天融信SSLVPN产品培训.ppt

远程接入 安全便捷 安全便捷的远程接入SSLVPN解决方案 培训目标 让客户了解VPN让客户了解SSL协议让客户了解SSLVPN让客户了解天融信SSLVPN网关产品让客户会使用天融信SSLVPN网关产品 让客户了解VPN VPN VirtualPrivateNetwork 利用公网 Internet 的物理设施 以某种私密的方式进行数据的通讯且数据内容不会被不受欢迎的人获取 截获 破解 不是一种协议 是一种应用 形象的解释 两个人在地球用地球人理解的语源沟通不是VPN 而用地球人不理解的语源沟通就是VPN VPN的任务 安全通讯身份管理 严格控制只有受欢迎用户才可以访问VPN 必要时还需要提供审计和计费功能 数据加密 确保数据不会被获取或者破解 密钥管理 能够管理利用VPN通讯双发的加密和解密密钥 流行的VPN PPTP L2TP IPSEC SSLVPN MPLS 让客户了解SSL协议 SecureSocketsLayer Netscape公司开发的数据安全协议 目前广泛应用于Web服务的身份认证和数据加密 如网上银行 SSL协议的位置是TCP IP协议和应用层协议 HTTP FTP等 之间 含义是SSL协议依靠TCP IP协议确保通讯的可靠性 同时应用层协议数据利用SSL协议确保私密性和安全性 SSL协议组成 SSL纪录协议 SSLRecordProtocol 利用TCP协议完成数据封装 加密和压缩等基本功能 SSL握手协议 SSLHandshakeProtocol 利用SSL记录协议用于在数据传输之前进行身份认证 密钥协商和交换密钥等功能 SSL警告协议 用于发生错误时终止两个之间的对话 SSL协议主要提供三方面的服务 用户和服务器互相认证其合法性加密数据隐藏传输保护数据的完整性SSL协议通信流程 接通阶段 Hello密码交换阶段 双方交换认可的密钥算法 会谈密码阶段 双发选择确定会谈密钥 结束阶段 双发告知对方结束协商 数据通讯 开始安全的交换数据 让客户了解SSL协议 SSL协议安全交互说明 假设B要从A安全的获取数据 a 身分验证 A要验证B的身分 B A A B借助CA组织获得证书 私钥和公钥 B私钥 A私钥 证书B公钥 证书A公钥 B将包含自己公钥的证书发给A A产生一个随机信息发给B并用散列函数将该信息做成摘要保存 证书B公钥 B将收到的信息也用散列函数做成摘要用自己的私钥加密发给A A收到B发来的用B的私钥加密的摘要后 用B先前发来的公钥将之解密 将得到的摘要信息与自己先前产生摘要进行比较 以验证B的身分 让客户了解SSL协议 b 数据加密传输 A B已完成身份验证即有对方的公钥 A B A用随机产生的对称密钥加密数据发给B A再用B的公钥将对称密钥加密发给B B用只有自己拥有的私钥将对称密钥解密 再用此对称密钥将数据解密 让客户了解SSL协议 c 数据验证 1 在a 过程中身份验证确保了数据源的安全性和正确性2 在数据传输过程中 A B会根据密钥和传输数据计算出一个消息认证码 MAC 所采用的摘要算法通常是MD5 从而保证了数据完整性和正确性 SSL协议握手过程 Client ServerClient告诉Server我要和你通讯 我支持的加密算法和密钥交换算法有SSL RSA WITH RC4 128 MD5ClientServerClient验证Server的证书 然后产生对称密钥并用Server的公钥加密 封装在ClientKeyExchange中发给ServerClient ServerClient告诉Server我将以协商好的方式发送密文了 结束握手吧Client ServerServer告诉Client我将以协商好的方式发送密文了 结束握手吧 让客户了解SSL协议 疑问 1 SSL协议的报文格式是什么 SSL协议是一种处理协议没有自己特定报文格式 它是将原有报文中的应用层数据进行加密处理 2 SSL协议为什么安全 a 对称加密技术 对称密钥 加密解密的密钥相同 快捷b 非对称加密技术 密钥分为公钥和私钥两部分 用公钥加密的数据只能用对应的私钥解密 更安全但速度慢 c PKI PublicKeyInfrastructure 公开密钥体系包括CA 对称加密技术 非对称加密技术等 是提供数据安全服务的基础设施 d 密钥算法 RSA RC4 MD5 3DES等 这些都是非常成熟的加密技术 确保数据安全 让客户了解SSL协议 SSL协议怎么实现安全通讯的 1 Client和Server握手时 双方会交换各自的公钥并进行身份验证 并协商出对称密钥 而私钥自己妥善保管确保不会泄露 2 认证时 数据发送方A先用对方B的公钥加密对称密钥发送给B 加密的内容只有B用自己的私钥才能解密 3 传输数据时 发送方A再用对称密钥加密要传输的数据发送给对方B 4 数据接收方B收到数据后 先用自己的私钥解密得到对称密钥 只有自己可以解密因为自己的私钥别人没有 5 接收方B再用对称密钥解密真正的数据 总之 用SSL协议传输数据是绝对安全的 让客户了解SSL协议 VPN技术的发展历程趋势 工作原理 SSLVPN就是利用上述SSL协议的安全特性构建的VPN应用 SSLVPN的实现方式一般是在企业的防火墙后面放置一个SSLVPN设备如图所示 让客户了解SSLVPN SSLVPN的特点 优点 保护对象是应用 而不会向外公开1台主机或一个网络 所以不容易受到病毒蠕虫的威胁和黑客的攻击 更加安全由于SSLVPN是建立在TCP协议之上的 所以只要网络是通的就可以应用SSLVPN 不会有IPSECVPN的NAT穿越防火墙的技术困扰 因为SSLVPN通过Web浏览器或者应用软件访问 所以不需要安装特定的客户端软件 降低了成本由于目前流行的浏览器都能很好的支持SSL协议 所以SSLVPN应用灵活广泛所有数据都是通过443端口转发的 应用时防火墙只需要打开443端口即可 不必改变现有网络环境 更易用更安全由于是对应用数据的加密传输 速度会所影响 可以用硬件加密卡弥补不易实现象IPSECVPN的全网接入功能 我们的产品有一项功能弥补这个不足 总的特点 安全 成本低 应用容易 让客户了解SSLVPN SSLVPN和IPSECVPN对比 让客户了解SSLVPN 客户应该选择SSLVPN了吧 TOPSECSSLVPN对比IPSecVPN网络拓扑布局 公司A 公司B SSLVPN保护范围 IPSecVPN保护范围 VPN选择标准 总 VPN选择标准之用户类型 VPN选择标准之客户端网络与设备 VPN选择标准之应用于内容 让客户了解天融信的SSLVPN产品 天融信SSLVPN产品满足的需求 使员工 合作伙伴和分公司等可以通过不安全的网络环境安全 快捷 轻松的访问公司内的资源 天融信SSLVPN产品的特点 基于Web的管理和访问方式 简单易用基于角色的用户管理机制 资源访问控制更加灵活 逻辑更加清晰提供多种功能满足用户对各种应用的需求支持IE OPERA8 0 FireFox等多种浏览器采用128位加密技术 数据安全可以得到保障天融信SSLVPN产品线NGVPN SSL P低端50 100并发用户NGVPN SSL Q中端100 300并发用户NGVPN SSL G中端300 500并发用户NGVPN SSL UF高端500 1000并发用户 让客户了解天融信的SSLVPN产品 天融信SSLVPN产品的主要功能用户管理 可配置管理员和普通用户两种帐号 管理员用来管理SSLVPN 普通用户应用SSLVPN 角色管理 用角色的概念作为用户和资源之间的桥梁 更加人性化HTTP代理 安全访问公司的Web服务端口转发 安全访问公司内提供的固定端口的TCP UDP 支持UDP我们公司SSLVPN产品特有的 服务如复杂Web CRM 服务 Email服务 Telnet SSH等安全应用 安全访问内网提供的RDP和VNC资源终端服务 安全访问内网提供的SSH和Telnet资源文件共享 安全访问内网提供的文件共享资源网络接入 IP层全网接入 媲美IPSecVPN 有了这项功能才能称之为真正的SSLVPN产品 让客户了解天融信的SSLVPN产品 天融信SSLVPN产品的优势 我们提供了端点安全功能 即用户退出VPN后自动清除浏览器历史纪录 为在网吧等不安全场所应用SSLVPN提供了保障 我们不但提供了本地认证方式 而且还提供了多种第三方认证 如AD TACACS LDAP和Domain认证 比其他厂商产品更加丰富 我们的端口转发支持UDP协议 这是别的厂商很少支持的 我们专门提供了文件共享功能 这也是别的厂商所没有的 我们提供了用户导入 配置导出导入功能 维护起来更加方便 我们提供了日志记录功能 我们的设备还具有高的性价比 所以 购买我们天融信的SSLVPN产品是明智的选择 让客户了解天融信的SSLVPN产品 我们测试成功了 HTTP代理访问公司内网 OWA OutlookWebAccess 端口转发应用公司邮件系统 CRM系统 上海金山财政局GRP系统 Telnet服务 SSH服务和TFTP服务 理论上固定端口的服务都能实现 安全应用访问RDP和VNC终端服务访问SSH和Telnet文件共享网络接入实现HTTP FTP NetMeeting Lotu