实用标准文案
KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。
由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
3.3.2更快速的SSL VPN 3.3.2.1多线路智能选路
对于移动办公人员,SSL VPN的访问速度直接影响到办公的效率。造成速度访问低下往往有以下几种情况:跨运营商访问、高丢包高延时的恶劣网络质量,要全面的提高速度,就需要解决以上几个速度瓶颈问题。
为了避免线路的单点故障,组织的网络出口通常采用多运营商线路来保证线路级别的稳定。国内有线网络的格局为“北联通、南电信”,使用SSL VPN接入到总部的用户往往办公地点不固定,使用的线路有网通有电信的。但使用电信的用户并不一定由总部的电信线路接入,一旦为跨运营商接入,将面临高丢包率的现象,导致的数据频繁重传将造成传输速度的低下。
为了解决跨运营商访问的问题,SANGFOR SSL VPN提出了一种基于Web的自动选路方法对用户接入进行最优化选路,从线路级别保证接入速度的最快。当用户在进行SSL VPN接入时,将自动对总部的各条线路进行实时速度探测,并选择最快的线路进行接入。
精彩文档
实用标准文案
有别于传统SSL VPN解决多线路接入时采用的IP地址库判定方法,SANGFOR SSL VPN的多线路智能选路技术更为智能和人性化。传统的IP地址库通过判定用户端所采用的IP属于网通还是电信的IP地址段,并固定的限定电信的必须从总部的电信线路接入,联通的必须从联通的接入。但使用多线路的情况往往会遇到多条线路上带宽、占用率不均的现象。若是电信的线路跑得较满,若电信用户从电信接入的速度反而比从网通接入的速度更慢,这样固化的选路方式反而降低了用户的访问速度。
SANGFOR SSL VPN多线路智能选路支持设备与多线路直连、通过前置设备(如防火墙等)直连两种方式下的多线路技术。可为线路设置高、中、低三种优先级设置,当用户登录SSL VPN页面发起连接请求时,SSL VPN设备将会根据线路的优先级及时延进行综合优选,从而实现速度与链路权值负载均衡的效果。
SANGFOR SSL VPN支持多线路下的上网数据选路策略,可配置线路优先选择SSL VPN设置优先级较低的线路,从而实现上网流量与VPN流量在分流、智能快速接入、多线路的主备下的部署。
精彩文档
实用标准文案
3.3.2.2 HTP快速传输协议
无论是边远地区网络线路质量低下,还是移动无线访问,其速度的低下都可反映为网络的高丢包、高延时现象。时延越大直接拖慢了整个传输速度,而丢包现象的严重将进一步的拖滞传输速度。到丢包达到一定程度,甚至双方根本无法建立连接,更不用说进行数据的传输了。
网络的高丢包高延时对TCP协议的传输影响尤为重。如图中所示,传统TCP协议的拥塞控制机制为“慢上升、快下降”。网络环境好的时候,传输的滑动窗口大小缓慢的增长,但窗口最大仅为64K。但在传输的过程中,一旦出现丢包现象,窗口大小将立即减小到原有窗口的一般。同时丢包后将重新传输窗口内所丢数据包后的所有数据。可见,传统TCP传输速度增长慢、拥塞控制机制应变差、重传机制效率低下,面对高丢包、高延时的网络速度非常的不理想。
精彩文档
实用标准文案
针对传统TCP“慢上升、快下降”的低效传输机制,SANGFOR SSL VPN提出了HTP快速传输协议技术。HTP协议(HighSpeed Transmission Protocol)是基于UDP的可靠传输协议,通过扩充传输窗口、改善拥塞控制算法、选择性快速重传等技术提高TCP传输效率。如下图所示,刚好与传统TCP“慢上升、快下降”相对,HTP快速传输协议对于数据传输为“快上升、慢下降”。当网络吞吐允许的情况下以最短的时间将传输速度提高到吞吐量所允许的最高;当遇到高丢包、高延时等现象,则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速度,保证传输质量。通过HTP快速传输协议,可显著提升在高丢包、高延时情况下的网络传输速度。
精彩文档