XXX公司VPN系统解决方案建议书北京天融信公司2023年2月1 VPN组网方案建议书目 录第一章 XXX公司网络现状及需求分析 11.1 网络现状 11.2 需求分析 1第二章 VPN技术及天融信VONE产品 22.1 VPN产品概述 22.1.1 安全接入的应用趋势 22.1.2 安全接入的技术趋势 22.1.3 天融信VONE产品介绍 32.2 天融信VONE网关产品特点 42.3 天融信VONE产品主要功能 112.4 天融信VONE产品规格 19第三章 XXX公司SSL VPN接入解决方案 203.1 VPN解决方案 203.2 本解决方案的主要特点 22 第一章 XXX公司网络现状及需求分析1.1 网络现状XXX公司企业业务网络系统由企业总部和远程移动用户组成。
其中总部局域网络是整个网络系统的核心,为企业各类服务器所在地,同时也是网络管理中心各移动用户现在希望通过Internet与总部进行安全通信,具体需求如下:企业现在有一个内部业务应用系统(基于B/S或C/S架构),由于业务的扩展,有很多业务人员在外办公,目前大概有1000名移动用户,为了能合理利用网络及内部资源,需提供一个简单可行的远程接入方案,把移动用户接入到内网,同时对这些用户能有效进行管理1.2 需求分析根据XXX公司现有的网络状况和业务情况,目前的需求分析如下:l 内网业务系统基于B/S结构,业务模式简单;l 移动办公人员众多,使用水平参差不齐;l 对移动办公人员的身份要求进行严格认证和监控;l 数据在Internet上传输时应保证足够的安全;l 该系统扩展性好,为以后的扩充更多用户做好准备;l 有良好的日志系统;l 整个接入系统安装方便、快捷,便于维护和管理 基于以上分析,这是一个典型的VPN的接入需求天融信公司能提供基于IPSec和SSL的两种VPN解决方案,在本案中,用户的业务模式简单(仅基于B/S模式),用户数量众多,在此推荐采用SSL的解决方案以下我们将详细论述天融信SSL VPN解决方案。
第二章 VPN技术及天融信VONE产品2.1 VPN产品概述2.1.1 安全接入的应用趋势随着电子政务和电子商务信息化建设的快速推进和发展,越来越多的政府、企事业部门已经或即将构建网上办公系统和业务应用系统,使内部办公人员通过网络可以迅速地获取信息,使移动办公等多种远程办公模式得以逐步实现,同时使合作伙伴人员也能够访问到相应的信息资源可是要享受通过互联网访问企业内部的信息资源的便利,就面临着非法访问、信息窃取等越来越多的来自外部和内部的安全威胁而我们目前所使用的操作系统、网络协议和应用系统不可避免地存在着不少的安全漏洞因此,在构建和应用这些应用系统时,必须要保障关键应用在开放网络环境中的安全,同时还需尽量降低实施和维护成本2.1.2 安全接入的技术趋势目前安全接入组网技术有多种,每种技术都有其适用范围和优点,同时也有一定的缺点主流的VPN技术主要有以下三种:1.L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术在windows主流的操作系统中都集成的L2TP/PPTP VPN拨号客户端软件;但是由于协议自身的缺陷,没有高强度的加密和认证手段,安全性较低;同时这种技术仅解决了移动用户的VPN访问需求,对于LAN-TO-LAN的VPN应用无法解决;2.IPSec VPNIPSec VPN 属于三层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护措施;同时工作在网络协议的三层,对应用程序是透明的,能够无缝支持各种应用;既能够支持移动用户的VPN应用,也能支持LAN-TO-LAN的VPN组网;支持多种网络拓扑结构。
其缺点是网络协议比较复杂,正确配置VPN隧道需要较多的专业知识;而且需要在移动用户的机器上安装单独的客户端软件3.SSL VPNSSL VPN属于应用层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护;由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议,因此原理上将对于B/S应用是无需安装客户端软件的,部署使用较为简单主要适用与移动用户接入并访问B/S结构的应用系统,对于C/S应用的支持仍然需要安装客户端的插件各种VPN技术都有其优点和缺点,用户的实际应用中,往往需要将这几种技术进行综合应用,才能满足较为复杂的用户需求天融信将这几种VPN技术有机的进行了整合,实现了在一台设备中同时支持上述几种主流的VPN组网技术,同时集成了业内成熟领先的防火墙和身份认证系统,形成了一个完整的安全接入解决方案2.1.3 天融信VONE产品介绍网络卫士VONE系列(IPSEC/SSL VPN多合一网关)是集天融信十几年研发经验,向用户提供的完整VPN接入解决方案,是天融信推出的最新一代网络安全接入产品该产品以天融信自主知识产权的TOS(Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计,融合了身份认证、访问控制等安全手段,具有安全、高效、易于管理和扩展等特点。
网络卫士VONE网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务产品的L2TP/PPTP/SSL功能无需安装任何客户端软件,也无需投入太多人力进行配置或长期的维护;产品完善的IPSEC VPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络SSL VPN位于外部网络和内部网络之间,利用安全套接层(SSL)来提供安全的传输功能,而SSL在所有标准的Web浏览器中都具有的SSL VPN构建在经过强化的软硬件平台上,实现用户和资源的绑定天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式,以适应不同的用户需求,同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能网络卫士VONE网关包含完整的业界领先的专业防火墙功能,还具有内容过滤、入侵防御、带宽管理等功能,能为用户提供全面的网络边界安全防护解决方案2.2 天融信VONE网关产品特点1) 自主安全操作系统平台采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点2) 多种VPN技术有机融合前面已经分析了目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战网络卫士VONE网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品在TOS平台强大的整合能力保障下,各种VPN模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台3) 安全接入与安全防护无缝结合VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的网络卫士VONE网关是构建在天融信强大的TOS系统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护与访问控制天融信VPN网关具有强大的内容过滤功能,支持URL分类过滤,分类库大于700万条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功能。
还具完善的应用识别功能,用户可以轻松的针对一些典型网络应用,如MSN,、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、带宽控制等网络卫士VONE网关支持完善的基于完全内容检测的访问控制技术防火墙检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护网络卫士VONE网关在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
4) 多种SSLVPN技术结合实现应用全覆盖目前SSLVPN接入技术大致分为三类:WEB转发(WEB FORWARD),端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS或者称为IP TUNNEL)这三种技术的技术特点和适用范围各不相同,在网络卫士VONE网关中对这三种SSLVPN接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式WEB转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强网络卫士VONE网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发这种模式的适应性比WEB转发要好,但其要求在客户端安装一个ACTIVEX控件网络卫士VONE网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。
全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ACTIVEX的控件网络卫士VONE网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLIT TUNNEL即可以同时访问VPN和因特网)或完全隧道(FULL TUNNEL即只能访问VPN不能访问因特网)的方式接入VPN网络,大大提高了远程接入的安全性和灵活性5) 支持虚拟桌面/虚拟应用天融信公司的TopConnect客户端产品,即支持虚拟桌面模式,也支持虚拟应用模式通过这两种不同的使用模式,企业用户可以限制不同的用户使用不同的模式,即保证用户敏感数据的安全,又能减少网络管理的维护量,降低企业内部应用维护的人力物力成本针对业务应用丰富,使用环境单一的用户,或需要对智能移动终端进行管理和维护人员,可使用虚拟桌面模式在这种模式下,服务器直接将服务器端的个性化桌面展现给用户与传统的PC机相比较,除显示屏幕面积外,其余使用和操作没有任何差异而对于业务应用单一,使用环境复杂,或不能开发较多权限的用户,可使用虚拟应用模式。
在这种模式下,服务器只将特定的应用界面推送给用户除授权使用的应用外,用户无法使用其它任何应用,更无法对服务器进行修改和配置6) 完善的身份认证技术网络卫士VONE网关为通过SSL隧道接入的用户提供了完整的身份认证手段如果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以采用“用户名+口令+图形认证码”的方式对移动用户进行身份认证;对于需要强身份认证机制的用户,管理员可以采用“数字证书”的认证方式,通过高强度的密码运算来保证用户身份标识不会受到“字典攻击”等暴力攻击的威胁;还可以通过“数字证书(USBKEY)+口令”的双因子认证方式来确保移动用户的证书不会被盗用,进一步加强认证的安全性网络卫士VONE网关还支持短信认证、图形码校验、硬件特征码校验支持基于web协议的认证方式,可以和业务资源的帐号系统使用一套,避免了在VONE上再次建立帐号,能够统一管理帐号,增强了易用性支持指纹认证,可以基于指纹信息进行认证VONE网关还支持多种认证方式的任意组合,为用户提供最强的安全接入机制网络卫士VONE网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。
这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又可以充分利用用户已有的资源7) 多级用户授权机制和授权组合授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制,是保护内网资源安全的主要技术手段网络卫士VONE网关采用多级授权机制和用户授权继承的策略,满足各种用户授权需求支持整体授权、条件授权、属性授权支持基于证书的属性字段的授权,支持基于外部属性(LDAP或Radius下发的属性值)的授权,也支持多条授权策略的组合在用户授权的粒度上,网络卫士VONE网关支持基于URL/目录/文件等访问内容的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分满足管理员的各种用户授权需求8) 完善的PKI体系提高用户网络的安全等级随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈网络卫士多合一VPN产品全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证,同时还能够通过OCSP/LDAP等标准协议向第三方CA提交证书认证请求。
具体的PKI功能包括:Ø 支持标准X509.V3格式数字证书;Ø 支持DER、PEM、PKCS12等多种证书编码格式;Ø 支持通过内置CA模块为用户签发标准数字证书;Ø 支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证;Ø 支持通过OCSP/LDAP等标准协议向第三方CA进行证书认证;Ø 支持生成PKCS10格式的证书请求,可生成证书请求,由第三方CA签名;Ø 支持CRL列表文件的导入和通过HTTP自动下载天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作,网络卫士VONE网关与这些厂商的CA系统均能够无缝集成9) 卓越的网络及应用环境适应能力网络卫士VONE网关构建于强大的TOS系统平台之上,天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等,适用网络的范围非常广泛,充分保证了用户的网络的可用性同时,针对国内用户动态IP地址较多的现状,网络卫士VPN网关整合了天融信公司独立维护的EZVPN动态域名系统,为天融信VPN用户提供专用的动态地址域名解析服务,从而很好地解决了动态地址的VPN接入问题。
10) 分级可信接入体系天融信VPN网关还可对可信接入安全性检查结果进行分级,不同的级别可以授予不同的权限,对不满足安全要求的主机或终端,可以根据其缺陷程度分别实行隔离、修复和限制访问对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只授予与其安全等级匹配的普通权限这样既可以防止不安全的用户主机感染内部关键服务器,又可以保留其浏览公司普通Web服务器的权限,实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级11) 支持虚拟门户功能SSL VPN提供了虚拟门户功能,从而使得企业及部门都可拥有自己独立的远程接入门户每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等12) 分级管理和三权分立天融信的VPN网关支持将管理员进行分级分组,一级管理员可以创建若干二级管理员,并给其进行授权,分配二级管理员可以管理的用户组,可以使用的资源组,可以使用的角色,是否可以创建下级管理员等二级管理员在其权限允许的范围内行使其权限,如添加、修改、删除用户,在权限范围内给用户授权,创建三级管理员,给三级管理员授权等天融信VPN网关最多可以支持16级的管理员分级管理,便于大型组织客户将管理权限下放,并可以根据需要授予不同的管理员不同权限。
支持管理员的三权分立,可分别授予不同类型的管理员不同的权限13) 支持多种单点登录方式支持多种单点登录方式,支持HTTP401方式、密码助手、WEB方式的单点登录,用户只需要进行一次认证即可访问所有授权的业务资源,大大提高了系统的易用性14) 与企业门户无缝融合许多大型企业已经拥有了自己的企业门户,我们的SSL VPN可以与用户的企业门户无缝融合,只需要简单替换一下企业门户中的登录URL即可实现许多企业已经部署了单点登录服务器,我们的SSL VPN也能够很好融合用户通过企业门户登录SSLVPN后,SSLVPN能够自动跳转Portal页面到企业的单点登录服务器页面,显示该用户的资源列表,同时在右下角显示一个SSLVPN小图标15) 适应多种终端和系统平台目前移动互联已成为新的应用趋势,天融信VONE针对移动终端提供了多种安全接入技术,能方便的实现通过智能终端移动办公支持虚拟桌面和虚拟应用的虚拟化接入技术,具有终端与后台业务数据分离和应用无关性的技术特点,能很好的解决移动终端接入所面临的数据安全性和应用适应性问题天融信TopConnect客户端是专门为智能移动终端提供安全接入的SSL客户端产品,不但支持传统的Windows/Linux操作系统,还支持iOS、Android等移动操作系统,未来还将支持WP8。
丰富的操作系统平台支持,意味着用户可以自由的选择终端产品,无需受限于某个特定的应用范围对于iOS、Andriod智能终端支持SSL的虚拟桌面接入,其中iOS还支持IPSEC“零安装”接入;对于Android、Windows Mobile系统的智能终端,还支持使用全网接入模式接入;对于PC系统,支持Windows 2000、XP、2003、2008、Vista、Win7、Linux系统的接入16) 智能递推天融信VONE产品支持智能递推功能,只需要配置一个门户url,采用智能递推技术,即可自动将该门户url包含的子连接加入可以访问的资源列表,降低了管理配置工作量17) 智能压缩支持数据智能压缩功能,能够智能的根据当前传输数据的压缩比决定是否启用压缩,大大提高了传输的效率和应用的访问速度18) VPN集群功能支持集群功能,能够使用多台VONE网关组成一个集群系统,大大提高了VPN网关的整体性能和可靠性,能够满足大并发用户数的需求天融信VPN采用基于TOS系统的智能集群技术它的基本工作模式是多台VPN网关并行工作,都处于正常的数据转发状态,对外提供统一接入IP,多台VPN网关之间相互备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不间断。
天融信VPN支持最多256台设备的集群和多种集群负载均衡策略;支持通过心跳口进行状态和Session同步,网关切换时无需用户二次认证19) 符合国密局《SSL VPN技术规范》和《IPSEC VPN技术规范》天融信SSLVPN是严格按照国家密码管理局制定的《SSL VPN技术规范》和《IPSECVPN技术规范》进行开发的,并通过了国家密码管理局商用密码检测中心的检测,支持国家密码管理局规定的SM1(SCB2)、SM2、SM3商用密码算法2.3 天融信VONE产品主要功能类别功能详细描述网络适应性工作模式² 支持透明、路由、混合模式路由² 支持静态路由、动态路由² 支持基于源/目的地址、接口、Metric的策略路由² 支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能² 支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能² 支持RIP、OSPF等路由协议² 支持多线路源路返回的智能选路² 支持多线路捆绑和负载均衡组播² 支持IGMP组播协议² 支持IGMP SNOOPING² 可有效地实现视频会议等多媒体应用VLAN² 支持Vlan Trunk² 支持802.1Q,能进行封装和解封² 支持ISL,能进行ISL的封装和解封² 在同一个Vlan内能进行二层交换² 支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装生成树² 支持802.1D生成树协议ARP² 支持ARP代理、ARP学习² 可设置静态ARPDHCP² 支持DHCP Client、DHCP Relay、DHCP Server接入² 支持以太网、光纤、ADSL、DHCP等多种接入方式其它² 支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间² 支持IPX、NetBEUI等非IP 协议PKI证书格式² 支持X.509 V3数字证书² 支持DER/PEM/PKCS12等多种证书编码本地CA² 支持内置CA,为其他设备或移动用户签发证书² 可生成、吊销、删除证书² 支持本地CA根证书、根私钥的更新² 支持证书废弃,支持生成标准CRL列表² 支持证书请求的生成,由第三方CA进行签名² 支持证书链管理² 内置支持SM2算法的CA第三方CA² 支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通过HTTP协议定时下载CRL列表² 支持通过OCSP/LDAP等协议认证证书SSL VPN安全算法² 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法² 支持国家商密专用的SM1(SCB2)、SM2、SM3算法协议类型² 支持SSL 2.0/3.0 TLS 1.0数据压缩与加速² 支持高效流压缩算法² 支持智能压缩² 支持WebCache加速用户认证² 支持“用户名+口令”、“用户名+口令+图形认证码”认证² 支持X.509数字证书认证² 支持数字证书(USBKEY)+口令多因子认证² 支持公共帐户登陆,支持临时禁止帐户登录² 支持本地数据库认证² 支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证² 支持短信认证、图形码校验、硬件特征码校验用户授权² 支持角色授权、支持独立用户授权² 支持基于URL、访问路径、访问文件、访问动作的细粒度授权² 支持基于时间的访问授权方式² 支持本地授权、支持外部组映射授权、支持证书用户授权² 支持基于证书中的字段属性组合授权应用支持² 支持WEB转发、端口转发、全网接入模式² 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用² 支持基于IP协议的各种C/S应用,如EMAIL,FTP,ERP,CRM,DB等² 支持Windows/CIFS远程文件共享² 支持FTP的WEB化访问² 支持资源自动打开² 支持资源连接隐藏² 支持资源和特定应用程序关联实时监控² 实时监控用户的登录时间、时间、访问流量,认证方式等多种信息² 支持主动中断用户的隧道连接日志审计² 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息² 支持多级审计日志,可以灵活配置审计级别² 支持日志本地保存,支持将日志上传到外部日志服务器² 支持天融信专用的TA-L日志服务器,可以对日志内容进行深度分析和统计端点安全² 支持接入客户端痕迹清除,能够清楚cookie、缓存、历史记录等各种访问痕迹² 支持拔KEY隧道自动中断² 支持用户超时自动退出,超时时间可以设置虚拟门户² 支持虚拟门户功能,每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等与企业门户无缝融合² SSL VPN可以与企业门户无缝融合,即用户可以通过企业门户登录SSL VPN,并且SSL VPN能够自动跳转Portal页面到企业的某个网站集群² 支持集群功能Portal页面隐藏² 在用户登录SSL VPN后不需要驻留Portal页面,可以隐藏,并在右下角缩成一个小图标,点击小图标还能恢复Portal页面客户端² 支持Windows Mobile PDA客户端² 支持安卓系统的智能终端² 支持Linux系统的PC机² 支持Windows 2000、XP、2003、2008、Vista、Win7系统PC² 支持独立客户端² 支持用户设定代理服务器信息端口转发² 支持TCP协议² 支持UDP协议² 支持智能递推单点登陆² 支持HTTP401认证单点登录² 支持用户修改单点登陆的账户信息² 支持WEB方式的单点登录² 支持密码助手方式的单点登录可信接入可信接入² 支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等² 支持可信接入分级授权² 支持检查策略:接入前检查、接入后检查、定时检查等国际化语言支持² 支持中、英文界面² 支持中、英文自动切换² 支持中、英文手动切换DDNSDDNS² 支持DDNS动态域名注册² 支持使用域名进行隧道定义及协商² 支持使用域名向TP进行集中认证IPSEC VPN协议² 支持ESP/AH/IKE/NATT等标准IPSEC协议² 支持隧道模式、传输模式算法² 支持DES/3DES/AES等标准加密算法,支持MD5/SHA1等标准HASH算法² 支持DH GROUP1/2/5,RSA 1024/2048非对称算法² 支持国家商密专用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法硬件加速² 支持高速算法加速卡数据压缩² 支持高效数据流压缩算法隧道认证² 支持预共享密钥、数字证书认证,支持XAuth扩展认证² 支持使用标准的X.509证书建立隧道网络适应性² 支持网状、树型、星型等多种VPN网络拓扑² 支持隧道的NAT穿越、双向NAT隧道建立² 支持全动态IP地址间的VPN组网² 支持隧道转发² 支持GRE over IPsec方式² 支持组播穿越IPSec隧道² 支持多机多隧道的负载均衡和备份VPN客户端² 支持第三方标准IPSec客户端接入² 支持苹果终端IPSEC VPN客户端接入² 支持为移动用户自动分配内部IP地址、DNS/WINS服务器地址² 支持为移动用户定义访问权限² 支持基于时间的移动用户访问控制策略² 支持两网分离² 支持多线路自动检测² 支持用户修改口令² 支持移动用户接入状态的监控和审计² 支持中/英文界面和中/英文自动切换技术标准SSLVPN² 符合国密局制定的《SSL VPN技术规范》IPSecVPN² 符合国密局制定的《IPSEC VPN技术规范》L2TPL2TP² 支持远程用户通过L2TP接入,建立L2TP隧道访问内部网络PPTPPPTP² 支持远程用户通过PPTP接入,建立PPTP隧道访问内部网络网络安全性*内容过滤² 完全内容检测(Complete Content Inspection)技术² 支持基于流、数据包、透明代理的过滤方式² 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤² 支持DNS过滤、DNS中继² 支持web重定向² 支持URL分类过滤,分类库大于700万² 支持挂马网站过滤² 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤² 支持对邮件的收发邮件地址、文件名、文件类型过滤² 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤² 支持反垃圾邮件功能² 支持Telnet、Ftp、RSH命令过滤² 可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、Telnet、HTTP)的BANNER信息访问控制² 基于状态检测的动态包过滤² 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制² 支持基于用户的PPTP的访问控制² 支持隧道内的访问控制² 支持IPSec客户端与SSL全网模式与FW联动² 支持报文合法性检查² 动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP² 访问控制策略分组管理² 支持大数量级的策略匹配加速算法² 支持对象的每秒新建连接数限制² 基于域名对象的访问控制² 可实现IP/MAC绑定NAT² 支持双向NAT² 支持动态地址转换和静态地址转换² 支持多对一、一对多和一对一等多种方式的地址转换² 支持虚拟服务器功能*应用识别² 支持近百种应用程序库的过滤,包括P2P、IM、炒股、网游等² 支持MSN、、Skype等Instant Messenger通信,并可以对于这些应用进行登陆限制和帐号过滤² 支持MSN用户显示² 可限制BT、eMule、eDonkey、迅雷等P2P应用² 支持基于应用的流量统计² 支持基于应用的流量排名² 支持基于应用的历史流量趋势图² 支持基于主机的应用流量统计² 支持流量异常检测² 深度流量过滤(DFI),针对P2P行为的识别控制*防病毒² 支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀² 支持100万余种病毒的查杀,病毒库定期与及时更新² 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀*防御攻击² 非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof² 统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep² 支持地址对象源目的最大连接数限制² Topsec联动:可与支持TOPSEC协议的IDS设备联动,以提高入侵检测效率² 端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置² SYN代理:对来自定义区域的Syn Flood攻击行为进行阻断过滤² CC攻击:可通过设置端口和阀值阻断CC攻击² 可记录攻击日志和报警² 支持手动设置和根据IDS规则自动生成黑名单² 支持手动设置和根据可信连接达到一定规模后升级为白名单用户安全管理用户认证² 支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等常用的安全认证方式² 支持统一用户管理,IPSEC与SSL使用同一套用户认证、管理系统² 支持口令复杂度设置² 支持多点登录地点数设置² 支持登录时间、登录地址范围控制² 支持密码找回功能² 支持首次登录修改口令² 支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式² 支持短信、动态令牌、硬件特征码认证² 支持Session认证、HTTP会话认证² 支持WEB认证和指纹认证² 支持认证保活功能² 可将认证用户信息加密存放在本地数据库分级管理² 可为用户管理员分配不同的权限,管理不同的用户信息² 用户管理员没有系统配置的权限² 不同的用户管理员之间不交叉² 支持多达16级的分级管理² 支持管理员的三权分立日志² 支持Welf、Syslog等多种日志格式的输出² 支持通过第三方软件来查看日志² 支持日志分级² 支持对接收到的日志进行缓冲存储² 支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能² TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析² 可对日志进行加密传输监控² 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测² 可根据配置文件进行错误恢复报警² 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类² 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式带宽管理QoS流量整形² QOS带宽管理² 根据IP、协议、网络接口、时间定义带宽分配策略² 支持最小保证带宽和最大限制带宽² 支持分层的带宽管理优先级² 支持8级优先级控制高可用性双机热备² 支持双机热备(Active-Standby)模式² 支持负载均衡(Active-Active)模式² 支持连接保护(Session Protect)模式² 支持系统故障自动切换和抢占功能其它功能² 支持链路备份功能² 支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式² 支持双系统引导² 支持Watchdog功能配置管理配置方式² 支持WEB图形配置、命令行配置² 支持本地配置、远程配置² 支持基于SSH、SSL的安全配置命令行² 支持配置命令分级保护² 支持中英文² 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能SNMP² 支持SNMP 的v1 、v2 、v2c 、v3 版本² 支持SNMP MIB扩展² 支持SNMP查询、SNMP Trap² 与当前通用的网络管理平台兼容,如HP Openview 等系统升级² 支持双系统升级² 支持远程维护和系统升级² 支持TFTP升级报文调试² 提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题² 支持发送虚拟报文配置恢复² 可以进行配置文件的备份、下载、删除、恢复和上载2.4 天融信VONE产品规格产品型号硬件说明TV-61830-VONE2U机架式结构;最大配置为26个接口,包括3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口),可扩展万兆接口;标配双电源TV-61530-VONE2U机架式结构;最大配置为26个接口,包括3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口);标配双电源TV-61330-VONE2U机架式结构;最大配置为26个接口,包括3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口);标配双电源TV-61331-VONE2U机架式结构;最大配置为26个接口,包括3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口);单电源,可扩展为双电源TV-61230-VONE1U机架式结构;最大配置为26个接口,包括3个扩展槽和2个10/100/1000BASE-T接口(作为HA口和管理口)TV-61030-VONE1U机架式结构;最大配置为26个接口,包括3个扩展槽和2个10/100/1000BASE-T接口(作为HA口和管理口)TV-61614-VONE2U机架式结构;最大配置为12个接口,标配4个10/100/1000Base-T接口,1个扩展槽;标配双电源TV-61214-VONE1U机架式结构;最大配置为12个接口,标配4个10/100/1000Base-T接口,1个扩展槽TV-61114-VONE1U机架式结构;最大配置为12个接口,标配4个10/100/1000Base-T接口,1个扩展槽TV-41710-VONE1U机架式结构;10个10/100/1000Base-T接口 TV-41706-VONE1U机架式结构;配置为6个10/100/1000BASE-T接口TV-41604-VONE1U机架式结构;配置为4个10/100/1000BASE-T接口TV-21604-VONE桌面型结构;4个10/100/1000MBase-T端口第三章 XXX公司SSL VPN接入解决方案根据XXX公司移动用户接入实际情况,我们采用天融信SSL VPN系列产品提供整体网络安全互联解决方案,解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。
3.1 VPN解决方案VPN配置方案如下描述:1. 在总部Internet出口处安装天融信TV-6830-VONE安全网关,其接入方式为采用路由模式另外,还可以在SSL VPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能,根据实际需要设置各个功能模块的具体安全防护策略,以确保中心本地网络免受各种外来威胁天融信TV-6830-VONE网关最大可支持10000并发用户,完全满足目前应用及以后扩展的需求;2. 在网关上根据不同用户的划分可以对用户进行角色和组的权限设定,这种设定可以细致的划分每一个用户的访问权限,即可指定某用户在指定时间访问指定服务器的指定端口,从而保证了内网服务器的安全性;同时,为了保护内网服务器的安全,管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器,这样进一步对内网进行防护;3. 移动用户要访问内网服务器时,仅需打开浏览器,输入公开的服务器地址及自己的用户名口令(或者直接用证书的形式访问,免除输入用户名口令的麻烦),即可访问授权的内部资源,由于各种访问资源的权限已经由管理员设定好,用户可以直接点击资源连接进行访问; 4. 对于管理员的操作及用户的访问,天融信VPN网关提供详细的日志查询功能(包括管理员、用户及服务器),可以很容易的看到各种状态。
还可以管理(禁用,踢下线)用户,日志为标准Syslog格式,可导入其他日志查看器查看5. 使用天融信SSL VPN实现的远程接入如下图所示:图4.1 XXX公司SSL VPN网络结构通过部署天融信SSL VPN设备组建的企业移动办公网络,网络结构简单,维护成本低,用户只需使用浏览器就可以做到安全的连接网络,并能针对不同的用户,给予不同的应用权限因此通过天融信SSL VPN很好的解决了“随时随地”的网络资源安全共享的需求3.2 本解决方案的主要特点ü 设计全面:全面的安全防护解决方案,帮助用户打造高效率和高安全性的网络平台; ü 功能强大:同时提供防火墙、VPN、入侵防御、内容过滤、流量管理及安全审计等功能,从而构建主动防御、多层次防御的企业安全保障体系,从容应对各种外来威胁; ü 整体协防:各防御模块之间相互协同工作,全面提升系统的整体安全水平,缔造更可信的网络;ü 健壮性:VONE设备基于专用安全操作系统,具有良好的自身安全性;ü 透明性:现有业务系统和网络结构无须做任何调整或只需做少量改动;ü 适应性:能很好适应系统网络结构的调整和发展;ü 互通性:VONE内置的Ipsec功能可与采用国际标准Ipsec的设备之间互通互联;ü 高性能:开启各项安全功能后,天融信VONE网关的处理性能和数据转发速率仍能够保持高水准,完全能够满足互联网出口的接入速率,不会成为传输瓶颈;ü 便于实施:安装、维护简单快速,可随时进行而不影响正常业务;ü 低成本:一机多能,大大降低了安全产品的采购、部署和运营成本,使用户获得最大的投资回报;ü 扩展性:天融信VONE网关产品采用模块化设计,具有极强的扩展性,可以随着用户网络的扩展平滑升级。
22 。