组网相关

Sangfor IPSEC VPN可以与哪些第三方IPSEC VPN对接?

理论上只要第三方设备是标准的IPSEC VPN协议，可以成功对接，必须实际测试过是否可以对接才可以承诺客户，项目中已经积累了一些和第三方设备对接的文档，请与技术服务部同事沟通确认

IPSEC VPN隧道数是指什么？

可以理解为一台IPSEC网关或一个IPSEC移动用户占用一个隧道

多分支机构部署SSL VPN，天翼云有集中管理平台吗？是那种类型的？SSL VPN支持的版本有什么要求？

多分支机构组网场景，支持BBC统一集中管理平台，要求SSL VPN版本在M7.6.3/M7.6.3R1上定制支持，在M7.6.8R3特定版本中正式支持（暂未发布）。对于BBC的版本要求最新版本。

可支持功能如下：

BBC接入、策略下发、邮件易部署、AutoVPN、SDWAN智能选路、认证中心对接

系统中“深信服 IPSEC VPN 接入授权”是否只要用到IPSec组网就需要配套选择？在什么情况下使用？

我司VPN产品为SSL/IPSec二合一，标配支持IPSec组网功能，一般总部-分支场景组网中不需要下单“IPSEC VPN 接入授权”，只有用到PDLAN方式（电脑安装ipsec客户端接入VPN设备，仅支持Windows终端）进行IPSec接入时才需要下单“IPSEC VPN 接入授权”（按照并发接入数量计算）。

传输加密相关

智能选路是如何实现的？

智能选路采用WebAgent来实现。VPN设备会把多个链路IP上报到WebAgent，客户端设置WebAgent为服务器端，发起vpn连接的时候，WebAgent会将VPN网关多个链路IP发给客户端，客户端从这些IP下载相同的图片文件，从中选择一个时间最短的IP作为最优的链路地址。

L2tp是二层的，会比SSL VPN更安全吗？

L2tp之所以被称为2层，是因为隧道内的载荷报文是二层的，但是承载报文是UDP的，在这点上是和SSL相似的。但是L2tp本身不具备加密机制，所以L2tp不会比SSL VPN更安全

既然用了VPDN，用户就会觉得通信链路会很安全，为什么还需要VPN加密？

VPDN的线路和手机上网是一样的，数据从手机到基站是用无线编码的，具备一定的保密性，从基站到运营商内部核心网路由器，再从核心网路由器通过专线到客户那里，基本都是IP明文传输。VPDN相比普通用户上网安全性高一些，因为运营商核心网路由器到客户侧是专线，专线数据很难被黑客监听，而手机上网是从运营商核心网路由器直连Internet的。但是，从严格的安全保护角度，VPDN并不能保证从手机到客户都是全程加密的，因此要求在VPND专线的基础上进行SSL加密。

SSL产品支持的算法有哪些？

SSL相关算法：SM2、SM3、RSA、MD5、RSA-1024、RSA-2048、SHA-1、SHA-256、DES、3DES、AES、SANGFOR_DES、SM1、SM4、DH、RC4

算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理

IPSEC相关算法：MD5、SHA-1、SM3、DES、3DES、SANGFOR_DES、SM4

算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理

SSL VPN是否支持HTTP2.0？

目前http2.0对SSL来说只影响web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前WEB资源也会支持。

使用VPN能够避免哪些攻击？在此基础之上，哪些是https解决不了的？需要说明上VPN的必要性。

SSL VPN：

1、能降低用户身份仿冒估计，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等；

2、增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击；

3、传输上支持更为安全的国家商用密码算法（硬件加密卡）；

4、对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击；

HTTPS+认证：

1、只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）；

2、不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击；

3、服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测；

VPN设备本身的安全性：

1、设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明；

2、设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高；

3、深信服SSL

VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

IPSec VPN支持的协商协议？

支持IKEv1协商协议。

SSL VPN的访问控制策略是否采用MD5/SHA1等密码技术实现完整性保护？

VPN的访问控制策略未采用MD5/SHA1等密码技术实现完整性保护，使用的SSL协议，协议本身就有完整性保护

远程应用发布相关

远程应用发布功能已经退市，相关的远程应用发布模块及接入授权已经在各系统下架，退市策略如下：

退市策略： SSL VPN/EMM/SJJ远程应用发布需求，全部迁移至桌面云承接，桌面云产品已经支持远程应用发布功能，并会持续优化功能与体验，方案详情可咨询桌面云接口人：陶一帆81180。

1、 正在应标的项目 ：正式退市日前正在应标的项目，如项目中包含远程应用发布模块，备注说明项目情况，临时启用继续交付SSL

VPN/EMM/SJJ远程应用发布模块及授权；

2、 已经进入合同审批环节的项目 ：未完结合同订单但无法更换产品的项目，备注说明项目情况，临时启用继续交付SSL VPN/EMM/SJJ远程应用发布模块及授权；

3、 老客户加点需求 ：正式通知发布日起，SSL VPN/EMM/SJJ不再接受老客户加点需求（包含增加模块及授权），如有加点扩容需求全部迁移至桌面云进行后续客户需求的承接；

4、 老客户软件升级情况 ：在正式退市日前已经购买并且在使用的老客户，后续的新版本升级会自动迁移原有的模块及授权，但仅保持原有授权数量，不可进行授权新增；

5、 新客户需求 ： 正式通知发布日起 ，SSL VPN/EMM/SJJ不再接受任何新项目需求，全部迁移至桌面云进行新客户需求的承接；

6、服务交付时间期限：

深信服SSL VPN/EMM/SJJ产品的“远程应用发布模块及授权”停止销售日期及产品退市后的售后服务策略具体见以下表格：

自服务终止之日起，深信服将停止该模块的故障处理及补丁更新。客户可以继续使用深信服智能机器人、深信服社区或拨打深信服科技24小时服务热线400-630-6430对技术问题或产品相关内容进行咨询。

同时，深信服郑重声明，产品停止销售不会影响已存在的服务关系与服务质量，深信服将继续为客户提供优质的服务。

其他说明：

1、正在应标及已经进入合同审批环节的项目，在下单阶段，联系梅利芳74142（SCP、销管）、王薇97565（订单）说明项目情况，申请临时启用。

2、正在应标及已经进入合同审批环节的项目，在审批阶段，联系石喆13560说明项目情况，申请临时启用。

3、正式通知发布日起 ，SCP等涉及该模块直接下单的相关系统正式下架远程应用发布模块及授权，不再受理新项目下单需求（遇到客户提出的新需求，全部引导桌面云方案）；正式退市日（2020.6.30）起，伴随发布的SSL/EMM M7.6.9及以后的新软件版本中将正式下架远程应用发布功能。

vpn的远程应用发布退市后，是否可以在EMM上开模块？

不行，远程应用发布退市后，会从现有的EMM\VPN\SJJ上去掉该模块，如有新的需求，请在桌面云产品线选择远程应用发布。

审计功能相关

VPN是否支持启用策略冲突检测，检测到有冲突时能够在web界面给出告警？

SSL VPN不支持该功能，同时VPN几乎不存在出现策略冲突的情况

设备的用户日志能记录到什么程度？

用户名、接入类型、描述、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式、所属组。

关于SSL VPN产品的关键数据类型：说明核心或者关键数据的类型，并说明这些数据保存以何种形式保存及保存位置建议。同时说明日志/策略库等关键数据是否可以为第三方应用。

关键数据以数据库、配置文件、文本文件和内存数据库方式保存。

数据库：主要包括用户信息，用户组信息，资源配置，角色授权，策略组信息等。保存在设备硬盘。

配置文件：设备配置信息，如网络配置，控制台账号等。保存在设备硬盘。

文本文件：运行时产生的日志。保存在设备硬盘。

内存数据库：在线用户信息，保存在内存。

用户信息可以保存在第三方应用上，如保存在ldap和radius。

管理员日志、用户日志和系统日志可保存在外置syslog和外置数据中心。

权限控制相关

客户需要VPN接入之后，是否能够做到文档权限只能浏览不能下载？

VPN Web或者L3VPN接入无法控制应用的内容权限控制。如果客户是出于保密的需求，可以引导使用VDI的桌面云或应用虚拟化技术，所有资源都只能浏览，不能下载。

是否可以做到VPN拨号之后，不允许访问互联网？

VPN专线就可以实现，EC和aWork都支持，用户拨号进入VPN之后，不允许访问本地局域网，增强安全性。

VPN与CAS对接认证的场景下，用户角色授权如何实现？

CAS认证支持组映射和角色映射。（自M766R1版本开始支持）

能否限制某个资源只能够从指定IP接入访问？客户内网有OA和财务系统，OA类的系统在办公网，财务类的系统在生产网，平时访问财务系统都需要切换网线，比较麻烦，打算用VPN统一发布内网业务系统，但要求财务系统通过VPN也只能够在内网使用。

维护两套账号，普通账号只能访问OA，不限制接入网络；财务账号可以访问财务系统，但限制接入IP必须是内网。

其他相关

SSL最大支持多少个账号？路由和虚拟门户？

最大支持200条路由，最多 20个虚拟门户

企业微信的WebVPN方案跟miniconnect方案有什么不同？标准产品就支持么？

WebVPN的方案采用的是web代理方式，手机端无需安装VPN客户端，同时支持PC版，标准版本不支持，当前在7.6.8版本有定制包，占用SSL授权；

miniconnect 是采用L3VPN方案，仅支持手机端，需要安装miniconnect客户端，标准版本不支持，当前在7.6.1和7.6.8版本有定制包，占用EA授权，VPN设备需要有EMM模块。

SSL VPN全面支持ipv6的时间节点？

SSL在M7.6.6R1开始支持IPv6接入访问IPV4资源，不支持发布IPV6资源，且无迭代计划支持。

VPN设备是否可以显示从AD域同步过来的账号中的中文名称。

支持

微信公众号是否支持VPN登录？

采用WebVPN的方式可以实现在微信公众号内使用VPN访问内网，但目前不支持结合微信认证（微信公众号与企业号不同，默认不需要效验用户身份，如果要做，需要客户的公众号具备绑定用户的功能，VPN可以通过定制实现对接。）

AC开通IPSEC VPN直接与阿里云上的vssl云组件打通，是可以自动打通是吗，在云组件上需要按AC的数量授权吗？

不需要进行授权，在云上购买IPsec

VPN模块即可。

SSL VPN对IPV6支持情况说明

7.6.6r1版本开始已经支持如下：

支持IPv6的客户端接入；

支持IPv6的浏览器访问IPv4的web资源；

支持IPv6的windows端访问IPv4的l3vpn资源、TCP资源、远程应用资源

支持双协议栈；

支持IPv6下集群、主备；

内网发布IPv6 TCP资源（定制包支持，通用定制包，766R1及以上版本支持）

当前版本目前不支持IPv6的功能（截止7.6.8R2）：

1. 不支持IPv6多线路选路接入;

说明：若配置了IPv6多线路，并开启多线路选路。当客户端输入IPv6地址80端口时，服务端不下发选路，使用客户端请求的IPv6地址的443端口线路下发

2. 不支持IPv6的Webagent接入

如果开启了Webagent接入，客户端为IPv6环境时，无法接入。IPv4环境正常接入。此场景不支持，需注意，如果客户那里存在这个场景，需提前沟通，只能用IPv4接入。

说明：

Webagent主要解决客户在访问SSL VPN设备时，需要知道VPN设备的wan口ip地址。特别是对于采用拨号方式的SSL VPN设备而言，设备的WAN口IP地址随时变化，更是增加用户访问VPN的难度。基于这样的客户需求，新增webagent功能。无论VPN设备的WAN口地址如何变化，用户只需要访问webagent的url地址即可正确访问VPN设备。

3. 内网资源不支持IPv6（包括四大资源的IPv6形式）；

说明：控制台不支持配置IPv6的资源。若资源配置的是域名，在访问资源时解析出来的是个IPv6的IP，则在访问此资源时，将无法访问。错误页面跟在浏览器输如错误的效果一样，浏览器默认行为。

4. IPSec不支持IPv6；

说明：不支持使用IPv6组网，需使用IPv4组网。

5. MAC/Linux/移动端不支持IPv6的接入;

说明：MAC/Linux/移动端只能支持IPv4地址接入。

6. Hosts不支持IPv6;

说明：控制台不支持配置IPv6的Hosts，配置IPv4地址时，使用IPv4外网和IPv6外网接入Hosts均生效。

7. 本地子网不支持IPv6;

说明：与IPSec一样，不支持IPv6的子网。

8. DHCP不支持IPv6;

说明：不支持以VPN作为DHCP服务器分发IPv6的动态IP。控制台不支持此配置，

9. 不支持IPv6分布式部署

说明：不支持IPv6作为接入地址组建分布式。

10. 不支持PPTP/L2TP接入

11.L3VPN不支持下发IPv6的虚拟IP地址

VPN可以实现在后台通过命令调整【链路延迟】和【丢包率】来实现模拟广域网环境吗？

支持，vpn后台使用tc命令，

// 添加 5%丢包，300ms延时，50ms的波动的网络状态

tc qdisc add dev eth0 root netem loss 5% delay 300ms 50ms

// 移除 上面设置的网络状态

tc qdisc del dev eth0 root netem loss 5% delay 300ms 50ms

这些命令直接在vpn设备的后台执行，eth0修改成需要的对应网口

关于证明产品合法性的实现过程介绍（证书合法性、证书有效性说明）？

设备证书由客户自行向权威的CA机构进行申请，由CA保证其证书的合法性和有效性，另外，SSL VPN会借助客户端浏览器帮忙做证书的校验，用户证书可由设备证书或外置ca颁发，如果用户证书由外置ca颁发，需要导入外置ca到设备。使用用户证书进行证书认证时，设备通过openssl库检查用户证书的合法性。主要包含有：

（1）检查SSL 证书是否是由浏览器中“受信任的根证书颁发机构”颁发

（2）检查SSL证书中的证书吊销列表，检查证书是否被证书颁发机构吊销

（3）检查此SSL证书是否过期

（4）检查部署此SSL证书的网站的域名是否与证书中的域名一致

（5）IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单

企业微信使用webvpn方案需要什么授权?

企业微信对接有两种方案，webvpn方案是ssl授权，不支持商密算法；miniconnect方案是EASYAPP授权，使用SJJ设备时可以支持商密算法。