产品说明天融信网络卫士VPN系统 TopVPNVONE系列1108.docx

产品说明天融信网络卫士VPN系统 TopVPNVONE系列1108.docx

《产品说明天融信网络卫士VPN系统 TopVPNVONE系列1108.docx》由会员分享，可在线阅读，更多相关《产品说明天融信网络卫士VPN系统 TopVPNVONE系列1108.docx（29页珍藏版）》请在冰豆网上搜索。

产品说明天融信网络卫士VPN系统TopVPNVONE系列1108

1Forpersonaluseonlyinstudyandresearch;notforcommercialuse

2

3产品概述

3.1安全接入的应用趋势

随着电子政务和电子商务信息化建设的快速推进和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以迅速地获取信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。

但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的安全威胁。

而且我们目前所使用的操作系统、网络协议和应用系统等，都不可避免地存在着安全漏洞。

因此，在通过Internet构建企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的安全，同时还需尽量降低实施和维护的成本。

3.2Forpersonaluseonlyinstudyandresearch;notforcommercialuse

3.3

3.4安全接入的技术趋势

目前通过公用网络进行安全接入和组网一般采用VPN技术。

常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：

1．L2TP/PPTPVPN

Forpersonaluseonlyinstudyandresearch;notforcommercialuse

L2TP/PPTPVPN属于二层VPN技术。

在windows主流的操作系统中都集成了L2TP/PPTPVPN客户端软件，因此其无需安装任何客户端软件，部署和使用比较简单；但是由于协议自身的缺陷，没有高强度的加密和认证手段，安全性较低；同时这种VPN技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。

2．IPSECVPN

IPSECVPN属于三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施；同时工作在网络协议的三层，对应用程序是透明的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN的VPN组网；组网方式灵活，支持多种网络拓扑结构。

其缺点是网络协议比较复杂，配置和管理需要较多的专业知识；而且需要在移动用户的机器上安装单独的客户端软件。

3．SSLVPN

SSLVPN属于应用层VPN技术，其协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护；由于在Windows等操作系统中的IE浏览器已经支持了完整的SSL协议，因此原理上对于B/S应用是无需安装客户端软件的，部署使用较为简单。

其主要适用于移动用户的接入和访问B/S结构的应用系统，对于C/S应用的支持仍然需要安装客户端的插件。

以上几种VPN技术都各有其优缺点，而在用户的实际应用中，往往需要将这几种VPN技术进行综合应用，才能满足较为复杂的用户需求。

天融信将这几种VPN技术进行了有机的整合，实现了在一台设备中同时支持多种主流VPN组网技术，同时集成了天融信成熟领先的防火墙和身份认证系统，形成了一套完整的安全接入解决方案。

3.5网络卫士VPN多合一产品简介

网络卫士VPN多合一网关是集天融信十几年研发经验，向用户提供的完整VPN接入解决方案（IPSec/SSL），是天融信研制推出的最新一代网络安全接入产品。

该产品以天融信自主知识产权的TOS（TopsecOperatingSystem）为系统平台，采用开放性的系统架构及模块化的设计，融合了身份认证、访问控制等安全手段，具有安全、高效、易于管理和扩展等特点。

网络卫士VPN多合一网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务。

产品的L2TP/PPTP/SSL功能无需安装任何客户端软件，也无需投入太多人力进行配置或长期的维护；产品完善的IPSECVPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络。

其SSLVPN可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式，以适应不同的用户需求，同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能。

网络卫士VPN多合一网关包含完整的业界领先的专业防火墙功能，还具有内容过滤、入侵防御、带宽管理等功能，能为用户提供全面的网络边界安全防护解决方案。

4产品特点

1）自主安全操作系统平台

采用自主知识产权的安全操作系统—TOS（TopsecOperatingSystem），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。

TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

2）多种VPN技术有机融合

前面已经分析了目前主流的各种VPN技术的优缺点，这些技术有其不同的适用范围。

在实际的用户网络中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和安全性都会面临新的挑战。

网络卫士VPN多合一网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。

在TOS平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。

3）安全接入与安全防护无缝结合

VPN网关作为网络边界设备，除了完成远端网络或移动用户的远程接入功能外，对用户网络边界安全也是至关重要的。

网络卫士IPSec/SSLVPN多合一网关构建在天融信强大的TOS系统平台基础上，集成了天融信业内领先的防火墙功能模块，能够为用户的VPN网络提供高等级的边界安全防护。

网络卫士VPN多合一网关支持完善的基于完全内容检测的访问控制。

防火墙检测技术发展至今，大致经历了三个阶段，从早期的状态检测（StatusInspection）到后来的深度包检测（DeepPacketInspection），现在已经发展到了最新的完全内容检测（CCI，CompleteContentInspection）。

状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。

网络卫士VPN多合一网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP、UDP端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。

4）多种SSLVPN技术结合实现应用全覆盖

目前SSLVPN接入技术大致分为三类：

WEB转发（WEBFORWARD），端口转发（PORTFORWARD）和全网接入（NETWORKACCESS或者称为IPTUNNEL）。

这三种技术的技术特点和适用范围各不相同，在网络卫士VPN多合一网关中对这三种SSLVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。

WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。

但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。

网络卫士VPN多合一网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。

同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。

端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。

这种模式的适应性比WEB转发要好，但其要求在客户端安装一个ACTIVEX控件。

网络卫士VPN多合一网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。

全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。

网络卫士VPN多合一网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道（SPLITTUNNEL即可以同时访问VPN和因特网）或完全隧道（FULLTUNNEL即只能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了网络的整体安全性。

5）完善的身份认证技术

网络卫士VPN多合一网关为通过SSL隧道接入的用户提供了完整的身份认证手段。

如果移动用户接入的环境比较简单、可信，管理员可以配置简单的“用户名＋口令”认证方式，从而达到简单易用的效果；为了防止线路窃听和重播攻击，管理员可以采用“用户名＋口令＋图形认证码”的方式对移动用户进行身份认证；对于需要强身份认证机制的用户，管理员可以采用“数字证书”的认证方式，通过强度非常高的密码运算来保证用户的用户的身份标识不会受到“字典攻击”等暴力攻击的威胁；当然，还可以通过“数字证书（USBKEY）＋口令”的双因子认证方式来确保移动用户的证书不会被盗用，来进一步加强认证的安全性。

网络卫士VPN多合一网关还支持短信认证、图形码校验、硬件特征码校验。

支持基于web协议的认证方式，可以和业务资源的帐号系统使用一套，避免了在VONE上再次建立帐号，能够统一管理帐号，增强了易用性。

支持指纹认证，可以基于指纹信息进行认证。

网络卫士VPN多合一网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动，从而能够实现动态口令认证、域认证等高级的认证方式。

这既可以与用户的其他应用系统和安全产品共用用户认证数据库，实现用户集中管理和认证，又可以充分利用用户已有的资源。

6）多级用户授权机制提供灵活的用户授权组合

授权是对移动用户通过身份认证接入网关后，允许访问的内网资源权限进行控制，是保护内网资源安全的主要技术手段。

网络卫士VPN多合一网关采用多级授权机制和用户授权继承的策略，满足各种用户授权需求。

支持整体授权、条件授权、属性授权。

支持基于证书的属性字段的授权，支持基于外部属性（LDAP或Radius下发的属性值）的授权，也支持多条授权策略的组合。

在用户授权的粒度上，网络卫士VPN多合一网关支持基于URL/目录/文件等访问内容的控制策略，支持用户行为动作的访问控制策略，支持基于访问时间的控制策略，能够充分满足管理员的各种用户授权需求。

7）完善的PKI体系提高用户网络的安全等级

随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。

网络卫士多合一VPN产品全面支持标准PKI体系结构，既能够通过内置的CA模块独立为移动用户签发数字证书，又能够通过导入CA根证书＋CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。

具体PKI功能包括：

Ø支持标准X509.V3格式数字证书；

Ø支持DER、PEM、PKCS12等多种证书编码格式；

Ø支持通过内置CA模块为用户签发标准数字证书；

Ø支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证；

Ø支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证；

Ø支持生成PKCS10格式的证书请求，可生成证书请求，由第三方CA签名；；

Ø支持CRL列表文件的导入和通过HTTP自动下载。

天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作，网络卫士VPN多合一网关与这些厂商的CA系统均能够无缝集成。

8）卓越的网络及应用环境适应能力

网络卫士VPN多合一网关构建于强大的TOS系统平台之上，天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。

其支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、SpanningTree、H.323、MMS、RTSP、ORACLESQL*NET、MSRPC等等，适用网络的范围非常广泛，充分保证了用户的网络的可用性。

同时，针对国内用户动态IP地址较多的现状，网络卫士多合一网关整合了天融信公司独立维护的EZVPN动态域名系统，为天融信的VPN用户提供专用的动态地址域名解析服务，从而很好地解决了动态地址的VPN接入问题。

9）分级可信接入体系

可信接入是指对远程接入的VPN客户端的主机安全性进行检查，对不符合条件的客户端，即使账号信息是正确的，拒绝接入内网。

天融信VPN产品对客户端的接入实行可信接入检查，对于检查结果进行分级，不同的级别可以授予不同的权限，对不满足安全要求的主机，可以根据其缺陷程度分别实行隔离、修复和限制访问。

10）支持虚拟门户功能

SSLVPN提供了虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门户。

每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。

11）分级管理和三元分立

支持多达16级的管理员分级管理，便于大型组织客户将管理权限下放，并可以根据需要授予不同的管理员不同权限。

支持管理员的三元分立，分别授予不同的管理员不同的权限。

12）支持多种单点登录方式

支持多种单点登录方式，支持HTTP401方式、密码助手、WEB方式的单点登录，用户只需要进行一次认证即可访问所有业务资源，大大提高了易用性。

13）与企业门户无缝融合

许多大型企业已经拥有了自己的企业门户，我们的SSLVPN可以与用户的企业门户无缝融合，只需要简单替换一下企业门户中的登录URL即可实现。

许多企业已经部署了单点登录服务器，我们的SSLVPN也能够很好融合。

用户通过企业门户登录SSLVPN后，SSLVPN能够自动跳转Portal页面到企业的单点登录服务器页面，显示该用户的资源列表，同时在右下角显示一个SSLVPN小图标。

14）适应多种系统平台

支持安卓、WindowsMobile系统的智能终端使用全网接入模式和web转发模式接入；

支持苹果IOS系统的智能终端使用VRC模式和web转发模式接入；

支持Windows2000、XP、2003、2008、Vista、Win7系统的PC接入；

支持Linux系统的PC接入。

15）智能递推

天融信VONE产品支持智能地推功能，只需要配置一个门户url，采用智能递推技术，即可自动将该门户url包含的子连接加入可以访问的资源列表，便于管理员管理使用。

16）智能压缩

支持智能压缩功能，能够智能的根据当前数据的压缩比决定是否压缩，大大提高了应用的访问速度。

17）集群功能

支持集群功能，能够使用多台VONE网关组成一个集群系统，大大提高了VPN网关的整体性能和可靠性，能够满足大并发用户数的需求。

18）集成功能强大的防火墙功能

天融信VPN产品集成了天融信强大的防火墙产品功能，能为用户的VPN网络提供高等级的边界安全防护。

天融信网络卫士防火墙产品所具有的专业防火墙功能在其VPN产品中同样具备，具体功能请参见网络卫士系列防火墙的产品说明。

19）符合国密局《SSLVPN技术规范》和《IPSECVPN技术规范》

天融信SSLVPN是严格按照国家密码管理局制定的《SSLVPN技术规范》进行开发的，通过了国家密码管理局商用密码检测中心的检测。

天融信IPSECVPN是严格按照国家密码管理局制定的《IPSECVPN技术规范》进行开发的，并通过了国家密码管理局商用密码检测中心的检测。

天融信VPN产品支持国家密码管理局规定的SM1（SCB2）商用密码算法。

3产品主要功能

类别

功能

详细描述

网络

适应性

工作模式

✧支持透明、路由、混合模式

路由

✧支持静态路由、动态路由

✧支持基于源/目的地址、接口、Metric的策略路由

✧支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能

✧支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能

✧支持RIP、OSPF等路由协议

✧支持多线路源路返回的智能选路

✧支持多线路捆绑和负载均衡

组播

✧支持IGMP组播协议

✧支持IGMPSNOOPING

✧可有效地实现视频会议等多媒体应用

VLAN

✧支持VlanTrunk

✧支持802.1Q，能进行封装和解封

✧支持ISL，能进行ISL的封装和解封

✧在同一个Vlan内能进行二层交换

生成树

✧支持802.1D生成树协议

ARP

✧支持ARP代理、ARP学习

✧可设置静态ARP

DHCP

✧支持DHCPClient、DHCPRelay、DHCPServer

接入

✧支持以太网、光纤、ADSL、DHCP等多种接入方式

其它

✧支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间

✧支持IPX、NetBEUI等非IP协议

PKI

证书格式

✧支持X.509V3数字证书

✧支持DER/PEM/PKCS12等多种证书编码

本地CA

✧支持内置CA，为其他设备或移动用户签发证书

✧可生成、吊销、删除证书

✧支持本地CA根证书、根私钥的更新

✧支持证书废弃，支持生成标准CRL列表

✧支持证书请求的生成，由第三方CA进行签名

第三方CA

✧支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表

✧支持通过OCSP/LDAP等协议在线认证证书

✧支持证书链管理

SSLVPN

安全算法

✧支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法

✧支持国家商密专用的SM1（SCB2）算法

协议类型

✧支持SSL2.0/3.0TLS1.0

数据压缩

✧支持高效流压缩算法

✧支持智能压缩

用户认证

✧支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证

✧支持X.509数字证书认证

✧支持数字证书（USBKEY）+口令多因子认证

✧支持公共帐户登陆，支持临时禁止帐户登录

✧支持本地数据库认证

✧支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证

✧支持短信认证、图形码校验、硬件特征码校验

用户授权

✧支持角色授权、支持独立用户授权

✧支持基于URL、访问路径、访问文件、访问动作的细粒度授权

✧支持基于时间的访问授权方式

✧支持本地授权、支持外部组映射授权、支持证书用户授权

✧支持基于证书中的字段属性组合授权

应用支持

✧支持WEB转发、端口转发、全网接入模式

✧支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用

✧支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等

✧支持Windows/CIFS远程文件共享

✧支持FTP的WEB化访问

✧支持资源自动打开

✧支持资源连接隐藏

✧支持资源和特定应用程序关联

实时监控

✧实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息

✧支持主动中断在线用户的隧道连接

日志审计

✧详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息

✧支持多级审计日志，可以灵活配置审计级别

✧支持日志本地保存，支持将日志上传到外部日志服务器

✧支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统计

端点安全

✧支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹

✧支持拔KEY隧道自动中断

✧支持用户超时自动退出，超时时间可以设置

集群

✧支持集群功能

虚拟门户

✧支持虚拟门户功能，每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等

与企业门户无缝融合

✧SSLVPN可以与企业门户无缝融合，即用户可以通过企业门户登录SSLVPN，并且SSLVPN能够自动跳转Portal页面到企业的某个网站

Portal页面隐藏

✧在用户登录SSLVPN后不需要驻留Portal页面，可以隐藏，并在右下角缩成一个小图标，点击小图标还能恢复Portal页面

客户端

✧支持WindowsMobilePDA客户端

✧支持安卓系统的智能终端

✧支持Linux系统的PC机

✧支持Windows2000、XP、2003、2008、Vista、Win7系统PC

✧支持独立客户端

✧支持用户设定代理服务器信息

端口转发

✧支持TCP协议

✧支持UDP协议

✧支持智能递推

单点登陆

✧支持HTTP401认证单点登录

✧支持用户修改单点登陆的账户信息

✧支持WEB方式的单点登录

✧支持密码助手方式的单点登录

可信接入

可信接入

✧支持接入主机的信息检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等

✧支持可信接入分级授权

✧支持检查策略：

接入前检查、接入后检查、定时检查等

国际化

语言支持

✧支持中、英文界面

✧支持中、英文自动切换

✧支持中、英文手动切换

DDNS

DDNS

✧支持DDNS动态域名注册

✧支持使用域名进行隧道定义及协商

✧支持使用域名向TP进行集中认证

IPSECVPN

协议

✧支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式

算法

✧支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法

✧支持DHGROUP1/2/5，RSA1024/2048非对称算法

✧支持国家商密专用的SSP02/SSF33/SM1（SCB2）算法

硬件加速

✧支持高速算法加速卡

数据压缩

✧支持高效数据流压缩算法

隧道认证

✧支持预共享密钥、数字证书认证，支持扩展认证

✧支持使用标准的X.509证书建立隧道

网络适应性

✧支持网状、树型、星型等多种VPN网络拓扑

✧支持隧道的NAT穿越、双向NAT隧道建立

✧支持全动态IP地址间的VPN组网

✧支持隧道转发

✧支持隧道内的访问控制

✧支持GREoverIPsec方式

✧支持组播穿越IPSec隧道

✧支持多机多隧道的负载均衡和备份

技术标准

SSLVPN

✧符合国密局制定的《SSLVPN技术规范》

IPSecVPN

✧符合国密局制定的《IPSECVPN技术规范》

L2TP