kl800.com省心范文网

SSLVPN解决方案


XXX 公司 VPN 系统解决方案

建议书

北京天融信公司 2014 年 6 月

VPN 组网方案建议书





第一章 XXX 公司网络现状及需求分析 .............................. 1
1.1 网络现状 ................................................................................................................................ 1 1.2 需求分析 ................................................................................................................................ 1

第二章 VPN 技术及天融信 VONE 产品 ................................... 2
2.1 VPN 产品概述 ........................................................................................................................ 2 2.1.1 安全接入的应用趋势 ............................................................................................. 2 2.1.2 安全接入的技术趋势 ............................................................................................. 2 2.1.3 天融信 VONE 产品介绍 ........................................................................................ 3 2.2 天融信 VONE 网关产品特点 ............................................................................................... 4 2.3 天融信 VONE 产品主要功能 ............................................................................................. 11 2.4 天融信 VONE 产品规格 ..................................................................................................... 19

第三章 XXX 公司 SSL VPN 接入解决方案 ............................... 20
3.1 VPN 解决方案 ...................................................................................................................... 20 3.2 本解决方案的主要特点 ...................................................................................................... 22

VPN 组网方案建议书

第一章 XXX 公司网络现状及需求分析
1.1 网络现状
XXX 公司企业业务网络系统由企业总部和远程移动用户组成。其中总部局域网络是整 个网络系统的核心,为企业各类服务器所在地,同时也是网络管理中心。各移动用户现在希 望通过 Internet 与总部进行安全通信,具体需求如下: 企业现在有一个内部业务应用系统(基于 B/S 或 C/S 架构) ,由于业务的扩展,有很多 业务人员在外办公,目前大概有 1000 名移动用户,为了能合理利用网络及内部资源,需提 供一个简单可行的远程接入方案, 把移动用户接入到内网, 同时对这些用户能有效进行管理。

1.2 需求分析
根据 XXX 公司现有的网络状况和业务情况,目前的需求分析如下: ? ? ? ? ? ? ? 内网业务系统基于 B/S 结构,业务模式简单; 移动办公人员众多,使用水平参差不齐; 对移动办公人员的身份要求进行严格认证和监控; 数据在 Internet 上传输时应保证足够的安全; 该系统扩展性好,为以后的扩充更多用户做好准备; 有良好的日志系统; 整个接入系统安装方便、快捷,便于维护和管理。

基于以上分析,这是一个典型的 VPN 的接入需求。天融信公司能提供基于 IPSec 和 SSL 的两种 VPN 解决方案,在本案中,用户的业务模式简单(仅基于 B/S 模式) ,用户 数量众多, 在此推荐采用 SSL 的解决方案。 以下我们将详细论述天融信 SSL VPN 解决方案。

1

VPN 组网方案建议书

第二章 VPN 技术及天融信 VONE 产品
2.1 VPN 产品概述 2.1.1 安全接入的应用趋势
随着电子政务和电子商务信息化建设的快速推进和发展, 越来越多的政府、 企事业部门 已经或即将构建网上办公系统和业务应用系统, 使内部办公人员通过网络可以迅速地获取信 息, 使移动办公等多种远程办公模式得以逐步实现, 同时使合作伙伴人员也能够访问到相应 的信息资源。可是要享受通过互联网访问企业内部的信息资源的便利,就面临着非法访问、 信息窃取等越来越多的来自外部和内部的安全威胁。 而我们目前所使用的操作系统、 网络协 议和应用系统不可避免地存在着不少的安全漏洞。因此,在构建和应用这些应用系统时,必 须要保障关键应用在开放网络环境中的安全,同时还需尽量降低实施和维护成本。

2.1.2 安全接入的技术趋势
目前安全接入组网技术有多种, 每种技术都有其适用范围和优点, 同时也有一定的缺点。 主流的VPN技术主要有以下三种: 1.L2TP/PPTP VPN L2TP/PPTP VPN属于二层VPN技术。在windows主流的操作系统中都集成的L2TP/PPTP VPN拨号客户端软件;但是由于协议自身的缺陷,没有高强度的加密和认证手段,安全性较 低;同时这种技术仅解决了移动用户的VPN访问需求,对于LAN-TO-LAN的VPN应用无法 解决; 2.IPSec VPN IPSec VPN 属于三层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和 私密性都有完善的保护措施;同时工作在网络协议的三层,对应用程序是透明的,能够无缝 支持各种应用;既能够支持移动用户的VPN应用,也能支持LAN-TO-LAN的VPN组网;支 持多种网络拓扑结构。 其缺点是网络协议比较复杂, 正确配置VPN隧道需要较多的专业知识; 而且需要在移动用户的机器上安装单独的客户端软件。 3.SSL VPN
2

VPN 组网方案建议书

SSL VPN属于应用层VPN技术, 协议定义了完整的安全机制, 对用户数据的完整性和私 密性都有完善的保护; 由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议, 因此原理上将对于B/S应用是无需安装客户端软件的,部署使用较为简单。主要适用与移动 用户接入并访问B/S结构的应用系统,对于C/S应用的支持仍然需要安装客户端的插件。 各种VPN技术都有其优点和缺点, 用户的实际应用中, 往往需要将这几种技术进行综合 应用,才能满足较为复杂的用户需求。天融信将这几种VPN技术有机的进行了整合,实现了 在一台设备中同时支持上述几种主流的VPN组网技术, 同时集成了业内成熟领先的防火墙和 身份认证系统,形成了一个完整的安全接入解决方案。

2.1.3 天融信 VONE 产品介绍
网络卫士VONE系列(IPSEC/SSL VPN多合一网关)是集天融信十几年研发经验,向用 户提供的完整VPN接入解决方案, 是天融信推出的最新一代网络安全接入产品。 该产品以天 融信自主知识产权的TOS(Topsec Operating System)为系统平台,采用开放性的系统架构 及模块化的设计,融合了身份认证、访问控制等安全手段,具有安全、高效、易于管理和扩 展等特点。 网络卫士VONE网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需 的应用和资源的安全便捷接入服务。产品的L2TP/PPTP/SSL功能无需安装任何客户端软件, 也无需投入太多人力进行配置或长期的维护; 产品完善的IPSEC VPN功能可以方便的构筑与 分支机构之间LAN-TO-LAN互联的VPN网络。 SSL VPN位于外部网络和内部网络之间, 利用安全套接层(SSL)来提供安全的传输功能, 而SSL在所有标准的Web浏览器中都具有的。SSL VPN构建在经过强化的软硬件平台上,实 现用户和资源的绑定。 天融信VONE网关可提供Web转发、 应用Web化、 端口转发和全网接入等多种接入方式, 以适应不同的用户需求, 同时还具备强大的访问控制权限管理、 细粒度的审计和日志记录等 功能。 网络卫士VONE网关包含完整的业界领先的专业防火墙功能,还具有内容过滤、入侵防 御、带宽管理等功能,能为用户提供全面的网络边界安全防护解决方案。

3

VPN 组网方案建议书

2.2 天融信 VONE 网关产品特点 1) 自主安全操作系统平台
采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS 拥 有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等 模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS 具有 高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

2) 多种 VPN 技术有机融合
前面已经分析了目前主流的各种 VPN 技术的优缺点, 这些技术有其不同的适用范围。 在实际的用户网络中,不同的用户需求往往需要多种 VPN 技术综合应用,在这种情况下 往往需要用户购买多台不同的 VPN 设备来满足需求,这既浪费资源又带来用户管理维护 的工作量, 同时网络环境变得更加复杂, 网络运行的稳定性和安全性都会面临新的挑战。 网络卫士 VONE 网关是天融信公司在多年各种独立的 VPN 产品研发和销售的基础上, 推出的一款融合 IPSEC/SSL/PPTP/L2TP 等多种 VPN 技术的综合安全网关产品。在 TOS 平 台强大的整合能力保障下,各种 VPN 模块进行了有机的整合,为用户提供一个统一完整 的 VPN 接入平台。

3) 安全接入与安全防护无缝结合
VPN 网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对 用户网络边界安全也是至关重要的。网络卫士 VONE 网关是构建在天融信强大的 TOS 系 统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的 VPN 网络提供 高等级的边界安全防护与访问控制。 天融信 VPN 网关具有强大的内容过滤功能,支持 URL 分类过滤,分类库大于 700 万 条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能, 用户可以轻松的针对一些典型网络应用, 如 MSN, QQ、 Skype、 新浪 UC、 阿里旺旺、 Google Talk 等即时通信应用,以及 BT、Edonkey、Emule、讯雷等 p2p 应用实行灵活的访问控 制策略,如禁止、限时、带宽控制等。

4

VPN 组网方案建议书

网络卫士 VONE 网关支持完善的基于完全内容检测的访问控制技术。防火墙检测技 术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来 的深度包检测 (Deep Packet Inspection) , 现在已经发展到了最新的完全内容检测 (CCI, Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数 据包内容进行检查,而 CCI 则可实时将网络层数据还原为完整的应用层对象(如文件、 网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。 网络卫士 VONE 网关在 MAC 层提供基于 MAC 地址的过滤控制能力,同时支持对各种 二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络 地址、网络协议以及 TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层 通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、 关键字、移动代码等实现内容安全控制;从而形成了立体的、全面的访问控制机制,实 现了全方位的安全控制。

4) 多种 SSLVPN 技术结合实现应用全覆盖
目前 SSLVPN 接入技术大致分为三类:WEB 转发(WEB FORWARD),端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS 或者称为 IP TUNNEL)。这三种技术的技术特 点和适用范围各不相同,在网络卫士 VONE 网关中对这三种 SSLVPN 接入技术都做了很好 的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。 WEB 转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器 平台。但其缺点是仅支持 B/S 模式的应用系统,而且对客户应用系统的依赖性较强。网 络卫士 VONE 网关通过在 WEB 转发模式中应用独创的智能 URL 重定向技术和自动分布式 页面重构技术大大提高了对用户 B/S 系统的支持率和处理性能。同时通过开放的页面替 换规则框架,支持为用户个性化的业务系统自定义特殊的 URL 替换规则,进一步提高了 系统的适应性。 端口转发模式通过客户端本地代理技术实现对用户访问请求的 SSL 协议封装和转 发。这种模式的适应性比 WEB 转发要好,但其要求在客户端安装一个 ACTIVEX 控件。网 络卫士 VONE 网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代 理控件的安装和使用,大大简化了用户操作步骤。

5

VPN 组网方案建议书

全网接入模式通过 SSL 隧道转发客户端所有的 IP 请求报文,其适应性最好,能够 支持基于 IP 协议的所有 B/S 和 C/S 业务系统,其同样要求在客户端系统上安装一个 ACTIVEX 的控件。网络卫士 VONE 网关通过全网接入模式能够实现移动用户的虚拟 IP 地 址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLIT TUNNEL 即可 以同时访问 VPN 和因特网)或完全隧道(FULL TUNNEL 即只能访问 VPN 不能访问因特网) 的方式接入 VPN 网络,大大提高了远程接入的安全性和灵活性。

5) 支持虚拟桌面/虚拟应用
天融信公司的 TopConnect 客户端产品,即支持虚拟桌面模式,也支持虚拟应用模 式。通过这两种不同的使用模式,企业用户可以限制不同的用户使用不同的模式,即保 证用户敏感数据的安全,又能减少网络管理的维护量,降低企业内部应用维护的人力物 力成本。 针对业务应用丰富,使用环境单一的用户,或需要对智能移动终端进行管理和维护 人员,可使用虚拟桌面模式。在这种模式下,服务器直接将服务器端的个性化桌面展现 给用户。与传统的 PC 机相比较,除显示屏幕面积外,其余使用和操作没有任何差异。 而对于业务应用单一,使用环境复杂,或不能开发较多权限的用户,可使用虚拟应 用模式。 在这种模式下, 服务器只将特定的应用界面推送给用户。 除授权使用的应用外, 用户无法使用其它任何应用,更无法对服务器进行修改和配置。

6) 完善的身份认证技术
网络卫士 VONE 网关为通过 SSL 隧道接入的用户提供了完整的身份认证手段。如果 移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方 式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以采用“用户 名+口令+图形认证码”的方式对移动用户进行身份认证;对于需要强身份认证机制的 用户,管理员可以采用“数字证书”的认证方式,通过高强度的密码运算来保证用户身 份标识不会受到“字典攻击”等暴力攻击的威胁;还可以通过“数字证书(USBKEY)+ 口令” 的双因子认证方式来确保移动用户的证书不会被盗用, 进一步加强认证的安全性。 网络卫士 VONE 网关还支持短信认证、图形码校验、硬件特征码校验。支持基于 web 协议的认证方式,可以和业务资源的帐号系统使用一套,避免了在 VONE 上再次建立帐

6

VPN 组网方案建议书

号,能够统一管理帐号,增强了易用性。支持指纹认证,可以基于指纹信息进行认证。 VONE 网关还支持多种认证方式的任意组合,为用户提供最强的安全接入机制。 网络卫士 VONE 网关还支持通过 RADIUS/TARCAS/LDAP 等标准协议与外部专用的用户 身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。 这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和 认证,又可以充分利用用户已有的资源。

7) 多级用户授权机制和授权组合
授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制, 是保护内网资源安全的主要技术手段。网络卫士 VONE 网关采用多级授权机制和用户授 权继承的策略,满足各种用户授权需求。支持整体授权、条件授权、属性授权。支持基 于证书的属性字段的授权,支持基于外部属性(LDAP 或 Radius 下发的属性值)的授权, 也支持多条授权策略的组合。 在用户授权的粒度上, 网络卫士 VONE 网关支持基于 URL/目录/文件等访问内容的控 制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分 满足管理员的各种用户授权需求。

8) 完善的 PKI 体系提高用户网络的安全等级
随着 VPN 技术在政府、金融等高安全性要求领域的应用不断深入,用户对 VPN 网络 的认证功能与其原有的 PKI 体系进行无缝结合的需求也越来越强烈。网络卫士多合一 VPN 产品全面支持标准 PKI 体系结构, 既能够通过内置的 CA 模块独立为移动用户签发数 字证书,又能够通过导入 CA 根证书+CRL 列表方式对第三方 CA 签发的证书进行认证, 同时还能够通过 OCSP/LDAP 等标准协议向第三方 CA 提交在线证书认证请求。 具体的 PKI 功能包括: ? ? ? ? ? 支持标准 X509.V3 格式数字证书; 支持 DER、PEM、PKCS12 等多种证书编码格式; 支持通过内置 CA 模块为用户签发标准数字证书; 支持同时导入多个 CA 根证书和 CRL 列表,对不同 CA 签发证书进行认证; 支持通过 OCSP/LDAP 等标准协议向第三方 CA 进行在线证书认证;

7

VPN 组网方案建议书

? ?

支持生成 PKCS10 格式的证书请求,可生成证书请求,由第三方 CA 签名; 支持 CRL 列表文件的导入和通过 HTTP 自动下载。 天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要 CA 厂商有着长

期的合作,网络卫士 VONE 网关与这些厂商的 CA 系统均能够无缝集成。

9) 卓越的网络及应用环境适应能力
网络卫士 VONE 网关构建于强大的 TOS 系统平台之上,天融信在网络与信息安全领 域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。其支持 众多网络通信协议和应用协议,如 VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、 H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC 等等,适用网络的范围非常广泛,充分保 证了用户的网络的可用性。 同时,针对国内用户动态 IP 地址较多的现状,网络卫士 VPN 网关整合了天融信公 司独立维护的 EZVPN 动态域名系统,为天融信 VPN 用户提供专用的动态地址域名解析服 务,从而很好地解决了动态地址的 VPN 接入问题。

10) 分级可信接入体系
天融信 VPN 网关还可对可信接入安全性检查结果进行分级,不同的级别可以授予不 同的权限,对不满足安全要求的主机或终端,可以根据其缺陷程度分别实行隔离、修复 和限制访问。对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只 授予与其安全等级匹配的普通权限。这样既可以防止不安全的用户主机感染内部关键服 务器,又可以保留其浏览公司普通 Web 服务器的权限,实现桌面的安全等级与访问资源 的安全级别相匹配和访问权限的分级。

11) 支持虚拟门户功能
SSL VPN 提供了虚拟门户功能,从而使得企业及部门都可拥有自己独立的远程接入 门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功 能模块、定制不同的认证方式、定制不同的公告信息等。

12) 分级管理和三权分立

8

VPN 组网方案建议书

天融信的 VPN 网关支持将管理员进行分级分组,一级管理员可以创建若干二级管理 员,并给其进行授权,分配二级管理员可以管理的用户组,可以使用的资源组,可以使 用的角色, 是否可以创建下级管理员等。 二级管理员在其权限允许的范围内行使其权限, 如添加、修改、删除用户,在权限范围内给用户授权,创建三级管理员,给三级管理员 授权等。天融信 VPN 网关最多可以支持 16 级的管理员分级管理,便于大型组织客户将 管理权限下放,并可以根据需要授予不同的管理员不同权限。支持管理员的三权分立, 可分别授予不同类型的管理员不同的权限。

13) 支持多种单点登录方式
支持多种单点登录方式,支持 HTTP401 方式、密码助手、WEB 方式的单点登录,用 户只需要进行一次认证即可访问所有授权的业务资源,大大提高了系统的易用性。

14) 与企业门户无缝融合
许多大型企业已经拥有了自己的企业门户,我们的 SSL VPN 可以与用户的企业门户 无缝融合,只需要简单替换一下企业门户中的登录 URL 即可实现。许多企业已经部署了 单点登录服务器,我们的 SSL VPN 也能够很好融合。用户通过企业门户登录 SSLVPN 后, SSLVPN 能够自动跳转 Portal 页面到企业的单点登录服务器页面,显示该用户的资源列 表,同时在右下角显示一个 SSLVPN 小图标。

15) 适应多种终端和系统平台
目前移动互联已成为新的应用趋势, 天融信 VONE 针对移动终端提供了多种安全接 入技术,能方便的实现通过智能终端移动办公。支持虚拟桌面和虚拟应用的虚拟化接入 技术,具有终端与后台业务数据分离和应用无关性的技术特点,能很好的解决移动终端 接入所面临的数据安全性和应用适应性问题。 天融信 TopConnect 客户端是专门为智能移动终端提供安全接入的 SSL 客户端产品, 不但支持传统的 Windows/Linux 操作系统,还支持 iOS、Android 等移动操作系统,未 来还将支持 WP8。丰富的操作系统平台支持,意味着用户可以自由的选择终端产品,无 需受限于某个特定的应用范围。

9

VPN 组网方案建议书

对于 iOS、 Andriod 智能终端支持 SSL 的虚拟桌面接入, 其中 iOS 还支持 IPSEC “零 安装”接入;对于 Android、Windows Mobile 系统的智能终端,还支持使用全网接入模 式接入;对于 PC 系统,支持 Windows 2000、XP、2003、2008、Vista、Win7、Linux 系 统的接入。

16) 智能递推
天融信 VONE 产品支持智能递推功能, 只需要配置一个门户 url, 采用智能递推技术, 即可自动将该门户 url 包含的子连接加入可以访问的资源列表, 降低了管理配置工作量。

17) 智能压缩
支持数据智能压缩功能,能够智能的根据当前传输数据的压缩比决定是否启用压 缩,大大提高了传输的效率和应用的访问速度。

18) VPN 集群功能
支持集群功能,能够使用多台 VONE 网关组成一个集群系统,大大提高了 VPN 网关 的整体性能和可靠性,能够满足大并发用户数的需求。 天融信 VPN 采用基于 TOS 系统的智能集群技术。它的基本工作模式是多台 VPN 网关 并行工作,都处于正常的数据转发状态,对外提供统一接入 IP,多台 VPN 网关之间相互 备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不 间断。天融信 VPN 支持最多 256 台设备的集群和多种集群负载均衡策略;支持通过心跳 口进行状态和 Session 同步,网关切换时无需用户二次认证。

19) 符合国密局《SSL VPN 技术规范》和《IPSEC VPN 技术规范》
天融信 SSLVPN 是严格按照国家密码管理局制定的 《SSL VPN 技术规范》 和 《IPSECVPN 技术规范》进行开发的,并通过了国家密码管理局商用密码检测中心的检测,支持国家 密码管理局规定的 SM1(SCB2)、SM2、SM3 商用密码算法。

10

VPN 组网方案建议书

2.3 天融信 VONE 产品主要功能
类别 功能 工作模式
? ? ? ? 路由 ? ? ? ? ? 组播 ? ? ? ? VLAN ? ? ? 生成树 ARP DHCP 接入 其它 ? ? ? ? ? ? ? 支持透明、路由、混合模式 支持静态路由、动态路由 支持基于源/目的地址、接口、Metric 的策略路由 支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能 支持 Vlan 路由,能够在不同的 VLAN 虚接口间实现路由功能 支持 RIP、OSPF 等路由协议 支持多线路源路返回的智能选路 支持多线路捆绑和负载均衡 支持 IGMP 组播协议 支持 IGMP SNOOPING 可有效地实现视频会议等多媒体应用 支持 Vlan Trunk 支持 802.1Q,能进行封装和解封 支持 ISL,能进行 ISL 的封装和解封 在同一个 Vlan 内能进行二层交换 支持 QinQ 技术(vlan-vpn),对报文进行二次基于 802.1Q 封装 支持 802.1D 生成树协议 支持 ARP 代理、ARP 学习 可设置静态 ARP 支持 DHCP Client、DHCP Relay、DHCP Server 支持以太网、光纤、ADSL、DHCP 等多种接入方式 支持网络时钟协议 SNTP,可自动根据 NTP 服务器的时钟调整本机时间 支持 IPX、NetBEUI 等非 IP 协议 支持 X.509 V3 数字证书 支持 DER/PEM/PKCS12 等多种证书编码 支持内置 CA,为其他设备或移动用户签发证书 可生成、吊销、删除证书 支持本地 CA 根证书、根私钥的更新 支持证书废弃,支持生成标准 CRL 列表 支持证书请求的生成,由第三方 CA 进行签名 支持证书链管理 内置支持 SM2 算法的 CA

详细描述

网络 适应性

证书格式

? ? ? ? ?

PKI

本地 CA

? ? ? ?

第三方 CA

? 支持同时导入多个第三方 CA 的根证书和 CRL 列表,对不同 CA 证书用 户进行身份认证,支持通过 HTTP 协议定时下载 CRL 列表 ? 支持通过 OCSP/LDAP 等协议在线认证证书

11

VPN 组网方案建议书

类别

功能 安全算法 协议类型 数据压缩 与加速
? ? ? ? ? ? ? ? ?

详细描述
支持 AES、DES、3DES、RC4、MD5、SHA1、RSA 等多种算法 支持国家商密专用的 SM1(SCB2)、SM2、SM3 算法 支持 SSL 2.0/3.0 TLS 1.0 支持高效流压缩算法 支持智能压缩 支持 WebCache 加速 支持“用户名+口令”、“用户名+口令+图形认证码”认证 支持 X.509 数字证书认证 支持数字证书(USBKEY)+口令多因子认证 支持公共帐户登陆,支持临时禁止帐户登录 支持本地数据库认证 支持基于 LDAP/RADIUS/TACAS 等协议的外部服务器认证 支持短信认证、图形码校验、硬件特征码校验 支持角色授权、支持独立用户授权 支持基于 URL、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中的字段属性组合授权 支持 WEB 转发、端口转发、全网接入模式

用户认证

? ? ? ? ? ?

用户授权 SSL VPN

? ? ? ?

? 支持 HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies 等各种 Web 应用 ? 支持基于 IP 协议的各种 C/S 应用,如 EMAIL,FTP,ERP,CRM,DB 等 支持 Windows/CIFS 远程文件共享 支持 FTP 的 WEB 化访问 支持资源自动打开 支持资源连接隐藏 支持资源和特定应用程序关联 实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种信 支持主动中断在线用户的隧道连接 详细审计用户登录认证过程、 各种认证授权错误、 内网资源访问情况等信 支持多级审计日志,可以灵活配置审计级别 支持日志本地保存,支持将日志上传到外部日志服务器 支持天融信专用的 TA-L 日志服务器, 可以对日志内容进行深度分析和统

应用支持

? ? ? ? ?

实时监控

? 息 ? ? 息

日志审计

? ? ? 计

12

VPN 组网方案建议书

类别

功能

详细描述
? 支持接入客户端痕迹清除,能够清楚 cookie、缓存、历史记录等各种访问 痕迹 ? ? 支持拔 KEY 隧道自动中断 支持用户超时自动退出,超时时间可以设置

端点安全

虚拟门户 与企业门 户无缝融 合 集群 Portal 页面 隐藏

? 支持虚拟门户功能, 每个虚拟门户都可以定制不同的登录界面、 定制是否 使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信 息等 ? SSL VPN 可以与企业门户无缝融合,即用户可以通过企业门户登录 SSL VPN,并且 SSL VPN 能够自动跳转 Portal 页面到企业的某个网站 ? 支持集群功能

? 在用户登录 SSL VPN 后不需要驻留 Portal 页面,可以隐藏,并在右下角 缩成一个小图标,点击小图标还能恢复 Portal 页面 ? ? 支持 Windows Mobile PDA 客户端 支持安卓系统的智能终端 支持 Linux 系统的 PC 机 支持 Windows 2000、XP、2003、2008、Vista、Win7 系统 PC 支持独立客户端 支持用户设定代理服务器信息 支持 TCP 协议 支持 UDP 协议 支持智能递推 支持 HTTP401 认证单点登录 支持用户修改单点登陆的账户信息 支持 WEB 方式的单点登录 支持密码助手方式的单点登录

客户端

? ? ? ? ?

端口转发

? ? ?

单点登陆

? ? ?

可信接入

可信接入

? 支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、 操作系统及补丁、文件、网卡等 ? ? ? 支持可信接入分级授权 支持检查策略:接入前检查、接入后检查、定时检查等 支持中、英文界面 支持中、英文自动切换 支持中、英文手动切换 支持 DDNS 动态域名注册 支持使用域名进行隧道定义及协商 支持使用域名向 TP 进行集中认证 支持 ESP/AH/IKE/NATT 等标准 IPSEC 协议 支持隧道模式、传输模式

国际化

语言支持

? ? ?

DDNS

DDNS

? ?

IPSEC

协议

? ?

13

VPN 组网方案建议书

类别 VPN

功能
? 法 ? ?

详细描述
支持 DES/3DES/AES 等标准加密算法, 支持 MD5/SHA1 等标准 HASH 算 支持 DH GROUP1/2/5,RSA 1024/2048 非对称算法 支持国家商密专用 SSP02/SSF33/SM1(SCB2)/SM2/SM3 算法 支持高速算法加速卡 支持高效数据流压缩算法 支持预共享密钥、数字证书认证,支持 XAuth 扩展认证 支持使用标准的 X.509 证书建立隧道 支持网状、树型、星型等多种 VPN 网络拓扑 支持隧道的 NAT 穿越、双向 NAT 隧道建立 支持全动态 IP 地址间的 VPN 组网 支持隧道转发 支持 GRE over IPsec 方式 支持组播穿越 IPSec 隧道 支持多机多隧道的负载均衡和备份 支持第三方标准 IPSec 客户端接入 支持苹果终端 IPSEC VPN 客户端接入 支持为移动用户自动分配内部 IP 地址、DNS/WINS 服务器地址 支持为移动用户定义访问权限 支持基于时间的移动用户访问控制策略 支持两网分离 支持多线路自动检测 支持用户在线修改口令 支持移动用户接入状态的监控和审计 支持中/英文界面和中/英文自动切换 符合国密局制定的《SSL VPN 技术规范》 符合国密局制定的《IPSEC VPN 技术规范》 支持远程用户通过 L2TP 接入,建立 L2TP 隧道访问内部网络 支持远程用户通过 PPTP 接入,建立 PPTP 隧道访问内部网络

算法

硬件加速 数据压缩 隧道认证

? ? ? ? ? ?

网络 适应性

? ? ? ? ? ? ? ? ?

VPN 客户端

? ? ? ? ? ?

技术标准 L2TP PPTP

SSLVPN IPSecVPN L2TP PPTP

? ? ? ?

14

VPN 组网方案建议书

类别

功能
? ? ? ? ? ? *内容过滤 ? ? ? ? ? ?

详细描述
完全内容检测(Complete Content Inspection)技术 支持基于流、数据包、透明代理的过滤方式 支持对 HTTP、SMTP、POP3、IMAP、FTP 等协议的深度内容过滤 支持 DNS 过滤、DNS 中继 支持 web 重定向 支持 URL 分类过滤,分类库大于 700 万 支持挂马网站过滤 支持对移动代码如 Java applet、Active-X、VBScript、Java script 的过滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 支持反垃圾邮件功能 支持 Telnet、Ftp、RSH 命令过滤

? 可屏蔽受保护主机/服务器系统信息, 如替换服务器 (FTP、 SMTP、 POP3、 Telnet、HTTP)的 BANNER 信息

网络 安全性

?

基于状态检测的动态包过滤

? 基于源/目的 IP 地址、MAC 地址、端口和协议、时间、用户、角色的访 问控制 ? ? ? 访问控制 ? 支持基于用户的 PPTP 的访问控制 支持隧道内的访问控制 支持 IPSec 客户端与 SSL 全网模式与 FW 联动 支持报文合法性检查

? 动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、 TFTP、PPTP ? ? ? ? ? ? NAT ? ? ? 访问控制策略分组管理 支持大数量级的策略匹配加速算法 支持对象的每秒新建连接数限制 基于域名对象的访问控制 可实现 IP/MAC 绑定 支持双向 NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能

15

VPN 组网方案建议书

类别

功能
?

详细描述
支持近百种应用程序库的过滤,包括 P2P、IM、炒股、网游等

? 支持 MSN、QQ、Skype 等 Instant Messenger 通信,并可以对于这些应用 进行登陆限制和帐号过滤 ? ? *应用识别 ? ? ? ? ? ? ? *防病毒 ? ? 支持 MSN 在线用户显示 可限制 BT、eMule、eDonkey、迅雷等 P2P 应用 支持基于应用的流量统计 支持基于应用的流量排名 支持基于应用的历史流量趋势图 支持基于主机的应用流量统计 支持流量异常检测 深度流量过滤(DFI),针对 P2P 行为的识别控制 支持 HTTP,FTP,POP3,SMTP,IMAP 协议的病毒查杀 支持 100 万余种病毒的查杀,病毒库定期与及时更新 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀

? 非法报文攻击: land 、 Smurf、 Pingofdeath、 winnuke 、 tcp_sscan、 ip_option、 teardrop、targa3、ipspoof ? ? 统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep 支持地址对象源目的最大连接数限制

? Topsec 联动:可与支持 TOPSEC 协议的 IDS 设备联动,以提高入侵检测 效率 *防御攻击 ? ? ? ? ? ? 端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置 SYN 代理:对来自定义区域的 Syn Flood 攻击行为进行阻断过滤 CC 攻击:可通过设置端口和阀值阻断 CC 攻击 可记录攻击日志和报警 支持手动设置和根据 IDS 规则自动生成黑名单 支持手动设置和根据可信连接达到一定规模后升级为白名单用户

16

VPN 组网方案建议书

类别

功能

详细描述
? 支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等 常用的安全认证方式 ? ? ? ? ? 支持统一用户管理,IPSEC 与 SSL 使用同一套用户认证、管理系统 支持口令复杂度设置 支持多点登录地点数设置 支持登录时间、登录地址范围控制 支持密码找回功能 支持首次登录修改口令

用户认证

?

? 支持使用第三方认证,如 RADIUS、TACACS/TACACS+、LDAP、域认 证等安全认证方式 ? ? ? ? ? ? 支持短信、动态令牌、硬件特征码认证 支持 Session 认证、HTTP 会话认证 支持 WEB 认证和指纹认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 可为用户管理员分配不同的权限,管理不同的用户信息 用户管理员没有系统配置的权限 不同的用户管理员之间不交叉 支持多达 16 级的分级管理 支持管理员的三权分立 支持 Welf、Syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能

安全管理
分级管理

? ? ? ? ? ? ? 日志 ? ?

? TA-L 除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系 统和其他安全产品的日志进行联合分析 ? 监控 可对日志进行加密传输

? 支持网络接口、CPU 利用率、内存使用率、操作系统状况、网络状况、 硬件系统、进程、进程内存、加密卡状况的监测 ? 可根据配置文件进行错误恢复

报警

? 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、 “容错”、“测试”等多种触发报警的事件类 ? ? 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式 QOS 带宽管理 根据 IP、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理 支持 8 级优先级控制

QoS

? ? ?

带宽管理

流量整形

优先级

?

17

VPN 组网方案建议书

类别

功能
? 双机热备 ? ? ?

详细描述
支持双机热备(Active-Standby)模式 支持负载均衡(Active-Active)模式 支持连接保护(Session Protect)模式 支持系统故障自动切换和抢占功能 支持链路备份功能

高可用性
其它功能

?

? 支持服务器的负载均衡, 提供轮询、 加权轮询、 最少连接、 加权最少连接、 源/目的地址 HASH 等多种负载均衡方式 ? ? ? 支持双系统引导 支持 Watchdog 功能 支持 WEB 图形配置、命令行配置 支持本地配置、远程配置 支持基于 SSH、SSL 的安全配置 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 支持 SNMP MIB 扩展 支持 SNMP 查询、SNMP Trap 与当前通用的网络管理平台兼容,如 HP Openview 等 支持双系统升级 支持远程维护和系统升级 支持 TFTP 升级

配置方式

? ? ?

命令行

? ? ?

配置管理

SNMP

? ? ? ?

系统升级

? ?

报文调试

? 提供强大的报文调试功能, 可以帮助网络管理员或安全管理员发现、 调试 和解决问题 ? 支持发送虚拟报文 可以进行配置文件的备份、下载、删除、恢复和上载

配置恢复

?

18

VPN 组网方案建议书

2.4 天融信 VONE 产品规格

产品型号 2U 机架式结构; TV-61830-VONE

硬件说明 最 大 配 置 为 26 个 接 口 , 包 括 3 个 扩 展 槽 位 和 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口),可扩展万兆 接口;标配双电源 2U 机架式结构; 最 大 配 置 为 26 个 接 口 , 包 括 3 个 扩 展 槽 位 和 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口); 标配双电源 2U 机架式结构; 最 大 配 置 为 26 个 接 口 , 包 括 3 个 扩 展 槽 位 和 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口); 标配双电源 2U 机架式结构; 最 大 配 置 为 26 个 接 口 , 包 括 3 个 扩 展 槽 位 和 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口); 单电源,可扩展为双电源 1U 机架式结构; 最 大 配 置 为 26 个 接 口 , 包 括 3 个 扩 展 槽 和 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口) 1U 机架式结构; 最 大 配 置 为 26 个 接 口 , 包 括 3 个 扩 展 槽 和 2 个 10/100/1000BASE-T 接口(作为 HA 口和管理口) 2U 机 架 式 结 构 ; 最 大 配 置 为 12 个 接 口 , 标 配 4 个 10/100/1000Base-T 接口,1 个扩展槽; 标配双电源 1U 机 架 式 结 构 ; 最 大 配 置 为 12 个 接 口 , 标 配 4 个 10/100/1000Base-T 接口,1 个扩展槽 1U 机 架 式 结 构 ; 最 大 配 置 为 12 个 接 口 , 标 配 4 个 10/100/1000Base-T 接口,1 个扩展槽 1U 机架式结构;10 个 10/100/1000Base-T 接口 1U 机架式结构; 配置为 6 个 10/100/1000BASE-T 接口 1U 机架式结构; 配置为 4 个 10/100/1000BASE-T 接口 桌面型结构; 4 个 10/100/1000MBase-T 端口

TV-61530-VONE

TV-61330-VONE

TV-61331-VONE

TV-61230-VONE

TV-61030-VONE

TV-61614-VONE

TV-61214-VONE

TV-61114-VONE

TV-41710-VONE

TV-41706-VONE

TV-41604-VONE

TV-21604-VONE

19

VPN 组网方案建议书

第三章 XXX 公司 SSL VPN 接入解决方案
根据 XXX 公司移动用户接入实际情况,我们采用天融信 SSL VPN 系列产品提供整体 网络安全互联解决方案,解决其所面临的网络互访、传输保密、用户认证、安全防护、网络 访问控制等问题。

3.1 VPN 解决方案
VPN 配置方案如下描述: 1. 在总部 Internet 出口处安装天融信 TV-6830-VONE 安全网关,其接入方式为采用路由 模式。另外,还可以在 SSL VPN 网关上开启防火墙、入侵检测和防御、内容过滤、带 宽管理等安全功能,根据实际需要设置各个功能模块的具体安全防护策略,以确保中 心本地网络免受各种外来威胁。 天融信 TV-6830-VONE 网关最大可支持 10000 并发用户, 完全满足目前应用及以后扩展的需求; 2. 在网关上根据不同用户的划分可以对用户进行角色和组的权限设定,这种设定可以细 致的划分每一个用户的访问权限,即可指定某用户在指定时间访问指定服务器的指定 端口,从而保证了内网服务器的安全性;同时,为了保护内网服务器的安全,管理员 还可以指定用户必须安装指定的安全防护软件才能访问内网服务器,这样进一步对内 网进行防护; 3. 移动用户要访问内网服务器时,仅需打开浏览器,输入公开的服务器地址及自己的用 户名口令(或者直接用证书的形式访问,免除输入用户名口令的麻烦) ,即可访问授权 的内部资源,由于各种访问资源的权限已经由管理员设定好,用户可以直接点击资源 连接进行访问; 4. 对于管理员的操作及用户的访问,天融信 VPN 网关提供详细的日志查询功能(包括管 理员、用户及服务器) ,可以很容易的看到各种状态。还可以在线管理(禁用,踢下线) 用户,日志为标准 Syslog 格式,可导入其他日志查看器查看。 5. 使用天融信 SSL VPN 实现的远程接入如下图所示:

20

VPN 组网方案建议书

图4.1

XXX公司SSL VPN网络结构

通过部署天融信 SSL VPN 设备组建的企业移动办公网络,网络结构简单,维护成本低, 用户只需使用浏览器就可以做到安全的连接网络, 并能针对不同的用户, 给予不同的应用权 限。因此通过天融信 SSL VPN 很好的解决了“随时随地”的网络资源安全共享的需求。

21

VPN 组网方案建议书

3.2 本解决方案的主要特点
? ? 设计全面:全面的安全防护解决方案,帮助用户打造高效率和高安全性的网络平台; 功能强大: 同时提供防火墙、VPN、入侵防御、内容过滤、 流量管理及安全审计等功能, 从而构建主动防御、多层次防御的企业安全保障体系,从容应对各种外来威胁; ? 整体协防:各防御模块之间相互协同工作,全面提升系统的整体安全水平,缔造更可信 的网络; ? ? ? ? ? 健壮性:VONE 设备基于专用安全操作系统,具有良好的自身安全性; 透明性:现有业务系统和网络结构无须做任何调整或只需做少量改动; 适应性:能很好适应系统网络结构的调整和发展; 互通性:VONE 内置的 Ipsec 功能可与采用国际标准 Ipsec 的设备之间互通互联; 高性能:开启各项安全功能后,天融信 VONE 网关的处理性能和数据转发速率仍能够 保持高水准,完全能够满足互联网出口的接入速率,不会成为传输瓶颈; ? ? 便于实施:安装、维护简单快速,可随时进行而不影响正常业务; 低成本:一机多能,大大降低了安全产品的采购、部署和运营成本,使用户获得最大的 投资回报; ? 扩展性:天融信 VONE 网关产品采用模块化设计,具有极强的扩展性,可以随着用户 网络的扩展平滑升级。

22


赞助商链接

SSL VPN实施方案模板

SSL VPN实施方案模板_解决方案_计划/解决方案_应用文书 暂无评价|0人阅读|0次下载|举报文档 SSL VPN实施方案模板_解决方案_计划/解决方案_应用文书。XXX 项目 ...

SSL VPN解决方案

CYLAN SSL 解决方案 CYLAN SSL VPN 解决方案 第 1 页共 10 页 CYLAN SSL 解决方案 一、 公司简介 二、荣誉及资质 三、项目背景以 Internet 为代表的全球性...

深信服VPN技术方案_图文

科技版权所有 www.sangfor.com.cn 1 SANGFOR SSL VPN V6.1 方案 文档密级:公开 1.2.1安全性问题结合客户的网络状况,我们看到有以下几个方面的问题亟需解决。...

Citrix SSL VPN解决方案

Citrix SSL VPN解决方案_IT/计算机_专业资料。Citrix SSL VPN解决方案Citrix Systems Application Networking Group Citrix Access Gateway 企业版解 决方案 V1.0 思...

SSL VPN解决方案技术介绍

SSL VPN解决方案技术介绍_互联网_IT/计算机_专业资料。SSL VPN解决方案技术介绍 1、SSLVPN 技术概述 SSLVPN 的出现是为了解决 IPSecVPN 的固有缺点而出现的,SSL...

移动办公SSL+VPN远程接入解决方案

21 2 移动办公 SSL VPN 远程接入解决方案 一、 需求概述为提高企业的工作效率、 增强企业的竞争力以及降低不必要的运营成本, 运营商需要建 设一个基于 Internet ...

VPN接入解决方案_图文

第一章 SSL VPN 接入解决方案根据***移动用户接入实际情况,我们采用华盾 SSL VPN 系列产品提供整体网络安 全互联解决方案,解决其所面临的网络互访、传输保密、用户...

SSL-VPN负载均衡解决方案

(F5、WatchGuard、Netscreen 中国区总代,技术支持中心) 第三章 SSL-VPN 负载均衡解决方案 3.1 网络拓补图 地址:广州市天河区天河北路 900-906 号高科大厦 A ...

ssl-vpn解决方案

ssl-vpn解决方案_IT/计算机_专业资料。Juniper_ssl-vpn解决方案Juniper 远程访问解决方案 Juniper 远程安全访问解决方案 Juniper Networks, Inc. 第 1 页 Juniper Ne...

SSL VPN远程连接解决方案

SSL VPN远程连接解决方案_IT/计算机_专业资料。VPN 进程接入系统方案 大连经济技术开发区迅达网络工程有限公司 2011-11 VPN 远程接入解决方案 大连迅达网络 一、项目...