网神SecSSL 3600安全接入网关系统产品白皮书 V10Word下载.docx
《网神SecSSL 3600安全接入网关系统产品白皮书 V10Word下载.docx》由会员分享,可在线阅读,更多相关《网神SecSSL 3600安全接入网关系统产品白皮书 V10Word下载.docx(19页珍藏版)》请在冰豆网上搜索。
●可绑定客户端应用
在SSLVPN设计时,考虑到用户使用方便,因此特别提供客户端应用绑定的功能,让用户可以针对某一个应用服务设定使用哪一种客户端的应用程序。
客户端应用绑定设置,也可由管理员完成,让用户免于设置操作。
当用户通过SecSSL3600登入内部网络时,通过该功能可以看到可访问的应用服务列表。
在该列表中,用户可设置指定服务与自己喜欢的应用及启动该应用所需要的参数绑定在一起。
完成了以上绑定后,用户登录系统便能直接点击服务名称,从而启动应用软件。
管理员/用户可以针对一个服务设定多个客户端的应用程序,也可定制关联应用的特性,给予用户最大的选择使用何种客户端的应用程序的自由。
如果用户不设定关联应用,那么也可直接在操作系统中启动应用软件。
●支持多种基于TCP/UDP的应用系统
虽然SSL协议主要用于保护Web应用系统,但是SSLVPN应该也能够支持多种基于TCP/UDP的Client/Server结构的应用软件。
管理员只需通过简单的管理接口,即可在服务器上定义需要支持的应用或配置服务器使用的端口。
SecSSL3600支持多种使用动态端口的应用协议,例如:
FTP、TFTP、Oracle、SQLServer等。
这些特性使得SecSSL3600能够最大程度地满足客户的应用需求,同时,SecSSL3600不会像IPsecVPN那样将客户端透明地连接到企业总部地网络中,而将整个网络暴露在客户端的面前。
因此SecSSL3600做到了应用与安全之间的平衡。
●支持第三方Radius/WindowsAD/LDAP认证系统
作为企业的远程接入VPN网关,SSLVPN(如SecSSL3600)最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。
为了减轻管理员的管理操作,SSLVPN不应只提供内置用户认证数据库,也应可以同常用的Radius/WindowsAD/LDAP用户认证系统结合,提供一体化的用户认证设施。
利用第三方认证系统,管理员无需在SecSSL3600上配置任何用户相关的信息,仅仅需要对不同认证服务器或服务器上的用户进行授权即可。
●支持WindowsAD/LDAP用户数据库同步
企业一般都会有集中的用户管理系统,例如基于WindowsAD的用户管理系统。
虽然IT管理人员希望只需维护一个用户数据库,但也要求在不同的应用系统及网关上进行细粒度的配置。
若系统支持同WindowsAD/LDAP服务器之间实现帐号同步,即可保持服务器与企业用户数据库的一致。
SecSSL3600实现了用户帐号同步功能,便于管理员制定细粒度的访问控制规则。
●支持基于信任链表的PKI证书应用
基于公开密钥证书的认证系统具有安全性高、扩展性好等特点,因此很多企业已经开始使用PKI作为基础的认证设施。
企业提供的远程接入解决方案,不仅仅针对接入本企业的员工,也可能要针对接入企业的不同合作伙伴,因此企业会要求远程接入网关,能够支持多个CA签发的证书的用户认证。
SecSSL3600采用信任链表的方式实现了对多CA的支持,该方式下也可设定不信任某些CA。
作为一个网关设备,SecSSL3600本身也需要一个证书向连接它的客户端证明自己的可信身份。
SecSSL3600有三种获取自身证书的方式:
✧自签发证书
自签发证书的意思是SecSSL3600可以自己为自己签发一个标识自己身份的证书。
✧自签发证书请求消息
自签发证书请求消息的意思是SecSSL3600可以自己生成一个PKCS#10格式的证书请求消息,管理员需要把这个请求交给第三方的CA来为SecSSL3600签发一个证书。
✧导入第三方CA签发的证书
管理员可以直接从第三方CA为SecSSL3600申请证书,然后把对应的证书/私钥对导入到系统中。
●检查客户端安全措施
一旦有用户接入到企业内部网络中,那么远端用户的计算机就成了企业网络的边缘。
因此IT管理人员需要确保远端用户的计算机满足企业的安全策略要求。
为保证客户端的安全性,SecSSL3600提供如下措施:
✧主机检查与缓存清除
✧主机保护
✧访问限制列表
✧用户登录锁定
✧SSL协议/加密算法设置
在主机检查与缓存清除方面,SecSSL3600允许管理员设置需要在客户端检查的条目,例如:
✧允许/禁止哪些进程运行
✧允许/禁止哪些文件存在
✧允许/禁止哪些网络端口打开
✧允许/禁止安装的杀毒软件/个人防火墙
SecSSL3600允许管理员为用户登录之前和登录认证通过之后,配置不同的检查规则。
当检查结果跟安全策略的期望相违背时,SecSSL3600可以自动执行管理员设定的相应安全管理动作(例如启动防火墙、关闭恶意进程等)。
同时,管理员还可以配置SecSSL3600,使得用户在结束访问时能够自动地把用户本地缓存的信息清除,避免企业信息不经意地被泄漏。
除了检查客户端计算机的安全状态之外,SecSSL3600还允许管理员通过ARL设置,允许远程用户/管理员只能/不能从哪些IP地址访问SecSSL3600。
SSL协议已经从1.0、2.0晋升到3.0和TLS1.0,但标准的浏览器一般都仍然使用SSL2.0作为默认的选项。
SecSSL3600提供选项给管理员,让管理员选择需要使用哪一种SSL协议来接入用户。
如果用户端的协议版本号不满足管理员设置的要求,那么SecSSL3600会给用户提示信息,这样SecSSL3600就在执行严格的安全限制的同时保持了用户友好。
因为SecSSL3600是基于Web为用户提供VPN服务,那么就面临着有些攻击会在Web页面上发动口令暴力攻击。
SecSSL3600通过用户登录锁定功能来限制用户错误口令尝试的次数,并且如果用户口令错误达到一定次数之后,SecSSL3600可以在一段时间内拒绝该用户登录,从而提高了系统的安全性。
●提供基于角色的细粒度访问控制
访问控制是SSLVPN提供的核心安全服务。
SecSSL3600所使用的基于角色的访问控制,便于管理员快速地针对企业现状配置对应的更改控制规则。
通过角色将系统的访问用户同系统保护资源联系起来,既非常直观,而且在访问控制策略发生变化的时候,也无需为每一种资源或者每一个用户修改权限,而只需要修改某一种服务/角色/用户的属性。
在SecSSL3600中,一个用户可以属于多个角色、访问多种服务,而一个服务可以被多个不同的角色访问。
另外,管理员也可以设定角色的有效时间。
●提供网络连接(NC)组网模式,超越传统的IPSecVPN
NC(NetworkConnection,网络连接)是一种让远程用户能够在IP层面访问企业内部资源的远程访问方式。
在这种方式下可以支持任意基于IP的应用,与其配置方式、部署实施便利性远远优胜于传统的IPSecVPN系统,为移动客户端通过Internet远程访问企业内部网络资源和SitetoSite(网对网)互连的应用提供了充分的解决方案。
3产品功能
客户端访问方式
描述
虚拟服务(Vservice)
支持SSL,支持双向证书认证,支持任意TCP应用
端口转发(ApplicationTunnel)
支持TCP/UDP应用
网络连接(NC)
支持任意基于IP的应用
UDesk
TerminalService(Java)
FilePass
FTP,Filesharing,CIFS
SitetoSiteVPN
虚拟主机
支持
独立应用程序
客户端操作系统支持
Windows2000/XP/2003/Vista
ApplicationTunnel,NC,UDesk,FilePass,Vservice
WindowsMobile2003,2005
NC,FilePass,Vservice
Linux/Unix/Mac
UDesk,FilePass,Vservice,NC
典型应用
Outlook,FileSharing,Oracle,FTP,Telnet,Web,等
任意IP应用;
用户认证凭证
用户名口令
双向证书认证
双因子认证
智能卡,USBKey
动态口令支持
SecureComputing,RSASecureID
附加验证码
短信认证
用户超时
可设置超时时间
用户重认证
单点登录
用户认证目录
本地数据库
PKI
Radius服务器
支持PAP、CHAP
LDAP
Windows活动目录
NTLM
LDAP/AD服务器下载组
LDAP/AD服务器下载用户信息
限制通过LDAP协议连接AD服务器
批量导入用户
证书用户,口令用户
加密和协议
协议
SSLv2、v3,TLSv1
对称密钥
RC4/DES/3DES/AES等
非对称密钥
DH,ADH,RSA1024位,最大至2048
散列算法
SHA-1,MD5
DH密钥交换
国密局算法,如SCB2等
证书管理
自签名证书
证书请求消息
证书格式
X.509v2/v3兼容
证书注销列表格式
X.509v2兼容
第三方证书
通过信任链方式支持多个CA
OCSP
证书组
客户端安全
操作系统检查
间谍软件检查
个人防火墙检查
防病毒软件检查
安全修复动作
清除缓存
清除自定义目录
执行自定义脚本
自动下载客户端代理
自动下载代理策略
客户端程序关联
管理员可以配置多个管理程序
自动启用客户端应用
应用服务分组
客户端邦定
主机保护
可管控进程和键盘输入
访问控制
访问控制模型
基于角色的访问控制
基于客户端条件的授权
基于客户端条件的属性设置
限制Web访问路径
会话控制
应用控制
BlockInternet
SplitTunnel
内容过滤
FTP,HTTP命令
根据时间的规则
URL子目录
网络
多ISP接入
NAT
SNAT,DNAT
网络诊断
Ping,Traceroute
NTP
DNS
NCIP地址
DHCP、地址池/静态IP绑定
代理穿越
高可用性
双机备份
AP,AA模式
负载均衡
双机负载均衡
客户端智能选路
数据压缩
配置文件导入导出
管理
管理员用户接口
WebUI,CLI,SSH
管理员访问控制
管理员认证
口令、证书
管理员类型
系统、配置、审计
用户界面定制
登录欢迎词,登录界面,客户端默认语言,登录页面图片
消息发布
按照角色的消息发布
SNMP
v3
日志和审计
Syslog
日志记录
管理员管理日志
系统运行日志
最终用户访问日志
分类查询
用户会话日志管理员管理日志
日志存储
本地、远程
日志定期自动导出
导出至FTP,导出频率和导出内容可以定义;
TOPN
最大流量服务;
在线时间最长用户;
传输数据最多用户;
登陆次数最多拥护;
报表
用户组统计报表
用户统计报表
用户组摘要报表
日志邮件告警
系统监控
系统资源
CPU,内存,存储空间
网络流量
接口,系统
在线用户
使用者列表
在线服务
4产品型号及指标
4.1SSLVPN主机系统介绍
SecSSL3600-S(25/50/100/200并发用户数)
指标项
物理规格
结构
1U机架式机箱
规格尺寸(mm)
430(长)×
360(宽)×
44(高)
网络适配器
4个10/100M自适应RJ-45接口
串口
RS-232接口类型
CF卡容量
256M
液晶显示面板
无
硬件加速卡
国密卡(SCB2算法)
电源
单/双
单电源
电压
100-240V,60-50Hz,5-3A
功率
250W
环境参数
工作温度
0°
C~50°
C
存储温度
-20°
C~70°
相对湿度
10%~90%,无凝露
性能指标
加密吞吐量(MB)
≥80Mbps
SSL新建/拆除速率(TPS)
≥120次/秒
单台最大可支持并发用户数(CUs)
200
延时(ms)
≤0.5ms
MTBF(小时)
10万
SecSSL3600-SC(25/50/100/200并发用户数)
≥40Mbps
≥70次/秒
200
≤2ms
SecSSL3600-M(100/200/300/500并发用户数)
2个10/100/1000M自适应RJ-45接口
512M
显示系统状态信息,如接口IP,CPU、内存资源利用率等
≥220Mbps
≥160次/秒
500
SecSSL3600-MC(100/200/300/500并发用户数)
≥180Mbps
≥130次/秒
SecSSL3600-H(500/1000/2000/3000/5000并发用户数)
2U机架式机箱
2个10/100M自适应RJ-45接口
2组千兆Combo口(光/电任选其一)
RJ-45接口类型
1G
有
双电源
100-240V,60-50Hz,5-3A双路供电
≥850Mbps
≥500次/秒
5000
≤0.3ms
SecSSL3600-HC(500/1000/2000/3000/5000并发用户数)
RJ-45接口类型
≥600Mbps
≥380次/秒
注意:
上述六款产品形态中,SecSSL3600-SC、SecSSL3600-MC、SecSSL3600-HC均支持国密算法(SCB2),性能比其SecSSL3600-S、SecSSL3600-M、SecSSL3600-H略低10%左右,若客户无政府背景强制要求,通常不作推荐。
4.2SSLVPN辅件介绍
辅件项名称
产品描述
备注
网神SecSSL国密电子钥匙
国密电子钥匙V3000是一款32位高性能大容量智能卡型USBKey,内置SSF33和SM1算法(SM1指通用SCB2算法的),提供高速硬件运算能力和超大容量存储空间(128K)。
足以满足在SSLVPN产品中使用国密算法的用户的最高端需求。
SC/MC/HC型产品若软件开启国密算法时,客户端用户登录SSLVPN时必须使用国密电子钥匙与之协商。
网神SecSSL证书电子钥匙
证书电子钥匙V1000是一种USB接口设备,体积小巧,便于使用者随身携带。
证书电子钥匙可进行电子邮件加密、数字签名、安全证书、安全网络登录和访问SSL安全网络,为使用者提供身份认证、身份识别和信息加密的服务,足以满足用户在SSLVPN产品中实现通过USB-key进行身份认证登录。
通过设备自身或第三方CA系统,将客户端证书下发至USB-key中,供用户登录时身份认证使用。
5产品资质与荣誉
公安部销售许可证
计算机软件著作权登记证书
国家密码管理局授权我司成为SSLVPN技术规范编制专家组成员(可提供邀请函证明文件)
升级会员 