1、XXX企业VPN系统处理方案提议书北京天融信企业2024年5月目 录第一章 XXX企业网络现实状况及需求分析11.1 网络现实状况11.2 需求分析1第二章 VPN技术及天融信VONE产品22.1 VPN产品概述22.1.1 安全接入应用趋势22.1.2 安全接入技术趋势22.1.3 天融信VONE产品介绍32.2 天融信VONE网关产品特点42.3 天融信VONE产品关键功效112.4 天融信VONE产品规格19第三章 XXX企业SSL VPN接入处理方案203.1 VPN处理方案203.2 本处理方案关键特点22第一章 XXX企业网络现实状况及需求分析1.1 网络现实状况XXX企业企业业务
2、网络系统由企业总部和远程移动用户组成。其中总部局域网络是整个网络系统关键,为企业各类服务器所在地,同时也是网络管理中心。各移动用户现在期望经过Internet和总部进行安全通信,具体需求以下:企业现在有一个内部业务应用系统(基于B/S或C/S架构),因为业务扩展,有很多业务人员在外办公,现在大约有1000名移动用户,为了能合理利用网络及内部资源,需提供一个简单可行远程接入方案,把移动用户接入到内网,同时对这些用户能有效进行管理。1.2 需求分析依据XXX企业现有网络情况和业务情况,现在需求分析以下:l 内网业务系统基于B/S结构,业务模式简单;l 移动办公人员众多,使用水平参差不齐;l 对移动
3、办公人员身份要求进行严格认证和监控;l 数据在Internet上传输时应确保足够安全;l 该系统扩展性好,为以后扩充更多用户做好准备;l 有良好日志系统;l 整个接入系统安装方便、快捷,便于维护和管理。 基于以上分析,这是一个经典VPN接入需求。天融信企业能提供基于IPSec和SSL两种VPN处理方案,在本案中,用户业务模式简单(仅基于B/S模式),用户数量众多,在此推荐采取SSL处理方案。以下我们将具体叙述天融信SSL VPN处理方案。第二章 VPN技术及天融信VONE产品2.1 VPN产品概述2.1.1 安全接入应用趋势伴随电子政务和电子商务信息化建设快速推进和发展,越来越多政府、企事业部
4、门已经或立即构建网上办公系统和业务应用系统,使内部办公人员经过网络能够快速地获取信息,使移动办公等多个远程办公模式得以逐步实现,同时使合作伙伴人员也能够访问到对应信息资源。可是要享受经过互联网访问企业内部信息资源便利,就面临着非法访问、信息窃取等越来越多来自外部和内部安全威胁。而我们现在所使用操作系统、网络协议和应用系统不可避免地存在着不少安全漏洞。所以,在构建和应用这些应用系统时,必需要保障关键应用在开放网络环境中安全,同时还需尽可能降低实施和维护成本。2.1.2 安全接入技术趋势现在安全接入组网技术有多个,每种技术全部有其适用范围和优点,同时也有一定缺点。主流VPN技术关键有以下三种:1L
5、2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。在windows主流操作系统中全部集成L2TP/PPTP VPN拨号用户端软件;不过因为协议本身缺点,没有高强度加密和认证手段,安全性较低;同时这种技术仅处理了移动用户VPN访问需求,对于LAN-TO-LANVPN应用无法处理;2IPSec VPNIPSec VPN 属于三层VPN技术,协议定义了完整安全机制,对用户数据完整性和私密性全部有完善保护方法;同时工作在网络协议三层,对应用程序是透明,能够无缝支持多种应用;既能够支持移动用户VPN应用,也能支持LAN-TO-LANVPN组网;支持多个网络拓扑结构。其缺点是网络协议比
6、较复杂,正确配置VPN隧道需要较多专业知识;而且需要在移动用户机器上安装单独用户端软件。3SSL VPNSSL VPN属于应用层VPN技术,协议定义了完整安全机制,对用户数据完整性和私密性全部有完善保护;因为在windows等操作系统中IE浏览器已经支持了完整SSL协议,所以原理上将对于B/S应用是无需安装用户端软件,布署使用较为简单。关键适用和移动用户接入并访问B/S结构应用系统,对于C/S应用支持仍然需要安装用户端插件。多种VPN技术全部有其优点和缺点,用户实际应用中,往往需要将这多个技术进行综合应用,才能满足较为复杂用户需求。天融信将这多个VPN技术有机进行了整合,实现了在一台设备中同时
7、支持上述多个主流VPN组网技术,同时集成了业内成熟领先防火墙和身份认证系统,形成了一个完整安全接入处理方案。2.1.3 天融信VONE产品介绍网络卫士VONE系列(IPSEC/SSL VPN多合一网关)是集天融信十几年研发经验,向用户提供完整VPN接入处理方案,是天融信推出最新一代网络安全接入产品。该产品以天融信自主知识产权TOS(Topsec Operating System)为系统平台,采取开放性系统架构及模块化设计,融合了身份认证、访问控制等安全手段,含有安全、高效、易于管理和扩展等特点。网络卫士VONE网关可为分支机构、移动办公职员、业务合作伙伴及用户提供各自所需应用和资源安全便捷接入
8、服务。产品L2TP/PPTP/SSL功效无需安装任何用户端软件,也无需投入太多人力进行配置或长久维护;产品完善IPSEC VPN功效能够方便构筑和分支机构之间LAN-TO-LAN互联VPN网络。SSL VPN在外部网络和内部网络之间,利用安全套接层(SSL)来提供安全传输功效,而SSL在全部标准Web浏览器中全部含有。SSL VPN构建在经过强化软硬件平台上,实现用户和资源绑定。天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多个接入方法,以适应不一样用户需求,同时还含有强大访问控制权限管理、细粒度审计和日志统计等功效。网络卫士VONE网关包含完整业界领先专业防火墙功效,
9、还含有内容过滤、入侵防御、带宽管理等功效,能为用户提供全方面网络边界安全防护处理方案。2.2 天融信VONE网关产品特点1) 自主安全操作系统平台采取自主知识产权安全操作系统 TOS(Topsec Operating System),TOS拥有优异模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块优异性能,其良好扩展性为未来快速扩展更多特征提供了无限可能。TOS含有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性特点。2) 多个VPN技术有机融合前面已经分析了现在主流多种VPN技术优缺点,这些技术有其不一样适用范围。在实际用户网络中,不一样用户需求往往需要多
10、个VPN技术综合应用,在这种情况下往往需要用户购置多台不一样VPN设备来满足需求,这既浪费资源又带来用户管理维护工作量,同时网络环境变得愈加复杂,网络运行稳定性和安全性全部见面临新挑战。网络卫士VONE网关是天融信企业在多年多种独立VPN产品研发和销售基础上,推出一款融合IPSEC/SSL/PPTP/L2TP等多个VPN技术综合安全网关产品。在TOS平台强大整合能力保障下,多种VPN模块进行了有机整合,为用户提供一个统一完整VPN接入平台。3) 安全接入和安全防护无缝结合VPN网关作为网络边界设备,除了完成远端网络或移动用户远程接入功效外,对用户网络边界安全也是至关关键。网络卫士VONE网关是
11、构建在天融信强大TOS系统平台基础上,集成了天融信业内领先防火墙功效模块,能够为用户VPN网络提供高等级边界安全防护和访问控制。天融信VPN网关含有强大内容过滤功效,支持URL分类过滤,分类库大于700万条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功效。还具完善应用识别功效,用户能够轻松针对部分经典网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、谷歌 Talk等即时通信应用,和BT、Edonkey、Emule、讯雷等p2p应用实施灵活访问控制策略,如严禁、限时、带宽控制等。网络卫士VONE网关支持完善基于完全内容检测访问控制技术。防火墙检测技术发展至今,大致经历了三个阶段,从早期状
12、态检测(Status Inspection)到以后深度包检测(Deep Packet Inspection),现在已经发展到了最新完全内容检测(CCI,Complete Content Inspection)。状态检测只检验数据包包头,深度包检测可对数据包内容进行检验,而CCI则可实时将网络层数据还原为完整应用层对象(如文件、网页、邮件等),并对这些完整内容进行全方面检验,实现根本内容防护。网络卫士VONE网关在MAC层提供基于MAC地址过滤控制能力,同时支持对多种二层协议过滤功效;在网络层和传输层提供基于状态检测分组过滤,能够依据网络地址、网络协议和TCP 、UDP 端口进行过滤,并进行完整
13、协议状态分析;在应用层经过深度内容检测机制,能够对高层应用协议命令、访问路径、内容、访问文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体、全方面访问控制机制,实现了全方位安全控制。4) 多个SSLVPN技术结合实现应用全覆盖现在SSLVPN接入技术大致分为三类:WEB转发(WEB FORWARD),端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS或称为IP TUNNEL)。这三种技术技术特点和适用范围各不相同,在网络卫士VONE网关中对这三种SSLVPN接入技术全部做了很好支持,用户能够依据本身应用系统特点选择使用一个或多个接入方法。WEB转发模式能够实
14、现用户完全无用户端接入,支持多种操作系统和用户浏览器平台。但其缺点是仅支持B/S模式应用系统,而且对用户应用系统依靠性较强。网络卫士VONE网关经过在WEB转发模式中应用独创智能URL重定向技术和自动分布式页面重构技术大大提升了对用户B/S系统支持率和处理性能。同时经过开放页面替换规则框架,支持为用户个性化业务系统自定义特殊URL替换规则,深入提升了系统适应性。端口转发模式经过用户端当地代理技术实现对用户访问请求SSL协议封装和转发。这种模式适应性比WEB转发要好,但其要求在用户端安装一个ACTIVEX控件。网络卫士VONE网关实现了用户端透明代理,用户不需要修改当地任何配置即能完成代理控件安
15、装和使用,大大简化了用户操作步骤。全网接入模式经过SSL隧道转发用户端全部IP请求报文,其适应性最好,能够支持基于IP协议全部B/S和C/S业务系统,其一样要求在用户端系统上安装一个ACTIVEX控件。网络卫士VONE网关经过全网接入模式能够实现移动用户虚拟IP地址分配,实现多种访问控制策略下发,支持移动用户以分离隧道(SPLIT TUNNEL即能够同时访问VPN和因特网)或完全隧道(FULL TUNNEL即只能访问VPN不能访问因特网)方法接入VPN网络,大大提升了远程接入安全性和灵活性。5) 支持虚拟桌面/虚拟应用天融信企业TopConnect用户端产品,即支持虚拟桌面模式,也支持虚拟应用
16、模式。经过这两种不一样使用模式,企业用户能够限制不一样用户使用不一样模式,即确保用户敏感数据安全,又能降低网络管理维护量,降低企业内部应用维护人力物力成本。针对业务应用丰富,使用环境单一用户,或需要对智能移动终端进行管理和维护人员,可使用虚拟桌面模式。在这种模式下,服务器直接将服务器端个性化桌面展现给用户。和传统PC机相比较,除显示器幕面积外,其它使用和操作没有任何差异。而对于业务应用单一,使用环境复杂,或不能开发较多权限用户,可使用虚拟应用模式。在这种模式下,服务器只将特定应用界面推送给用户。除授权使用应用外,用户无法使用其它任何应用,更无法对服务器进行修改和配置。6) 完善身份认证技术网络
17、卫士VONE网关为经过SSL隧道接入用户提供了完整身份认证手段。假如移动用户接入环境比较简单、可信,管理员能够配置简单“用户名口令”认证方法,从而达成简单易用效果;为了预防线路窃听和重播攻击,管理员能够采取“用户名口令图形认证码”方法对移动用户进行身份认证;对于需要强身份认证机制用户,管理员能够采取“数字证书”认证方法,经过高强度密码运算来确保用户身份标识不会受到“字典攻击”等暴力攻击威胁;还能够经过“数字证书(USBKEY)口令”双因子认证方法来确保移动用户证书不会被盗用,深入加强认证安全性。网络卫士VONE网关还支持短信认证、图形码校验、硬件特征码校验。支持基于web协议认证方法,能够和业
18、务资源帐号系统使用一套,避免了在VONE上再次建立帐号,能够统一管理帐号,增强了易用性。支持指纹认证,能够基于指纹信息进行认证。VONE网关还支持多个认证方法任意组合,为用户提供最强安全接入机制。网络卫士VONE网关还支持经过RADIUS/TARCAS/LDAP等标准协议和外部专用用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级认证方法。这既能够和用户其它应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又能够充足利用用户已经有资源。7) 多级用户授权机制和授权组合授权是对移动用户经过身份认证接入网关后,许可访问内网资源权限进行控制,是保护内网资源安全关键技术手
19、段。网络卫士VONE网关采取多级授权机制和用户授权继承策略,满足多种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书属性字段授权,支持基于外部属性(LDAP或Radius下发属性值)授权,也支持多条授权策略组合。在用户授权粒度上,网络卫士VONE网关支持基于URL/目录/文件等访问内容控制策略,支持用户行为动作访问控制策略,支持基于访问时间控制策略,能够充足满足管理员多种用户授权需求。8) 完善PKI体系提升用户网络安全等级伴随VPN技术在政府、金融等高安全性要求领域应用不停深入,用户对VPN网络认证功效和其原有PKI体系进行无缝结合需求也越来越强烈。网络卫士多合一VPN产品全方面
20、支持标准PKI体系结构,既能够经过内置CA模块独立为移动用户签发数字证书,又能够经过导入CA根证书CRL列表方法对第三方CA签发证书进行认证,同时还能够经过OCSP/LDAP等标准协议向第三方CA提交在线证书认证请求。具体PKI功效包含: 支持标准X509.V3格式数字证书; 支持DER、PEM、PKCS12等多个证书编码格式; 支持经过内置CA模块为用户签发标准数字证书; 支持同时导入多个CA根证书和CRL列表,对不一样CA签发证书进行认证; 支持经过OCSP/LDAP等标准协议向第三方CA进行在线证书认证; 支持生成PKCS10格式证书请求,可生成证书请求,由第三方CA署名; 支持CRL列
21、表文件导入和经过HTTP自动下载。天融信和吉大正元、上海格尔、天威诚信、江南计算所等中国关键CA厂商有着长久合作,网络卫士VONE网关和这些厂商CA系统均能够无缝集成。9) 卓越网络及应用环境适应能力网络卫士VONE网关构建于强大TOS系统平台之上,天融信在网络和信息安全领域多年技术积累和庞大用户群为其提供了卓越网络及应用环境适应能力。其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等,适用网络范围很广泛,充足确保了用户网络可用性。同时,针对中国用户动态I
22、P地址较多现实状况,网络卫士VPN网关整合了天融信企业独立维护EZVPN动态域名系统,为天融信VPN用户提供专用动态地址域名解析服务,从而很好地处理了动态地址VPN接入问题。10) 分级可信接入体系天融信VPN网关还可对可信接入安全性检验结果进行分级,不一样等级能够授予不一样权限,对不满足安全要求主机或终端,能够依据其缺点程度分别实施隔离、修复和限制访问。对于要求访问敏感信息服务器用户,假如没有达成较高安全等级,可只授予和其安全等级匹配一般权限。这么既能够预防不安全用户主机感染内部关键服务器,又能够保留其浏览企业一般Web服务器权限,实现桌面安全等级和访问资源安全等级相匹配和访问权限分级。11
23、) 支持虚拟门户功效SSL VPN提供了虚拟门户功效,从而使得企业及部门全部可拥有自己独立远程接入门户。每个虚拟门户全部能够定制不一样登录界面、定制是否使用控件、定制使用哪些功效模块、定制不一样认证方法、定制不一样公告信息等。12) 分级管理和三权分立天融信VPN网关支持将管理员进行分级分组,一级管理员能够创建若干二级管理员,并给其进行授权,分配二级管理员能够管理用户组,能够使用资源组,能够使用角色,是否能够创建下级管理员等。二级管理员在其权限许可范围内行使其权限,如添加、修改、删除用户,在权限范围内给用户授权,创建三级管理员,给三级管理员授权等。天融信VPN网关最多能够支持16级管理员分级管
24、理,便于大型组织用户将管理权限下放,并能够依据需要授予不一样管理员不一样权限。支持管理员三权分立,可分别授予不一样类型管理员不一样权限。13) 支持多个单点登录方法支持多个单点登录方法,支持HTTP401方法、密码助手、WEB方法单点登录,用户只需要进行一次认证即可访问全部授权业务资源,大大提升了系统易用性。14) 和企业门户无缝融合很多大型企业已经拥有了自己企业门户,我们SSL VPN能够和用户企业门户无缝融合,只需要简单替换一下企业门户中登录URL即可实现。很多企业已经布署了单点登录服务器,我们SSL VPN也能够很好融合。用户经过企业门户登录SSLVPN后,SSLVPN能够自动跳转Por
25、tal页面到企业单点登录服务器页面,显示该用户资源列表,同时在右下角显示一个SSLVPN小图标。15) 适应多个终端和系统平台现在移动互联已成为新应用趋势,天融信VONE针对移动终端提供了多个安全接入技术,能方便实现经过智能终端移动办公。支持虚拟桌面和虚拟应用虚拟化接入技术,含有终端和后台业务数据分离和应用无关性技术特点,能很好处理移动终端接入所面临数据安全性和应用适应性问题。天融信TopConnect用户端是专门为智能移动终端提供安全接入SSL用户端产品,不仅支持传统Windows/Linux操作系统,还支持iOS、Android等移动操作系统,未来还将支持WP8。丰富操作系统平台支持,意味
26、着用户能够自由选择终端产品,无需受限于某个特定应用范围。对于iOS、Andriod智能终端支持SSL虚拟桌面接入,其中iOS还支持IPSEC“零安装”接入;对于Android、Windows Mobile系统智能终端,还支持使用全网接入模式接入;对于PC系统,支持Windows 、XP、Vista、Win7、Linux系统接入。16) 智能递推天融信VONE产品支持智能递推功效,只需要配置一个门户url,采取智能递推技术,即可自动将该门户url包含子连接加入能够访问资源列表,降低了管理配置工作量。17) 智能压缩支持数据智能压缩功效,能够智能依据目前传输数据压缩比决定是否启用压缩,大大提升了传
27、输效率和应用访问速度。18) VPN集群功效支持集群功效,能够使用多台VONE网关组成一个集群系统,大大提升了VPN网关整体性能和可靠性,能够满足大并发用户数需求。天融信VPN采取基于TOS系统智能集群技术。它基础工作模式是多台VPN网关并行工作,全部处于正常数据转发状态,对外提供统一接入IP,多台VPN网关之间相互备份,一旦某台设备故障时,其它设备能够立即接替其工作,确保用户业务数据不间断。天融信VPN支持最多256台设备集群和多个集群负载均衡策略;支持经过心跳口进行状态和Session同时,网关切换时无需用户二次认证。19) 符合国密局SSL VPN技术规范和IPSEC VPN技术规范天融
28、信SSLVPN是严格根据国家密码管理局制订SSL VPN技术规范和IPSECVPN技术规范进行开发,并经过了国家密码管理局商用密码检测中心检测,支持国家密码管理局要求SM1(SCB2)、SM2、SM3商用密码算法。2.3 天融信VONE产品关键功效类别功效具体描述网络适应性工作模式 支持透明、路由、混合模式路由 支持静态路由、动态路由 支持基于源/目标地址、接口、Metric策略路由 支持单臂路由,可经过单臂模式接入网络,并提供路由转发功效 支持Vlan路由,能够在不一样VLAN虚接口间实现路由功效 支持RIP、OSPF等路由协议 支持多线路源路返回智能选路 支持多线路捆绑和负载均衡组播 支持
29、IGMP组播协议 支持IGMP SNOOPING 可有效地实现视频会议等多媒体应用VLAN 支持Vlan Trunk 支持802.1Q,能进行封装和解封 支持ISL,能进行ISL封装和解封 在同一个Vlan内能进行二层交换 支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装生成树 支持802.1D生成树协议ARP 支持ARP代理、ARP学习 可设置静态ARPDHCP 支持DHCP Client、DHCP Relay、DHCP Server接入 支持以太网、光纤、ADSL、DHCP等多个接入方法其它 支持网络时钟协议SNTP,可自动依据NTP服务器时钟调整本机时间 支持IP
30、X、NetBEUI等非IP 协议PKI证书格式 支持X.509 V3数字证书 支持DER/PEM/PKCS12等多个证书编码当地CA 支持内置CA,为其它设备或移动用户签发证书 可生成、吊销、删除证书 支持当地CA根证书、根私钥更新 支持证书废弃,支持生成标准CRL列表 支持证书请求生成,由第三方CA进行署名 支持证书链管理 内置支持SM2算法CA第三方CA 支持同时导入多个第三方CA根证书和CRL列表,对不一样CA证书用户进行身份认证,支持经过HTTP协议定时下载CRL列表 支持经过OCSP/LDAP等协议在线认证证书SSL VPN安全算法 支持AES、DES、3DES、RC4、MD5、SH
31、A1、RSA等多个算法 支持国家商密专用SM1(SCB2)、SM2、SM3算法协议类型 支持SSL 2.0/3.0 TLS 1.0数据压缩和加速 支持高效流压缩算法 支持智能压缩 支持WebCache加速用户认证 支持“用户名口令”、“用户名口令图形认证码”认证 支持X.509数字证书认证 支持数字证书(USBKEY)+口令多因子认证 支持公共帐户登陆,支持临时严禁帐户登录 支持当地数据库认证 支持基于LDAP/RADIUS/TACAS等协议外部服务器认证 支持短信认证、图形码校验、硬件特征码校验用户授权 支持角色授权、支持独立用户授权 支持基于URL、访问路径、访问文件、访问动作细粒度授权
32、支持基于时间访问授权方法 支持当地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中字段属性组合授权应用支持 支持WEB转发、端口转发、全网接入模式 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等多种Web应用 支持基于IP协议多种C/S应用,如EMAIL,FTP,ERP,CRM,DB等 支持Windows/CIFS远程文件共享 支持FTPWEB化访问 支持资源自动打开 支持资源连接隐藏 支持资源和特定应用程序关联实时监控 实时监控在线用户登录时间、在线时间、访问流量,认证方法等多个信息 支持主动中止在线用户隧道连接日志审计 具体审计用户登录认证过
33、程、多种认证授权错误、内网资源访问情况等信息 支持多级审计日志,能够灵活配置审计等级 支持日志当地保留,支持将日志上传到外部日志服务器 支持天融信专用TA-L日志服务器,能够对日志内容进行深度分析和统计端点安全 支持接入用户端痕迹清除,能够清楚cookie、缓存、历史统计等多种访问痕迹 支持拔KEY隧道自动中止 支持用户超时自动退出,超时时间能够设置虚拟门户 支持虚拟门户功效,每个虚拟门户全部能够定制不一样登录界面、定制是否使用控件、定制使用哪些功效模块、定制不一样认证方法、定制不一样公告信息等和企业门户无缝融合 SSL VPN能够和企业门户无缝融合,即用户能够经过企业门户登录SSL VPN,
34、而且SSL VPN能够自动跳转Portal页面到企业某个网站集群 支持集群功效Portal页面隐藏 在用户登录SSL VPN后不需要驻留Portal页面,能够隐藏,并在右下角缩成一个小图标,点击小图标还能恢复Portal页面用户端 支持Windows Mobile PDA用户端 支持安卓系统智能终端 支持Linux系统PC机 支持Windows 、XP、Vista、Win7系统PC 支持独立用户端 支持用户设定代理服务器信息端口转发 支持TCP协议 支持UDP协议 支持智能递推单点登陆 支持HTTP401认证单点登录 支持用户修改单点登陆账户信息 支持WEB方法单点登录 支持密码助手方法单点登
35、录可信接入可信接入 支持接入主机信息检验,包含安装软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 支持可信接入分级授权 支持检验策略:接入前检验、接入后检验、定时检验等国际化语言支持 支持中、英文界面 支持中、英文自动切换 支持中、英文手动切换DDNSDDNS 支持DDNS动态域名注册 支持使用域名进行隧道定义及协商 支持使用域名向TP进行集中认证IPSEC VPN协议 支持ESP/AH/IKE/NATT等标准IPSEC协议 支持隧道模式、传输模式算法 支持DES/3DES/AES等标准加密算法,支持MD5/SHA1等标准HASH算法 支持DH GROUP1/2/5,RSA 10
36、24/2048非对称算法 支持国家商密专用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法硬件加速 支持高速算法加速卡数据压缩 支持高效数据流压缩算法隧道认证 支持预共享密钥、数字证书认证,支持XAuth扩展认证 支持使用标准X.509证书建立隧道网络适应性 支持网状、树型、星型等多个VPN网络拓扑 支持隧道NAT穿越、双向NAT隧道建立 支持全动态IP地址间VPN组网 支持隧道转发 支持GRE over IPsec方法 支持组播穿越IPSec隧道 支持多机多隧道负载均衡和备份VPN用户端 支持第三方标准IPSec用户端接入 支持苹果终端IPSEC VPN用户端接入 支持为移动用
37、户自动分配内部IP地址、DNS/WINS服务器地址 支持为移动用户定义访问权限 支持基于时间移动用户访问控制策略 支持两网分离 支持多线路自动检测 支持用户在线修改口令 支持移动用户接入状态监控和审计 支持中/英文界面和中/英文自动切换技术标准SSLVPN 符合国密局制订SSL VPN技术规范IPSecVPN 符合国密局制订IPSEC VPN技术规范L2TPL2TP 支持远程用户经过L2TP接入,建立L2TP隧道访问内部网络PPTPPPTP 支持远程用户经过PPTP接入,建立PPTP隧道访问内部网络网络安全性*内容过滤 完全内容检测(Complete Content Inspection)技术
38、 支持基于流、数据包、透明代理过滤方法 支持对HTTP、SMTP、POP3、IMAP、FTP等协议深度内容过滤 支持DNS过滤、DNS中继 支持web重定向 支持URL分类过滤,分类库大于700万 支持挂马网站过滤 支持对移动代码如Java applet、Active-X、VBScript、Java script过滤 支持对邮件收发邮件地址、文件名、文件类型过滤 支持对邮件专题、正文、收发件人、附件名、附件内容等关键字匹配过滤 支持反垃圾邮件功效 支持Telnet、Ftp、RSH命令过滤 可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、Telnet、HTTP)BAN
39、NER信息访问控制 基于状态检测动态包过滤 基于源/目标IP地址、MAC地址、端口和协议、时间、用户、角色访问控制 支持基于用户PPTP访问控制 支持隧道内访问控制 支持IPSec用户端和SSL全网模式和FW联动 支持报文正当性检验 动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 访问控制策略分组管理 支持大数量级策略匹配加速算法 支持对象每秒新建连接数限制 基于域名对象访问控制 可实现IP/MAC绑定NAT 支持双向NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多个方法地址转换 支持虚拟服务器功效*应用识别 支
40、持近百种应用程序库过滤,包含P2P、IM、炒股、网游等 支持MSN、QQ、Skype等Instant Messenger通信,并能够对于这些应用进行登陆限制和帐号过滤 支持MSN在线用户显示 可限制BT、eMule、eDonkey、迅雷等P2P应用 支持基于应用流量统计 支持基于应用流量排名 支持基于应用历史流量趋势图 支持基于主机应用流量统计 支持流量异常检测 深度流量过滤(DFI),针对P2P行为识别控制*防病毒 支持HTTP,FTP,POP3,SMTP,IMAP协议病毒查杀 支持100万余种病毒查杀,病毒库定时和立即更新 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒查杀*防御攻击 非法报文攻
41、击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof 统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep 支持地址对象源目标最大连接数限制 Topsec联动:可和支持TOPSEC协议IDS设备联动,以提升入侵检测效率 端口阻断:能够依据数据包起源和数据包特征进行阻断设置 SYN代理:对来自定义区域Syn Flood攻击行为进行阻断过滤 CC攻击:可经过设置端口和阀值阻断CC攻击 可统计攻击日志和报警 支持手动设置和依据IDS规则自动生成黑
42、名单 支持手动设置和依据可信连接达成一定规模后升级为白名单用户安全管理用户认证 支持使用一次性口令认证(OTP)、当地认证、数字证书(CA)认证等常见安全认证方法 支持统一用户管理,IPSEC和SSL使用同一套用户认证、管理系统 支持口令复杂度设置 支持多点登录地点数设置 支持登录时间、登录地址范围控制 支持密码找回功效 支持首次登录修改口令 支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方法 支持短信、动态令牌、硬件特征码认证 支持Session认证、HTTP会话认证 支持WEB认证和指纹认证 支持认证保活功效 可将认证用户信息加密存放在当地数据
43、库分级管理 可为用户管理员分配不一样权限,管理不一样用户信息 用户管理员没有系统配置权限 不一样用户管理员之间不交叉 支持多达16级分级管理 支持管理员三权分立日志 支持Welf、Syslog等多个日志格式输出 支持经过第三方软件来查看日志 支持日志分级 支持对接收到日志进行缓冲存放 支持安全审计系统(TA-L),取得更详尽日志分析和审计功效 TA-L除接收防火墙日志外还能接收交换机、路由器、操作系统、应用系统和其它安全产品日志进行联合分析 可对日志进行加密传输监控 支持网络接口、CPU利用率、内存使用率、操作系统情况、网络情况、硬件系统、进程、进程内存、加密卡情况监测 可依据配置文件进行错误
44、恢复报警 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多个触发报警事件类 支持邮件、NETBIOS、声音、SNMP、控制台等多个组合报警方法带宽管理QoS流量整形 QOS带宽管理 依据IP、协议、网络接口、时间定义带宽分配策略 支持最小确保带宽和最大限制带宽 支持分层带宽管理优先级 支持8级优先级控制高可用性双机热备 支持双机热备(Active-Standby)模式 支持负载均衡(Active-Active)模式 支持连接保护(Session Protect)模式 支持系统故障自动切换和抢占功效其它功效 支持链路备份功效 支持服务器负载均衡,提供轮询、
45、加权轮询、最少连接、加权最少连接、源/目标地址HASH等多个负载均衡方法 支持双系统引导 支持Watchdog功效配置管理配置方法 支持WEB图形配置、命令行配置 支持当地配置、远程配置 支持基于SSH、SSL安全配置命令行 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提醒等功效SNMP 支持SNMP v1 、v2 、v2c 、v3 版本 支持SNMP MIB扩展 支持SNMP查询、SNMP Trap 和目前通用网络管理平台兼容,如HP Openview 等系统升级 支持双系统升级 支持远程维护和系统升级 支持TFTP升级报文调试 提供强大报文调试功效,能够帮助网络管理员或安全管理员发觉、调试和处理问题 支持发送虚拟报文配置恢复 能够进行配置文件备份、下载、删除、恢复和上载2.4 天融信VONE产品规格产品型号硬件说明TV-61830-VONE2U机架式结构;最大配置为26个接口,包含3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口),可扩展万兆接口;标配双电源TV-61530-VONE2U机架式结构;最大配置为26个接口,包含3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口);
浙ICP备2021020529号-1 | 浙B2-20240490 
