深信服SSL VPN——坚守WLAN安全防线

　　近日，一种号称能够破解他人的无线网络信号实现免费上网的新型无线网卡在各大IT卖场销售火爆。其实，这种名为“蹭网卡”、“卡王”、“卡皇”的“新型设备”只是将早已泛滥的BT3无线网络破解软件与大功率无线网卡结合而得的产品，目前能对WEP加密的无线网络进行破解，而对WPA、WPA2加密的网络尚且无能为力。

　　现有无线网络采用的加密标准有WEP、WPA、WPA2三种方式，其中的WEP早已被宣布为不安全的加密方式，密码及密钥的容易窃取在网上几乎到了路人皆知的地步。而看似加密程度较高的WPA和WPA2也不再安全，大量流传于网上的各种软件、教程尤其高级黑客更为强劲的破解技术都给无线网络的安全蒙上了一层阴影。

　　无线网络——便利之下的危机重重

　　不可否认，无线网络技术的发展给生活、工作带来了许多便利，许多大型机构都在其办公区域设置了WLAN用于发布内网应用及实现互联网的无线访问。但这种便利的访问方式却正在受到越来越多的威胁：

　　u WLAN密码安全问题

　　现在WEP、WPA无线接入密码的安全性都难以得到很好的保证，一旦WLAN密码遭到窃取，入侵者就从任意一无线网络覆盖点接入并享有对整个网络的访问权限，进行深度攻击。

　　u 应用权限安全问题

　　绝大多数内网都没有采用很好的权限控制，用户接入WLAN后面对的直接是一个完全开放内网。对于采用单一帐号密码进行认证的应用系统，完全不能防范因盗用帐号密码或暴力破解所造成的越权访问，更有甚者直接对整个应用服务器实施破坏，导致不可挽回的重大损失。

　　u 数据传输安全问题

　　数据劫获并还原成明文是入侵者窃取内网数据经常采用的另外一种方式，采用WEP、WPA 简单的RC4算法加密的无线传输数据极易遭到劫取并还原成明文。这样一来，即使入侵者并没有对WLAN接入密码及内网服务器进行攻破，同样能通过监听加破解的手段窃取最核心的机密。

　　u 整网安全问题

　　通过WLAN上网的主机自身的防火墙、杀毒软件等安全防护往往水平不一，甚至根本没有采取任何安全防护措施，在上网时极易感染上各种木马、病毒。当这些主机通过WLAN访问内部局域网时，就直接将各种木马、病毒一同带入到内部网络中，造成极大的安全漏洞。

　　面对以上种种安全隐患，无线网络技术似乎被逼到了无可退路的境地。一方面是WLAN带来的无限便利性，另一方面是WLAN安全隐患带来的无限威胁。有没有一种强加密的WLAN访问控制方案能在解决以上所有安全问题的基础上，实现便利的网络接入与管控?

　　应对之策——SSL VPN隔离、身份认证、权限分配

　　深信服SSL VPN综合WLAN访问的各个特点，提出防止WLAN非法接入的解决方案，全面解决各种WLAN安全问题。

　　² 多种密码安全保障

　　深信服SSL VPN采用多因素组合认证技术让接入“不再简单”，除了支持帐号密码认证之外，还支持Radius、LDAP、CA等第三方认证，动态令牌、短信、USBKey、硬件特征码等软硬件结合认证方式，并支持多因素的捆绑认证。结合全面的防暴力破解功能，将让入侵者对SSL VPN的密码关口无能为力，WLAN接入的安全性将得到前所未有的保障。

　　² 细致权限划分绑定

　　深信服SSL VPN基于角色实现用户、用户组、内网应用、安全策略的绑定，并结合专利主从帐号绑定进行SSL VPN帐号与应用帐号强绑定，实现指定用户只能使用指定帐号访问指定资源的细致权限划分，防止因越权访问造成的数据泄漏威胁。

　　² 高强度传输安全

　　深信服SSL VPN支持AES、3DES、DES等国际主流的加密算法，并采用多种哈希算法防止数据遭恶意篡改的威胁。入侵者即使破解出传输密钥对数据进行还原，得到的也将是经SSL强加密的密文。而SSL的加密安全性是公认有保障的，众多网银、加密邮箱等都是采用SSL实现安全传输。

　　² 整网安全全面保障

　　深信服提供完整的安全鉴别、准入和授权相结合的客户端安全检查技术实现接入终端的高可控性。管理员可依据组织自身的安全需求，设定相应的如杀毒软件、防火墙等安全检查策略进行安全检测，当终端安全未满足所设定的安全检查策略，拒绝SSL VPN接入;当终端满足较低安全级别，为分配一定的应用访问权限;当终端满足高级安全级别，为其分配应享用的完整应用访问权限。灵活组合，根据终端自身的安全级别实现接入的灵活控制。

　　² 更多安全防护技术

　　深信服SSL VPN还支持多种安全技术提供更为周到的访问控制。支持VPN专线功能让终端接入内网后自动断开与互联网的其他一切连接，防止黑客以终端主机作为跳板进攻内网;支持公有帐号/私有帐号可提供给组织来访者，完整开放互联网服务并有限开放或关闭内网应用实现来访者权限方便的高可控，并可为该帐号单独设置过期时间，实现人性化自动化访问管理。

　　深信服SSL VPN防止WLAN非法接入解决方案得到了众多客户的一致认可，尤其在一些对安全性要求较高的银行、保险等金融机构得到广泛应用。其中厦门国际银行正是采用了深信服SSL VPN进行WLAN的接入访问强控制。结合AD域实现用户安全认证、内网应用权限指定，并采用短信二次校验等技术保证接入用户身份的安全。厦门国际银行通过深信服SSL VPN的多重安全保障，打造WLAN信息网络平台的高效“金网”。