上海+公司方案si..

SINFOR 上海 有限公司VPN系统建设方案VPN网络建设方案建议书上海金朔数码科技有限公司FOR上海 有限公司 目 录一、需求分析3二、方案建议4技术问题及解决方案4整体规划5设备选型及介绍6选型参考6实施方案7详细拓扑图8实现效果8三、方案优势10稳定可靠性10安全性（VPN）12VPN 的性能和服务质量保证（QOS）15对移动用户的支持161.便捷接入，应用发布162.保护内部系统173.数据传输安全性174.多种认证防止非法接入175.与第三方认证有效集成176.双向的证书支持，完整的PKI体系187.自建CA中心，减少安全构架成本188.更完备的登录安全189.超时退出，防止窥探1810.更高的访问权限粒度1811.全面接入审计，记录18四、其它特性201.多线路技术实现线路备份，保证VPN线路稳定202.双机热备，保证VPN网络稳定性203.多线路带宽叠加技术，保证充足的上网带宽204.多线路智能选路技术，选择最快的连接线路205.基于硬件的高效压缩算法，提高访问速度216.强大的硬件加速卡，更快的SSL处理速度21服务21五、深信服科技介绍22附录23I、SINFOR VPN技术参数说明23SINFOR S5100性能指标：24SINFOR M5100-S P VPN Gateway性能指标：25上海*公司VPN系统建设方案一、需求分析上海*公司的VPN网络建设需要考虑以下几个方面：1、下面有几个的分支机构。首先要保证这些分支和总部稳定、快速的互联互通。3、考虑到总部的财务系统、OA系统的安全性，并能够针对这些应用很好的分权限访问。4、总部及分支机构都有移动办公的需求，并且安全级别应该很高。根据上海*公司的规模和VPN的需求分析，我们认为本次VPN系统搭建主要应该关注以下几点问题：1、 稳定可靠性VPN作为整个上海*公司网络应用系统数据的承载系统之一，VPN产品必须具备724小时不间断运行的能力，保证整网的可用性；同时，VPN产品必须能提供备份机制来降低因INTERNET线路或硬件设备损坏可能带来的风险并且必须满足集团现有带宽需求，不能形成网络瓶颈。2、 安全性VPN产品须能够保障在数据传输过程、用户接入认证、内网权限划分三个方面的安全性。3、快速 VPN产品需要保证传输的速度，要支持QOS带宽管理，能够解决南北互联，跨运营商的访问速度问题4、易用性 在部署中要对现有的环境影响最小，能够支持多种网络接入线路。5、可扩展性 考虑到今后集团的扩展应用支持，必须保证VPN对各种应用进行很好的支持，并且针对移动客户应该保证手机、PDA用户能够方便的接入总部。6、服务此次VPN项目针对的是上海*公司上海地区的部署，因此VPN厂商应当具备相当的实力，能够做到本地故障的快速响应。二、方案建议技术问题及解决方案1、 总部及分支机构在不同的地方，划分二个网段，通过vpn将2个地方的局域网络连接起来。通过如下方式可以解决： 在总部安装vpn中心端设备，在分支机构安装vpn分支设备，通过安全加密的ipsec方式连接，保证数据的安全性。 在sinfor设备上授权移动用户接入，移动办公的用户可以通过dkey方式接入总部。2、 一般在外出差的员工才需要KEY接入VPN，在总部的员工是感觉不到VPN的存在的，电脑只要接入到指定的VPN网段就可以顺利接入总部及机房相关网段。 首先，分支通过IPSEC VPN 与总部建立好隧道连接后，电脑只要是在建立VPN隧道那个网段，分支员工感觉不到VPN的存在，可以直接访问总部及机房资源。 分支上互联网的网段可以通过预先设置的访问方式，通过INTERNET访问总部或分支的VPN资源。3、 能否在总部集中进行配置管理。 马上要推出的M5100-SC、M5500-SC集中管理平台，能够统一分发配置、显示VPN连接状态、硬件故障及统一升级。 SINFOR设备支持远程管理，通过IP方式访问到设备，进行远程管理设备。4、 双机热备部署方式部署双机热备，需要在SINFOR设备前后各配置一台交换机。部署的两台SINFOR设备，一台为主设备，处于工作状态，另一台为热备方式，当主机发生故障的时候，可以即时交换到备机，保证应用业务不中断。整体规划根据上海*公司的组织结构，规划如下：1、 搭建起公司总部机房主干线路的数据传输。2、 根据需要开放分支机构直接到公司总部或机房的通道。3、 公司员工在外面需要访问公司内网时，可以根据需要开放到各级机构的SSL/IPSEC VPN接入权限，可以根据公司员工的不同权限来具体划分。4、 总部需要对核心业务系统的专线进行备份采用双线路策略。5、 为了满足对公司总部和机房的高稳定性要求，可以选择使用双机热备。6、 如果对速度要求极高，可以可增加VPN的-D模块设备选型及介绍选型参考目前的需求情况来看，建议采用SINFOR SSL VPN设备以满足目前各移动办公用户安全访问的需求。对于目前的移动办公访问可以采用SINFOR SSL VPN接入，无需安装客户端，结合USB Key，短信认证，硬件特征码的认证方式既方便又安全。目前对于大部分SSL VPN设备而言，所支持的应用类型是有限的，几乎仅限于支持Web等B/S的应用，而无法像IPSec VPN一样支持基于网络层以上的所有应用，因而也限制了SSL VPN的发展。SINFOR SSL VPN安全网关通过html智能重构技术、应用转换技术和IP Tunnel技术，实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持，包括：网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。并且提供了Web资源、由于采用了IP Tunnel技术，SINFOR SSL VPN安全网关实现了对应用程序的完整支持，客户端在打开浏览器的SSL VPN登录界面时，只需安装一个Active X控件，在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡，因而SSL 远程登录用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL VPN在总部网络采用路由模式的部署方式，总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用，使得SINFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。为了满足上海*公司总部目前的网络环境和满足扩展的用户数量，建议采用M5100-S SSL VPN设备。预算方案：公司总部与机房部署M5100-P-S设备，分支机构采用S5100,部分或全部移动客户采用Sinfor 移动USB KEY客户端：产品型号产品描述单台报价数量小计中心端设备采用M5100-S-P硬件：Sinfor VPN 硬件防火墙安全网关M5100-S-P用于总部和机房，双机热备，功能包括VPN，防火墙。33000.00133000.00分支机构采用S5100硬件：Sinfor VPN S5100硬件防火墙安全网关用于分支机构9300.0019300.00移动用户登陆：移动客户Licenses授权：移动办公用户的接入（带USB KEY）702.00107020.00产品实施及一年服务：产品实施及一年服务费产品价格的10%总价：以下对各选型产品作分项简要介绍：1、SINFOR USB KEY安全认证KEY是针对移动办公人员的配置，它是一种最高级别的加密方式，主要特点如下：l 安全一旦启用了移动令牌接入，其它一切形式的接入将被视为非法，令牌会根据后台服务器始终在变换数字。l 便捷无需任何安装。直接输入令牌上显示的数字再结合用户名验证就可以了，实施方案针对需求，并综合Sinfor VPN的特性，满足要求的方案如下：（1） 在总部将Sinfor M5100-S-P百兆硬件网关放置在Internet内网内，做端口映射，实现上网数据与VPN数据的分离，保证核心网络的稳定运行，将需要被各其他部门访问的各种应用服务器的网关指向Sinfor M5100-S-P硬件网关；在各分支机构将Sinfor M5100-S或S5100硬件网关放置在Internet出口处，将需要联入总部的机器的网关指向Sinfor M5100-S-P硬件网关；（2） 针对总部需开放资源情况设定总部VPN内网服务设置，以便为各接入用户分配相应权限（如对财务、OA、邮件等不同系统的访问权限）；（3） 配置VPN总部模式，为接入的分公司和移动办公人员分配合法的用户名、密码等账号信息，可根据需要为每个账号分配不同的内网访问权限，并为移动终端启用虚拟IP（可指定也可动态分配），在启动ID鉴权的情况下，需要把所有需接入此总部的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上；对于移动用户，管理员可选择是否为该移动用户启用DKEY移动令牌，若启用，移动令牌将作为用户接入时的身份认证依据；（4） 在VPN总部模式上配数据隧道内的QOS，为各种重要应用分配更高的优先级别，以便在网络繁忙时为这些重要应用保留更高的带宽。（5） 考虑到接入Internet后存在的安全隐患，建议在总部及各分公司网关上进行防火墙相关设置，在防火墙上设置过滤规则及NAT，为防止外网的攻击设置防火墙的过滤规则（并使用自检测功能进行检测），同时为内网用户设定访问Internet的权限（分用户组，不同用户组可独立分配不同的上网权限，可基于URL和IP设定）；详细拓扑图实现效果1、 建立起包括集团总部、各级分支机构、移动人员在内的一个整体内部网，业务数据得以统一、资源得以有效共享通过Sinfor VPN系统，各级分公司及移动人员只要以任何一种方式（CDMA、GPRS、ADSL、WLAN、小区宽带等）接入Internet，便可以在权限允许范围内安全快捷方便的接入兄弟公司局域网，访问网内的相关资源，和在局域网内一样使用网内各种应用系统，公司文件可以远程打印、远程共享，不受文件大小限制。所有的传输过程均经过了加密、确保安全。2、安全的移动办公可以解决，不论采用的是方便的SSL接入还是IPSEC接入都可有其自身的安全接入保证，保证了接入的安全性。3、该方案设备支持多线路，以及双机热备，客户可以根据自身需要采取增加线路或设备来满足更高的要求。4、非常完善的权限管理机制，保证了集团的统一管理，权限的细致划分，并能够通过设备的防火墙功能对重要的服务进行安全防护。5、传输效率提升，采用压缩机制，和多线路方式对传输效率有所提升。6、部署的设备可以对移动用户进行对手机、PDA等平台的支持，非常方便7、对内网的各种应用有非常大的速度提升，节省了带宽的投资。8、降低了后续整体网络设施投入、维护的成本（带宽、设备、人力、时间等）三、方案优势稳定可靠性深信服科技多年的VPN专业领域的研发和应用保证VPN技术的稳定及成熟；目前在全国已有数万家客户，每天数十万VPN网络良好运行；和许多有着严格要求的电信运营商保持着非常紧密的合作。从品质上保证产品高稳定性。另外在VPN运行过程中的几个不稳定因素上Sinfor VPN均做了技术处理，做到尽可能稳定，主要有以下几个方面：1、 互为备份的Web寻址技术为保证寻址的稳定性，Sinfor VPN使用了互为备份的WebAgent寻址机制，当第一个WebAgent失效时，整个系统将会自动切换到备份的第二个WebAgent。2、 可以备份的VPN线路由于Internet接入不可能完全可靠，在网络不稳定的情况下容易造成应用的中断，对于某些重要的网络（如总部模式），由于其重要性，在网络规划时必须充分考虑到由于Internet线路带来的稳定隐患，需要妥当的备份线路方案。为了解决这个先天缺陷，深信服公司在产品中应用了另一项创新专利技术多线路捆绑技术，使用该技术，Sinfor VPN VPN能够在一台VPN网关上同时利用多达四条的Internet线路构建VPN隧道，并结合深信服科技首次提出的VPN内的QOS技术，实现了更快、更稳定、更可靠的VPN应用。由于VPN技术是建立在INTERNET基础上的，一般当上网线路中断的时候，VPN也会随之中断。深信服科技的M5100以上系列硬件网关能够实现多路复用，同时捆绑多条上网线路进行VPN连接，其中一条上网线路中段的时候，VPN数据将自动切换到正常运行的上网线路上，实现线路备份。平时各捆绑线路都正常工作时，多路复用技术还可以将各条线路叠加起来，产生更大的带宽，增加VPN处理效率，图示如下：其中一条中断不会影响到VPN的稳定性此外，由于南北电信运行商（南电信北网通）不同，很多南北公司之间的互联速度比较慢，大大影响了传输效率，深信服科技的多路复用技术还可以达到线路优先选择的效果，连接速度快的那条线路将被优先建立VPN隧道，最大程度降低了因客观原因造成的效率损耗。优先选择速度快的线路建立VPN隧道更快：多条Internet的并发使用大大拓宽了VPN的线路带宽；更稳定：多条线路中只要有一条工作正常，Sinfor VPN VPN即可保持VPN隧道畅通，用户不会觉察到线路的中断和恢复；更可靠：结合VPN内的QOS技术，Sinfor VPN VPN能够确保管理员实现规定的重要数据能够在网络繁忙时得到优先传送，避免重要应用的耽误。同时，可以通过Sinfor 独特的带宽自动识别技术，自动选择最优线路。3、 断线重连，自动恢复为了保证拨号网络的稳定性，Sinfor VPN中集成了自动拨号软件，在拨号中断后，5秒内可以重拨。网络物理连接恢复正常后，VPN隧道将在1分钟内自动建立，从而保证系统迅速恢复。4、 冗余容量设计，应对突发电信网经常因为话务高峰而瘫痪，数据网络也如此，如果网络设备的容量承载不了突然增长的业务负荷，那么系统就可能瘫痪。Sinfor VPN的设计容量大大超过一般用户的实际容量，M5400和M5100硬件网关的性能能够很好的满足整个集团的数据访问和传输需求（参照附件性能参数），这种冗余容量的设计保证VPN网络即使遇到业务突发高峰，也能稳定运行。5、 支持双机热备为了保证整个VPN网络的稳定性和健壮性，Sinfor VPN设备支持双机热备，当一台设备暂时无法正常运行时，所有VPN应用访问自动转移到备用设备进行，保证VPN数据传输的可持续性和稳定性。图示如下：安全性（VPN）多数用户在使用VPN的时候非常关注产品的安全性，但往往用户对安全的考虑会陷入一些误区，仅仅看产品是否有加密或是有没有账号验证，但这些因素都是安全的一个基本面，要想实现更严格的安全措施，仅仅依靠加密或账号验证是远远不够的，作为专业的VPN产品，Sinfor VPN VPN在安全方面有更为完美的表现。1、 数据加密：数据加密的目的是为了是数据在传输过程中不会因为被截获或是侦听而造成机密的泄露，目前数据加密技术都相对成熟，各个厂商所采用的加密机制均能较大程度防止数据被窃取，区别仅在于加密的强度和性能，Sinfor VPN VPN默认采用了AES 128加密算法，并支持DES、3DES等加密算法，同时是国内第一家也是目前为止唯一一家通过国密办认证SCB2加密算法的VPN企业。2、 身份验证从VPN实际应用的角度考虑，用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患，也需要较专业的人员才能破译，造成的也仅仅是部分信息的损失，而一旦有非法用户成功接入，那整个企业网络都将暴露给入侵者。Sinfor VPN VPN采用了深信服科技的发明专利技术（基于硬件特征的身份认证技术）来解决用户的接入认证问题。该技术将接入用户的身份鉴别与计算机的硬件特性进行绑定，由于每台计算机具备唯一的硬件身份（如网卡的MAC地址、CPU的特征码等），而且具有不可伪造的特性，Sinfor VPN VPN在部署的时候会要求远端用户用VPN软件生成本机对应的硬件身份证书，并将这个证书和该用户的账号绑定，这样，当该用户账号请求接入时，VPN VPN客户端（可能是MVPN、SVPN、PVPN中的任何一种）会自动重新采集本机硬件信息生成证书，并发送给总部进行硬件特性的比对。这就保障了只有指定的计算机设备才能接入企业VPN网络，即便接入的用户名、密码等账号信息泄露也不会造成非法用户的接入，无需使用人员有很高的计算机安全知识就能确保VPN系统的安全，大大降低用户使用VPN的技术门槛。对于那些使用笔记本电脑的移动办公人员来说，由于计算机使用者身份的不可控性，仅仅使用硬件身份进行验证是不够的，对此，深信服科技还使用了动态令牌这种最高级别的安全硬件设备来实现用户验证，VPN部署时，总部部署动态令牌的服务器，服务器会根据每一个令牌进行时钟同步运算，随机，实时的改变PIN码，这样，当这个用户账号试图登录时，使用者必须将指定令牌对应的密码输入进去，否则即便用户账号正确也无法实现接入，确保了使用者身份的唯一性，而且这种方式免去了一切安装，十分方便，达到了把内网带在身边的效果。3、 内网权限控制高级权限普通权限病毒财务服务器OA服务器前面的分析提到，由于VPN网络可能向不同类型的用户（如内部员工、供应商、客户等）开放，如果VPN用户成功接入总部就能进行不受控制的访问，这样的VPN网络是非常危险的，因为管理员并不知道一个合法用户在单位的网络内进行了什么样的操作。因此，考虑到以上安全银行，Sinfor VPN VPN还增强了对内网的安全设置，保障了第三个层次内网资源访问的安全。大部分VPN产品是一旦确认了远程用户的合法身份，用户就可以不受限制的访问全部内网资源。而实际上，大部分企业并不希望远程用户能不受限制的进行访问，而是有条件的进行访问，尤其是接入的VPN用户并非是企业内部工作人员（如供应商、客户、合作伙伴等）时，对VPN用户访问权限需要更严格的设定。Sinfor VPN VPN提供了对内网访问权限的细致设定，可以对不同的用户分配不同的权限规则，避免内部出现的安全隐患，一个合法的VPN用户接入总部后，他对总部资源的访问权限能够被限定在一个很小的范围内，例如总部有多个应用系统（如OA、财务等等），一个普通的业务人员在联入VPN后只能访问OA提供，而公司领导则可以同时访问所有的应用系统，所有的这些权限都可以通过简单的配置迅速完成，极大的方便了IT安全部门的管理工作。4、 VPN产品自身的安全由于VPN产品工作在Internet上，且VPN本身有操作系统存在（即便是硬件VPN，其基本是工作在Linux操作系统上），因此，VPN产品难免面临来自Internet的攻击（如DOS攻击可耗尽服务器或设备的资源），必须有足够的保护措施，最有效的方法是通过将 VPN 与防火墙技术紧密的集成在一起来实现真正的安全。深信服科技提供的Sinfor VPN VPN集成了基于状态检测的包过滤防火墙，在企业接入INTERNET的时候为企业网络和VPN产品提供保护。主要有以下特色：1) 管理员权限分级分为一般用户(查看运行状态和日志)、超级管理员（设置防火墙的配置）、日志备份人员（比一般用户多了日志备份权限）2) 流量监控可视化的显示当前和历史流量信息，为管理员检查网络问题提供参考，后续将加入单个用户的流量排名。3) 集成DHCP服务不需要对内网的机器进行任何配置，自动分配IP。可以按将MAC地址或机器和固定IP进行绑定。4) 集成自动拨号服务断线重拨，5秒内重新连接。实现防火墙软件设备化，开机即可上网、代理，无需拨号。5) 状态检测的防火墙功能基于连接状态检测技术，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合大大地提高了系统的性能。同时由于不是孤立看待每一个IP包，因此黑客很难伪造一个连续的状态，也大大加强了系统的安全性。6) 内置多种攻击防御在Sinfor VPN中内置了对多种攻击行为的识别和防御，包括各种分片攻击和DOS攻击(含各种Flooding攻击、Jolt2、Ping of death、ICMP Smurf Attack 等)。系统对于攻击的防御方式是丢弃。可以通过升级内核而升级对更多DOS攻击的防御功能。7) 防火墙规则可以升级可以从Sinfor 的网站导入最新的安全规则，实现防火墙的安全升级。8) 上网控制通过设置防火墙规则限制内网用户上网，可以进行用户分组，支持MAC IP绑定，支持分时段管理(7*24小时自由定义)。上网控制具有流量排名功能，可分别排列上行，下行流量的前五名用户，具有访问记录功能，可列出最新的100条上网访问纪录9) 虚拟测试Sinfor VPN内置了虚拟测试环境，通过可视化的对各种安全设置规则进行测试，从而杜绝人为错误导致的安全漏洞。(事实上由于人为错误导致的安全漏洞在网络攻击事件中比例高达40%)10) 分级的安全管理，配置更方便分为高、中、低和自定义 4个安全级别，用户可以根据需要灵活配置。使用内置的高、中、低 安全级别，使得网络防火墙的配置和个人防火墙一样容易；即使不懂网络也可以配置出安全的防火墙。11) 强大的QOS功能将网络服务进行分级，优先级高的服务获得更多网络带宽。共5个优先级别(1-4加特权级)。不仅实现了发送QOS（优先的服务优先发送），还实现了接收的QOS功能(该技术是领先的，大多数防火墙都无法实现对接收的数据进行QOS控制)。12) 备份功能对防火墙的配置和日志都能进行备份，从而保证在出现灾难后能迅速恢复系统。或通过配置备份功能实现对多个网络的重复配置。13) 完善的日志系统强大的日志功能，可以迅速的对防火墙上的数据流量进行记载，随时查看防火运行状态。14) URL过滤功能独特的URL过滤功能，可以针对网址进行网页的访问控制，设置规则一目了然；也可以对各种分类网址进行屏蔽，轻松搞定。URL支持字典搜索，最大支持10000条。15) 多线路功能（专业版功能）支持多达4条上网线路，每条线路都有流量k线图，拥有4总多线路带宽分配算法，针对不同的需求和环境选择最合适的分配算法，带有4条线路的自动拨号工具。16) 时间管理时间计划支持半小时的精确度，更体贴用户的设计。VPN 的性能和服务质量保证（QOS）VPN的性能包括速度、支持的VPN节点数量、支持的网络规模、VPN和防火墙数据吞吐量等多个方面，专业的VPN产品在这些环节上均有突出表现，以满足大容量用户对VPN的要求。虽然说现有的宽带已经远远好于过去的窄带网络（如MODEM），但用户对带宽的要求是无止境的。VPN由于对数据进行了安全性的封装，同时进行了加密处理，从原理上说、就会比实际的Internet接入带宽要低。Sinfor VPN VPN内置了数据压缩算法，对负载数据先进行压缩之后再传输，这就在无形中极大的提高了带宽，经实际测试，很多应用情况下甚至比直接连接还要快。另外，由于部分用户对速度的要求非常高，Sinfor VPN VPN具备的多线路捆绑功能使得用户可以申请多条Internet线路，然后将多条线路的带宽进行绑定并发使用，使得带宽成倍增加，并可实现在此基础上的QOS管理。Sinfor VPN VPN的高性价比也在系统的性能特征上得到了体现。VPN VPN软件能支持局域网内多达5000台计算机并发上网或建立远程VPN连接；支持同时并发1024个远端VPN节点，防火墙吞吐量在P4级别的计算机上能达到80M。上述系统性能完全能够满足大部分企业的需要。有没有强大的QOS功能是衡量一个VPN产品专业与否的关键指标，目前的VPN产品基本是使用了防火墙的QOS功能，无法对VPN内的数据进行细粒度的QOS控制，且多数防火墙是采用了基于带宽的QOS管理，容易造成带宽的浪费。深信服科技创新性的提出基于防火墙和VPN不同层次的智能QOS，以确保用户VPN内的重要数据的优先传送。利用防火墙的QOS功能在整个Internet带宽基础上为VPN保留合理的带宽，避免网内用户的上网行为对VPN造成影响，而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽，在网络繁忙时优先传送更重要的数据（如对时延较为敏感的VOIP及视频数据及数据库查询等）。传统的基于带宽的QOS功能是利用为特定应用保留指定带宽的方式来实现QOS的，这种方式的弊端在于即便这些特定应用并没有数据传送，这些被保留的带宽就闲置了，体现在网络流量上就是始终无法达到网络物理带宽，而Sinfor VPN/FW中采用智能的QOS利用了强大的算法实现了带宽的实时管理，当特定应用流量大时QOS为这些应用确保了满足事先预定的带宽，当特定应用没有流量产生是，智能QOS又会将空闲带宽分配给正需要带宽的应用，可充分利用所有带宽，体现在流量上就是整个网络始终是满负载的（在数据传输量足够的情况下）。对移动用户的支持1. 便捷接入，应用发布SSL VPN的客户端程序，如Microsoft Internet Explorer等已经预装在了一般的PC中，因此不需要再次安装；使用者只需打开浏览器，输入相应地址，就可以访问到其所授权的服务。对人寿内部所有的应用系统，包括内部邮件，公文处理系统，Notes，SOC，RTX，电子商务系统，都可以对远程用户开放。而对网络管理人员，可以远程访问其中的网络设备管理系统，对内网系统进行远程维护和操作。而SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响，远程用户无论所处网络如何，都可以有效接入。IT管理人员也不再为大量的用户接入故障，客户端维护升级疲于奔命。这些都使人寿的信息化触角遍布到员工到达的每一个角落，实现业务信息的即时互联互通。2. 保护内部系统在总部的网络出口处，防火墙只需开放443端口就能保证远程用户对内网所有服务的使用，极大的解决了网络系统安全性和可用性的矛盾。而对远程接入用户而言，只有SSLVPN设备是对其可见的，而隐藏了服务区网络结构。其对任何网络服务的访问都由SSL VPN做代理访问再将数据传回。避免了IPSec VPN一旦建立隧道，就将服务区网络结构暴露出来的弊端。SINFOR SSL VPN还提供了一个隐藏服务。用户在访问总部的SSL资源时，SSL VPN可以将某些特殊的资源隐藏起来，用户在其资源列表中无法看到该项资源，但用户仍然可以使用。这种支持隐藏服务的功能，更加保证了企业内网资源的安全性。3. 数据传输安全性SINFOR SSL VPN采用标准的SSL协议加密建立安全的专用通道，使用标准浏览器内置的RC4 (128 位)加密算法进行加密，并通过RSA(1024 位交换)非对称密钥进行签名，保证了数据在传输过程不被监听和篡改。4. 多种认证防止非法接入除了使用用户名密码/证书的认证方式外，还可以使用DKEY(一种USB 的身份认证设备)进行双因素身份认证。为防止DKEY丢失被盗用，还为DKEY加入了PIN码保护。为防止对PIN码的强制性攻击，在芯片级设置了多次密码试错自锁功能。一些特殊的远程接入使用环境下可以使用硬件特征码绑定，比如无需指定接入用户，但必须对接入主机进行控制的情况，可以通过获取客户端的硬件信息生成数字证书，对证书和用户进行绑定实现用户身份的唯一性控制。Sinfor SSL VPN还提供短信认证技术，此认证系统分为手机短信终端和短信认证服务器两部份。终端用户通过手机短信获得随机用户认证访问代码，就能够安全地访问网络资源。对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等，SINFOR SSL VPN基于短信认证多种认证方式，有效地抵御了这类对企业重要资源造成的威胁。即使终端用户的机器被黑客攻击，控制了用户的机器，或者一些间谍软件、钓鱼软件泄漏了用户名密码等访问口令，由于采用了手机短信认证的动态身份认证系统，也无法威胁到企业的内部资源。多种认证方式、完善的认证体系，使得企业在选择的时候，可以根据相应的安全级别，对客户端的认证方式进行组合，最大限度地保证了接入用户的合法性和企业内网资源的高度安全。5. 与第三方认证有效集成SINFOR SSL VPN可以从微软域服务器或LDAP服务器中直接导入用户数据，能和第3方的LDAP认证服务器或RADIUS认证服务器有效集成。这样一个组织机构就可以保持一套认证体系，简化了部署过程，避免多套认证体系带来的更多维护成本和更多安全风险。6. 双向的证书支持，完整的PKI体系目前很多SSL VPN仅仅支持服务器端的数字证书，这样就无法使用PKI体系识别接入用户的真伪。SINFOR SSL VPN能够支持双向的数字证书：不仅支持使用证书对服务器身份进行认证，还能使用数字对客户端身份进行验证。这样SINFOR SSL VPN就能支持开放的PKI体系，和许多使用CA中心的应用有效集成，简化认证过程：即同一套PKI即用于SSL VPN的接入认证，又用于接入后登录应用系统的认证。7. 自建CA中心，减少安全构架成本SINFOR SSL VPN中内置了一个CA中心，可以减少中小企业构建CA安全认证体系的成本。通过该CA中心，管理员可以给每个远程接入用户颁发证书，并存储在DKEY中，用来认证每个接入用户的身份。同时，SSL VPN也支持第三方CA中心。8. 更完备的登录安全为了保证客户端接入VPN前的安全性，SINFOR SSL VPN安全网关即将推出客户端安全检查功能，依据客户端的操作系统、安装杀毒软件的情况、安全补丁版本等因素来评估客户端安全级别，并根据不同安全级别分配不同的权限，防止客户端的不安全因素通过SSL VPN传播到总部的内部网络而产生的安全隐患。为防止远端机器由于成为黑客接入内网的“跳板”，SINFOR SSL VPN提供VPN专线功能，即在用户用SSL登录内网的同时，切断其和Internet的所有其它连接。SINFOR SSL VPN在用户结束访问以后，拔出DKEY后将自动注销，同时会自动清除Cookie，临时文件等遗留在客户端计算机上的信息，实现“零痕迹”访问，避免安全隐患。9. 超时退出，防止窥探为防止用户在没有注销的情况下长时间离开，导致他人窥探到SSL VPN内的机密信息，SINFOR SSL VPN安全网关特别加入了不活动检测引擎。当检测到客户端在指定时间内没有任何访问内网资源的流量时，SSL VPN网关将自动弹出对话框，提示用户“SSL连接会在X秒内超时关闭，继续还是注销？”若用户在该时间内仍未选择相应动作，则SINFOR SS VPN安全网关将自动注销，中断会话并重新返回登录界面。10. 更高的访问权限粒度SINFOR SSL VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架，用户可以分组管理，而授权粒度则可以按照角色进行管理，可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色，这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。11. 全面接入审计，记录SINFOR SSL VPN通过行为跟踪引擎，对每个远程接入用户的所有访问记录都留下了日志记录。并支持第三方日志服务器，对审计日志进行定期导出，在日志系统中可对所有远程用户的登录行为做全面的分析和统计。管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数，用户的登录次数、告警次数等进行直观显示，并可直接打印和导出。四、其它特性1. 多线路技术实现线路备份，保证VPN线路稳定SINFOR SSL VPN支持多达四条线路的线路备份和负载均衡，大大提高了VPN网络的稳定性。由于VPN的稳定性是依赖于线路本身的稳定性，若采用单条线路，一旦中断，将造成整个VPN系统陷入瘫痪。通过多线路带宽叠加及复用技术（专利号：CN200310112006X），将多条线路、不同方式接入方式的上网线路实现带宽叠加和互为备份，保证了整个系统的持续可靠运行。若任何一条线路出现故障，SINFOR SSL VPN可以将数据无缝切换到其他正常线路，不会影响SSL VPN用户的接入和访问。并且若故障线路恢复正常，VPN的连接隧道将自动愈合。这一切都是系统自动进行，无需人工干预，保证了用户的重要应用持续、不间断地稳定运行。2. 双机热备，保证VPN网络稳定性SINFOR SSL VPN安全网关内置了双机热备系统，其工作原理如下：当SSL VPN网关启动时，系统会自动监听Console上是否相应的信号。若有检测到另外一台SSL VPN网关的信号时，表明有备份设备存在。则此时SSL VPN网关会自动协商主备信息，其中一台的设为主设备，另一台设备为备份设备。若主设备配置发生变化，比如有新的用户增加或者删除等情况时，主设备会通过console口发出指令通知备份设备，备份设备则同步更新相应的配置信息。因而通过console口，两台SSL VPN网关实现了实时的信息同步，达到双机热备的效果。3. 多线路带宽叠加技术，保证充足的上网带宽多线路带宽叠加及复用技术（专利号：CN200310112006X）。可在多条线路之间起到带宽复用，提高传输带宽，而且SINFOR SSL针对不同的上网线路，还可以启用多线路策略，用户可以根据线路情况选择带宽叠加模式、线路主备模式或者动态适应模式等多线路策略。同时，SINFOR SSL VPN安全网关内置了5个Qos级别和多条Qos规则，用户可根据自身实际情况设置相应的QOS级别。4. 多线路智能选路技术，选择最快的连接线路目前，大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小，严重影响了VPN的应用效果。SINFOR SSL VPN安全网关采用了多线路智能选路的功能，解决了国内跨运营商部署VPN网络时遇到的带宽小，延迟大的问题。只要在VPN总部端申请多条运营商线路，采用SINFOR SSL VPN的多线路版本。对于分布到不同运营商网络的远程接入用户，当发送一个连接请求到SSL VPN硬件网关时，SSL VPN会自动迁移到最快的线路上，完美解决跨运营商之间连接延迟大、带宽小的问题。此技术对于在外地出差的移动办公用户能够很好的解决运营商不同的问题。5. 基于硬件的高效压缩算法，提高访问速度传统的SSL数据传送都是经过没有压缩的，这样会导致客户端访问Web资源和C/S应用时速度低下。SINFOR SSL VPN安全网关通过内置基于硬件的压缩算法和硬件加速卡，提升了网络的吞吐量。SINFOR SSL VPN安全网关采用了基于硬件的GZIP和LZO高速流压缩算法，对所有的VPN数据先压缩后传送，大大提高了终端用户在使用Web资源和C/S应用时的访问速度，减少下载时间和网络流量。尤其当终端用户在CDMA等移动网络上使用VPN时，效果更为明显，速度可以提高一倍以上。6. 强大的硬件加速卡，更快的SSL处理速度SINFOR SSL VPN安全网关内置了硬件SSL加速卡，将需要计算程度较高的加密/解密流程从CPU中分离出来，提高SSL VPN网关的性能。服务无论您从哪里购买我们的产品，都能得到我们直接的服务和实施建议。我们在全国主要城市设有直接销售及服务机构，其它地方均有代理商、合作伙伴和授权服务中心，这些地方将帮助您搭建起覆盖全国的VPN网络。另外，如您在使用过程中遇到产品问题，可24小时拨打免费800电话寻求帮助。 目前在全国所有省会城市具有直接办事机构：免费咨询电话：800-830-9565免费服务电话：800-830-6430五、深信服科技介绍深信服科技（www.SINFOR）是深圳市高新技术企业，致力于创新、高性价比的产品，提升商业用户的带宽价值，成为全球领先的边界网络产品供应商。公司长期以来在VPN领域持续投入、不断探索，目前已有的产品线包括:软件VPN、硬件VPN、IPSEC VPN、SSL VPN、集中安全管理平台等全系列的丰富产品，在教育、金融、政府、能源、保险、民航、连锁、通信运营商、石油化工、制造业、医疗卫生等众多行业和重要网络中得到规模应用，客户数量超过八千多家，连接着国内外数万个网络，移动用户超过数十万个，承载着众多用户的日常业务安全运行。作为国内边界网络产品领域的领导厂商，深信服科技在VPN领域拥有多项核心技术，目前已经成功申请11项国家发明专利。凭借优秀的产品和众多的成功案例，深信服科技的VPN产品受到业界人士的广泛好评，产品屡获殊荣。2005，2006，2007年连续三年，深信服科技荣获德勤颁发的“中国高科技高成长企业50强”和“亚太区高科技高成长500强”两项殊荣。附录I、SINFOR VPN技术参数说明Sinfor VPN是一种专业的VPN解决方案，不需要DDN专线、不用固定IP地址，即可将公司总部与分支机构以及出差工作人员通过INTERNET连接起来，实现总部所有信息化系统的远程应用，完全达到同在一个局域网内的效果。深信服公司为广大企业提供了整体解决方案-Sinfor VPN，从而大大降低了企业Internet化的整体成本。在Sinfor VPN中集成了高效的端到端VPN、桌面到端VPN、状态检测防火墙、代理上网服务、访问控制服务，并大大简化了整个系统的维护管理过程，是中型网络乃至大型网络接入Internet的高性价比方案。一、以下为硬件网关功能清单：网络特性：l 广域网接口光纤、帧中继、T1/E1(需要转换设备)、以太网、PPPOE 、PPP。l 局域网接口 10/100Mbps 以太网 * 2 (LAN & DMZ)l 协议支持 IPv4, IPv6, VLAN标记，路由，NAT/NAPT，组播，OSPF, IGMP, Diff Serv，IPSec, IKE，VLAN Trunk，PPTP穿透，GRE，H.323VPN特性：l 网络支持通过WebAgent专利支持全动态IP组网，支持NAT穿透，支持NAT内反向连接l 安全算法AES、DES、3DES、MD5、SHA、DH、RSA ，支持加载扩展安全算法模块l 认证支持Radius、数字证书、预共享密钥、USB Key双因素认证、硬件证书认证(专利技术)l QOS 支持VPN内的业务分组管理，流量控制 支持VPN流量分流技术l 多网络支持 支持对50个内部子网提供VPN保护l 移动办公 支持移动虚拟IP池、支持DKEY实现客户端零配置(专利技术)l 内部权限 支持按用户分配接入权限和访问权限，支持VPN内的DOS攻击过滤l 网上邻居 支持透明的网上邻居互访l 广播和组播支持广播和组播的跨VPN复制l 压缩技术IP头压缩、 LZO流压缩防火墙特性：l 防御功能状态检测，内置各种攻击的抵御模块，包括DOS/DDOS、Ping of Death、ActiveX和Java 攻击等近2,000种攻击。l 规则配置 支持按时间、主机、服务等对象组合防火墙规则 支持虚拟测试功能检查防火墙规则l 上网管理 支持各种NAT/NAPT协议，支持1000条IPMAC绑定，URL过滤，用户分组管理，时间管理l QOS 支持5个QOS级别和智能分配的QOS算法。l 监控与管理支持URL访问记录，流量统计，流量/会话排名，病毒发现机制高可靠性：l 集群技术 支持 VPN集群，做多系统备份l 网络支持支持使用两个广域网接口做VPN流量负载均衡和VPN线路备份(专利技术)l 自动恢复看门狗提供自动恢复功能、隧道自愈功能l 平均无故障时间 60000 小时可管理性：l 管理方式 支持GUI客户端配置和CLI 高级配置，支持远程管理l 管理级别分为查看和编辑两种管理员权限l 日志提供系统信息，告警日志，错误日志，调试日志等多种日志，支持独立日志服务器l 备份功能 支持本地和远程备份及恢复 日志以文件方式备份l 集中管理 通过Sinfor SC 平台进行统一管理可扩展性：l 支持通过序列号修改授权数l 支持本地和远程升级Sinfor OS，获得新特性l 普通版可直接升级至专业版，扩展一个WAN接口l 可升级至Sinfor SC 平台实现整网集中管理l 可升级至Sinfor AC平台，集成丰富的内网访问控制和网络杀毒功能电气参数：l 输入电压 110 -240Vl 使用环境温度 0 45 l 用环境湿度 590%(非冷凝)l 网络接口 100BASE-T (RJ-45) * 4l 串口 RS232 * 1l 尺寸 19(W)14.5(D)1.75(H)l 重量 4.5 Kgl 面板指示灯 LED网路指示灯*4 LED告警指示灯*1 LED运行指示灯*1二、以下为硬件网关性能清单：SINFOR S5100性能指标：分类功能详细指标IPSec VPN性能参数VPN加密速度（AES 128bits）5 MbpsIPSec VPN隧道数50并发VPN客户端数50VPN 数据转发时延0.3 ms防火墙性能参数防火墙吞吐量（双向 256 bits包）50 Mbps最大并发会话数20,000最大防火墙规则数2048最大URL匹配数1024最大时间规则数128最大QOS规则数128网络接口局域网接口100BASE-T (RJ-45) * 2广域网接口100BASE-T (RJ-45) * 1扩展接口无串口RS232 * 1电气特性电源180-240V冗余电源无使用环境温度10 50 使用环境湿度590%，非冷凝尺寸(cm)43.9(W)25(D)4.45(H)重量1.1Kg面板指示灯LED网路指示灯*3LED告警指示灯*1LED运行指示灯*1SINFOR M5100-S P VPN Gateway性能指标：分类功能详细指标IPSec VPN性能参数IPSec VPN 加密速度（AES 128bits）54.4 MbpsIPSec VPN隧道数2500 条IPSec VPN 转发时延0.3-0.5 ms并发IPSec客户端数20000SSL VPN性能参数SSL VPN 加密速度（RC4 128bits）70 MbpsSSL VPN并发会话数2000SSL VPN 转发时延0.3-0.5 ms并发SSL用户数300每秒新建会话数300防火墙性能参数防火墙吞吐量（双向 256 bits包）300 Mbps最大并发会话数目600,000最大防火墙规则数目65535最大URL匹配数目1024最大时间规则数目1024最大QOS规则数目1024网络接口局域网接口100BASE-T (RJ-45) * 2广域网接口100BASE-T (RJ-45) * 2可扩展接口无串口RS232 * 1电气特性电源180-240V冗余电源无使用环境温度-10 50 使用环境湿度590%，非冷凝尺寸(cm)42.7(W)32.9(D)4.45(H) 重量4.5Kg 面板指示灯LED网路指示灯*4LED告警指示灯*1LED运行指示灯*1深信服科技 26