1 SSL VPN技术布景
 

 

   随着我国社会主义市场经济环境的不休美满，经济领域的竞争日趋强烈，成立跨地域、跨行业、能沟通供给链高低游环节的企业级战术性信息系统已成为企业在市场中获取竞争优势的沉要伎俩。目前，国内企业内部的信息化水平越来越高，好多企业都建有自己的局域网、财政系统、ERP系统等等，但建设和守护一个远程基础通讯设施所需的昂贵用度却使绝大无数企业望而生畏，它们只能通过远程拨号接见、单一的FTP传输等伎俩来维系分歧地域信息系统之间数据互换的最低要求，严沉造约了信息系统整体效力的阐扬。在这样的布景下，企业火急必要一种低成本的网络互联解决规划，以实现异地分支机构、合作同伴或移动用户与企业总部之间通顺、安全地互换或共享业务数据。
 

 

    Internet技术的不休发展和日趋成熟为这种需要的实现提供了现实的可能性。Internet所具备的高带宽、低用度以及无限的衔接个性对企业拥有很大的引诱性，但与此同时，Internet的高度盛开性和疏松治理结构也使得企业面对的网络安全问题益发敏感，成了Internet作为商务网络必须逾越的沉大阻碍。为此，各类网络安全技术和产品应运而生，其中虚构专用网（VPN）及其有关技术经过多年的实际、发展和美满，以其方便性、安全性、尺度化蹬着势脱颖而出，逐步成为实显祗业网络跨地域安全互联的重要技术伎俩，是目前和今后一段功夫内企业构建广域网络的发展趋向。SSL VPN能够通过特殊的加密通讯和谈，在Internet一端的出差员工和另一端的公司总部之间成立一条专有的通讯通路，就好比架设了一条专线。与传统VPN解决规划相比力，SSL VPN使用守护单一，不用更改现有网络结构
；移动性强，毋庸装置客户端法式
；拥有强有力的接见节造能力，能够使移动用户轻松接见公司内部B/S和C/S利用和其他主题资源。
 

 

2 SSL VPN技术概述
 

 

    SSL（Secure Socket Layer、安全套接字和谈层）是目前Internet上利用最为宽泛的安全和谈。SSL和谈提供了数据私密性、端点验证、信息齐全性等个性。
 

 

    SSL和谈由很多子和谈组成，其中两个重要的子和谈是握手和谈和纪录和谈。握手和谈允许服务器和客户端在利用和谈传输第一数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，纪录和谈利用握手和谈天生的密钥加密和解密后来互换的数据。
 

 

    SSL独立于利用，因而任何一个利用法式都能够享受它的安全性而不用理睬执行细节。SSL置身于网络结构系统的传输层和利用层之间。此表，SSL自身就被险些所有的Web浏览器支持，这意味着客户端不必要为了支持SSL衔接装置额表的软件。这两个特点就是SSL能利用于VPN的关键点。
 

 

    SSL VPN 的发展对现有SSL利用是一个补充，它增长了公司执行接见节造和安全的级别和能力，SSL VPN 还对那些由于使用远程接见利用系统而降低公司安全性的企业有所援手。大量理论能够证明SSL的独个性以及VPN所能提供的安全远程接见节造能力。到目前为止，SSL VPN是解决远程用户接见敏感公司数据单一安全的解决技术。与复杂的IPSec VPN相比，SSL VPN通过单一易用的步骤实现信息远程连通。任何装置浏览器的机械都能够使用SSL VPN， 这是由于SSL 内嵌在浏览器中，它不必要象传统IPSec VPN一样必须为每一台客户机装置客户端软件。这一点对于占有大量机械（蕴含家用机，工作机和客户机等等）必要与公司机密信息相衔接的用户至关沉要。
 

 

    SSL VPN 的价值蕴含很多方面，最重要的是提高接见节造能力，安全易用以及高额的投资回报率。SSL VPN 对接见节造越发有效，由于执行了用户集中化治理
；所有的远程接见都是通过SSL VPN 节造台进行控管，这样能够越发有效的监控用户使用权限，这些用户可能是公司内部员工，合作同伴或客户
；所有接见被限度在利用层，并且能够将权限细分到一个URL 或一个文件。
 

 

    iSlot官方网站网络公司作为一个专业化的网络产品研造、出产销售和服务提供商，对VPN的技术内涵和国内表企业的需要特点有着深刻的理解，并拥有丰硕的VPN产品经验。RG-WALL V安全网关就是我公司在总结国内表各类VPN产品的特点和国内用户现实需要的基础上，经过多年的技术沉淀，研造开发的系列产品，能满足各类分歧类型企业的构网要求，保障企业通讯的安全快捷。
 

 

    RG-WALL V安全网关选取自主设计的安全操作系统，拥有高可用性、高易用性、高扩大性和高安全性。经过单一配置分支机构、移动用户以及合作同伴能够通过任何尺度的浏览器实现远程安全接入企业总部。目前iSlot官方网站支持SSL VPN的产品型号是RG-WALL V1000。
RG-WALL V安全网关是使用者利用浏览器内建的Secure Socket Layer封包处置职能，用浏览器连回公司内部SSL VPN服务器，而后透过网络封包转向的方式，让使用者能够在远程推算机执行利用法式，读取公司内部服务器数据。它选取尺度的安全套接层（SSL）对传输中的数据包进行加密，从而在利用层
；ち耸莸陌踩。RG-WALL V安全网关通过SSL和谈，利用PKI的证书系统，在传输过程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法保障数据的机密性、齐全性、不成否定性而实现奥秘传输，实此刻Internet上安全的进行信息互换。
 

 

3 RG-WALL V网关SSL VPN职能介绍
 

 

    RG-WALL V安全网关内部集成尺度CA服务，用户能够使用默认的CA服务，也支持第三方尺度CA服务器。RG-WALL V安全网关除了支持通例的本地用户库、RADIUS、LDAP/AD和USB RG-KEY等认证方式登陆，还支持在上述认证方式登陆过程中使用手机短信校验进行混合认证，确保在口令泄漏或usb key失落的情况下，也能保障总部资源的安全性。
 

 

    由于选取了IP Tunnel技术，RG-WALL V安全网关实现了对利用法式的齐全支持。从职能上有网络接见、网上利用法式、Windows文件共享、移动电子邮件、利用法式接见、传统主机、终端服务器等多多职能以及基于TCP、UDP以及ICMP和谈层以上的所有利用法式的支持。对于网络守护人员而言，由于SSL 的易用性，无需部署和守护客户端软件，很大水平上降低了治理和守护VPN网络的工作量。对于占有多多的移带头工、远程用户以及合作同伴的企业用户来说，iSlot官方网站 SSL VPN提供了性价比极高的远程接入解决规划，降低了企业的总体占有成本。
 

 

    RG-WALL V安全网关还集成了对客户端推算机安全性查抄的职能，可能有效预防由于SSL易用性带来的不安全成分，预防不具备相应安全等级的终端用户通过SSL VPN登录到企业总部带来的安全隐患，保障远程接入的安全性。
 

 

RG-WALL V安全网关职能列表：
 

职能项目		支持情况
认证方式	本地用户数据库	支持
	LDAP/AD	支持
	RADIUS	支持
	USB KEY认证	支持
	支持校验码	支持
	短信校验	支持
操作系统	支持的操作系统类型	Windows2000/XP/2003
地址栏输入	地址方式	支持
	域名方式	支持
	不指定端口	支持
客户端登陆	客户端接入网络方式	WLAN卡、PCMCIA卡、GPRS卡、CDMA卡、10/100网卡、千兆网卡、WLAN、幼区宽带、PPP拨号、ADSL拨号
	客户端登陆界面自主设置	支持
	客户端使用界面	中文
加密算法	AES	支持
	DES	支持
	3DES	支持
	DESX-CBC	支持
	BF-CBC	支持
	RC2	支持
	IDEA-CBC	支持
	CAST5-CBC	支持
	RC5-CBC	支持
	MD2	支持
	MD5	支持
	RSA	支持
	SHA	支持
	SHA1	支持
	DSA-SHA	支持
	RIPEMD160	支持
	MD4	支持
数据压缩	数据压缩	支持
浏览器	IE6	支持
	IE7	支持
	Netscape Navigator	支持
Web利用支持	支持 Html/Dhtml、 Jsp、 Asp、Java applet、 Activx、 Cookies等各类Web技术	支持
C/S利用支持	支持FTP、Email的Web接见	支持
	支持基于IP层以上的各类TCP/IP和谈的利用。蕴含：http、Email、Ftp、网上邻居、Notes、Outlook、Oracle、 SQL等各类动态和静态的C/S利用	支持
	支持单主机和 ；ぷ油慕蛹	支持
	支持内部DNS	支持
	支持WINS	支持
接见细粒度节造	支持按用户分配接入权限和接见权限	支持
	支持用户组治理和角色治理	支持
	用户组接见资源功夫可节造	支持
	用户组接见资源的用户地址可节造	支持
	支持用户黑名单	支持
客户端安全性	支持客户端安全扫描	支持
	支持客户端缓存清空	支持
	支持客户端Cookie断根	支持
	断根珍藏夹内容	支持
	断根RAS自动拨号纪录	支持
	清系统一时文件夹 ；	支持
	断根浏览网址汗青纪录	支持
	断根表单汗青纪录	支持
	断根网络衔接汗青纪录	支持
	断根文档的汗青纪录	支持
	断根运行的自动匹配汗青纪录	支持
	客户端硬件特点码绑定	支持
实时监控	可实时监控用户接入情况	支持
	支持在线中断用户	支持
	实时监控系统的运行	支持
证书方式	支持本地CA根	支持
	支持第三方CA根	支持
	支持证书的导入	支持
	支持SCEP和谈远程注册证书	支持
	支持SCEP和谈远程更新证书	支持
	支持LDAP和谈获取对方证书	支持
	支持CRL	支持
	支持CRL的自动更新	支持
治理方式	配置方式	GUI治理器
	配置界面	中文

 

4 RG-WALL V网关SSL VPN技术特点

 

4.1 成熟全面的SSL VPN技术
 

 

4.1.1 无需装置客户端，使用单一
 

 

    RG-WALL V安全网关选取尺度的SSL和谈尺度，因而用户在客户端只必要使用尺度的Web浏览器衔接Internet网，通过网页即能够接见SSL VPN内网的
；ぷ试。相对于使用IPSEC VPN的用户来说，使用SSL VPN之后，治理员省去装置和守护大量客户端的麻烦，网络的治理成本和运营成本也随之降低。
 

 

    无论用户选取固定地址或动态拨号、有线或无线的方式接入网络，都能够正常使用RG-WALL V安全网关。用户打开浏览器之后，能够通过地址、域名的方式来登陆SSL VPN，而不需再输入任何端口。

 

4.1.2 使用IP Tunnel技术支持所有利用和网络接见

 

    RG-WALL V安全网关除了能够选取传统WEB AGENT技术对WEB利用进行安全传输表，还能够选取IP Tunnel技术可能支持各类C/S利用，支持所有的基于IP层以上的静态或动态端口利用，齐全支持：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE等各类利用。RG-WALL V安全网关还支持终端用户对内网单台机械或
；ぷ油慕蛹。
 

 

    终端用户在使用RG-WALL V安全网关的时辰，不必要装置客户端，只必要通过尺度浏览器打开SSL VPN的登陆界面之后，装置一个ActiveX控件，在客户端的机械上会自动天生一块专门用于SSL VPN通讯的虚构网卡，从而保障RG-WALL V安全网关的用户可能使用所有基于IP网络层的利用。
 

 

4.1.3 详尽的细粒度接见节造
 

 

    SSL VPN相对于IPSEC VPN而言的一个优势就是客户的细粒度接见节造，RG-WALL V安全网关对用户的接见节造细粒度已经极度精确。凭据组织架构，用户能够分组治理
；凭据在组织结构中的分歧角色，用户能够分角色治理，为每个用户或用户组指定一个或多个角色
；凭据角色的分歧安全级别，用户能够分功夫和空间治理，为分歧角色或用户划分允许接见的功夫段和允许接见的物理地址。
 

 

    RG-WALL V安全网关还能够通过内部集成的防火墙，对VPN数据进行接见节造
；同时可能对每个用户的接见行为进行日志纪录，便于治理员审查。
 

 

4.1.4 高效的压缩算法，硬卡加密提高接见速度

 

    通常的SSL数据传送是不压缩的，这样会导致客户在接见
；ぷ试吹氖背剿俣鹊拖。RG-WALL V安全网关选取高效的LZO高效流压缩算法，对所有VPN数据先压缩再传输，大大提高了终端用户在使用Web资源、C/S利用以及网络接见的效能，可能显著削减下载功夫和提高接见速度。出格是终端客户使用无线方式（CDMA、GPRS等）上网的时辰，成效会越发显著。
 

 

    RG-WALL V安全网关还支持高速硬件加密卡，对所有VPN数据都能够通过硬卡进行加密和解密，分流了CPU的处置数据，从而提高了用户接见资源的处置速度。
 

 

4.1.5 自主定造用户登陆界面
 

 

    RG-WALL V安全网关能够定造登陆界面，治理员凭据自己的需要造订用户的登陆界面
；同时用户还能够凭据幼我爱好或工作必要，定造浏览器的页面风格。系统支持5种分歧的风格。
 

 

4.2 易用安全的SSL VPN

 

4.2.1 安全的加密认证
 

 

    RG-WALL V安全网关选取尺度的SSL和谈加密成立安全的专用通路，使用尺度浏览器内置的RC4 (128 位)加密算法进行加密，并通过RSA(1024 位互换)非对称密钥进行署名，保障了数据在传输过程的安全性。
 

 

    RG-WALL V安全网关支持的除了支持用户名/密码的方式之表，还支持证书方式认证，用户通过保留证书的RG-KEY来进行身份认证。RG-KEY是一种USB身份认证设备，为预防RG-KEY迷失后被盗用，还为RG-KEY参与PIN码
；，同时为了预防对PIN码的强造性攻击，在芯片组中设置屡次密码试错自锁职能。
 

 

4.2.2 短信校验多沉保障
 

 

    面对当前日益严沉威胁网络安全的间谍软件、木马以及垂钓软件等，终端用户的机械面对被黑客攻击后节造了用户的机械，或者一些间谍软件、垂钓软件泄漏了用户名密码等接见口令，或者KEY的失落和PIN码的泄漏。但是选取RG-WALL V安全网关的动态短信校验之后，即便出现如上情况，也能预防威胁企业内部的资源。
 

 

    RG-WALL V安全网关的短信校验技术是随着无线技术的突飞猛进而出现，充分利用了其矫捷靠得住的特点，是一种改革性的认证解决规划。此认证系统分为手机短信终端和短信认证服务两部门，短信认证服务器能够集成于RG-WALL V安全网关，终端用户在已有移动电话和PDA的基础上，通过手机短信方式获取用户认证必须的校验码。这样RG-WALL V安全网关的终端用户就能够通过用户名/密码和RG-KEY的方式登陆SSL VPN，在登陆的过程中通过移动电话或PDA短信收取一次性校验码，经过如上双沉成分认证之后就能接见相应的内网资源了。
 

 

    多种认证方式、美满的认证系统，使得企业在选择的时辰，能够凭据相应的安全级别，对客户端的认证方式进行组合，充分保障了接入用户的合法性和企业内网资源的高度安全。
 

 

4.2.3 支持尺度的PKI系统

 

    随着商务电子化以及银行业务网络化的建设措施，PKI（即Public Key Infrastructure的简称），一个利用现代密码学中的公钥密码技术在盛开的Internet网络环境中提供数据加密以及数字署名服务的统一的技术框架越来越受到人们的器沉。PKI技术用来治理在盛开网络环境中使用的公开密钥和数字证书，而尺度PKI的职能蕴含好多方面，重要有签发数字证书、作废证书、签发与颁布证书作废表以及最近增长的一些职能，如时戳、基于战术的证书校验等。
 

 

    RG-WALL V安全网关可能支持尺度的PKI系统，和很多使用CA中心的利用有效集成，简化认证过程：即统一套PKI寂酌于SSL VPN的接入认证，又用于接入后登录利用系统的认证。
 

 

4.2.4 自带CA中心

 

    RG-WALL V安全网关本地默认集成一个CA中心，能够削减中幼企业构建CA安全认证系统的成本。通过iSlot官方网站CMS（默认与SSL VPN一样CA根），治理员能够给每个远程终端用户宣告证书，并存储于RG-KEY中，用来鉴别每个接入用户的身份。
 

 

4.2.5 支持第三方CA

 

    RG-WALL V安全网关遵循X.509证书系统，在线支持第三方CA服务。iSlot官方网站网关能够通过SCEP和谈远程注册证书、自动更新证书、CRL的下载和自动更新
；还支持通过LDAP和谈下载获取本地证书和CRL。
 

 

4.2.6 支持表部有效认证
 

 

    RG-WALL V安全网关的除了支持终端用户使用本地用户数据库的用户登陆接见内网资源表，还支持表部第三方认证服务器。通过与第三方的LDAP认证服务器或RADIUS认证服务器的有效集成，一个组织结构就能够只保留一套认证系统，简化了部署过程，削减了运营成本。
 

 

4.2.7 支持客户端硬件特点码绑定
 

 

    每个终端用户使用的PC机都独有自己的某些硬件特点信息，在登陆RG-WALL V安全网关的过程中，将自己的硬件特点信息上报。RG-WALL V安全网关凭据治理员的选择，能够自动将上报的硬件特点信息天生特点码，并与登陆的用户进行绑定。绑定之后的用户将只限于在绑定的机械上使用，进一步提高了接入用户的合法性和企业内网资源的安全性。
 

 

4.2.8 支持在规按功夫、划定地址和划定主机上的“三规”接见

 

    RG-WALL V安全网关能够凭据用户登录的功夫、登录的IP地址和登录主机的硬件特点信息进行限度，从而真正实此刻划定的功夫、划定的地址和划定的主机上远程接见的节造。
 

 

4.2.9 客户端安全扫描

 

    为了保障终端用户接入VPN之前的安全性，RG-WALL V安全网关在用户登陆的时辰，系统会对客户端的主机健康状态进行查抄，内容涉及到主机的操作系统、是否装置防火墙软件、是否装置防病毒软件、是否打了最新的补丁等信息。若是主机健康状态欠安，治理员能够限度主机联入内部网。
 

 

4.2.10 断根接见用户接见纪录

 

    终端用户接见内部资源之后，RG-WALL V安全网关能够对遗留的汗青信息进行断根。系统提供了多种断根垃圾的工具，蕴含Cache断根、Cookie断根、地址栏断根、网络衔接汗青纪录断根、表单汗青纪录断根以及汗青文档断根等操作，解除接见痕迹，预防安全隐患。
 

 

4.3 高效不变的部署能力

 

4.3.1 双机热备技术保障系统的不变性
 

 

    双机热备技术，就是指为相识决网络节点单点故障引起的整个网络瘫痪问题而提供的两台节点设备实时热备职能，即除主网关以表，还有一台网关处于热备状态，有机地组成了一个拥有实时热切换的高靠得住性系统。双机热备在集群节点间维持间歇的通讯信号，称为心跳信号，是谬误检测的一个机造。即通过每一个通讯蹊径，在两个对等系统之间进行周期性的握手，若是陆续没有收到的心跳信号到了肯定的数量，双机软件就把这条蹊径标示为失效。心跳的作用就是让主机相识对方是否存在，服务是否健全，一旦双机种的任何一方心跳隐没，则另一台主机立即接替持续提供服务。RG-WALL V安全网关部署为双机热备模式之后，可能保障当主网关产生意表Down机、网络链路产生故障、硬件故障等情况的时辰，从网关自动切换为工作状态，包办主网关正常工作，从而保障了网络的正常使用。切换过程不必要报答操作和其他系统的参加，切换功夫少于5S。
 

 

4.3.2 多链路技术保障链路的不变性
 

 

    随着Internet利用的不休发展，只有一个链路衔接公共网络将导致单点失败和网络极其脆弱，目前日益增多的企业为了保障公司各个部门之间、供给商和客户之间靠得住的Internet接见，都逐步选取多宿主网络来预防Internet链路中断所造成的损失（“多宿主网络”指同时使用分歧ISP提供的多条Internet链路）。
 

 

    RG-WALL V安全网关多链路技术将多条线路、分歧方式接入方式的上网线路实现带宽叠加和互为备份，保障了整个系统的持续靠得住运行。若任何一条线路出现故障，RG-WALL V安全网关能够将数据无缝切换到其他正常线路，不会影响SSL VPN用户的接入和接见。RG-WALL V安全网关多链路技术还能通过线路优选解决分歧运营商之间的线路对接问题。总部SSL VPN配置分歧服务商的多链路之后，各区域的终端用户能够自动选择匹配的线路与总部进行VPN通讯。
 

 

4.3.3 多种接入方式保障系统高效部署

 

    在网络利用高度发展的今天，大量网络设备被用来部署网络环境，用户往往要求新参与的设备可能美满的融入而不影响原网络的使用。RG-WALL V安全网关支持各类复杂的网络利用，可能依照用户的需要矫捷高效的部署。
 

 

    RG-WALL V安全网关支持的接入方式有通明模式、路由模式
；既能够作为出口设备部署，也支持单臂路由方式，在不扭转网络拓扑的情况下，直接部署在内网
；既支持固定地址组网，也支持全动态地址组网。
 

 

4.4 安全活络的系统

 

4.4.1 实时监控系统状态
 

 

    通过iSlot官方网站安全网关治理中心，治理员能够远程实时地监控用户接入情况，查抄每个在线用户的状态，随时中断可疑的通讯。治理员还能够方便快捷实时观察SSL VPN地系统运行情况，或通过日志来分析出现的故障，并予以远程解决。
 

 

4.4.2 美满的日志服务
 

 

    RG-WALL V安全网关提供事务、谬误、忠告、治理、接见五个级此外运行日志，可能凭据系统要求纪录敏感通讯事务和治理事务，同时也能提供网络使用情况的统计数据。治理员凭据日志纪录能够审计SSL VPN的使用情况、治理员所进行的操作和网关所阻断的探测、攻击等犯法接见，并为安全战术的进一步美满提供参考。同时RG-WALL V安全网关还支持日志的导出，利用日志分析工具对导出的日志依照分歧的需要分析。
 

 

    RG-WALL V安全网关支持独立的日志中心，能够实时的将日志传送到日志服务器，为治理员统计、分析VPN资源的具体使用情况提供具体的数据支持。
 

 

4.4.3 双系统备份
 

 

    在系统升级过程中，由于网络故障或软件故障，一旦升级失败，就会粉碎系统环境，导致系统无法正常使用，只能返厂维建。为了预防这种情况，RG-WALL V安全网关选取自主研发的双备份系统进行疏导。若是升级失败，系统会自动复原进入最近 一次正常的系统或备份系统，从而不会影响到用户的使用。
 

 

4.4.4 在线升级
 

 

    RG-WALL V安全网关支持在线升级，治理员能够通过串口、telnet或治理器升级以提高网关的机能和职能。通过在线升级职能，治理员能够占有不休更新换代的SSL VPN产品。一致型号设备的所有升级都是免费的。
 

 

4.4.5 集成壮大的防火墙
 

 

    RG-WALL V安全网关能够对用户的内部资源提供入侵检测和防御
；。可能抵抗多种DoS、DDoS攻击、TCP/UDP/ICMP的Flood攻击、Land Attack、Ping to Death、Tear Drop等常见攻击，尤其是可能抵抗各类系统缝隙扫描，从而可能有效预防更进一步的黑客攻击。通过设置抗扫描攻击、洪泛攻击和各类犯法报文攻击的参数，用户能够对内部服务器提供沉点
；。
 

 

    RG-WALL V安全网关中的防火墙？檠∪「呋艿幕谌刺觳獾姆阑鹎揭，对来自Internet上的和远程VPN接入端的要求和应答全数进行规定查抄，从而很大水平上预防了入侵者通过数据驱动方式对内部网的攻击。通过对衔接表进行优化，RG-WALL V安全网关可能最大支持100万条并发衔接，从而满足高端用户的通讯需要。
 

 

5 RG-WALL V网关SSL VPN运行步骤
 

    治理员配置完SSL VPN的资源之后，远程终端用户首先通过SSL和谈来接见总部SSL VPN。用户在浏览器的地址栏输入HTTPs体式的接见解址，在HTTP层将用户需要翻译成HTTP要求并送至SSL层
；SSL层借助基层和谈的信路协商出一份加密密钥，并用此密钥来加密HTTP要求
；加密后的HTTP要求通过TCP层的443端口与SSL VPN成立衔接，传递SSL处置后的数据。
 

 

    iSlot官方网站SSL VPN收到加密的数据包之后，在SSL层通过协商出的加密密钥来解密，再将翻译出的数据送至利用层。尔后，远程终端用户将打开SSL VPN的资源治理Web页面，并在HTTP层下载Active控件来协商与中心SSL VPN的隧路，终端用户通过与总部SSL VPN已经成立的加密衔接来协商隧路的加密算法、验证算法以及进行端口转换的端标语和通讯和谈。隧路协商成功之后，客户端将会启动一个虚构网卡并显示为已衔接的状态，尔后可信赖资源的接见都将通过SSL VPN加密传输。
 

 

远程终端用户通过SSL VPN接见利用数据的时辰，传输过程如下：
 

 

    1 利用法式把利用数据提交至本地的SSL
 

    2 远程终端用户凭据必要指定的压缩算法，压缩利用数据
；
 

    3 远程终端用户把利用数据用加密算法加密，再依照指定的和谈和端标语通过公网网络传输到总部SSL VPN网关
；
 

    4 SSL VPN网关用一样的加密算法对密文进行解密，得到明文
；
 

    5 SSL VPN网关用一样的散列算法对明文中的利用数据散列，推算的得到的散列值和明文的散列值比力。若是一致，则明文有效
；不然抛弃该报文。
 

    6 SSL VPN网关将明文利用数据转发到
；ぷ油淖试粗骰，资源主机对该利用数据包处置之后再向远程终端用户回包
；
 

    7 经过SSL VPN网关的加密后（同远程终端一样步骤），再传输至远程终端用户
；
 

    8 远程终端用户的SSL层接管加密包后再使用解密算法解密，并将该利用数据包发送至用户的利用层。
 

    至此，一个数据包经过SSL VPN传输的过程结束。
 

数据包流程示意图如下:

 

流程图注解：
 

    1 本地利用数据的加密
；
 

    2 加密数据传送至SSL VPN网关
；
 

    3 SSL VPN网关将解密的数据传送至利用服务器
；
 

    4 利用服务器的处置
；
 

    5 处置后的数据传送至SSL VPN网关
；
 

    6 SSL VPN网关加密数据包后传送至苑芷鹈户
；
 

    7 本地接管到数据后解密以及利用
 

6 RG-WALL V网关SSL VPN典型部署

 

6.1 路由模式部署图
 

 

【需要分析】
 

 

RG-WALL V安全网关能够作为公司总部的出口设备，对公司总部的内网进行安全
；
；远程终端用户也能够通过VPN安全接见内部的服务器资源。

 

 

【达到的成效】
 

 

    ♦ 移动用户能够任何方式接入Internet网，通过SSL VPN，移动用户能够安全接见内网的资源。
 

 

    ♦ 选取多种认证方式确认用户的身份，确保通讯的实体是可信任的，RG-WALL V安全网关支持本地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方式。用户能够凭据企业内网的现实情况进行选择。
 

 

    ♦ 移动用户能够同时接见Internet数据和企业内部网络数据
； 彼此之间不会有任何滋扰。
 

 

    ♦ 支持客户端通过域名的方式登陆网关，方便用户影象，即便VPN地址产生变动也不影响终端用户的登陆。
 

 

    ♦ RG-WALL V安全网关集成防火墙？，能对内部资源提供入侵检测和防御
；。
 

 

6.2 通明模式部署图
 

 

【需要分析】
 

 

若是公司总部网络已经规划结束，RG-WALL V安全网关支持通明方式接入网络，在原有网络不做任何扭转的情况下，终端用户通过VPN安全接见内网资源。

 

 

【达到的成效】
 

 

    ♦ 移动用户能够任何方式接入Internet网，通过SSL VPN，移动用户能够安全接见内网的资源。
 

 

    ♦ 选取多种认证方式确认用户的身份，确保通讯的实体是可信任的，RG-WALL V安全网关支持本地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方式。用户能够凭据企业内网的现实情况进行选择。
 

 

    ♦ 移动用户能够同时接见Internet数据和企业内部网络数据
； 彼此之间不会有任何滋扰。
 

 

    ♦ 治理员能够在不改观原有网络的情况下，实现SSL VPN的部署。
 

 

    ♦ RG-WALL V安全网关集成防火墙？楹捅ㄎ墓，能对内部资源提供通讯检测和防御
；。
 

6.3 单臂路由模式
 

 

【需要分析】
 

 

若是公司总部网络已经规划结束，RG-WALL V安全网关支持单臂路由方式接入网络，在原有网络不做任何扭转的情况下，终端用户通过VPN安全接见内网资源。

 

 

【达到的成效】
 

 

    ♦ 移动用户能够任何方式接入Internet网，通过SSL VPN，移动用户能够安全接见内网的资源。
 

 

    ♦ 选取多种认证方式确认用户的身份，确保通讯的实体是可信任的，RG-WALL V安全网关支持本地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方式。用户能够凭据企业内网的现实情况进行选择。
 

 

    ♦ 移动用户能够同时接见Internet数据和企业内部网络数据
； 彼此之间不会有任何滋扰。
 

 

    ♦ 治理员能够在不改观原有网络的情况下，将RG-WALL V安全网关看作内网的一台主机，直接搁置在网络中使用，降低了用户治理和使用的复杂度。
 

 

6.4 混合部署、集中治理模式
 

 

【需要分析】
 

 

    公司总部和分支机构均部署RG-WALL V安全网关，幼我用户能够通过VPN别离接见
总部和分支的资源。分歧地域的VPN能够通过VMS服务器集中治理，实时治理和查问登陆分歧SSL VPN的用户信息。

 

 

 

【达到的成效】
 

 

    ♦ 移动用户能够任何方式接入Internet网，通过SSL VPN，移动用户能够安全接见内网的资源。
 

 

    ♦  选取多种认证方式确认用户的身份，确保通讯的实体是可信任的，RG-WALL V安全网关支持本地数据库、RADIUS认证、LDAP/AD认证、证书认证和短信校验等方式。用户能够凭据企业内网的现实情况进行选择。
 

 

    ♦  移动用户能够同时接见Internet数据和企业内部网络数据
； 彼此之间不会有任何滋扰。
 

 

    ♦  分歧地域的RG-WALL V安全网关能够通过iSlot官方网站VMS服务器集中治理，便于治理员统一规划，节俭运营成本。
 

 

    ♦  RG-WALL V安全网关实时将登陆自己的终端用户信息上报至VMS服务器，治理员可能实时治理和查问登陆用户的信息。
把稳：该部署模式必要采办RG-VMS产品（VPN集中治理系统）。