智能选路是如何实现的?
智能选路采用WebAgent来实现。VPN设备会把多个链路IP上报到WebAgent,客户端设置WebAgent为服务器端,发起VPN连接时,WebAgent会将VPN网关多个链路IP发给客户端,客户端从这些IP下载相同的图片文件,从中选择一个时间最短的IP作为最优的链路地址。
L2TP是二层的,会比SSL VPN更安全吗?
L2TP之所以被称为二层,是因为隧道内的载荷报文是二层的,但是承载报文是UDP的,在这点上是和SSL相似的。但是L2TP本身不具备加密机制,所以L2TP不会比SSL VPN更安全。
既然用了VPDN,用户就会觉得通信链路很安全,为什么还需要VPN加密?
VPDN的线路和手机上网是一样的,数据从手机到基站是用无线编码的,具备一定的保密性,从基站到运营商内部核心网路由器,再从核心网路由器通过专线到客户那里,基本都是IP明文传输。VPDN相比普通用户上网安全性高一些,因为运营商核心网路由器到客户侧是专线,专线数据很难被黑客监听,而手机上网是从运营商核心网路由器直连Internet的。但是,从严格的安全保护角度,VPDN并不能保证从手机到客户都是全程加密的,因此要求在VPND专线的基础上进行SSL加密。
SSL产品支持的算法有哪些?
SSL相关算法:SM2、SM3、RSA、MD5、RSA-1024、RSA-2048、SHA-1、SHA-256、DES、3DES、AES、SANGFOR_DES、SM1、SM4、DH、RC4。
算法用途:身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。
IPSEC相关算法:MD5、SHA-1、SM3、DES、3DES、SANGFOR_DES、SM4。
算法用途:身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。
SSL VPN是否支持HTTP2.0?
目前HTTP2.0对SSL来说只影响Web资源,TCP和L3VPN资源只要服务端支持即可,目前HTTP2.0还没有大规模应用,在大规模应用之前Web资源也会支持。
使用SSL VPN能够避免哪些攻击?哪些是HTTPS解决不了的?
SSL VPN:
- 能降低用户身份仿冒攻击,在业务系统本身的认证之外增加了认证环境,且VPN的认证具备密码策略管理,可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。
- 增加了端点安全策略,能降低黑客通过合法客户端作为跳板进行攻击。
- 传输上支持更为安全的国家商用密码算法(硬件加密卡)。
- 对外只开放VPN服务端口,不开放业务服务器端口,避免了对服务器的入侵攻击,黑客如果要入侵系统,只能够先攻击VPN,控制VPN的前提下,才有可能对业务系统攻击。
HTTPS+认证:
- 只是业务系统本身传输的加密和认证,对攻击者来说,直接攻击的还是服务器本身(可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等)。
- 不具备端点安全能力,如果合法用户的电脑已经被控制,很容易在使用业务系统的时候被进行跳板攻击。
- 服务器端口直接暴露在互联网,黑客可以对服务器进行各种攻击探测。
VPN设备本身的安全性:
- 设备每一个版本在生产销售过程中都经过各种检测,并有国家权威机构的检测证明。
- 设备本身作为一个安全产品,产品业务逻辑相比业务系统本身更安全,安全成熟度高。
- SSL VPN在大量金融、公检法单位使用,这些单位安全要求很高,VPN每年都会多次经历安全检查。
IPSec VPN支持的协商协议?
支持IKEv1协商协议。
SSL VPN的访问控制策略是否采用MD5/SHA1等密码技术实现完整性保护?
VPN的访问控制策略未采用MD5/SHA1等密码技术实现完整性保护,使用的SSL协议,协议本身就有完整性保护。