双机热备原理、双线路负载均衡方案(编辑修改稿)

双机热备原理、双线路负载均衡方案(编辑修改稿)内容摘要：

部署 VPN 网络时遇到的带宽小，延迟大的问题。 只要在 VPN 总部端申请多条运营商线路，采用 SINFOR SSL VPN 的多线路版本。 对于分布到不同运营商网络的远程接入用户，当发送一个连接请求到 SSL VPN 硬件网关时， SSL VPN会自动迁移到最快的线路上，完美解决跨运营商之间连接延迟大、带宽小的问题。 此技术对于在外地出差的移动办公用户能够很好的解决运营商不同的问题。 深信服科技 6 1. 实现多线路部署，要将 SSLVPN 设备部署为网关模式，将外网线路直接连接到设备 WAN 口。 2. 配置好不同线路的 WAN 口 IP，根据内网规划配置好内网 IP。 3. 配置相应的线路策略，内网用户可以根据不同的策略，最大限度的使用带宽。 4. 对不同类型用户 可 采用不同的身份动态绑定方式。 如在启动 ID 鉴权的情况下，需要把所有需接入 总部的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上；可选择是否为某类型移动用户启用 DKEY，若启用，需将对应 DKEY 插入总部模块所在计算机的 USB口上， DLAN 总部模块将会把此移动用户接入 VPN 所需的配置信息导入 DKEY，并将 DKEY 作为用户接入时的身份认证依据。 5. 针对 每个不同的移动用户，进行安全策略设置。 4. SINFOR SSL VPN 应用效果 便捷接入，应用发布 SSL VPN 的客户端程序，如 Microsoft Inter Explorer 等已经预装在了一般的 PC 中，因此不需要再次安装；使用者只需打开浏览器，输入相应地址，就可以访问到其所授权的服务。 对 中信国际 内部所有的应用系统，包括内部邮件，公文处理系统，电子商务系统 等 ，都可以对远程用户开放。 而对网络管理人员，可深信服科技 7 以远程访问其中的网络设备管理系统，对内网系统进行远程维护和操作。 而 SSL VPN 不会受到 安装在客户端与服务器之间的防火墙的影响，远程用户无论所处网络如何，都可以有效接入。 IT 管理人员也不再为大量的用户接入故障，客户端维护升级疲于奔命。 这些都使 中信国际 的信息化触角遍布到员工到达的每一个角落，实现业务信息的即时互联互通。 保护内部系统 在总部的网络出口处，防火墙只需开放 443 端口就能保证远程用户对内网所有服务的使用，极大的解决了网络系统安全性和可用性的矛盾。 而对远程接入用户而言，只有 SSLVPN 设备是对其可见的，而隐藏了服务区网络结构。 其对任何网络服务的访问都由 SSL VPN 做代理访问再将 数据传回。 避免了 IPSec VPN一旦建立隧道，就将服务区网络结构暴露出来的弊端。 SINFOR SSL VPN 还提供了一个隐藏服务。 用户在访问总部的 SSL 资源时，SSL VPN 可以将某些特殊的资源隐藏起来，用户在其资源列表中无法看到该项资源，但用户仍然可以使用。 这种支持隐藏服务的功能，更加保证了企业内网资源的安全性。 数据传输安全性 SINFOR SSL VPN 采用标准的 SSL 协议加密建立安全的专用通道，使用标准浏览器内置的 RC4 (128 位 )加密算法进行加密，并通过 RSA(1024 位交换 )非 对称密钥进行签名，保证了数据在传输过程不被监听和篡改。 多种认证防止非法接入 Sinfor SSL VPN 提供短信认证技术，此认证系 统分为手机短信终端和短信认证服务器两部份。 终端用户通过手机短信获得随机用户认证访问代码，就能够安全地访问网络资源。 对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等， SINFOR SSL VPN 基于短信认证多种认证方式，有效地抵御了这类对企业重要资源造成的威胁。 即使终端用户的机器被黑客攻击，控制了用户的机器，或者一些间谍软件、钓鱼软件泄漏了用户名密码等访问口令，由于采用了手机短信深信服科技 8 认证的动态身份认证系统，也无法威胁到企业的内部资源。 一些特殊的远程接入使用环境下可以使用硬件特征码绑定，比如无需指定接入用 户，但必须对接入主机进行控制的情况，可以通过获取客户端的硬件信息生成数字证书，对证书和用户进行绑定实现用户身份的唯一性控制。 多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度安全。 与第三方认证有效集成 SINFOR SSL VPN 可以从微软域服务器或 LDAP 服务器中直接导入用户数据，能和第 3 方的 LDAP 认证服务器或 RADIUS 认证服务器有效集成。 这样一个组织机构就可以保持一套认证体系，简 化了部署过程，避免多套认证体系带来的更多维护成本和更多安全风险。 双向的证书支持，完整的 PKI 体系 目前很多 SSL VPN 仅仅支持服务器端的数字证书，这样就无法使用 PKI 体系识别接入用户的真伪。 SINF。