分支机构VPN建设专项方案.doc

资源描述

雪花啤酒各分支机构VPN接入解决方案雪花啤酒目录 1 项目概述 3 2 VPN技术简介 4 2.1 IPSec VPN技术 5 2.2 设计原则 5 3 VPN解决方案 6 3.1 需求分析 6 3.2 产品选型 8 3.3 产品布置 8 4 VPN产品功能及特点 10 4.1 支持IPsec合同原则 10 4.2 支持最新NAT穿越合同 10 4.3 支持双动态IP地址间隧道 10 4.4 支持动态域名解析 11 4.5 完善VPN网络集中管理功能 11 4.6 具备丰富冗余备份方案 12 4.7 具备功能强大VPN软件包 13 4.8 具备易用管理配备界面 13 4.9 具备丰富VPN网关附加功能 14 4.10 VPN产品功能列表 14 5 产品报价 17 1 项目概述雪花啤酒，如何提高办公网各个业务系统数据传播安全性已经成为雪花啤酒当前急需解决问题。 2 VPN技术简介虚拟专用网（VPN）是一种以公用网络，特别是Internet为基本，综合运用隧道封装、认证、加密、访问控制等各种网络安全技术，为公司总部、分支机构、合伙伙伴及远程和移动办公人员提供安全网络互通和资源共享技术，涉及和该技术有关各种安全管理机制。VPN重要目的是建立一种灵活、低成本、可扩展网络互连手段，以代替老式长途专线连接和远程拨号连接，但同步VPN也是一种实现公司内部网安全隔离有效方式。VPN技术需要解决重要问题概括起来就是：实现低成本互通和安全。总部及各个分支机构通过公网实现跨地区系统互联必然面临安全问题。使用公用网络会导致机构间传播信息容易被窃取，同步袭击者有也许通过公网对机构内部网络实行袭击，因而虚拟专用网重点在于建立安全数据通道，该通道应具备如下基本安全要素：保证数据真实性，通信主机必要是通过授权，要有抵抗地址假冒（IP Spoofing）能力。保证数据完整性，接受到数据必要与发送时一致，要有抵抗不法分子篡改数据能力。保证通道机密性，提供强有力加密手段，必要使偷听者不能破解拦截到通道数据。提供动态密钥互换功能和集中安全管理服务。提供安全防护办法和访问控制，具备抵抗黑客通过VPN通道袭击公司网络能力，并且可以对VPN通道进行访问控制。需要强调指出是：网络信息系统是由人参加信息系统环境，建立良好安全组织和管理是首要安全需求，也是一切安全技术手段得以有效发挥基本。公司需要是集组织、管理和技术为一体完整安全解决方案。 2.1 IPSec VPN技术 IPSec VPN是基于IPSec合同建立虚拟专用网络。IPsec中有两个独立用于安全传播数据合同：“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) 。AH为数据流提供数据完整性认证服务。ESP为所传播数据提供加密和数据完整性认证服务。 IPSec合同通过AH和ESP合同对传播数据提供完整性认证和加密安全服务。在密钥获取方面，IPSec提供了IKE合同，使通讯双方可以通过安全自动协商获得相似密钥。 Transport Mode 将原IP包中数据某些进行封装，从而提供了端对端安全连接。Tunnel Mode 封装整个IP 包，从而建立网关到网关间安全虚拟一跳（hop）。运用Tunnel Mode建立跨越Internet区域连接两个网关隧道，从而构成老式方式VPN。老式形式VPN采用ESP合同并工作在Tunnel模式IPSec VPN，这种形式VPN被广泛地使用在公司中，用于安全连接位于异地公司计算机资源。 2.2 设计原则咱们在对IPSEC VPN系统建设时遵循如下原则：开放性 IPSEC VPN系统应当符合开放性规范，以便此后对网络进行扩展和功能扩充，接入不同厂商各种硬件设备、软件系统和网络产品。扩展性 IPSEC VPN系统设计应当考虑将来拓扑构造、功能模块、解决能力和网上负载扩展，应当易于增长新设备、新应用系统（如新ERP系统），随公司各部门信息化逐渐实现能不断延伸和扩充，充分保护既有投资利益。可靠性 IPSEC VPN系统应当具备高容错和容灾能力，具备抵抗外界环境和人为操作失误能力，并且可以在最短时间内进行故障排除和恢复，IPSEC VPN系统具备充分容错设计，使系统单点故障不影响网络正常运营。原则化 IPSEC VPN系统使用通信合同、管理合同和硬件接口必要符合国际原则，并应是当前和将来网络技术发展主流。安全性 IPSEC VPN系统对于受控资源必要建立一套安全机制防止非授权顾客和假冒顾客访问。在VPN设备和客户端之间使用双向认证，保证顾客合法性，充分保证信息系统安全，同步不增长顾客使用复杂性。实用性 IPSEC VPN系统选用硬件设备和软件系统应当具备良好性能价格比，设备寻常管理和维护简朴以便，经济实用。易升级 IPSEC VPN系统选用网络设备和软件系统应当可以按照实际需要以便升级。可管理 IPSEC VPN系统为达到便于管理目，所有网络设备使用基于原则管理合同，可以进行远程监视、控制和管理，支持客户机/服务器和WEB体系构造，符共计算机技术发展方向。 3 VPN解决方案 3.1 需求分析针对当前办公网OA、ERP等业务系统应用现状及面临问题。依照安全风险分析可以看出雪花啤酒及各个接入单位中存在大量业务数据需要在广域网上传播，这些敏感内部数据信息在互联网上十分容易被非法窃取、篡改或删除数据在传播中机密性、完整性和可用性必要得到保障。但是原则TCP/IP合同对网络中数据没有进行加密解决，如常用TELNET、FTP、HTTP、POP3等服务应用均以明文传播，这样网络窃听可以非常容易得手。针对明文网络传播弱点，咱们建议组建基于IPSec加密隧道来进行数据或报文传递，即搭建一套VPN系统，在发送数据和接受数据两端建立加密和解密办法，当数据在网络中被传递时，数据通过VPN设备进行加密解决，然后以密文形式在互联网上传递，这样虽然数据被窃取，也由于数据是密文而无法得知数据内容。此外，VPN设备还提供了数据完整性校验功能，如果数据在传递过程中被篡改，导致某些数据失真，接受端可以检测出此变化，并且告知发送端重新进行发送。业务安全性保障重点加强对数据传播过程中安全建设，保证数据在传播过程中保密性、完整性、可靠性。重点加强对分支机构顾客权限管理。对访问系统辨认、认证、授权、审计。保证只有授权顾客可以访问授权资源，并且对整个访问过程进行实时监控，同步，可以对历史访问行为进行审计分析。通过信息安全建设，消除和减小既有安全风险，将安全风险减小到可接受限度，并且保持这种限度。强化业务流程，通过对业务流程强化，减少人工管理成本。业务敏捷性保障由于雪花啤酒下属分支机构众多，信息安全建设，规定做到灵活和迅速布置，在尽量不影响既有网络构造和设备配备状况下，迅速布置信息安全设备。减小设备布置成本和布置周期。法规符合性对于信息安全建设，要遵守国家有关法律法规、行业有关原则。本次信息安全建设，还需要考虑投资回报率问题，保证用至少投资，获得最佳建设效果。 3.2 产品选型依照以上需求分析，从便于维护和隧道建立稳定性等方面考虑，咱们建议选取网御Power V6000-F1160来实现远程安全数据传播。Power V6000-F1160重要参数如下表所示：项目参数网络接口 6个10/100M Base-TX；2个USB接口，1个Concole接口吞吐量 600M 并发会话数 120万每秒新建连接数 1万 IPSec VPN隧道数 4000条加密吞吐量 80M 3.3 产品布置依照对需求分析，需要是加强省台与分支机构之间以及远程移动顾客访问单位内部资源时数据传播安全。针对当前网络特点即数据流量，总部采用网御Power V-3626安全网关网关，分支机构采用网御Power V6000-F1160 网关，在广域网上搭建雪花啤酒自己私有隧道，给各个分支业务数据提供安全保障。如下提出详细解决方案。产品布置网络拓扑图如下：产品布置阐明：在VPN组网方式上，普通可选取网状组网方式和星形组网方式。本次项目建设采用网状组网方式，网状组网是老式VPN组网方式，是在所有需要进行加密数据传播各个子网前布置VPN网关，即每个接入机构前布置VPN网关，每个VPN网关需要同所有需要进行数据互换远程子网前VPN设备建立静态IPSEC隧道，通过两端子网前VPN网关共同构成VPN网络，保障接入机构可以安全访问办公网业务系统。产品布置阐明布置产品布置位置布置作用 VPN网关布置在各个分支单位出口 1、具备防火墙功能，可布置在互联网边界，实现对分支机构所有流经防火墙数据进行过滤和严格访问控制，屏蔽非法和不合规数据包; 2、与雪花啤酒布置网御Power V-3626建立IPSec VPN隧道，在广域网上搭建VPN设备与各个分机构建立私有IPSEC VPN隧道，保障数据在互联网上加密安全传播 4 VPN产品功能及特点布置在雪花啤酒VPN产品是网御星云在总结国内外各种VPN产品特点和国内顾客实际需求基本上，面向公司顾客推出拥有完全知识产权系列VPN产品。网御VPN要达到目的是：采用网御VPN，公司所有分支机构、合伙伙伴和移动顾客只要连接上因特网（无论采用什么样接入方式），就可以像是用专线互联同样以便安全地互换和共享数据。 4.1 支持IPsec合同原则 IPsec作为一种全球性安全原则，规定所有IPsec实现必要严格遵循其各种合同规范，以便实现不同产品之间互通。网御VPN产品通过严格互通性测试，和CISCO、NetScreen、MicroSoft等知名厂家VPN产品可以实现互通（采用原则算法）。 4.2 支持最新NAT穿越合同 NAT技术是当前国内公司共享上网、社区和智能大厦宽带接入、城域网宽带接入所使用主流技术；NAT与IPsec合同存在着原理上矛盾（详细参照上一章有关描述）；因此在应用IPsec技术组建VPN网络时，一定要考虑选用VPN设备与否具备“NAT穿越”功能。网御VPN全系列产品均支持最新NATT合同原则，具备非常好网络适应性。 4.3 支持双动态IP地址间隧道当前国内惯用因特网接入方案（涉及电话拨号、ISDN拨号、ADSL宽带接入等等）都是由ISP为接入顾客动态分派暂时IP地址。如果公司两个分支机构均采用动态IP地址方式接入因特网，那么这两个分支机构之间VPN隧道方略参数必要进行动态调节，这一过程对当前市场大某些VPN产品（涉及国内产品和国外产品）都无法自动完毕，这为公司VPN网络广泛应用和管理人员维护工作带来很大麻烦。 VPN网关产品通过集中VPN方略管理方式成功解决了双动态IP之间自动建立VPN隧道问题。网关接入因特网之后一方面向公司总部布置“安全方略服务器（SPS）”进行注册和身份认证，然后从SPS下载自己VPN方略；同步SPS负责当方略参数发生变化时，实时告知在线网关产品更新方略。从而保证所有网关都可以获得最新方略参数变化状况。 4.4 支持动态域名解析网御VPN产品支持公司总部及各个分支机构以全静态IP地址、单静态IP地址＋动态IP地址以及全动态IP地址方式接入因特网。对于公司内部全动态IP地址接入状况，布置在公司总部VPN网关（内置安全方略服务器）可以启动内置动态域名解析功能（DDNS），从而使各个分支网关可以通过中心网关域名来下载安全方略。对于国内大量没有条件申请专线和静态IP地址公司顾客，网御VPN产品无疑是一种最佳选取。 4.5 完善VPN网络集中管理功能公司内部网络上普通都会运营OA和业务数据传播系统，系统中数据直接关系到公司商业秘密和经济利益，具备较高安全性规定，因而对接入公司VPN网络部门及个人必要进行集中严格身份认证，控制非授权人员进入公司内部网络，对业务系统安全运营导致威胁；另一方面，多数大型公司业务数据具备比较强实时性规定，一旦某个分公司或者营业网点VPN网络发生故障，业务数据不能及时上传，就也许对公司顾客导致时间或经济上损失，从而直接影响公司名誉形象和经济利益，因此需要对整个VPN网络运营状况进行集中监控和远程管理，及时发现网络故障并排除，保证业务系统顺利运营；同步，对于分支机构、营业网点遍及全国大型公司来讲，其业务网络系统具备分布地区广泛、接入网点较多、网络构造复杂等特点，如果所有管理工作都集中在公司总部完毕，必然会给总部网络管理人员带来繁重寻常维护管理工作，减少对接入、连通需求反映速度，因而对VPN网络管理在统一认证、集中监控前提下，还应当充分发挥各个分公司网络管理人员作用，将寻常管理维护工作分级化，提高整个网络运营效率。综合以上分析公司VPN网络管理需求，网御VPN系列产品采用了“统一认证、集中监控、分级管理”VPN网络管理方案： l 统一认证：网御VPN全系列产品（涉及网关和软件包）均支持当前最安全身份认证方式——数字电子证书认证，采用1024bits密钥RSA算法进行数字证书签名，数字证书发放、认证过程由“网御安全管理中心（SMC）”软件完毕；在公司总部布置“网御安全管理中心”，负责对全国VPN网络入网设备发放数字证书，只有拥有合法数字证书并通过中心SMC认证网关或安全包才干接入公司VPN网络。 l 集中监控：通过“网御安全管理中心（SMC）”软件，可以对整个VPN网络中布置网御VPN产品（涉及网关和软件包）完毕实时在线状态监控，可以及时、清晰获取当前在线VPN设备各种状态参数；同步VPN网关产品均具备安全远程管理功能，无论该设备以何种方式接入公司虚拟网，都可以对其进行远程配备，因而当通过状态查看发现某个网关设备工作不正常时，中心管理员可以及时远程修改该设备各种配备参数，以保证整个VPN系统运转正常。 l 分级管理：通过“证书托管中心（CMC）”和“安全管理控制台”等软件，分公司网络管理员可以在总部中心授权前提下，负责对其所管辖公司部门进行VPN隧道信息配备；在这种管理模式下，大大减轻了总部网络管理人员工作强度，提高整个VPN网络可伸缩性。 4.6 具备丰富冗余备份方案 VPN网关提供两种冗余备份解决方案，为保证公司VPN网络稳定性提供了强有力工具。详细方案如下：双机单线路主从备份在这种方案中，正常状况下仅有工作机进行工作，备份机处在热等待状态，并使专心跳信号实时侦听工作机运转状态；当工作机浮现故障时，备份机自动接替工作机工作，完毕VPN隧道加解密和数据隧道封装工作；当工作机恢复正常后，备份重新进入热等待状态。双机双线路镜像备份在这种方案中两台VPN设备均为工作状态，并且各种配备信息完全自动镜像，数据流选取主线路还是备份线路是由路由器HSRP备份合同自动协商完毕。 4.7 具备功能强大VPN软件包作为完整公司VPN解决方案，提供支持移动办公顾客远程访问VPN系统客户端软件包是必不可少。网御VPN软件包不但提供完整IPsec合同实现，支持移动顾客VPN接入需求，并且内置完善软件防火墙功能、支持PPPoE拨号合同、支持动态VPN方略下载、支持开机自动建立隧道、支持同步激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大安全功能，因此其可以作为软件VPN网关安装在公司局域网代理服务器上，作为硬件网关备份或补充。 4.8 具备易用管理配备界面 VPN网关提供基于串口超级终端和远程telnet两种登录管理方式，管理员可以使用命令行方式对设备进行配备；同步提供基于windowsGUI管理控制界面，管理员可以不用记忆复杂配备命令，而仅通过点击鼠标就可完毕所有配备工作。此外，由于网御VPN设备支持从安全方略服务器自动进行方略下载集中管理配备工作模式，因此对于分支网关安装人员来讲只需要配备网关网络地址信息和中心方略服务器地址信息，就完毕了所有配备工作。如果在分支网关安装之前，由中心管理人员将这两项信息预先配备完毕，则分支网关安装过程可以做到真正“零配备”。 4.9 具备丰富VPN网关附加功能 VPN网关不但可以提供组建公司VPN网络基本功能，并且作为网关设备具备许多对顾客十分实用附加功能，真正做到一机多能，节约顾客投资。详细功能涉及： l 内置DHCP服务器和客户端； l 内置远程拨号服务器功能； l 支持静态路由合同； l 支持RIP、OSPF动态路由合同； l 支持内部多子网划分； 4.10 VPN产品功能列表 Power-v3226 功能类别功能描述性能网络解决能力》5G，并发连接数》220万，每秒新建连接数》2.6万，IPSec隧道数》5500 端口标配6个SFP插槽，6个10/100/1000BASE-T端口,同步可用端口总数不少于12个，且每个端口均可连接独立安全域操作系统基于通用安全平台(V.S.P)，具备高效、智能、安全、健壮、易扩展等特点网络适应性支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server 支持PPPoE接入，并具备自动断线重连技术支持纯透明桥接功能支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等支持基于源/目地址、接口方略路由支持多余口路由负载均衡支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等各种方式地址转换支持802.1Q和ISL VLAN封装合同，支持两种封装互换以及Vlan Trunk 基于IP地址、服务、网口、时间等定义带宽分派方略支持最小保证带宽和最大限制带宽支持分层带宽管理在各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等各种动态合同绿色上网辨认和控制迅雷、BT、eDonkey、eMule等常用P2P下载软件辨认和控制PPLive、QQLive、PPStream等常用P2P视频播放软件辨认和控制QQ、MSN等惯用IM软件，一键式阻断IM软件机密文献传播辨认和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等各种在线游戏软件辨认和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等各种炒股软件支持基于分类库URL访问控制，可以对色情、反动等各种负面网站按类别进行选取控制支持50各种分类库，800万级网址智能特性库支持URL独立特性库，支持增量升级管理采用高速辨认技术，缩短匹配时间，不影响产品整体性能访问控制基于源/目IP地址、MAC地址、域名、端口或合同、服务、网口、时间、顾客访问控制基于源/目IP地址、端口、服务、网口、时间、应用等安全方略带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访问DMZ区或者只能访问外网实现基于方略HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤实现IP/MAC地址绑定，且支持IP/MAC地址对自动探测和唯一性检查 VPN 支持原则IPSec合同，可以与CISCO、NETSCREEN等知名厂商VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多余口VPN，且支持NAT穿越支持隧道接力，并可通过隧道接力实现分级树状VPN构造布置支持GRE、PPTP 、L2TP等VPN连接支持SSL VPN和IPSec VPN同步使用采用无客户端认证方式实现隧道安全连接能进行个性门户（portal）定制化解决，可替代图片、文字等 IPSec VPN客户端可与所有支持原则IPSec合同VPN网关互联互通支持基于USB Key证书认证方式入侵检测与防御集成基于统一安全引擎（USE）IDS模块，具备1600种以上袭击特性库规则遵循关联安全原则(CSC)实现与IDS联动采用基于摘要索引内容加速算法（DCA算法）进行蠕虫病毒过滤采用基于TCP连接数管理侦测技术，对感染蠕虫病毒异常主机进行定位实现对blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕虫病毒辨认、过滤和拦截可辨认和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等各种袭击完全内容过滤支持对网页核心字和Java、JavaScript、ActiveX进行过滤支持对邮件地址、主题、正文、附件名、附件内容等进行核心字匹配过滤支持对中转垃圾邮件进行辨认和过滤支持对FTP上传和下载文献控制支持对网页核心字和Java、JavaScript、ActiveX进行过滤关联安全应用支持关联安全原则(CSC) 可实现与IDS等设备联动可实现与内网安全管理系统(ISM)联动安全管理支持和谐Web图形界面配备支持远程SSH和串口命令行配备支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级支持SNMP管理，与当前通用网络管理平台兼容可导出可读配备文献并进行打印存档可进行配备文献备份、下载、恢复和上传支持对CPU、内存、磁盘、网口、顾客在线状态、连接数、路由表等信息监控支持设备内存储和专用事件分析服务器两种日记管理方式支持分级报警，支持SNMP Trap和邮件等报警方式可通过专用集中管理系统实现对防火墙集中设备监控、集中日记审计、安全报警以及防火墙、VPN某些方略分发等功能可通过专用集中管理系统，实现对网络拓扑管理，基于域权限分派和报表自动生成，以及设备历史状况回放可提供专用软件实现对防火墙接入顾客认证集中管理，至少可同步管理2048台防火墙高可靠性支持多重冗余合同(MRP)，实现链路备份、端口备份、热备份、集群备份等支持防火墙多WAN口备份和负载均衡支持基于802.3ad原则多端口聚合，实现零成本扩展带宽通过状态同步技术实现2～32台防火墙多机集群在NAT、路由、透明模式下支持A-A,A-S模式，且切换时间不大于1秒可在热备和集群工作模式下支持多台防火墙配备自动同步类别指标项详细描述操作系统具备自主研发安全操作系统产品规格硬件规格产品形态网络接口串口、USB接口、电源最大无端障时间(MTBF) 性能参数吞吐率(bps) 最大并发连接数每秒新建连接数 IPSec VPN隧道数 SSL VPN并发顾客数加密速率(bps) IPSec VPN 互联互通支持原则IPSec合同，可以与CISCO、NETSCREEN等知名厂商VPN设备互联互通认证方式支持预共享密钥、证书等认证方式且支持X扩展认证支持多因子认证方式支持主模式、野蛮模式认证方式加密算法支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持SM1(SCB2)国密办专用算法支持专用硬件加密卡网络支持支持多余口VPN，且支持NAT穿越支持最新NAT穿越（NATT）合同支持双动态IP地址间建立VPN隧道 VPN应用支持视频会议、视频点播等应用数据在隧道中传播支持DPD隧道状态探测功能 PKI体系支持X.509 V3原则格式数字证书隧道保障支持链路和VPN隧道自动恢复支持隧道实时监控支持VPN动态带宽管理功能支持隧道接力，并可通过隧道接力实现分级树状VPN构造布置 GRE/PPTP/L2TP 各种合同支持GRE、PPTP 、L2TP等VPN连接 SSL VPN 合同兼容支持SSL VPN和IPSec VPN同步使用零客户端采用无客户端认证方式实现隧道安全连接门户定制能进行个性门户（portal）定制化解决，可替代图片、文字等智能选路支持智能选路功能，维护运营商地址库特性码绑定支持顾客特性码验证，绑定客户端顾客，提高安全性隧道保活支持自动重连技术，保障隧道稳定软件下载能提供快捷以便证书链、定制软件、定制驱动下载链接 VPN客户端 VRC(VPN客户端) IPSec VPN客户端可与所有支持原则IPSec 合同VPN网关互联互通支持基于USB Key证书认证方式支持电子钥匙（USB Key），可以保存认证数据与方略支持USB Key即插即用模式，智能探测所连接VPN网关支持开机自动建立隧道，便于无人值守业务数据传播支持DHCP over IPSec VPN IPSec VPN客户端支持Microsoft Windows /XP、Vista等操作系统访问控制状态检测基于源/目IP地址、MAC地址、域名、端口或合同、服务、网口、时间、顾客访问控制基于源/目IP地址、端口、服务、网口、时间、应用等安全方略带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访问DMZ区或者只能访问外网透明代理实现基于方略HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤 IP/MAC绑定实现IP/MAC地址绑定，且支持IP/MAC地址对自动探测和唯一性检查顾客认证支持基于客户端本地认证、无客户端软件WEB认证，并支持Radius等第三方认证网络适应性接入模式支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server 支持PPPoE接入，并具备自动断线重连技术支持纯透明桥接功能路由支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等支持基于源/目地址、接口方略路由支持多余口路由负载均衡 NAT 支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等各种方式地址转换 VLAN 支持802.1Q和ISL VLAN封装合同，支持两种封装互换以及Vlan Trunk 带宽管理基于IP地址、服务、网口、时间等定义带宽分派方略支持最小保证带宽和最大限制带宽支持分层带宽管理动态合同在各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等各种动态合同内容过滤网页过滤支持对网页核心字和Java、JavaScript、ActiveX进行过滤邮件过滤支持对邮件地址、主题、正文、附件名、附件内容等进行核心字匹配过滤支持对中转垃圾邮件进行辨认和过滤 FTP过滤支持对FTP上传和下载文献控制关联安全应用关联安全支持关联安全原则(CSC) 可实现与IDS等设备联动可实现与内网安全管理系统(ISM)联动管理配备系统管理支持和谐Web图形界面配备支持远程SSH和串口命令行配备支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级支持SNMP管理，与当前通用网络管理平台兼容可导出可读配备文献并进行打印存档可进行配备文献备份、下载、恢复和上传系统监控支持对CPU、内存、磁盘、网口、顾客在线状态、连接数、路由表等信息监控日记报警支持设备内存储和专用事件分析服务器两种日记管理方式支持分级报警，支持SNMP Trap和邮件等报警方式集中管理可通过专用集中管理系统实现对防火墙集中设备监控、集中日记审计、安全报警以及VPN安全网关某些方略分发等功能可通过专用集中管理系统，实现对网络拓扑管理，基于域权限分派和报表自动生成，以及设备历史状况回放可提供专用软件实现对VPN安全网关接入顾客认证集中管理，至少可同步管理2048台VPN安全网关 VPN高可用性负载均衡支持多重冗余合同(MRP)，实现链路备份、端口备份、热备份、集群备份等支持VPN安全网关多WAN口备份和负载均衡支持基于802.3ad原则多端口聚合，实现零成本扩展带宽通过状态同步技术实现2～32台VPN安全网关多机集群双机热备在NAT、路由、透明模式下支持A-A,A-S模式，且切换时间不大于1秒可在热备和集群工作模式下支持多台VPN安全网关配备自动同步 5 产品报价序产品产品规格选型数量价格备注 1 VPN网关标配6个SFP插槽，6个10/100/1000BASE-T端口,同步可用端口总数不少于12个，且每个端口均可连接独立安全域，网络解决能力5G，并发连接数220万，每秒新建连接数2.6万，IPSec隧道数5500 网御星云Power V3226 1 ¥76000 总部 1 VPN网关 1U原则机架式机箱，标配单电源；6个10/100M自适应电口；2个USB接口和1个Console口，整机吞吐量600M,最大并发120W,每秒新建1W,VPN IPSec 隧道数4000条，VPN AES加密吞吐量(bps)80M。可通过购买授权方式启动病毒防护，入侵防护，上网行为管理等功能。网御星云Power V6000-F1160 1 ¥18000 每个接入单位分别布置一台

展开阅读全文