SSLVPN解决方案.doc

资源描述

精选 word 范本 XXX 公司 VPN 系统解决方案建议书北京天融信公司 2020 年 1 月精选 word 范本目录第一章 XXX 公司网络现状及需求分析 1 1 1 网络现状 1 1 2 需求分析 1 第二章 VPN 技术及天融信 VONE 产品 2 2 1 VPN 产品概述 2 2 1 1 安全接入的应用趋势 2 2 1 2 安全接入的技术趋势 2 2 1 3 天融信 VONE 产品介绍 3 2 2 天融信 VONE 网关产品特点 4 2 3 天融信 VONE 产品主要功能 11 2 4 天融信 VONE 产品规格 19 第三章 XXX 公司 SSL VPN 接入解决方案 20 3 1 VPN 解决方案 20 3 2 本解决方案的主要特点 22 精选 word 范本第一章 XXX 公司网络现状及需求分析 1 1 网络现状 XXX 公司企业业务网络系统由企业总部和远程移动用户组成其中总部局域网络是整个网络系统的核心为企业各类服务器所在地同时也是网络管理中心各移动用户现在希望通过 Internet 与总部进行安全通信具体需求如下企业现在有一个内部业务应用系统基于 B S 或 C S 架构由于业务的扩展有很多业务人员在外办公目前大概有 1000 名移动用户为了能合理利用网络及内部资源需提供一个简单可行的远程接入方案把移动用户接入到内网同时对这些用户能有效进行管理 1 2 需求分析根据 XXX 公司现有的网络状况和业务情况目前的需求分析如下内网业务系统基于 B S 结构业务模式简单移动办公人员众多使用水平参差不齐对移动办公人员的身份要求进行严格认证和监控数据在 Internet 上传输时应保证足够的安全该系统扩展性好为以后的扩充更多用户做好准备有良好的日志系统整个接入系统安装方便快捷便于维护和管理基于以上分析这是一个典型的 VPN 的接入需求天融信公司能提供基于 IPSec 和 SSL 的两种 VPN 解决方案在本案中用户的业务模式简单仅基于 B S 模式用户数量众多在此推荐采用 SSL 的解决方案以下我们将详细论述天融信 SSL VPN 解决方案精选 word 范本第二章 VPN 技术及天融信 VONE 产品 2 1 VPN 产品概述 2 1 1 安全接入的应用趋势随着电子政务和电子商务信息化建设的快速推进和发展越来越多的政府企事业部门已经或即将构建网上办公系统和业务应用系统使内部办公人员通过网络可以迅速地获取信息使移动办公等多种远程办公模式得以逐步实现同时使合作伙伴人员也能够访问到相应的信息资源可是要享受通过互联网访问企业内部的信息资源的便利就面临着非法访问信息窃取等越来越多的来自外部和内部的安全威胁而我们目前所使用的操作系统网络协议和应用系统不可避免地存在着不少的安全漏洞因此在构建和应用这些应用系统时必须要保障关键应用在开放网络环境中的安全同时还需尽量降低实施和维护成本 2 1 2 安全接入的技术趋势目前安全接入组网技术有多种每种技术都有其适用范围和优点同时也有一定的缺点主流的VPN技术主要有以下三种 1 L2TP PPTP VPN L2TP PPTP VPN属于二层VPN 技术在windows 主流的操作系统中都集成的 L2TP PPTP VPN拨号客户端软件但是由于协议自身的缺陷没有高强度的加密和认证手段安全性较低同时这种技术仅解决了移动用户的VPN访问需求对于LAN TO LAN的VPN 应用无法解决 2 IPSec VPN IPSec VPN 属于三层VPN 技术协议定义了完整的安全机制对用户数据的完整性和私密性都有完善的保护措施同时工作在网络协议的三层对应用程序是透明的能够无缝支持各种应用既能够支持移动用户的VPN应用也能支持LAN TO LAN的VPN 组网支持多种网络拓扑结构其缺点是网络协议比较复杂正确配置VPN隧道需要较多的专业知识而且需要在移动用户的机器上安装单独的客户端软件 3 SSL VPN 精选 word 范本 SSL VPN属于应用层VPN技术协议定义了完整的安全机制对用户数据的完整性和私密性都有完善的保护由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议因此原理上将对于B S应用是无需安装客户端软件的部署使用较为简单主要适用与移动用户接入并访问B S结构的应用系统对于 C S应用的支持仍然需要安装客户端的插件各种VPN 技术都有其优点和缺点用户的实际应用中往往需要将这几种技术进行综合应用才能满足较为复杂的用户需求天融信将这几种VPN技术有机的进行了整合实现了在一台设备中同时支持上述几种主流的VPN组网技术同时集成了业内成熟领先的防火墙和身份认证系统形成了一个完整的安全接入解决方案 2 1 3 天融信 VONE 产品介绍网络卫士VONE系列 IPSEC SSL VPN多合一网关是集天融信十几年研发经验向用户提供的完整VPN接入解决方案是天融信推出的最新一代网络安全接入产品该产品以天融信自主知识产权的TOS Topsec Operating System 为系统平台采用开放性的系统架构及模块化的设计融合了身份认证访问控制等安全手段具有安全高效易于管理和扩展等特点网络卫士VONE网关可为分支机构移动办公员工业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务产品的L2TP PPTP SSL功能无需安装任何客户端软件也无需投入太多人力进行配置或长期的维护产品完善的IPSEC VPN功能可以方便的构筑与分支机构之间LAN TO LAN 互联的VPN网络 SSL VPN位于外部网络和内部网络之间利用安全套接层 SSL 来提供安全的传输功能而SSL在所有标准的Web浏览器中都具有的 SSL VPN 构建在经过强化的软硬件平台上实现用户和资源的绑定天融信VONE 网关可提供Web转发应用Web化端口转发和全网接入等多种接入方式以适应不同的用户需求同时还具备强大的访问控制权限管理细粒度的审计和日志记录等功能网络卫士VONE网关包含完整的业界领先的专业防火墙功能还具有内容过滤入侵防御带宽管理等功能能为用户提供全面的网络边界安全防护解决方案精选 word 范本 2 2 天融信 VONE 网关产品特点 1 自主安全操作系统平台采用自主知识产权的安全操作系统 TOS Topsec Operating System TOS 拥有优秀的模块化设计架构有效保障了防火墙 VPN 内容过滤抗攻击流量整形等模块的优异性能其良好的扩展性为未来迅速扩展更多特性提供了无限可能 TOS 具有高安全性高可靠性高实时性高扩展性及多体系结构平台适应性的特点 2 多种 VPN 技术有机融合前面已经分析了目前主流的各种 VPN 技术的优缺点这些技术有其不同的适用范围在实际的用户网络中不同的用户需求往往需要多种 VPN 技术综合应用在这种情况下往往需要用户购买多台不同的 VPN 设备来满足需求这既浪费资源又带来用户管理维护的工作量同时网络环境变得更加复杂网络运行的稳定性和安全性都会面临新的挑战网络卫士 VONE 网关是天融信公司在多年各种独立的 VPN 产品研发和销售的基础上推出的一款融合 IPSEC SSL PPTP L2TP 等多种 VPN 技术的综合安全网关产品在 TOS 平台强大的整合能力保障下各种 VPN 模块进行了有机的整合为用户提供一个统一完整的 VPN 接入平台 3 安全接入与安全防护无缝结合 VPN 网关作为网络边界设备除了完成远端网络或移动用户的远程接入功能外对用户网络边界安全也是至关重要的网络卫士 VONE 网关是构建在天融信强大的 TOS 系统平台基础上集成了天融信业内领先的防火墙功能模块能够为用户的 VPN 网络提供高等级的边界安全防护与访问控制天融信 VPN 网关具有强大的内容过滤功能支持 URL 分类过滤分类库大于 700 万条支持挂马网站过滤支持邮件过滤和反垃圾邮件功能还具完善的应用识别功能用户可以轻松的针对一些典型网络应用如 MSN QQ Skype 新浪 UC 阿里旺旺 Google Talk 等即时通信应用以及 BT Edonkey Emule 讯雷等 p2p 应用实行灵活的访问控制策略如禁止限时带宽控制等精选 word 范本网络卫士 VONE 网关支持完善的基于完全内容检测的访问控制技术防火墙检测技术发展至今大致经历了三个阶段从早期的状态检测 Status Inspection 到后来的深度包检测 Deep Packet Inspection 现在已经发展到了最新的完全内容检测 CCI Complete Content Inspection 状态检测只检查数据包的包头深度包检测可对数据包内容进行检查而 CCI 则可实时将网络层数据还原为完整的应用层对象如文件网页邮件等并对这些完整内容进行全面检查实现彻底的内容防护网络卫士 VONE 网关在 MAC 层提供基于 MAC 地址的过滤控制能力同时支持对各种二层协议的过滤功能在网络层和传输层提供基于状态检测的分组过滤可以根据网络地址网络协议以及 TCP UDP 端口进行过滤并进行完整的协议状态分析在应用层通过深度内容检测机制可以对高层应用协议命令访问路径内容访问的文件资源关键字移动代码等实现内容安全控制从而形成了立体的全面的访问控制机制实现了全方位的安全控制 4 多种 SSLVPN 技术结合实现应用全覆盖目前 SSLVPN 接入技术大致分为三类 WEB 转发 WEB FORWARD 端口转发 PORT FORWARD 和全网接入 NETWORK ACCESS 或者称为 IP TUNNEL 这三种技术的技术特点和适用范围各不相同在网络卫士 VONE 网关中对这三种 SSLVPN 接入技术都做了很好的支持用户可以根据自身应用系统的特点选择使用一种或多种接入方式 WEB 转发模式可以实现用户的完全无客户端接入支持各种操作系统和客户浏览器平台但其缺点是仅支持 B S 模式的应用系统而且对客户应用系统的依赖性较强网络卫士 VONE 网关通过在 WEB 转发模式中应用独创的智能 URL 重定向技术和自动分布式页面重构技术大大提高了对用户 B S 系统的支持率和处理性能同时通过开放的页面替换规则框架支持为用户个性化的业务系统自定义特殊的 URL 替换规则进一步提高了系统的适应性端口转发模式通过客户端本地代理技术实现对用户访问请求的 SSL 协议封装和转发这种模式的适应性比 WEB 转发要好但其要求在客户端安装一个 ACTIVEX 控件网络卫士 VONE 网关实现了客户端透明代理用户不需要修改本地的任何配置即能完成代理控件的安装和使用大大简化了用户操作步骤精选 word 范本全网接入模式通过 SSL 隧道转发客户端所有的 IP 请求报文其适应性最好能够支持基于 IP 协议的所有 B S 和 C S 业务系统其同样要求在客户端系统上安装一个 ACTIVEX 的控件网络卫士 VONE 网关通过全网接入模式能够实现移动用户的虚拟 IP 地址分配实现各种访问控制策略的下发支持移动用户以分离隧道 SPLIT TUNNEL 即可以同时访问 VPN 和因特网或完全隧道 FULL TUNNEL 即只能访问 VPN 不能访问因特网的方式接入 VPN 网络大大提高了远程接入的安全性和灵活性 5 支持虚拟桌面虚拟应用天融信公司的 TopConnect 客户端产品即支持虚拟桌面模式也支持虚拟应用模式通过这两种不同的使用模式企业用户可以限制不同的用户使用不同的模式即保证用户敏感数据的安全又能减少网络管理的维护量降低企业内部应用维护的人力物力成本针对业务应用丰富使用环境单一的用户或需要对智能移动终端进行管理和维护人员可使用虚拟桌面模式在这种模式下服务器直接将服务器端的个性化桌面展现给用户与传统的 PC 机相比较除显示屏幕面积外其余使用和操作没有任何差异而对于业务应用单一使用环境复杂或不能开发较多权限的用户可使用虚拟应用模式在这种模式下服务器只将特定的应用界面推送给用户除授权使用的应用外用户无法使用其它任何应用更无法对服务器进行修改和配置 6 完善的身份认证技术网络卫士 VONE 网关为通过 SSL 隧道接入的用户提供了完整的身份认证手段如果移动用户接入的环境比较简单可信管理员可以配置简单的用户名口令认证方式从而达到简单易用的效果为了防止线路窃听和重播攻击管理员可以采用用户名口令图形认证码的方式对移动用户进行身份认证对于需要强身份认证机制的用户管理员可以采用数字证书的认证方式通过高强度的密码运算来保证用户身份标识不会受到字典攻击等暴力攻击的威胁还可以通过数字证书 USBKEY 口令的双因子认证方式来确保移动用户的证书不会被盗用进一步加强认证的安全性精选 word 范本网络卫士 VONE 网关还支持短信认证图形码校验硬件特征码校验支持基于 web 协议的认证方式可以和业务资源的帐号系统使用一套避免了在 VONE 上再次建立帐号能够统一管理帐号增强了易用性支持指纹认证可以基于指纹信息进行认证 VONE 网关还支持多种认证方式的任意组合为用户提供最强的安全接入机制网络卫士 VONE 网关还支持通过 RADIUS TARCAS LDAP 等标准协议与外部专用的用户身份认证管理系统进行互动从而能够实现动态口令认证域认证等高级的认证方式这既可以与用户的其他应用系统和安全产品共用用户认证数据库实现用户集中管理和认证又可以充分利用用户已有的资源 7 多级用户授权机制和授权组合授权是对移动用户通过身份认证接入网关后允许访问的内网资源权限进行控制是保护内网资源安全的主要技术手段网络卫士 VONE 网关采用多级授权机制和用户授权继承的策略满足各种用户授权需求支持整体授权条件授权属性授权支持基于证书的属性字段的授权支持基于外部属性 LDAP 或 Radius 下发的属性值的授权也支持多条授权策略的组合在用户授权的粒度上网络卫士 VONE 网关支持基于 URL 目录文件等访问内容的控制策略支持用户行为动作的访问控制策略支持基于访问时间的控制策略能够充分满足管理员的各种用户授权需求 8 完善的 PKI 体系提高用户网络的安全等级随着 VPN 技术在政府金融等高安全性要求领域的应用不断深入用户对 VPN 网络的认证功能与其原有的 PKI 体系进行无缝结合的需求也越来越强烈网络卫士多合一 VPN 产品全面支持标准 PKI 体系结构既能够通过内置的 CA 模块独立为移动用户签发数字证书又能够通过导入 CA 根证书 CRL 列表方式对第三方 CA 签发的证书进行认证同时还能够通过 OCSP LDAP 等标准协议向第三方 CA 提交在线证书认证请求具体的 PKI 功能包括支持标准 X509 V3 格式数字证书支持 DER PEM PKCS12 等多种证书编码格式支持通过内置 CA 模块为用户签发标准数字证书精选 word 范本支持同时导入多个 CA 根证书和 CRL 列表对不同 CA 签发证书进行认证支持通过 OCSP LDAP 等标准协议向第三方 CA 进行在线证书认证支持生成 PKCS10 格式的证书请求可生成证书请求由第三方 CA 签名支持 CRL 列表文件的导入和通过 HTTP 自动下载天融信与吉大正元上海格尔天威诚信江南计算所等国内主要 CA 厂商有着长期的合作网络卫士 VONE 网关与这些厂商的 CA 系统均能够无缝集成 9 卓越的网络及应用环境适应能力网络卫士 VONE 网关构建于强大的 TOS 系统平台之上天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力其支持众多网络通信协议和应用协议如 VLAN ADSL PPP ISL 802 1Q Spanning Tree H 323 MMS RTSP ORACLE SQL NET MS RPC 等等适用网络的范围非常广泛充分保证了用户的网络的可用性同时针对国内用户动态 IP 地址较多的现状网络卫士 VPN 网关整合了天融信公司独立维护的 EZVPN 动态域名系统为天融信 VPN 用户提供专用的动态地址域名解析服务从而很好地解决了动态地址的 VPN 接入问题 10 分级可信接入体系天融信 VPN 网关还可对可信接入安全性检查结果进行分级不同的级别可以授予不同的权限对不满足安全要求的主机或终端可以根据其缺陷程度分别实行隔离修复和限制访问对于要求访问敏感信息服务器的用户如果没有达到较高安全等级可只授予与其安全等级匹配的普通权限这样既可以防止不安全的用户主机感染内部关键服务器又可以保留其浏览公司普通 Web 服务器的权限实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级 11 支持虚拟门户功能 SSL VPN 提供了虚拟门户功能从而使得企业及部门都可拥有自己独立的远程接入门户每个虚拟门户都可以定制不同的登录界面定制是否使用控件定制使用哪些功能模块定制不同的认证方式定制不同的公告信息等精选 word 范本 12 分级管理和三权分立天融信的 VPN 网关支持将管理员进行分级分组一级管理员可以创建若干二级管理员并给其进行授权分配二级管理员可以管理的用户组可以使用的资源组可以使用的角色是否可以创建下级管理员等二级管理员在其权限允许的范围内行使其权限如添加修改删除用户在权限范围内给用户授权创建三级管理员给三级管理员授权等天融信 VPN 网关最多可以支持 16 级的管理员分级管理便于大型组织客户将管理权限下放并可以根据需要授予不同的管理员不同权限支持管理员的三权分立可分别授予不同类型的管理员不同的权限 13 支持多种单点登录方式支持多种单点登录方式支持 HTTP401 方式密码助手 WEB 方式的单点登录用户只需要进行一次认证即可访问所有授权的业务资源大大提高了系统的易用性 14 与企业门户无缝融合许多大型企业已经拥有了自己的企业门户我们的 SSL VPN 可以与用户的企业门户无缝融合只需要简单替换一下企业门户中的登录 URL 即可实现许多企业已经部署了单点登录服务器我们的 SSL VPN 也能够很好融合用户通过企业门户登录 SSLVPN 后 SSLVPN 能够自动跳转 Portal 页面到企业的单点登录服务器页面显示该用户的资源列表同时在右下角显示一个 SSLVPN 小图标 15 适应多种终端和系统平台目前移动互联已成为新的应用趋势天融信 VONE 针对移动终端提供了多种安全接入技术能方便的实现通过智能终端移动办公支持虚拟桌面和虚拟应用的虚拟化接入技术具有终端与后台业务数据分离和应用无关性的技术特点能很好的解决移动终端接入所面临的数据安全性和应用适应性问题天融信 TopConnect 客户端是专门为智能移动终端提供安全接入的 SSL 客户端产品不但支持传统的 Windows Linux 操作系统还支持 iOS Android 等移动操作系统未来还将支持 WP8 丰富的操作系统平台支持意味着用户可以自由的选择终端产品无需受限于某个特定的应用范围精选 word 范本对于 iOS Andriod 智能终端支持 SSL 的虚拟桌面接入其中 iOS 还支持 IPSEC 零安装接入对于 Android Windows Mobile 系统的智能终端还支持使用全网接入模式接入对于 PC 系统支持 Windows 2000 XP 2003 2008 Vista Win7 Linux 系统的接入 16 智能递推天融信 VONE 产品支持智能递推功能只需要配置一个门户 url 采用智能递推技术即可自动将该门户 url 包含的子连接加入可以访问的资源列表降低了管理配置工作量 17 智能压缩支持数据智能压缩功能能够智能的根据当前传输数据的压缩比决定是否启用压缩大大提高了传输的效率和应用的访问速度 18 VPN 集群功能支持集群功能能够使用多台 VONE 网关组成一个集群系统大大提高了 VPN 网关的整体性能和可靠性能够满足大并发用户数的需求天融信 VPN 采用基于 TOS 系统的智能集群技术它的基本工作模式是多台 VPN 网关并行工作都处于正常的数据转发状态对外提供统一接入 IP 多台 VPN 网关之间相互备份一旦某台设备故障时其他的设备能够立即接替其工作保证用户业务数据的不间断天融信 VPN 支持最多 256 台设备的集群和多种集群负载均衡策略支持通过心跳口进行状态和 Session 同步网关切换时无需用户二次认证 19 符合国密局 SSL VPN 技术规范和 IPSEC VPN 技术规范天融信 SSLVPN 是严格按照国家密码管理局制定的 SSL VPN 技术规范和 IPSECVPN 技术规范进行开发的并通过了国家密码管理局商用密码检测中心的检测支持国家密码管理局规定的 SM1 SCB2 SM2 SM3 商用密码算法精选 word 范本 2 3 天融信 VONE 产品主要功能类别功能详细描述工作模式支持透明路由混合模式路由支持静态路由动态路由支持基于源目的地址接口 Metric 的策略路由支持单臂路由可通过单臂模式接入网络并提供路由转发功能支持 Vlan 路由能够在不同的 VLAN 虚接口间实现路由功能支持 RIP OSPF 等路由协议支持多线路源路返回的智能选路支持多线路捆绑和负载均衡组播支持 IGMP 组播协议支持 IGMP SNOOPING 可有效地实现视频会议等多媒体应用 VLAN 支持 Vlan Trunk 支持 802 1Q 能进行封装和解封支持 ISL 能进行 ISL 的封装和解封在同一个 Vlan 内能进行二层交换支持 QinQ 技术 vlan vpn 对报文进行二次基于 802 1Q 封装生成树支持 802 1D 生成树协议 ARP 支持 ARP 代理 ARP 学习可设置静态 ARP DHCP 支持 DHCP Client DHCP Relay DHCP Server 接入支持以太网光纤 ADSL DHCP 等多种接入方式网络适应性其它支持网络时钟协议 SNTP 可自动根据 NTP 服务器的时钟调整本机时间支持 IPX NetBEUI 等非 IP 协议证书格式支持 X 509 V3 数字证书支持 DER PEM PKCS12 等多种证书编码 PKI 本地 CA 支持内置 CA 为其他设备或移动用户签发证书可生成吊销删除证书支持本地 CA 根证书根私钥的更新支持证书废弃支持生成标准 CRL 列表支持证书请求的生成由第三方 CA 进行签名支持证书链管理内置支持 SM2 算法的 CA 精选 word 范本类别功能详细描述第三方 CA 支持同时导入多个第三方 CA 的根证书和 CRL 列表对不同 CA 证书用户进行身份认证支持通过 HTTP 协议定时下载 CRL 列表支持通过 OCSP LDAP 等协议在线认证证书安全算法支持 AES DES 3DES RC4 MD5 SHA1 RSA 等多种算法支持国家商密专用的 SM1 SCB2 SM2 SM3 算法协议类型支持 SSL 2 0 3 0 TLS 1 0 数据压缩与加速支持高效流压缩算法支持智能压缩支持 WebCache 加速用户认证支持用户名口令用户名口令图形认证码认证支持 X 509 数字证书认证支持数字证书 USBKEY 口令多因子认证支持公共帐户登陆支持临时禁止帐户登录支持本地数据库认证支持基于 LDAP RADIUS TACAS 等协议的外部服务器认证支持短信认证图形码校验硬件特征码校验用户授权支持角色授权支持独立用户授权支持基于 URL 访问路径访问文件访问动作的细粒度授权支持基于时间的访问授权方式支持本地授权支持外部组映射授权支持证书用户授权支持基于证书中的字段属性组合授权应用支持支持 WEB 转发端口转发全网接入模式支持 HTML JAP ASP JAVA APPLET ACTIVE Cookies 等各种 Web 应用支持基于 IP 协议的各种 C S 应用如 EMAIL FTP ERP CRM DB 等支持 Windows CIFS 远程文件共享支持 FTP 的 WEB 化访问支持资源自动打开支持资源连接隐藏支持资源和特定应用程序关联实时监控实时监控在线用户的登录时间在线时间访问流量认证方式等多种信息支持主动中断在线用户的隧道连接 SSL VPN 日志审计详细审计用户登录认证过程各种认证授权错误内网资源访问情况等信息支持多级审计日志可以灵活配置审计级别支持日志本地保存支持将日志上传到外部日志服务器支持天融信专用的 TA L 日志服务器可以对日志内容进行深度分析和统计精选 word 范本类别功能详细描述端点安全支持接入客户端痕迹清除能够清楚 cookie 缓存历史记录等各种访问痕迹支持拔 KEY 隧道自动中断支持用户超时自动退出超时时间可以设置虚拟门户支持虚拟门户功能每个虚拟门户都可以定制不同的登录界面定制是否使用控件定制使用哪些功能模块定制不同的认证方式定制不同的公告信息等与企业门户无缝融合 SSL VPN 可以与企业门户无缝融合即用户可以通过企业门户登录 SSL VPN 并且 SSL VPN 能够自动跳转 Portal 页面到企业的某个网站集群支持集群功能 Portal 页面隐藏在用户登录 SSL VPN 后不需要驻留 Portal 页面可以隐藏并在右下角缩成一个小图标点击小图标还能恢复 Portal 页面客户端支持 Windows Mobile PDA 客户端支持安卓系统的智能终端支持 Linux 系统的 PC 机支持 Windows 2000 XP 2003 2008 Vista Win7 系统 PC 支持独立客户端支持用户设定代理服务器信息端口转发支持 TCP 协议支持 UDP 协议支持智能递推单点登陆支持 HTTP401 认证单点登录支持用户修改单点登陆的账户信息支持 WEB 方式的单点登录支持密码助手方式的单点登录可信接入可信接入支持接入主机的信息检查包括安装的软件进程端口服务注册表操作系统及补丁文件网卡等支持可信接入分级授权支持检查策略接入前检查接入后检查定时检查等国际化语言支持支持中英文界面支持中英文自动切换支持中英文手动切换 DDNS DDNS 支持 DDNS 动态域名注册支持使用域名进行隧道定义及协商支持使用域名向 TP 进行集中认证 IPSEC VPN 协议支持 ESP AH IKE NATT 等标准 IPSEC 协议支持隧道模式传输模式精选 word 范本类别功能详细描述算法支持 DES 3DES AES 等标准加密算法支持 MD5 SHA1 等标准 HASH 算法支持 DH GROUP1 2 5 RSA 1024 2048 非对称算法支持国家商密专用 SSP02 SSF33 SM1 SCB2 SM2 SM3 算法硬件加速支持高速算法加速卡数据压缩支持高效数据流压缩算法隧道认证支持预共享密钥数字证书认证支持 XAuth 扩展认证支持使用标准的 X 509 证书建立隧道网络适应性支持网状树型星型等多种 VPN 网络拓扑支持隧道的 NAT 穿越双向 NAT 隧道建立支持全动态 IP 地址间的 VPN 组网支持隧道转发支持 GRE over IPsec 方式支持组播穿越 IPSec 隧道支持多机多隧道的负载均衡和备份 VPN 客户端支持第三方标准 IPSec 客户端接入支持苹果终端 IPSEC VPN 客户端接入支持为移动用户自动分配内部 IP 地址 DNS WINS 服务器地址支持为移动用户定义访问权限支持基于时间的移动用户访问控制策略支持两网分离支持多线路自动检测支持用户在线修改口令支持移动用户接入状态的监控和审计支持中英文界面和中英文自动切换 SSLVPN 符合国密局制定的 SSL VPN 技术规范技术标准 IPSecVPN 符合国密局制定的 IPSEC VPN 技术规范 L2TP L2TP 支持远程用户通过 L2TP 接入建立 L2TP 隧道访问内部网络 PPTP PPTP 支持远程用户通过 PPTP 接入建立 PPTP 隧道访问内部网络精选 word 范本类别功能详细描述内容过滤完全内容检测 Complete Content Inspection 技术支持基于流数据包透明代理的过滤方式支持对 HTTP SMTP POP3 IMAP FTP 等协议的深度内容过滤支持 DNS 过滤 DNS 中继支持 web 重定向支持 URL 分类过滤分类库大于 700 万支持挂马网站过滤支持对移动代码如 Java applet Active X VBScript Java script 的过滤支持对邮件的收发邮件地址文件名文件类型过滤支持对邮件主题正文收发件人附件名附件内容等关键字匹配过滤支持反垃圾邮件功能支持 Telnet Ftp RSH 命令过滤可屏蔽受保护主机服务器系统信息如替换服务器 FTP SMTP POP3 Telnet HTTP 的 BANNER 信息访问控制基于状态检测的动态包过滤基于源目的 IP 地址 MAC 地址端口和协议时间用户角色的访问控制支持基于用户的 PPTP 的访问控制支持隧道内的访问控制支持 IPSec 客户端与 SSL 全网模式与 FW 联动支持报文合法性检查动态端口支持协议 H 323 SIP FTP RTSP SQL NET MMS RPC TFTP PPTP 访问控制策略分组管理支持大数量级的策略匹配加速算法支持对象的每秒新建连接数限制基于域名对象的访问控制可实现 IP MAC 绑定网络安全性 NAT 支持双向 NAT 支持动态地址转换和静态地址转换支持多对一一对多和一对一等多种方式的地址转换支持虚拟服务器功能精选 word 范本类别功能详细描述应用识别支持近百种应用程序库的过滤包括 P2P IM 炒股网游等支持 MSN QQ Skype 等 Instant Messenger 通信并可以对于这些应用进行登陆限制和帐号过滤支持 MSN 在线用户显示可限制 BT eMule eDonkey 迅雷等 P2P 应用支持基于应用的流量统计支持基于应用的流量排名支持基于应用的历史流量趋势图支持基于主机的应用流量统计支持流量异常检测深度流量过滤 DFI 针对 P2P 行为的识别控制防病毒支持 HTTP FTP POP3 SMTP IMAP 协议的病毒查杀支持 100 万余种病毒的查杀病毒库定期与及时更新支持木马病毒蠕虫病毒宏病毒脚本病毒的查杀防御攻击非法报文攻击 land Smurf Pingofdeath winnuke tcp sscan ip option teardrop targa3 ipspoof 统计型报文攻击 Synflood Icmpflood Udpflood Portscan ipsweep 支持地址对象源目的最大连接数限制 Topsec 联动可与支持 TOPSEC 协议的 IDS 设备联动以提高入侵检测效率端口阻断可以根据数据包的来源和数据包的特征进行阻断设置 SYN 代理对来自定义区域的 Syn Flood 攻击行为进行阻断过滤 CC 攻击可通过设置端口和阀值阻断 CC 攻击可记录攻击日志和报警支持手动设置和根据 IDS 规则自动生成黑名单支持手动设置和根据可信连接达到一定规模后升级为白名单用户精选 word 范本类别功能详细描述用户认证支持使用一次性口令认证 OTP 本地认证数字证书 CA 认证等常用的安全认证方式支持统一用户管理 IPSEC 与 SSL 使用同一套用户认证管理系统支持口令复杂度设置支持多点登录地点数设置支持登录时间登录地址范围控制支持密码找回功能支持首次登录修改口令支持使用第三方认证如 RADIUS TACACS TACACS LDAP 域认证等安全认证方式支持短信动态令牌硬件特征码认证支持 Session 认证 HTTP 会话认证支持 WEB 认证和指纹认证支持认证保活功能可将认证用户信息加密存放在本地数据库分级管理可为用户管理员分配不同的权限管理不同的用户信息用户管理员没有系统配置的权限不同的用户管理员之间不交叉支持多达 16 级的分级管理支持管理员的三权分立日志支持 Welf Syslog 等多种日志格式的输出支持通过第三方软件来查看日志支持日志分级支持对接收到的日志进行缓冲存储支持安全审计系统 TA L 获得更详尽的日志分析和审计功能 TA L 除接受防火墙日志外还能接受交换机路由器操作系统应用系统和其他安全产品的日志进行联合分析可对日志进行加密传输监控支持网络接口 CPU 利用率内存使用率操作系统状况网络状况硬件系统进程进程内存加密卡状况的监测可根据配置文件进行错误恢复安全管理报警内置了管理系统安全策略通信硬件容错测试等多种触发报警的事件类支持邮件 NETBIOS 声音 SNMP 控制台等多种组合报警方式 QoS 流量整形 QOS 带宽管理根据 IP 协议网络接口时间定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理带宽管理优先级支持 8 级优先级控制精选 word 范本类别功能详细描述双机热备支持双机热备 Active Standby 模式支持负载均衡 Active Active 模式支持连接保护 Session Protect 模式支持系统故障自动切换和抢占功能高可用性其它功能支持链路备份功能支持服务器的负载均衡提供轮询加权轮询最少连接加权最少连接源目的地址 HASH 等多种负载均衡方式支持双系统引导支持 Watchdog 功能配置方式支持 WEB 图形配置命令行配置支持本地配置远程配置支持基于 SSH SSL 的安全配置命令行支持配置命令分级保护支持中英文支持命令超时历史命令命令补齐命令帮助命令错误提示等功能 SNMP 支持 SNMP 的 v1 v2 v2c v3 版本支持 SNMP MIB 扩展支持 SNMP 查询 SNMP Trap 与当前通用的网络管理平台兼容如 HP Openview 等系统升级支持双系统升级支持远程维护和系统升级支持 TFTP 升级报文调试提供强大的报文调试功能可以帮助网络管理员或安全管理员发现调试和解决问题支持发送虚拟报文配置管理配置恢复可以进行配置文件的备份下载删除恢复和上载精选 word 范本 2 4 天融信 VONE 产品规格产品型号硬件说明 TV 61830 VONE 2U 机架式结构最大配置为 26 个接口包括 3 个扩展槽位和 2 个 10 100 1000BASE T 接口作为 HA 口和管理口可扩展万兆接口标配双电源 TV 61530 VONE 2U 机架式结构最大配置为 26 个接口包括 3 个扩展槽位和 2 个 10 100 1000BASE T 接口作为 HA 口和管理口标配双电源 TV 61330 VONE 2U 机架式结构最大配置为 26 个接口包括 3 个扩展槽位和 2 个 10 100 1000BASE T 接口作为 HA 口和管理口标配双电源 TV 61331 VONE 2U 机架式结构最大配置为 26 个接口包括 3 个扩展槽位和 2 个 10 100 1000BASE T 接口作为 HA 口和管理口单电源可扩展为双电源 TV 61230 VONE 1U 机架式结构最大配置为 26 个接口包括 3 个扩展槽和 2 个 10 100 1000BASE T 接口作为 HA 口和管理口 TV 61030 VONE 1U 机架式结构最大配置为 26 个接口包括 3 个扩展槽和 2 个 10 100 1000BASE T 接口作为 HA 口和管理口 TV 61614 VONE 2U 机架式结构最大配置为 12 个接口标配 4 个 10 100 1000Base T 接口 1 个扩展槽标配双电源 TV 61214 VONE 1U 机架式结构最大配置为 12 个接口标配 4 个10 100 1000Base T 接口 1 个扩展槽 TV 61114 VONE 1U 机架式结构最大配置为 12 个接口标配 4 个10 100 1000Base T 接口 1 个扩展槽 TV 41710 VONE 1U 机架式结构 10 个 10 100 1000Base T 接口 TV 41706 VONE 1U 机架式结构配置为 6 个 10 100 1000BASE T 接口 TV 41604 VONE 1U 机架式结构配置为 4 个 10 100 1000BASE T 接口 TV 21604 VONE 桌面型结构 4 个 10 100 1000MBase T 端口精选 word 范本第三章 XXX 公司 SSL VPN 接入解决方案根据 XXX 公司移动用户接入实际情况我们采用天融信 SSL VPN 系列产品提供整体网络安全互联解决方案解决其所面临的网络互访传输保密用户认证安全防护网络访问控制等问题 3 1 VPN 解决方案 VPN 配置方案如下描述 1 在总部 Internet 出口处安装天融信 TV 6830 VONE 安全网关其接入方式为采用路由模式另外还可以在 SSL VPN 网关上开启防火墙入侵检测和防御内容过滤带宽管理等安全功能根据实际需要设置各个功能模块的具体安全防护策略以确保中心本地网络免受各种外来威胁天融信 TV 6830 VONE 网关最大可支持 10000 并发用户完全满足目前应用及以后扩展的需求 2 在网关上根据不同用户的划分可以对用户进行角色和组的权限设定这种设定可以细致的划分每一个用户的访问权限即可指定某用户在指定时间访问指定服务器的指定端口从而保证了内网服务器的安全性同时为了保护内网服务器的安全管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器这样进一步对内网进行防护 3 移动用户要访问内网服务器时仅需打开浏览器输入公开的服务器地址及自己的用户名口令或者直接用证书的形式访问免除输入用户名口令的麻烦即可访问授权的内部资源由于各种访问资源的权限已经由管理员设定好用户可以直接点击资源连接进行访问 4 对于管理员的操作及用户的访问天融信 VPN 网关提供详细的日志查询功能包括管理员用户及服务器可以很容易的看到各种状态还可以在线管理禁用踢下线用户日志为标准 Syslog 格式可导入其他日志查看器查看 5 使用天融信 SSL VPN 实现的远程接入如下图所示精选 word 范本图4 1 XXX公司SSL VPN网络结构通过部署天融信 SSL VPN 设备组建的企业移动办公网络网络结构简单维护成本低用户只需使用浏览器就可以做到安全的连接网络并能针对不同的用户给予不同的应用权限因此通过天融信 SSL VPN 很好的解决了随时随地的网络资源安全共享的需求精选 word 范本 3 2 本解决方案的主要特点设计全面全面的安全防护解决方案帮助用户打造高效率和高安全性的网络平台功能强大同时提供防火墙 VPN 入侵防御内容过滤流量管理及安全审计等功能从而构建主动防御多层次防御的企业安全保障体系从容应对各种外来威胁整体协防各防御模块之间相互协同工作全面提升系统的整体安全水平缔造更可信的网络健壮性 VONE 设备基于专用安全操作系统具有良好的自身安全性透明性现有业务系统和网络结构无须做任何调整或只需做少量改动适应性能很好适应系统网络结构的调整和发展互通性 VONE 内置的 Ipsec 功能可与采用国际标准 Ipsec 的设备之间互通互联高性能开启各项安全功能后天融信 VONE 网关的处理性能和数据转发速率仍能够保持高水准完全能够满足互联网出口的接入速率不会成为传输瓶颈便于实施安装维护简单快速可随时进行而不影响正常业务低成本一机多能大大降低了安全产品的采购部署和运营成本使用户获得最大的投资回报扩展性天融信 VONE 网关产品采用模块化设计具有极强的扩展性可以随着用户网络的扩展平滑升级

展开阅读全文