免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 4211 | 回复: 2

谁了解深信服的VPN设备? [复制链接]

论坛徽章:
0
发表于 2015-08-17 15:05 |显示全部楼层
本帖最后由 alexwangln 于 2015-08-17 15:19 编辑

RT,单位VPN用的是深信服的SSL VPN服务器,最近好多客户端提示“以达到最大授权用户上限”,厂家来技术人员了,弄了3天也没好,从一开始的不到40个登录用户,先是变成不到80,现在20个左右。我就觉得奇怪,有那么复杂么?改个配置文件啥的不就行了么?我觉得他家有点店大欺客,仗着自家的产品技术封闭,怎么说怎么是,反正别人不懂。有没有了解的GGJJ,出来指点一下,不胜感激!

另外,谁能简单说说企业级VPN大多都选择什么方案?是像我们这样的采购专门的硬件,还是自己用linux、freebsd来实现?

论坛徽章:
6
2015年迎新春徽章
日期:2015-03-04 09:48:00IT运维版块每日发帖之星
日期:2015-06-11 22:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00数据库技术版块每日发帖之星
日期:2015-10-24 06:20:00IT运维版块每日发帖之星
日期:2015-12-24 06:20:00IT运维版块每日发帖之星
日期:2016-04-15 06:20:00
发表于 2015-08-20 10:56 |显示全部楼层
我们就在用它的SSL VPN,感觉还可以,目前在用的是两台,做了集群,每台2500用户授权,由于用户较少,没有遇到过你说的情况,上级机关使用的也是它的产品,近万用户,也没有出过这种问题。08年上系统前,专门进行了产品测试,先后测试了五个厂商的产品,最后选择了深信服。

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-09-11 06:20:00
发表于 2015-09-08 11:14 |显示全部楼层
可以试试下一代SSLVPN——中神通SSLVPN

与传统基于浏览器插件、偏于应用接入的SSLVPN相比,中神通SSLVPN是第3层即IP层VPN,所有本地基于TCP、UDP、ICMP协议的网络应用都可以通过VPN互联,客户端方面以专用软件+浏览器的组合为主,具备远程应用接入、异地科学上网和客户端组网互联等多种用途,具体来讲有以下优势:

1)VPN性能更好                                                            

用户操作层与数据通讯层分离,提高了数据处理的性能,对外公开的可以只有一个数据通讯端口,用户可以事先在内网中登陆WEB门户修改缺省口令、下载安装软件,外网VPN隧道建立后可以以虚拟IP的方式登陆WEB门户,既安全高效又方便了管理员和用户。

2)数据穿透力更强

传统SSLVPN只能通过TCP协议进行数据传输,遇到只开放DNS(53/UDP)端口的WEB认证网络环境时就无法连通,本SSLVPN既可以用TCP协议也可以用UDP协议传输,使得数据穿透力更强,使用范围更广。另外,为了避免IPS、GFW、流控、内容过滤或上网行为管理设备的误扰,本SSLVPN采取了特别加密措施以保证能稳定的联网通讯。

3)原有应用服务器无需改变

如果客户网络中只有一个公网IP,而且主路由器不可更换,那么SSLVPN设备需要单臂旁路接入内网,此时,应用服务器不需要做任何配置的修改——不用安装SSLVPN客户端、不用把SSLVPN设备作为缺省网关、不用设置策略路由,只要SSLVPN设备能连通应用服务器就可以让VPN虚拟网段访问到应用服务器。这样,应用服务器既能对公网提供公开服务,也能对VPN客户提供私密服务。

4)服务端更安全

取消了公网SSLVPN WEB用户登陆及管理后台界面,避免了服务器信息泄露和黑客攻击,所有来自公网的扫描和攻击,例如SQL注入、XSS攻击、域名劫持、钓鱼网站、挂马、后门、拖库、搜索引擎爬虫扫描、弱口令扫描、WEB服务器缺陷扫描等都不在是有效的威胁。

5)客户端更安全方便

具备Windows、Linux、Mac OS X、安卓、iOS等操作系统下的客户端软件,通过安装、运行包含定制配置文件的客户端软件(可定制安装程序包),杜绝了ActiveX、Java Applet等浏览器插件带来的客户端不安全性和局限性,摆脱了对浏览器的依赖,可以实现即装即用0配置、开机自动运行以及自动重连的功能。

6)用户认证机制更完善

在双因子认证(数字证书+用户名口令)的前提下,强制用户修改缺省口令,划清了用户与管理员之间的责任,保证了整个系统运行的健壮性。用户名和虚拟IP具备一对一的绑定功能,方便网络管理和审计。系统内置用户管理系统,无需建设RADIUS、AD、LDAP数据库或/及CA、RA、PKI等数字证书公钥基础设施。

7)路由资源定义更灵活

服务端下发必要的路由和DNS服务器设置给客户端,这些路由和DNS服务器设置在客户端连接后生效,断开后被删除,这样,既能连接VPN远程应用,又不影响本地其它网络应用。资源定义与访问控制策略分离,需要公开的资源可以在WEB门户中显示,需要保密的资源可以不定义、不显示出来,但仍旧可以连接。

8)VPN使用更有效率

SSL协议可以只用于加密和建立VPN隧道,用户认证、访问控制可以在VPN隧道建立后进行,对于自身加密的应用(HTTPS等),甚至可以直接用DNAT端口映射+用户认证,而不用VPN以提高性能,与传统的SSLVPN需要用户WEB登陆才能建立VPN隧道的使用体验一致,但策略实施更灵活、使用和管理更方便。

9)VPN隧道内流量的管控能力更细致

VPN建立后,还可以对VPN隧道内的流量进行基于用户名/IP地址、时间、流量、会话、QoS的NAT地址转换和ACL访问控制,以及网络审计、流量统计、上网行为管理、WEB过滤、入侵检测与防御等7层内容过滤,提升了VPN管理员及运营商的管控能力。

10)具备无线接入、虚拟化及云计算的能力

无线用户连接上WIFI后,可以再连接本SSLVPN以确保安全;通过部署虚拟化产品(UTMWALL-VM),可以将本SSLVPN集成到应用系统的Windows环境里,节省了硬件、空间、电力等费用,使得远程应用接入方式又多了一种选择;还可以将本SSLVPN随应用系统或独立部署到公有云、私有云中,实现云VPN功能,让云计算更安全。

下一代SSLVPN——中神通SSLVPN优点描述.rar (70.68 KB, 下载次数: 2)
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP