VPN产品销售手册20p.docx
《VPN产品销售手册20p.docx》由会员分享,可在线阅读,更多相关《VPN产品销售手册20p.docx(16页珍藏版)》请在冰豆网上搜索。
VPN产品销售手册20p
1VPN选购指南2
1.1该选择哪种VPN技术的产品?
3
1.2该选择软件产品,还是硬件网关?
3
1.3专业VPN设备和防火墙自带VPN有何区别?
3
2安达通VPN优势4
2.1多功能合一的硬件安全网关4
2.2创新的IPSecoverHTTPS技术5
2.3革新的VPN移动加速系统5
2.4VPN准入控制技术5
2.5完善的多线路负载均衡功能6
2.6多种VPN专有技术确保网关能够适应各种复杂环境6
2.7全方位的安全性6
2.8完善的VPN安全网管平台7
3VPN产品功能列表7
4VPN产品性能列表10
5客户端和其他产品介绍11
5.1移动接入客户端11
WEB式VPN移动接入客户端12
软件式VPN移动接入客户端12
USB钥匙硬件式移动接入客户端12
5.2VPN安全网管平台13
安全网关单机配置软件(SureConsole)13
SureManager安全网管服务器(简称:
SureManager)15
SureCA数字证书服务器(简称:
SureCA)18
1VPN选购指南
VPN是虚拟专用网(VirtualPrivateNetwork)的简称,指通过综合利用加密技术和访问控制技术,并通过一定的密钥管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密管道”中进行安全传输的技术。
您的企业在构建业务信息化平台时,需要异地机构互连吗?
您的公司有在各地的远程移动办公人员,需要访问总部内网的服务器吗?
如果是,那么VPN就是您的最好选择!
。
VPN给您带来:
1)安全可靠
1、采用3DES、AES、SCB2等高强度数据传输加密;
2、隐藏内网结构,应用服务器不需暴露在公网上;
3、支持USBKEY,数字证书,Radius,LDAP,手机短信等多种认证手段;
2)节省费用
1、根据带宽/内网规模选择合适型号的VPN产品,价格低廉,一次性投资;
2、基于互联网使用,网络运营成本低廉;
3、VPN安全网关可做为企业级防火墙使用;
3)易于扩展
1、适应各种网络接入方式:
ADSL、Cable、FTTB、DDN、CDMA等;
2、支持远程移动用户通过Web浏览器接入;
4)全面兼容
1、所有基于IP的网络应用系统的隧道透传;可透明传输诸如组播等非IP网络数据包;
1.1该选择哪种VPN技术的产品?
市面上主流的VPN技术主要有PPTP/L2TP,IPSec,SSL这样三种。
PPTP和L2TP,实现比较便捷,但协议的安全性很低,属于非主流的VPN技术。
IPSec技术,性能很高,也能全面支持各种网络应用,是当前主流VPN技术。
但移动用户需要安装客户端软件,增添了使用和维护的复杂度。
SSLVPN的客户只需登陆浏览器即可连入总部服务器,使用灵活,对资源的访问控制更出色。
但对许多应用程序不兼容,性能较低,且不能网对网互连,所以是移动接入的特定应用解决方案。
IPSec和SSLVPN技术各有优缺点,互为补充;目前最好的方式是,采用IPSec/SSL二合一的VPN安全网关。
这样能够充分发挥IPSec和SSLVPN各自的技术优势,而且一机两用,无需投资购买两种网关。
1.2该选择软件产品,还是硬件网关?
软件网关是指可以在服务器和普通PC上安装的VPN软件。
由于加密和封装完全是软件实现的,性能一般不高,不适合在中心节点使用;另外,软件VPN由于操作系统的漏洞会带来很多安全性问题。
硬件网关是指采用专用硬件平台的VPN设备;硬件网关采用嵌入式硬件和专用的操作系统软件平台,性能高,更稳定,不容易出现后门和漏洞,是当前主流的VPN网关形态。
所以,在选择作为企业应用的VPN网关时,我们应该优先选择硬件VPN网关。
1.3专业VPN设备和防火墙自带VPN有何区别?
我们可以从以下三个方面了解两者的差别:
【性能】专业VPN设备的硬件平台和软件系统都是为VPN定制设计和优化,而防火墙产品设计主要围绕防火墙参数展开,所以两者在VPN处理性能上差距巨大;很多防火墙甚至没有密码协处理芯片,实质是低性能的软件VPN。
【功能】专业VPN设备是专为大型VPN联网设计的,因此具备适应各种复杂环境的功能(例如安达通的VPN专有技术);而防火墙的VPN功能较简单,适应能力较差。
【网管】专业VPN厂商都具备VPN网管系统,具备集中管理和实时监控的能力;防火墙厂商缺乏大型VPN组网经验,也无法进行全网VPN管理。
2安达通VPN优势
安达通公司当前主推的SJW74系列IPSec/SSL二合一安全网关(简称:
SJW74网关),是在6年多的时间里推出的第三代多功能安全网关产品。
在新的SJW74网关中,采用了众多最新的技术成果,具备如下优势:
2.1多功能合一的硬件安全网关
1、SJW74网关采用嵌入式硬件平台,低功耗,持续运行稳定性是工控机的3倍以上;
2、采用实时操作系统,专为通信系统设计,内核精简,减少了被攻击的可能性;
3、SJW74系列是IPSec/SSL二合一安全网关,并采用了最新型的IPSecoverHTTPS技术替代传统SSL技术,充分发挥IPSec和SSL的高性能、兼容能力和便利性;
4、SJW74系列网关集成了企业级状态检测防火墙和网络层入侵检测引擎,有效抵抗网络上的各层攻击;
5、中高端的SJW74网关可升级为全网行为管理TPN系统,一体化解决边界威胁、内网威胁、主机威胁和接入威胁的统一管理问题。
详见:
可信专用网(TPN)系统白皮书和销售手册。
2.2创新的IPSecoverHTTPS技术
“IPSecoverHTTPS技术”作为最新一代VPN技术,融合了IPSec和SSL协议的各自优势,使SSL的协商认证便利性和IPSec的高性能传输能力以及对IP应用的完全透明性得到了全面体现:
1.移动客户打开WEB浏览器即可登陆访问VPN资源,并根据角色不同区分资源访问权限
2.移动客户对其权限内的访问资源所见即所得,只需点击即可迅捷访问相关服务;
3.摒弃了SSL代理技术,通信数据直接加解密转发,极大的提高了远程移动VPN接入的速度;
4.只要网络环境允许进行HTTP访问,就能够建立VPN连接,真正作到“无处不联,随处可用”;
5.全面兼容所有网络应用,彻底消除SSL端口聆听和转发带来的应用程序兼容性弊病,没有对C/S程序支持的局限。
2.3革新的VPN移动加速系统
“VPN移动接入加速系统”融合了桌面终端控制技术和数据压缩技术,可以将传统的“Client——Site”的VPN远程接入速度提升10倍以上:
1.客户端只需登陆WEBVPN,不需安装应用程序客户端,部署极其简便,新手也能快速上手;
2.数据传输只有鼠标键盘等屏幕显示信息传送,极大的减少了带宽占用;
3.对带宽要求很高的C/S软件在使用加速系统后,56KMODEM拨号这种上网方式都可以流畅运行。
4.对客户端PC的性能要求大大降低了。
2.4VPN准入控制技术
“VPN准入控制技术”与“主机风险评估技术”结合共同工作。
远程移动接入用户登陆VPN时,首先需要通过恶意程序和补丁级别、端口等风险评估检查。
只有达到VPN系统规定的安全级别,VPN接入用户才能够顺利接入到总部,确保各种威胁不会被带进内网。
2.5完善的多线路负载均衡功能
1、具备3个以上网络接口的SJW74系列安全网关,可自定义1~3个WAN口,支持多条ISP接入线路;支持策略路由和多点VPN隧道接入:
安全网关的几个WAN口都可作为VPN接入端点,实现VPN接入的负载均衡和线路备份;
2、针对跨网络运营商通信瓶颈,采用多运营商链路接入,分支机构可自动或手动选择速度最快的线路进行VPN接入;
3、内网用户上网可根据访问地址智能选择上网线路,符合中国特色,实现最快速的上网负载平衡。
2.6多种VPN专有技术确保网关能够适应各种复杂环境
1、专有技术“单臂连接”保证了VPN接入不会引起单点故障和拓扑改变;
2、专有技术“自动路由”保证了移动用户和分支机构透明接入总部,而不需要修改用户网络中的路由设备的配置;
3、专有技术“虚地址互连”保证了地址冲突时仍能正常进行VPN通信;
4、专有技术“隧道接力”保证了分支机构在总部的统一控制下轻松实现互联互通,快速构建大规模网状VPN网络;
5、支持完全透明的"网桥"模式和"半透明"模式(即:
路由和透明功能同时起作用);
6、支持标准的IPSec/IKE协议和改进型的SSLVPN协议(即:
IPSecoverHttps/Http),能够与第三方VPN设备互通;
7、支持对多播协议和基于多播协议的动态路由协议(如:
OSPF、EIGRP等)进行VPN隧道封装;
8、移动用户可采用IE浏览器接入,无需安装客户端软件;也可安装零配置的安全客户端软件;与SureID配合使用,可免安装USBKEY驱动程序。
有关安达通公司的各种VPN专有技术,详见“安达通VPN安全网关技术白皮书”。
2.7全方位的安全性
1、支持各种国际标准算法和国家密码管理局认证的SCB2密码算法;
2、精细灵活的访问控制粒度,保证了非授权用户不能对其无权访问的资源进行攻击和侵害;
3、支持多种身份认证方式:
多因素硬件绑定,数字证书,动态口令,手机认证,支持WindowsAD、LDAP和Radius等第三方认证;
4、发现和阻止绝大多数网络层攻击;
5、可升级成“全网行为管理TPN系统”,对内网威胁、边界威胁和主机威胁进行统一管理。
详见“安达通全网行为管理TPN系统技术白皮书”。
2.8完善的VPN安全网管平台
1、安达通SureManger网管安全监控模块,具有对全网VPN设备进行统一管理,实时图形监控、声音短信报警和流量日志报表等多种完善的网管监控功能;
2、安达通SureManager网管策略管理模块,具有对全网VPN设备进行统一参数配置,统一策略生成和统一VPN策略颁发等功能,保证了对大型VPN网络的可管理性;
3、安达通SureCA数字证书管理平台,是基于标准X.509协议的平台,能够颁发、管理、审核、注销数字证书,与安达通VPN安全网关和移动客户端无缝整合。
3VPN产品功能列表
IPSec
VPN
IPSec协议
VPN的设计完全遵守IPSec和IKE标准;可和第三方IPSec厂商VPN对连;支持传输和隧道模式
协议支持
支持各种标准协议,包括IPv4,IPv6,VLAN标记,路由,NAT/NAPT,组播,OSPF,IGMP,DiffServ,IPSec,IKE,VLANTrunk,PPTP穿透,GRE,H.323,HTTP,SSL3.0,TSL1.0,FTP,POP3,SMTP等多种应用层协议
加密技术
支持AES、DES、3DES、MD5、RC4、RSA及SSP02,SSF33,SCB2等国密算法,支持扩展安全算法模块
数字证书
支持安达通专有数字证书和第三方CA服务器,全面兼容X.509标准
网络支持
支持网到网的IntranetVPN,支持单机接入的RemoteAccessVPN,支持与合作伙伴和客户连接的ExtraVPN
VLAN支持
支持VLANTrunk,并能够在VLAN环境下构建VPN连接
NAT-T
VPN内支持NAT穿透(NAT-T)功能,并能够实现VPN互连的“双向NAT穿透”
网桥模式
支持在网桥模式(透明模式)下VPN通信
SA管理
支持基于时间和流量双重要素的动态SA管理,并支持手动配置的静态SA
全动态地址组网
支持安达通专有地址服务器和DDNS两种方式的全动态IP组网
用户权限控制
提供基于角色权限的VPN内部控制
隧道保活
定时检测和发起VPN通信,确保设备间加密通道的时时连通
带宽细分
对每个VPN隧道进行“状态检测”和独立带宽细分
广播/组播包支持
支持任意广播/组播包跨网复制,支持浏览网上邻居
虚地址互连
支持在IP地址冲突情况下的VPN互连,而不需要IP地址冲突的一方大量更改局域网内PC或其他设备的IP地址
单臂连接
安全网关当作一台主机,单口接入网络,无需修改用户物理网络拓扑
自动路由
支持动态IP和分支机构接入时无需修改总部路由器的路由配置
向前兼容
全面兼容安达通原SGW25系列网关互通
SSL
VPN
IPSecoverHttps/Http支持
采用“IPSecoverHttps/Http”技术替代传统的SSL技术,适应各种网络环境
浏览器/平台支持
支持Win98/2000/XP/2003/Vista等平台,支持IE6,IE7等主流互联网浏览器
Web应用支持
支持Html/Dhtml,Jsp,Asp,Javaapplet,Activx,Cookies及其他所有WEB技术的访问
C/S应用支持
支持TCP/IP等所有C/S应用服务
移动用户终端安全
移动用户终端无缓存和Cookie,避免了在公共环境(如:
网吧)使用VPN,遗留的痕迹带来的安全隐患;支持数字证书等多种认证方式
用户权限管理
基于“角色”管理用户权限
实时监控
支持实时监控和管理,可实时阻断远程接入用户,对其行为进行记录
隧道保持
移动用户终端会自动检测隧道断开的情况,并和中心节点重建VPN隧道
数字证书
支持数字证书认证,并兼容第三方CA系统
密码修改
移动用户终端登陆有PIN码保护,该密码可以由移动用户自主修改
动态下载策略
访问资源信息每次VPN接入时自动下载,保证访问资源的灵活性和易管理性
多样认证方式
支持手机短信认证和动态口令卡认证,并可外挂WindowsAD和LDAP
多因素硬件绑定
支持用户和CPUID、网卡等计算机信息绑定
双网隔离
一旦启动该功能,移动用户PC将只能访问VPN资源而不能访问互联网的任何其他资源
IPSec客户端兼容性
兼容纯IPSec的安全客户端接入
链路均衡
线路叠加备份
支持1~3条出口线路叠加、备份和自动切换
服务级别选路
根据服务(网络速率、吞吐量、可靠性)级别进行自动选路
跨运营商选路
自动选择最优路径访问相应运营商网络
线路均衡
支持多条ISP线路接入,具备线路故障自动探测和路由自动切换功能
VPN隧道备份均衡
VPN隧道的备份和自动愈合
策略路由
支持多出口的路由选址,也支持基于源/目的地址选址
VPN加速系统
VPN移动接入加速系统(Client—Site加速)
融合了桌面终端控制技术和数据压缩技术,将传统的“Client——Site”VPN远程接入速度大幅提高
网间加速(Site—Site加速)
通过Cache技术、数据压缩技术和多线路隧道负载均衡技术的综合运用,大幅提高“Site——Site”的VPN网络互联速度
防
火
墙
六元组包过滤
基于端口、协议、地址和时间相结合的包过滤访问控制
状态检测
实现连接跟踪,实现基于方向的防火墙控制;可独立为每个访问控制策略进行状态检测
内容过滤
URL检测
支持对URL检测和过滤,支持黑名单和白名单,并可根据VPN隧道和访问者灵活定义生效与否
HTTP会话劫持
支持基于HTTP会话劫持的用户认证功能
QQ封锁
支持对QQ进行基于内容过滤的全方位封锁
NAT功能
支持静态、动态NAT,端口NAT,虚拟服务,分时分段NAT等
IP/MAC绑定
支持IP/MAC地址绑定,并可和登陆用户名密码结合绑定
快速转发
基于HASH表进行快速转发,极大提高了防火墙速率
QOS
支持使用差分业务模型提供的QOS,使用随机早期检测RED丢弃算法提供流量控制,支持8个等级的QOS
抗Dos/DDOS攻击
可抵御扫描探测、DoS、DDos等入侵攻击,并可自定义TCP/UDP/ICMP的Flood攻击检测策略
抗设备攻击
快速过滤模块能显示入侵者信息并立即阻断,可成功抵御对设备的攻击
兼容IDS
支持和专业的IDS设备互动
可
靠
性
嵌入式硬件平台
基于嵌入式硬件平台,极低功耗,高稳定性,高可靠性,启动速度快
实时操作系统
采用实时操作系统,远高于Linux的系统安全性;内核精简,通信效率高
集群技术
支持VPN集群
自动恢复
提供断线自动恢复功能、隧道自愈功能
平均无故障时间
>40000H
管理功能
管理方式
支持软件控制台,WEB集中管理
实时监控
实时监控网关,修改配置后立即生效,不需重启设备
管理级别
支持管理员分级管理
管理员登陆
可通过串口或者网口进行本地和远程管理
管理员认证
支持基于口令码或数字证书的身份认证和管理指令通过SSL协议加密
离线配置
支持可编辑配置文件,并可将设备的配置信息导出到本地或从本地导入设备
策略集中分发
通过VPN集中管理平台,自动生成配置信息,自动颁发VPN策略
流量报表
图形化流量监控和报表
日志容量
支持外挂日志服务器和较大容量的内置日志
日志种类
支持系统、告警、错误、调试等日志,支持日志查找和定位功能
主动告警
支持声音,短信,email和日志服务器等告警方式,第一时间通知网管员
在线升级
本地远程升级和序列号授权,并支持升级代码签名,防止设备代码被非法篡改
其他功能
接入方式
支持PPPoE和DHCP(Server和Client)协议,支持:
ADSL、CableModem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式
ARP表项
支持ARP表清空和FREEARP广播
广播/多播转发
支持广播/多播转发,并限制广播/多播回路
网口工作方式
支持全/半双工,10/100/1000M自适应等手动和自动配置
网口绑定IP
支持网口绑定多个IP地址
4VPN产品性能列表
产品型号
SJW74ALite
(09款)
SJW74A
(09款)
SJW74B
(09款)
SJW74C
(09款)
SJW74CPro
(09款)
SJW74D
(09款)
网口数量
2个百兆以太网口
(RJ45标准)
3个百兆以太网口
(RJ45标准)
3个百兆以太网口+4个交换口
(RJ45标准)
4个千兆以太网口
(RJ45标准)
4个千兆以太网口(RJ45标准)+2个光口
4个千兆以太网口(RJ45标准)
防火墙吞吐率(大包)/(并发会话数)
100Mbps
(200,000)
100Mbps
(300,000)
100Mbps
(600,000)
500Mbps
(1,000,000)
1Gbps
(1,200,000)
1Gbps
(2,000,000)
高强度加密性能(3DES+SHA)
10Mbps
20Mbps
60Mbps
300Mbps
400Mbps
600Mbps
并发隧道数(含客户端数)
100
400
2500
10,000
12,000
20,000
负载均衡
不支持
支持
支持
支持
支持
支持
双机热备
不支持
支持
支持
支持
支持
支持
外型
桌面式
1U机架式
1U机架式
1U机架式
2U机架式
2U机架式,冗余电源
选型特别提示:
Ø安全网关的“加密吞吐率”应当大于网络的出口带宽,以免在VPN安全网关上产生性能瓶颈;
Ø部署在中心节点的安全网关的“并发隧道数”应当大于分支机构和移动用户总数;
Ø部署在各节点的安全网关的“并发会话数”,与本地局域网内的上网PC数目相关(具体照应关系可咨询安达通机构);
Ø移动用户可采用IE浏览器远程接入SJW74安全网关,也可安装专用的“安全客户端”软件;为增强安全性,移动用户可选购“移动认证终端SureID”。
5客户端和其他产品介绍
5.1移动接入客户端
移动接入客户端用于解决移动用户通过互联网接入企业内网的问题,分成WEB式、软件式和USB钥匙三种类型,是移动用户安全接入企业的理想解决方案。
移动接入客户端的功能特性如下:
*支持所有类型的网络接入方式,支持SOCKS5代理;
*支持硬件密码载体:
SureID,并支持SureID和计算机绑定;
*支持IPSec、IKE;支持预共享密钥认证和数字证书认证;支持第三方CA系统;
*支持DES,3DES,RSA,DH,SHA,MD5等多种密码算法;
*支持DDNS和ADT地址服务器,能够连接动态IP接入(如:
adsl接入)的安全网关;
*支持建立多个VPN隧道(和多个网关同时建立VPN隧道);
*支持NAT穿透(NAT-T);
*支持VPN隧道保持;
*支持以SSL方式从安全网关动态下载VPN移动用户通讯策略;
*配置简单,易于操作,使用对用户透明;
*能够在VPN网关管理软件上生成连入本网关的VPNClient信息,并支持集中的客户端生成和发放平台;
*简单易用的日志功能;
安全客户端使用示意图
1.1.1.WEB式VPN移动接入客户端
非常便捷,只需打开浏览器就能登陆VPN,同时安达通采用了IPSecoverHTTPS技术,使VPN用户的同一帐号能兼容SSL和IPSec两种登陆方式。
1.1.2.软件式VPN移动接入客户端
需要安装软件,支持Windows98/Me/2000/XP/2003/Vista操作系统,客户端零配置。
完全对各种网络应用软件透明,并不影响用户访问Internet。
内置防火墙功能,可以阻断外网连接和控制访问internet。
安全客户端界面(2.0版本)
1.1.3.USB钥匙硬件式移动接入客户端
USB钥匙是一种USB接口的身份认证设备,主要用于“数字证书”和“本地私钥”的安全存储,密码运算,真随机数的产生等,以及虚拟专网的拓扑信息。
安达通USB钥匙称为SureID,是新型无驱型KEY(不需要安装驱动程序),大大增强了用户的便利性。
SureID
5.2VPN安全网管平台
通过“ADT安全网管平台”可实现对ADT系列安全网关进行单机或集中管理、集中监控、集中发放数字证书等功能。
由以下3部分组成:
1)安全网关单机配置软件(SureConsole);2)安全网管服务器(SureManagerServer);3)数字证书服务器(SureCAServer)。
1.1.4.安全网关单机配置软件(SureConsole)
SureConsole是面向ADT安全网关的单机配置系统,可管理ADT各型号网关产品,随机赠送,是ADT系列安全网关的必备伴侣。
它提供了丰富的功能和简便的操作界面,具有如下特点:
集中管理
集中分发网关配置与安全策略,对网关进行集中监控,接收网关的日志与故障告警。
基于拓扑的可视化策略制定和监控,显着提高了VPN部署与管理的自动化,大大降低了VPN部署和管理的成本。
基于角色管理
网关内置根管理员、普通管理员、只读管理员三种缺省的管理角色,分别完成相应的管理功能。
此外,用户还可以自行添加、删除管理员或自定义管理角色。
设备自动告警
网关支持在自诊断程序检测到设备状态异常时以E-MAIL的形式告警或使用安全告警传输协议向告警服务器发送实时告警。
安全告警传输协议可以防止假冒的告警或告警在传输中被篡
升级会员 