产品说明天融信网络卫士VPN系统 TopVPNVONE系列1108.docx

1、产品说明天融信网络卫士VPN系统 TopVPNVONE系列11081 产品概述1.1 安全接入的应用趋势随着电子政务和电子商务信息化建设的快速推进和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以迅速地获取信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的安全威胁。而且我们目前所使用的操作系统、网络协议和应用系统等，都不可避免地存在着安全漏洞。因此，在通过Internet构建

2、企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的安全，同时还需尽量降低实施和维护的成本。1.2 安全接入的技术趋势目前通过公用网络进行安全接入和组网一般采用VPN技术。常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：1L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件，因此其无需安装任何客户端软件，部署和使用比较简单；但是由于协议自身的缺陷，没有高强度的加密和认证手段，安全性较低；同时这

3、种VPN技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。2IPSEC VPNIPSEC VPN属于三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施；同时工作在网络协议的三层，对应用程序是透明的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN的VPN组网；组网方式灵活，支持多种网络拓扑结构。其缺点是网络协议比较复杂，配置和管理需要较多的专业知识；而且需要在移动用户的机器上安装单独的客户端软件。3SSL VPNSSL VPN属于应用层VPN技术，其协议定义了完整的安全机制，对

4、用户数据的完整性和私密性都有完善的保护；由于在Windows等操作系统中的IE浏览器已经支持了完整的SSL协议，因此原理上对于B/S应用是无需安装客户端软件的，部署使用较为简单。其主要适用于移动用户的接入和访问B/S结构的应用系统，对于C/S应用的支持仍然需要安装客户端的插件。 以上几种VPN技术都各有其优缺点，而在用户的实际应用中，往往需要将这几种VPN技术进行综合应用，才能满足较为复杂的用户需求。天融信将这几种VPN技术进行了有机的整合，实现了在一台设备中同时支持多种主流VPN组网技术，同时集成了天融信成熟领先的防火墙和身份认证系统，形成了一套完整的安全接入解决方案。1.3 网络卫士VPN

5、多合一产品简介网络卫士VPN多合一网关是集天融信十几年研发经验，向用户提供的完整VPN接入解决方案（IPSec/SSL），是天融信研制推出的最新一代网络安全接入产品。该产品以天融信自主知识产权的TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了身份认证、访问控制等安全手段，具有安全、高效、易于管理和扩展等特点。网络卫士VPN多合一网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务。产品的L2TP/PPTP/SSL功能无需安装任何客户端软件，也无需投入太多人力进行配置或长期的维护；产品完善的IP

6、SEC VPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络。其SSL VPN可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式，以适应不同的用户需求，同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能。网络卫士VPN多合一网关包含完整的业界领先的专业防火墙功能，还具有内容过滤、入侵防御、带宽管理等功能，能为用户提供全面的网络边界安全防护解决方案。2 产品特点1) 自主安全操作系统平台采用自主知识产权的安全操作系统 TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击

7、、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。2) 多种VPN技术有机融合前面已经分析了目前主流的各种VPN技术的优缺点，这些技术有其不同的适用范围。在实际的用户网络中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和安全性都会面临新的挑战。网络卫士VPN多合一网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IP

8、SEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。3) 安全接入与安全防护无缝结合VPN网关作为网络边界设备，除了完成远端网络或移动用户的远程接入功能外，对用户网络边界安全也是至关重要的。网络卫士IPSec/SSL VPN多合一网关构建在天融信强大的TOS系统平台基础上，集成了天融信业内领先的防火墙功能模块，能够为用户的VPN网络提供高等级的边界安全防护。网络卫士VPN多合一网关支持完善的基于完全内容检测的访问控制。防火墙检测技术发展至今，大致经历了三个阶段，从早期的状

9、态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。网络卫士VPN多合一网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口

10、进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。4) 多种SSLVPN技术结合实现应用全覆盖目前SSLVPN接入技术大致分为三类：WEB转发（WEB FORWARD），端口转发（PORT FORWARD）和全网接入（NETWORK ACCESS或者称为IP TUNNEL）。这三种技术的技术特点和适用范围各不相同，在网络卫士VPN多合一网关中对这三种SSLVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一

11、种或多种接入方式。WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。网络卫士VPN多合一网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好，但其要求在客户端安装一个ACTIVEX控件。网络卫士VPN多合一

12、网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VPN多合一网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道（SPLIT TUNNEL即可以同时访问VPN和因特网）或完全隧道（FULL TUNNEL即只能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了网络的整体安全性。5) 完善的身份认证

13、技术网络卫士VPN多合一网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信，管理员可以配置简单的“用户名口令”认证方式，从而达到简单易用的效果；为了防止线路窃听和重播攻击，管理员可以采用“用户名口令图形认证码”的方式对移动用户进行身份认证；对于需要强身份认证机制的用户，管理员可以采用“数字证书”的认证方式，通过强度非常高的密码运算来保证用户的用户的身份标识不会受到“字典攻击”等暴力攻击的威胁；当然，还可以通过“数字证书（USBKEY）口令”的双因子认证方式来确保移动用户的证书不会被盗用，来进一步加强认证的安全性。网络卫士VPN多合一网关还支持短信认证、

14、图形码校验、硬件特征码校验。支持基于web协议的认证方式，可以和业务资源的帐号系统使用一套，避免了在VONE上再次建立帐号，能够统一管理帐号，增强了易用性。支持指纹认证，可以基于指纹信息进行认证。网络卫士VPN多合一网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动，从而能够实现动态口令认证、域认证等高级的认证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库，实现用户集中管理和认证，又可以充分利用用户已有的资源。6) 多级用户授权机制提供灵活的用户授权组合授权是对移动用户通过身份认证接入网关后，允许访问的内网资源权限进行控制，是保

15、护内网资源安全的主要技术手段。网络卫士VPN多合一网关采用多级授权机制和用户授权继承的策略，满足各种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书的属性字段的授权，支持基于外部属性（LDAP或Radius下发的属性值）的授权，也支持多条授权策略的组合。在用户授权的粒度上，网络卫士VPN多合一网关支持基于URL/目录/文件等访问内容的控制策略，支持用户行为动作的访问控制策略，支持基于访问时间的控制策略，能够充分满足管理员的各种用户授权需求。7) 完善的PKI体系提高用户网络的安全等级随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PK

16、I体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品全面支持标准PKI体系结构，既能够通过内置的CA模块独立为移动用户签发数字证书，又能够通过导入CA根证书CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体PKI功能包括： 支持标准X509.V3格式数字证书； 支持DER、PEM、PKCS12等多种证书编码格式； 支持通过内置CA模块为用户签发标准数字证书； 支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证； 支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证； 支持生成PKC

17、S10格式的证书请求，可生成证书请求，由第三方CA签名； 支持CRL列表文件的导入和通过HTTP自动下载。天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作，网络卫士VPN多合一网关与这些厂商的CA系统均能够无缝集成。8) 卓越的网络及应用环境适应能力网络卫士VPN多合一网关构建于强大的TOS系统平台之上，天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。其支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*N

18、ET、MS RPC等等，适用网络的范围非常广泛，充分保证了用户的网络的可用性。同时，针对国内用户动态IP地址较多的现状，网络卫士多合一网关整合了天融信公司独立维护的EZVPN动态域名系统，为天融信的VPN用户提供专用的动态地址域名解析服务，从而很好地解决了动态地址的VPN接入问题。9) 分级可信接入体系可信接入是指对远程接入的VPN客户端的主机安全性进行检查，对不符合条件的客户端，即使账号信息是正确的，拒绝接入内网。天融信VPN产品对客户端的接入实行可信接入检查，对于检查结果进行分级，不同的级别可以授予不同的权限，对不满足安全要求的主机，可以根据其缺陷程度分别实行隔离、修复和限制访问。10)

19、支持虚拟门户功能SSL VPN提供了虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。11) 分级管理和三元分立支持多达16级的管理员分级管理，便于大型组织客户将管理权限下放，并可以根据需要授予不同的管理员不同权限。支持管理员的三元分立，分别授予不同的管理员不同的权限。12) 支持多种单点登录方式支持多种单点登录方式，支持HTTP401方式、密码助手、WEB方式的单点登录，用户只需要进行一次认证即可访问所有业务资源，大大提高了易用性。13) 与企业门户无缝融合许

20、多大型企业已经拥有了自己的企业门户，我们的SSL VPN可以与用户的企业门户无缝融合，只需要简单替换一下企业门户中的登录URL即可实现。许多企业已经部署了单点登录服务器，我们的SSL VPN也能够很好融合。用户通过企业门户登录SSLVPN后，SSLVPN能够自动跳转Portal页面到企业的单点登录服务器页面，显示该用户的资源列表，同时在右下角显示一个SSLVPN小图标。14) 适应多种系统平台支持安卓、Windows Mobile系统的智能终端使用全网接入模式和web转发模式接入；支持苹果IOS系统的智能终端使用VRC模式和web转发模式接入；支持Windows 2000、XP、2003、20

21、08、Vista、Win7系统的PC接入；支持Linux系统的PC接入。15) 智能递推天融信VONE产品支持智能地推功能，只需要配置一个门户url，采用智能递推技术，即可自动将该门户url包含的子连接加入可以访问的资源列表，便于管理员管理使用。16) 智能压缩支持智能压缩功能，能够智能的根据当前数据的压缩比决定是否压缩，大大提高了应用的访问速度。17) 集群功能支持集群功能，能够使用多台VONE网关组成一个集群系统，大大提高了VPN网关的整体性能和可靠性，能够满足大并发用户数的需求。18) 集成功能强大的防火墙功能天融信VPN产品集成了天融信强大的防火墙产品功能，能为用户的VPN网络提供高等

22、级的边界安全防护。天融信网络卫士防火墙产品所具有的专业防火墙功能在其VPN产品中同样具备，具体功能请参见网络卫士系列防火墙的产品说明。19) 符合国密局SSL VPN技术规范和IPSEC VPN技术规范天融信SSLVPN是严格按照国家密码管理局制定的SSL VPN技术规范进行开发的，通过了国家密码管理局商用密码检测中心的检测。天融信IPSEC VPN是严格按照国家密码管理局制定的IPSECVPN技术规范进行开发的，并通过了国家密码管理局商用密码检测中心的检测。天融信VPN产品支持国家密码管理局规定的SM1(SCB2)商用密码算法。3 产品主要功能类别功能详细描述网络适应性工作模式 支持透明、路

23、由、混合模式路由 支持静态路由、动态路由 支持基于源/目的地址、接口、Metric的策略路由 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能 支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能 支持RIP、OSPF等路由协议 支持多线路源路返回的智能选路 支持多线路捆绑和负载均衡组播 支持IGMP组播协议 支持IGMP SNOOPING 可有效地实现视频会议等多媒体应用VLAN 支持Vlan Trunk 支持802.1Q，能进行封装和解封 支持ISL，能进行ISL的封装和解封 在同一个Vlan内能进行二层交换生成树 支持802.1D生成树协议ARP 支持ARP代理、ARP学习

24、 可设置静态ARPDHCP 支持DHCP Client、DHCP Relay、DHCP Server接入 支持以太网、光纤、ADSL、DHCP等多种接入方式其它 支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间 支持IPX、NetBEUI等非IP 协议PKI证书格式 支持X.509 V3数字证书 支持DER/PEM/PKCS12等多种证书编码本地CA 支持内置CA，为其他设备或移动用户签发证书 可生成、吊销、删除证书 支持本地CA根证书、根私钥的更新 支持证书废弃，支持生成标准CRL列表 支持证书请求的生成，由第三方CA进行签名第三方CA 支持同时导入多个第三方CA的根证书

25、和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表 支持通过OCSP/LDAP等协议在线认证证书 支持证书链管理SSL VPN安全算法 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法 支持国家商密专用的SM1(SCB2)算法协议类型 支持SSL 2.0/3.0 TLS 1.0数据压缩 支持高效流压缩算法 支持智能压缩用户认证 支持“用户名口令”、“用户名口令图形认证码”认证 支持X.509数字证书认证 支持数字证书（USBKEY）+口令多因子认证 支持公共帐户登陆，支持临时禁止帐户登录 支持本地数据库认证 支持基于LDAP/RADIU

26、S/TACAS等协议的外部服务器认证 支持短信认证、图形码校验、硬件特征码校验用户授权 支持角色授权、支持独立用户授权 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中的字段属性组合授权应用支持 支持WEB转发、端口转发、全网接入模式 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等 支持Windows/CIFS远程文件共享 支持FTP的WEB化访问 支持资源自动

27、打开 支持资源连接隐藏 支持资源和特定应用程序关联实时监控 实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息 支持主动中断在线用户的隧道连接日志审计 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息 支持多级审计日志，可以灵活配置审计级别 支持日志本地保存，支持将日志上传到外部日志服务器 支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统计端点安全 支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹 支持拔KEY隧道自动中断 支持用户超时自动退出，超时时间可以设置集群 支持集群功能虚拟门户 支持虚拟门户功能，每个虚拟门

28、户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等与企业门户无缝融合 SSL VPN可以与企业门户无缝融合，即用户可以通过企业门户登录SSL VPN，并且SSL VPN能够自动跳转Portal页面到企业的某个网站Portal页面隐藏 在用户登录SSL VPN后不需要驻留Portal页面，可以隐藏，并在右下角缩成一个小图标，点击小图标还能恢复Portal页面客户端 支持Windows Mobile PDA客户端 支持安卓系统的智能终端 支持Linux系统的PC机 支持Windows 2000、XP、2003、2008、Vista、Win7

29、系统PC 支持独立客户端 支持用户设定代理服务器信息端口转发 支持TCP协议 支持UDP协议 支持智能递推单点登陆 支持HTTP401认证单点登录 支持用户修改单点登陆的账户信息 支持WEB方式的单点登录 支持密码助手方式的单点登录可信接入可信接入 支持接入主机的信息检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 支持可信接入分级授权 支持检查策略：接入前检查、接入后检查、定时检查等国际化语言支持 支持中、英文界面 支持中、英文自动切换 支持中、英文手动切换DDNSDDNS 支持DDNS动态域名注册 支持使用域名进行隧道定义及协商 支持使用域名向TP进行集中认证I

30、PSEC VPN协议 支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式算法 支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法 支持DH GROUP1/2/5，RSA 1024/2048非对称算法 支持国家商密专用的SSP02/SSF33/SM1(SCB2)算法硬件加速 支持高速算法加速卡数据压缩 支持高效数据流压缩算法隧道认证 支持预共享密钥、数字证书认证，支持扩展认证 支持使用标准的X.509证书建立隧道网络适应性 支持网状、树型、星型等多种VPN网络拓扑 支持隧道的NAT穿越、双向NAT隧道建立 支持全动态IP地址间的VPN组

31、网 支持隧道转发 支持隧道内的访问控制 支持GRE over IPsec方式 支持组播穿越IPSec隧道 支持多机多隧道的负载均衡和备份技术标准SSLVPN 符合国密局制定的SSL VPN技术规范IPSecVPN 符合国密局制定的IPSEC VPN技术规范L2TP VPNL2TP 支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络PPTP VPNPPTP 支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络防火墙内容过滤 支持URL过滤包过滤 基于状态检测的动态包过滤 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制 支持基于用户的PPTP的访问控制 支持报文合法性检查 动态端口支持协议：H.3