9 ............................................................................................................. 33.3.3CA业务可持续性管理93.3.43 .......................................................................................................审计93............................................................................................................................. 3.3.5CA资料.参考... .. .. ..1.总体设计1.1设计原则一、标准化原则系统的整体设计要求基于国家密码管理局《商用密码管理条例》、公安部计算机系统安全等级要求和《中华人民共和国计算机信息系统安全保护条例》的有关规定。
基于SSL VPN的单点登录在智慧校园平台中的应用
基于SSL VPN的单点登录在智慧校园平台中的应用作者:俞靓亮来源:《电脑知识与技术》2021年第04期摘要:在过去几年的时间中,宁波广播电视大学开发和购买了各类信息系统和运维系统,例如工资查询系统、科研管理系统、智慧校园门户和思福迪堡垒机等。
基于网络安全和信息保密的考虑,这些系统需要部署在校园网环境中对授权用户开放访问,在互联网上授权用户只能通过登录vpn后才能访问这些系统。
该文采用了深信服的sslvpn,认证方式包括本地密码认证和cas票据认证,对于已经接入智慧校园统一身份认证的系统,采用cas票据认证先登录vpn,再访问这些系统,对于思福迪堡垒机等运维系统,只需新建若干个本地账户分配给有需要的老师即可。
此外,该文还实现了vpn无感知拉起业务系统的功能,被授权的用户在互联网上直接输入业务系统的网址,就能调用vpn并访问该业务系统,达到方便又安全的效果。
关键词:单点登录;vpn;cas中图分类号:TP393 文献标识码:A文章编号:1009-3044(2021)04-0050-03Abstract: In the past few years,Ningbo TV & Radio University has developed and purchased various information systems and operation and maintenance systems, such as salary query system,scientific research management system, smart campus portal and SAFETYBASE fortress machine, etc. Based on the consideration of network security and information confidentiality,these systems need to be deployed in the campus network environment to open access to authorized users. Authorized users on the Internet can only access these systems by logging in VPN.In this paper, we use SSL VPN of SANGFOR, which includes local password authentication and CAS bill authentication. For the system that has been connected to the unified identity authentication of smart campus, we use CAS bill authentication to log in VPN first, and then access these systems. For the operation and maintenance system such as the SAFETY BASE fortress machine, we only need to create a number of local accounts and assign them to the teachers who need them.In addition, this paper also realizes the function of pulling up the business system without VPN awareness. Authorized users can directly input the web address of the business system on the Internet, and then they can call VPN and visit the business system, achieving the convenient and safe effect.Key words:single sign-on; VPN;CAS1 sslvpn中单点登录技术的研究现状sslvpn中单点登录主要包括ldap认证、radius认证、域单点登录认证和cas认证。
GW0202-2014 国家电子政务外网安全接入平台技术规范
引言
为了满足各级政务部门的移动办公、远程访问、现场执法以及相关企事业单位和工作人员利用公众 网络安全接入到政务外网的业务需求,规范中央、省(自治区、直辖市)、地(市)、县级政务外网建 设运维单位建设安全接入平台,特编制本规范。
II
国家电子政务外网安全接入平台技术规范
1 范围
本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作, 也可作为政务外网职能部门进行指导、监督和检查的依据。
移动终端管理系统 Mobile Device Management 移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实 现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能
深信服IPSEC渠道高级认证培训03_第三方IPSEC对接常见问题及原因
排错:
1、双方把各自第一阶段的SA生存期和第二阶段的SA生存期改成跟对端完全一致; 2、在第一阶段启用DPD。
为什么要启用DPD?什么是DPD?
DPD:死亡对等体检测(Dead Peer Detection),其实跟SANGFOR VPN的隧 道保活包干的是类似的活。当VPN隧道异常的时候,能检测到并重新发起协商, 来维持VPN隧道。 DPD主要是为了防止标准IPSEC出现“隧道黑洞”。 DPD只对第一阶段生效,如果第一阶段本身已经 超时断开,则不会再发DPD包。 Phase I Phase II
如果不使用PFS,则第二阶段的加密密钥会根据第一阶段的密钥自动生成。 使用了PFS,则第二阶段要重新通过DH算法协商一个新的加密密钥,从而提 高了数据的安全性。 Phase I Phase II
DH1
DH2 DH5
DH1
DH2 DH5
启用PFS与不启用PFS的区别?
结论: PFS主要是用来加强数据传输的安全性;
第三方对接IPSEC常见问题及原因
培训内容
第三方对接IPSEC常见问题及原因
培训目标
1.了解常见问题
2.掌握一般的排错手段
关于标准IPSEC的一些说明
1、标准IPSEC的版本: IKE V1(1998) IKE V2(2005)
RFC 2407 RFC 2409 RFC 2408 2、标准IPSEC(V1)的连接过程:
不到对端,重启服务之后就可以?
可能情况: 对端的VPN连接已经断开而我方还处在SA的有效生存期时间内,从 而形成了VPN隧道的黑洞。 我方不停的发送加密后的VPN数据过去,但对方拒绝 接受。
设备上显示连接还在,但是访问
不到对端,重启服务之后就可以?
深信服SSL使用说明(新版)
深信服SSL使⽤说明(新版)VPN⽹络移动⽤户SSL接⼊初始安装步骤集团移动⽤户通过SSL⽅式接⼊VPN⽹络,具体操作步骤如下:1、⾸先需判断原来是否已安装过⽼版本深信服VPN驱动程序,如已安装,需先⽤深信服卸载⼯具卸载,勾选空间名称前的勾,然后点击卸载所有控件。
如下图:(未安装过⽼版本深信服的机器不需执⾏此操作)2、打开IE浏览器,在菜单栏选择⼯具-〉Internet选项-〉安全-〉受信任的站点3、单击“站点”按钮,弹出信任站点卡⽚。
如下图显⽰:4、在卡⽚中去掉“对该区域中的所有站点要求服务器验证(https://)”的勾选,在“将该⽹站添加到区域中”⽂本框中输⼊:http://58.213.155.249,点击“添加”按钮。
点击“确定”按钮。
再输⼊:http s://58.213.155.249,点击“添加”按钮。
点击“确定”按钮。
如下图:5、在IE地址栏中输⼊http://58.213.155.249,如出现下图界⾯,请点击继续览此⽹站6、出现登录界⾯,输⼊⽤户名、密码和校验码后,点登录7、初次登录,浏览器将⾃动安装多个ActiveX插件,显⽰如下图界⾯:8、插件装好后,屏幕右下⾓出现图标。
浏览器进⼊如下界⾯,点久其报表进⼊久其系统,点⽤友NC进⼊NC系统(前提是NC插件和CA驱动已正常安装)。
9、系统全部使⽤实名登录,⽤初始密码初次登录后,务必修改密码,且建议登录VPN的密码和登录NC的密码不要⼀样,修改密码⽅法如下:点右上⾓设置,弹出⼀个⽹页窗⼝,密码后有[修改]链接,点开后即可修改。
⾓图标,点退出如果不经设置,登录时⽹页上会提⽰证书有问题,如下图:解决⽅法如下:(以IE8为例)点继续浏览此⽹站后,进⼊如下界⾯,⿏标点[证书错误],在弹出页⾯点[查看证书]在弹出的界⾯中,先点击证书路径页签,然后点击打红叉的根证书,再点击查看证书点击查看证书后,在跳出的页⾯上点[安装证书],再在跳出界⾯上点[下⼀步]选择[将所有证书放⼊下列存储区],点击[浏览]按钮,在跳出的页⾯上选择[受信任的根证书颁发机构],点[确定],再点[下⼀步]。
统一认证平台解决方案
统一认证平台解决方案1. 概述统一认证平台的技术基于公钥密码基础设施(PKI)技术,严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》标准,完全自主研发的商用密码统一身份认证系统,主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。
统一认证平台的最大特点是它作为整个系统平台的基础安全服务构件,为政府部门、企业单位的各个应用系统提供数据安全服务集成、统一身份认证服务,同时,提供方便易用的运维管理工具,为客户合规性检查提供有效的支撑。
2. 系统功能模块说明2.1.功能划分根据需求,对系统各层级功能进行初步划分,区分每个功能的边界,结果如下表所示:2.2.功能模块3. 系统特点3.1. 部署灵活、简单易用、提供可视化的数据管理系统的设计采用B/S模式,各模块以及子系统采用分布式架构,只需在服务端部署即可,客户端无需做任何的修改,管理终端与服务器之间采用高强度SSL安全连接,采用数字证书对用户的身份实现管理。
为降低管理人员的工作量,系统提供完善的可视化数据平台,从多个维度对数据进行分析和统计。
同时可结合用户的实际需要,灵活的进行系统模块的组合部署,如采用:RA+CA+KMC、RA+CA等多种组合。
3.2. 支持国密算法,采用专用密码硬件系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务器密码机、签名验签服务器,可进行灵活的扩展以满足不同客户的性能要求。
3.3. 系统平台的高安全性•通信安全平台内部各子系统采用高强度的SSL标准安全通信协议,同时配合数字证书进行身份验证•数据安全数据库、配置文件中的敏感数据采用加密方式保存;提供完备的数据备份及恢复的手段。
•管理人员安全采用基于数字证书的身份验证机制,管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。
3.4. 兼容主流系统环境,开发接口丰富系统支持主流操作系统运行环境以及主流硬件平台,支持Windows,Linux,AIX,Solaris,HP_UX,并提供Java、C、.net、C#、Object C等应用接口,方便用户的应用集成。
深信服主打产品一张纸
深信服主打产品一张纸一、上网行为管理(AC)销售指导1、核心功能:上网行为管理AC主要支持认证、应用封堵、流控和审计功能2、商机快速判断依据:依据1:流量滥用客户出现上网慢,P2P流量占据带宽,影响正常上网业务的问题依据2:上网随意、无管控客户出现上网娱乐、访问非法应用,影响工作且造成网络违法依据3:网络违法,无记录随意发布违法言论,缺乏上网日志记录,无法满足《网络安全法》依据4:信息泄漏,难追溯网络外发途径多难封堵,泄密后无据可查,责任难追追究。
3、商机挖掘话术:(1)《网络安全法》要求保留上网日志6个月,咱们公司有部署审计设备吗?(2)咱们公司网络出口带宽多大?平时是否有领导或员工抱怨上网慢?(3)咱们公司是不是可以随意通过网络外发资料?是否需要对网络泄密行为进行追溯?(4)咱们公司对于员工上网是否有要求,比如禁止浏览不良网站,禁止网购/看视频/刷朋友圈等?4、产品选型:AC选型参考出口带宽和用户数,报价涉及网关杀毒、多线路、BA等模块以及URL库升级和服务二、下一代防火墙(AF)销售指导1、核心功能:下一代防火墙集成FW/IPS/WAF/模块,支持勒索病毒监测防护、僵尸网络防护和风险分析等功能,实现L2-L7层的安全防护2、商机快速判断依据:依据1:网络出口:互联网边界、有购买防火墙、IPS、安全网关需求,需要对终端上网安全管控、防勒索病毒依据2:对外发布场景1、用户担心网站被非法篡改2、对外发布业务系统应用层被黑客攻击3、等保合规及来自上级监管部门监管要求4、担心业务系统遭受黑客DDOS攻击及暴力破解依据3:数据中心场景企业、政府、教育、金融、医疗等有新建数据中心、现有数据中心新建业务系统,担心失陷主机、运维复杂、无WAF和IPS依据4:分支场景企业、政府、教育局等有分支机构的客户,存在终端上网安全、隔离恶意流程和入侵行为的需求依据5:终端场景终端PC担心遭受勒索病毒考虑终端僵尸木蠕病毒3、商机挖掘话术:1:咱们单位目前部署了哪些安全设备?什么品牌?这些安全设备使用了多长时间了?使用情况如何?(了解替换机会)2:现在勒索病毒事件频发,我们有一款能防勒索病毒的防火墙,可以帮助咱们单位快速发现是否具备勒索病毒的防护能力,请问您有没有兴趣试用?(深信服AF集成SAVE智能安全检测引擎,能够有效防御未知威胁和变种病毒,区别于其他安全产品只能靠限制端口和静态特征来防御);3:等级保护2.0即将发布,其中对防火墙有了新的要求,比如积极防御,持续检测,您是不是要了解有这些功能的防火墙?(递上一本由《等保测评联盟推荐标准》的销售工具);4:现有的是如何运维管理的?是否多种安全设备管理起来非常的困难?;(深信服融合安全,简单有效)4、产品选型:AF选型主要参考带宽,报价涉及增强级模块、杀毒与未知威胁防护、VPN模块、多线路(2U设备)、最新威胁防御(URL库、安全规则库更新)和服务;三、SSL VPN1、核心功能:安全性强、兼容性强、易用性强2、商机快速判断依据:依据1:远程接入办公1、客户存在OA/邮箱/企业云盘/财务/CRM等系统,需要领导、员工随时接入办公2、客户属于制造业,有下游代理商、供应商接入其渠道管理系统3、客户属于连锁型企业,需要门店实时上报营业数据4、客户有远程运维人员(外包运维),需要临时接入单位网络依据2:远程应用发布客户内部开发(或外包)的某类业务相关的应用,正常情况下,只适用于Windows环境,但是,用户希望苹果和安卓手机/PAD等也可以使用,即存在“远程应用发布”机会依据3:商密合规改造客户属于银行、证劵、保险类行业或客户属于广电网络、人社局、卫计委、交通、财政、公检法等,现有网络中的VPN设备需要支持国家商用密码算法SM1,SM2,SM3,SM4。
SANGFOR_SSL VPN简介
内网安全
网间隔离和内网服务器区隔离
• 办公网中的众多安全威胁 • 接入访问生产网、内网服务器区的权限安全
• 来自内网的机密数据窃取
• 重要应用的访问审计
传统方案的不足
网闸
•处理数据量大时,容易造成处理瓶颈 •数据传输仍为明文,无法防范数据窃听威胁 •身份认证手段单一,接入安全可靠性低 •通过IP、端口、协议的方式授权,管理困难
WLAN安全危机重重
• 网络接入仅依靠密码验证,容易遭盗取 • 无线加密存在破解隐患,威胁传输安全 • AP覆盖范围广,外部人员可扫描广播信号
• 访问权限无法控制,暴露内网核心应用
深信服安全接入解决方案
安全、便捷、快速、易管理的远程接入
安全 快速
• 用户、终端、传输、权限、审计安全全方位防护 • 沙盒技术 • 客户端安全检查的准入和授权
Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
国家林业局森林病虫 泰康人寿财产保险 害防治总站 股份有限公司 国家药典委员会 中国残疾人联合会 新华人寿保险股份 有限公司 华夏基金管理有限 公司
中国水电顾问集团 中国电信陕西省分公司 广东省粤电集团有 中国联通河北省分公司 限公司 广西电网公司 中国联通辽宁省分公司
随时随地的最佳资源访问体验
数据安全的现状
独立日志中心提供主从账号越权访问记录,安全预警
防WLAN非法访问
多重身份认证,提高WLAN接入安全
对来访人员、内部人员进行细致权限划分 高强度加密算法,保证传输安全
深信服SSL VPN优势
深信服cwpp用户手册说明书
深信服云主机安全保护平CWPP 用户手册产品版本 3.2.32文档版本 01发布日期2021-7-9深信服科技股份有限公司版权声明本文档版权归深信服科技股份有限公司所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其它相关权利均属于深信服科技股份有限公司。
未经深信服科技股份有限公司书面同意,任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。
免责条款本文档仅用于为最终用户提供信息,其内容如有更改,恕不另行通知。
深信服科技股份有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠,但深信服科技股份有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
联系我们售前咨询热线:400-806-6868售后服务热线:400-630-6430 (中国大陆)7*24小时智能客服,排障咨询好帮手:修订记录修订记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
符号说明在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
目录目录.............................................................................................................................................. i ii1. 产品概述 (1)2. 安装部署 (2)2.1. 准备工作 (2)2.1.1. 管理平台安装环境 (2)2.1.2. 客户端安装环境 (2)2.1.3. 网络连通性要求 (3)2.2. 管理平台部署........................................................................................ 错误!未定义书签。
精选-信息安全-深信服安全感知平台(SIP)解决方案模板
1. 目概况1.1 项目名称XXX单位安全态势感知项目、XXX单位内网安全监测、XXX单位全网安全可视化项目等等1.2 编制依据以下标准作为参考,根据项目实际情况进行增删1)国家信息安全法规与技术标准文档《中华人民共和国网络安全法》《“十三五”国家信息化规划》(国发〔2016〕73号)《信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息系统安全等级保护定级指南》(GB/T 22240-2008)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》《国家信息化领导小组关于加强信息安全保障工作的意见》2)本省/集团公司政策文件《xx省电子政务发展规划(2014-2020)》《xx省电子政务信息安全管理暂行办法》……1.3 建设目标、建设内容和建设周期本项目的建设目标是:强化xx单位网络信息安全监测预警能力,主要解决当前xx网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高xx网络突发安全事件监测和预警能力,实现整体网络的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。
通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。
本项目的主要建设内容有:安全感知系统建设;监测预警响应服务;其他计划整体打包交付的安全能力:本项目的建设周期x 个月,从xxx年xx月至xxx年xx月, 监测预警和响应服务将延续到项目实施并验收通过后的x年。
1.4 总投资估算本项目总投资估算xx万元,其中软硬件设备投资xx万,集成和服务费xx万。
深信服SSL安全网关(国密)测试模板
国密算法SSL加速器测试结果深圳市深信服电子科技有限公司目录第一章测试对象 (4)1.1测试产品型号 (4)1.2产品测试指标 (4)1.3测试场地安排 (9)1.4参与测试人员 (9)1.5测试软硬件配置 (9)1.6测试用例部署方式 (10)1.6.1旁路部署 (10)1.6.2串接部署 (13)1.6.3三角传输模式 (16)1.7网络功能 (19)1.7.1支持网络地址转换功能 (19)1.7.2支持链路聚合,支持LACP(链路聚合控制协议) (21)1.7.3支持802.1Q功能 (24)1.7.4支持静态路由协议 (26)1.7.5支持动态路由协议 (28)1.8SSL功能技术指标 (32)1.8.1支持SSL算法:SHA1 (32)1.8.2支持SSL算法:SM2-SM4 (34)1.8.3RSA支持SSL协议:SSL3.0 (36)1.8.4RSA支持SSL协议:TLS1.0 (39)1.8.5RSA支持SSL协议:TLS1.2 (41)1.8.6支持国密协议 (43)1.8.7支持SSL弱算法过滤 (46)1.8.8支持的设定算法优先级 (49)1.8.9RSA的1024bit/2048bit证书密钥长度 (52)1.8.10国密SM2的256bit证书密钥长度 (57)1.8.11支持单向SSL认证(RSA) (60)1.8.12支持单向SSL认证(国密版) (62)1.8.13支持双向SSL认证(RSA) (65)1.8.14支持双向SSL认证(国密版) (67)1.8.15LDAP下载CRL方式 (70)1.8.16HTTP方式下载CRL (71)1.8.17FTP方式下载CRL (72)1.8.18CRL吊销列表管理 (73)1.8.19不同的证书信息透传编码格式 (75)1.8.20设置允许客户端证书最小密钥长度的设置 (79)1.8.21低于指定加密强度的重定向 (85)1.8.22向后台服务传递证书或证书指定参数 (89)1.8.23针对同一个站点(虚拟服务)同时支持国密证书和RSA证书.. 921.8.24支持反向传递证书DN序列 (95)1.9高可用要求 (98)1.9.1支持冗余电源,支持热插拔 (98)1.9.2主备模式组网 (100)1.9.3主主模式组网 (102)1.9.4集群模式组网 (105)1.9.5主备设备间配置同步及会话同步 (109)1.10特色功能 (113)1.10.1支持新版国密标准 (113)1.10.2支持新国密ECDHE-SM2-SM4-SM3算法 (115)第一章测试对象1.1测试产品型号1.2产品测试指标678国密算法SSL加速器测试结果1.3测试场地安排1.4参与测试人员1.5测试软硬件配置本次测试所需软硬件环境如下表:1.6测试用例部署方式1.6.1旁路部署2. 新建网络接口3. 新建节点池4. 新建虚拟服务5.访问成功6.抓包查看签字确认1.6.2串接部署测试场景测试项目串接部署方式测试测试组网图客户端PC安全网关设备服务器1服务器2服务器3交换机1交换机2预置条件测试过程预期结果客户端PC访问安全网关设备上的虚拟服务可以获得真实服务器上的服务内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宝岛眼镜(SSL VPN)
◆背景介绍
宝岛眼镜作为华人世界中眼镜界的翘楚,拥有30多年历史,目前在亚洲的中国大陆、台湾分别开拓市场。
其中,大陆已经突破1200家门店。
一直以来,宝岛眼镜秉持着"用专业的心,做专业的事"理念,不断引进国际级视光高科技产品,以及和国家级重点高校合作,进行专业人才培训,并积极参与国家质量部门检测,落实高质量的商品分析,真正创造企业、政府高校和视光产业,三方面纵横一体的领先企业。
◆需求分析
该项目中,用户在厦门、上海两地部署了数据中心,并已使用IPSEC VPN进行互联。
客户对系统接入安全要求较高,但并未部署强身份认证系统,需求对接入的人员进行严格的身份校验及权限控制,同时希望在登录VPN连入内网时能够切断互联网连接,避免互联网带来的安全风险。
◆深信服解决之道
整体方案的出发点有:
1、深信服搭建统一认证平台。
2、提供精细的权限控制,满足用户强身份认证以及权限控制的需求。
3、深信服的SSL专线功能能够使得用户在接入内网时自动切断所有互联网访问,为用户的业务系统保驾护航。
目前宝岛眼镜在厦门和上海有两个大数据中心,分支门店在已有IPSEC VPN连接基础
上,分支门店或办公室在访问厦门数据中心的时候,需要通过SSL VPN进行身份验证,并断开互联网连接,以保障业务系统安全。
应用效果
通过深信服的SSL VPN安全接入解决方案很好的解决了宝岛眼镜数据中心访问用户身份不可识别等一系列安全问题,数据中心的访问安全大大提高。