华堂SSLVPN白皮书.docx

华堂SSLVPN白皮书.docx

《华堂SSLVPN白皮书.docx》由会员分享，可在线阅读，更多相关《华堂SSLVPN白皮书.docx（22页珍藏版）》请在冰豆网上搜索。

华堂SSLVPN白皮书

白皮书

2008年12月

版权声明

本手册的所有内容，其版权属于上海华堂网络有限公司所有，未经华堂许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，华堂及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，华堂恕不承担另行通知之义务。

版权所有不得翻印

上海华堂网络有限公司

商标声明

本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

上海华堂网络有限公司

1.前言

1.1.背景

现阶段，我国的信息安全体系的创建基本完成，来自全国各地的安全厂商为电子政务、电子商务以及各大行业提供了品种繁多的产品，诸如防火墙、VPN、防病毒、IDS等，这些产品为各行各业的网络平台提供了基本的安全保障并有效地防止了各种恶意攻击、提高了系统的稳定性，并且有效地利用了系统资源加速了社会经济的发展。

但是，随着信息安全技术进入到后信息安全时代，我们注意到各种应用对信息安全提出了新的需求，原有的技术已经无法完全满足这些新的市场需求，基于传统安全理论架构开发的安全产品也难以应付越来越高的安全需求。

1.2.II-SEC体系

华堂一直致力于全方面的安全解决方案，根据在为客户服务过程中长期积累的经验，我们认为时间跨度最长的运营服务管理应给予更多的重视。

信息系统对于信息技术和安全技术有较强的依赖性，高质产品由于技术服务管理质量对应用业务系统的冲击将等同于劣质产品

所带来的负面影响。

尤其是当今应用业务需要根据市场变化、竞争对手情况等日益复杂的环境进行灵活的调整、变更，传统的以技术为中心的模式由于过于注重技术而正面临对业务造成负面影响的窘境，已无法更好的满足当今业务灵活变化的需求。

另外，随着业务本身的发展、变化，对安全性提出了更高的要求，众多来自不同厂商的安全产品在信息系统得到大量的推广和应用，由不同厂商独立开发的各类安全产品、系统之间由于设备、系统之间的互操作性差，导致IT部门管理人员的管理复杂度大大增加，成本随之相应增加。

更严重的是，由于管理复杂度的增加而容易导致配置上的疏忽和漏洞，从而影响整个系统的安全性，安全保障也随之失去应有的功效，这就要求建立整网安全管理平台，构建各种安全设备、系统之间的交互的渠道，统一管理，协调操作。

因此，树立以服务为中心，安全管理为技术手段的理念就非常必要。

从技术的角度来看，由于应用业务种类日益繁多，需求更加灵活变化，这对于安全产品技术本身提出了更高的要求，需要投入更多的精力研制开发升级产品来满足客户业务功能不断增加、需求灵活变化的特点，也使得安全产品技术本身更加高端，产品本身的配置使用也日益复杂。

众所周知，任何设备和产品都应服务于业务本身，最终的目标应该与业务本身的目的吻合，因此，在信息技术和安全技术快速发展的当今，对产品本身的易用性提出了更高的要求。

正如我们所指出的那样，信息化的发展是“双刃剑”，在给人们日常工作、生活带来巨大便利，推动社会进步的同时，也带来的更多的风险，信息泄密、网络经济犯罪、非法信息传播等一系列信息安全问题严重威胁社会稳定，造成重大的经济损失，因此，有必要建立完善的监查和应急系统，维护信息系统的正常运转，保证网络的可控性。

华堂根据长期信息安全技术开发和安全服务的经验积累，针对当今高速互联网背景下的安全需求，推崇构建可控安全网络的理念：

基于自主和服务管理的安全、易用、可控网络建设－II-SECNETWORK。

“自主可控”是未来我国安全技术发展的总体方向，信息安全从小的方面会关系到个人和企业的正常生活和运转，从大的角度看会影响到国民经济的稳定发展和危及国家安全。

大力发展自主的安全技术，构建安全可控的网络具有非常重大的社会经济意义。

1.3.CSN系统

遵循II-SEC体系，华堂推出了最新的CSN系统。

CSN采用可控网络技术对包含内网和外部接入网在内的整个网络进行安全加固，确保全网的每个终端都是安全、有效、可控的。

CSN系统借助网关和主机微引擎的联动体系，一体化解决用户在网络边界、接入链路、主机、网络数据、业务平台上遇到的管理问题，将“主机—本地局域网—远地局域网—移动节点”的资源和安全策略进行统一管理。

1.4.产品体系

华堂主营产品包括：

防火墙、SSLVPN、防病毒网关、IPSecVPN、内网安全防御系统、上网行为管理、防垃圾邮件网关、UTM、安全邮件网关、流量管理等。

具体参见下图。

华堂产品体系图

2.

产品介绍

2.1.产品简介

SSLVPN技术目的是采用SSL（SecuresocketLayer）协议为通信双方在公共网络上提供一条安全的通道，在保障安全的前提下，不影响通信的效率。

SSLVPN不需要复杂的客户端支撑，易于安装和配置，明显降低成本。

SSL能基于Internet实现安全数据通信：

数据在从浏览器发出时进行加密，到达数据中心后解密；同样地，数据在传回客户端时也进行加密，再在Internet中传输。

它工作于高层，SSL会话由两部分组成：

连接和应用会话。

在连接阶段，客户端与服务器交换证书并协议安全参数，如果客户端接受了服务器证书，便生成主密钥，并对所有后续通信进行加密。

在应用会话阶段，客户端与服务器间安全传输各类信息，如认证卡号、股票交易数据、个人健康状况这类敏感或机密数据。

华堂本着依靠自己的技术实力的思想，根据S.E.C网络体系标准，提出我们关于SSLVPN产品的解决方案，希望能够为民族的信息安全领域作出应有的贡献。

华堂SSLVPN系统是基于专用安全操作系统，由我公司自主开发完成，拥有自主知识版权。

相比于普通SSLVPN它是一个更强大的资源平台，具有更灵活的部署方式，更方便的安全接入和更全面的管理功能。

2.2.产品功能

华堂SSLVPN充分考虑到用户的实际需要，为用户提供了丰富的产品功能，包括：

功能类别

功能项

功能描述

网络功能

工作模式

支持路由、透明、混合模式

静态路由

支持静态路由

高级路由

支持源地址路由和策略路由

动态路由

支持RIPv2、OSPF、BGP等动态路由协议

多ISP冗余

支持多ISP链路的负载均衡

VLAN

支持VLAN

支持VLANTrunk

PPPoE

支持PPPoE拨号连接

DHCP

支持DHCPServer、DHCPRelay和DHCPClient

DNS

支持DNS域名解析

DDNS

支持DDNS动态域名解析

静态ARP

支持IP/MAC地址绑定

组播

支持IGMP、DVMRP、PIM-SM等组播协议

动态端口

支持视频会议（H.323）

支持FTP协议

支持SQL*NET

安全功能

包过滤

支持状态检测

支持基于源/目的IP、源/目的端口和协议的包过滤

支持基于时间段的访问控制

内容过滤

支持对HTTP、FTP、SMTP、POP3和Telnet的深度过滤

攻击防范

支持DoS/DDoS攻击防范

支持扫描攻击

支持蠕虫攻击防范

支持地址欺骗攻击防范

身份认证

支持简单认证、一次一密认证、USBKey认证

支持RADIUS、TACACS/TACACS+、NT域等第三方认证

支持用户和组认证管理

入侵检测

支持基于网络入侵检测系统功能，检测多种网络攻击行为。

超过3000多种的过滤规则类型。

防病毒

支持防病毒（MAV）

防垃圾邮件

支持防垃圾邮件

NAT功能

静态NAT

一对一，双向

动态NAT

支持多对多的源转换和多对一的源转换

端口映射

支持单个端口和端口段方式映射

VPN功能

工作模式

支持端到端、点到端、点到点的SSLVPN服务

加密算法

支持3DES、CAST、IDEA、BLOWFISH

身份认证

支持MD5和SHA1

隧道技术

支持PPTP、L2TP、IPSec、SSLVPN

密钥管理

支持预共享密钥、IKE和数字证书

资源发布

基于用户组的资源发布功能

自定义用户通告

自定义用户通告功能

视频应用

支持视频应用

二层支持

支持IPX，NETBUI，广播，组播

动态地址

支持动态地址接入（PPPOE用户接入VPN）

冗余支持

支持多级热备和负载均衡

IPSEC接入

支持IPSEC接入

访问控制

基于用户组的访问控制功能

多级应用控制

可选择二次认证，提高安全性

多种认证方式

本地认证、动态目录（域认证）、LDAP、Radius、TACACS+、短信认证、动态口令认证

多种证书认证

单双向认证选择、多证书链、多种证书等

证书传递

支持cookie方式证书传递证书，并支持cookie类型选择

小型CA系统

不仅可以满足自身的需要，同时可以为第三方产品提供数字证书服务

Cookie可选

允许用户自行选择需要传输Cookie类型，提高性能，节省网络流量

CRL动态更新

支持从LDAP动态更新CRL列表，保持最新状态

图形化配置

图形化配置功能

带宽管理

带宽管理、流量控制

动态监控

支持动态监控VPN用户连接状态和流量信息、动态黑名单

日志审计

全面的日志审计功能

高级功能

QoS流量管理

支持自定义带宽分配策略、最小保证带宽和最大限制带宽

HA（高可用性）

支持主从热备和双活热备

支持设备状态探测和链路状态探测

端口聚合

支持端口聚合（bonding）

SNMP

支持SNMPv1/v2/v3

IDS联动

支持与主流IDS设备的联动

ICD检测

支持地址冲突检测

Watchdog

支持防死机

安全管理

日志分析

支持多种日志类型的记录和图形化分析

日志维护

支持日志备份、删除、导入和导出

状态监控

支持对CPU、内存、磁盘、网络流量和应用模块的监控

系统报警

支持多种报警事件和报警方式

系统管理

管理方式

支持集中管理、分布式管理和命令行管理

维护方式

支持快速配置向导，支持远程维护和升级

支持配置文件的保存、备份和恢复

用户管理

支持多级用户管理

2.3.

技术特色

华堂SSLVPN是华堂网络凭借在安全领域多年积累的经验开发而成的，拥有领先的技术优势,支持HTTP、HTTPS、FTP、网络邻居远程桌面等多种应用。

2.3.1.VPN用户的一致性认证

传统的VPN网关产品只是建立了一个底层加密连接，与WEB层应用系统无直接关联，当用户使用登录应用系统时，需要再次输入口令进行验证，这种两次口令验证过程比较复杂，对用户使用不易，使用时容易生产混乱。

能不能有一种方便的VPN网关产品，一次性解决VPN用户登录时的验证和WEB层应用系统登录时的用户验证呢，同时又能保护系统的安全？

答案非常肯定，华堂SSLVPN使用先进的COOKIE技术，在保护用户系统的同时，又可以方便地登录用户系统，在用户登录VPN后，自动将用户身份信息传递给后台WEB应用系统进行验证，同时还动态地从CA服务上自动调用CRL列表动态更新用户证书有效情况，防止过期证书的使用,即用户使用一张证书登录所有应用系统。

2.3.2.PKI数字证书的全面支持

基于业界标准PKI体系，华堂SSLPVN具备了对PKI的全面支持：

●证书单双向的认证选择：

关可以配置建立加密连接时是否认证用户证书。

●多服务，多站点证书支持：

可以建立多个服务，保护不同的应用，每个服务可以使用不同的站点证书。

●完善的证书管理，支持多种客户端证书认证方式，支持多CA环境（例如上海CA、安微CA、格尔CA），支持多证书链交叉认证；

●CRL列表态更新：

可以自动到LDAP发布点获取CRL列表，并动态更新，不需要重新启动服务。

2.3.3.

丰富的Cookie控制

允许用户自行选择需要传输Cookie类型，提高性能，节省网络流量。

cookie由变量名和值组成。

其属性里既有标准的Cookie变量，也有用户自己创建的变量，属性中变量是用“变量=值”形式来保存。

2.3.4.二次认证可选

允许可选择二次认证，提高安全性。

在高级别的安全应用中如果要求进行多级认证控制，可以打开二次认证功能。

2.3.5.

强大的移动商务/政务应用平台

华堂SSLVPN采用先进的VPNPortal技术，提供了基于用户组的资源发布。

通过不用的用户组来分配不同的网络应用资源，用户无需记忆网络应用，比如公司ERP系统、财务系统、供应链系统等等，系统通过灵活方便的用户通告和自定义企业Portal，将其直接显示在登录后的界面上，只需要双击就可以启动相应的网络应用。

2.3.6.

更灵活的部署方式

支持端到端的SSLVPN服务，提供给用户灵活多变的接入支持，方便用户对网络连接的各种需求。

同时华堂SSLVPN支持透明模式，使用户方便地使用网络邻居、视频点播、视频会议等日常应用。

支持SSLVPN无客户端，支持各类的操作系统平台用户接入，包括Windows/Linux/Unix/MacOSX等。

兼容性：

支持IE、Netscape、Firefox等主流浏览器，支持IIS、Websphere、Weblogic、apache、tomcat等主流Web服务器。

支持动态地址接入，包括DDNS服务，即使客户端和服务端都是动态地址的情况下，一样能建立VPN连接，方便用户组网。

同时系统支持多级热备和负载均衡功能，可以不断提升SSLVPN的性能与可靠性。

支持IPSecVPN接入，保护用户原有的网络投资，灵活部署网络。

2.3.7.

更方便的安全接入

支多种身份认证方式，包括本地认证、动态目录（域认证）、LDAP、Radius、TACACS+、短信认证、动态口令认证；支持硬件特征码认证，并支持硬件特征码自动学习。

支持USB令牌功能，支持双因子认证方式。

短信认证、动态口令认证方式，进一步提高VPN应用的安全性。

防止非法用户仅凭密码就可以登录系统的情况，在方便接入的同时又有安全可靠的保密。

华堂SSLVPN支持独创的硬件特征码技术，保证接入端电脑的唯一性，智能识别每一个接入点的安全标志。

做到口令与登录电脑的绑定，提供高级别的安全保护措施。

2.3.8.更全面的集中统一管理平台

图形化配置管理，具有强大网络拓扑图管理功能，用户根据网络实际情况建立拓扑，同时显示各网络端口的流量，VPN运行时的CUP占用率、内存占用率；丰富详细的日志管理，用户通过数据日志、审计日志、及安全日志来全方面掌握VPN运行状态。

支持Syslog等多种日志格式的输出、支持通过第三方软件来查看日志、支持日志分级、支持对接收到的日志进行缓冲存储；支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密卡状况监测。

支持WEB管理、命令行配置、支持本地配置、远程配置等多种配置方式；支持SNMP功能、与当前通用的网络管理平台兼容，如HPOpenview等。

2.4.

产品型号

华堂SSLVPN的产品规格如下：

性能指标

产品型号

SJW22A-10

SJW22A-20

SJW22A-25

SJW22A-50

SJW22A-80

SJW22A-100

适用用户群

部门级

小企业级

中型企业

大型企业级

行业级

电信级

用户数

<20

<50

<100

<200

<500

<1500

加密速率

15M

30M

60M

80M

200M

240M

日志容量

10G

20G

20G

40G

40G

60G

网口数量

4百兆电口

4千兆电口

4千兆电口

6千兆电口

8千兆

（4光/电+4电）

12千兆光/电

3.

产品部署

3.1.部署策略

华堂SSLVPN采用硬件形式封装。

支持网桥模式，用户可以直接访问网络邻居、视频会议和视频点播等应用。

华堂SSLVPN可以方便灵活地部署在用户的网络环境中。

用户只需要在防火墙上开放相应的端口就可以实现华堂SSLVPN的部署。

客户端软件不需要安装其它任何支撑软件，对计算机硬件没有特殊要求。

华堂SSLVPN目前支持的客户端为Windows2000/XP/2003。

3.2.解决方案

华堂SSLVPN具有良好的网络适应性，适应从单机应用到大规模分布式应用等不同层次的应用，支持多网段环境。

典型应用如下图所示：

3.2.1.教育行业SSLVPN解决方案

需求分析：

如下图所示某大学各分散校区之间，需要安全访问远程的市图书馆。

使用户端安全地访问图书馆系统，实现远程查询，书籍借阅等应用。

华堂解决方案：

✓各校区安全互联；

通过对端到端SSLVPN的支持，达到各校区之间安全互访。

✓方便易用的图书馆远程访问；

各分校区的用户可以方便安全地访问市图书馆的网络应用，方便学校远程教育使用。

图1：

学校部署图

3.2.2.电子政务解决方案

需求分析：

某政府部门的政务网络环境，通过内部通过百兆网络接连，并通过华堂防火墙连接到Internet。

局域网内存在电子政务服务器、文件共享服务器、FTP服务器、打印服务器等。

需要保证上下级单位之间资料安全传输，VPN联网快速稳定，部署方便，维护量小。

外出出差人员能够随时随地通过互联网安全地访问政务系统。

同时系统提供所有访问的详细记录，并且访问控制的颗粒度细化。

华堂解决方案：

✓主管部门与下级单位安全互联；

下级单位可以方便快捷安全地访问主管部门的服务器，安全地使用其业务应用系统。

✓政府部门外出人员安全接入；

政府人员出差时方便地上网通过SSLVPN访问需要的政务资源；支持USBKEY的认证方式，适合保密要求高的用户。

✓详细的访问日志记录；

系统提供完整详细的访问日志记录，真实反映SSLVPN网络访问状态。

✓访问控制的颗粒度细化；

系统提供多达三重的访问控制，最大限度地细化访问控制的颗粒度，使用户应用部署更加灵活。

图3：

政府用户部署图

4.

资质认证

✧国家密码管理局发布的《商用密码产品销售许可证》

✧国家密码管理委员会办公室颁布的《商用密码产品生产定点单位证书》