1、SVN V2R1 技術培訓膠片Huawei Enterprise A Better WaySVN PDTContentSVN系列產品概況SVN功能特性介紹泛終端能力遠程接入功能安全特性SDK組件可靠性功能附錄：VPN協議簡介SVN系列概況SVN現有設備：SVN3000 V1R2，SVN5300 V1R1；SVN V2R1整合了SVN3000 SSL VPN功能和 SVN5300多媒體隧道功能，并強化了SSL功能，增加了FW、基本Anti-DDOS、IPSec、MPLS VPN、移動終端接入等功能，形成了系列化產品；SVN V2R1分為SVN2230、SVN2260、SVN5530、SVN556

2、0四個型號，SVN5300也歸一化到V2R1版本；后續，SVN2260會逐漸替代SVN3000，SVN5530逐漸替代SVN5300；SVN系列功能對比* : SSL 和 IPSec 并發用戶數的總和不超過SSL最大并發用戶數；Page 5SVN產品介紹SSL吞吐量：220MSSL最大并發用戶:1000IPSec最大并發用戶:1000最大接口: 2 GE Combo+4 GE電，1 Console,2USB接口卡：不支持設備高度：1U電源：單電源SVN2230SVN5530SVN2260SSL吞吐量：320MSSL最大并發用戶:2500IPSec最大并發用戶: 2500最大接口：2 GE Co

3、mbo +4 GE電，1 Console,2USB接口卡：不支持設備高度：1U電源：單電源SSL吞吐量：600MSSL最大并發用戶:1.2萬IPSec最大用戶數：1.2萬固定接口：4GE Combo+4GE電+1GE管理口+,1 Console+2USB接口卡：2*10GE+8GE電；最大接口：4GE Combo, 13GE電, 2*10G；設備高度：1U電源：雙電源SVN5560SSL吞吐量：1GSSL最大并發用戶：2萬IPSec最大用戶數：2萬固定接口：4GE Combo+4GE電+1GE管理口+ 1 Console+2USB接口卡：2*10GE+8GE電；最大接口：4GE Combo,

4、13GE電, 2*10G；設備高度：1U電源：雙電源SVN2200產品外觀SVN2200前面板注：1/2/3/4/6槽目前不支持接口卡，遇項目需求可開發支持。SVN2200后面板SVN5500產品外觀Page 7SVN5500前面板SVN5500后面板1.接地端子2.電源指示燈3.電源開關4.交流電源線扎線孔5.電源接口6.風扇框注：SVN5530/5560支持2個FIC接口卡擴展插槽。其中FIC1插槽標配加密卡。SVN部署方式SVN網關一般旁掛在網絡出入口防火墻之后，應用服務器之前，防火墻開啟SSL默認端口443 ；SVN網關上配置一個私網IP，與內網服務器路由可達；對外公布一個公網IP地址

5、供用戶訪問，該地址可以配置在網關上，或由防火墻做NAT；遠程用戶通過web瀏覽器或者客戶端軟件訪問，輸入網關IP地址，報文先到達防火墻，防火墻發現目的地址是SVN網關，則轉發給SVN處理，網關解密后再發送到目的服務器；當需要SVN同時作為防火墻使用時，可直路部署在網絡中；WEB服務器數據庫Email內部網絡ERP分支機構合作伙伴客戶Internet遠程維護OA視頻服務器網管系統AAA系統SVN網關應用服務器區DMZ區FWFWSWSWSW移動辦公出差在途公網用戶VPN加密隧道ContentSVN系列產品概況SVN功能特性介紹泛終端能力遠程接入功能安全特性SDK組件可靠性功能附錄： VPN協議簡介

6、Page 10泛終端接入移動終端接入方式：1）IPSec VPN客戶端軟件iOS、Android、Symbian、Blackberry系統自帶IPSec客戶端軟件；2）SSL VPN客戶端軟件適用系統： Android；3）基于web瀏覽器的無客戶端訪問不安裝任何控件和插件；4）綠色組件iOS、Android、Symbian、Blackberry系統終端可通過組件方式接入，SVN提供SDK組件與手機應用客戶端軟件集成；移動終端SVN網關SSL VPN加密隧道跨平臺終端支持：PC：Windows、MAC；移動終端：iPhone、iPad、 Android 、Symbian、Blackberry；

7、iPhone、Android、Symbian、Blackberry支持的手機終端類型ContentSVN系列產品概況SVN功能特性介紹泛終端能力遠程接入功能安全特性SDK組件可靠性功能附錄： VPN協議簡介Page 12移動終端虛擬桌面用戶使用流程1）在移動終端上安裝SVN Mobile Desktop客戶端軟件；2）開啟客戶端軟件，與SVN網關建立起SSL VPN隧道；3）用戶訪問內網工作平臺，通過SVN的代理，在本機獲取工作平臺的虛擬桌面，實現遠程桌面訪問；實現移動終端對內網工作平臺的訪問，不需要智能終端上安裝各種辦公軟件，降低智能終端和內網服務器之間的數據流量，減少對智能終端上運算能力的

8、需求；Internet移動終端SVN工作平臺代理網關虛擬桌面使用介紹用戶配置登錄網關信息 用戶在使用虛擬桌面之前，首先需要知道待連接網關的信息，包括IP、用戶名和密碼，只有先連接上網關，才能繼續后續操作。虛擬桌面使用介紹獲取訪問資源列表 資源列表可以通過SVN管理員配置下發來明確規定某一用戶特定的訪問資源；同時用戶也可以自行配置資源，但如果配置的資源被管理員的ACL策略禁止訪問的話，仍是無法訪問的。虛擬桌面使用介紹連接遠程資源 用戶最終的目的是要連接遠程的資源（目前也就是公司內網的PC），并進行日常辦公等操作。Page 16Web代理對內網Web資源的無客戶端訪問無客戶端的SSL VPN訪問，

9、只通過標準瀏覽器，無需安裝任何客戶端軟件或網頁插件；SVN作為代理，對客戶端來說，相當于服務器，所有客戶端的頁面請求都通過HTTPS形式發往SVN網關。對服務器來說，SVN相當于客戶端，服務器對用戶的響應都往SVN，由SVN進行處理轉發；SVN可以對頁面上所有的URL進行改寫并隱藏，使內網服務器地址對公網用戶不可見；權限控制細致到URL級，即可控制用戶對某一張具體頁面的訪問權限；web server代理 +頁面URL改寫web serverweb serverSVN網關Internet內網web網頁地址改寫后用戶看到的網頁地址https:/webproxy/12/333333/http/1KV

10、KVKWDXL2A2A/news/b/hello.htm, portal=1Web代理URL改寫舉例SVN公網訪問地址：管理員在SVN上配置的內網WEB網頁資源A：資源A的鏈接推送到客戶端后的地址：https:/6/webproxy/news用戶訪問web資源A是，目的地址轉變為SVN，所有訪問報文都通過SVN中轉。在用戶終端無需安裝任何客戶端程序；內網web網頁A地址SVN公網訪問地址：在SVN上配置的web網頁地址：用戶發起訪問的實際地址：ProxyPage 18網絡擴展實現對內網所有復雜應用的全網訪問通過建立安全SSL隧道，實現對基于IP的內網業務的全面訪問實現方式： 1）ActiveX

11、控件； 2）專用客戶端軟件：一次安裝，零配置；訪問方式（由管理員根據不同應用場景進行配置） 1）全通道（Full Tunnel） 只允許訪問企業內網； 2）分離通道（Split Tunnel ） 可同時訪問企業內網和本地子網； 3）手動（Manual Tunnel ） 可訪問內網特定網段的資源， 同時對其他正常操作不作影響， 可以訪問Internet和本地子網；Page 19網絡擴展實現過程1、在客戶端下載控件，安裝虛擬網卡，虛擬網卡獲得一個可被內網識別的IP地址；2、客戶端發起基于IP的內網應用，虛擬網關截獲報文進行封裝加密，發往SVN；3、SVN對報文解密后發往內網服務器；4、內網服務器的

12、響應報文發到SVN，由SVN進行封裝加密，發往客戶端。SERVER0虛擬網卡0CLIENT000000000源 IP目的 IP源 IP目的 IP原始報文客戶端封裝后SVN網關解封裝后00源 IP目的 IPPage 20IP地址分配DHCP分配方式為企業已有的DHCP服務器提供接口，通過DHCP來為登錄SVN的遠端用戶分配內網IP地址IP地址池企業劃出一段連續、未使用的IP地址，用作分配給SVN用戶的虛擬地址；IP地址可以隨機分配，也可以將用戶賬號與某一IP地址綁定，則每次該用戶啟用網絡擴展功能時，對用的都是同一內網IP地址。如果綁定的地址包含在地址池內，則該地址就被鎖定了，不會分配給另一個用戶

13、；Page 21Full Tunnel 全通道方式Internet總部內網資源全通道方式,所有流量都流向網關SSL VPN隧道LANSVNPage 22Split Tunnel 分離通道方式Internet總部內網資源LAN分離通道方式：除了可以訪問內網，還能夠訪問客戶端所在的本地子網。SSL VPN隧道SVNPage 23Manual Tunnel自定義方式Internet總部內網資源LAN自定義方式：能夠訪問內網特定網段的資源，同時，客戶端訪問本地子網和Internet的操作不受影響。SSL VPN隧道SVNPage 24端口轉發提供豐富的內網TCP應用服務廣泛支持靜態端口的TCP應用單端

14、口單服務器（如：Telnet，SSH，MS RDP，VNC等）單端口多服務器（如： Lotus Notes）多端口多服務器（如： Outlook ）支持動態端口的TCP應用 提供端口級的訪問控制 動態端口（如： FTP被動模式，Oracle）Page 25端口轉發實現原理用戶點擊客戶端頁面“啟動端口轉發功能”按鈕，自動安裝運行一個Windows ActiveX控件，獲取到管理端配置的端口轉發資源列表（目的服務器IP、端口）；控件將客戶端發起的TCP報文與資源列表進行比對，當發現報文的目的IP/Port 與資源列表中的表項匹配，則截獲報文，開啟偵聽端口（目的端口經過特定算法得出）。將目的地址改寫

15、為回環地址，轉發到偵聽端口。對該報文加密封裝，添加私有報文頭，將目的地址設為SVN的IP地址，經由偵聽端口發往SVN。SVN收到報文進行解密，發往真實的目的服務器端口。SVN收到服務器的響應后，再加密封裝回傳給用戶終端的偵聽端口。Page 26端口轉發實現原理SVNTCP 110TCP 25TCP 21TCP 23應用請求應用代理CLIENTSERVERSSLInternet提供對內網TCP應用的安全接入！Port 443提供對內網文件系統的安全訪問 采用協議轉換技術，無需安裝專用客戶端，直接通過通用瀏覽器安全接入內部文件系統； 將客戶發起的文件共享請求，轉換成相應的協議格式，與服務器進行交互

16、； 支持： - SMB協議（Windows） - NFS協議（LINUX）Page 27文件共享新 建文件夾瀏覽文件下載文件改 名文件(夾)刪 除文件(夾)上傳文件支持Windows(SMB)/UNIX(NFS)文件Page 28文件共享實現過程以訪問內網Windows文件服務器為例：1、客戶端向內網文件服務器發起HTTPS格式的請求，發送到SVN；2、SVN將HTTPS格式的請求報文轉換為SMB格式的報文；3、4、文件服務器接受請求報文，將請求結果發送給SVN，用的是SMB報文；5、SVN將SMB應答報文轉換為HTTPS格式；6、將請求結果（HTTPS格式）發送到客戶端；文件服務器客戶端16

17、SMB/NFSHTTPS43HTTPSSMB/NFS52SVNPage 29業務隔離虛擬網關SVN通過虛擬網關提供SSL VPN服務；每個虛擬網關都是獨立可管理的，可以配置各自的資源、用戶、認證方式、訪問控制規則以及管理員等；獨立型 每個虛擬網關對應一個獨立的IP地址或者域名；共享型 多個虛擬網關共享一個IP地址或者域名，通過子域名加以區分，例如：虛擬網關A、B，都為共享型，并且共享同一個域名，則通過子域名來區分兩個虛擬網關，分別為 ， ；當企業有多個部門時，可以為每個部門或者用戶群體分配不同的虛擬網關，從而形成完全隔離的訪問體系。Page 30虛擬網關用戶頁面定制用戶頁面LOGO、歡迎辭和標

18、題定制用戶登錄首頁定制用戶登錄后頁面定制原頁面定制后頁面ContentSVN系列產品概況SVN功能特性介紹泛終端能力遠程接入功能安全特性SDK組件可靠性功能附錄： VPN協議簡介Page 32安全桌面用戶登錄VPN后，在客戶終端上生成安全桌面，與真實桌面數據隔離；所有安全桌面下的操作，重定向到虛擬目錄；可操作在安全桌面內通過VPN訪問企業內網數據；在安全桌面內下載、編輯、保存文檔等；選擇操作從安全桌面拷貝到真實桌面；本地網絡共享，注冊表編輯；本地打印， USB口，COM口；目的：通過安全桌面的數據隔離功能 ，防止數據不受控制地傳輸和拷貝，提高企業內部數據的安全性；安全桌面真實桌面打 印COM口

19、USB口所有操作重定向虛擬目錄切換加密用戶下線時刪除/保存本機啟動拷貝安全桌面文件夾重定向 Windows系統安全桌面客戶端啟動時，創建虛擬目錄，該目錄屬性為隱藏。Page 33在安全桌面下創建的所有文件，都會被加密存儲在重定向目錄下。這些加密文件在安全桌面下打開時，會被自動解密。在真實桌面下加密文件無法打開。安全桌面配置頁面Page 34Page 35單點登錄SVN代理的眾多應用系統，本身都有自己的賬號密碼認證信息；通過單點登錄功能，用戶經過SVN的嚴格身份認證后，再登錄內網應用系統，無需再進行賬號密碼驗證；支持B/S的單點登錄，支持通過POST、Headers、BASIC、NTLM方式實現

20、單點登錄；InternetSVN應用服務器應用服務器應用服務器SVN賬號密碼應用服務器A賬號密碼應用服務器B賬號密碼用戶賬號登錄SVN，提交SVN賬號密碼訪問應用服務器SVN代為登錄服務器允許訪問單點登錄配置單點登錄開啟Page 36單點登錄從賬號策略優先級：用戶從賬號、組從賬號；資源從賬號；用戶登錄SVN賬號；單點登錄配置Page 37Page 38終端安全檢查安全檢查策略防火墻安裝及運行狀態；殺毒軟件安裝及運行狀態；操作系統版本以及補丁版本；注冊表項；特定進程；特定文件；特定端口；動態授權根據檢查結果允許或者禁止用戶使用該終端訪問；在用戶身份認證之前進行； 對用戶使用的硬件終端的安全性、可

21、信性進行檢測，避免用戶所處網絡、所用終端對企業內網安全造成的威脅；內網服務器 推送終端檢查控件到客戶端 根據該用戶檢查項 對終端檢測 將檢測結果上報SVN，由SVN 允許/限制該用戶訪問VPN網絡遠程用戶Page 39終端硬件綁定 將用戶賬號與硬件終端綁定，使用戶只能通過指定的PC訪問內網，即使用戶賬號信息被不法人員獲得，由于無法獲取指定的硬件終端，仍然無法訪問，進一步保證了接入用戶的合法性；Page 40下線后安全緩存清除由于用戶可能在不可信網絡中用不可信設備訪問內網，在訪問的過程中會在終端上留下訪問痕跡，比如：生成的臨時文件、Cookie等。惡意攻擊者能夠通過這些痕跡獲取內網信息，甚至對內

22、網發起攻擊。SVN在用戶訪問VPN下線時，會采用必要的手段來清除不可信終端上的訪問痕跡，以防止泄密，杜絕安全隱患。與終端安全檢查使用相同的客戶端程序。清除瀏覽器緩存瀏覽器的Cookie瀏覽器自動保存的密碼最近訪問的文檔列表瀏覽的歷史記錄清空回收站清除指定目錄或文件禁用IE瀏覽器地址欄自動完成禁用IE用戶名、密碼、表單自動保存清 除 選 項Page 41用戶認證VPNDBx.509數字證書動態密碼令牌短信認證第三方系統RADIUS, LDAP, Windows ADVPN網關本地數據庫賬號、密碼認證CA認證系統證書認證or證書+賬號密碼認證密碼+PIN碼+動態密碼認證豐富的認證方式，支持多級認證

23、、混合認證。One-time passwordUSB Key短信貓、短信平臺聯動硬件Key+CA數字證書，即插即用Page 42本地用戶賬號密碼認證SVN本地有一個用戶數據庫，可以保存用戶的賬號、密碼信息；用戶登錄時，需要輸入用戶名、密碼，SVN在做VPN網關的同時，充當認證服務器，無需部署第三方認證服務器；在本地認證方式下，用戶可修改密碼，管理員對用戶密碼強度進行限制。1243用戶提交賬號、密碼；SVN本地數據庫驗證用戶信息；SVN返回認證結果，允許或拒絕登錄；如認證通過，則用戶成功登錄VPN，客戶端與網關之間通過加密隧道通信；3142用戶網關Page 43第三方服務器認證 RADIUS/L

24、DAP/ADRADIUS（Remote Authentication Dial in User Service ）遠端用戶撥入鑒權服務 ；LDAP（Lightweight Directory Access Protocol ）輕量級目錄訪問協議；AD（Active Directory ）活動目錄；以上三種認證方式都需要部署第三方認證系統，用戶的賬號、密碼信息配置在外部認證服務器上；用戶登錄時，輸入賬號、密碼，通過SSL加密隧道發到SVN網關上，由SVN解密后轉發給認證服務器；認證服務器將驗證結果返回給SVN，SVN根據認證結果允許或拒絕用戶登錄VPN。312用戶網關45Radius/LDAP/

25、AD 認證服務器12435用戶提交賬號、密碼信息；SVN轉發用戶賬戶信息；認證服務器返回驗證結果；SVN返回允許/拒絕登錄結果；如驗證通過，用戶成功登陸VPN網絡；Page 44CA認證第三方CA系統 or 內置CA可通過CA證書認證方式來驗證用戶身份；與第三方廠商CA系統聯動SVN需要與第三方專業CA認證服務器配合使用；CA認證系統用于生成CA根證書，根證書下生成用戶證書；CA根證書導入SVN設備內，用戶證書下發給用戶；用戶登錄時，SVN經過兩個步驟確定用戶證書的有效性， 首先檢查頒發該證書的CA是否是被信任的（在使用證書認證前需要在SVN上配置可被信任的證書頒發者），然后判斷該證書是否過期

26、失效或者被其頒發者撤銷，通過驗證的用戶才允許登錄；SVN內置CASVN本身作為數字證書中心，無需第三方的介入，通過頒發各類證書，實現證書的管理和認證過程；Page 45CA認證12435CA中心頒發證書給SSL VPN網關CA中心頒發證書給用戶終端用戶認證SSL VPN網關合法性SSL VPN網關認證終端用戶合法性雙方認證都認證通過后加密通道建立CA中心1證書2證書435Page 46用戶證書下發用戶證書下發給用戶，有兩種形式1）用戶直接將電子證書導入瀏覽器，保存于本地PC內；2）將電子證書導入USB Key硬件存儲介質，類似于U盤。存儲于USB Key中的證書可讀，但不可復制、導出。使用時需

27、要將USB Key插在電腦上，此時可以使用證書進行身份認證。一旦將USB Key拔下，證書便不可用了。采用證書認證的方式，即使賬號泄露，由于無法獲取用戶證書，非法用戶仍然無法登錄，保障內網信息安全；Page 47動態密碼令牌認證采用動態密碼認證時，需要客戶采購第三方動態密碼服務器與SVN對接實現用戶身份認證；用戶手持動態密碼硬件令牌，令牌上的LED顯示屏顯示動態變化的偽隨機碼，通過晶振與后臺密碼服務器同步，一分鐘一變；當用戶登錄時，需要輸入用戶賬號、個人身份碼（PIN碼）以及令牌上當前顯示的偽隨機碼；也可通過軟Token獲取動態密碼，軟Token是顯示在PC上的圖像，圖像上有動態變化的偽隨機碼

28、，原理與硬Token一致；SVN網關提供接口與動態密碼服務器對接，當用戶登錄時，SVN將用戶提交的動態密碼轉發給密碼服務器，由服務器對用戶信息進行驗證，并將驗證結果反饋給SVN。驗證通過的用戶才允許登錄SVN，否則無法登錄；動態密碼認證結合了PIN碼和動態密碼，屬于雙因素認證；Page 48認證過程動態密碼認證服務器3142512435服務器與Token卡之間同步動態密碼用戶提交動態密碼到SSL VPN網關SSL VPN網關轉發認證信息，認證服務器反饋認證結果網關返回認證結果雙方認證都認證通過后加密通道建立硬件TokenSVNPage 49短信認證輔助認證方式，在賬號、密碼認證成功后，SVN給

29、用戶發送短信密碼，用戶輸入短信密碼進行認證，完成認證過程；用戶賬號與手機號碼綁定；密碼復雜度、密碼有效期、可獲取密碼次數可配置；短信貓：移動終端設備，類似于手機，需要安裝SIM卡才能正常發送短信，和SVN部署在一起；短信網關：向當地運營商租用，運營商向客戶提供短信網關IP地址、端口、SP接入號碼等信息，配置在SVN上；賬號認證方式可以為VPNDB、RADIUS、LDAP、AD、數字證書認證；短信認證流程SVN 、 Page 50Internet企業內網短信貓以本地認證結合短信貓發送為例： 用戶在登錄SVN時，提交賬號、密碼給SVN進行身份認證； SVN對用戶賬號、密碼進行驗證，驗證通過后，找出

30、與該賬號對應的手機號碼； SVN生成短信密碼，并按照短信模板編寫發給該用戶的短信內容； SVN將短信內容（包含了密碼）發送給與之相連的短信貓，觸發短信貓發送短信； 短信貓將短信發送到用戶的手機上； 用戶將收到的短信密碼輸入到SVN的輔助認證界面上，進行提交； SVN對短信密碼進行認證后，返回認證結果，通過的允許登錄，否則，拒絕登錄；用戶手機Page 51數據傳輸安全客戶端到SVN網關之間的鏈路經過公網，兩者之間的認證信息、業務信息加密傳輸；支持多種加密算法3DESDES, RC4, AES, RSA, MD5, SHA-1；有效抵御各種網絡風險，避免敏感數據遭到非法竊聽或篡改；設備證書根證書提

31、交設備證書，用根證書驗證有效性驗證通過，開始協商加密算法和密鑰建立SSL連接，客戶端與網關設備之間認證Web ServerSSH ServerOA ServerDatabaseLDAP ServerSSL加密隧道明文傳輸SVNSVNPage 52權限控制安全所見即所得特定用戶只可訪問授權的特定資源；細粒度訪問控制網絡層(IP)傳輸層(Port)應用層(URL)，層層把關；用戶管理按角色區分群組，適應最靈活的組織結構劃分；杜絕越權訪問，保障信息安全Page 53用戶密碼安全用戶密碼可修改；首次登陸強制修改；密碼復雜度要求；密碼修改周期；密碼到期前提醒；Page 54安全性日志審計Page 54e

32、Log日志管理系統SVN安全接入網關管理員VPN用戶系統日志VPN日志【虛擬網關用戶日志】 用戶登錄成功、失敗記錄，登陸后下線記錄，用戶修改密碼，業務日志；【虛擬網關管理員日志】 管理員上線、下線記錄，管理員登錄失敗記錄，虛擬網關配置保存，用戶管理，安全管理等；通過旁路部署探測設備，實時抓包，解析用戶各種操作行為，生成日志，發送eLog系統；eLog系統進行解析、審計、告警、存儲、查詢；Page 55防火墻功能特性ACL和安全策略基本ACL和高級ACL基于時間段的ACL基于MAC地址的ACL動態維護ACL規則黑名單、IP和MAC地址綁定應用層過濾，狀態檢測端口映射機制NAT地址轉換（NAT和P

33、AT）內部服務器端口級NAT服務器多種NAT ALG攻擊防范防范多種DOS和DDOS攻擊：SYN Flood、ICOM Flood、Get Flood、WinNuke、ICMP重定向和不可達報文、Land、Smurf、Fraggle、IP Spoofing等；防范掃描窺探：包括地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、時間戳、刺探路由；畸形報文攻擊：畸形IP分配報文、畸形TCP報文、超大ICMP報文、TearDrop、Ping of Death；虛擬防火墻ContentSVN系列產品概況SVN功能特性介紹泛終端能力遠程接入功能安全特性SDK組件可靠性功能附錄： VPN協議簡介Pa

34、ge 57SDK組件SVN提供一個SDK組件，類似于軟件開發包，可以和具體業務客戶端軟件集成；用戶雙擊業務軟件，業務軟件程序調用SVN組件，與SVN網關之間自動建立起SSL VPN隧道，業務軟件隨即啟用；不需要操作系統管理員權限、不需要在系統中安裝虛擬網卡、不修改操作系統的注冊表；所有業務數據都在SSL VPN隧道中傳輸；SSL VPN功能對用戶透明；SDK組件支持以下軟終端的集成：Windows系列操作系統（Windows XP、Windows Vista、Windows 7、Windows Server 2003、Windows Server 2008）、Linux的PC軟終端；iPhon

35、e 、iPad、Android 、Symbian 、BlackBerry 系列操作系統的手機軟終端；Page 58SDK組件框架業務層安全通信層硬件層操作系統層隧道建立接口兼容標準SOCKET的業務通信接口協議封裝安全加密網絡通信會話管理隧道關閉接口兼容各類操作系統的系統適配接口Page 59SDK組件功能 提供端到端安全加密，防竊聽、封殺和干擾，終端安全可擴展。提供了最佳的防火墻、NAT、Proxy代理、SOCKS V5代理穿越能力。根據業務需求，可封裝指定的SIP/RTP/RTCP等報文進入隧道。自動檢測網絡穿越能力，智能選擇TLS或UDP加密隧道。Page 60SDK組件特點不涉及驅動安

36、裝和路由修改，操作系統以及用戶都無感知。顛覆了傳統SSL VPN應用，隧道啟動速度大大加快（11s-小于2s)與操作系統/殺毒軟件/其它底層檢測軟件兼容性好。業務可靈活控制，由上層業務決定數據是否進入加密和封裝。與業務終端的集成復雜度增加，需要終端開發方進行研發級集成。Page 61SDK應用場景單一業務應用與業務軟件客戶端集成，實現加密，VPN啟用關閉對用戶透明；如：財稅統一繳納平臺；VoIP、VoPS、VoLTE多媒體隧道與多媒體業務客戶端軟件集成，通過SSL VPN加密隧道，解決多媒體業務中存在的NAT穿越、Proxy穿越、端口匯聚等問題；如：eSpace配套，手機端到端加密，RCS配套

37、；Page 62多媒體業務面臨的網絡問題4運營商網絡3防非法監聽、數據篡改信令/媒體公網明文傳輸，可能出現非法監聽和賬號/口令盜用；截獲并插入非法數據流以進行中間人攻擊防業務封殺業務數據經過其他運營商網絡，競爭對手惡意競爭，基于DPI和特征識別技術可以檢測到并封殺VoIP業務； 端口開放問題終端對外通信需要用到HTTP/ SIP/ RTP/ DNS等應用層協議VoIP 終端和服務器側的通信存在端口動態協商的問題企業不開放1000065535 UDP端口，RTP媒體流無法穿越網絡穿越問題HTTP代理方式數據無法穿越動態NAT接入時用戶側鏈路可能缺乏保活造成NAT資源超時釋放，導致用戶狀態異常。1

38、32企業側NAT/Proxy運營商側124Page 63多媒體隧道模式單隧道模式SSL/TLS隧道加密傳輸業務數據，各業務端口全部聚合到一個SSL端口，適用于私網穿越要求高、網絡帶寬高場景。私網穿越能力和網絡適應性最強；防火墻開放端口最少；傳輸穩定，支持丟包重傳，良好環境下能提高逼真度；網絡質量要求較高，帶寬占用較高；SSL/TLS + UDPS雙隧道模式SSL/TLS隧道模式雙隧道模式基于華為自有知識產權的VoIP端口聚合和加密專利技術，SSL/TLS隧道傳輸基于TCP的認證和控制信令，UDPS隧道傳輸基于UDP的音視頻數據，可根據網絡環境智能切換模式，場景適應能力強。傳輸時延小，語音質量好

39、；允許一定的丟包率，更適合音視頻傳輸；帶寬增量少，更能適應窄帶寬應用環境；UDPS隧道只能穿越SOCKS代理，無法穿越HTTP代理；ContentSVN系列產品概況SVN功能特性介紹泛終端能力遠程接入功能安全特性SDK組件可靠性功能附錄：VPN協議簡介雙機熱備支持主-主、主-備方式；主備組網：備份的兩臺設備之間，實現配置備份、SSL會話備份，當一臺設備故障后，上面的業務平滑切換到另一臺設備上，當前會話不會斷開，設備故障對用戶無感知；InternetVGMP組1HRPVRRP組1VRRP組2VGMP組1心跳線SWSWMasterSlaveSVNSVNIntranetClient對外提供一個公網I

40、P地址供用戶訪問Page 66集群 本地負載均衡SVN設備本身做負載均衡器 1）SVN既做負載均衡器，又提供SSL VPN功能允許兩臺設備1+1負載均衡，其中一臺同時做負載均衡；2）SVN只做負載均衡，不提供VPN業務根據做負載均衡器的SVN的性能，最大可支持32臺SVN網關集群；前置專業負載均衡設備集群的多臺SVN網關前，配置第三方廠商的負載均衡設備，根據源IP地址HASH算法，將SSL VPN流量均衡地分配到后面的SVN設備上；整個集群對外發布一個公網IP或者域名，供用戶訪問；可支持的集群設備臺數取決于前置負載均衡器的性能；全局負載均衡SVN集群對外公布一個域名，每臺設備發布一個公網IP地

41、址；用戶通過域名發起訪問，由DNS服務器定位到某一臺SVN網關上；Page 67可靠性Page 67嵌入式多核硬件平臺，非X86體系工控機或PC構架；電源等關鍵器件冗余；智能適應各種機房工作環境；可靠性軟 件硬 件組 網采用自研安全操作系統；軟件系統經過現網充分驗證，具有可靠、安全的運行保證； 客戶端具備自動重連機制；雙機熱備組網；配置信息實時備份；業務級信息備份，切換對用戶使用無感知；ContentSVN系列產品概況SVN功能特性介紹附錄：VPN協議簡介Page 69VPN簡介VPN虛擬專用網指的是依靠ISP（Internet Service Provider因特網服務提供商）和其它NSP（

42、Network Service Provider網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的固定物理鏈路，而是利用某種公眾網的物理鏈路資源動態組成的。它不是真的專用網絡，但卻能夠實現專用網絡的功能。以OSI 模型參照標準，不同的VPN 技術可以在不同的OSI 協議層實現 數據鏈路層 PPTP，L2TP 網絡層 IPSEC 應用層 SSL 按照VPN的網絡連接類型主要分為Site-to-Site 和 End-to-Site兩種類型。 Site-to-Site主要指的是網絡和網絡之間的VPN連接。而 End-to-S

43、ite指的是移動終端到企業私有網絡之間的VPN連接，SSL VPN 就是 End-to-Site類型的VPN。多種VPN各有特色，互相補充。滿足不同的需求，適用于不同的場景。Page 70IPSec簡介意義IPSec（IP Security）能在不安全的網絡環境（如Internet）中為敏感數據的傳輸提供安全保護。IPSec互聯方式：網關與網關之間；主機與網關之間；IPSec在協議棧中的位置：網絡層對所有基于IP的應用程序提供透明的安全服務，無需對各個應用程序進行修改。IPSec提供的服務：安全服務保密性：對數據進行加密，以密文形式對數據進行傳輸；完整性：保證數據在傳輸過程中不被篡改；真實性：驗證數據源，以保證