让业务系统的接入更加安全

访问权限更小化

提供基于URL授权的细粒度访问权限控制，让用户只能访问同一台Web服务器上的有限页面，防止非法接入用户找到SQL注入漏洞页面；同时深信服提供主从账号绑定功能，将SSL VPN与业务系统的帐号做绑定，防止内部用户越权访问。

简化用户安装和使用VPN的操作

通过技术创新，大幅提升用户操作体验，例如提供下载、安装速度更快的轻量级安装包，一次安装、无需JAVA等其他支持软件即可使用新版本的各类浏览器登录SSL VPN；为使用APP的用户提供自动封装安全加固能力，无需进行应用改造，用户点击APP后自动连接SSL VPN而不需要额外做连接SSL VPN的操作；移动端和PC端应用实现单点登录等。

兼容性

兼容性更好的SSL VPN产品， 具备主流操作系统和浏览器兼容性，可良好兼容Windows、MAC、移动终端等。

提升系统访问速度

通过一系列的优化技术（如流压缩、流缓存、TCP协议代理等）提升用户的系统访问速度，增加用户体验。

更安全的 SSL VPN 为业务互联保驾护航
3.1.1 丰富的认证方式
在 SANGFOR SSL VPN 安全网关支持 LocalDB、LDAP/AD、Radius、第三方 CA、自建
CA、Dkey、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，
最大限度地保证了接入用户的合法性。
3.1.2 混合认证保护机制
单一的认证方式易被窃取，为了进一步提高身份认证的安全性，深信服创新性提出混合
认证，针对上面提到的用户名和密码、CA 数字证书、LDAP/AD、Radius、Dkey、硬件特征
码、短信认证、动态令牌认证方式可以进行五个因素以上的捆绑认证，这几种认证方式必须
同时满足才能够接入 SSL VPN 系统。如果需要几种接入方式做备份接入选择，那么深信服
创新性提出或组合，对于以上几种认证方式进行或组合，只要通过一种主认证方式即可接入
到 SSL VPN 系统中。
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 6
多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，
对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度
安全。
3.1.3 动态身份认证提供多重保证
当前间谍软件、木马等安全威胁日益严重，传统的基于口令的认证方式容易被窃取，一
旦泄漏将造成企业数据的安全隐患。深信服科技采用了多种动态身份认证系统来消除该隐
患，保证了用户使用 SSL VPN 访问总部资源时的安全性。
 DKEY 认证
SANGFOR SSL VPN 安全网关采用 SSL 协议加密建立安全的专用加密通道，除了使用
标准 SSL 协议内置的 RC4 等加密算法和 RSA128bit 签名算法来保证数据的安全性之外，还
使用 DKEY（一种 USB 的身份认证设备）进行双因素身份认证，并使用 PIN 码保护 DKEY
的安全。这种 USB DKEY 可以同时支持两套 VPN（IPSec 和 SSL）系统，安全方便。
 免驱动 USBDKey
针对一般的 USBDKEY 在使用的过程中跟 U 盘一样需要安装该 USB Key 的驱动，但是
往往驱动的兼容性问题导致无法正常登录 SSL VPN，导致业务无法开展。针对这样的情况，
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 7
深信服提出免驱动 DKey 认证，当您首次使用 DKey 进行登录的时候，不需要安装 DKey 也
能够正常登录 SSL VPN，无需担心驱动的兼容新问题，提高业务访问效率。
 短信认证
无线技术的突飞猛进给网络世界又带来一次巨大的革命，其灵活可靠的特点吸引了所有
人的视线，因此，依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新
型认证解决方案，此认证系统分为手机短信终端和短信认证服务器两部份。终端用户在既有
移动电话和 PAD 的基础上，通过手机短信获得双因素用户认证访问代码，就能够安全地访
问网络资源。深信服支持与短信猫进行互动来进行短信认证。
 短信网关
除了通过短信猫方式进行短信发送外，深信服还支持运营商的短信网关，如果您的网络
中已经部署了短信网关（移动、联通或电信的短信网关），深信服可以和您的短信网关结合，
实现短信认证。
当可能由于网络的延时或者网络运营商的问题导致短信未及时发出，完全影响了使用者
的使用，导致业务无法正常使用，针对这样的情况，深信服为您提供短信重发功能，让您能
够方便快捷使用短信认证。
 硬件绑定（HardCA）
传统的用户名和密码或者 CA 证书认证方式都存在证书或密码被盗用的问题。为避免传
统方案的泄密缺陷，SANGFOR SSL VPN 使用了深信服公司的特色技术－基于 PC 硬件特征
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 8
的证书认证系统（HARDCA）来实现基于硬件的认证。该认证原理是将用户账号与其所在
计算机硬件信息（如 CPU、硬盘、网卡等）进行绑定，即便用户账号意外泄露，由于非法
用户无法使用与此账号事先绑定的那台计算机，因而不会造成非法用户接入。
 动态令牌认证
动态令牌是技术领先的一种双因素强身份认证体系，采用用户 PIN 码+动态令牌码构成
完整用户口令，令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成，每分钟改变一
次，而且是一次性密码（密码使用后立即失效，不能重复使用）。由于实际上的安全问题都
和密码有关，盗窃和破解密码是最常见的口令攻击手段，因此动态令牌很好的解决了以上问
题，为用户的使用提供了极高的安全性保证。
3.1.4 内置的 CA 中心提供完整认证体系
SANGFOR SSL VPN 安全网关内置了 CA 中心，企业或者事业单位可自建 CA 中心，用
户可不必购买单独的 CA 认证体系，为企业减少了投入成本。同时，SANGFOR SSL VPN 安
全网关也可无缝支持已有的第三方 CA 认证。深信服内置的 CA 中心可以支持建立服务器证
书和个人身份证书，在减少投资成本的同时可以满足组织对于 CA 的大规模使用，让您构建
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 9
您自己的 CA 认证中心。
3.1.5 与第三方 CA 结合
为了建立更加完善的认证体制，很多企业引进了 CA 中心，通过 CA 中心来建立更加完
善的认证体制。深信服 SSLVPN 能够更好的实现与 CA 中心这样的认证体制的结合，支持包
括 UCS-2， GBK， UTF-8， GB2312， BIG5 编码格式，支持 der、crt、cer、p12、pfx、
p7b 格式证书，还可以读取 CA 证书中的指定字段，形成身份账号绑定和从而能够与第三方
CA 进行完美的结合，满足大规模用户对于认证的要求。
深信服 SSLVPN 与第三方 CA 结合，还可以支持设置证书中的内置授权值，并与之绑定
账号完成组织结构的建立，达到更完美支持 CA 证书认证的效果。同时，深信服 SSL VPN
至少支持 5 张不同的 CA 根证书，，以及配置证书绑定字段以及批量导入/导出用户证书记录
等，即使是复杂数字证书体系也能良好的支持。
3.1.6 与 LDAP（AD）结合
随着组织规模的扩大，为了更好的进行认证，大部分的组织都建立了 LDAP（AD）服
务器，通过 LDAP 服务器来进行人员的统一管理。LDAP 可以根据组织内部的结构来进行人
员的划分，完全根据企业内部的组织架构来建立 LDAP 的人员结构。
深信服能够与 LDAP 进行联动，无需在 SSL VPN 设备上建立 LDAP 上的用户，直接将
认证的数据转向 LDAP 服务器，让 LDAP 进行判断。如果有一些特殊的需要，也可以将 LDAP
中的用户导入到设备中，可以根据您的需要定时进行同步，您可以选择一个固定的时间进行
同步，也可以选择实时的进行同步，从而保证 LDAP 上的用户与 SSL VPN 上的用户信息保
持同步。
为了更好的体现认证的多样性，深信服 SSL VPN 提供读取 LDAP 中的手机号码，可以
跟短信认证结合起来，这样就可以实现与 LDAP 结合的双因素认证。
对于在 LDAP 中已经划分好了权限的情况，为了保持跟 LDAP 中权限的一致性，深信
服 SSL VPN 支持导入 LDAP 中的 Group 属性，这样就可以完美继承 LDAP 中的权限属性，
从而与 LDAP 中的权限保持一致。
当大量的用户通过 LDAP 进行认证，但是本地 SSL VPN 数据库中没有用户信息也无法
分配虚拟 IP，那就没有办法使用 IP 资源。为了解决这样的问题，深信服可以读取 LDAP 中
的 IP 字段属性，从而通过 LDAP 可以进行虚拟 IP 的分配，这样通过 LDAP 进行认证的用户
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 10
可以得到虚拟 IP 实现双向访问。
3.1.7 与 Radius 结合
Radius 作为 3A 体系中重要的一个元素，对于一些大型的集团型公司来说都部署了
Radius 服务器作为身份认证的一个因素，如果重新在 SSL VPN 上建立一套认证体制的化就
会造成需要管理两套认证体制，因此为了减少增加认证体制所带来的麻烦。SSL VPN 需要
与 Radius 进行完美的结合。
深信服 SSL VPN 能够读取 Radius 的分组权限信息，这样在 Radius 中已经建立好的分组
就可以映射到 SSL VPN 中，从而实现角色的划分和资源的绑定。
同样为了实现多样的认证，深信服 SSL VPN 也支持读取 Radius 中的手机号码属性，从
而跟短信认证可以完美结合，实现双因素的认证。
同样为了实现通过 Radius 进行认证的用户也能够分配到虚拟 IP，深信服 SSL VPN 可以
读取 Radius 中的 IP 属性段，从而也可以绑定虚拟 IP，实现通过 Radius 访问也能够进行 IP
资源的正常访问。
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 11
3.1.8 开放数据接口提供二次开发
通过 SSL VPN 已经建立了一整套完善的认证体系，对于这样的完整体系需要引入到第
三方的系统之上继续做认证，针对于这样的情况深信服通过开放 SSL VPN 中的部分数据库
信息，第三方可以调取其中的数据信息，通过这些信息可以根据实际的需要进行二次开发，
从而跟更多的应用系统结合。
3.1.9 与其他第三方认证系统结合，保护前期投资
从整个业界范围来看，认证系统多种多样，采用的数据格式也不禁相同，为了保护前提
的投资，需要跟原有的认证系统进行结合，但是作为 SSL VPN 来说不能完美对于所有的认
证系统都能进行充分的结合，深信服提出了通过深信服自己的 Radius 服务器作为中转，从
而实现与其他认证系统的完美结合，而且 SANGFOR Radius 强大的扩展性可以满足您与第
三方进行对接的要求。
3.1.10 图形码验证功能
SANGFOR SSL VPN 安全网关提供图形码校验功能，用户在输入用户名和密码以后还
需要将系统随即生成图片中的信息输入才能实现正常登录，可以防止非法使用者用自动猜解
程序来进行试探。深信服提供的图形验证码通过内部的计算程序可以实现数字和字母的组
合，每次变换不同的图形验证码。
3.1.11 软键盘功能
为了提高用户密码的安全性，防止被木马程序截获用户输入的密码信息，SANGFOR
SSL VPN 安全网关提供了软键盘功能，用户在输入密码的时候可以使用界面上提供的软键
盘，这样木马程序就无法采用截获用户键盘输入的方法来窃取密码了。为了进一步增加软键
盘的安全性，深信服提供动态变换功能，即每次登陆的时候字母键和数字键跟上一次都是不
同的，从而进一步保证密码的安全性。
3.1.12 会话超时控制功能
为防止用户在没有注销的情况下长时间离开，导致他人窥探到 SSL VPN 内的机密信息，
SANGFOR SSL VPN 安全网关特别加入了不活动检测引擎。
当检测到客户端在指定时间内没有任何访问内网资源的流量时，SSL VPN 网关将自动
弹出对话框，提示用户“SSL 连接会在 X 秒内超时关闭，继续还是注销？”若用户在该时间
内仍未选择相应动作，则 SANGFOR SSL VPN 安全网关将自动注销，中断会话并重新返回
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 12
登录界面。
3.1.13 全面的密码安全保障
对于采用在 SSL VPN 上建立的用户名和密码，深信服采用了多种机制保证密码的安全
性。
一旦系统启用防密码暴力功能以后，用户连续输入密码错误次数达到一定的数量以后，
系统会将该帐号锁定一段时间，防止密码被暴力猜解。对于被锁定的用户可以通过查看锁定
用户在线列表来解除被锁定的用户，从而使其快速解冻。
面对大量的用户，管理员出于管理的方便可能针对每个用户设定了初始密码，但是出于
密码的安全性考虑，必须提供一定的密码安全保障来保证密码的安全性。深信服提供强迫初
次登陆修改密码，可以要求密码必须至少多少位，根据您的要求可以设定密码的最小长度，
也可以设定密码必须包含数字、字母、特殊符号，从而保证密码的复杂度，但是不能要求密
码与用户名相同、密码不能与旧密码相同。对于密码的管理，可以实现定时修改密码，密码
过期前多少天提醒用户进行密码修改，通过上面一系列的措施保证用户的密码的安全性。
3.1.14 客户端安全检查从端点开始保障您的网络安全
在用户通过计算机浏览器打开 SSL 登录界面时，SANGFOR SSL VPN 安全网关通过客
户端计算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，保
证 SANGFOR SSL VPN 接入安全，避免客户端计算机的不安全因素通过 SSL VPN 传输到企
业内部网络产生的安全隐患。
SSL VPN 客户端安全检查保证接入安全
3.1.15 强化的网络防护－VPN 虚拟专线功能
虚拟专线指用户登录 SSL VPN 以后，和内部业务系统构成一条虚拟的专线，此时用户
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 13
将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能后，一方面外部网络上
面的不安全因素无法再对 VPN 系统构成威胁，同时也可以避免客户端上的不安全因素造成
泄密的可能性，避免因客户端引发的安全隐患，确保内部业务系统的安全性。
3.1.16 零痕迹访问功能避免安全漏洞
SANGFOR SSL VPN 在用户结束访问以后会自动清除 Cookie、临时文件等遗留在客户
端计算机上的信息，实现“零痕迹”访问，避免安全隐患。
3.1.17 真正的 SSL 协议加密传输
SSL VPN 依托于内嵌在各种浏览器当中 SSL 协议（RFC2246）。它是一种安全可靠的协
议，包括以下三个协议：
握手协议：客户和服务器之间相互鉴别 -协商加密算法和密钥 -它提供连接安全性，有
三个特点 身份鉴别，至少对一方实现鉴别，也可以是双向鉴别 协商得到的共享密钥是安全
的，中间人不能够知道 协商过程是可靠的
记录协议：SSL 记录协议建立在可靠的传输协议（如 TCP）之上 它提供连接安全性，
有两个特点 保密性，使用了对称加密算法 完整性，使用 HMAC 算法 用来封装高层的协议
警告协议：这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时
候终止
SSL 协议数据交互的过程如下：
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 14
正是因为 SSL 协议本身的安全性也导致他被广泛的应用到网上银行。而真正的 SSL
VPN 必须将 IP 层以上的数据都通过 SSL 协议进行封装。
如果仅仅将 TCP 数据做了简单的封装，或者把 IPSEC VPN 做些修改，将数据转发到
443 端口，不能算是真正的 SSL VPN。鉴别这种伪 SSL VPN，可以使用标准的 HTTP 流量
测试工具如 Loadrunner，Web bench，Avalanche 等或者通过抓包工具 Wireshark、Sniffer。如
果能进行 SSL 对接，并进行 SSL 负载测试的就是真正的 SSL VPN。但是普通客户往往没有
这个测试条件，因此建议在 SSL VPN 选型时购买经过国家密码管理局批准的产品型号，以
及经过公安部检测通过并获得 VPN 销售许可证的产品。
3.1.18 支持国产商用密码标准
数据加密是信息安全体系中重要的安全保障环节，随着科技的不断发展，常用的商业密
码算法（如 DES,RSA,MD5 等）已确认可被破解。密码技术存在短板，安全设备就形同虚设，
只有采用相对安全的密码算法，才实现真正的网络安全。因此，国家密码管理局出台了新的
密码算法（SM1，SM2，SM3，SM4）并要求相关单位选用国产商用密码标准。深信服 SSL
VPN 支持常见的国际通用商用密码算法，同时也支持国密局规定的国产商用密码标准，全
面保障用户的业务安全。
3.1.19 访问权限控制功能提供最细致的权限管理
SANGFOR SSL VPN 通过独特的角色管理功能，提供了细致到每个 URL 和不同应用的
权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适
合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟
踪引擎，管理员还可以查看远程接入用户的所有访问记录。
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 15
SANGFOR SSL VPN 内置有多种用户和资源管理方式，可以自建用户，也可以从第三
方导入，支持 LDAP/AD、RADIUS 等第三方认证，可以根据用户、用户组、公用账号、私
有账号等多种方式对用户进行管理。管理员可根据角色、Web 资源、C/S 资源、IP 资源等权
限划分方式，为远程接入用户分配细致的访问权限控制。
同时，SANGFOR SSL VPN 集成了用户并发限制、公用账号并发限制和用户流量限制
等多种方式，保证了用户合理地使用 VPN 资源。并且，在 SSL VPN 网关中的直观式管理图
形用户界面（GUI）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个 VPN
系统的运行状况。
3.1.20 完善的日志系统
SANGFOR SSL VPN 网关提供了调试、信息、告警、错误四个级别的运行日志，帮助
管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。
由于 VPN 网关的存储空间有限，SANGFOR SSL VPN 还提供了独立的日志中心。通过
第三方的日志中心，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次
数、被拒绝次数，用户的登录次数、告警次数等进行直观显示，并可直接打印和导出。
SANGFOR SSL VPN 安全网关丰富的日志中心，为网络管理员和决策者了解 VPN 资源的详
细使用情况提供了最有效的数据支持。
3.1.21 丰富的日志信息
SANGFOR SSL VPN 通过独立的第三方日志服务器，用户可以按照系统日志和用户日
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 16
志两大类日志进行查询。管理员可对指定时间范围内的日志以及日志的级别如：错误、告警、
信息、调试和进程类型进行查询。
同时，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒
绝次数，用户的登录次数、告警次数等进行直观显示，并可直接打印和导出。SANGFOR SSL
VPN 安全网关丰富的日志中心，可详细分析出企业 VPN 资源的详细使用情况，为网络管理
员和决策者提供了最有效的数据支持。
3.1.22 强大的实时监控能力
通过远程监控平台，管理员可以实时地监控用户的接入情况，实时观察 SSL VPN 安全
网关的运行情况。通过 SSL VPN 丰富的系统日志，可以及时定位故障，并实施远程维护。
通过 Web 界面，管理员还可以随时查看每个在线用户的情况，可以随时中断可疑会话，方
便快捷。还可以实现告警的短信通知，及时通知到终端用户。
3.1.23 沙盒技术-安全桌面
很多商业系统都缺少信息防泄密手段，使用者可以任意在本地留存副本和相关信息，也
可以把相关数据传到别的计算机或者网络上，造成信息系统的泄密。除了主动泄密，中了木
马和病毒，或者被黑客攻击的被动泄密行为也可能为企业带来巨大的损失，尤其是一些对数
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 17
据安全性要求较高的机构及场合，如银行、基金、证券等金融单位，涉及重要研发机密的第
三方接入等情况，尤其需要完善的信息保护方案，同时该方案不应该以牺牲工作效率为代价，
最好不需要更改原来用户的办公习惯，从而在不影响业务的情况下，实现信息的防泄密保护
工作。
深信服科技的 SSLVPN 使用沙盒技术，提供安全桌面功能，可以有效保护数据的安全
性，解决用户的敏感数据被泄露的问题。安全桌面可以由管理员设定针对资源和用户进行强
行启用，启用安全桌面以后，客户端将自动使用虚拟技术生成一个封闭式虚拟的工作环境
——安全桌面。安全桌面将与默认桌面显示完全一致。在安全桌面中，所有操作全部虚拟化，
安全桌面内的进程和安全桌面外的进程是隔离的，与其他在本地网络或者互联网网络中的终
端都是隔离的，这样就能形成一个完全信息隔离的工作环境，达到防止信息泄密的效果。信
息无法流传出安全桌面，而在安全桌面退出之后，安全桌面中的所有操作、临时使用或者接
收到的数据都被删除，不会留下任何痕迹。
安全桌面可配合 SSLVPN 本身的用户身份认证、传输加密、授权访问等技术，可以提
供给客户更为完整的安全网络解决方案。
3.1.24 集成企业级状态防火墙
和多数 SSL VPN 不同，SANGFOR SSL VPN 网关集成了高性能的企业级状态防火墙，
对外只开放 443 端口，能有效保护内部服务器免受来自 Internet 的各种攻击。内置的防 DOS
深信服 SSL VPN 产品白皮书 文档密级：公开
深信服科技版权所有 www.sangfor.com.cn 18
攻击功能，不仅可以有效防范来自外部网络的 DOS 攻击，对于内网计算机发起的 DOS 攻击，
SSL VPN 安全网关也可以进行防御。
SANGFOR SSL VPN 安全网关集成了企业级的状态检测防火墙。除了拥有企业级防火
墙所具备的基本功能如：管理员权限分级、URL 过滤、NAT 功能、访问监控、上网控制、
用户认证、流量控制、QOS、DHCP 服务、自动拨号等功能以外，内置了高、中、低和自定
义 4 个安全级别，用户可以根据需要灵活配置。此外，SANGFOR SSL VPN 安全网关独特
的虚拟测试功能，为管理员创建了防火墙规则的虚拟测试环境。管理员通过可视化界面，对
各种安全设置规则进行测试，从而杜绝人为配置错误导致的安全漏洞。
作为 HTTPS 服务器，所有 SSL VPN 都同样面临着 DOS 的威胁。所以大多数 SSL VPN
设备都需要前置防火墙保护其安全。而 SANGFOR SSL VPN 自身就是一个防火墙，集成了
对 DOS 等攻击的防御手段。
对于来自外部的 DOS 攻击，其防御 DOS 的基本原理如下：在网络层模拟应用层对 DOS
攻击的主机发起应答，由于 DOS 攻击主机无法完成 3 次握手，因此可以识别出不完整的请
求，避免了把攻击发送到 SSL VPN 应用上。而对于真实的 SYN，在网络层完成了 SYN 的 3
次握手后，再模拟请求的客户端把 SYN 请求发送到应用层。通过这种 SYN 代理的方法就使
得正常的 SSL VPN远程访问顺利的通过防火墙到达内部服务器，而DOS 攻击则被拒之门外。
SANGFOR SSL VPN 安全网关不仅可以防御来自外网的 DOS 攻击，对于内网计算机发
起的 DOS 攻击，SSL VPN 安全网关也可以进行防御。管理员可以在 SANGFOR SSL VPN 安
全网关内增添内网网段列表，若检测到来自该列表之内的计算机发起的连接请求，则认为是
合法用户；而若是来自该列表之外的 IP 地址，则被认为是攻击。这对于通常伪造源 IP 地址
的 DOS 攻击发起端来说，将是一个有效的防范措施。
同时，SANGFOR SSL VPN 安全网关可以限制内部局域网每个 IP 地址在一分钟内可发
起的最大 TCP 连接数和发送的最大 SYN 包次数（数值可依据内网计算机数量自定义），阻
止了局域网内某些计算机感染了病毒或者木马程序，对外发起大量的连接请求从而导致企业
网络带宽耗尽、网关设备瘫痪宕机等情况的发生。一旦检测到攻击后，SANGFOR SSL VPN
安全网关可以立即对攻击主机进行封锁，从而及时有效阻断了由企业局域网内部计算机发起
的 DOS 攻击行为，避免了企业员工在上网时不小心感染了病毒而造成 DOS 攻击给企业带来
的法律纠纷、名誉受损等风险。