天融信SSLVPN产品培训

1、远程接入，安全便捷,安全便捷的远程接入SSL VPN解决方案,培训目标,让客户了解VPN 让客户了解SSL协议 让客户了解SSL VPN 让客户了解天融信SSL VPN网关产品 让客户会使用天融信SSL VPN网关产品,让客户了解VPN,VPN(Virtual Private Network )：利用公网（Internet）的物理设施，以某种私密的方式进行数据的通讯且数据内容不会被不受欢迎的人获取（截获，破解）。（不是一种协议，是一种应用） 形象的解释：两个人在地球用地球人理解的语源沟通不是VPN，而用地球人不理解的语源沟通就是VPN。 VPN的任务：安全通讯 身份管理：严格控制只有受欢迎用户

2、才可以访问VPN，必要时还需要提供审计和计费功能。 数据加密：确保数据不会被获取或者破解。 密钥管理：能够管理利用VPN通讯双发的加密和解密密钥。 流行的VPN：PPTP、L2TP、IPSEC、SSL VPN、MPLS,让客户了解SSL协议,Secure Sockets Layer ：Netscape公司开发的数据安全协议。 目前广泛应用于Web服务的身份认证和数据加密，如网上银行。 SSL协议的位置是TCP/IP协议和应用层协议(HTTP、FTP等)之间，含义是SSL协议依靠TCP/IP协议确保通讯的可靠性，同时应用层协议数据利用SSL协议确保私密性和安全性。 SSL协议组成： SSL纪录协

3、议(SSL Record Protocol )：利用TCP协议完成数据封装、加密和压缩等基本功能。 SSL握手协议(SSL Handshake Protocol)：利用SSL记录协议用于在数据传输之前进行身份认证、密钥协商和交换密钥等功能。 SSL警告协议：用于发生错误时终止两个之间的对话。,SSL协议主要提供三方面的服务 ： 用户和服务器互相认证其合法性 加密数据隐藏传输 保护数据的完整性 SSL协议通信流程： 接通阶段：Hello 密码交换阶段：双方交换认可的密钥算法。 会谈密码阶段：双发选择确定会谈密钥。 结束阶段：双发告知对方结束协商。 数据通讯：开始安全的交换数据。,让客户了解SSL

4、协议,SSL协议安全交互说明：假设B要从A安全的获取数据,a）身分验证（A要验证B的身分）：,B,A,A、B借助CA组织获得证书、私钥和公钥,B私钥,A私钥,证书 B公钥,证书 A公钥,B将包含自己公钥的证书发给A,A产生一个随机信息发给B并用散列函数将该信息做成摘要保存,证书 B公钥,B将收到的信息也用散列函数做成摘要用自己的私钥加密发给A,A收到B发来的用B的私钥加密的摘要后,用B先前发来的公钥将之解密，将得到的摘要信息与自己先前产生摘要进行比较，以验证B的身分。,让客户了解SSL协议,b）数据加密传输（A、B已完成身份验证即有对方的公钥）：,A,B,A用随机产生的对称密钥加密数据发给B,

5、A再用B的公钥将对称密钥加密发给B,B用只有自己拥有的私钥将对称密钥解密，再用此对称密钥将数据解密。,让客户了解SSL协议,c）数据验证： 1. 在a）过程中身份验证确保了数据源的安全性和正确性 2. 在数据传输过程中，A，B会根据密钥和传输数据计算出 一个消息认证码（MAC），所采用的摘要算法通常是MD5，从而保证了数据完整性和正确性。,SSL协议握手过程： Client-Server Client告诉Server我要和你通讯，我支持的加密算法和密钥交换算法有SSL_RSA_WITH_RC4_128_MD5 Client Server Client验证Server的证书，然后产生对称密钥并用

6、Server的公钥加密，封装在ClientKeyExchange中发给Server Client - Server Client告诉Server我将以协商好的方式发送密文了，结束握手吧 Client - Server Server告诉Client我将以协商好的方式发送密文了，结束握手吧。,让客户了解SSL协议,疑问： 1.SSL协议的报文格式是什么？ SSL协议是一种处理协议没有自己特定报文格式，它是将原有报文中的应用层数据进行加密处理。 2.SSL协议为什么安全？ a.对称加密技术：对称密钥，加密解密的密钥相同，快捷 b.非对称加密技术：密钥分为公钥和私钥两部分，用公钥加密的数据只能用对应的

7、私钥解密，更安全但速度慢。 c.PKI：(Public Key Infrastructure)：公开密钥体系包括CA、对称加密技术、非对称加密技术等，是提供数据安全服务的基础设施。 d.密钥算法：RSA，RC4、MD5、3DES等（这些都是非常成熟的加密技术，确保数据安全）,让客户了解SSL协议,SSL协议怎么实现安全通讯的： 1.Client和Server握手时，双方会交换各自的公钥并进行身份验证，并协商出对称密钥。而私钥自己妥善保管确保不会泄露。 2.认证时，数据发送方A先用对方B的公钥加密对称密钥发送给B。（加密的内容只有B用自己的私钥才能解密） 3. 传输数据时，发送方A再用对称密钥加

8、密要传输的数据发送给对方B。 4.数据接收方B收到数据后，先用自己的私钥解密得到对称密钥。（只有自己可以解密因为自己的私钥别人没有） 5.接收方B再用对称密钥解密真正的数据。 总之：用SSL协议传输数据是绝对安全的。,让客户了解SSL协议,VPN技术的发展历程趋势,工作原理,SSL VPN就是利用上述SSL协议的安全特性构建的VPN应用。 SSL VPN的实现方式一般是在企业的防火墙后面放置一个SSL VPN设备如图所示：,让客户了解SSL VPN,SSL VPN的特点（优点）： 保护对象是应用，而不会向外公开1台主机或一个网络。所以不容易受到病毒蠕虫的威胁和黑客的攻击，更加安全 由于SSL

9、VPN是建立在TCP协议之上的，所以只要网络是通的就可以应用SSL VPN，不会有IPSEC VPN的NAT穿越防火墙的技术困扰。 因为SSL VPN通过Web浏览器或者应用软件访问，所以不需要安装特定的客户端软件，降低了成本 由于目前流行的浏览器都能很好的支持SSL协议，所以SSL VPN应用灵活广泛 所有数据都是通过443端口转发的，应用时防火墙只需要打开443端口即可，不必改变现有网络环境，更易用更安全 由于是对应用数据的加密传输，速度会所影响，可以用硬件加密卡弥补 不易实现象IPSEC VPN的全网接入功能（我们的产品有一项功能弥补这个不足） 总的特点：安全、成本低、应用容易,让客户了

10、解SSL VPN,SSL VPN和IPSEC VPN对比,让客户了解SSL VPN,客户应该选择SSL VPN了吧,TOPSEC SSLVPN 对比 IPSecVPN 网络拓扑布局,公司A,公司B,SSLVPN保护范围,IPSecVPN保护范围,VPN选择标准(总),VPN选择标准之用户类型,VPN选择标准之客户端网络与设备,VPN选择标准之应用于内容,让客户了解天融信的SSL VPN产品,天融信SSLVPN产品满足的需求：使员工、合作伙伴和分公司等可以通过不安全的网络环境安全、快捷、轻松的访问公司内的资源。 天融信SSLVPN产品的特点： 基于Web的管理和访问方式，简单易用 基于角色的用户

11、管理机制，资源访问控制更加灵活，逻辑更加清晰 提供多种功能满足用户对各种应用的需求 支持IE、OPERA8.0、FireFox等多种浏览器 采用128位加密技术，数据安全可以得到保障 天融信SSLVPN产品线 NGVPN-SSL-P 低端 50-100并发用户 NGVPN-SSL-Q 中端 100-300并发用户 NGVPN-SSL-G 中端 300-500并发用户 NGVPN-SSL-UF 高端 500-1000并发用户,让客户了解天融信的SSL VPN产品,天融信SSLVPN产品的主要功能 用户管理：可配置管理员和普通用户两种帐号，管理员用来管理SSLVPN，普通用户应用SSLVPN。 角

12、色管理：用角色的概念作为用户和资源之间的桥梁，更加人性化 HTTP代理：安全访问公司的Web服务 端口转发：安全访问公司内提供的固定端口的TCP/UDP（支持UDP我们公司SSLVPN产品特有的）服务如复杂Web（CRM）服务，Email服务，Telnet、SSH等 安全应用：安全访问内网提供的RDP和VNC资源 终端服务：安全访问内网提供的SSH和Telnet资源 文件共享：安全访问内网提供的文件共享资源 网络接入：IP层全网接入，媲美IPSecVPN（有了这项功能才能称之为真正的SSL VPN产品）,让客户了解天融信的SSL VPN产品,天融信SSLVPN产品的优势： 我们提供了端点安全功

13、能，即用户退出VPN后自动清除浏览器历史纪录，为在网吧等不安全场所应用SSL VPN提供了保障。 我们不但提供了本地认证方式，而且还提供了多种第三方认证，如AD、TACACS、LDAP和Domain认证。比其他厂商产品更加丰富。 我们的端口转发支持UDP协议，这是别的厂商很少支持的。 我们专门提供了文件共享功能，这也是别的厂商所没有的。 我们提供了用户导入，配置导出导入功能，维护起来更加方便。 我们提供了日志记录功能。 我们的设备还具有高的性价比。 所以，购买我们天融信的SSL VPN产品是明智的选择。,让客户了解天融信的SSL VPN产品,我们测试成功了： HTTP代理访问公司内网、OWA(Outlook Web Access) 端口转发应用公司邮件系统，CRM系统，上海金山财政局GRP系统，Telnet服务，SSH服务和TFTP服务（理论上固定端口的服务都能实现） 安全应用访问RDP和VNC 终端服务访问SSH和Telnet 文件共享 网络接入实现HTTP、FTP、NetMeeting、Lotus等