天融信VPN組網(wǎng)解決方案

1、天融信VPN組網(wǎng)解決方案XXXXVPN系統(tǒng)解決方案北京天融信科技有限公司2022年4月VPN組網(wǎng)方案建議書目錄第一章XXXX網(wǎng)絡(luò)現(xiàn)狀及需求分析41.1網(wǎng)絡(luò)現(xiàn)狀41.2現(xiàn)有組網(wǎng)方式的缺陷445551.2.1訪問沒有保護(hù)122無法運(yùn)行內(nèi)部管理軟件123增值服務(wù)無法實(shí)施1.2.4網(wǎng)絡(luò)管理混亂13需求分析TOC o 1-5 h z第二章VPN技術(shù)及天融信VPN產(chǎn)品72.1VPN基本概念722VPN的基本技術(shù)823般VPN解決方案所面臨的幾個(gè)問題.1024天融信VPN產(chǎn)品及其典型解決方案15241天融信VPN硬件安全網(wǎng)關(guān)15242天融信VPN客戶端232.4.3天融信VPN安全策略管理平臺(tái)252.5天融

2、信VPN產(chǎn)品的主要特點(diǎn)412.5.1支持國密局IPSecVPN技術(shù)規(guī)范412.5.2全面支持IPSec協(xié)議標(biāo)準(zhǔn).422.5.3CleanVPN.432.5.4完善的PKI體系提高用戶網(wǎng)絡(luò)安全等級(jí)432.5.5支持全動(dòng)態(tài)IP地址間建VPN隧道442.5.6NAT自動(dòng)穿越.452.5.7隧道路由技術(shù)實(shí)現(xiàn)VPN靈活自動(dòng)部署.462.5.8完善的VPN網(wǎng)絡(luò)集中管理功能472.5.9支持組播穿越隧道482.5.10多機(jī)多線路負(fù)載均衡與備份.482.5.11支持靈活的移動(dòng)用戶接入策略.492.5.12豐富多樣的認(rèn)證與授權(quán)492.5.13分級(jí)可信接入體系.502.5.14簡(jiǎn)單易用的無驅(qū)客戶端.512.5.1

3、5iOS零安裝.512.5.16集成功能強(qiáng)大的防火墻功能.522.5.17集成強(qiáng)大的網(wǎng)絡(luò)附加功能.53第三章XXXX網(wǎng)絡(luò)系統(tǒng)互聯(lián)VPN解決方案.543.1VPN解決方案.543.2配置及功能說明.573.2.1天融信安全策略管理平臺(tái).573.2.2天融信VPN硬件安全網(wǎng)關(guān).57TOC o 1-5 h z3.2.3天融信VPN客戶端583.3通信過程分析5834安全性分析5835密鑰管理593.6本解決方案的主要特點(diǎn)59VPN組網(wǎng)方案建議書北京天融信公司- -第一章XXXX網(wǎng)絡(luò)現(xiàn)狀及需求分析1.1網(wǎng)絡(luò)現(xiàn)狀XXXX業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)由總部和100個(gè)左右分支機(jī)構(gòu)組成。各分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)所組成

4、，其中總部局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，為企業(yè)各類業(yè)務(wù)服務(wù)器所在地，同時(shí)也是網(wǎng)絡(luò)管理中心。各分支機(jī)構(gòu)和移動(dòng)辦公用戶通過Internet與總部通信?，F(xiàn)有組網(wǎng)方式的缺陷1.2.1訪問沒有保護(hù)在現(xiàn)有的方式下，各分支機(jī)構(gòu)通過因特網(wǎng)與總部聯(lián)系（一般是E-mail或者各種即時(shí)通訊工具），由于這種聯(lián)系方式都是通過公網(wǎng)進(jìn)行明文互動(dòng)，毫無保密性可言，商業(yè)機(jī)密數(shù)據(jù)有可能被競(jìng)爭(zhēng)對(duì)手得到，從而引起業(yè)務(wù)損失。而且使用E-mail方式實(shí)效性不高，雙方的通訊存在時(shí)間差，不利于企業(yè)內(nèi)部溝通。1.2.2無法運(yùn)行內(nèi)部管理軟件因?yàn)榭偛績(jī)?nèi)網(wǎng)和分支機(jī)構(gòu)局域網(wǎng)之間不能互一些基于IP的業(yè)務(wù)軟件不能運(yùn)行，如無法實(shí)施OA、ERP等管理軟件，影

5、響企業(yè)管理效率，不利于整體策略性管理。1.2.3增值服務(wù)無法實(shí)施諸如視頻電視、電話會(huì)議、IP電話之類的增值服務(wù)在這個(gè)網(wǎng)絡(luò)上很難展開甚至無法展開，為了能使用這些方便的功能，還要另外在線路上進(jìn)行改造，增加了企業(yè)負(fù)擔(dān)。1.2.4網(wǎng)絡(luò)管理混亂隨著企業(yè)規(guī)模的擴(kuò)大和分支機(jī)構(gòu)的增多，各分支機(jī)構(gòu)局域網(wǎng)的管理人員素質(zhì)參差不齊，分別按照各自的習(xí)慣進(jìn)行局域網(wǎng)建設(shè)，沒有統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行有效管理，開展增值服務(wù)時(shí)反而變成企業(yè)業(yè)務(wù)發(fā)展的障礙。1.3需求分析根據(jù)XXXX現(xiàn)有的網(wǎng)絡(luò)狀況和業(yè)務(wù)情況，希望改建之后的網(wǎng)絡(luò)達(dá)成如下目標(biāo)：能夠保證各分支機(jī)構(gòu)和移動(dòng)辦公用戶安全快捷地訪問總部局域網(wǎng)內(nèi)業(yè)務(wù)服務(wù)器；數(shù)據(jù)在Internet上傳輸時(shí)應(yīng)

6、保證足夠的安全；能在全網(wǎng)實(shí)施OA、ERP等各種業(yè)務(wù)軟件，提高企業(yè)管理效率；能隨時(shí)在網(wǎng)絡(luò)上開展各種網(wǎng)絡(luò)服務(wù)，如IP電話、視頻會(huì)議等；能對(duì)全網(wǎng)進(jìn)行統(tǒng)一規(guī)劃，統(tǒng)一管理?；谝陨系男枨?，當(dāng)今較為完善的解決方案是實(shí)施基于IPSEC的VPN組網(wǎng)方式，以下將詳細(xì)論述VPN的基本原理及天融信VPN的解決方案。第二章VPN技術(shù)及天融信VPN產(chǎn)品2.1VPN基本概念VPN（VirtualPrivateNetwork：虛擬專用網(wǎng)）是一種以公用網(wǎng)絡(luò),尤其是Internet為基礎(chǔ)通道,綜合運(yùn)用隧道封裝、認(rèn)證、加密、訪問控制等多種網(wǎng)絡(luò)和安全技術(shù),實(shí)現(xiàn)企業(yè)總部、分支機(jī)構(gòu)、合作伙伴及遠(yuǎn)程和移動(dòng)辦公人員之間互連互通和資源共享的

7、方法。VPN的主要目標(biāo)是建立一種靈活、低成本、可擴(kuò)展的網(wǎng)絡(luò)互連手段,以替代傳統(tǒng)的長途（租用）專線連接和遠(yuǎn)程撥號(hào)連接；但同時(shí)由于VPN需要借道公用網(wǎng)絡(luò),就必須解決因此而帶來的網(wǎng)絡(luò)安全問題。因此，VPN技術(shù)概括地說就是：實(shí)現(xiàn)低成本的安全互連。有許多可以實(shí)現(xiàn)VPN的技術(shù)途徑，區(qū)別主要看該技術(shù)是在OSI參考模型的哪一層實(shí)現(xiàn)，如在應(yīng)用層實(shí)現(xiàn)的SSL,在會(huì)話層實(shí)現(xiàn)的Socket5,在網(wǎng)絡(luò)層實(shí)現(xiàn)的IPSec和在數(shù)據(jù)鏈層實(shí)現(xiàn)的PPTP/L2TP等。VPN技術(shù)的多樣性和似乎高深的專業(yè)術(shù)語很容易使一般用戶不知所措，天融信建議：如果你需要安全地訪問互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，那么SSLVPN是一種不錯(cuò)的選擇；如果你想將通過

8、互聯(lián)網(wǎng)訪問公司內(nèi)網(wǎng)中的某個(gè)服務(wù)器，或需要將兩個(gè)處于不同地域的局域網(wǎng)基于互聯(lián)網(wǎng)安全通連，那么IPSec幾乎就是一種必然的選擇。VPN的基本技術(shù)目前，VPN的實(shí)現(xiàn)主要采用四項(xiàng)技術(shù)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。隧道技術(shù)（Tunneling）：類似于點(diǎn)對(duì)點(diǎn)技術(shù)，它在公用網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。由于受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過Internet傳輸?shù)模仨毚院戏ǖ腎P地址。有多種方法可以完成

9、這種地址轉(zhuǎn)換，如靜態(tài)IP地址轉(zhuǎn)換、動(dòng)態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等，對(duì)于VPN而言，數(shù)據(jù)包封裝（隧道）是最常用的技術(shù)。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點(diǎn),此時(shí)需將原數(shù)據(jù)包打包，添加合法的外層IP包頭，這個(gè)包可通過公網(wǎng)被傳送到接收端的VPN節(jié)點(diǎn)，該節(jié)點(diǎn)接收后進(jìn)行拆包處理，還原出原報(bào)文后傳述給目標(biāo)主機(jī)。幾乎所有的VPN技術(shù)均采用了數(shù)據(jù)包封裝技術(shù)，下圖為IPSecVPN隧道模式下對(duì)數(shù)據(jù)包的封裝過程：原數(shù)據(jù)包丨ipiDati隧道封裝后新IPAHESPIPDat加解密技術(shù)(Encryption&Decryption)：對(duì)明文進(jìn)行足夠強(qiáng)的加密后送到目的地進(jìn)行解密,從而達(dá)到保護(hù)遠(yuǎn)程數(shù)據(jù)傳輸過程中的安全

10、。密鑰管理技術(shù)(KeyManagement):主要任務(wù)就是保證密鑰在公網(wǎng)上能夠安全的傳輸而不被竊取,如被竊取也有相應(yīng)的手段進(jìn)行二次防護(hù)。使用者與設(shè)備身份認(rèn)證技術(shù)Authentication:：正確分辨哪些設(shè)備是與本身相關(guān)且需要相互流通，并且讓非法用戶無法進(jìn)入系統(tǒng)，多以電子證書的形式進(jìn)行。一個(gè)VPN和“虛擬隧道”模型的實(shí)例如圖3.1所示：虛擬営道由橫截面加密鑒別協(xié)戲封游C可信信道私有網(wǎng)貉z私有岡絡(luò)1管理工作站Altacx-p-圖2-1VPN和虛圖3.1VPN和虛擬一般VPN解決方案所面臨的幾個(gè)問題管理配置復(fù)雜由于VPN技術(shù)上的專業(yè)性，配置時(shí)需要專業(yè)人員進(jìn)行指導(dǎo)，亠般用戶很難理解和正確使用。客戶端

11、軟件問題客戶端軟件提供的VPN往往不是基于標(biāo)準(zhǔn)IPSEC的解決方案，同時(shí)由于客戶端軟件和操作系統(tǒng)內(nèi)的個(gè)人防火墻及防病毒軟件工作在網(wǎng)絡(luò)模型的同一層，很容易產(chǎn)生軟件沖突，引起操作系統(tǒng)故障，使用上存在很多局限性。動(dòng)態(tài)IP的網(wǎng)狀聯(lián)通性大部分的VPN產(chǎn)品即使支持子公司采用動(dòng)態(tài)撥號(hào)的方式接入，但不能實(shí)現(xiàn)兩個(gè)動(dòng)態(tài)撥號(hào)接入的子公司相互通信。NAT穿越由于合法IP地址的有限性，現(xiàn)在有很多地方的上網(wǎng)方式是以城域網(wǎng)的方式接入，也就是說ISP分配給用戶的IP地址不是因特網(wǎng)的合法地址，而是一個(gè)私網(wǎng)地址，由ISP做一層NAT接入。而IPSEC協(xié)議與NAT具有不兼容性。與第三方廠商產(chǎn)品兼容性問題當(dāng)不同的VPN廠商產(chǎn)品進(jìn)行互

12、聯(lián)時(shí)，由于各自對(duì)于IPSEC這個(gè)協(xié)議實(shí)現(xiàn)程度不同，各個(gè)廠商的產(chǎn)品很有可能不能進(jìn)行通訊，當(dāng)用戶使用某一非標(biāo)準(zhǔn)IPSEC的產(chǎn)品后，如想進(jìn)行VPN網(wǎng)絡(luò)擴(kuò)充就不能選擇其他產(chǎn)品，用戶對(duì)產(chǎn)品的使用受到了限制，只有完全遵循IPSEC標(biāo)準(zhǔn)開發(fā)的產(chǎn)品才能實(shí)現(xiàn)不同產(chǎn)品的互聯(lián)。VPN網(wǎng)關(guān)自身的問題由于VPN產(chǎn)品可以分為硬件網(wǎng)關(guān)產(chǎn)品和軟件網(wǎng)關(guān)產(chǎn)品兩種類型，但由于其對(duì)安全問題關(guān)注的側(cè)重點(diǎn)不同會(huì)產(chǎn)生較大差異。軟件網(wǎng)關(guān)產(chǎn)品由于過分關(guān)注易用性，導(dǎo)致其自身的安全性極度依賴于安裝網(wǎng)關(guān)的操作系統(tǒng)，而流行的Windows操作系統(tǒng)由于漏洞百出，非常容易出現(xiàn)系統(tǒng)故障，甚至可能由于病毒或者一些硬件故障導(dǎo)致系統(tǒng)崩潰，無法保障VPN網(wǎng)關(guān)的底層

13、安全，所以其適用場(chǎng)合也比較有限；硬件網(wǎng)關(guān)由于其使用專用硬件，自身的安全性較之軟件網(wǎng)關(guān)有非常大的提高，而且性能也比軟件網(wǎng)關(guān)高效和穩(wěn)定，但使用上比軟件網(wǎng)關(guān)要求更高，更專業(yè)。天融信公司依靠自身的強(qiáng)大技術(shù)實(shí)力和長期實(shí)踐，已完全解決以上問題，其特點(diǎn)如下管理配置提供基于本地串口和遠(yuǎn)程兩種登錄管理方式。用戶使用遠(yuǎn)程管理方式可以選擇SSH（加密通訊）和Telnet（不加密通訊）對(duì)設(shè)備進(jìn)行配置，該方式適用于有網(wǎng)絡(luò)管理經(jīng)驗(yàn)的管理員；對(duì)不熟悉網(wǎng)絡(luò)管理的用戶，天融信還提供基于windows的GUI管理控制界面，管理員可以不用記憶復(fù)雜的配置命令，而僅通過點(diǎn)擊鼠標(biāo)就可完成全部配置工作?？蛻舳塑浖栴}作為完整的企業(yè)VPN解

14、決方案，支持移動(dòng)辦公用戶遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)的VPN客戶端軟件包是必不可少的。但現(xiàn)在絕大多數(shù)的VPN客戶端軟件都需要在操作系統(tǒng)內(nèi)核中嵌入一個(gè)龐大的墊片，經(jīng)常導(dǎo)致與個(gè)人防火墻、防病毒等軟件的沖突。天融信VPN客戶端軟件則采用獨(dú)有的非核心層IPSec實(shí)現(xiàn)方案，與其它桌面軟件的兼容性極佳。天融信VPN客戶端軟件不但提供完整的IPSec協(xié)議實(shí)現(xiàn)，而且為移動(dòng)用戶提供基于用戶名/口令、證書、動(dòng)態(tài)令牌卡等多種認(rèn)證方式，支持與MAC地址等硬件特征碼綁定的安全措施，安裝配置簡(jiǎn)單，其操作過程類似配置windows的撥號(hào)網(wǎng)絡(luò)，只需輸入接入網(wǎng)關(guān)地址、用戶名、口令即可。動(dòng)態(tài)IP的網(wǎng)狀聯(lián)通性通過集中的VPN策略管理方式成功解

15、決了雙動(dòng)態(tài)IP之間自動(dòng)建立VPN隧道的問題。網(wǎng)關(guān)接入因特網(wǎng)之后首先向企業(yè)總部部署的“安全策略管理平臺(tái)（TP）”進(jìn)行注冊(cè)和身份認(rèn)證，然后從TP下載自己的VPN策略；同時(shí)TP負(fù)責(zé)當(dāng)策略參數(shù)發(fā)生改變時(shí)，實(shí)時(shí)通知在線的網(wǎng)關(guān)產(chǎn)品更新策略，從而確保所有的網(wǎng)關(guān)都能夠獲得最新的策略參數(shù)變化情況。NAT穿越為了解決這個(gè)問題，IETF專門為IPSec制定了“NAT穿越（NATT）”協(xié)議草案。協(xié)議中解決NAT穿越問題的基本思路是在IPSec封裝好的數(shù)據(jù)包外再進(jìn)行一次UDP的數(shù)據(jù)封裝，這樣當(dāng)此數(shù)據(jù)包穿過NAT網(wǎng)關(guān)時(shí)，被修改的只是最外層的IP/UDP數(shù)據(jù)，而對(duì)其內(nèi)部真正的IPSec數(shù)據(jù)沒有進(jìn)行改動(dòng)；在目的主機(jī)處再把外層

16、的IP/UDP封裝去掉，就可以獲得完整的IPSec數(shù)據(jù)包。由于NATT協(xié)議標(biāo)準(zhǔn)制定的時(shí)間還比較短，大多數(shù)國內(nèi)廠商還沒有完全對(duì)該標(biāo)準(zhǔn)進(jìn)行支持，而國外廠商也只有少數(shù)幾家的產(chǎn)品針對(duì)新標(biāo)準(zhǔn)進(jìn)行了升級(jí)。天融信的全系列產(chǎn)品都支持最新的NATT標(biāo)準(zhǔn)。由于NAT技術(shù)在國內(nèi)的廣泛應(yīng)用，所以用戶在選用VPN設(shè)備時(shí)應(yīng)該將這一功能作為一個(gè)重要的考核指標(biāo)。與第三方廠商的產(chǎn)品兼容性問題由于天融信公司的VPN產(chǎn)品完全遵循IPSEC協(xié)議標(biāo)準(zhǔn)進(jìn)行開發(fā)，所以不存在該問題，可以順利的和國內(nèi)外任何完全遵從IPSEC標(biāo)準(zhǔn)的產(chǎn)品進(jìn)行互聯(lián)互通。2.4天融信VPN產(chǎn)品及其典型解決方案天融信VPN系列產(chǎn)品包括VONE系列（IPSEC/SSLV

17、PN多合一網(wǎng)關(guān)）、IPSECVPN系列網(wǎng)關(guān)（包括3GVPN網(wǎng)關(guān)）、VPN客戶端軟件以及天融信VPN統(tǒng)一安全策略管理平臺(tái)（TP）。2.4.1天融信VPN硬件安全網(wǎng)關(guān)天融信VPN硬件網(wǎng)關(guān)由高可靠性的工控標(biāo)準(zhǔn)主板、硬件密碼模塊和電子盤等構(gòu)成，內(nèi)置專用安全嵌入式操作系統(tǒng)和VPN軟件模塊。根據(jù)設(shè)備處理能力和提供的功能,天融信VPN硬件網(wǎng)關(guān)分為多個(gè)型號(hào)，分別面向大、中、小型企業(yè)及其分支機(jī)構(gòu)。各類型號(hào)產(chǎn)品在性能上呈階梯排列,同類產(chǎn)品則在功能和性能作了進(jìn)一步的細(xì)分,以滿足不同用戶的需求。以下是天融信VPN硬件網(wǎng)關(guān)的主要功能：別功能詳細(xì)描述網(wǎng)絡(luò)適應(yīng)性工作模式支持透明、路由、混合模式路由支持靜態(tài)路由、動(dòng)態(tài)路由支持

18、基于源/目的地址、端口、協(xié)議及接口的策略路由支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能支持Vlan路由，能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能支持RIP、OSPF等路由協(xié)議支持多線路捆綁和負(fù)載均衡組播支持IGMP、PIM組播協(xié)議可有效地實(shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用VLAN支持Vlan、VlanTrunk支持802.1Q,能進(jìn)行封裝和解封支持ISL,能進(jìn)行ISL的封裝和解封支持QinQ技術(shù)（vlan-vpn），對(duì)報(bào)文進(jìn)行二次基于802.1Q封裝生成樹能支持802.1D、PVST生成樹協(xié)議端口聚合支持對(duì)物理接口的端口聚合，提高接口帶寬ARP支持ARP代理、ARP學(xué)習(xí)，可設(shè)置靜態(tài)ARP可

19、設(shè)置防ARP欺騙DHCP支持DHCPClient、DHCPRelay、DHCPServer接入支持以太網(wǎng)、光纖、ADSL、3G、DHCP等多種接入方式支持最多4路ADSL撥號(hào)接入，多路ADSL支持鏈路負(fù)載均衡或備份別功能詳細(xì)描述其它支持網(wǎng)絡(luò)時(shí)鐘協(xié)議SNTP，可自動(dòng)根據(jù)NTP服務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間支持IPX、NetBEUI等非IP協(xié)議PKI證書格式支持X.509V3數(shù)字證書支持DER/PEM/PKCS12等多種證書編碼本地C4支持內(nèi)置CA,為其他設(shè)備或移動(dòng)用戶簽發(fā)證書支持證書廢棄，支持生成標(biāo)準(zhǔn)CRL列表支持證書請(qǐng)求的生成，由第二方CA進(jìn)行簽名內(nèi)置支持SM2算法的CA第三方CA支持冋時(shí)導(dǎo)入多個(gè)第

20、三方CA的根證書和CRL列表，對(duì)不同CA證書用戶進(jìn)行身份認(rèn)證，支持通過HTTP協(xié)議定時(shí)下載CRL列表支持通過OCSP/LDAP等協(xié)議在線認(rèn)證證書IPSECVPN協(xié)議支持ESP/AH/IKE/NATT等標(biāo)準(zhǔn)IPSEC協(xié)議支持隧道模式、傳輸模式法支持DES/3DES/AES等標(biāo)準(zhǔn)加密算法，支持MD5/SHA1等標(biāo)準(zhǔn)HASH算法支持DHGROUP1/2/5，RSA1024/2048非對(duì)稱算法支持國家商密專用SM1/SM2/SM3/SM4算法硬件加速支持高速算法加速卡數(shù)據(jù)壓縮支持高效數(shù)據(jù)流壓縮算法隧道認(rèn)證支持預(yù)共享密鑰、數(shù)字證書認(rèn)證，支持XAuth擴(kuò)展認(rèn)證支持使用標(biāo)準(zhǔn)的X.509證書建立隧道網(wǎng)絡(luò)：適應(yīng)

21、性支持網(wǎng)狀、樹型、星型等多種VPN網(wǎng)絡(luò)拓?fù)渲С炙淼赖腘AT穿越、雙向NAT隧道建立支持全動(dòng)態(tài)IP地址間的VPN組網(wǎng)支持隧道轉(zhuǎn)發(fā)支持組播穿越IPSec隧道支持多機(jī)多隧道的負(fù)載均衡和備份別功能詳細(xì)描述VPN客戶端支持第二方標(biāo)準(zhǔn)IPSec客戶端接入支持蘋果終端IPSECVPN客戶端接入支持為移動(dòng)用戶定義訪問權(quán)限支持基于時(shí)間的移動(dòng)用戶訪問控制策略支持兩網(wǎng)分離支持多線路自動(dòng)檢測(cè)支持移動(dòng)用戶接入狀態(tài)的監(jiān)控和審計(jì)支持中/英文界面和中/英文自動(dòng)切換*SSLVPN（可選配）安全算法支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多種算法支持國家商密專用的SM1、SM2、SM3、SM4算法數(shù)據(jù)壓縮

22、與加速支持高效流壓縮算法支持智能壓縮支持WebCache加速用戶認(rèn)證：支持“用戶名+口令”、“用戶名+口令+圖形認(rèn)證碼認(rèn)證支持X.509數(shù)字證書認(rèn)證支持?jǐn)?shù)字證書（USBKEY）+口令多因子認(rèn)證支持基于LDAP/RADIUS/TACAS等協(xié)議的外部服務(wù)器認(rèn)證支持短信認(rèn)證、圖形碼校驗(yàn)、硬件特征碼校驗(yàn)用戶授權(quán)支持角色授權(quán)、支持獨(dú)立用戶授權(quán)支持基于URL、訪問路徑、訪問文件、訪問動(dòng)作的細(xì)粒度授權(quán)支持本地授權(quán)、支持外部組映射授權(quán)、支持證書用戶授權(quán)支持基于證書中的字段屬性組合授權(quán)應(yīng)用支持支持WEB轉(zhuǎn)發(fā)、端口轉(zhuǎn)發(fā)、全網(wǎng)接入模式支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等

23、各種Web應(yīng)用支持基于IP協(xié)議的各種C/S應(yīng)用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS遠(yuǎn)程文件共享支持FTP的WEB化訪問實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控在線用戶的登錄時(shí)間、在線時(shí)間、訪問流量，認(rèn)證方式等多種信息支持主動(dòng)中斷在線用戶的隧道連接日志審計(jì)詳細(xì)審計(jì)用戶登錄認(rèn)證過程、各種認(rèn)證授權(quán)錯(cuò)誤、內(nèi)網(wǎng)資源訪問情況等信息支持多級(jí)審計(jì)日志，可以靈活配置審計(jì)級(jí)別支持日志本地保存，支持將日志上傳到外部日志服務(wù)器支持天融信專用的TA-L日志服務(wù)器，可以對(duì)日志內(nèi)容進(jìn)行深度分析和統(tǒng)計(jì)可信接入端點(diǎn)安全虛擬門集群面ta藏頁客戶端：端口轉(zhuǎn)發(fā)單點(diǎn)登可信接入語言支持DDNSSSLVPN支持接入客戶端痕跡

24、清除，能夠清楚cookie、緩存、歷史記錄等各種訪問痕跡支持拔KEY隧道自動(dòng)中斷支持用戶超時(shí)自動(dòng)退出，超時(shí)時(shí)間可以設(shè)置支持虛擬門戶功能，每個(gè)虛擬門戶都可以定制不同的登錄界面、定制是否使用控件、定制使用哪些功能模塊、定制不同的認(rèn)證方式、定制不同的公告信息等SSLVPN可以與企業(yè)門戶無縫融合，即用戶可以通過企業(yè)門戶登錄SSLVPN,并且SSLVPN能夠自動(dòng)跳轉(zhuǎn)Portal頁面到企業(yè)的某個(gè)網(wǎng)站支持集群和分布式集群功能在用戶登錄SSLVPN后不需要駐留Portal頁面，可以隱藏，并在右下角縮成一個(gè)小圖標(biāo)，點(diǎn)擊小圖標(biāo)還能恢復(fù)Portal頁面支持WindowsMobilePDA客戶端支持iOS、Andro

25、id系統(tǒng)的智能終端客戶端支持WindowsXP、2003、2008、Vista、Win7、Win8、Linux系統(tǒng)支持獨(dú)立客戶端支持用戶設(shè)定代理服務(wù)器信息支持TCP協(xié)議支持UDP協(xié)議支持智能遞推支持HTTP401認(rèn)證單點(diǎn)登錄支持用戶修改單點(diǎn)登陸的賬戶信息支持WEB方式的單點(diǎn)登錄支持密碼助手方式的單點(diǎn)登錄支持接入主機(jī)的信息檢査，包括安裝的軟件、進(jìn)程、端口、服務(wù)、注冊(cè)表、操作系統(tǒng)及補(bǔ)丁、文件、網(wǎng)卡等支持可信接入分級(jí)授權(quán)支持檢査策略：接入前檢査、接入后檢査、定時(shí)檢査等支持中、英文界面支持中、英文自動(dòng)切換支持DDNS動(dòng)態(tài)域名注冊(cè)支持使用域名進(jìn)行隧道定義及協(xié)商支持使用域名向TP進(jìn)行集中認(rèn)證符合國密局制定

26、的SSLVPN技術(shù)規(guī)范別功能詳細(xì)描述準(zhǔn)IPSecVPN&符合國密局制定的IPSECVPN技術(shù)規(guī)范L2TPL2TP。支持遠(yuǎn)程用戶通過L2TP接入，建立L2TP隧道訪問內(nèi)部網(wǎng)絡(luò)PPTPPPTP支持遠(yuǎn)程用戶通過PPTP接入，建立PPTP隧道訪問內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)安全性*內(nèi)容過濾釆用完全內(nèi)容檢測(cè)(CompleteContentInspection)技術(shù)支持基于流、數(shù)據(jù)包、透明代理的過濾方式支持對(duì)HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾支持web重定向，支持URL分類過濾支持掛馬網(wǎng)站過濾支持對(duì)移動(dòng)代碼如Javaapplet、Active-X、VBScript、Javascript的過

27、濾支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過濾支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾支持反垃圾郵件功能支持Telnet、Ftp、RSH命令過濾可屏蔽受保護(hù)主機(jī)/服務(wù)器系統(tǒng)信息，如替換服務(wù)器(FTP、SMTP、POP3、Telnet、HTTP)的BANNER信息訪問控制基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過濾基于源/目的IP地址、MAC地址、端口和協(xié)議、時(shí)間、用戶、角色的訪問控制支持隧道內(nèi)的訪問控制支持IPSec客戶端與SSL全網(wǎng)模式與FW聯(lián)動(dòng)動(dòng)態(tài)端口支持協(xié)議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP支持大數(shù)量級(jí)的策略匹配加速算法支持對(duì)

28、象的每秒新建連接數(shù)限制基于域名對(duì)象的訪問控制可實(shí)現(xiàn)IP/MAC綁定，可防共享上網(wǎng)NAT支持雙向NAT支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換支持虛擬服務(wù)器功能別功能詳細(xì)描述*應(yīng)用識(shí)別支持近百種應(yīng)用程序庫的過濾，包括P2P、IM、炒股、網(wǎng)游等支持MSN、QQ、Skype等InstantMessenger通信，并可以對(duì)于這些應(yīng)用進(jìn)行登陸限制和帳號(hào)過濾可限制BT、eMule、eDonkey、迅雷等P2P應(yīng)用支持基于應(yīng)用的流量統(tǒng)計(jì)、排名支持基于應(yīng)用的歷史流量趨勢(shì)圖支持基于主機(jī)的應(yīng)用流量統(tǒng)計(jì)支持流量異常檢測(cè)深度流量過濾（DFI），針對(duì)P2P行為的識(shí)別控制*防病毒支持H

29、TTP，F(xiàn)TP，POP3,SMTP，IMAP協(xié)議的病毒查殺支持200萬余種病毒的査殺，病毒庫定期與及時(shí)更新支持木馬病毒、蠕蟲病毒、宏病毒、腳本病毒的査殺*防御攻擊非法報(bào)文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep支持地址對(duì)象源目的最大連接數(shù)限制端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置SYN代理：對(duì)來自定義區(qū)域的SynFlood攻擊行為進(jìn)行阻斷過濾CC攻擊：可通過設(shè)置

30、端口和閥值阻斷CC攻擊可記錄攻擊日志和報(bào)警支持手動(dòng)設(shè)置和根據(jù)IDS規(guī)則自動(dòng)生成黑名單安全管理用戶認(rèn)證支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、數(shù)字證書（CA）認(rèn)證等常用的安全認(rèn)證方式支持統(tǒng)一用戶管理，IPSEC與SSL使用同一套用戶認(rèn)證、管理系統(tǒng)支持口令復(fù)雜度設(shè)置，支持密碼找回、首次登錄修改口令功能支持多點(diǎn)登錄地點(diǎn)數(shù)設(shè)置，支持登錄時(shí)間、登錄地址范圍控制支持使用第二方認(rèn)證，如RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式支持短信、動(dòng)態(tài)令牌、硬件特征碼認(rèn)證支持Session認(rèn)證、HTTP會(huì)話認(rèn)證支持WEB認(rèn)證和指紋認(rèn)證分級(jí)管理可為用戶管理員分配不同的權(quán)限，管理不同的用

31、戶信息支持多達(dá)16級(jí)的分級(jí)管理支持管理員的三權(quán)分立日志支持Welf、Syslog等多種日志格式的輸出，支持日志分級(jí)支持安全審計(jì)系統(tǒng)（TA-L），獲得更詳盡的日志分析和審計(jì)功能TA-L除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析可對(duì)日志進(jìn)行加密傳輸監(jiān)控支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率、操作系統(tǒng)狀況、網(wǎng)絡(luò)狀況、硬件系統(tǒng)、進(jìn)程、進(jìn)程內(nèi)存、加密卡狀況的監(jiān)測(cè)可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù)別功能詳細(xì)描述報(bào)警內(nèi)置了“管理”、“系統(tǒng)”、“安全、“策略”、“通信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類支持郵件、NETBIOS、聲音、SNMP、控制臺(tái)

32、等多種組合報(bào)警方式流量統(tǒng)計(jì)：支持基于IP對(duì)session數(shù)的統(tǒng)計(jì)，并有閥值報(bào)警功能支持基于IP對(duì)流量的統(tǒng)計(jì)支持基于傳輸層端口進(jìn)行流量、session數(shù)的統(tǒng)計(jì)支持NETFLOW協(xié)議版本5,支持設(shè)置過濾條件帶寬管理QoS流量整形根據(jù)IP、協(xié)議、網(wǎng)絡(luò)接口、時(shí)間定義帶寬分配策略支持最小保證帶寬和最大限制帶寬支持DSCP和COS的設(shè)置支持對(duì)p2p的帶寬限制優(yōu)先級(jí)支持8級(jí)優(yōu)先級(jí)控制高可用性雙機(jī)熱備支持雙機(jī)熱備(Active-Standby)模式支持負(fù)載均衡(Active-Active)模式支持連接保護(hù)(SessionProtect)模式其它功能支持基于IP探測(cè)的鏈路備份功能支持服務(wù)器的負(fù)載均衡，提供輪詢、

33、加權(quán)輪詢、最少連接、加權(quán)最少連接、源/目的地址HASH等多種負(fù)載均衡方式支持雙系統(tǒng)引導(dǎo)，支持Watchdog功能配置管理配置方式支持WEB圖形配置、命令行配置支持基于SSH、HTTPS的安全配置支持通過TP進(jìn)行配置管理命令行支持配置命令分級(jí)保護(hù)，支持中英文支持命令超時(shí)、歷史命令、命令補(bǔ)齊、命令幫助、命令錯(cuò)誤提示等功能WEBUI：支持配置向?qū)?，支持中文?lián)機(jī)幫助支持HTTPS客戶端證書認(rèn)證方式支持CPU、內(nèi)存、連接數(shù)、接口流量的即時(shí)監(jiān)控圖和歷史趨勢(shì)圖支持應(yīng)用識(shí)別、病毒、入侵防御統(tǒng)計(jì)數(shù)據(jù)的圖形化顯示SNMP支持SNMP的v1、v2、v2c、v3版本支持SNMPMIB擴(kuò)展與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，

34、如HPOpenview等系統(tǒng)升級(jí)支持雙系統(tǒng)升級(jí)支持TFTP、Webui、Ftp升級(jí)報(bào)文調(diào)試人提供強(qiáng)大的報(bào)文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題支持發(fā)送虛擬報(bào)文支持端口鏡像功能，能夠通過設(shè)置過濾條件選擇性鏡像報(bào)文配置恢復(fù)可以進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載可進(jìn)行部分配置本地和異地的批量導(dǎo)出和導(dǎo)入2.4.2天融信VPN客戶端戶或單機(jī)的軟件產(chǎn)品，可安裝運(yùn)行在移動(dòng)設(shè)備或企業(yè)局域網(wǎng)內(nèi)的任何一臺(tái)客戶機(jī)中，使這臺(tái)設(shè)備具有遠(yuǎn)程接入企業(yè)VPN的功能。天融信VPN客戶端既可以與天融信VPN硬件/軟件網(wǎng)關(guān)配套使用，也可以在多個(gè)VPN客戶端之間建立安全隧道，構(gòu)成虛擬專網(wǎng)，從而實(shí)現(xiàn)客戶

35、端網(wǎng)關(guān)（硬件/軟件）、網(wǎng)關(guān)（硬件/軟件）網(wǎng)關(guān)（硬件/軟件）之間的信息安全傳輸。天融信VPN客戶端軟件采用天融信公司獨(dú)創(chuàng)的非核心層IPSec實(shí)現(xiàn)方案，整個(gè)VPN模塊運(yùn)行在應(yīng)用層，與其它桌面軟件的兼容性極佳，其運(yùn)行過程對(duì)用戶表現(xiàn)為全透明，即：用戶的應(yīng)用系統(tǒng)無需作任何適應(yīng)性調(diào)整，其網(wǎng)絡(luò)配置也不必作任何改動(dòng)。天融信VRCVPN客戶端支持操作系統(tǒng)平臺(tái)win2000/XP/2003/VISTA/WIN7/WIN8等功能描述接入方式支持100/1000兆網(wǎng)卡、無線網(wǎng)卡等支持普通Modem撥號(hào)方式支持各種ADSL連接方式（PPPOE）支持2G/3G、WLAN等各種無線接入方式支持全網(wǎng)隧道訪問可以對(duì)遠(yuǎn)程用戶提供

36、一種內(nèi)部網(wǎng)的訪問服務(wù)，使用戶無論處于何種位置，都可以象在局域網(wǎng)內(nèi)部一樣方便的訪問內(nèi)部網(wǎng)絡(luò)，真正實(shí)現(xiàn)3A保障（Anytime，Anywhere，Anyone）IPsec標(biāo)準(zhǔn)支持主模式和野蠻模式協(xié)商支持ESP標(biāo)準(zhǔn)支持標(biāo)準(zhǔn)NAT穿越支持3DESMD5,SHA1標(biāo)準(zhǔn)加密和認(rèn)證算法支持采用硬件加密卡對(duì)數(shù)據(jù)進(jìn)行認(rèn)證、加密，最大限度保證用戶通信的安全證書格式支持標(biāo)準(zhǔn)X.509格式的證書，支持Base64、DER編碼方式支持WindowsCSP標(biāo)準(zhǔn)，可以讀取多種第三方廠商USB-KeyDNS支持內(nèi)部DNS。移動(dòng)用戶與總部的VPN建立隧道后，可以通過總部的內(nèi)部DNS服務(wù)器直接使用域名訪問內(nèi)部的各個(gè)應(yīng)用服務(wù)器（如

37、Http、Ftp服務(wù)器等）WINS支持內(nèi)部WINS。移動(dòng)用戶與總部的VPN建立隧道后，可以通過主機(jī)名訪問內(nèi)部的服務(wù)器和主機(jī)客戶端IP地址動(dòng)態(tài)分配客戶端可以通過網(wǎng)關(guān)動(dòng)態(tài)分配到虛擬IP地址，實(shí)現(xiàn)全網(wǎng)IP地址的動(dòng)態(tài)管理客戶端訪問控制支持用戶硬件特征碼綁定，防止賬號(hào)被盜用支持按角色分配訪問權(quán)限，不同用戶能訪問不同的網(wǎng)絡(luò)資源訪問權(quán)限可以設(shè)置到端口隧道配置與管理支持多隧道管理，方便用戶配置自定義的隧道支持隧道斷線重?fù)?。若因?yàn)榫W(wǎng)絡(luò)不穩(wěn)定造成隧道斷開，可自動(dòng)重新建立隧道，省去用戶手工重啟隧道的麻煩支持隧道監(jiān)控。通過GUI界面，用戶可以實(shí)時(shí)査看隧道的狀態(tài)，隧道數(shù)據(jù)流量，隧道是否啟動(dòng)/停止等支持隧道配置保存和導(dǎo)入

38、支持用戶配置文件的保存和恢復(fù)客戶端自動(dòng)功能用戶可以選擇客戶端的自動(dòng)功能，比如打開客戶端軟件后自動(dòng)運(yùn)行默認(rèn)連接和自動(dòng)重新認(rèn)證等等2.4.3天融信VPN安全策略管理平臺(tái)天融信安全設(shè)備與策略管理平臺(tái)TP系統(tǒng)（也稱為TopPolicy系統(tǒng)）由TP管理器、TopPolicy服務(wù)器和TopPolicy數(shù)據(jù)庫三部分組成。其中，TopPolicy數(shù)據(jù)庫是TP系統(tǒng)的基礎(chǔ)組件，它主要用于存儲(chǔ)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備的信息及VPN安全策略。TopPolicy服務(wù)器是TP系統(tǒng)的核心組件，它是一個(gè)服務(wù)器程序，一般需要在網(wǎng)絡(luò)運(yùn)行過程中實(shí)時(shí)在線。它主要完成認(rèn)證設(shè)備、維護(hù)設(shè)備、維護(hù)VPN隧道、維護(hù)VRC信息等工作。TopIFI

39、icy竹理髀IcipPolicyte-迎器IQpPoliC卅峪器1opPolicyJK務(wù)轟V卯切救抓M；TopPolicy浪據(jù)f：TP系統(tǒng)結(jié)構(gòu)天融信VPN安全策略管理平臺(tái)（TP）作為安全設(shè)備與策略管理系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的全面監(jiān)管，支持對(duì)天融信全系列產(chǎn)品的管理，如對(duì)UTM、IPSec/SSLVPN、SJW11、VRC客戶端等設(shè)備的集中監(jiān)控和管理。TP管理員可以對(duì)網(wǎng)絡(luò)中的設(shè)備運(yùn)行狀態(tài)進(jìn)行集中監(jiān)控和管理，并且在TP服務(wù)器中對(duì)所有本機(jī)和下級(jí)服務(wù)器進(jìn)行設(shè)備管理、VRC管理、隧道管理、防火墻策略管理。管理員通過集中定制IPS策略，集中定制防火墻的包過濾策略、訪問控制策略、NAT策略、深度過濾策略、VPN

40、通訊策略，進(jìn)而下發(fā)到各個(gè)管理設(shè)備，避免各個(gè)設(shè)備獨(dú)立定制策略的隨意性，便于從安全策略角度實(shí)現(xiàn)全網(wǎng)的安全策略統(tǒng)一管理。與業(yè)務(wù)管理對(duì)應(yīng)的分級(jí)管理體系在現(xiàn)實(shí)應(yīng)用環(huán)境中，網(wǎng)絡(luò)環(huán)境具有龐大、分級(jí)、分支機(jī)構(gòu)多、遍布全國的特點(diǎn)，TopPolicy對(duì)安全設(shè)備的管理與部署能夠完全適應(yīng)這種管理模式。首先本系統(tǒng)支持4級(jí)的域管理，這樣，用戶可以方便的把一個(gè)全國的項(xiàng)目分級(jí)與分域管理，在統(tǒng)一策略下對(duì)責(zé)任進(jìn)行分擔(dān)；通過分級(jí)與分域管理，本系統(tǒng)可以支持到3000臺(tái)安全設(shè)備和30000個(gè)VPN客戶端。其次，本系統(tǒng)可以對(duì)安全設(shè)備和策略實(shí)現(xiàn)完全的集中管理，也可以實(shí)現(xiàn)由下級(jí)管理中心或設(shè)備來管理日常的管理工作，而上級(jí)中心僅負(fù)責(zé)監(jiān)控與分析統(tǒng)

41、計(jì)工作。策略的有序可控管理在實(shí)際的工作環(huán)境中，可能有大量的UTM和VPN設(shè)備（例如：300個(gè)VPN，1000條隧道）在運(yùn)行。如果全部在端到端方式或端到網(wǎng)關(guān)方式下各自建立聯(lián)接，一則手工配置很容易導(dǎo)致配置文件不一致，而且人力成本很高；二則由于管理員不能隨時(shí)監(jiān)控VPN設(shè)備之間的連接，導(dǎo)致VPN設(shè)備之間可能存在著不應(yīng)有的連接，網(wǎng)絡(luò)安全存在隱患。因此在VPN大規(guī)模應(yīng)用的情況下，需要對(duì)這些VPN進(jìn)行統(tǒng)一管理。TopPolicy讓管理員可以通過對(duì)所管理的VPN設(shè)備的行為進(jìn)行監(jiān)控，審計(jì)員可以對(duì)管理員的行為進(jìn)行監(jiān)控；并且通過對(duì)加密算法、采用的安全策略以及網(wǎng)絡(luò)異常處理策略進(jìn)行統(tǒng)一在VPN設(shè)備登錄時(shí)自動(dòng)下發(fā)統(tǒng)一配置

42、的安全信息，無需對(duì)每個(gè)VPN設(shè)備進(jìn)行配置，從而減低了分散管理可能帶來的不一致和復(fù)雜性。的協(xié)調(diào)，使VPN設(shè)備在管理上是有序的;同時(shí)VPN客戶端自動(dòng)部署VPN客戶端軟件（VRC）的分發(fā)、配置以及設(shè)備證書的生成和分發(fā)這些軟件部署工作，在VPN產(chǎn)品大規(guī)模使用的時(shí)候，將成為一項(xiàng)非常繁瑣和復(fù)雜的工作，系統(tǒng)管理員的工作量極大增加，同時(shí)也給整個(gè)VPN系統(tǒng)帶來了不必要的安全隱患。為了降低系統(tǒng)管理員的工作復(fù)雜度和保證系統(tǒng)的安全，天融信公司在TopPolicy中實(shí)現(xiàn)了VRC的自動(dòng)部署功能。TopPolicy內(nèi)含的自動(dòng)部署系統(tǒng)（AutomaticDistributionSystem：ADS）是我國第一套自行研制開發(fā)的

43、為整個(gè)VPN系統(tǒng)提供VPN客戶端軟件安全部署服務(wù)的軟件。它能夠?qū)PN客戶端軟件進(jìn)行集中部署和必要的證書管理，并且為每個(gè)VPN客戶端軟件的部署提供必要的安全服務(wù)。它基于Windows操作平臺(tái)、IE瀏覽器和IISHTTP服務(wù)器，界面友好，使用簡(jiǎn)便。TopPolicy自動(dòng)部署系統(tǒng)能夠?qū)崿F(xiàn)對(duì)企業(yè)內(nèi)部所有VRC的全面部署和證書、密鑰的統(tǒng)一管理，管理員可以在任何網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)VRC的自動(dòng)部署，根據(jù)企業(yè)的實(shí)際需求制定全局VRC部署策略，從而使繁重的VRC部署工作變得簡(jiǎn)單有序。管理員用戶可以在異地對(duì)自動(dòng)部署系統(tǒng)的服務(wù)器進(jìn)行操作，提高了自動(dòng)部署的機(jī)動(dòng)性和靈活性。完善的PKI體系支持TopPolicy系統(tǒng)采用遵

44、循X.509證書來作為提供認(rèn)證的載體。對(duì)于中等規(guī)模的用戶只需建立一個(gè)自封閉的身份認(rèn)證體系，則無需外部證書發(fā)放機(jī)構(gòu)的簽發(fā)證書，企業(yè)自己就可以構(gòu)建自己的證書發(fā)放機(jī)構(gòu)(CA)。對(duì)這種用戶TopPolicy提供了簡(jiǎn)單實(shí)用的PKICA系統(tǒng)，可以為管理員、設(shè)備、VRC生成、更新、發(fā)放證書，同時(shí)提供證書驗(yàn)證與CRL文件管理等功能。對(duì)于已經(jīng)建有CA系統(tǒng)的用戶，TopPolicy完全支持第三方的PKI系統(tǒng)，可以為設(shè)備和VRC導(dǎo)入/更新第三方CA生成的證書，不僅支持在TP本地使用第三方CA的根證書驗(yàn)證設(shè)備以及VRC身份，還支持通過OCSP協(xié)議實(shí)時(shí)在線驗(yàn)證設(shè)備和VRC身份。支持通過HTTP、LDAP協(xié)議自動(dòng)下載CR

45、L列表等等。集中的配置管理和豐富的設(shè)備管理功針對(duì)不同的設(shè)備，可以通過手動(dòng)立即獲取配置或通過任務(wù)自動(dòng)獲取配置?？梢詾槊總€(gè)設(shè)備保存最多100個(gè)配置備份?？梢酝ㄟ^調(diào)用各種管理組件如ping、telnet、SSH、Traceroute、遠(yuǎn)程管理等，實(shí)現(xiàn)對(duì)設(shè)備的配置和管理。多視角的可視化管理TopPolicy能通過拓?fù)鋱D等多種方式，實(shí)現(xiàn)對(duì)設(shè)備、隧道等進(jìn)行各種管理，進(jìn)而實(shí)現(xiàn)對(duì)設(shè)備性能信息的監(jiān)視，包括CPU信息、內(nèi)存信息、接口信息和連接信息等。另外，對(duì)于具有VPN功能的設(shè)備還提供了隧道監(jiān)控和VPN監(jiān)控功能。適用于不同的網(wǎng)絡(luò)環(huán)境在TopPolicy構(gòu)建的系統(tǒng)中，每一個(gè)VPN設(shè)備都使用設(shè)備名稱作為系統(tǒng)內(nèi)唯一確定

46、的ID標(biāo)識(shí)，通過ID來管理和訪問這些VPN設(shè)備。這樣就拋棄了傳統(tǒng)的基于IP的管理方法，使TopPolicy不僅可以讓系統(tǒng)中的設(shè)備以固定IP方式、固定IP和動(dòng)態(tài)IP方式互聯(lián)，而且從根本上解決了VPN設(shè)備互聯(lián)時(shí)地址被地址轉(zhuǎn)換(NAT)的問題和動(dòng)態(tài)IP接入網(wǎng)絡(luò)的問題。并且不論VPN設(shè)備的網(wǎng)絡(luò)環(huán)境(IP地址)怎么改變，只要ID不變，TopPolicy服務(wù)器就為它保持原來的安全配置。系統(tǒng)高安全性作為安全管理產(chǎn)品，TopPolicy自身具有很高的安全性。系統(tǒng)各功能模塊間的通信均可采用加密的方式進(jìn)行；在TopPolicy構(gòu)建的系統(tǒng)內(nèi)采用證書進(jìn)行身份認(rèn)證；系統(tǒng)可以抵御一定強(qiáng)度的DOS攻擊。通過這些安全措施，有

47、效地防止了由于網(wǎng)絡(luò)監(jiān)聽或帳號(hào)濫用造成的一系列安全問題。多語言支持支持動(dòng)態(tài)簡(jiǎn)體中文和英文切換。使用靈活簡(jiǎn)便TopPolicy的使用方式十分靈活，TopPolicy系統(tǒng)分成三個(gè)部分：TopPolicyServer，TopPolicyManager和被管理設(shè)備，運(yùn)行。TopPolicy界面友好，操作起來相當(dāng)簡(jiǎn)便，克服了相關(guān)VPN產(chǎn)品操作復(fù)雜、對(duì)用戶的技術(shù)門檻要求高的特點(diǎn)，配置十分的簡(jiǎn)便。天融信TP產(chǎn)品功能功能大類子功能描述多級(jí)安全域管理設(shè)備管理設(shè)備注冊(cè)及認(rèn)證被管理設(shè)備自動(dòng)完成注冊(cè)與認(rèn)證設(shè)備遠(yuǎn)程管理在設(shè)備管理列表中選擇設(shè)備，通過調(diào)用瀏覽器登錄遠(yuǎn)程設(shè)備進(jìn)行管理、在拓?fù)鋱D上選擇設(shè)備進(jìn)行遠(yuǎn)程管理調(diào)用、提供管

48、理工具：Ping/SSH/telnet/Traceroute?？梢詫⒃O(shè)備按照管理范圍劃分為多個(gè)域；域之間可以有上下級(jí)關(guān)系，最多支持4級(jí)域，可以為管理員指定可管理的域范圍。功能大類子功能描述設(shè)備配置集中保存和更新能夠查詢、接收并保存設(shè)備配置信息，并為設(shè)備提供配置更新服務(wù)。可以為一個(gè)設(shè)備保存多個(gè)配置，并在更新時(shí)由管理員進(jìn)行選擇；設(shè)備配置應(yīng)用后需要提示保存；支持天融信設(shè)備配置保存；可定期檢查設(shè)備配置是否被私自修改；可顯示配置變化狀態(tài)。設(shè)備操作開啟服務(wù)、設(shè)備重啟、時(shí)鐘設(shè)置、設(shè)置ROOT管理員口令等；拓?fù)涔芾碓O(shè)備主動(dòng)注冊(cè)設(shè)備發(fā)現(xiàn)設(shè)備批量升級(jí)拓?fù)鋱D維護(hù)支持動(dòng)態(tài)IP的VPN設(shè)備管理;設(shè)備自動(dòng)發(fā)現(xiàn)；支持第三方

49、設(shè)備；設(shè)備批量增加；可以按域或按設(shè)備制定升級(jí)計(jì)劃，在有可用的升級(jí)包時(shí)在指定時(shí)間自動(dòng)升級(jí)顯示和編輯拓?fù)鋱D；放大縮小等功能。I三|=1=1功能大類子功能描述根據(jù)安全域、設(shè)備列表以及隧道列表，生成拓?fù)鋱D；顯示設(shè)備摘要信息：設(shè)備名稱、IP、隧道名。通過子域結(jié)點(diǎn)，進(jìn)入下級(jí)域的拓?fù)滹@示拓?fù)鋱D顯示支持位置手工和自動(dòng)排列基于拓?fù)鋱D狀態(tài)管理基于拓?fù)鋱D的設(shè)備與隧道監(jiān)控圖形化編手動(dòng)圖形化增加、移除設(shè)備、安全輯域、隧道;顯示方式顯示設(shè)備中服務(wù)列表；當(dāng)前圖節(jié)點(diǎn)變化時(shí)自動(dòng)刷新；拓?fù)湮醋兓恍杼崾敬姹P；顯示子域報(bào)警；顯示中轉(zhuǎn)設(shè)備；顯示子域設(shè)備總數(shù)；開關(guān)控制是否顯示隧道名稱；支持拓?fù)鋱D打印；導(dǎo)出拓?fù)?；圖標(biāo)排列操作；拓?fù)洳檎遥?/p>

50、名稱、IP、類型為條件）；功能大類子功能描述全局對(duì)象管理防火墻策略防火墻策略管理策略集中定義和下發(fā)設(shè)備監(jiān)視設(shè)備監(jiān)視批量監(jiān)視TOPN包括地址、區(qū)域、服務(wù)、時(shí)間和內(nèi)容過濾對(duì)象等；對(duì)象分發(fā)支持包過濾策略、訪問控制策略、NAT策略、內(nèi)容過濾策略；防火墻參數(shù)的統(tǒng)一配置；支持策略分組。以從手工創(chuàng)建策略；策略按域制定；可將策略下發(fā)并應(yīng)用到所選設(shè)備（可多臺(tái)）或域；在線狀態(tài)的監(jiān)視，及詳細(xì)信息的監(jiān)視（系統(tǒng)資源、接口流量等）；在子域結(jié)點(diǎn)中顯示該域內(nèi)所有下級(jí)設(shè)備的活躍數(shù)；通過分析設(shè)備健康記錄判斷設(shè)備運(yùn)行狀態(tài)；同時(shí)監(jiān)控多臺(tái)設(shè)備的接口信息；在監(jiān)控時(shí)可以做批量拆除連接”操作；支持監(jiān)視數(shù)據(jù)存儲(chǔ)、回放支持對(duì)監(jiān)控的設(shè)備進(jìn)行“TO

51、PN”功能大類子功能描述隧道監(jiān)視VRC用戶在線狀態(tài)監(jiān)視VPN策略基本策略管理增強(qiáng)策略管理排序動(dòng)態(tài)隧道狀態(tài)的監(jiān)視（禁用、活躍、停止、協(xié)商）；拓?fù)鋱D上顯示隧道的狀態(tài)，包括禁用、啟用狀態(tài)；查看所有VRC用戶的狀態(tài);在拓?fù)鋱D中選擇設(shè)備查看登錄在該設(shè)備所有在線VRC用戶；顯示VRC活躍數(shù)為一臺(tái)網(wǎng)關(guān)批量添加到多臺(tái)網(wǎng)關(guān)的隧道可以修改中間設(shè)備（可選）以及隧道封裝模式、數(shù)據(jù)保護(hù)方式、算法、指定隧道接口；等。隧道的建立刪除/啟用/禁用，可以批量操作支持NAT設(shè)備與非NAT設(shè)備建立隧道支持NAT設(shè)備與NAT設(shè)備建立隧功能大類子功能描述隧道增強(qiáng)參數(shù)VRC用戶信息維護(hù)道支持動(dòng)態(tài)IP設(shè)備之間隧道建立隧道參數(shù)增加第一階段協(xié)

52、商算法;VRC管理VRC權(quán)限管理增加、刪除、修改VRC組單個(gè)或批量增加、刪除、修改VRC用戶VRC用戶的啟用和禁用地址池的維護(hù)；指實(shí)現(xiàn)增加地址段、刪除地址段、自動(dòng)分配IP、分配指定的IP?；赩RC組對(duì)VRC用戶進(jìn)行權(quán)限定義指定VRC組可以登錄哪些網(wǎng)關(guān)或安全域。為登錄VPN網(wǎng)關(guān)時(shí)指定權(quán)限：訪問權(quán)限、協(xié)議、目的IP或IP范圍、目的端口范圍。為VRC用戶指定登錄時(shí)間，每周哪些天可以登錄。=1功能大類子功能描述VRC軟件自動(dòng)分發(fā)為VRC生成證書、配置、臨時(shí)下載口令，然后進(jìn)行分發(fā)。用戶安裝后不需配置即可連通VPN網(wǎng)絡(luò)。CA管理日志管理報(bào)警本地CA功能第三方CA功能日志接收及存儲(chǔ)日志查詢報(bào)警功能為設(shè)備生

53、成、更新、發(fā)放證書。為VRC生成、更新、發(fā)放證書。為管理員生成、更新、發(fā)放證書。證書驗(yàn)證與CRL文件管理為設(shè)備導(dǎo)入/更新第三方CA生成的證書驗(yàn)證設(shè)備和VRC身份。支持通過OCSP協(xié)議驗(yàn)證設(shè)備和VRC身份。支持第三方根證書和CRL導(dǎo)入。支持通過HTTP、LDAP協(xié)議自動(dòng)下載CRLO支持設(shè)備日志的接收和存儲(chǔ)，以及系統(tǒng)日志的存儲(chǔ)和轉(zhuǎn)發(fā)。對(duì)日志進(jìn)行詳細(xì)的按關(guān)鍵字查詢根據(jù)定義的報(bào)警條件，產(chǎn)生報(bào)警；功能大類子功能描述報(bào)警信息瀏覽報(bào)警方式軟件升級(jí)閥職報(bào)警設(shè)備及VRC軟件升級(jí)斷點(diǎn)續(xù)傳升級(jí)檢測(cè)報(bào)警條件有VRC用戶上下線，設(shè)備上下線信息，隧道連通斷線信息等等。根據(jù)關(guān)鍵字查詢和瀏覽歷史報(bào)警信息包括郵件、WINPOP

54、、SNMP、管理器鈴聲、管理器顯示短信等CPU、MEM超限報(bào)警對(duì)設(shè)備和VRC的升級(jí)補(bǔ)丁進(jìn)行管理；可直接為設(shè)備進(jìn)行升級(jí)；也為VRC提供下載升級(jí)服務(wù)。斷點(diǎn)續(xù)傳升級(jí)方式TP根據(jù)設(shè)備的版本號(hào)判斷是否有設(shè)備需要升級(jí)，如果有需要升級(jí)的設(shè)備，則提示用戶。管理計(jì)分析管理員管理統(tǒng)計(jì)報(bào)表輸出基于角色的權(quán)限劃分和管理。提供統(tǒng)計(jì)功能，并可以打印統(tǒng)計(jì)報(bào)表。功能大類子功能描述可以針對(duì)單臺(tái)或多臺(tái)網(wǎng)關(guān)進(jìn)行統(tǒng)計(jì)，還可按安全域統(tǒng)計(jì)，也可以針對(duì)整個(gè)網(wǎng)絡(luò)信息進(jìn)行統(tǒng)計(jì)。統(tǒng)計(jì)的信息應(yīng)該包括設(shè)備日志、系統(tǒng)日志、監(jiān)控信息等。系統(tǒng)運(yùn)行報(bào)表可以統(tǒng)計(jì)網(wǎng)關(guān)上線下線時(shí)間、在線時(shí)長、VPN隧道異常情況、網(wǎng)關(guān)VRC認(rèn)證情況報(bào)表形式報(bào)表支持餅圖、柱狀圖、曲

55、線圖等多種圖形方式顯示高可靠性服務(wù)器配置備份和恢復(fù)可實(shí)現(xiàn)服務(wù)器配置備份。可實(shí)現(xiàn)配置恢復(fù)。服務(wù)器級(jí)聯(lián)支持服務(wù)器分布式部署，下級(jí)上傳關(guān)鍵數(shù)據(jù)雙機(jī)冗余備份服務(wù)器可以雙機(jī)備份雙線路冗余備份服務(wù)器支持雙線路，可以在一條線路出現(xiàn)故障時(shí)自動(dòng)切換到另一條功能大類子功能描述W路TP運(yùn)行環(huán)境與標(biāo)準(zhǔn)可運(yùn)行在安裝有Windows2003Server以及Windows2008Server平臺(tái)的PC或服務(wù)器上。2.5天融信VPN產(chǎn)品的主要特點(diǎn)2.5.1支持國密局IPSecVPN技術(shù)規(guī)范天融信的IPSecVPN網(wǎng)關(guān)全面支持國家密碼管理局制定的IPSecVPN技術(shù)規(guī)范，支持多種國內(nèi)自主研制的硬件密碼算法，采用硬件密碼模塊進(jìn)行

56、密碼算法運(yùn)算，支持國家密碼管理局規(guī)定的SM1、SM2、SM3、SM4商用密碼算法,產(chǎn)品的安全性和合規(guī)性有充分的保障。天融信IPSecVPN安全網(wǎng)關(guān)可以與任何嚴(yán)格遵循IPSecVPN技術(shù)規(guī)范實(shí)現(xiàn)的IPSec網(wǎng)關(guān)進(jìn)行互聯(lián)互通。IPSecVPN技術(shù)規(guī)范對(duì)標(biāo)準(zhǔn)的IPSec協(xié)議進(jìn)行了修正，以數(shù)字信封的認(rèn)證方式替代了預(yù)共享密鑰和簽名的認(rèn)證方式，拋棄了DH密鑰交換方式，采用了公鑰加密的方式，杜絕了中間人攻擊的可能，同時(shí)，采用國家的商用密碼算法替代公開的標(biāo)準(zhǔn)算法，為用戶的數(shù)據(jù)提供了最大限度的安全保護(hù)。2.5.2全面支持IPSec協(xié)議標(biāo)準(zhǔn)IPSec作為一個(gè)全球性的安全標(biāo)準(zhǔn)，要求所有IPSec的實(shí)現(xiàn)必須嚴(yán)格遵循其

57、各種協(xié)議規(guī)范，以便實(shí)現(xiàn)不同產(chǎn)品之間的互通。天融信IPSecVPN產(chǎn)品經(jīng)過嚴(yán)格的互通性測(cè)試，與Cisco、Juniper、MicroSoft等著名廠家的VPN產(chǎn)品可以實(shí)現(xiàn)互通。產(chǎn)品遵循RFC1828、RFC1829、RFC1851、RFC1852、RFC2085、RFC2401-2412等一系列協(xié)議標(biāo)準(zhǔn)。A支持標(biāo)準(zhǔn)ESP、AH加密認(rèn)證協(xié)議；A支持隧道模式、傳輸模式的協(xié)議封裝格式;支持IKEvI、IKEv2；A支持主模式、野蠻模式、快速模式多種協(xié)商模式；支持證書認(rèn)證和預(yù)共享密鑰認(rèn)識(shí)方式；A支持DES、3DES、AES等多種對(duì)稱密鑰算法；A支持MD5、SHA1等多種完整性驗(yàn)證算法;A支持RSA、DH

58、等多種非對(duì)稱密鑰算法;A支持?jǐn)U展認(rèn)證和模式配置。2.5.3CleanVpN天融信VPN產(chǎn)品是集VPN、防火墻、帶寬管理、入侵防御等功能于一身的網(wǎng)絡(luò)安全產(chǎn)品，隧道策略、防火墻策略和防病毒策略可以組合使用。CleanVPN病毒掃描可以對(duì)所有的VPN數(shù)據(jù)流進(jìn)行掃描，從而阻止病毒和蠕蟲通過VPN隧道傳播，在總部、分支、遠(yuǎn)程用戶和合作伙伴之間建立純凈的VPN網(wǎng)絡(luò)。2.5.4完善的pki體系提高用戶網(wǎng)絡(luò)安全等級(jí)隨著VPN技術(shù)在政府、金融等高安全性要求領(lǐng)域的應(yīng)用不斷深入，用戶對(duì)VPN網(wǎng)絡(luò)的認(rèn)證功能與其原有的PKI體系進(jìn)行無縫結(jié)合的需求也越來越強(qiáng)烈。網(wǎng)絡(luò)衛(wèi)士多合一VPN產(chǎn)品全面支持標(biāo)準(zhǔn)PKI體系結(jié)構(gòu)，既能夠通

59、過內(nèi)置的CA模塊獨(dú)立為移動(dòng)用戶簽發(fā)數(shù)字證書，又能夠通過導(dǎo)入CA根證書+CRL列表方式對(duì)第三方CA簽發(fā)的證書進(jìn)行認(rèn)證，同時(shí)還能夠通過OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA提交在線證書認(rèn)真請(qǐng)求。具體PKI功能包括：A支持標(biāo)準(zhǔn)X509.V3格式數(shù)字證書；A支持DER、PEM、PKCS12等多種證書編碼格式；A支持通過內(nèi)置CA模塊為用戶簽發(fā)標(biāo)準(zhǔn)數(shù)字證書；A支持同時(shí)導(dǎo)入多個(gè)CA根證書和CRL列表，對(duì)不同CA簽發(fā)證書進(jìn)行認(rèn)證；A支持通過OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA進(jìn)行在線證書認(rèn)證；A支持生成PKCS10格式的證書請(qǐng)求，可生成證書請(qǐng)求，由第三方CA簽名；A支持CRL列表文件的導(dǎo)入和通過HTTP

60、自動(dòng)下載。天融信與吉大正元、上海格爾、天威誠信、江南計(jì)算所等國內(nèi)主要CA廠商有著長期的合作，網(wǎng)絡(luò)衛(wèi)士VPN網(wǎng)關(guān)與這些廠商的CA系統(tǒng)均能夠無縫集成。2.5.5支持全動(dòng)態(tài)IP地址間建VPN隧道目前國內(nèi)常用的因特網(wǎng)接入方案，包括電話撥號(hào)、ADSL寬帶接入等，都是由ISP為接入用戶動(dòng)態(tài)分配臨時(shí)IP地址。如果企業(yè)的兩個(gè)分支機(jī)構(gòu)均采用動(dòng)態(tài)IP地址方式接入因特網(wǎng)，那么這兩個(gè)分支機(jī)構(gòu)之間的VPN隧道策略參數(shù)必須進(jìn)行動(dòng)態(tài)調(diào)整，這一過程對(duì)目前市場(chǎng)大部分的VPN產(chǎn)品（包括國內(nèi)產(chǎn)品和國外產(chǎn)品）都無法自動(dòng)完成，這為VPN網(wǎng)絡(luò)的日常維護(hù)和廣泛應(yīng)用帶來很大困難。天融信IPSecVPN網(wǎng)關(guān)產(chǎn)品通過集中的VPN策略管理方式和D