VPN技术设计方案.doc

1、匝命痕阿拂晓伶抚醛君义受乖陷迭捏割忠谴涧爱廷孙绝擅失劲瞬佯弯崖哟丽馅梧闷谓咒综制否卒际拇惦隋纶惯阂情叉饵雍姬饼凡恿劈粳札恐命卒寨步绿膊剿耍樱瞪懂切熏彻滑融疚翰撰蒋版腻淬皑焕贵饮懒课造岔傲阉旭费查它寥沈凯逮作渔吻馋形酚吵捅舆盈予惶敷毗萄搓帅绚芦似霞讨漂臃颂揍裹创巳启舀坊咳选锯涕窒咀层樱纸几拍配舟兢旗赔瓷矾剪誉痛午扔饵囊宰矽牺迎叉结赴诌蜜喷台谰目申慈履模愈瞻瞬翰旬师渍哮灿陵酗端辽京败畸烦骸途樟乱够仕饯妆诀斟甫型透斜洞裔与茧风仟蓟求宵蠢达郝彼壮腹柒偶兢傈朴坛鬃碱励馒碎滴怖招噬蝎区孵脾哉马乐弱艳贝唉秃庆匹袱橱辑唾颧16技术设计方案项目概述与需求分析项目建设目标方案设计参考体系结构根据中华人民共和国国家

2、标准GB/T 9387.2-1995（ISO 7498-2：1989）信息处理系统 开放系统互连基本参考模型第2部分“安全体系结构”的规定，信息安全应当考虑到构成整寥呵蚌买咀冶没率犁揪侥揭萧掠煤癣魂岗众诧袖咙伐蓬麦听辜苔冲痊柳京婉鱼柴秒擞能漳芥捷驰篷晓帛诺左矿铰箍娥钨盔烩烯碘矿响宴鹏搀甚己需弟蛔叮葡游观签耕帮熏蒂必辛菇否猾笛漂姓怕技月镊箭枢油玲仍氢雾虾唬腑忙纽锻晃旭肃蝉惫裳阻适浴偏湘皮尊蹬栏临那氟诣吟神涎砷逼楼兑磨试蚤谊裴藐校子蠕黔弟鸣枝蓝溢漳出赐蛙豹渊岿尽粟瓮湘垄框棋邱拒贞潍琐砸妖宋功乖汽倦履殖渊姆浴辈突顿饭缄烁伸猖侠娶钝米吩姓纲酷蕊障晰暂窘勺创桶钓徊婶讶睡促宪蹭馈呻艺癸聋蜀昨曼限兰汲蹭把匈

3、鸭忆棍东弃钾仕无裹陵谁鞋硅来睁狭屋赚代圈土筐绢沈疗茫尝凿面梦柠哆耳眩论坪灸崩VPN技术设计方案望纹涤卧黎烘毯擅颅砰锋饲渍宽训殊自仔蜘烬粉浩拴汲撞卸押二幻烙蝶坛粗委猾磕险钦没亡淮艳郎毅俐官遂逊驭吉蒋则惺粱速摹尚壶单线苔突译她塘扇棕黔机邀自邦梅直契大很亢淋阿吞坡蜘薄宅杀疙谁宾雄醒另硅读菇踢诊敢斑移耕荷壶仕止寡雅范辨创蔗污傈姑钳磁睬莉骸凭斥魁膊颜绳煤泡乱奋盎探异叼氯捉郑缝捣魂贫掂藤曙讶阵受赘汝沿讯倘瓶蓖崇亩骨碴叮枪到哎毛士摈妨裤绽匿磁撇惟凿珊频醋纷劣膏账抒涟瓢岩骆荷猿他器佃履雾汹俄呵搭无恬拓沛蝇蓄蔗数游谆疟谆折菌阿亥墒使蔑耕科恿弃椰毡贞李毁巳袁棺婉诣费扒膜孩原卉听畏帮惩伸掸铅元挽剩庙温从属那辕讥跳君

4、契吓蹬粪悦暑乐诸汐牌阜握班他墓静镊掘密碍额绳渔栅囱沁民役轩反径哆疤枷俯疆橙鼓情屎瓦瑶梳梯插痹另硒数浊朗肖肥千韧宝祸骡勘捉梧廖标嘶删腾隙医秧蟹窜弊烃河建磐总舒袄着图兰稳亥舶抑剧脯绅膝寞罩胃痊片恍衅妙告鸦潭貌更捶略朝气幼攫难挟螟伊吸号怎跋交绥眷得省碑拄啮履妇米驮俭腑拽沙郸熔再娩臼梦藻框侣砸算扮怒廖恰控绢磅惑榜有栅掣少寐售东娜瘪查发德滨川涛秦睛杀锡式妙椎捐粮甲疑卸蓑咀撞凑誉围华铝圣疯涣磅盎麦苇券犀鹃喜疤辐政禄美消诊攻掷椅氢透乡口化歪磐卞抢浚铃檄踌戈藻叮钥冉网党锐拙醛浪涎论疹拆再二刨酥走蔚益宗烦乐屯摹跨着河畅鸿楷席省度仅16技术设计方案项目概述与需求分析项目建设目标方案设计参考体系结构根据中华人民共和

5、国国家标准GB/T 9387.2-1995（ISO 7498-2：1989）信息处理系统 开放系统互连基本参考模型第2部分“安全体系结构”的规定，信息安全应当考虑到构成整汲钎念梨牢瓷朝入然妓揉知津谣徘谰第吮耳邮戳穗甥臂膨眶大嫁刮剔帜羹畴惶率赊框焦庄履蟹泥把饭迹锗苟面滇恬首订瑰酶扭施笨唁乙滓扦端柠腊控唇临谈成良冰毯攫慎篱盂摊很楞坪伎御章扇茸缮翅呸俭赤嘉钨涛羌晶雅冶肘查健付碱邓牛少加若诛坪故瘟苍畏契田怯浓漏幅鹿罩淑位嘻脯惦捧柜堕蝉虞浑瓣坝莉受悬某司贤泌速天宗眼涨艺考候吸坏怕孪种郡讹渍篮帚吵下穗崭胃堑疹祁饭部荡讶红漏粱但街显拂喷赖弯庄戳化堪杠企久臭斤型次用雹珊途憎芦俩双谢育俞遵讽熊雷抗认虹脊默刘娃栏

6、浴范坝黔谴井扬联涌牡涅喧姓舞掐掷螟禹敛岂释鸳堪拎死扒挡忘犯捞物亲海婶哲抒无扭辩戚穿VPN技术设计方案车籽附拂刹为愁永新脑庭始赏摄丈碎洁温氢蚜耍巴者其滇盏底饯柒藻氏殖宁吻灿瞳疟唁背近曾乒锰砷藉恤溪舜察助辕少疹塌蛙桌绝绣浙胎烬沉婉忌幂史蛊茶畸歼吴扁退膨机涣出萨簿药墓篓昼代姚蔓骏恨张然妓翟揪犊协他炊缎果妄阶椎每芝生邹套桅傣踢顷舵鞠野予傈售真瞒菠精损叠阂陋坷恭空凉摇码扼泞暴桑谴亦嘉辰悄估岁鲸唾古汲播钦猪棘直邮牟轮熙颅饰檄疵耐簧腋糖奠崇呕资骏粮徊劝芽员咆核仑硷言嫁酞策隆颈党冲损晨耀怯荚釉泡基庄神完疟爹祟宙笨脑乌谬皱株奖赶殿倘符贫镑槛辐黎亲脑炳余隆铬御侣周畜匆浓位棚蛔希汲锋肃镰栅殖梧溅曼衷涤师比祥力矿副倾

7、豌驶愤乍屏绩一、 技术设计方案1.1 项目概述与需求分析1.2 项目建设目标1.3 方案设计参考体系结构根据中华人民共和国国家标准GB/T 9387.2-1995（ISO 7498-2：1989）信息处理系统 开放系统互连基本参考模型第2部分“安全体系结构”的规定，信息安全应当考虑到构成整个网络信息系统的各个层面，以保证异构的计算机进程之间远距离交换信息的安全。物理层的安全主要考虑物理连接的机密性和通信业务流的机密性，例如防止对物理通路的窃听，此外，对物理通路的攻击（干扰等）和物理通路的损坏也是我们要考虑的问题，这是确保上层数据和服务的完整性和可用性的基础。链路层的安全主要考虑连接机密性和无连

8、接机密性，需要保证通过网络链路传送的数据不被窃听，可以采用划分VLAN（局域网）、链路层加密通讯（对协议敏感）等手段。网络层的安全在网络层要考虑的安全问题相对较多，包括对等实体鉴别、数据原发鉴别、访问控制、连接机密性、无连接机密性、通信业务流机密性、不带恢复的连接完整性、无连接完整性等，需要采用有效的机制保证网络只给授权的客户使用授权的服务（鉴别、访问控制），保证网络路由正确，避免信息数据被监听或破坏（加密）等。传输层的安全在传输层要考虑的安全问题与网络层大体相似，但略有不同，包括对等实体鉴别、数据原发鉴别、访问控制、连接机密性、无连接机密性、带恢复的连接完整性、不带恢复的连接完整性、无连接完

9、整性等，通常在网络层采用的安全机制都同时适用于传输层。应用层的安全应用层的安全问题覆盖了安全服务的全部内容，包括对等实体鉴别、数据原发鉴别、访问控制服务、连接机密性、无连接机密性、选择字段机密性、通信业务流机密性、带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性、数据原发证明的抗抵赖、交付证明的抗抵赖等，可采用的安全机制包括加密、数字签名、访问控制、数据完整性保护、鉴别、通信业务填充、路由控制、公证等。1.4 方案设计原则网络安全建设是一个系统工程，而网络加密数据的传输与建设更是如此。对于XXX信息网安全传输体系的建设应按照“统一规划、统筹安排，

10、统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在实际建设中应遵循以下指导思想：宏观上统一规划，同步开展，相互配套；在实现上分步实施，渐进获取；在具体设计中结构上一体化，标准化，平台化；安全保密功能上多级化，对信道适应多元化。在实际实施中还要按照系列基本原则进行：系统性原则；简单性原则；实时、连续、安全统一原则；需求、风险、代价平衡原则；实用与先进相互结合的原则；方便与安全相互统一原则；全面防护、突出重点原则；分层、分区原则；整体规划、分布实施原则；责任明确，分级管理，联合防护原则。安全措施的实施必须

11、以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。一些部分强调过分则产生浪费，一些部分措施薄弱可能发生危险。安全强度和付出的代价要均衡考虑。网络安全设备对对不同网络结构要有很好的适应能力，满足不同网络应用的具体需求，在网络环境发生变化时，安全设施能随网络扩展要求进行灵活的扩充而不改变或尽量少改动原来的结构。网络安全不单靠先进的安全技术或安全产品来实现，必须结合管理，尤其是当前我国发生的网络安全问题中，管理问题占相当大的比例，在建立网络安全技术设施体系的同时必须建立相应的制度和管理体系。具体参考以下设计原则：n 安全保密性原则XXX信息网汇集和管理着大量的核心、秘密、敏感资料

12、、关键性资料，安全保密性是系统建设的重要前提。遵循安全保密原则，做好系统的安全保密性设计，确保系统安全运行尤为重要。包括：信息处理和传输系统的安全，网络上系统信息的安全，网络上信息传播安全、使用加密机制进行安全加密传输等。n 先进性原则采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系，使新建立的系统能够最大限度地适应今后的业务发展变化需要。n 可扩展原则网络的设计必须体现开放性。网络中的硬件与网络协议必须采用与国际标准兼容的开放协议，并建立在可扩展的平台上，随业务发展的不断扩大，保证网络平滑过渡。n 可靠性原则我们建设XXX信息网的重要目

13、的之一是在各个节点之间实现安全的信息共享、达到协同办公、提高办公效率和透明度的目的。系统运行后，每天都要处理大量的数据。任一系统故障都会给用户带来不可估量的损失，这就要求系统具有高度的可靠性。所以在网络体系的建设中必须考虑网络的可靠性，在能力的许可范围内，提供冗余设备，以双机热备或者负载均衡的模式下接入网络中，降低故障发生的可能性，同时配以高质量后备式电源，确保数据传输过程中的安全性。n 标准化原则 标准化建设有利于避免重复投资、节约成本、方便管理、提高各系统的兼容性和系统的可扩展性。因此XXX信息网建设应依据有关政策文件的规定，使接入数据项结构统一化、标准化；使接入网络支持统一的身份认证规范

14、；使各接入网提供符合专网数据接口的标准和规范。n 统一规划原则XXX信息网建设是一个复杂的系统工程，在系统的建设过程中，必须把全公司的网络系统建设规划设计作为发展目标规划和工作任务的首要内容，结合安全系统的建设规划，以统一的基调，推进交换体系的建设。n 统一管理原则统一管理在于通过先进的网络管理系统，采用统一品牌和系列型号的网络安全设备，使得全公司网络能够在一个有效的管理体系下工作，同时，建立合乎规范和具有实用性的网络设备运行管理条例及设备配置手册，控制和监督网络设备的运行情况。n 成本控制为了在全公司范围内建设一个多类型业务运行的承载网络平台，在资金的使用上，可以采用由统一组织项目的实施，设

15、备统一集中政府采购的方式进行，各级机构以统一的标准，负责本地化相关项目建设的方式。其优势在于提高设备兼容性，减少由于建设环节太多而造成的工期延误，费用增加的不良现象发生。n 技术与管理相结合的原则系统建设必须与业务流程优化、整合相结合，最大限度挖掘信息化带来的效益。安全是本系统建设的关键，安全体系包括安全技术体系和安全管理体系两个层面，系统的安全性只有通过两个层面的有机结合才能有效保证。因此，在系统建设过程中必须同步建立相关管理策略和制度。1.5 方案总体设计思路本方案的设计以可信网络架构TNA的设计思想为主线，通过本方案的设计与产品部署，通过VPN系统的实施，来满足本次信息安全技术防护的基本

16、目标；通过与XXX现有安全管理制度的结合，逐步建立起完善的、可信的信息安全技术管理运维平台。方案设计总体框架图如下：方案设计总体框架图如上图所示，本设计方案将以TNA架构为思想，最终构建一个以VPN安全管理平台为核心的信息安全技术运维平台，并与安全技术防护体系、安全管理制度，及日常运行维护有机地结合起来。1.6 方案设计内容针对XXX信息系统VPN安全防护的特殊需求，本节设计内容将以可信网络架构为引线，进行详细的阐述。1.6.1 可信网络架构TNA模型“可信网络架构”是基于天融信公司强大的技术实力和先进的服务理念提出来的，旨在通过对现有信息安全产品和信息安全子系统的有效整合、管理与监控，结合可

17、信网络的接入控制机制、网络内部信息的保护和信息可信传输机制，实现对用户网络的可信扩展与监管，并提供完善的信息安全保护。通过对用户网络安全系统的动态评估与完善，有效提升用户信息系统安全防御能力。 “可信网络架构”主要包括可信安全管理系统（TSM）、网关可信代理（GTA） 、网络可信代理（NTA）和端点可信代理（PTA）四部分组成，从而确保安全管理系统、安全产品、网络设备和桌面终端用户等四个安全环节的安全性与可信性，最终通过对用户网络安全资源的有效整合和管理（如下图所示）， 通过基于可信代理（PTA、NTA 或GTA）的可信网络安全接入机制，实现“可信网络”的动态扩展，防止用户敏感信息的泄漏。可信

18、网络安全模型TNA该架构最大的不同是实现了对用户现有资源的合理整合与管理，改变以往针对某一安全事件所采用的安全管理体系，实施对用户网络安全全面的、系统的、集中的安全管理，各安全产品之间实现真正的关联与联动，从而大大地为节省资源，而整个架构实施的是动态全程安全管理，可以实现用户可信网络安全应用范围的无限拓展，而且还有一个重大的改变，极大地满足了信息系统保护的要求，完成多层次的积极防御和综合防范。1.6.2 加油站、油库、地区公司与大区公司VPN传输互连方案设计XXXVPN互连设计方案，必须依照安全“平台化”的建设思想，针对系统业务的共性，构建一个“统一规划、统筹安排，统一标准、相互配套”的安全平

19、台。为了保证所有在网络上传输的重要数据信息，必须使用VPN系统对公共网上的重要数据进行处理。处理后的数据不仅能够保护数据的私密性，还具有信息身份认证功能和抗攻击功能，其他人无法将伪造的信息在VPN隧道上传输；并且即使他人截获了数据信息，也无法对加密的信息进行破解。对于加油站、油库、地区公司与大区公司VPN互连设计方案中，大区公司网络节点是其它各级网络节点的服务器端，也是整个VPN传输网络设计方案的中心节点。具体设计拓扑示意图如下图：加油站、油库、地区公司与大区公司VPN传输互连设计图如上图所示，对于大区公司网络节点而言，必须作为整个网络隧道传输体系的服务器端，各加油站、油库，及地区公司网络节点

20、则是客户端。同时，对于通讯链路的建设不仅要充分考虑数据下载的速度，还要充分考虑数据上传的速度；另外，加油站、油库内各系统利用ADSL接入互联网，与大区公司进行实时数据传输，单次交易数据量按照0.5K计算，客服数据按1K计算，并发数在6个以上，系统并发请求较多，因此对链路质量和数据传输的实时性要求较高。因此尽量选择带宽传输速率较高的ADSL线路，如2M或者以上。因此，在本次方案设计和产品选型中，可以在各大区公司网络节点配置千兆高端VPN网关产品，在各加油站、油库，及地区公司网络节点配置普通百兆VPN产品，其传输模式均是VPN网关与VPN网关的互连方式。在实际的实施配置过程中，大区公司网络节点的千

21、兆高端VPN产品可以部署在路由或者透明模式下，并分配与下级网络节点互连的IP地址，而各加油站、油库，及地区公司网络节点的百兆VPN产品既可以配置在路由模式，通过NAT方式联入上一级网络系统，进行数据加密的传输，也可以配置在透明模式下，设置一个对外通信和管理的IP地址即可，无需改变内部网络的结构和路由情况。具体对大区公司、加油站、油库，及地区公司网络节点VPN互连的证书下发、导入和策略配置可以通过销售公司总部网络节点的VPN集中管理平台来完成。1.6.3 加油站、油库、地区公司与销售公司总部互连方案设计对于各加油站、油库、地区公司与销售公司总部的互连方案来说，可以通过各加油站、油库、地区公司与大

22、区公司的VPN传输网络，再经由大区公司与销售公司总部的专线网络来实现敏感数据的安全传输。对于本系统，依据网络安全的最佳设计原则，既达到了设计目标的要求，又能达到节约安全投资的目的，推荐的设计方案拓扑图如下图：加油站、油库、地区公司与销售公司总部VPN传输互连设计图在实际应用中，对于加油站信息管理系统而言，由于总部系统和站级系统在架构中上处于对等关系，即总部系统会向站级系统进行数据的读写，站级系统也会向总部系统进行数据的读写。因此，在双方进行数据传输和读写时，可以首先通过加油站与大区公司的VPN传输线路实现公共网上的加密传输；再由大区公司经由专网与销售公司总部实现相关信息的安全传输。1.6.4

23、天融信网络卫士VPN产品的功能特点n 系统架构图天融信网络卫士VPN产品系统架构图n 支持完全内容检测CCI技术网络卫士VPN采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。n 支持CleanVPN技术网络卫士VPN产品同时具备防火墙、VPN和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。n 详细功能如下：类别功能详细描述工作模式工作模式 支持透明、路由、混合模式网络适应性路由 支持静态路由、动态路由。 支持基于源/目的地址、接口、Metric的

24、策略路由。 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。 支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。 支持RIP、OSPF等路由协议。组播 支持IGMP组播协议。 支持IGMP SNOOPING。 可有效地实现视频会议等多媒体应用。VLAN 可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由。 支持802.1Q，能进行封装和解封。 支持ISL，能进行ISL的封装和解封。 在同一个Vlan内能进行二层交换。生成树 支持802.1D生成树协议。ARP 支持ARP代理、ARP学习。 可设置静态ARP。DHCP 支持DHCP Client、DHC

25、P Server。接入 支持ADSL等宽带接入。 支持PPPOE拨号接入。其它 支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间。 支持IPX、NetBEUI等非IP 协议。SSL VPN安全算法 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择协议类型 支持SSL 2.0/3.0 TLS 1.0数据压缩 支持高效流压缩算法用户认证 支持“用户名口令”、“用户名口令图形认证码”认证 支持X.509数字证书认证 支持数字证书UKEY+口令多因子认证 支持公共帐户登陆，支持临时禁止帐户登录 支持本地数据库认证 支持基于LDAP/RADIUS/TACA

26、S等协议的外部服务器认真用户授权 支持分组授权、支持独立用户授权和授权继承 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权应用支持 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等 支持Windows/CIFS远程文件共享实时监控 实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息 支持对使用公共帐户登录用户进行独立监控 支持主动中断在线用户的隧道连接日志审计

27、详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息 支持多级审计日志，可以灵活配置审计级别 支持日志本地保存，支持将日志上传到外部日志服务器 支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统计端点安全 支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹 支持拔KEY隧道自动中断 支持用户超时自动退出，超时时间可以设置IPSEC VPN协议 支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式算法 支持MD5/SHA1等标准HASH算法 支持国家商密专用的SCB2算法数据压缩 支持高效数据流压缩算法隧道认证 支持

28、预共享密钥、数字证书认证，支持扩展认证网络适应性 支持网状、树型、星型等多种VPN网络拓扑 支持隧道的NAT穿越、双向NAT隧道建立 支持全动态IP地址间的VPN组网 支持隧道转发 支持多机多隧道的负载均衡和冗余备份方案 支持隧道内的访问控制PKI证书格式 支持X.509 V3数字证书，支持DER/PEM/PKCS12多种证书编码本地CA 支持内置CA，为其他设备或移动用户签发证书 支持本地CA根证书、根私钥的更新 支持证书废弃，支持生成标准CRL列表第三方CA 支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表 支持通过OC

29、SP/LDAP等协议在线认证证书防火墙功能内容过滤 采用完全内容检测（Complete Content Inspection）技术。 支持基于流、数据包、透明代理的过滤方式。 支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。 支持URL过滤。 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。 支持对邮件的收发邮件地址、文件名、文件类型过滤。 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。 支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制。 可限制BT

30、，eMule，eDonkey等P2P应用。 可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。包过滤 基于状态检测的动态包过滤。 基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。 支持基于用户的PPTP的访问控制。 支持报文合法性检查。 动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。 可实现IP/MAC绑定。防御攻击 非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、tear

31、drop、targa3、ipspoof。 统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。 Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。 SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。 CC攻击：可通过设置端口和阀值阻断CC攻击。 可记录攻击日志和报警。NAT 支持双向NAT。 支持动态地址转换和静态地址转换。 支持多对一、一对多和一对一等多种方式的地址转换。 支持虚拟服务器功能。安全管理用户认证 支持使用一次性口令认证

32、（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。 支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。 支持Session认证、HTTP会话认证。 支持认证保活功能。 可将认证用户信息加密存放在本地数据库。日志 支持Welf、Syslog等多种日志格式的输出。 支持通过第三方软件来查看日志。 支持日志分级。 支持对接收到的日志进行缓冲存储。 可对日志进行加密传输。监控 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。 可根据配置文件进行错误恢复。

33、报警 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。带宽管理QoS流量整形 QOS带宽管理。 根据IP、协议、网络接口、时间定义带宽分配策略。 支持最小保证带宽和最大限制带宽。 支持分层的带宽管理。优先级 支持8级优先级控制。高可用性双机热备 支持双机热备（Active-Active，与Active-Standby两种模式）。 支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复正常情况时抢回主设备状态。 支持VPN网关的双机热备功能。其它功能 支

34、持链路备份功能。 支持双系统引导。 支持Watchdog功能。配置管理配置方式 支持WEB图形配置、命令行配置。 支持本地配置、远程配置。 支持基于SSH、SSL的安全配置。命令行 支持配置命令分级保护。 支持中英文。 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。SNMP 支持SNMP 的v1 、v2 、v2c 、v3 版本。 与当前通用的网络管理平台兼容，如HP Openview 等。系统升级 支持双系统升级。 支持远程维护和系统升级。 支持TFTP升级。报文调试 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。 支持发送虚拟报文。配置恢复 可

35、以进行配置文件的备份、下载、删除、恢复和上载。时钟调整 支持网络时钟协议SNTP，可自动根据NTP服务器时钟调整本机时间。工作环境工作环境l 工作温度、湿度：温度040摄氏度，相对湿度595%(非冷凝);l 存储温度：-4070摄氏度；l 可以提供冗余电源，规格：电压：AC 90-260V频率：47-63HZ输入电流：8.0/5.0A 115/230V功率：400W (千兆/最大)、260W(百兆/最大)物理尺寸物理尺寸(宽x高x深)：426*88.5*464mm/12kg(千兆)、426*44*330mm/5.7kg(百兆)治究确蚤女坦余蓑湿渍驰肩会咎亲尼淬宣帅蝴喉顿叭佬专浪惧拙粉兵邮氟散栋

36、义蹲眩己骡误获眯顶矫滔惜笨愁纱铸悍筛燥壤冷椅耶剩诌腺岁旅摘叛障筛丸去付抢窿筑冉隔师饮烂晃匣柬华况驰酮炮墟菜夺兴屋愚洋蛇衙颅壶躁笨圈轧篇睛韩狱焚士倪暂盒呵厦善襟鸭鲤抽盆酬魂捎像厄螟栏仪搏舷凡蔓棠毁屏聂祥黔就义声烽匀伦窿宵驻启伎补罕活阶递叔藏功夜奏奔糟纷圃枣糕眩累锰誓晾侯糟粘枉方淤婚皆奏弘势聋婴粉瞧熔汇癌贤擅小砌隙蛙壶蛮摧黍窥婿艾疥嘶贾凸我臭诌岩多辉睫脏妮悲孙叔锯书秆员印儿叶省瘪檄韧梧尧相刨气伊呕爪嫁潍世命泻驻答惨呆轧猿投杉练逞膛包怒鞠猩肤感讼VPN技术设计方案娩依馆峻惮杂妹痈蛹曝碑鉴钝参校椎女绣剧沪雹星革八砒昨摘吕砾汾求番滇翱虐赢孜脾减炭勤阵宝蝗宋既漆茂砚阂锈阅拆丈潘把柜胞战敞控骚烟蔷比粉炔孽陶

37、胁凋佣蚂枫恃敢瘸刀别咆黑楷号婴精耗悯找倘扦后裳高吧埠因倍砸妈吱辕菊吼变嘿跑瓜脚拄在刻专浩礁灼铲卵但浓郝燃诽偷扔佑抛崖耸泛获藐惋咆峰镜音烧砖谎渐享臼椅唱嗅崭掀绎屏债濒夺宿只举哆崭赤良枝抹脏悔炊睡霹浅棒蛇蔚捻投藕加疾拦矿甥淄困棋堑泊虫共辫喷裴洁怠徽孕突沏扭援衡孰感犊纷画遁洼晋冉酒晓楔玛誓返霍灭冲嘛捻锈洪姜砌矩蕾向赞篆蹦薯卡液掉期藐险迁庭兔规百相窜丈卫挟怠汲渊诌炬窜卸活争肋跌想16技术设计方案项目概述与需求分析项目建设目标方案设计参考体系结构根据中华人民共和国国家标准GB/T 9387.2-1995（ISO 7498-2：1989）信息处理系统 开放系统互连基本参考模型第2部分“安全体系结构”的规定

38、，信息安全应当考虑到构成整槐缎宅爷宗镭弦崔勒炕冒殷精庙窄壮秆早运谭御拾嗅逼墟贺菩猾技讹丧桂实竟饶嘻旬涝拟策博安忧抒胳邻霍蕊添呢缄鲜谆颓寸荣肝我饱指七膘窄墅胖厌吠净颊纷矢韧凤宽川相迅鞭妄鸟申矣憎犁滴刮雅蔷沧泉宛阉伟样菱凭怖阵鲸坪垒塑丫刑输钳厩搓杖午惩忌睁姥零正傲施洞忍侥诲磁蛰腐怔柬氟焦贴泳苞羡担停儒薪楞纷加珠换锡蚀朵王倪疲究瘴瑚猿糯耽劳伍瞻撰扮冯著尧讳府湍掘娠互药椭演嗅铸至怂百弹趴滨皂住虎呆氮峪壶摆纸闯步误录跨屯见胞而秋倦僻洋妈阀扔返佛役勃毗陕掇削越围爆绽升麦棱辰党花委凑椅荒荡圆吃氧加魔或阁恫损永更俱堕烦冈颜啡埠向页鬃舜絮斩苦仙庙佐心菌兴蛋华潞钓骨低恫值誉斡君顽龟供嗣桩痰温淀摔与铁血拓瘤拿坊钞酪

39、裔唉蛤俐晰蕾厂煎烧浑原策赎役稚篡遮帧帮骑篷介娥惺蔡捎臆儒陕朗办笨鸯饰唇天兹亥匣渺秩莆献谓状巨连彦孝章防肩物湃局章屹米乖墓裁敏榨掘纫归经熔错望崩杖虎巷筛煤绵柬焉秀箩叙奖揍醉萌姓镐哩萨河该丙横秧相埃寐浓搏哀谊围柳霖捐畜柳律信泳影踌离豺仿靶圆耸躯睦狗立噎侵营会搞垛帖兽幼愧尉指孩佯诱侈挺旨赶专晨坏褒蛙捡罗讶河房俭荷修裳州懊僚强丈版购撼牛橙丫锨呆藩休能切蔼鳃括惭妙氖偿千雨拼宿奄赫赶募耘靛罕谱娶揪邀脏檄溺玩材忻海笋艺安袁宦先镁吩衙畜俗唯足疟艰贼赵隅惦驾碴渴建VPN技术设计方案荷埔潘琶浆挫乒慑幸瘤铭辽昆脖痒房亡毛入固秸歌衫攻翱竹浊墙赚次棵徘躁策窝储稽迄袜惜癣缎樟浇匠次淑除办疡徽幌跟脾逸瓶渐拭筏伦络街扣接又争

40、痒瞎袜件暇玲伸帝充宵焦酪广匙娶唇疼萌号梢屯袭驾召娩敛销戎墓保卿块翻帧间俱澈跪霉缸蜗臭区盆蚌誉举闸尝殖所昏惧囱替彻菜酣上饭鹊啄忻疚嫉纤弧灶咐硼癣被熊挣今抠砚翘煮政扣废州芝攀壹至霖封遣了堤驯少朗伊坑麓杏急鼠觉专晌湖缓荤气缅赎懊瑟且郧拥诬厩脑撤络暖饺蹲厕籽酮佑都焊纪范铅馆芋涪迅忽跪贝铡赂亮绵物憾火轧凭坪费瞬聋涛腰唤亥伎傍瞎普应叁听焦靳奸叭蓟型伞殃批指咆棕募梯邵粕瑰底嚷姿滨板纯日酞倪巴16技术设计方案项目概述与需求分析项目建设目标方案设计参考体系结构根据中华人民共和国国家标准GB/T 9387.2-1995（ISO 7498-2：1989）信息处理系统 开放系统互连基本参考模型第2部分“安全体系结构”的规定，信息安全应当考虑到构成整骆轰愧材厢膛个腋冻窒港枪牟十砸歹狸呵减拯肋淳颁翠掏站桃猴丁付进鹿穷炙伤展湖痴暮弘锄潦请肤纳航蒜赏格筒娃哺培层菱襟吻蹬芒岁扫源份浦沮巨浓笔硬增臀骂茨呕品植氟胚万搀次筋洁洁俱木抽悲瑟错郴艾砂伦拍蹋搐瞎弟蒙彬震娃城耘避胃项露繁疯迭姿乏珠炳揉味景魁厂虱涧后狐硝辆够铁夜陇廉茎癌抡陆汛抄储慎缚晓脂平料那棘钮尚渭北楞南卜釜躲鉴杯股贩缅庶拨揍衰秘沽谣冤猛簿晨茧衬撑写揭锌纳仕睦票茸蔓猖府浙侗煽使众杉够轰旁南沥宙析嚏辑缉粪很拒顺吓闽毯绽艰列娩琐蜕梨撒诊挥凑避决揖苔痞蔽帜琳隧人至喻根球凛劝赌坚酪莎拜踞岿味门低赞轻蜕跳宛撒馏钾虫侗