应用安全网关产品白皮书--v6.2(1)

- 新一代的SSL VPN产品网康应用安全网关 6.2产品白皮书北京网康科技有限公司2012年 5月版权声明北京网康科技有限公司2012版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。信息更新本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。适用版本本文档适用于ASG 6.2版本。免责条款根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。期望读者期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解：n Web与HTTPn TCP/IP协议n SSL与IPSecn 网络安全基础知识n Windows操作系统目录1背景41.1企业应用发展趋势41.2企业应用安全的新挑战51.3网康科技虚拟应用网络VAN新理念52网康科技应用安全网关ASG62.1ASG产品系统架构72.2应用安全网关工作原理72.3用户使用场景82.3.1采用浏览器访问企业内部应用82.3.2使用客户端软件访问企业内部应用82.3.3在分支机构内部的用户92.4应用安全网关ASG主要功能列表93应用安全网关ASG功能特点与优势93.1SSL与IPSec二合一93.2高强的用户认证技术与动态认证功能模块添加103.2.1用户认证模板113.2.2动态添加第三方认证113.3全面支持安卓与苹果智能终端113.4高度整合虚拟应用，完美支持“云”计算123.5支持多种类型的浏览器插件133.6单点登陆（SSO）133.7支持用户自注册与在线审核143.8用户账户的自助管理143.9虚拟站点，支持门户定制化163.10支持自用软件的自助上传173.11基于应用的访问策略控制173.12客户终端接入扫描与终端流量控制183.13完备的系统管理方式183.14丰富的日志与统计报表工具193.15双机与多机热备193.16简便易用，快速部署203.16.1无需安装客户端软件，即插即用203.16.2Web优化技术203.16.3支持各种网络环境213.16.4动态页面重构技术，完美支持WEB应用访问213.16.5使用SSL Tunnel技术支持所有的C/S架构应用213.16.6大量使用配置模板与默认设置，方便管理223.16.7典型配置指导223.16.8开机快速初始化，无需复杂配置234应用安全网关的部署建议234.1网关方式部署234.2单臂方式部署244.3双机热备部署245应用安全网关与网康科技其它产品结合后的创新应用25应用安全网关产品白皮书1 背景1.1 企业应用发展趋势与许多类似的产业技术革命一样，云计算正在推动不同产业改变原有的模式。正如惠普公司首席战略技术官谢恩罗宾逊(Shane Robinson)所说的那样，IT技术行业正处于一个重要的转折阶段，虽然这一转折仍处于早期，但它将最终改变我们获取信息、分享内容和互相沟通的方式。这一全新的浪潮将由一种全新的计算模式所驱动：企业或个人将不再需要在电脑中安装大量套装软件，而是通过Web浏览器接入到一种大范围的、按需定制的服务也就是我们所说的“云服务”。当这种转变日趋加速时，IT行业将会在引领用户体验方面发生根本性的飞跃。云计算将在未来几年进入蓬勃发展期。根据IDC最新数据显示，云计算服务将在2013年达到整体IT消费的10%，年收益高达442亿美元。在5年内，云计算服务的增长态势将十分强劲，平均年增幅达26%，是传统IT行业增长速度的6倍。正是由于应用云模式的兴起，在企业应用的管理模式与使用模式的微观层次发生了许多变化，具体表现为：l 应用系统越来越集中化地管理，并且，这些应用系统不再像以前一样，每一个应用系统都有一个或多个独立的服务器，而是由大量的虚拟化系统组合而成。l 在用户的访问手段上，越来越倾向于移动化，每一个应用系统都有可能需要适应计算机（包括台式机以及笔记本）、智能手机以及平板电脑等多种终端接入。另外，终端接入的网络也由以前单一的有线网络而向有线、无线以及3G网络混合接入转变。l 越来越多的行业系统出现，一种应用系统包打天下的情况不会再出现。l 因为“云”架构越来越深入人心，用户已经不再关心其使用的应用系统部署于一个什么样的网络环境，而只关心应用系统本身。l 企业对于接入的用户身份的识别要求越来越精细，并且，对于用户的使用过程与数据的审计要求越来越严格。1.2 企业应用安全的新挑战这些企业应用发展的趋势也对企业应用访问安全提出了新的挑战，总的来说，可以概括为如何保证云应用的安全。具体的内容包括：n 如何让用户随时随地地访问企业私有云应用？ n 如何适应层出不穷的智能移动终端？ n 如何识别各种企业应用并做到精确控制？ n 如何保证每一个接入应用系统的用户都是经过授权的？并且如何保证每一个用户的使用都是可控的与可审计的？ n 如何面向大量非技术化用户提供简单易用的使用方式？ 1.3 网康科技虚拟应用网络VAN新理念针对企业应用发展与企业信息化的新趋势与挑战，网康科技提出了虚拟应用网络VAN的创新型理念与解决方案，作为技术应对。虚拟应用网络VAN解决方案可以在物理网络之上建立一个虚拟的网络层次，在这个虚拟网络中，物理主机与应用可以通过一个唯一的标识来作为自身的识别号；另外，虚拟主机之间通过一个虚拟路由协议来找到另外一些实体，并且将数据包从一个虚拟实体转发至另外一个实体。对于最终用户而言，该解决方案可以帮助用户屏蔽掉复杂的物理网络而直接让用户面对所需要访问的应用与网络资源。更重要的是，该虚拟网络可以作为一个通用的企业通信应用平台，在该平台之上可以开展企业应用接入，企业协作应用以及VPN等业务。企业也可以在该平台之上开发新的应用。如下图所示：通过虚拟应用网络，企业用户可以真正只关心本企业的核心业务与应用，而不用再花很大的时间成本去学习与熟悉网络结构与网络技术。在虚拟应用网络的核心架构中，可以被管理的对象被称之为虚拟实体VE（Virtual Entity），这些实体包括人，即用户；应用；服务器；安全网关以及安全策略等内容。在这些虚拟实体中，每一个个人用户所需要关注的核心是用户以及应用。网康科技的理论认为：虚拟应用网络VAN的概念与实用技术是在目前这个应用“云”时代解决应用管理以及应用访问安全的根本性的解决方案。2 网康科技应用安全网关ASG网康科技应用安全网关NS-ASG产品是网康科技创新科技理念VAN的主要组成部分。通过应用安全网关ASG，企业网络将被虚拟化成用户与应用两个主要虚拟实体，这两个虚拟实体之间的访问关系由访问安全策略来控制。NS-ASG网关与客户端共同组成VAN虚拟网络。其中，ASG网关是一个新一代的SSL VPN网关，用户通过客户端软件或浏览器建立SSL连接，用户端对应用系统的访问数据通过SSL安全加密隧道，在网关侧被网关设备解密后，送至应用系统。ASG产品的系统架构示意图如下：2.1 ASG产品系统架构 正如上图所示的应用安全网关的逻辑结构图所示，ASG系统采用的是一种模块化的结构，充分保证了全系统所有功能模块的可扩展性与高度的可客户化能力。另外，整个系统架构于一个网康科技的专有安全操作系统之上，保证了应用安全网关本身的安全性。并且，这个安全操作系统内核已经基于硬件平台进行了性能优化，保证了全系统的高效性。基于网康科技安全操作系统的应用安全网关产品相比较于其它SSL VPN产品，不会出现系统级的性能瓶颈。2.2 应用安全网关工作原理正如其它大部分SSL VPN产品一样，网康科技应用安全网关ASG产品解决的是企业信息过程中出现的两个问题：一是远程用户通过互联网与内网信息系统的连通性问题；二是解决在数据传输过程中的安全问题。企业远程用户通过客户端软件或者浏览器与部署于企业内网的应用安全网关建立安全数据传输隧道，通过该隧道传输的数据经过网关设备解密后，将透明数据转发至部署于企业内网的应用服务器；应用服务器的响应数据发送至网关设备后，再经网关设备加密后通过安全隧道发送至用户计算机。由于在整个数据传输过程中，不会出现应用服务器直接接受客户端连接的情况，且所有的数据连接都需要经过认证与授权，因此，应用服务器可以得到很好的保护。2.3 用户使用场景对于一般的企业个人移动用户，以下一些使用场景是典型常见的：2.3.1 采用浏览器访问企业内部应用对于使用浏览器的个人用户，可以直接打开浏览器，输入应用安全网关的地址，通过HTTPS的方式访问网关登录门户。用户在通过用户名/口令或者其它认证方式的身份鉴别后将自动看到该用户的个性化主页，个性化主页将包括该用户可用的B/S与C/S架构的应用。当用户点击某一个B/S架构应用时，浏览器将打开一个新的页面无缝地访问该应用页面；当用户点击一个C/S架构（注意：视频播放，在网页内打开文件以及PDF浏览等其实都属于C/S架构的应用）应用时，浏览器将自动地打开该应用的客户端软件。如果在该用户的计算机上没有安装客户端软件时，浏览器将自动弹出提示信息，提示用户安装相应的客户端软件。2.3.2 使用客户端软件访问企业内部应用当某用户通过专用客户端软件访问企业内部应用时，该用户需要打开客户端软件，输入用户名/口令以及其它认证方式所必需的用户身份信息后，客户端将通过加密的方式将用户身份信息发送至网关进行身份鉴别。当用户通过身份认证后，客户端将自动缩小为系统托盘的一个图标，用户通过鼠标右键可以查看该用户的连接信息，包括虚拟IP地址等。用户可以通过桌面应用，与在局域网内一样自主地访问企业内部应用系统。此时，对于应用系统的使用是受限的，用户使用某一个应用时，可能碰到连接超时等应用不可用状况。2.3.3 在分支机构内部的用户 在分支机构内部，由于一般情况下会采用网关互联的方式建立Site-Site的网络连接，分支机构网络与总部网络在逻辑上将连接成为一个有机的整体。在分支内部的用户，可以像在同一局域网内一样无缝地访问内网的各种应用。2.4 应用安全网关ASG主要功能列表见附件。3 应用安全网关ASG功能特点与优势3.1 SSL与IPSec二合一过去，大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan（网对网）的安全问题而制定的协议，因此在此基础上建立的远程接入方案在面临越来越多的End To Lan（点对网）应用情况下已经力不从心。网康应用安全网关使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制，因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。SSL VPN与IPSec VPN是目前最流行的两类Internet远程安全接入技术，它们具有类似功能特性，但也存在很大不同。IPSec VPN提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选项；而SSL VPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。二者各有优劣，谁也不能取代谁。如何实现两者的完美结合和互补，成为VPN技术发展和应用的趋势所在。网康科技强大的研发力量，巧妙的将SSL和IPSec 融合到一起，推出了新一代的VPN产品“应用安全网关NS-ASG”，让两种技术合二为一发挥各自的优势。考虑到IPSec与SSL各自的技术特性，我们建议可以来综合两种技术于一般使用场景中，即远程访问用户采用SSL方式，而局域网互联时采用IPSec方式，通过网康科技的二合一技术，某一个通过SSL进行远程访问的移动用户可以即时地访问虚拟网络内的应用资源，而不用关心访问该应用时是否需要经过IPSec隧道。如下图所示：3.2 高强的用户认证技术与动态认证功能模块添加网康科技应用安全网关ASG相当于一个综合用户认证网关，支持多种静态与动态用户认证技术，用于对远程接入用户进行高精度的认证与授权。另外，这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。V6.0版本的应用安全网关所支持的认证技术包括：l 本地数据库认证：本地认证是ASG的默认的用户认证方式。l Radius认证：Radius认证是一种非常常用的用户认证技术，尤其是在运营商的综合业务管理系统中。通过Radius系统接口，ASG也可以通过其它动态口令认证系统或综合业务管理系统完成统一认证。l Windows域/AD认证：通过Windows域服务器完成用户鉴别，常见于大中型企业网络环境l LDAP认证l UKey认证：可以通过USB密码钥匙与用户名/口令配合完成用户认证过程l CALIS认证：常见于校园网的认证系统，可以与CERNET中的应用系统对接完成统一认证l 证书认证：支持标准X.509格式的证书认证，支持第三方证书中心。同时，ASG网关也可以向客户端或其它网关签发自签名证书以进行高强度认证。l 硬件特征码认证：支持终端计算机的硬件特征码认证，如采用硬盘ID等。l IP地址认证：支持对客户端采用IP地址进行认证，只有在允许的IP段内的用户才能够完成认证过程l 一次性口令卡认证(OTP)：支持RSA等一次性口令令牌l 短信动态口令认证：支持自生成动态口令并通过短信网关发送（需短信网关配合）。l 短信猫认证：支持自生成动态口令并通过短信猫发送（需自配sim卡）3.2.1 用户认证模板应用安全网关ASG通过用户认证模板来控制某一个用户采用某一种认证方式。用户认证模板采用正则表达式的方式来匹配用户名，并将匹配到的用户认证请求发判断至某一个特定的认证功能引擎。通过这种技术，应用安全网关理论上可以做到每一个用户组甚至是每一个特定用户采用不同的用户认证方式。用户谁模板的设置如下图所示：3.2.2 动态添加第三方认证除了系统内置的用户认证功能模块外，系统还支持动态添加认证功能模块。一种新的功能模块可以通过一个动态链接库文件插入到系统中，并即时生效。通过动态插入功能模块的方式，应用安全网关可以快速的满足用户不断增长的功能需求，并且，不需要经过复杂的开发工作。3.3 全面支持安卓与苹果智能终端通过L2TP+ipsec的方式，将苹果与安卓的智能终端连通到ASG网关上。连接建立后，智能终端与ASG网关相当于两个IPSEC的两个节点，之间的数据全都透传，并提供相应的加密方式，保障数据在传输过程中的安全性。这样做的好处在于所有智能终端上的应用可以在智能终端本地通过ASG网关建立与内部服务器的互联。由于使用了L2TP及IPSEC协议，故使用此功能使需要开放4500、500的TCP与UDP端口。3.4 高度整合虚拟应用，完美支持“云”计算通过网康科技应用安全网关，企业可以对企业内部应用实现网络发布。通过应用安全网关的应用发布达到的真实效果是：用户通过浏览器验证身份并且登录企业应用门户后，将看到一系列经授权可用的内部应用系统。用户此时可以随意点击各应用链接。如果用户点击的是B/S架构的应用，用户端浏览器将弹出新的浏览器窗口自动地访问后台应用服务器；如果用户点击到C/S架构应用，由于在应用安全网关上配置了打开该应用的客户端软件，用户端浏览器将自动调用相应的应用客户端软件。如果用户端计算机尚未安装相应的客户端软件，则浏览器将提示用户安装相应的应用客户端软件。这个过程即真实应用的发布过程。在云计算环境下，许多企业应用是通过一些应用虚拟化系统（Windows应用虚拟化服务器）处理后的虚拟应用。在用户点击这些虚拟化桌面应用时，用户端浏览器将自动调用windows RPD来处理虚拟化应用。在虚拟化应用发布环境下，用户计算机上不需要安装任何的应用客户端软件，可以做到应用数据安全可靠、使用方便的效果。应用安全网关对于虚拟化应用的支持，可以极大地方便企业管理员的应用管理工作，加快企业应用云端化的过程。本身隧道中只需传送鼠标、键盘、显示信息即可完成3.5 支持多种类型的浏览器插件由于应用web化的出现，浏览器市场也不是微软独大的局面，多种类型的浏览器出现再主流市场上，并且更新速度在加速。那么对这些浏览器的支持成为了必然的趋势。网康ASG产品对于浏览器，无论是IE7、IE8、IE9、搜狗、360等IE内核浏览器，还是firefox、chrome、safari等非IE内核浏览器，均可以良好的支持浏览器插件。 3.6 单点登陆（SSO）支持表单方式与URL方式的单点登陆。单点登陆的账号配置共分三种模式：VPN账号、固定账号、从账号。VPN账号：所有使用单点登陆的资源都使用自身VPN的账号密码，如若失败会弹出资源本身的错误提示，让用户采用手工方式重新登陆。这种方式适用于，所有单点登陆资源与VPN账号密码一致。固定账号：所有人员使用管理员设置的固定账号充当单点登陆资源的账号密码，这种情况适用于所有用户使用的资源拥有一个公共账号。从账号：管理员将资源设置成从账号方式后，每个资源拥有不同的账号密码。用户在使用的时候第一次登陆会录入这个账号密码，之后再登陆将无需再次键入密码。这种方式适用于所有需要单点登陆的资源账号密码均不相同。 3.7 支持用户自注册与在线审核对于一个大型企业网或者运营商来说，支持用户在线自注册的功能是必须的。ASG产品的用户在线自注册功能可以帮助系统管理员降低用户管理工作量。当用户注册完成后，用户的注册请求将被转发至系统管理员进行审核。系统管理员需要对每一个请求进行人工的核实后一一处理，每一个审核通过的用户将被自动添加为正式用户。3.8 用户账户的自助管理ASG产品充分考虑用户的易用性，通过多种方式实现用户账号的自主管理，大大减少用户的。我们提供用户账号自注册、密码丢失找回、单点登录密码修改、虚拟应用密码修改、用户账户密码修改几种方式自主管理账号密码。用户账号自注册：在账号注册环节提供账号的自主开户；密码丢失找回：在密码丢失情况下，支持利用之前注册的邮箱自主找回密码。在登录界面发送重置密码请求后，会通过管理员邮箱向用户邮箱发送重置密码链接，点击链接后就可以重置密码了。单点登陆密码修改：单点登陆的密码资源在从账号下不是有管理员逐个录入用户账号的，而是由用户自身在第一次成功登陆后系统自动录入为此资源的账号密码。当单点登陆的资源密码修改后，用户可以通过页面上的修改按钮修改此资源密码。虚拟应用的密码修改：在使用虚拟化应用时，如果不是全都使用同一个账号，用户可以自行修改虚拟应用的账号密码。用户密码修改：提供密码修改页面，帮助用户修改登陆密码。3.9 虚拟站点，支持门户定制化应用安全网关拥有虚拟站点功能，管理员在一台设备上可以设置不同的虚拟站点。每个虚拟站点拥有不同的访问页面，例如财务可设置为https:/xxx.xxx.xxx.xxx/caiwu作为登陆门户URL，而商务部门可以设置为https:/xxx.xxx.xxx.xxx/shangwu作为商务部门的登陆门户URL。不仅是访问地址，可定制项包括：导航栏文字、导航栏字体颜色、系统公告字体颜色、技术支持字体颜色、页面背景颜色、首页背景图、登陆框背景图、登陆按钮图、申请按钮图、首页背景填充图、首页参数配置、系统简介页、系统公告页、使用帮助页、问题与解答页、客户端下载页。下面是默认登陆页面和定制之后的对比图。另外虚拟站点还可以对进入之后的资源页进行修改，使每个虚拟站点之间风格不同，适应用户的分部门或者分公司之间对个性化门户的需求。虚拟站点中包含组，所有的访问控制及个性化策略均在虚拟站点和组中设置。3.10 支持自用软件的自助上传用户将在访问内部资源使用的客户端、阅读器等各种软件，管理员可以将它们上传至ASG网关。用户在登录的时候，通过下载页面可以自行选择下载这些软件。如下图：3.11 基于应用的访问策略控制网康科技的应用安全网关ASG产品区别于其它SSL VPN的一个重要功能特征是ASG产品是一个面向应用的安全接入产品。在ASG产品中，管理对象已经从“用户+网络”的管理模式转变为“用户+应用”。根据网康科技创新型的技术理念虚拟应用网络VAN，我们认为，一个企业用户真正关心的，也是系统管理员需要主要关注的直接对象是应用。通过近几年虚拟化技术的发展，应用已经不再是局限于某一台服务器或是某一个网络，而已经是一个跨越网络边界的，虚拟化的，抽象的概念。对于传统SSL VPN方式下以管理网络为主要技术手段的解决方案已经不能满足现代技术的发展。正是基于这样一种理念，ASG的用户在使用VPN服务时，直观看到的是每一个他有权使用的内部应用。用户对于应用的使用权限通过访问安全策略来限制。在6.0版本的应用安全网关中，管理员设定的应用访问策略将会被自动下发至客户端，在用户使用每一个桌面应用时，策略将会生效并实现有效控制。3.12 客户终端接入扫描与终端流量控制不论用户采用了哪一种接入方式，在用户输入用户名口令进行登录认证时，网关将对客户接入终端计算机进行安全扫描，对于不符合安全接入条件的计算机予以屏蔽。目前支持的安全扫描要素包括：操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。对于采用专用客户端软件登录的用户，网关系统可以对客户端计算机实现精准的流量控制，包括最大下载速度，在线时长，单次下载流量等等，如下图所示：3.13 完备的系统管理方式应用安全网关产品支持三种管理模式，分别是：本地Console端口管理、WEB界面管理以及集中安全管理中心管理。管理员可以通过Console端口完成对网关设备的初始化以及其它的基本管理工作，Console端口的管理是通过命令行管理工具进行的。WEB管理是最常用的管理方式，通过WEB管理模式，系统管理员可以完成每一个设备的所有的基本与高级管理工作。而在大型网络环境下，由于存在大量的重复配置工作，我们建议可以采用网康科技的集中安全管理中心软件CMS来进行，CMS软件可以完成对管理域内所有设备的状态管理、配置管理、日志管理以及策略下发的功能。3.14 丰富的日志与统计报表工具ASG网关设备可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志。并且，系统提供了丰富的信息统计与报表工具。3.15 双机与多机热备应用安全网关支持双机与多机环境下的系统热备。ASG采用标准VRRP协议作为双机热备时主备机之间的通信协议。在系统热备配置情况下，在双机或多机之间将生成一个虚拟的热备IP地址，该IP地址对应的MAC地址为主用机的MAC地址，当备用机检测到主用机不可用时，将主动征用虚拟IP地址，并将对应的MAC地址设置成自身的MAC地址，所有主用机上的服务将切换至备用机上。根据VRRP协议的工作原理，可以通过虚拟热备组将双机或多机设置成“主-备”或“主-主”工作模式。在“主-主”工作模式下，应用安全网关可以实现负载分担的功能。如下图所示：另外，通过VRRP多机热备协议，应用安全网关可以实现非对称双机热备，即可以使用一台低配置的网关设备来备份一台高配置的网关，以降低双机配置成本。3.16 支持对网口设置是否可管理，保证管理员账号安全用户账号有很多种强加固方式，但是管理员账号却没有这么多种类。对此，ASG提供对网络端口设置是否可被管理。设置为不可被管理网络接口的登录界面将无法打开。至少保留一个有固定IP的网口可管理。ADSL这种非固定IP是否可管理的逻辑不包括在上述描述内。串口后台受限账号可查看网口可管理状态，并可以修改打开。3.17 简便易用，快速部署3.17.1 无需安装客户端软件，即插即用虽然网康科技应用安全网关ASG提供了专用客户端软件，并且网关设备也可以对客户端软件进行详尽的管理。但在大多数应用场景下，用户通过浏览器插件或是浏览器透明访问的方式已经可以支持所有的B/S与C/S架构的应用。在这两种使用场景下，用户不需要安装客户端软件，真正可以做到即插即用。网康科技的浏览器插件是一个基于ActiveX技术的IE浏览器动态插件，可以支持所有IE6以上的微软浏览器或是基于IE技术的所有浏览器。该插件在浏览器登录网关后将通过与客户端类似的技术与网关建立SSL隧道，将可以透明处理所有的C/S架构的应用。通过隧道技术的最大好处是不会修改浏览器的代理配置，不会影响其它WEB应用对互联网的访问。另外，网康科技的浏览器插件已经通过微软以及360、瑞星等公司的技术认证，不会被视为非法木马而遭误杀。3.17.2 Web优化技术 用户使用智能终端，通过网页的形式访问web应用，ASG将根据手机厂家和分辨率等信息，自行调整优化显示页面，降低页面所需要传输的数据量，使页面在智能终端，特别是手机终端上合理适配。3.17.3 支持各种网络环境企业移动用户以及位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部局域网内网访问电子资源。应用安全网关ASG系统充分考虑到了这点，无论是个人移动用户利用浏览器或专用客户端访问总部局域网内网的电子资源还是分支机构采用网关设备与总部互联，ASG网关都能很好地支持各种网络环境： 宽带连接； 各种拨号连接，ADSL、PSTN、ISDN等等； 各种无线连接，GPRS、CDMA等等； 各种NAT环境，无需额外设置； 通过代理服务器访问；3.17.4 动态页面重构技术，完美支持WEB应用访问如果SSL VPN仅仅对Web应用做简单的HTTP 到 HTTPS 的协议转换和代理将无法支持所有Web应用。比如有一个链接指向本地的一个网页写成了绝对路径，如:/admin/admin.php，那么这个链接在的局域网内是可以正常访问的，但是到了SSL VPN的浏览器上，如果保留这个链接不变，由于使用者不在局域网络，将导致无法打开此链接。因此，SSL VPN还需要对这些链接做识别，重写HTML，将其转换成Https的有效链接，此类情况在实际应用中还会有很多。使用网康科技的动态页面重构技术，应用安全网关ASG可以重写类似HTML代码，从而支持几乎所有Web应用。应用安全网关并不重写所有HTML代码，而是根据远程用户点击面生成的页面计算出需要重构的网页再加以修改，以保证响应的速度。这就是所谓的动态重构技术。网康科技的动态页面重构技术不仅可以支持一般的HTML页面，而且，对于PHP，JSP，.NET，JAVA等技术生成的静态与动态页面都可以完美支持，并且，支持Cookie等页面技术。动态页面重构技术通过高速页面重写引擎完成，系统内置的高速重写引擎配置模板已经可以支持目前95%以上的WEB网页。3.17.5 使用SSL Tunnel技术支持所有的C/S架构应用应用安全网关采用SSL Tunnel技术支持所有的C/S架构应用（浏览器插件模式与专用客户端模式下）。通过SSL Tunnel技术，应用安全网关就能够支持目前所有基于TCP/IP协议的各种应用。网康科技NS-ASG产品可以支持所有的基于IP层以上的静态或者动态端口的C/S应用，包括网上邻居、文件共享、Ftp、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等各种TCP协议的B/S和C/S应用以及UDP应用。网康科技所独创的SSL Tunnel技术具有一般模式及高速模式两种工作模式。一般模式采用优化的TCP协议，对于一些防火墙策略控制比较严格的企业网络，可以采用一般模式；而高速模式的隧道技术采用UDP为协议封装。UDP协议可以突破TCP协议的传输效率瓶颈，给企业数据传输以较高的带宽效率。在用户真实使用时，客户端软件将默认采用TCP作为传输协议，并且自动检测UDP协议的可用性。如果UDP协议端口可用，传输协议将自动切换为UDP协议。3.17.6 大量使用配置模板与默认设置，方便管理 “方便易用”为应用安全网关产品设计的初衷。ASG产品在系统中内置了大量的配置模板，并且对于一些关键配置都设置了默认值，可以很方便地被系统管理员调用，从而可以大大减少系统管理员的工作量。3.17.7 典型配置指导系统设置了典型配置指导，针对远程用户接入和节点互联分别设置了基本的配置向导。根据向导完成配置后，可实现基本的VPN功能。3.17.8 开机快速初始化，无需复杂配置ASG产品内置了开机快速初始化功能，系统管理员开机后，可以一键完成一般使用场景下的初始化配置工作，包括IP地址，路由以及域名服务器等信息。从而可以让管理员在一般使用场景下几分钟就完成设备上线配置。3.17.9 支持串口受限账户访问操作通过support账户支持查看设备当前所有的备份配置文件、用于清空设备配置或者还原到某个配置、更改设备当前时间、重启设备、关闭设备、查看可以管理的网卡口、启用或禁止某个网卡管理口等配置。 3.17.10 支持在线说明书支持在线说明书，与功能项准确吻合，方便查看。4 应用安全网关的部署建议网康科技应用安全网关产品支持多种设备部署方式：4.1 网关方式部署网关方式部署是比较常见的一种设备部署方式。在远程访问以及局域网互联时，都可以采用网关方式。并且自带的防火墙功能可以使VPN设备成为一个防火墙NAT设备，支持VPN下的用户通过此设备上网。在这种部署方式下，设备外网与内网端口分别处于两个不同的网段，即设备跨接于被保护网段与不受保护网段之间。移动用户或其它分支网关设备一般与外网端口建立安全隧道。如下图所示：4.2 双臂方式部署双臂方式部署也是比较常见的一种设备部署方式。它区别于网关方式就是它并不需要支持下面的用户使用VPN作为NAT设备上网，只是将它的外网口与公网相连，内网口与内网相连，以支持VPN接入。支持SSL远程访问和IPSEC节点互联。在这种部署方式下，设备外网与内网端口分别处于两个不同的网段，即设备跨接于被保护网段与不受保护网段之间。移动用户或其它分支网关设备一般与外网端口建立安全隧道。如下图所示：4.3 单臂方式部署单臂方式是指应用安全网关采用一个端口连接在企业内网。在这种方式下，由于只需要占用一个内网IP，且不需要修改任何网络结构，连接方式更简单。所以单臂方式也是一种比较常用的部署方式。相比较于以上两种网络部署方式，由于单臂方式下加密数据与明文数据都通过一个端口传输，因此单臂方式下网络吞吐性能较低，只有以上两种方式的一半左右。4.4 双机热备部署在网关方式以及在单臂方式时，应用安全网关可以采用双机热备部署，以提高系统可靠性与整体性能。在这两种配置状况下，设备配置示意图分别如下：5 应用安全网关与网康科技其它产品结合后的创新应用作为网康科技产品家族的一个重要成员，应用安全网关ASG产品可以与家族中的其它成员一些，通过技术模块与产品的组合，可以为企业用户提供一些完美的解决方案组合，如下图所示： 附件一：功能列表应用安全网关ASG功能列表功能分类功能名称功能描述身份认证本地认证支持基于本地用户数据库的认证。- CALIS支持CALIS标准，与高校CALIS系统实现无缝连接。- Active Directory/Windows域支持Windows Active Directory，允许企业用户直接利用现有基于Windows的用户认证系统。- LDAP支持LDAP身份认证- RADIUS支持RADIUS身份认证数据库认证支持对远程登录身份认证到第三方数据库服务器进行动态认证模块支持动态添加用户认证功能模块辅助认证数字证书支持标准的X.509数字证书（Digital Certificate），可以支持服务器和用户端同时要求使用数字证书来进行相互认证。硬件特征码支持用户端硬件特征码认证。USB-Key支持采用USB接口硬件与用户绑定，实现双因素用户身份认证。动态令牌(OTP)支持token动态令牌身份认证短信认证支持短信动态口令认证第三方CA认证支持任何标准X509证书中心签发的证书数字证书的分发管理数字证书的管理管理员可以查看用户证书状态，批准证书申请等操作。数字证书的管理数字证书的申请、生成和分发自动完成，无需管理人员手工干预。快速ATP自适应快速传输协议在可以使用UDP的情况下自适应选择使用UDP，否则使用TCP（UDP速度要快）；基于UDP的可靠传输；快速重传；选择性重传；拥塞机制优化高效压缩使用高效压缩技术，降低传输过程中的数据量。管理员安全网络接口管理性设置可设置每个网络接口是否可被管理。传输安全加密协议支持SSL及IPSEC加密协议支持多种加密算方法支持多种对称或不对称算法，支持SM1、SM2以及SM3等算法(需要硬件支持)支持AES，3DES，DES，RC4等常用加密算法，最高可支持AES1024位加密终端安全网络准入用户登录前可对用户端主机的操作系统版本、操作系统补丁、杀毒软件、进程等进行终端检查。客户端零缓存客户端和插件登陆退出后，会自动清除IE的历史记录、cookies、缓存。自动清除Firefox cookies。基于客户端的应用控制对客户端的应用进行访问控制策略网关安全防暴力破解提供防暴力破解方式，用户账号密码尝试超过一定次数自动锁死。锁定超过所设置的时间后自动解锁。尝试次数和超时解锁可分多档。管理员可手动解锁。虚拟键盘提供虚拟键盘输入密码，每次刷新虚拟键盘中按键的位置不规则变化。图形码提供图形码的方式辅助认证账号密码稳定性客户端流量限额控制可以控制客户端单次在线时长，下载最大速度，单次下载最大流量，客户端最大空闲时长等参数支持故障告警当CPU、内存、硬盘、在线人数、最大注册人数超过一定比例后自动触发报警，并将报警信息邮件形式发给管理员。可选择不同的管理员账户作为报警账户。易用性支持用户自助密码找回支持在密码丢失情况下，利用之前注册的邮箱自主找回密码。支持在登录界面发送重置密