深信服新员工IPSECVPN产品培训.ppt

IPSecVPN产品介绍,2010年11月主讲：市场行销部杨海源E-MAIL:yhytel:15838177732,学习目标学习完本课程，您应该能够了解VPN是什么、能做什么深信服VPN产品功能及组网方式深信服VPN的竞争优势如何对深信服VPN进行选型VPN行业情况,课程大纲：1、VPN背景知识介绍2、广域网建设存在的问题3、VPN应用领域及优势4、深信服VPN产品介绍5、深信服VPN竞争优势6、产品选型及版本介绍,VPN背景知识介绍,VPN简介,VPN（VirtualPrivateNetwork）虚拟专用网：是依靠ISP（InternetServiceProvider互联网服务提供商），在公用网络中建立专用数据通信网络的技术，是DDN、FR、ATM等PVC(虚拟固定线路)技术的替代连接技术.主要作用：1.连接各私有网络和私人用户2.保护在公网上传播的数据3.实现对专有资源的访问授权,VPN信息化建设的基础平台,VPN好比是路和桥，而ERP、CRM、OA、VOIP、视频电话等各种企业应用系统则是跑在路或桥上的各种汽车！VPN能将企业局域网内的各种应用系统安全扩展到全球的任何一个分支机构，同时实现随时随地的“移动办公”！,ERP,OA,CRM,目前常用的VPN技术,VPN采用隧道技术传输即将数据封装在隧道中进行传输，按工作在OSI模型层次可分为二层、三层隧道协议,加密算法,对称加密算法DES：数据加密标准，速度较快，适用于加密大量数据的场合3DES：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高AES：高级加密标准，是下一代的加密算法标准，速度快，安全级别高BLOWFISH：它使用变长的密钥，长度可达448位，运行速度很快,加密算法,公开密钥算法RSA：由RSA公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块长度也是可变的DSA：数字签名算法，是一种标准的DSS（数字签名标准）；ECC:椭圆曲线加密算法，安全性更高、算法实现性能更好，是前面两个公钥算法的取代者,加密算法,公开密钥算法MD5：是RSA数据安全公司开发的一种单向散列算法，用来把不同长度的数据块进行暗码运算成一个128位的数值SHA：这是一种较新的散列算法，可以对任意长度的数据运算生成一个160位的数值MAC：消息认证代码，是一种使用密钥的单向函数，可以用它们在系统上或用户间认证文件或消息CRC：循环冗余校验码，CRC校验由于实现简单，检错能力强，被广泛使用在各种数据校验应用中,保证数据完整性，不被篡改和修改！,广域网建设存在的问题,广域网建设存在的问题,随着组织机构扩大，众多分支如何实现互联？,众多互联解决方案，那种是最适合企业的互联解决方案,互联网,虚拟专用网,网络专线,广域网建设存在的问题,数据传输的安全性如何保证,-依赖互联网运行的业务系统时刻面临着数据遭到窃取等安全隐患。-不法分子轻易就能伪造或纂改企业的重要商业信息。-近而给企业带来名誉和财产上的损失，以及法律纠纷等问题。,广域网建设存在的问题,分支接入的真实性如何保证,-假冒用户任意访问并窃取企业数据资料-假冒用户可以肆意安插木马等间谍程序,广域网建设存在的问题,如何提升分支访问应用速度,-广域网传输存在过多协议交互，严重影响了应用系统性能。网络上传输大量重复的数据，严重浪费了宝贵的带宽资源。,用户应有的带宽在广域网传输的延时中慢慢消耗待尽！,广域网建设存在的问题,大型企业网络如何进行集中管理,企业众多分支内网安全策略无法统一配置分支节点设备运行状况及链路情况如何监控？大量移动用户配置维护耗费管理员大量时间和精力-分支增加带来管理及现场支持成本的持续增长,导致的结果是：网络规模越大，带来的管理成本也越大,IPSecVPN组网,深信服AC(上网行为管理）、SSLVPN、WAC（广域网加速）、SG（上网优化管理）都含有IPSecVPN模块，为客户实现网络优化的同时提供更高的网络价值！,VPN应用领域及优势,如何判断客户有需求,网络专线已有VPN普通互联网线路应用是否有应用使用群体是谁（共享给分支、领导出差）？该应用是否重要（支撑业务、日常办公）？该应用是否注重安全性？,VPN应用领域及优势,大中型企业异地机构互联,中小型分支,IPSecVPN,IPSecVPN,合作伙伴,IPSecVPN,SANGFORM/P/SVPN,SANGFORMVPN,SANGFORMVPN,大型分支,SANGFORM/P/SVPN,SANGFORM/P/SVPN,方案描述,应用背景：公司分支机构和各门店营销点分部在全国各个区域。需要把ERP、进销存和财务系统在所有各机构统一部署带来价值：各分支从互联网上通过VPN隧道就能安全、便捷、低成本的访问企业总部应用资源并实现信息共享,VPN应用领域及优势,大网中建小网,小型分支,IPSecVPN,IPSecVPN,IPSecVPN,方案描述,应用背景：行业专网是行业内部生产、工作的网络平台，几乎所有本行业单位都使用该网络。因为使用人员广泛，成分复杂，加之有大量需要对内部保密的应用（如财务系统）带来价值：利用VPN在专网内构建有保密功能的“安全子网”，给用户数据信息带来真正的安全,SANGFORM/P/SVPN,中型分支,SANGFORM/P/SVPN,SANGFORMVPN,行业专网,财务子网,专线,专线,专线,其它子网,中心站点,VPN应用领域及优势,专线改造及替换,中型分支,快速IPSec,快速IPSec,小型分支,SANGFORWANACC,SANGFORWANACC,大型分支,SANGFORWANACC,SANGFORWANACC,方案描述,应用背景：随着企业分支及应用的增多，对专线数量及带宽的需求日益增多，也因此给企业带来沉重的经济负担带来价值：采用快速VPN替代原有专线，不单大幅降低线路成本，其加速技术能使用户获得类似专线乃至超过专线链路下的访问速度，提升企业效率,中心站点,快速IPSec,VPN应用领域及优势,行业专网建设延伸,末端分支,专线,SANGFORP/SVPN,SANGFORMVPN,SANGFORMVPN,二级分支,SANGFORMVPN,行业专网,二级分支,末端分支,SANGFORP/SVPN,IPSecVPN,IPSecVPN,一级部门,应用背景：行业用户专线网络构建完成后，常常面临延伸的困扰，地市延伸至县，市/县延伸至乡镇和街道各个节点，如果全部铺设专线，要面临费用和实施两方面的困难带来价值：VPN使行业用户利用互联网来安全、方便、价廉的延伸行业专网，降低成本的同时提供灵活可控的安全,方案描述,VPN应用领域及优势,构建VPN备份网络,中小型分支,IPSecVPN,IPSecVPN,IPSecVPN,方案描述,应用背景：对可用性要求很高的企业，为了提供专线的备份网络，常利用互联网这种低廉的基础网络来建设备份网络带来价值：基于VPN技术构建的备份网络，相较专线备份网络能大大节省企业成本，并提供更高的安全性和部署灵活性,SANGFORM/P/SVPN,大型分支,SANGFORM/P/SVPN,SANGFORMVPN,行业专网,专线,专线,专线,每月节约成本：120003-5002=35000VPN设备成本：1台M5100，3台M5000，总成本134550投资回报分析：134500/35000=3.84即3.84个月可以收回投资,以客户有三条2M专线为例，替换为VPN后，总部增加两条ADSL（我们的加速产品可以使用多线路），各分支直接使用已有的ADSL（所以无须计算成本增加）,专线替换投资回报分析,VPN网络优势最佳投资回报,每月节约成本：（12000-7000）3=15000加速VPN设备成本：1台M5100，3台M5000，总成本134550投资回报分析：134500/15000=8.97即8.97个月可以收回投资,以客户有三条专线为例示例适合客户原本需要增加到2M，采用加速VPN后无需增加,带宽成本减少投资回报分析,SANGFORVPN产品介绍,SANGFORVPN技术优势,最快的VPN最安全的VPN最易用的VPN,SANGFORVPN-最快的VPN,我们致力提供最快的VPN,多线路技术，可以有效提高分支的接入访问速度畅联技术，在跨运营商的环境下仍能获得较好的传输效率高效压缩技术，在带宽不变的情况下，流压缩技术能有效减少负载数据量，从而提高数据传输速度可扩展广域网加速技术，大幅提升用户体验，解决网络带宽和传输速度问题更高的加密速度，未来设备性能会有较大提升,第一品牌之技术优势,最快的VPN,畅联技术-在跨运营商的传输时，即使网络两端的带宽足够，但运营商网络间频繁的丢包率仍然会导致传输性能的大幅下降畅联技术优化了数据传输机制，在丢包率高达30%的情况下也能将丢包还原保证数据的传输质量，非常适合于丢包严重的环境！,速度最快的VPN,速度最快的VPN,内置加速模块的VPN-基于加速VPN产品构建快速VPN网络，能有效解决网络传输中影响应用性能的延时、协议交互、重复数据传输等问题,快速VPN对应用系统性能改善的效果,SANGFORVPN-带给您全面的安全,第一品牌之技术优势,硬件鉴权，采用硬件特殊属性（CPU、网卡、硬盘等信息）作为接入身份验证，只有经总部授权的硬件设备才允许接入访问权限控制，细致控制分支及移动的访问权限，防止非法不授权的内网访问VPN专线，远程用户接入VPN后断开与互联网的链接，阻断黑客对终端电脑的控制用户使用时间管理、帐号过期时间管理CleanVPN，通过AC在总部的控制功能，来对VPN的数据进行审计、流控、优化,最安全的VPN,全面的安全手段,从接入、认证、传输等全方面保护信息安全,全面的安全手段,-标准用户名密码认证存在被盗用的可能-基于DKEY的双因素认证确保用户身份唯一-硬件鉴权认证能保证接入终端的唯一性-身份认证过程支持RADIUS、LDAP等外部认证,严格的身份认证是安全的第一要素,DKEY认证,专利号：2004100272163DKEY中携带有VPN客户端的配置信息，移动用户只需安装移动模块、不需任何配置。当移动用户结束使用后，仅需拔出DKEY，该机运行的VPN软件会自动关闭，所有的配置信息也自动清空，杜绝了他人利用该计算机非法接入总部的安全隐患,用户信息,+,DKEY,全面的安全手段,硬件鉴权(专利号：031141803)-采用硬件的特殊属性（CPU、网卡、硬盘等设备ID）作为接入身份验证，只有经总部授权的硬件设备才允许接入,-硬件鉴权可以有效保证接入终端身份的唯一性。同时还可以防止管理员在一些公共场所进行接入登陆，从而带来的用户名密码遭到窃取的安全隐患,支持DES/3DES/AES/MD5及国密办SCB2等多种算法用户可为每个分支及移动接入选取不同的加密算法采用改进的IPSec封装和TCP封装防止数据包伪造,全面的安全手段,多种加密技术保证数据传输的安全,全面的安全手段,VPN专线功能保证接入安全,VPN隧道专线,SANGFORVPN,新闻,游戏,视频,可选防火墙模块提供更多安全手段来保护内网及分支接入安全,SANGFORVPN-带给您的易用性,第一品牌之技术优势,隧道间路由，实现两点间在不直接建立VPN情况的互访分支通过总部上网，总部可以控制分支互联网的访问行为选路策略细化到用户，实现在多个最优线路上链路负载单臂下的多线路，VPN设备单臂部署，前置上网设备如有多线路即可在设备上配置多线路，实现VPN多线路功能隧道内NAT，可实现两个相同网段建立VPN连接隧道隧道内流控，为每个分支合理分配带宽，整体提升用户使用体验,最易用的VPN,Webagent动态寻址(专利技术)-动态IP地址（如ADSL接入）应用分布广、使用客户多，如何解决分支与总部间自动发现并建立VPN连接的问题？,带给您的易用性,他的地址,我的地址,找到我啦！,总部定时更新本端IP及其他信息到Webagent服务器,分支或移动定时访问Webagent网页,获取到总部相关信息后进行连接,带给您的易用性,隧道间路由实现两个不能直接互联的分支或移动之间建立VPN的隧道。,SANGFORVPN-所提供的可靠性,所提供的可靠性,多线路技术ISP链接可能是一个单独的故障点。为了消除这种危险，公司和组织不得不寻求非常复杂昂贵的解决方案，例如：冗余路由器和交换机，路由BGP等协议，和在ISP间作对等安排今天，深信服通过提供高可用多线路（专利技术）简单解决了这个问题,好处：1.高可用的Internet连接，互为备份2.网络流量动态的在ISP线路间负载均衡3.通过集中的管理简化了安装和管理工作4.带宽叠加,无需额外配置特定硬件或软件,所提供的可靠性,快速重连技术,-自动拨号技术：为了保证VPN网络的稳定性，设备集成自动拨号功能，在拨号中断3秒内迅速重拨，保证网络联通-隧道重建技术：当网络物理连接恢复正常后，VPN隧道将在1分钟内自动建立，从而保证系统应用的迅速恢复,所提供的可靠性,双机功能-两台设备以主备方式进行工作，出现故障设备将自动切换,网关模式,单臂模式,Qos和带宽管理,Qos和带宽管理,使用智能QOS分配技术进行VPN带宽分配保证关键业务应用的带宽保证关键业务的连续性减少网络资源的分配不合理,SecureCenter集中管理平台-分布式部署与管理,SecureCenter集中管理平台-分布式部署与管理,大型VPN网络最具性价比的集中管理解决方案,中小型分支,IPSecVPN,IPSecVPN,移动用户,SSLVPN,合作伙伴,IPSecVPN,SC管理平台,SANGFORM/P/SVPN,SANGFORMVPN,SANGFORMVPN,大型分支,SANGFORM/P/SVPN,SANGFORM/P/SVPN,SecureCenter集中管理平台-分布式部署与管理,带来的益处增加效率节省成本提供全面的安全图景,强大的功能特性集中管理配置/策略/连接管理监视设备链路动态监测完全控制系统和链路的管理,SecureCenter集中管理平台-分布式部署与管理,内置的状态监控功能,能详细记录显示：在线网点信息网点实时信息网点异常信息网点版本信息VPN设备拓补监控还可查看详细的SC设备的系统及操作日志,SANGFORVPN竞争优势,深信服IPSecVPN,国内IPSecVPN第一品牌IPSecVPN国家标准核心制订者，国家火炬计划VPN项目单位率先通过公安部虚拟专用网安全技术要求第三级认证雄厚的研发实力，专利拥有数量业内最多连续5年市场份额第一，众多全国范围大客户的一直选择众多奖项的一致认可不断提供面向未来，并满足用户不同需求的VPN产品,第一品牌之国家标准,国家IPSecVPN标准的主要制定者,第一品牌之公安部三级认证,率先通过公安部虚拟专用网安全技术要求第三级认证,第一品牌之发明专利,VPN领域发明专利最多(2007-08-10)利用WebPush技术提高HTTP网络速度的方法(2007-05-18)通过自组域简化部署VPN网络的方法(2005-12-31)一种基于web的线路自动选择方法(2004-07-02)VPN客户端安全策略交换和存储方法(2004-01-02)多路复用VPN隧道的连接方法(2003-03-24)利用网页进行动态寻址的方法和系统,第一品牌之大量高端大客户群,第一品牌之奖项荣誉,国密办3证（商用密码产品生产定点生产单位、商用密码产品销售许可证、商用密码产品型号证书）国家火炬计划VPN项目单位国家IPSecVPN标准主要制定单位连续2年计算机世界“年度产品奖”中国计算机报“中国信息安全值得信赖的VPN品牌”连续2届的网管员世界“网管员最喜爱产品奖”2006年电脑商报“渠道选择产品奖”2006中国网络主管调查首选VPN产品供应商2007年通信产业报“2007中国电信业信息化十佳解决方案奖”,第一品牌之不断创新,专注于VPN领域内的发展,推出国内第一款专业VPN产品实现安全互联并同时创造了多项发明专利，webagent、多线路、硬件鉴权,专注于提供更易用、更易管理的VPN,推出业界第一款二合一VPN产品，现已成为业界主流配置首家推出SC集中管理产品解决了VPN网络管理上的难题,注重不断满足客户的需求,亚洲首家推出高速VPN产品将VPN发展带入了高速时代拥有目前市场占有第一的带上网行为管理功能的VPN,VPN产品选型及版本介绍,IPSec加密速度是指设备在单位时间内所能处理（加解密）的数据量，其数值会根据加密算法的不同而有所不同，一般加密强度越强的算法，其加密速度越慢设备“加密速度”应当大于网络的出口带宽，以免在VPN设备上产生瓶颈IPSec并发隧道数即设备同时最多所能支持的接入分支（含移动用户）数量，一个分支（网关）或移动用户算一个接入隧道部署在总部设备的“并发隧道数”应大于分支和移动用户总数,IPSecVPN产品性能指标,防火墙吞吐量指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力并发连接数由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问部署在节点的设备的“并发会话数”，与本地局域网内的上网PC数目相关,IPSecVPN产品性能指标,SANGFORIPSecVPN型号,