《SSLVPN解决方案报告书.pdf》由会员分享,可在线阅读,更多相关《SSLVPN解决方案报告书.pdf(24页珍藏版)》请在三一文库上搜索。
1、XXX 公司 VPN 系统解决方案 建议书 北京天融信公司 2019年 9 月 目录 第一章 XXX 公司网络现状及需求分析 1 1.1 网络现状 . 1 1.2 需求分析 1 第二章 VPN 技术及天融信 VONE 产品 2 2.1 VPN 产品概述 2 2.1.1 安全接入的应用趋势 2 2.1.2 安全接入的技术趋势. 2 2.1.3 天融信 VONE 产品介绍 3 2.2 天融信 VONE 网关产品特点 4 2.3 天融信 VONE 产品主要功能 11 2.4 天融信 VONE 产品规格 . 19 第三章 XXX 公司 SSL VPN 接入解决方案 . 20 3.1VPN 解决方案 2
2、0 3.2 本解决方案的主要特点. 22 第一章XXX 公司网络现状及需求分析 1.1网络现状 XXX 公司企业业务网络系统由企业总部和远程移动用户组成。其中总部局域网络是整 个网络系统的核心,为企业各类服务器所在地,同时也是网络管理中心。各移动用户现在希 望通过 Internet与总部进行安全通信,具体需求如下: 企业现在有一个内部业务应用系统(基于 B/S 或 C/S 架构),由于业务的扩展,有很多 业务人员在外办公,目前大概有1000名移动用户,为了能合理利用网络及内部资源,需提 供一个简单可行的远程接入方案,把移动用户接入到内网,同时对这些用户能有效进行管理。 1.2需求分析 根据 X
3、XX 公司现有的网络状况和业务情况,目前的需求分析如下: 内网业务系统基于B/S 结构,业务模式简单; 移动办公人员众多,使用水平参差不齐; 对移动办公人员的身份要求进行严格认证和监控; 数据在 Internet上传输时应保证足够的安全; 该系统扩展性好,为以后的扩充更多用户做好准备; 有良好的日志系统; 整个接入系统安装方便、快捷,便于维护和管理。 基于以上分析,这是一个典型的VPN 的接入需求。天融信公司能提供基于IPSec 和 SSL 的两种 VPN 解决方案,在本案中,用户的业务模式简单(仅基于B/S 模式),用户 数量众多,在此推荐采用SSL 的解决方案。 以下我们将详细论述天融信S
4、SL VPN 解决方案。 第二章VPN 技术及天融信VONE 产品 2.1VPN 产品概述 2.1.1安全接入的应用趋势 随着电子政务和电子商务信息化建设的快速推进和发展,越来越多的政府、 企事业部门 已经或即将构建网上办公系统和业务应用系统,使内部办公人员通过网络可以迅速地获取信 息,使移动办公等多种远程办公模式得以逐步实现,同时使合作伙伴人员也能够访问到相应 的信息资源。可是要享受通过互联网访问企业内部的信息资源的便利,就面临着非法访问、 信息窃取等越来越多的来自外部和内部的安全威胁。而我们目前所使用的操作系统、网络协 议和应用系统不可避免地存在着不少的安全漏洞。因此, 在构建和应用这些应
5、用系统时,必 须要保障关键应用在开放网络环境中的安全,同时还需尽量降低实施和维护成本。 2.1.2安全接入的技术趋势 目前安全接入组网技术有多种,每种技术都有其适用范围和优点,同时也有一定的缺点。 主流的 VPN 技术主要有以下三种: 1L2TP/PPTP VPN L2TP/PPTP VPN属于二层 VPN 技术。在 windows 主流的操作系统中都集成的 L2TP/PPTP VPN拨号客户端软件;但是由于协议自身的缺陷,没有高强度的加密和认证 手段,安全性较低;同时这种技术仅解决了移动用户的VPN 访问需求,对于LAN-TO-LAN 的VPN 应用无法解决; 2IPSec VPN IPSe
6、c VPN 属于三层 VPN 技术,协议定义了完整的安全机制,对用户数据的完整性和 私密性都有完善的保护措施;同时工作在网络协议的三层,对应用程序是透明的,能够无缝 支持各种应用;既能够支持移动用户的VPN 应用,也能支持LAN-TO-LAN的VPN 组网;支 持多种网络拓扑结构。 其缺点是网络协议比较复杂,正确配置 VPN 隧道需要较多的专业知识; 而且需要在移动用户的机器上安装单独的客户端软件。 3SSL VPN SSL VPN 属于应用层 VPN 技术,协议定义了完整的安全机制,对用户数据的完整性和 私密性都有完善的保护;由于在windows 等操作系统中的IE浏览器已经支持了完整的SS
7、L 协 议,因此原理上将对于B/S 应用是无需安装客户端软件的,部署使用较为简单。主要适用与 移动用户接入并访问B/S 结构的应用系统, 对于 C/S 应用的支持仍然需要安装客户端的插件。 各种 VPN 技术都有其优点和缺点,用户的实际应用中,往往需要将这几种技术进行综合 应用, 才能满足较为复杂的用户需求。天融信将这几种VPN 技术有机的进行了整合,实现了 在一台设备中同时支持上述几种主流的VPN 组网技术,同时集成了业内成熟领先的防火墙和 身份认证系统,形成了一个完整的安全接入解决方案。 2.1.3天融信 VONE 产品介绍 网络卫士 VONE 系列( IPSEC/SSL VPN多合一网关
8、)是集天融信十几年研发经验,向 用户提供的完整VPN 接入解决方案, 是天融信推出的最新一代网络安全接入产品。该产品以 天融信自主知识产权的TOS(Topsec Operating System)为系统平台,采用开放性的系统 架构及模块化的设计,融合了身份认证、访问控制等安全手段,具有安全、高效、易于管理 和扩展等特点。 网络卫士 VONE 网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需 的应用和资源的安全便捷接入服务。产品的L2TP/PPTP/SSL功能无需安装任何客户端软 件,也无需投入太多人力进行配置或长期的维护;产品完善的IPSEC VPN 功能可以方便的 构筑与分支机
9、构之间LAN-TO-LAN互联的 VPN 网络。 SSL VPN 位于外部网络和内部网络之间,利用安全套接层(SSL)来提供安全的传输功能, 而SSL 在所有标准的 Web 浏览器中都具有的。SSL VPN 构建在经过强化的软硬件平台上,实 现用户和资源的绑定。 天融信 VONE 网关可提供 Web 转发、应用 Web 化、端口转发和全网接入等多种接入方式, 以适应不同的用户需求,同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等 功能。 网络卫士 VONE 网关包含完整的业界领先的专业防火墙功能,还具有内容过滤、入侵防 御、带宽管理等功能,能为用户提供全面的网络边界安全防护解决方案。
10、 2.2天融信 VONE 网关产品特点 1) 自主安全操作系统平台 采用自主知识产权的安全操作系统 TOS(Topsec Operating System), TOS 拥有优秀的模块化设计架构,有效保障了防火墙、VPN 、内容过滤、抗攻击、流量整 形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。 TOS 具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特 点。 2) 多种 VPN 技术有机融合 前面已经分析了目前主流的各种VPN 技术的优缺点,这些技术有其不同的适用范 围。在实际的用户网络中,不同的用户需求往往需要多种VPN 技术综合应用,在这种 情况
11、下往往需要用户购买多台不同的VPN 设备来满足需求,这既浪费资源又带来用户 管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面 临新的挑战。 网络卫士 VONE 网关是天融信公司在多年各种独立的VPN 产品研发和销售的基础 上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种 VPN 技术的综合安全网关产 品。在 TOS 平台强大的整合能力保障下,各种VPN 模块进行了有机的整合,为用户提 供一个统一完整的VPN 接入平台。 3) 安全接入与安全防护无缝结合 VPN 网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外, 对用户网络边界安全也是至关
12、重要的。网络卫士VONE 网关是构建在天融信强大的 TOS 系统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的VPN 网络提供高等级的边界安全防护与访问控制。 天融信 VPN 网关具有强大的内容过滤功能,支持URL 分类过滤,分类库大于700 万条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功 能,用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype 、新浪 UC、阿里旺 旺、 Google Talk 等即时通信应用,以及BT 、Edonkey 、Emule 、讯雷等 p2p 应用实行 灵活的访问控制策略,如禁止、限时、带宽控制等。 网络卫士
13、VONE 网关支持完善的基于完全内容检测的访问控制技术。防火墙检测 技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来 的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测 (CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测 可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如 文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。 网络卫士 VONE 网关在 MAC 层提供基于MAC 地址的过滤控制能力,同
14、时支持对 各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根 据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分 析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、 访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的、全面 的访问控制机制,实现了全方位的安全控制。 4) 多种 SSLVPN 技术结合实现应用全覆盖 目前 SSLVPN 接入技术大致分为三类:WEB 转发( WEB FORWARD),端口转 发(PORT FORWARD)和全网接入(NETWORK ACCESS或者称为IP TUNNEL
15、)。 这三种技术的技术特点和适用范围各不相同,在网络卫士VONE 网关中对这三种 SSLVPN 接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一 种或多种接入方式。 WEB 转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览 器平台。但其缺点是仅支持B/S 模式的应用系统,而且对客户应用系统的依赖性较 强。网络卫士VONE 网关通过在WEB 转发模式中应用独创的智能URL 重定向技术和 自动分布式页面重构技术大大提高了对用户B/S 系统的支持率和处理性能。同时通过 开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL 替换规 则,进一步提高了系
16、统的适应性。 端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL 协议封装和转 发。这种模式的适应性比WEB 转发要好,但其要求在客户端安装一个ACTIVEX 控 件。网络卫士VONE 网关实现了客户端透明代理,用户不需要修改本地的任何配置即 能完成代理控件的安装和使用,大大简化了用户操作步骤。 全网接入模式通过SSL 隧道转发客户端所有的IP 请求报文,其适应性最好,能够 支持基于 IP 协议的所有B/S 和 C/S 业务系统,其同样要求在客户端系统上安装一个 ACTIVEX 的控件。网络卫士VONE 网关通过全网接入模式能够实现移动用户的虚拟IP 地址分配,实现各种访问控制策略的
17、下发,支持移动用户以分离隧道(SPLIT TUNNEL 即可以同时访问VPN 和因特网)或完全隧道(FULL TUNNEL即只能访问VPN 不能 访问因特网)的方式接入VPN 网络,大大提高了远程接入的安全性和灵活性。 5) 支持虚拟桌面 / 虚拟应用 天融信公司的TopConnect客户端产品,即支持虚拟桌面模式,也支持虚拟应用模 式。通过这两种不同的使用模式,企业用户可以限制不同的用户使用不同的模式,即 保证用户敏感数据的安全,又能减少网络管理的维护量,降低企业内部应用维护的人 力物力成本。 针对业务应用丰富,使用环境单一的用户,或需要对智能移动终端进行管理和维 护人员,可使用虚拟桌面模式
18、。在这种模式下,服务器直接将服务器端的个性化桌面 展现给用户。与传统的PC 机相比较,除显示屏幕面积外,其余使用和操作没有任何差 异。 而对于业务应用单一,使用环境复杂,或不能开发较多权限的用户,可使用虚拟 应用模式。在这种模式下,服务器只将特定的应用界面推送给用户。除授权使用的应 用外,用户无法使用其它任何应用,更无法对服务器进行修改和配置。 6) 完善的身份认证技术 网络卫士 VONE 网关为通过SSL 隧道接入的用户提供了完整的身份认证手段。如 果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名口令”认 证方式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以
19、采用 “用户名口令图形认证码”的方式对移动用户进行身份认证;对于需要强身份认 证机制的用户,管理员可以采用“数字证书”的认证方式,通过高强度的密码运算来 保证用户身份标识不会受到“字典攻击”等暴力攻击的威胁;还可以通过“数字证书 (USBKEY )口令”的双因子认证方式来确保移动用户的证书不会被盗用,进一步加 强认证的安全性。 网络卫士 VONE 网关还支持短信认证、图形码校验、硬件特征码校验。支持基于 web 协议的认证方式,可以和业务资源的帐号系统使用一套,避免了在VONE 上再次 建立帐号,能够统一管理帐号,增强了易用性。支持指纹认证,可以基于指纹信息进 行认证。 VONE 网关还支持多
20、种认证方式的任意组合,为用户提供最强的安全接入机 制。 网络卫士 VONE 网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用 的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认 证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户 集中管理和认证,又可以充分利用用户已有的资源。 7) 多级用户授权机制和授权组合 授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控 制,是保护内网资源安全的主要技术手段。网络卫士VONE 网关采用多级授权机制和 用户授权继承的策略,满足各种用户授权需求。支持整体授权、条件授权、属
21、性授 权。支持基于证书的属性字段的授权,支持基于外部属性(LDAP 或 Radius 下发的属 性值)的授权,也支持多条授权策略的组合。 在用户授权的粒度上,网络卫士VONE 网关支持基于URL/ 目录 / 文件等访问内容 的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能 够充分满足管理员的各种用户授权需求。 8) 完善的 PKI 体系提高用户网络的安全等级 随着 VPN 技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN 网 络的认证功能与其原有的PKI 体系进行无缝结合的需求也越来越强烈。网络卫士多合一 VPN 产品全面支持标准PKI 体系结构,既能够
22、通过内置的CA 模块独立为移动用户签发 数字证书,又能够通过导入CA 根证书 CRL 列表方式对第三方CA 签发的证书进行认 证,同时还能够通过OCSP/LDAP等标准协议向第三方CA 提交在线证书认证请求。具 体的 PKI 功能包括: 支持标准X509.V3 格式数字证书; 支持 DER 、PEM 、PKCS12 等多种证书编码格式; 支持通过内置CA 模块为用户签发标准数字证书; 支持同时导入多个CA 根证书和 CRL 列表,对不同CA 签发证书进行认证; 支持通过OCSP/LDAP等标准协议向第三方CA 进行在线证书认证; 支持生成PKCS10 格式的证书请求,可生成证书请求,由第三方C
23、A 签名; 支持 CRL 列表文件的导入和通过HTTP 自动下载。 天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA 厂商有着长 期的合作,网络卫士VONE 网关与这些厂商的CA 系统均能够无缝集成。 9) 卓越的网络及应用环境适应能力 网络卫士 VONE 网关构建于强大的TOS 系统平台之上,天融信在网络与信息安全 领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。其 支持众多网络通信协议和应用协议,如VLAN 、ADSL 、PPP 、ISL、802.1Q、 Spanning Tree 、H.323 、MMS、 RTSP 、ORACLE SQL*NET、M
24、S RPC 等等,适用网 络的范围非常广泛,充分保证了用户的网络的可用性。 同时,针对国内用户动态IP 地址较多的现状,网络卫士VPN 网关整合了天融信公 司独立维护的EZVPN 动态域名系统,为天融信VPN 用户提供专用的动态地址域名解 析服务,从而很好地解决了动态地址的VPN 接入问题。 10)分级可信接入体系 天融信 VPN 网关还可对可信接入安全性检查结果进行分级,不同的级别可以授予 不同的权限,对不满足安全要求的主机或终端,可以根据其缺陷程度分别实行隔离、 修复和限制访问。对于要求访问敏感信息服务器的用户,如果没有达到较高安全等 级,可只授予与其安全等级匹配的普通权限。这样既可以防止
25、不安全的用户主机感染 内部关键服务器,又可以保留其浏览公司普通Web 服务器的权限,实现桌面的安全等 级与访问资源的安全级别相匹配和访问权限的分级。 11) 支持虚拟门户功能 SSL VPN 提供了虚拟门户功能,从而使得企业及部门都可拥有自己独立的远程接 入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪 些功能模块、定制不同的认证方式、定制不同的公告信息等。 12) 分级管理和三权分立 天融信的 VPN 网关支持将管理员进行分级分组,一级管理员可以创建若干二级管 理员,并给其进行授权,分配二级管理员可以管理的用户组,可以使用的资源组,可 以使用的角色,是否可以创建下级
26、管理员等。二级管理员在其权限允许的范围内行使 其权限,如添加、修改、删除用户,在权限范围内给用户授权,创建三级管理员,给 三级管理员授权等。天融信VPN 网关最多可以支持16级的管理员分级管理,便于大型 组织客户将管理权限下放,并可以根据需要授予不同的管理员不同权限。支持管理员 的三权分立,可分别授予不同类型的管理员不同的权限。 13) 支持多种单点登录方式 支持多种单点登录方式,支持HTTP401 方式、密码助手、WEB 方式的单点登录, 用户只需要进行一次认证即可访问所有授权的业务资源,大大提高了系统的易用性。 14) 与企业门户无缝融合 许多大型企业已经拥有了自己的企业门户,我们的SSL
27、 VPN 可以与用户的企业门 户无缝融合,只需要简单替换一下企业门户中的登录URL 即可实现。许多企业已经部 署了单点登录服务器,我们的SSL VPN 也能够很好融合。用户通过企业门户登录 SSLVPN 后, SSLVPN 能够自动跳转Portal页面到企业的单点登录服务器页面,显示 该用户的资源列表,同时在右下角显示一个SSLVPN 小图标。 15) 适应多种终端和系统平台 目前移动互联已成为新的应用趋势,天融信VONE 针对移动终端提供了多种安全 接入技术,能方便的实现通过智能终端移动办公。支持虚拟桌面和虚拟应用的虚拟化 接入技术,具有终端与后台业务数据分离和应用无关性的技术特点,能很好的
28、解决移 动终端接入所面临的数据安全性和应用适应性问题。 天融信 TopConnect客户端是专门为智能移动终端提供安全接入的SSL 客户端产 品,不但支持传统的Windows/Linux操作系统,还支持iOS、 Android 等移动操作系 统,未来还将支持WP8。丰富的操作系统平台支持,意味着用户可以自由的选择终端 产品,无需受限于某个特定的应用范围。 对于 iOS、Andriod智能终端支持SSL 的虚拟桌面接入,其中iOS还支持 IPSEC “零安装”接入;对于Android 、Windows Mobile系统的智能终端,还支持使用全网 接入模式接入;对于PC 系统,支持Windows
29、2000 、XP、2003、2008、Vista 、 Win7、Linux 系统的接入。 16) 智能递推 天融信 VONE 产品支持智能递推功能,只需要配置一个门户url,采用智能递推技 术,即可自动将该门户url 包含的子连接加入可以访问的资源列表,降低了管理配置工 作量。 17) 智能压缩 支持数据智能压缩功能,能够智能的根据当前传输数据的压缩比决定是否启用压 缩,大大提高了传输的效率和应用的访问速度。 18) VPN 集群功能 支持集群功能,能够使用多台VONE 网关组成一个集群系统,大大提高了VPN 网 关的整体性能和可靠性,能够满足大并发用户数的需求。 天融信 VPN 采用基于TO
30、S 系统的智能集群技术。它的基本工作模式是多台VPN 网关并行工作,都处于正常的数据转发状态,对外提供统一接入IP,多台 VPN 网关之 间相互备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务 数据的不间断。天融信VPN 支持最多256 台设备的集群和多种集群负载均衡策略;支 持通过心跳口进行状态和Session 同步,网关切换时无需用户二次认证。 19) 符合国密局 SSL VPN 技术规范和 IPSEC VPN 技术规范 天融信 SSLVPN 是严格按照国家密码管理局制定的SSL VPN 技术规范和 IPSECVPN 技术规范 进行开发的,并通过了国家密码管理局商用密码
31、检测中心的检 测,支持国家密码管理局规定的SM1(SCB2)、SM2、SM3 商用密码算法。 2.3天融信 VONE 产品主要功能 类别功能详细描述 网络 适应性 工作模式 支持透明、路由、混合模式 路由 支持静态路由、动态路由 支持基于源 / 目的地址、接口、Metric 的策略路由 支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能 支持 Vlan 路由,能够在不同的VLAN 虚接口间实现路由功能 支持 RIP、OSPF 等路由协议 支持多线路源路返回的智能选路 支持多线路捆绑和负载均衡 组播 支持 IGMP 组播协议 支持 IGMP SNOOPING 可有效地实现视频会议等多媒体应
32、用 VLAN 支持 Vlan Trunk 支持 802.1Q,能进行封装和解封 支持 ISL,能进行 ISL 的封装和解封 在同一个 Vlan 内能进行二层交换 支持 QinQ 技术( vlan-vpn ),对报文进行二次基于802.1Q 封装 生成树 支持 802.1D生成树协议 ARP 支持 ARP 代理、 ARP 学习 可设置静态ARP DHCP 支持 DHCP Client 、DHCP Relay 、DHCP Server 接入 支持以太网、光纤、ADSL 、DHCP 等多种接入方式 其它 支持网络时钟协议SNTP ,可自动根据NTP 服务器的时钟调整本机时间 支持 IPX、NetBE
33、UI等非 IP 协议 PKI 证书格式 支持 X.509 V3 数字证书 支持 DER/PEM/PKCS12等多种证书编码 类别功能详细描述 本地 CA 支持内置 CA,为其他设备或移动用户签发证书 可生成、吊销、删除证书 支持本地 CA 根证书、根私钥的更新 支持证书废弃,支持生成标准CRL 列表 支持证书请求的生成,由第三方CA 进行签名 支持证书链管理 内置支持 SM2 算法的 CA 第三方 CA 支持同时导入多个第三方CA 的根证书和CRL 列表,对不同CA 证书用 户进行身份认证,支持通过HTTP 协议定时下载CRL 列表 支持通过 OCSP/LDAP等协议在线认证证书 SSL VP
34、N 安全算法 支持 AES、DES、3DES、RC4、MD5、SHA1、RSA 等多种算法 支持国家商密专用的SM1(SCB2)、SM2、SM3 算法 协议类型 支持 SSL 2.0/3.0 TLS 1.0 数 据 压 缩 与加速 支持高效流压缩算法 支持智能压缩 支持 WebCache 加速 用户认证 支持“用户名口令”、“用户名口令图形认证码”认证 支持 X.509 数字证书认证 支持数字证书(USBKEY )+口令多因子认证 支持公共帐户登陆,支持临时禁止帐户登录 支持本地数据库认证 支持基于 LDAP/RADIUS/TACAS等协议的外部服务器认证 支持短信认证、图形码校验、硬件特征码
35、校验 用户授权 支持角色授权、支持独立用户授权 支持基于 URL 、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中的字段属性组合授权 应用支持 支持 WEB 转发、端口转发、全网接入模式 支持 HTML 、JAP 、ASP、JAVA APPLET、ACTIVE 、Cookies 等各种 Web 应用 支持基于 IP 协议的各种C/S 应用,如 EMAIL,FTP,ERP,CRM,DB等 支持 Windows/CIFS远程文件共享 支持 FTP 的 WEB 化访问 支持资源自动打开 支持资源连接隐藏 支持资
36、源和特定应用程序关联 类别功能详细描述 实时监控 实时监控在线用户的登录时间、在线时间、 访问流量, 认证方式等多种信 息 支持主动中断在线用户的隧道连接 日志审计 详细审计用户登录认证过程、各种认证授权错误、 内网资源访问情况等信 息 支持多级审计日志,可以灵活配置审计级别 支持日志本地保存,支持将日志上传到外部日志服务器 支持天融信专用的TA-L日志服务器,可以对日志内容进行深度分析和 统计 端点安全 支持接入客户端痕迹清除,能够清楚cookie 、缓存、历史记录等各种访 问痕迹 支持拔 KEY 隧道自动中断 支持用户超时自动退出,超时时间可以设置 虚拟门户 支持虚拟门户功能,每个虚拟门户
37、都可以定制不同的登录界面、定制是否 使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信 息等 与 企 业 门 户 无 缝 融 合 SSL VPN 可以与企业门户无缝融合,即用户可以通过企业门户登录SSL VPN ,并且 SSL VPN 能够自动跳转Portal 页面到企业的某个网站 集群 支持集群功能 Portal页 面隐藏 在用户登录SSL VPN 后不需要驻留Portal 页面,可以隐藏, 并在右下角 缩成一个小图标,点击小图标还能恢复Portal 页面 客户端 支持 Windows Mobile PDA客户端 支持安卓系统的智能终端 支持 Linux 系统的 PC 机
38、支持 Windows 2000 、XP 、2003、2008、Vista 、Win7 系统 PC 支持独立客户端 支持用户设定代理服务器信息 端口转发 支持 TCP 协议 支持 UDP 协议 支持智能递推 单点登陆 支持 HTTP401 认证单点登录 支持用户修改单点登陆的账户信息 支持 WEB 方式的单点登录 支持密码助手方式的单点登录 可信接入可信接入 支持接入主机的信息检查,包括安装的软件、 进程、端口、服务、注册表、 操作系统及补丁、文件、网卡等 支持可信接入分级授权 支持检查策略:接入前检查、接入后检查、定时检查等 类别功能详细描述 国际化语言支持 支持中、英文界面 支持中、英文自动
39、切换 支持中、英文手动切换 DDNS DDNS 支持 DDNS 动态域名注册 支持使用域名进行隧道定义及协商 支持使用域名向TP 进行集中认证 IPSEC VPN 协议 支持 ESP/AH/IKE/NATT等标准 IPSEC 协议 支持隧道模式、传输模式 算法 支持 DES/3DES/AES等标准加密算法,支持MD5/SHA1 等标准 HASH 算法 支持 DH GROUP1/2/5 ,RSA 1024/2048 非对称算法 支持国家商密专用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法 硬件加速 支持高速算法加速卡 数据压缩 支持高效数据流压缩算法 隧道认证 支持预共享密钥、
40、数字证书认证,支持XAuth 扩展认证 支持使用标准的X.509 证书建立隧道 网络 适应性 支持网状、树型、星型等多种VPN 网络拓扑 支持隧道的NAT 穿越、双向NAT 隧道建立 支持全动态IP 地址间的 VPN 组网 支持隧道转发 支持 GRE over IPsec方式 支持组播穿越IPSec 隧道 支持多机多隧道的负载均衡和备份 VPN 客户端 支持第三方标准IPSec 客户端接入 支持苹果终端IPSEC VPN 客户端接入 支持为移动用户自动分配内部IP 地址、 DNS/WINS 服务器地址 支持为移动用户定义访问权限 支持基于时间的移动用户访问控制策略 支持两网分离 支持多线路自动
41、检测 支持用户在线修改口令 支持移动用户接入状态的监控和审计 支持中 / 英文界面和中 / 英文自动切换 技术标准 SSLVPN 符合国密局制定的SSL VPN 技术规范 IPSecVPN 符合国密局制定的IPSEC VPN 技术规范 L2TP L2TP 支持远程用户通过L2TP 接入,建立L2TP 隧道访问内部网络 PPTP PPTP 支持远程用户通过PPTP 接入,建立PPTP 隧道访问内部网络 类别功能详细描述 网络 安全性 *内容过滤 完全内容检测(Complete Content Inspection)技术 支持基于流、数据包、透明代理的过滤方式 支持对 HTTP 、SMTP、POP
42、3、IMAP、FTP 等协议的深度内容过滤 支持 DNS 过滤、 DNS 中继 支持 web 重定向 支持 URL 分类过滤,分类库大于700万 支持挂马网站过滤 支持对移动代码如Java applet 、Active-X、VBScript 、Java script的过 滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、 附件名、附件内容等关键字匹配过滤 支持反垃圾邮件功能 支持 Telnet 、Ftp 、RSH 命令过滤 可屏蔽受保护主机/ 服务器系统信息, 如替换服务器(FTP 、 SMTP 、 POP3、 Telnet 、HTTP )的 BANNER信息
43、 访问控制 基于状态检测的动态包过滤 基于源 / 目的 IP 地址、 MAC 地址、端口和协议、时间、用户、角色的访 问控制 支持基于用户的PPTP 的访问控制 支持隧道内的访问控制 支持 IPSec 客户端与 SSL 全网模式与FW 联动 支持报文合法性检查 动态端口支持协议:H.323、SIP、FTP 、RTSP 、SQL*NET 、MMS、RPC、 TFTP 、PPTP 访问控制策略分组管理 支持大数量级的策略匹配加速算法 支持对象的每秒新建连接数限制 基于域名对象的访问控制 可实现 IP/MAC 绑定 NAT 支持双向 NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一
44、等多种方式的地址转换 支持虚拟服务器功能 类别功能详细描述 *应用识别 支持近百种应用程序库的过滤,包括P2P、IM、炒股、网游等 支持 MSN、QQ、Skype 等 Instant Messenger通信,并可以对于这些应 用进行登陆限制和帐号过滤 支持 MSN 在线用户显示 可限制 BT 、eMule 、eDonkey 、迅雷等 P2P 应用 支持基于应用的流量统计 支持基于应用的流量排名 支持基于应用的历史流量趋势图 支持基于主机的应用流量统计 支持流量异常检测 深度流量过滤(DFI),针对P2P 行为的识别控制 *防病毒 支持 HTTP ,FTP ,POP3,SMTP ,IMAP 协议
45、的病毒查杀 支持 100万余种病毒的查杀,病毒库定期与及时更新 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀 *防御攻击 非法报文攻击:land 、Smurf 、Pingofdeath、winnuke 、tcp_sscan 、 ip_option、teardrop、targa3 、ipspoof 统计型报文攻击: Synflood 、Icmpflood 、Udpflood 、Portscan 、ipsweep 支持地址对象源目的最大连接数限制 Topsec 联动:可与支持 TOPSEC 协议的 IDS设备联动, 以提高入侵检测 效率 端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置
46、SYN 代理:对来自定义区域的Syn Flood 攻击行为进行阻断过滤 CC 攻击:可通过设置端口和阀值阻断CC 攻击 可记录攻击日志和报警 支持手动设置和根据IDS 规则自动生成黑名单 支持手动设置和根据可信连接达到一定规模后升级为白名单用户 类别功能详细描述 安全管理 用户认证 支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等 常用的安全认证方式 支持统一用户管理,IPSEC 与 SSL 使用同一套用户认证、管理系统 支持口令复杂度设置 支持多点登录地点数设置 支持登录时间、登录地址范围控制 支持密码找回功能 支持首次登录修改口令 支持使用第三方认证,如RADIUS 、T
47、ACACS/TACACS+、LDAP 、域认 证等安全认证方式 支持短信、动态令牌、硬件特征码认证 支持 Session 认证、 HTTP 会话认证 支持 WEB 认证和指纹认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 分级管理 可为用户管理员分配不同的权限,管理不同的用户信息 用户管理员没有系统配置的权限 不同的用户管理员之间不交叉 支持多达 16级的分级管理 支持管理员的三权分立 日志 支持 Welf 、Syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 支持安全审计系统(TA-L ),获得更详尽的日志分析和审计功
48、能 TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、 应用系 统和其他安全产品的日志进行联合分析 可对日志进行加密传输 监控 支持网络接口、CPU 利用率、内存使用率、操作系统状况、网络状况、 硬件系统、进程、进程内存、加密卡状况的监测 可根据配置文件进行错误恢复 报警 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、 “容错”、“测试”等多种触发报警的事件类 支持邮件、 NETBIOS 、声音、 SNMP、控制台等多种组合报警方式 带宽管理 QoS 流量整形 QOS带宽管理 根据 IP、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分
49、层的带宽管理 优先级 支持 8 级优先级控制 类别功能详细描述 高可用性 双机热备 支持双机热备(Active-Standby)模式 支持负载均衡(Active-Active)模式 支持连接保护(Session Protect)模式 支持系统故障自动切换和抢占功能 其它功能 支持链路备份功能 支持服务器的负载均衡,提供轮询、 加权轮询、 最少连接、 加权最少连接、 源/ 目的地址 HASH 等多种负载均衡方式 支持双系统引导 支持 Watchdog功能 配置管理 配置方式 支持 WEB 图形配置、命令行配置 支持本地配置、远程配置 支持基于 SSH、SSL 的安全配置 命令行 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 SNMP 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 支持 SNMP MIB 扩展 支持 SNMP 查询、 SNMP Trap 与当前通用的网络管理平台兼容,如HP Openview 等 系统升级 支持双系统升级 支持远程维护和系统升级 支持 TFTP 升级 报文调试 提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试 和解决问题 支持发送虚拟报文 配置恢复 可以进行配置文件的备份、下载、删除、恢复和上载 2.4天融信 VONE 产
链接地址:https://www.31doc.com/p-5222954.html