技术培训胶片VRCC

Click to edit Master title style,HUAWEI TECHNOLOGIES CO., LTD.,Slide title,:40-47pt,Slide subtitle,:26-30pt,Color:white,Corporate Font,:,FrutigerNext LT Medium,Font to be used by customers and,partners,:,Arial,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Huawei Enterprise,A Better Way,HUAWEI TECHNOLOGIES CO., LTD.,Click to edit Master title style,Huawei Confidential,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,78,Huawei Enterprise,A Better Way,Huawei Enterprise,A Better Way,Copyright2012 Huawei Technologies Co., Ltd. All Rights Reserved.,The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.,Thank you,Copyright2011 Huawei Technologies Co., Ltd. All Rights Reserved.,The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Huawei Enterprise,A Better Way,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Huawei Enterprise,A Better Way,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Huawei Enterprise,A Better Way,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Huawei Enterprise,A Better Way,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Huawei Enterprise,A Better Way,SVN V2R1,技术培训胶片,Huawei Enterprise,A Better Way,SVN PDT,Content,SVN,系列产品概况,SVN,功能特性介绍,泛终端能力,远程接入功能,安全特性,SDK,组件,可靠性功能,附录：,VPN,协议简介,SVN,系列概况,SVN,现有设备：,SVN3000 V1R2,，,SVN5300 V1R1,；,SVN V2R1,整合了,SVN3000 SSL VPN,功能和,SVN5300,多媒体隧道功能，并强化了,SSL,功能，增加了,FW,、基本,Anti-DDOS,、,IPSec,、,MPLS VPN,、移动终端接入等功能，形成了系列化产品；,SVN V2R1,分为,SVN2230,、,SVN2260,、,SVN5530,、,SVN5560,四个型号，,SVN5300,也归一化到,V2R1,版本；,后续，,SVN2260,会逐渐替代,SVN3000,，,SVN5530,逐渐替代,SVN5300,；,SVN,系列功能对比,*,:,SSL,和,IPSec,并发用户数的总和不超过,SSL,最大并发用户数；,Page,5,SVN,产品介绍,SSL,吞吐量：,220M,SSL,最大并发用户,:1000,IPSec,最大并发用户,:1000,最大接口,:,2 GE Combo+4 GE,电，,1 Console,2USB,接口卡：不支持,设备高度：,1U,电源：单电源,SVN2230,SVN5530,SVN2260,SSL,吞吐量：,320M,SSL,最大并发用户,:2500,IPSec,最大并发用户,:,2500,最大接口：,2 GE Combo +4 GE,电，,1 Console,2USB,接口卡：不支持,设备高度：,1U,电源：单电源,SSL,吞吐量：,600M,SSL,最大并发用户,:1.2,万,IPSec,最大用户数：,1.2,万,固定接口：,4GE Combo+4GE,电,+1GE,管理口,+,1 Console+2USB,接口卡：,2*10GE+8GE,电；,最大接口：,4GE Combo, 13GE,电, 2*10G,；,设备高度：,1U,电源：双电源,SVN5560,SSL,吞吐量：,1G,SSL,最大并发用户：,2,万,IPSec,最大用户数：,2,万,固定接口：,4GE Combo+4GE,电,+1GE,管理口,+,1 Console+2USB,接口卡：,2*10GE+8GE,电；,最大接口：,4GE Combo, 13GE,电, 2*10G,；,设备高度：,1U,电源：双电源,SVN2200,产品外观,SVN2200,前面板,注：,1/2/3/4/6,槽目前不支持接口卡，遇项目需求可开发支持。,SVN2200,后面板,SVN5500,产品外观,Page,7,SVN5500,前面板,SVN5500,后面板,1.,接地端子,2.,电源指示灯,3.,电源开关,4.,交流电源线扎线孔,5.,电源接口,6.,风扇框,注：,SVN5530/5560,支持,2,个,FIC,接口卡扩展插槽。其中,FIC1,插槽标配加密卡。,SVN,部署方式,SVN,网关一般旁挂在网络出入口防火墙之后，应用服务器之前，防火墙开启,SSL,默认端口,443,；,SVN,网关上配置一个私网,IP,，与内网服务器路由可达；,对外公布一个公网,IP,地址供用户访问，该地址可以配置在网关上，或由防火墙做,NAT,；,远程用户通过,web,浏览器或者客户端软件访问，输入网关,IP,地址，报文先到达防火墙，防火墙发现目的地址是,SVN,网关，则转发给,SVN,处理，网关解密后再发送到目的服务器；,当需要,SVN,同时作为防火墙使用时，可直路部署在网络中；,WEB,服务器,数据库,Email,内部网络,ERP,分支机构,合作伙伴,客户,Internet,远程维护,OA,视频服务器,网管系统,AAA,系统,SVN,网关,应用服务器区,DMZ,区,FW,FW,SW,SW,SW,移动办公,出差在途,公网用户,VPN,加密隧道,Content,SVN,系列产品概况,SVN,功能特性介绍,泛终端能力,远程接入功能,安全特性,SDK,组件,可靠性功能,附录：,VPN,协议简介,Page,10,泛终端接入,移动终端接入方式：,1,）,IPSec VPN,客户端软件,iOS,、,Android,、,Symbian,、,Blackberry,系统自带,IPSec,客户端软件；,2,）,SSL VPN,客户端软件,适用系统：,Android,；,3,）基于,web,浏览器的无客户端访问,不安装任何控件和插件；,4,）绿色组件,iOS,、,Android,、,Symbian,、,Blackberry,系统终端可通过组件方式接入，,SVN,提,供,SDK,组件与手机应用客户端软件集成；,移动终端,SVN,网关,SSL VPN,加密隧道,跨平台终端支持：,PC,：,Windows,、,MAC,；,移动终端：,iPhone,、,iPad,、,Android,、,Symbian,、,Blackberry,；,iPhone、Android,、,Symbian,、,Blackberry,支持的手机终端类型,Content,SVN,系列产品概况,SVN,功能特性介绍,泛终端能力,远程接入功能,安全特性,SDK,组件,可靠性功能,附录：,VPN,协议简介,Page,12,移动终端虚拟桌面,用户使用流程,1,）在移动终端上安装,SVN Mobile Desktop,客户端软件；,2,）开启客户端软件，与,SVN,网关建立起,SSL VPN,隧道；,3,）用户访问内网工作平台，通过,SVN,的代理，在本机获取工作平台的虚拟桌面，实现远程桌面访问；,实现移动终端对内网工作平台的访问，不需要智能终端上安装各种办公软件，降低智能终端和内网服务器之间的数据流量，减少对智能终端上运算能力的需求；,Internet,移动终端,SVN,工作平台,代理网关,虚拟桌面使用介绍,用户配置登录网关信息,用户在使用虚拟桌面之前，首先需要知道待连接网关的信息，包括,IP,、用户名和密码，只有先连接上网关，才能继续后续操作。,虚拟桌面使用介绍,获取访问资源列表,资源列表可以通过,SVN,管理员配置下发来明确规定某一用户特定的访问资源；同时用户也可以自行配置资源，但如果配置的资源被管理员的,ACL,策略禁止访问的话，仍是无法访问的。,虚拟桌面使用介绍,连接远程资源,用户最终的目的是要连接远程的资源（目前也就是公司内网的,PC,），并进行日常办公等操作。,Page,16,Web,代理,对内网,Web,资源的无客户端访问,无客户端的,SSL VPN,访问，只通过标准浏览器，无需安装任何客户端软件或网页插件；,SVN,作为代理，对客户端来说，相当于服务器，所有客户端的页面请求都通过,HTTPS,形式发往,SVN,网关。对服务器来说，,SVN,相当于客户端，服务器对用户的响应都往,SVN,，由,SVN,进行处理转发；,SVN,可以对页面上所有的,URL,进行改写并隐藏，使内网服务器地址对公网用户不可见；,权限控制细致到,URL,级，即可控制用户对某一张具体页面的访问权限；,web server,代理,+,页面,URL,改写,web server,web server,SVN,网关,Internet,内网,web,网页地址,改写后用户看到的网页地址,https:/,webproxy/12/333333/http/1KVKVKWDXL2A2A/news/b/hello.htm, portal=1,Web,代理,URL,改写举例,SVN,公网访问地址：,管理员在,SVN,上配置的内网,WEB,网页资源,A,：,资源,A,的链接推送到客户端后的地址：,https:/,218.10.1.16/,webproxy/7.10.10.1/news,用户访问,web,资源,A,是，目的地址转变为,SVN,，所有访问报文都通过,SVN,中转。在用户终端无需安装任何客户端程序；,内网,web,网页,A,地址,SVN,公网访问地址：,在,SVN,上配置的,web,网页地址：,用户发起访问的实际地址：,Proxy,Page,18,网络扩展,实现对内网所有复杂应用的全网访问,通过建立安全,SSL,隧道，实现对基于,IP,的内网业务的全面访问,实现方式：,1,）,ActiveX,控件；,2,）专用客户端软件：一次安装，零配置；,访问方式（由管理员根据不同应用场景进行配置）,1,）全通道（,Full Tunnel,） 只允许访问企业内网；,2,）分离通道（,Split Tunnel,） 可同时访问企业内网和本地子网；,3,）手动（,Manual Tunnel,） 可访问内网特定网段的资源，,同时对其他正常操作不作影响，,可以访问,Internet,和本地子网；,Page,19,网络扩展实现过程,1,、,在客户端下载控件，安装虚拟网卡，虚拟网卡获得一个可被内网识别的,IP,地址；,2,、客户端发起基于,IP,的内网应用，虚拟网关截获报文进行封装加密，发往,SVN,；,3,、,SVN,对报文解密后发往内网服务器；,4,、内网服务器的响应报文发到,SVN,，由,SVN,进行封装加密，发往客户端。,SERVER,10.1.1.10,虚拟网卡,10.1.1.20,CLIENT,202.1.1.20,202.1.1.30,10.1.1.30,10.1.1.20,10.1.1.10,10.1.1.20,10.1.1.10,202.1.1.30,202.1.1.20,源,IP,目的,IP,源,IP,目的,IP,原始报文,客户端封装后,SVN,网关解封装后,10.1.1.20,10.1.1.10,源,IP,目的,IP,Page,20,IP,地址分配,DHCP,分配方式,为企业已有的,DHCP,服务器提供接口，通过,DHCP,来为登录,SVN,的远端用户分配内网,IP,地址,IP,地址池,企业划出一段连续、未使用的,IP,地址，用作分配给,SVN,用户的虚拟地址；,IP,地址可以随机分配，也可以将用户账号与某一,IP,地址绑定，则每次该用户启用网络扩展功能时，对用的都是同一内网,IP,地址。,如果绑定的地址包含在地址池内，则该地址就被锁定了，不会分配给另一个用户；,Page,21,Full Tunnel,全通道方式,Internet,总部内网资源,全通道方式,所有流量都流向网关,SSL VPN,隧道,LAN,SVN,Page,22,Split Tunnel, 分离通道方式,Internet,总部内网资源,LAN,分离通道方式：除了可以访问内网，还能够访问客户端所在的本地子网。,SSL VPN,隧道,SVN,Page,23,Manual Tunnel,自定义方式,Internet,总部内网资源,LAN,自定义方式：能够访问内网特定网段的资源，同时，客户端访问本地子网和,Internet,的操作不受影响。,SSL VPN,隧道,SVN,Page,24,端口转发,提供丰富的内网,TCP,应用服务,广泛支持静态端口的,TCP,应用,单端口单服务器（如：,Telnet,，,SSH,，,MS RDP,，,VNC,等,）,单端口多服务器（如：,Lotus Notes,）,多端口多服务器（如：,Outlook,）,支持动态端口的,TCP,应用,提供端口级的访问控制,动态端口,（如：,FTP,被动模式，,Oracle,）,Page,25,端口转发实现原理,用户点击客户端页面“启动端口转发功能”按钮，自动安装运行一个,Windows ActiveX,控件，获取到管理端配置的端口转发资源列表（目的服务器,IP,、端口）；,控件将客户端发起的,TCP,报文与资源列表进行比对，当发现报文的目的,IP/Port,与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出）。将目的地址改写为回环地址，转发到侦听端口。,对该报文加密封装，添加私有报文头，将目的地址设为,SVN,的,IP,地址，经由侦听端口发往,SVN,。,SVN,收到报文进行解密，发往真实的目的服务器端口。,SVN,收到服务器的响应后，再加密封装回传给用户终端的侦听端口。,Page,26,端口转发实现原理,SVN,TCP 110,TCP 25,TCP 21,TCP 23,应用请求,应用代理,CLIENT,SERVER,SSL,Internet,提供对内网,TCP,应用的安全接入！,Port 443,提供对内网文件系统的安全访问,采用协议转换技术，无需安装专用客户端，直接通过通用浏览器安全接入内部文件系统；,将客户发起的文件共享请求，转换成相应的协议格式，与服务器进行交互；,支持：,- SMB,协议（,Windows,）,- NFS,协议（,LINUX,）,Page,27,文件共享,新 建,文件夹,浏览文件,下载文件,改 名,文件,(,夹,),删 除,文件,(,夹,),上传文件,支持,Windows(SMB)/UNIX(NFS),文件,Page,28,文件共享实现过程,以访问内网,Windows,文件服务器为例：,1,、客户端向内网文件服务器发起,HTTPS,格式的请求，发送到,SVN,；,2,、,SVN,将,HTTPS,格式的请求报文转换为,SMB,格式的报文；,3,、,4,、文件服务器接受请求报文，将请求结果发送给,SVN,，用的是,SMB,报文；,5,、,SVN,将,SMB,应答报文转换为,HTTPS,格式；,6,、将请求结果（,HTTPS,格式）发送到客户端；,文件服务器,客户端,1,6,SMB/NFS,HTTPS,4,3,HTTPS,SMB/NFS,5,2,SVN,Page,29,业务隔离,虚拟网关,SVN,通过虚拟网关提供,SSL VPN,服务；,每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等；,独立型,每个虚拟网关对应一个独立的,IP,地址或者域名；,共享型,多个虚拟网关共享一个,IP,地址或者域名，通过子域名加以区分，例如：虚拟网关,A,、,B,，都为共享型，并且共享同一个域名，则通过子域名来区分两个虚拟网关，分别为,，,；,当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟网关，从而形成完全隔离的访问体系。,Page,30,虚拟网关用户页面定制,用户页面,LOGO,、欢迎辞和标题定制,用户登录首页定制,用户登录后页面定制,原页面,定制后页面,Content,SVN,系列产品概况,SVN,功能特性介绍,泛终端能力,远程接入功能,安全特性,SDK,组件,可靠性功能,附录：,VPN,协议简介,Page,32,安全桌面,用户登录,VPN,后，在客户终端上生成安全桌面，与真实桌面数据隔离；,所有安全桌面下的操作，重定向到虚拟目录；,可操作,在安全桌面内通过,VPN,访问企业内网数据；,在安全桌面内下载、编辑、保存文档等；,选择操作,从安全桌面拷贝到真实桌面；,本地网络共享，注册表编辑；,本地打印，,USB,口，,COM,口；,目的：,通过安全桌面的数据隔离功能 ，防止数据不受控制地传输和拷贝，提高企业内部数据的安全性；,安全桌面,真实桌面,打 印,COM,口,USB,口,所有操作重定向,虚拟目录,切换,加密,用户下线时删除,/,保存,本机启动,拷贝,安全桌面,文件夹重定向,Windows,系统安全桌面客户端启动时，创建虚拟目录，该目录属性为隐藏。,Page,33,在安全桌面下创建的所有文件，都会被加密存储在重定向目录下。这些加密文件在安全桌面下打开时，会被自动解密。在真实桌面下加密文件无法打开,。,安全桌面配置页面,Page,34,Page,35,单点登录,SVN,代理的众多应用系统，本身都有自己的账号密码认证信息；,通过单点登录功能，用户经过,SVN,的严格身份认证后，再登录内网应用系统，无需再进行账号密码验证；,支持,B/S,的单点登录，支持通过,POST,、,Headers,、,BASIC,、,NTLM,方式实现单点登录；,Internet,SVN,应用服务器,应用服务器,应用服务器,SVN,账号密码,应用服务器,A,账号密码,应用服务器,B,账号密码,用户账号,登录,SVN,，提交,SVN,账号密码,访问应用服务器,SVN,代为登录服务器,允许访问,单点登录配置,单点登录开启,Page,36,单点登录从账号策略优先级：,用户从账号、组从账号；,资源从账号；,用户登录,SVN,账号；,单点登录配置,Page,37,Page,38,终端安全检查,安全检查策略,防火墙安装及运行状态；,杀毒软件安装及运行状态；,操作系统版本以及补丁版本；,注册表项；,特定进程；,特定文件；,特定端口；,动态授权,根据检查结果允许或者禁止用户使用该终端访问；,在用户身份认证之前进行；,对用户使用的硬件终端的安全性、可信性进行检测，避免用户所处网络、,所用终端对企业内网安全造成的威胁；,内网服务器,推送终端检查控件到客户端,根据该用户检查项,对终端检测,将检测结果上报,SVN,，由,SVN,允许,/,限制该用户访问,VPN,网络,远程用户,Page,39,终端硬件绑定,将用户账号与硬件终端绑定，使用户只能通过指定的,PC,访问内网，即使用户账号信息被不法人员获得，由于无法获取指定的硬件终端，仍然无法访问，进一步保证了接入用户的合法性；,Page,40,下线后安全,缓存清除,由于用户可能在不可信网络中用不可信设备访问内网，在访问的过程中会在终端上留下访问痕迹，比如：生成的临时文件、,Cookie,等。恶意攻击者能够通过这些痕迹获取内网信息，甚至对内网发起攻击。,SVN,在用户访问,VPN,下线时，会采用必要的手段来清除不可信终端上的访问痕迹，以防止泄密，杜绝安全隐患。,与终端安全检查使用相同的客户端程序。,清除浏览器缓存,浏览器的,Cookie,浏览器自动保存的密码,最近访问的文档列表,浏览的历史记录,清空回收站,清除指定目录或文件,禁用,IE,浏览器地址栏自动完成,禁用,IE,用户名、密码、表单自动保存,清 除 选 项,Page,41,用户认证,VPNDB,x.509,数字证书,动态密码,令牌,短信认证,第三方系统,RADIUS, LDAP, Windows AD,VPN,网关本地数据库账号、密码认证,CA,认证系统,证书认证,or,证书,+,账号密码认证,密码,+PIN,码,+,动态密码认证,丰富的认证方式，支持多级认证、混合认证。,One-time,password,USB Key,短信猫、短信平台联动,硬件,Key+CA,数字证书，即插即用,Page,42,本地用户账号密码认证,SVN,本地有一个用户数据库，可以保存用户的账号、密码信息；,用户登录时，需要输入用户名、密码，,SVN,在做,VPN,网关的同时，充当认证服务器，无需部署第三方认证服务器；,在本地认证方式下，用户可修改密码，管理员对用户密码强度进行限制。,1,2,4,3,用户提交账号、密码；,SVN,本地数据库验证用户信息；,SVN,返回认证结果，允许或拒绝登录；,如认证通过，则用户成功登录,VPN,，,客户端与网关之间通过加密隧道通信；,3,1,4,2,用户,网关,Page,43,第三方服务器认证, RADIUS/LDAP/AD,RADIUS,（,Remote Authentication Dial in User Service,）远端用户拨入鉴权服务,；,LDAP,（,Lightweight Directory Access Protocol,）轻量级目录访问协议；,AD,（,Active Directory,）活动目录；,以上三种认证方式都需要部署第三方认证系统，用户的账号、密码信息配置在外部认证服务器上；,用户登录时，输入账号、密码，通过,SSL,加密隧道发到,SVN,网关上，由,SVN,解密后转发给认证服务器；,认证服务器将验证结果返回给,SVN,，,SVN,根据认证结果允许或拒绝用户登录,VPN,。,3,1,2,用户,网关,4,5,Radius/LDAP/AD,认证服务器,1,2,4,3,5,用户提交账号、密码信息；,SVN,转发用户账户信息；,认证服务器返回验证结果；,SVN,返回允许,/,拒绝登录结果；,如验证通过，用户成功登陆,VPN,网络；,Page,44,CA,认证,第三方,CA,系统,or,内置,CA,可通过,CA,证书认证方式来验证用户身份；,与第三方厂商,CA,系统联动,SVN,需要与第三方专业,CA,认证服务器配合使用；,CA,认证系统用于生成,CA,根证书，根证书下生成用户证书；,CA,根证书导入,SVN,设备内，用户证书下发给用户；,用户登录时，,SVN,经过两个步骤确定用户证书的有效性，,首先检查颁发该证书的,CA,是否是被信任的（在使用证书认证前需要在,SVN,上配置可被信任的证书颁发者），然后判断该证书是否过期失效或者被其颁发者撤销，通过验证的用户才允许登录；,S,VN,内置,CA,SVN,本身作为数字证书中心，无需第三方的介入，通过颁发各类证书，实现证书的管理和认证过程；,Page,45,CA,认证,1,2,4,3,5,CA,中心颁发证书给,SSL,VPN,网关,CA,中心颁发证书给用户,终端用户认证,SSL,VPN,网关合法性,SSL VPN,网关认证终端用户合法性,双方认证都认证通过后加密通道建立,CA,中心,1,证书,2,证书,4,3,5,Page,46,用户证书下发,用户证书下发给用户，有两种形式,1,）用户直接将电子证书导入浏览器，保存于本地,PC,内；,2,）将电子证书导入,USB Key,硬件存储介质，类似于,U,盘。存储于,USB Key,中的证书可读，但不可复制、导出。使用时需要将,USB Key,插在电脑上，此时可以使用证书进行身份认证。一旦将,USB Key,拔下，证书便不可用了。,采用证书认证的方式，即使账号泄露，由于无法获取用户证书，非法用户仍然无法登录，保障内网信息安全；,Page,47,动态密码令牌认证,采用动态密码认证时，需要客户采购第三方动态密码服务器与,SVN,对接实现用户身份认证；,用户手持动态密码硬件令牌，令牌上的,LED,显示屏显示动态变化的伪随机码，通过晶振与后台密码服务器同步，一分钟一变；,当用户登录时，需要输入用户账号、个人身份码（,PIN,码）以及令牌上当前显示的伪随机码；,也可通过软,Token,获取动态密码，软,Token,是显示在,PC,上的图像，图像上有动态变化的伪随机码，原理与硬,Token,一致；,SVN,网关提供接口与动态密码服务器对接，当用户登录时，,SVN,将用户提交的动态密码转发给密码服务器，由服务器对用户信息进行验证，并将验证结果反馈给,SVN,。验证通过的用户才允许登录,SVN,，否则无法登录；,动态密码认证结合了,PIN,码和动态密码，属于双因素认证；,Page,48,认证过程,动态密码认证服务器,3,1,4,2,5,1,2,4,3,5,服务器与,Token,卡之间同步动态密码,用户提交动态密码到,SSL VPN,网关,SSL VPN,网关转发认证信息，,认证服务器反馈认证结果,网关返回认证结果,双方认证都认证通过后加密通道建立,硬件,Token,SVN,Page,49,短信认证,辅助认证方式，在账号、密码认证成功后，,SVN,给用户发送短信密码，用户输入短信密码进行认证，完成认证过程；,用户账号与手机号码绑定；,密码复杂度、密码有效期、可获取密码次数可配置；,短信猫：,移动终端设备，类似于手机，需要安装,SIM,卡才能正常发送短信，和,SVN,部署在一起；,短信网关：,向当地运营商租用，运营商向客户提供短信网关,IP,地址、端口、,SP,接入号码等信息，配置在,SVN,上；,账号认证方式可以为,VPNDB,、,RADIUS,、,LDAP,、,AD,、数字证书认证；,短信认证流程,SVN,、 ,Page,50,Internet,企业内网,短信猫,以本地认证结合短信猫发送为例：,用户在登录,SVN,时，提交账号、密码给,SVN,进行身份认证；,SVN,对用户账号、密码进行验证，验证通过后，找出与该账号对应的手机号码；,SVN,生成短信密码，并按照短信模板编写发给该用户的短信内容；,SVN,将短信内容（包含了密码）发送给与之相连的短信猫，触发短信猫发送短信；,短信猫将短信发送到用户的手机上；,用户将收到的短信密码输入到,SVN,的辅助认证界面上，进行提交；,SVN,对短信密码进行认证后，返回认证结果，通过的允许登录，否则，拒绝登录；,用户手机,Page,51,数据传输安全,客户端到,SVN,网关之间的链路经过公网，两者之间的认证信息、业务信息加密传输；,支持多种加密算法,3DESDES, RC4, AES,RSA, MD5, SHA-1,；,有效抵御各种网络风险，避免敏感数据遭到非法窃听或篡改；,设备证书,根证书,提交设备证书，用根证书验证有效性,验证通过，开始协商加密算法和密钥,建立,SSL,连接，客户端与网关设备之间认证,Web,Server,SSH,Server,OA,Server,Database,LDAP,Server,SSL,加密隧道,明文传输,SVN,SVN,Page,52,权限控制安全,所见即所得,特定用户只可访问授权的特定资源；,细粒度访问控制,网络层,(IP),传输层,(Port),应用层,(URL),，层层把关；,用户管理,按角色区分群组，适应最灵活的组织结构划分；,杜绝越权访问，保障信息安全,Page,53,用户密码安全,用户密码可修改；,首次登陆强制修改；,密码复杂度要求；,密码修改周期；,密码到期前提醒；,Page,54,安全性,日志审计,Page,54,eLog,日志管理系统,SVN,安全接入网关,管理员,VPN,用户,系,统日志,VPN,日志,【,虚拟网关用户日志,】,用户登录成功、失败记录，登陆后下线记录，用户修改密码，业务日志；,【,虚拟网关管理员日志,】,管理员上线、下线记录，管理员登录失败记录，虚拟网关配置保存，用户管理，安全管理等；,通过旁路部署探测设备，实时抓包，解析用户各种操作行为，生成日志，发送,eLog,系统；,eLog,系统进行解析、审计、告警、存储、查询；,Page,55,防火墙功能特性,ACL,和安全策略,基本,ACL,和高级,ACL,基于时间段的,ACL,基于,MAC,地址的,ACL,动态维护,ACL,规则,黑名单、,IP,和,MAC,地址绑定,应用层过滤，状态检测,端口映射机制,NAT,地址转换（,NAT,和,PAT,）,内部服务器,端口级,NAT,服务器,多种,NAT ALG,攻击防范,防范多种,DOS,和,DDOS,攻击：,SYN Flood,、,ICOM Flood,、,Get Flood,、,WinNuke,、,ICMP,重定向和不可达报文、,Land,、,Smurf,、,Fraggle,、,IP Spoofing,等；,防范扫描窥探：包括地址扫描、端口扫描、,IP,源站选路选项、,IP,路由记录选项、时间戳、刺探路由；,畸形报文攻击：畸形,IP,分配报文、畸形,TCP,报文、超大,ICMP,报文、,TearDrop,、,Ping of Death,；,虚拟防火墙,Content,SVN,系列产品概况,SVN,功能特性介绍,泛终端能力,远程接入功能,安全特性,SDK,组件,可靠性功能,附录：,VPN,协议简介,Page,57,SDK,组件,SVN,提供一个,SDK,组件，类似于软件开发包，可以和具体业务客户端软件集成；,用户双击业务软件，业务软件程序调用,SVN,组件，与,SVN,网关之间自动建立起,SSL VPN,隧道，业务软件随即启用；,不需要操作系统管理员权限、不需要在系统中安装虚拟网卡、不修改操作系统的注册表；,所有业务数据都在,SSL VPN,隧道中传输；,SSL VPN,功能对用户透明；,SDK,组件支持以下软终端的集成：,Windows,系列操作系统（,Windows XP,、,Windows Vista,、,Windows 7,、,Windows Server 2003,、,Windows Server 2008,）、,Linux,的,PC,软终端；,iPhone,、,iPad,、,Android,、,Symbian,、,BlackBerry,系列操作系统的手机软终端；,Page,58,SDK,组件框架,业务层,安全通信层,硬件层,操作系统层,隧道建立,接口,兼容标准,SOCKET,的业务通信接口,协议封装,安全加密,网络通信,会话管理,隧道关闭,接口,兼容各类操作系统的系统适配接口,Page,59,SDK,组件功能,提供端到端安全加密，防窃听、封杀和干扰，终端安全可扩展。,提供了最佳的防火墙、,NAT,、,Proxy,代理、,SOCKS V5,代理,穿越能力。,根据业务需求，可封装指定的,SIP/RTP/RTCP,等报文进入隧道。,自动检测网络穿越能力，智能选择,TLS,或,UDP,加密隧道。,Page,60,SDK,组件特点,不涉及驱动安装和路由修改，操作系统以及用户都无感知。,颠覆了传统,SSL VPN,应用，隧道启动速度大大加快（,11s-,小于,2s),与操作系统/杀毒软件/其它底层检测软件兼容性好。,业务可灵活控制，由上层业务决定数据是否进入加密和封装。,与业务终端的集成复杂度增加，需要终端开发方进行研发级集成。,Page,61,SDK,应用场景,单一业务应用,与业务软件客户端集成，实现加密，,VPN,启用关闭对用户透明；,如：财税统一缴纳平台；,VoIP,、,VoPS,、,VoLTE,多媒体隧道,与多媒体业务客户端软件集成，通过,SSL VPN,加密隧道，解决多媒体业务中存在的,NAT,穿越、,Proxy,穿越、端口汇聚等问题；,如：,eSpace,配套，手机端到端加密，,RCS,配套；,Page,62,多媒体业务面临的网络问题,4,运营商网络,3,防非法监听、数据篡改,信令,/,媒体公网明文传输，可能出现非法监听和账号,/,口令盗用；,截获并插入非法数据流以进行中间人攻击,防业务封杀,业务数据经过其他运营商网络，竞争对手恶意竞争，基于,DPI,和特征识别技术可以检测到并封杀,VoIP,业务；,端口开放问题,终端对外通信需要用到HTTP/ SIP/ RTP/ DNS等应用层协议,VoIP,终端和服务器侧的通信存在端口动态协商的问题,企业不开放1000065535 UDP端口，RTP媒体流无法穿越,网络穿越问题,HTTP,代理方式数据无法穿越,动态NAT接入时用户侧链路可能缺乏保活造成NAT资源超时释放，导致用户状态异常。,1,3,2,企业侧,NAT/Proxy,运营商侧,1,2,4,Page,63,多媒体,隧道模式,单隧道模式,SSL/TLS,隧道加密传输业务数据，各业务端口全部聚合到一个,SSL,端口，适用于私网穿越要求高、网络带宽高场景。,私网穿越能力和网络适应性最强；,防火墙开放端口最少；,传输稳定，支持丢包重传，良好环境下能提高逼真度；,网络质量要求较高，带宽占用较高；,SSL/TLS + UDPS,双隧道,模式,SSL,/TLS,隧道,模式,双隧道模式,基于华为自有知识产权的,VoIP,端口聚合和加密专利技术，,SSL/TLS,隧道传输基于,TCP,的认证和控制信令，,UDPS,隧道传输基于,UDP,的音视频数据，,可根据网络环境智能切换模式，场景适应能力强。,传输时延小，语音质量好；,允许一定的丢包率，更适合音视频传输；,带宽增量少，更能适应窄带宽应用环境；,UDPS,隧道只能穿越,SOCKS,代理，无法穿越,HTTP,代理；,Content,SVN,系列产品概况,SVN,功能特性介绍,泛终端能力,远程接入功能,安全特性,SDK,组件,可靠性功能,附录：,VPN,协议简介,双机热备,支持主,-,主、主,-,备方式；,主备组网：备份的两台设备之间，实现配置备份、,SSL,会话备份，当一台设备故障后，上面的业务平滑切换到另一台设备上，当前会话不会断开，设备故障对用户无感知；,Internet,VGMP,组,1,HRP,VRRP,组,1,VRRP,组,2,VGMP,组,1,心跳线,SW,SW,Master,Slave,SVN,SVN,Intranet,Client,对外提供一个公网,IP,地址供用户访问,Page,66,集群,本地负载均衡,SVN,设备本身做负载均衡器,1,）,SVN,既做负载均衡器，又提供,SSL VPN,功能,允许两台设备,1+1,负载均衡，其中一台同时做负载均衡；,2,）,SVN,只做负载均衡，不提供,VPN,业务,根据做负载均衡器的,SVN,的性能，最大可支持,32,台,SVN,网关集群；,前置专业负载均衡设备,集群的多台,SVN,网关前，配置第三方厂商的负载均衡设备，根据源,IP,地址,HASH,算法，将,SSL VPN,流量均衡地分配到后面的,SVN,设备上；,整个集群对外发布一个公网,IP,或者域名，供用户访问；,可支持的集群设备台数取决于前置负载均衡器的性能；,全局负载均衡,SVN,集群对外公布一个域名，每台设备发布一个公网,IP,地址；,用户通过域名发起访问，由,DNS,服务器定位到某一台,SVN,网关上；,Page,67,可靠性,Page,67,嵌入式多核硬件平台，非,X86,体系工控机或,PC,构架；,电源等关键器件冗余；,智能适应各种机房工作环境；,可靠性,软 件,硬 件,组 网,采用自研安全操作系统；,软件系统经过现网充分验证，具有可靠、安全的运行保证；,客户端具备自动重连机制；,双机热备组网；,配置信息实时备份；,业务级信息备份，切换对用户使用无感知；,Content,SVN,系列产品概况,SVN,功能特性介绍,附录：,VPN,协议简介,Page,69,VPN,简介,VPN,虚拟专用网指的是依靠,ISP,（,Internet Service Provider,因特网服务提供商）和其它,NSP,（,Network Service Provider,网络服务提供商），在公用网络中建立专用的数据通信网络的技术。,在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的物理链路资源动态组成的。它不是真的专用网络，但却能够实现专用网络的功能。,以,OSI,模型参照标准，不同的,VPN,技术可以在不同的,OSI,协议层实现,数据链路层,PPTP,，,L2TP,网络层,IPSEC,应用层,SSL,按照,VPN,的网络连接类型主要分为,Site-to-Site,和,End-to-Site,两种类型。,Site-to-Site,主要指的是网络和网络之间的,VPN,连接。而,End-to-Site,指的是移动终端到企业私有网络之间的,VPN,连接，,SSL VPN,就是,End-to-Site,类型的,VPN,。,多种,VPN,各有特色，互相补充。满足不同的需求，适用于不同的场景。,Page,70,IPSec,简介,意义,IPSec,（,IP Security,）能在不安全的网络环境（如,Internet,）中为敏感数据的传输提供安全保护。,IPSec,互联方式：,网关与网关之间；,主机与网关之间；,IPSec,在协议栈中的位置：网络层,对所有基于,IP,的应用程序提供透明的安全服务，无需对各个应用程序进行修改。,IPSec提供的服务：安全服务,保密性：对数据进行加密，以密文形式对数据进行传输；,完整性：保证数据在传输过程中不被篡改；,真实性：验证数据源，以保证数据来自真实的发送者；,抗重放攻击：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。,Page,71,用于提供安全服务,AH,（,Authentication Header,）,两种验证算法：,MD5,、,SHA-1,；,ESP,（,Encapsulating Security Payload,）,加密算法：,DES,、,3DES,、,AES,；,AH和ESP协议是在IP协议的基础上，通过引入新的字段（AH头、ESP头、ESP尾、ESP认证数据）来提供安全保护。,IPSec,基本概念,安全协议组件,IP,数据,IP,头,AH,头,认证数据,AH,协议,身份认证,数据完整性校验,抗重放攻击,ESP,认证,ESP,尾,IP,数据,ESP,头,IP,头,认证数据,ESP,协议,身份认证,数据加密,数据完整性校验,抗重放攻击,数据加密,Page,72,IPSec,基本概念操作模式,IPSec,有两种操作模式（,IP,报文的封装模式）,1.,传输模式（,Transport Mode,）,应用场景：主机与网络安全网关之间的通信,对,IP,数据段进行了保护，比如,TCP,、,UDP,、,ICMP,等报文。,IP,头,IP,数据,原始报文,原,IP,头,IPSec,头,IP,数据,IPSec,封装后,新的,IP,数据段,Page,73,IPSec,基本概念操作模式,2.,隧道模式（,Tunnel Mode,）,应用场景：网关与网关之间的通信,IP,头,IP,数据,原始报文,原,IP,头,IPSec,头,IP,数据,IPSec,封装后,新的,IP,数据段,新,IP,头,保护整个原始,IP,报文，包括,IP,头和,IP,数据；,隐藏了内部,IP,地址、协议类型和端口号。,Page,74,IPSec,基本概念操作模式,对于,AH,和,ESP,，都有两种操作模式：传输模式和隧道模式，其报文的封装格式分别如下所示：,Page,75,SSL,简介,1994,年,Netscape,开发了,SSL (Secure Socket Layer),安全套阶层协议，专门用于保护,Web,通讯；,到目前为止，,SSL,协议有三个版本，其中,SSL2.0,和,SSL3.0,得到广泛的应用，,IETF,基于,SSL3.0,推出了,TLS1.0,协议,(,也被成为,SSL3.1),；,大部分,web,浏览器都默认支持,SSL,协议，通过标准的浏览器，就可以访问企业的内部应用；,只要有一台电脑终端，能够上网，就能够实现随时随地安全可控的远程访问；,SSL,协议发展到现在，已经不再单纯局限于,B/S,类的,Web,应用，同样能很好地支持,C/S,应用，针对基于的,IP,的应用，如：,VOIP,电话、音频、视频等，也提供了类似于三层,VPN,的安全隧道，实现对所有,TCP,、,UDP,应用的访问支持；,Page,76,SSL,协议与数据通信,SSL,协议从以下方面确保了数据通信的安全：,机密性,采用加密算法对需要传输的数据进行加密；,完整性,采用数据鉴别算法，验证所接收的数据在传输过程中是否被修改；,认 证,在建立,SSL,连接之前，客户端和服务器之间需要进行证，认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证；,I P,TCP,HTTP,Not Secure,Secure,I P,TCP,HTTP,SSL,SSL,在,TCP/IP,协议栈中的位置,Page,77,SSL,报文封装,Web,、,TCP,业务访问报文封装：,数据,截获的原始报文,IP,头,SSL,私有头,数据,SSL,封装后,新的,IP,数据段,每个厂商定义的,SSL,私有头不同，因此不同厂商的,SSL,客户端和网关之间不可访问；,全网,IP,业务访问报文封装：,IP,头,数据,原始报文,原,IP,头,SSL,私有头,数据,SSL,封装后,新的,IP,数据段,新,IP,头,Page,78,SSL VPN,与,IPSec VPN,对比,