天融信VPN組網(wǎng)解決方案模板

天融信VRCVPN客戶端支持操作系統(tǒng)平臺win/XP//VISTA/WIN7/WIN8等功能描述接入方式支持100/1000兆網(wǎng)卡、無線網(wǎng)卡等支持普通Modem撥號方式支持各種ADSL連接方式（PPPOE）支持2G/3G、WLAN等各種無線接入方式支持全網(wǎng)隧道訪問能夠?qū)h程用戶提供一種內(nèi)部網(wǎng)的訪問服務(wù)，使用戶無論處于何種位置，都能夠象在局域網(wǎng)內(nèi)部一樣方便的訪問內(nèi)部網(wǎng)絡(luò)，真正實現(xiàn)3A保障（Anytime，Anywhere，Anyone）IPsec標(biāo)準(zhǔn)支持主模式和野蠻模式協(xié)商支持ESP標(biāo)準(zhǔn)支持標(biāo)準(zhǔn)NAT穿越支持3DES,MD5，SHA1標(biāo)準(zhǔn)加密和認證算法支持采用硬件加密卡對數(shù)據(jù)進行認證、加密，最大限度保證用戶通信的安全證書格式支持標(biāo)準(zhǔn)X.509格式的證書，支持Base64、DER編碼方式支持WindowsCSP標(biāo)準(zhǔn)，能夠讀取多種第三方廠商USB-KeyDNS支持內(nèi)部DNS。移動用戶與總部的VPN建立隧道后，能夠經(jīng)過總部的內(nèi)部DNS服務(wù)器直接使用域名訪問內(nèi)部的各個應(yīng)用服務(wù)器（如Http、Ftp服務(wù)器等）WINS支持內(nèi)部WINS。移動用戶與總部的VPN建立隧道后，能夠經(jīng)過主機名訪問內(nèi)部的服務(wù)器和主機客戶端IP地址動態(tài)分配客戶端能夠經(jīng)過網(wǎng)關(guān)動態(tài)分配到虛擬IP地址，實現(xiàn)全網(wǎng)IP地址的動態(tài)管理客戶端訪問控制支持用戶硬件特征碼綁定，防止賬號被盜用支持按角色分配訪問權(quán)限，不同用戶能訪問不同的網(wǎng)絡(luò)資源訪問權(quán)限能夠設(shè)置到端口隧道配置與管理支持多隧道管理，方便用戶配置自定義的隧道支持隧道斷線重撥。若因為網(wǎng)絡(luò)不穩(wěn)定造成隧道斷開，可自動重新建立隧道，省去用戶手工重啟隧道的麻煩支持隧道監(jiān)控。經(jīng)過GUI界面，用戶能夠?qū)崟r查看隧道的狀態(tài)，隧道數(shù)據(jù)流量，隧道是否啟動/停止等支持隧道配置保存和導(dǎo)入支持用戶配置文件的保存和恢復(fù)客戶端自動功能用戶能夠選擇客戶端的自動功能，比如打開客戶端軟件后自動運行默認連接和自動重新認證等等天融信VPN安全策略管理平臺天融信安全設(shè)備與策略管理平臺TP系統(tǒng)（也稱為TopPolicy系統(tǒng)）由TP管理器、TopPolicy服務(wù)器和TopPolicy數(shù)據(jù)庫三部分組成。其中，TopPolicy數(shù)據(jù)庫是TP系統(tǒng)的基礎(chǔ)組件，它主要用于存儲整個網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備的信息及VPN安全策略。TopPolicy服務(wù)器是TP系統(tǒng)的核心組件，它是一個服務(wù)器程序，一般需要在網(wǎng)絡(luò)運行過程中實時在線。它主要完成認證設(shè)備、維護設(shè)備、維護VPN隧道、維護VRC信息等工作。TP系統(tǒng)結(jié)構(gòu)天融信VPN安全策略管理平臺（TP）作為安全設(shè)備與策略管理系統(tǒng)，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)的全面監(jiān)管，支持對天融信全系列產(chǎn)品的管理，如對UTM、IPSec/SSLVPN、SJW11、VRC客戶端等設(shè)備的集中監(jiān)控和管理。TP管理員能夠?qū)W(wǎng)絡(luò)中的設(shè)備運行狀態(tài)進行集中監(jiān)控和管理，而且在TP服務(wù)器中對所有本機和下級服務(wù)器進行設(shè)備管理、VRC管理、隧道管理、防火墻策略管理。管理員經(jīng)過集中定制IPS策略，集中定制防火墻的包過濾策略、訪問控制策略、NAT策略、深度過濾策略、VPN通訊策略，進而下發(fā)到各個管理設(shè)備，避免各個設(shè)備獨立定制策略的隨意性，便于從安全策略角度實現(xiàn)全網(wǎng)的安全策略統(tǒng)一管理。與業(yè)務(wù)管理對應(yīng)的分級管理體系在現(xiàn)實應(yīng)用環(huán)境中，網(wǎng)絡(luò)環(huán)境具有龐大、分級、分支機構(gòu)多、遍布全國的特點，TopPolicy對安全設(shè)備的管理與部署能夠完全適應(yīng)這種管理模式。首先本系統(tǒng)支持4級的域管理，這樣，用戶能夠方便的把一個全國的項目分級與分域管理，在統(tǒng)一策略下對責(zé)任進行分擔(dān)；經(jīng)過分級與分域管理，本系統(tǒng)能夠支持到3000臺安全設(shè)備和30000個VPN客戶端。其次，本系統(tǒng)能夠?qū)Π踩O(shè)備和策略實現(xiàn)完全的集中管理，也能夠?qū)崿F(xiàn)由下級管理中心或設(shè)備來管理日常的管理工作，而上級中心僅負責(zé)監(jiān)控與分析統(tǒng)計工作。策略的有序可控管理在實際的工作環(huán)境中，可能有大量的UTM和VPN設(shè)備（例如：300個VPN，1000條隧道）在運行。如果全部在端到端方式或端到網(wǎng)關(guān)方式下各自建立聯(lián)接，一則手工配置很容易導(dǎo)致配置文件不一致，而且人力成本很高；二則由于管理員不能隨時監(jiān)控VPN設(shè)備之間的連接，導(dǎo)致VPN設(shè)備之間可能存在著不應(yīng)有的連接，網(wǎng)絡(luò)安全存在隱患。因此在VPN大規(guī)模應(yīng)用的情況下，需要對這些VPN進行統(tǒng)一管理。TopPolicy讓管理員能夠經(jīng)過對所管理的VPN設(shè)備的行為進行監(jiān)控，審計員能夠?qū)芾韱T的行為進行監(jiān)控；而且經(jīng)過對加密算法、采用的安全策略以及網(wǎng)絡(luò)異常處理策略進行統(tǒng)一的協(xié)調(diào)，使VPN設(shè)備在管理上是有序的；同時在VPN設(shè)備登錄時自動下發(fā)統(tǒng)一配置的安全信息，無需對每個VPN設(shè)備進行配置，從而減低了分散管理可能帶來的不一致和復(fù)雜性。VPN客戶端自動部署VPN客戶端軟件（VRC）的分發(fā)、配置以及設(shè)備證書的生成和分發(fā)這些軟件部署工作，在VPN產(chǎn)品大規(guī)模使用的時候，將成為一項非常繁瑣和復(fù)雜的工作，系統(tǒng)管理員的工作量極大增加，同時也給整個VPN系統(tǒng)帶來了不必要的安全隱患。為了降低系統(tǒng)管理員的工作復(fù)雜度和保證系統(tǒng)的安全，天融信公司在TopPolicy中實現(xiàn)了VRC的自動部署功能。TopPolicy內(nèi)含的自動部署系統(tǒng)（AutomaticDistributionSystem：ADS）是中國第一套自行研制開發(fā)的為整個VPN系統(tǒng)提供VPN客戶端軟件安全部署服務(wù)的軟件。它能夠?qū)PN客戶端軟件進行集中部署和必要的證書管理，而且為每個VPN客戶端軟件的部署提供必要的安全服務(wù)。它基于Windows操作平臺、IE瀏覽器和IISHTTP服務(wù)器，界面友好，使用簡便。TopPolicy自動部署系統(tǒng)能夠?qū)崿F(xiàn)對企業(yè)內(nèi)部所有VRC的全面部署和證書、密鑰的統(tǒng)一管理，管理員能夠在任何網(wǎng)絡(luò)環(huán)境中實現(xiàn)VRC的自動部署，根據(jù)企業(yè)的實際需求制定全局VRC部署策略，從而使繁重的VRC部署工作變得簡單有序。管理員用戶能夠在異地對自動部署系統(tǒng)的服務(wù)器進行操作，提高了自動部署的機動性和靈活性。完善的PKI體系支持TopPolicy系統(tǒng)采用遵循X.509證書來作為提供認證的載體。對于中等規(guī)模的用戶只需建立一個自封閉的身份認證體系，則無需外部證書發(fā)放機構(gòu)的簽發(fā)證書，企業(yè)自己就能夠構(gòu)建自己的證書發(fā)放機構(gòu)(CA)。對這種用戶TopPolicy提供了簡單實用的PKICA系統(tǒng)，能夠為管理員、設(shè)備、VRC生成、更新、發(fā)放證書，同時提供證書驗證與CRL文件管理等功能。對于已經(jīng)建有CA系統(tǒng)的用戶，TopPolicy完全支持第三方的PKI系統(tǒng)，能夠為設(shè)備和VRC導(dǎo)入/更新第三方CA生成的證書，不但支持在TP本地使用第三方CA的根證書驗證設(shè)備以及VRC身份，還支持經(jīng)過OCSP協(xié)議實時在線驗證設(shè)備和VRC身份。支持經(jīng)過HTTP、LDAP協(xié)議自動下載CRL列表等等。集中的配置管理和豐富的設(shè)備管理功能針對不同的設(shè)備，能夠經(jīng)過手動立即獲取配置或經(jīng)過任務(wù)自動獲取配置。能夠為每個設(shè)備保存最多100個配置備份。能夠經(jīng)過調(diào)用各種管理組件如ping、telnet、SSH、Traceroute、遠程管理等，實現(xiàn)對設(shè)備的配置和管理。多視角的可視化管理TopPolicy能經(jīng)過拓撲圖等多種方式，實現(xiàn)對設(shè)備、隧道等進行各種管理，進而實現(xiàn)對設(shè)備性能信息的監(jiān)視，包括CPU信息、內(nèi)存信息、接口信息和連接信息等。另外，對于具有VPN功能的設(shè)備還提供了隧道監(jiān)控和VPN監(jiān)控功能。適用于不同的網(wǎng)絡(luò)環(huán)境在TopPolicy構(gòu)建的系統(tǒng)中，每一個VPN設(shè)備都使用設(shè)備名稱作為系統(tǒng)內(nèi)唯一確定的ID標(biāo)識，經(jīng)過ID來管理和訪問這些VPN設(shè)備。這樣就拋棄了傳統(tǒng)的基于IP的管理方法，使TopPolicy不但能夠讓系統(tǒng)中的設(shè)備以固定IP方式、固定IP和動態(tài)IP方式互聯(lián)，而且從根本上解決了VPN設(shè)備互聯(lián)時地址被地址轉(zhuǎn)換（NAT）的問題和動態(tài)IP接入網(wǎng)絡(luò)的問題。而且不論VPN設(shè)備的網(wǎng)絡(luò)環(huán)境（IP地址）怎么改變，只要ID不變，TopPolicy服務(wù)器就為它保持原來的安全配置。系統(tǒng)高安全性作為安全管理產(chǎn)品，TopPolicy自身具有很高的安全性。系統(tǒng)各功能模塊間的通信均可采用加密的方式進行；在TopPolicy構(gòu)建的系統(tǒng)內(nèi)采用證書進行身份認證；系統(tǒng)能夠抵御一定強度的DOS攻擊。經(jīng)過這些安全措施，有效地防止了由于網(wǎng)絡(luò)監(jiān)聽或帳號濫用造成的一系列安全問題。多語言支持支持動態(tài)簡體中文和英文切換。使用靈活簡便TopPolicy的使用方式十分靈活，TopPolicy系統(tǒng)分成三個部分：TopPolicyServer，TopPolicyManager和被管理設(shè)備，每個部分都能夠在廣域網(wǎng)的不同物理位置獨立運行。TopPolicy界面友好，操作起來相當(dāng)簡便，克服了相關(guān)VPN產(chǎn)品操作復(fù)雜、對用戶的技術(shù)門檻要求高的特點，配置十分的簡便。天融信TP產(chǎn)品功能功能大類子功能描述設(shè)備管理多級安全域管理能夠?qū)⒃O(shè)備按照管理范圍劃分為多個域；域之間能夠有上下級關(guān)系，最多支持4級域，能夠為管理員指定可管理的域范圍。設(shè)備注冊及認證被管理設(shè)備自動完成注冊與認證設(shè)備遠程管理在設(shè)備管理列表中選擇設(shè)備，經(jīng)過調(diào)用瀏覽器登錄遠程設(shè)備進行管理、在拓撲圖上選擇設(shè)備進行遠程管理調(diào)用、提供管理工具：Ping/SSH/telnet/Traceroute。設(shè)備配置集中保存和更新能夠查詢、接收并保存設(shè)備配置信息，并為設(shè)備提供配置更新服務(wù)。能夠為一個設(shè)備保存多個配置，并在更新時由管理員進行選擇；設(shè)備配置應(yīng)用后需要提示保存；支持天融信設(shè)備配置保存；可定期檢查設(shè)備配置是否被私自修改；可顯示配置變化狀態(tài)。設(shè)備操作開啟服務(wù)、設(shè)備重啟、時鐘設(shè)置、設(shè)置ROOT管理員口令等；設(shè)備主動注冊支持動態(tài)IP的VPN設(shè)備管理；設(shè)備發(fā)現(xiàn)設(shè)備自動發(fā)現(xiàn)；支持第三方設(shè)備；設(shè)備批量增加；設(shè)備批量升級能夠按域或按設(shè)備制定升級計劃，在有可用的升級包時在指定時間自動升級拓撲管理拓撲圖維護顯示和編輯拓撲圖；放大縮小等功能。根據(jù)安全域、設(shè)備列表以及隧道列表，生成拓撲圖；顯示設(shè)備摘要信息：設(shè)備名稱、IP、隧道名。經(jīng)過子域結(jié)點，進入下級域的拓撲顯示拓撲圖顯示支持位置手工和自動排列基于拓撲圖狀態(tài)管理基于拓撲圖的設(shè)備與隧道監(jiān)控圖形化編輯手動圖形化增加、移除設(shè)備、安全域、隧道；顯示方式顯示設(shè)備中服務(wù)列表；當(dāng)前圖節(jié)點變化時自動刷新；拓撲未變化不需提示存盤；顯示子域報警；顯示中轉(zhuǎn)設(shè)備；顯示子域設(shè)備總數(shù)；開關(guān)控制是否顯示隧道名稱；支持拓撲圖打??；導(dǎo)出拓撲；圖標(biāo)排列操作；拓撲查找（名稱、IP、類型為條件）；防火墻策略全局對象管理包括地址、區(qū)域、服務(wù)、時間和內(nèi)容過濾對象等；對象分發(fā)防火墻策略管理支持包過濾策略、訪問控制策略、NAT策略、內(nèi)容過濾策略；防火墻參數(shù)的統(tǒng)一配置；支持策略分組。策略集中定義和下發(fā)以從手工創(chuàng)立策略；策略按域制定；可將策略下發(fā)并應(yīng)用到所選設(shè)備（可多臺）或域；設(shè)備監(jiān)視設(shè)備監(jiān)視在線狀態(tài)的監(jiān)視，及詳細信息的監(jiān)視（系統(tǒng)資源、接口流量等）；在子域結(jié)點中顯示該域內(nèi)所有下級設(shè)備的活躍數(shù)；批量監(jiān)視經(jīng)過分析設(shè)備健康記錄判斷設(shè)備運行狀態(tài)；同時監(jiān)控多臺設(shè)備的接口信息；在監(jiān)控時能夠做批量“拆除連接”操作；支持監(jiān)視數(shù)據(jù)存儲、回放TOPN支持對監(jiān)控的設(shè)備進行“TOPN”排序隧道監(jiān)視動態(tài)隧道狀態(tài)的監(jiān)視（禁用、活躍、停止、協(xié)商）；拓撲圖上顯示隧道的狀態(tài)，包括禁用、啟用狀態(tài)；VRC用戶在線狀態(tài)監(jiān)視查看所有VRC用戶的狀態(tài)；在拓撲圖中選擇設(shè)備查看登錄在該設(shè)備所有在線VRC用戶；顯示VRC活躍數(shù)VPN策略基本策略管理為一臺網(wǎng)關(guān)批量添加到多臺網(wǎng)關(guān)的隧道能夠修改中間設(shè)備（可選）以及隧道封裝模式、數(shù)據(jù)保護方式、算法、指定隧道接口；等。隧道的建立/刪除/啟用/禁用，能夠批量操作增強策略管理支持NAT設(shè)備與非NAT設(shè)備建立隧道支持NAT設(shè)備與NAT設(shè)備建立隧道支持動態(tài)IP設(shè)備之間隧道建立隧道增強參數(shù)隧道參數(shù)增加第一階段協(xié)商算法；VRC管理VRC用戶信息維護增加、刪除、修改VRC組單個或批量增加、刪除、修改VRC用戶VRC用戶的啟用和禁用地址池的維護；指實現(xiàn)增加地址段、刪除地址段、自動分配IP、分配指定的IP。VRC權(quán)限管理基于VRC組對VRC用戶進行權(quán)限定義指定VRC組能夠登錄哪些網(wǎng)關(guān)或安全域。為登錄VPN網(wǎng)關(guān)時指定權(quán)限：訪問權(quán)限、協(xié)議、目的IP或IP范圍、目的端口范圍。為VRC用戶指定登錄時間，每周哪些天能夠登錄。VRC軟件自動分發(fā)為VRC生成證書、配置、臨時下載口令，然后進行分發(fā)。用戶安裝后不需配置即可連通VPN網(wǎng)絡(luò)。CA管理本地CA功能為設(shè)備生成、更新、發(fā)放證書。為VRC生成、更新、發(fā)放證書。為管理員生成、更新、發(fā)放證書。證書驗證與CRL文件管理第三方CA功能為設(shè)備導(dǎo)入/更新第三方CA生成的證書驗證設(shè)備和VRC身份。支持經(jīng)過OCSP協(xié)議驗證設(shè)備和VRC身份。支持第三方根證書和CRL導(dǎo)入。支持經(jīng)過HTTP、LDAP協(xié)議自動下載CRL。日志管理日志接收及存儲支持設(shè)備日志的接收和存儲，以及系統(tǒng)日志的存儲和轉(zhuǎn)發(fā)。日志查詢對日志進行詳細的按關(guān)鍵字查詢報警報警功能根據(jù)定義的報警條件，產(chǎn)生報警；報警條件有VRC用戶上下線，設(shè)備上下線信息，隧道連通斷線信息等等。報警信息瀏覽根據(jù)關(guān)鍵字查詢和瀏覽歷史報警信息報警方式包括郵件、WINPOP、SNMP、管理器鈴聲、管理器顯示短信等閥職報警CPU、MEM超限報警軟件升級設(shè)備及VRC軟件升級對設(shè)備和VRC的升級補丁進行管理；可直接為設(shè)備進行升級；也為VRC提供下載升級服務(wù)。斷點續(xù)傳斷點續(xù)傳升級方式升級檢測TP根據(jù)設(shè)備的版本號判斷是否有設(shè)備需要升級，如果有需要升級的設(shè)備，則提示用戶。用戶管理管理員管理基于角色的權(quán)限劃分和管理。統(tǒng)計分析統(tǒng)計報表輸出提供統(tǒng)計功能，并能夠打印統(tǒng)計報表。能夠針對單臺或多臺網(wǎng)關(guān)進行統(tǒng)計，還可按安全域統(tǒng)計，也能夠針對整個網(wǎng)絡(luò)信息進行統(tǒng)計。統(tǒng)計的信息應(yīng)該包括設(shè)備日志、系統(tǒng)日志、監(jiān)控信息等。系統(tǒng)運行報表能夠統(tǒng)計網(wǎng)關(guān)上線下線時間、在線時長、VPN隧道異常情況、網(wǎng)關(guān)VRC認證情況報表形式報表支持餅圖、柱狀圖、曲線圖等多種圖形方式顯示高可靠性服務(wù)器配置備份和恢復(fù)可實現(xiàn)服務(wù)器配置備份?？蓪崿F(xiàn)配置恢復(fù)。服務(wù)器級聯(lián)支持服務(wù)器分布式部署，下級上傳關(guān)鍵數(shù)據(jù)雙機冗余備份服務(wù)器能夠雙機備份雙線路冗余備份服務(wù)器支持雙線路，能夠在一條線路出現(xiàn)故障時自動切換到另一條線路。TP運行環(huán)境與標(biāo)準(zhǔn)可運行在安裝有WindowsServer以及WindowsServer平臺的PC或服務(wù)器上。天融信VPN產(chǎn)品的主要特點支持國密局《IPSecVPN技術(shù)規(guī)范》天融信的IPSecVPN網(wǎng)關(guān)全面支持國家密碼管理局制定的《IPSecVPN技術(shù)規(guī)范》，支持多種國內(nèi)自主研制的硬件密碼算法，采用硬件密碼模塊進行密碼算法運算，支持國家密碼管理局規(guī)定的SM1、SM2、SM3、SM4商用密碼算法，產(chǎn)品的安全性和合規(guī)性有充分的保障。天融信IPSecVPN安全網(wǎng)關(guān)能夠與任何嚴格遵循《IPSecVPN技術(shù)規(guī)范》實現(xiàn)的IPSec網(wǎng)關(guān)進行互聯(lián)互通。《IPSecVPN技術(shù)規(guī)范》對標(biāo)準(zhǔn)的IPSec協(xié)議進行了修正，以數(shù)字信封的認證方式替代了預(yù)共享密鑰和簽名的認證方式，拋棄了DH密鑰交換方式，采用了公鑰加密的方式，杜絕了中間人攻擊的可能，同時，采用國家的商用密碼算法替代公開的標(biāo)準(zhǔn)算法，為用戶的數(shù)據(jù)提供了最大限度的安全保護。全面支持IPSec協(xié)議標(biāo)準(zhǔn)IPSec作為一個全球性的安全標(biāo)準(zhǔn)，要求所有IPSec的實現(xiàn)必須嚴格遵循其各種協(xié)議規(guī)范，以便實現(xiàn)不同產(chǎn)品之間的互通。天融信IPSecVPN產(chǎn)品經(jīng)過嚴格的互通性測試，與Cisco、Juniper、MicroSoft等著名廠家的VPN產(chǎn)品能夠?qū)崿F(xiàn)互通。產(chǎn)品遵循RFC1828、RFC1829、RFC1851、RFC1852、RFC2085、RFC2401-2412等一系列協(xié)議標(biāo)準(zhǔn)。支持標(biāo)準(zhǔn)ESP、AH加密認證協(xié)議；支持隧道模式、傳輸模式的協(xié)議封裝格式；支持IKEv1、IKEv2；支持主模式、野蠻模式、快速模式多種協(xié)商模式；支持證書認證和預(yù)共享密鑰認識方式；支持DES、3DES、AES等多種對稱密鑰算法；支持MD5、SHA1等多種完整性驗證算法；支持RSA、DH等多種非對稱密鑰算法；支持擴展認證和模式配置。CleanVPN天融信VPN產(chǎn)品是集VPN、防火墻、帶寬管理、入侵防御等功能于一身的網(wǎng)絡(luò)安全產(chǎn)品，隧道策略、防火墻策略和防病毒策略能夠組合使用。CleanVPN病毒掃描能夠?qū)λ械腣PN數(shù)據(jù)流進行掃描，從而阻止病毒和蠕蟲經(jīng)過VPN隧道傳播，在總部、分支、遠程用戶和合作伙伴之間建立純凈的VPN網(wǎng)絡(luò)。完善的PKI體系提高用戶網(wǎng)絡(luò)安全等級隨著VPN技術(shù)在政府、金融等高安全性要求領(lǐng)域的應(yīng)用不斷深入，用戶對VPN網(wǎng)絡(luò)的認證功能與其原有的PKI體系進行無縫結(jié)合的需求也越來越強烈。網(wǎng)絡(luò)衛(wèi)士多合一VPN產(chǎn)品全面支持標(biāo)準(zhǔn)PKI體系結(jié)構(gòu)，既能夠經(jīng)過內(nèi)置的CA模塊獨立為移動用戶簽發(fā)數(shù)字證書，又能夠經(jīng)過導(dǎo)入CA根證書＋CRL列表方式對第三方CA簽發(fā)的證書進行認證，同時還能夠經(jīng)過OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA提交在線證書認真請求。具體PKI功能包括：支持標(biāo)準(zhǔn)X509.V3格式數(shù)字證書；支持DER、PEM、PKCS12等多種證書編碼格式；支持經(jīng)過內(nèi)置CA模塊為用戶簽發(fā)標(biāo)準(zhǔn)數(shù)字證書；支持同時導(dǎo)入多個CA根證書和CRL列表，對不同CA簽發(fā)證書進行認證；支持經(jīng)過OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA進行在線證書認證；支持生成PKCS10格式的證書請求，可生成證書請求，由第三方CA簽名；支持CRL列表文件的導(dǎo)入和經(jīng)過HTTP自動下載。天融信與吉大正元、上海格爾、天威誠信、江南計算所等國內(nèi)主要CA廠商有著長期的合作，網(wǎng)絡(luò)衛(wèi)士VPN網(wǎng)關(guān)與這些廠商的CA系統(tǒng)均能夠無縫集成。支持全動態(tài)IP地址間建VPN隧道當(dāng)前國內(nèi)常見的因特網(wǎng)接入方案，包括電話撥號、ADSL寬帶接入等，都是由ISP為接入用戶動態(tài)分配臨時IP地址。如果企業(yè)的兩個分支機構(gòu)均采用動態(tài)IP地址方式接入因特網(wǎng)，那么這兩個分支機構(gòu)之間的VPN隧道策略參數(shù)必須進行動態(tài)調(diào)整，這一過程對當(dāng)前市場大部分的VPN產(chǎn)品（包括國內(nèi)產(chǎn)品和國外產(chǎn)品）都無法自動完成，這為VPN網(wǎng)絡(luò)的日常維護和廣泛應(yīng)用帶來很大困難。天融信IPSecVPN網(wǎng)關(guān)產(chǎn)品經(jīng)過集中的VPN策略管理方式和DDNS無縫結(jié)合技術(shù)成功解決了全動態(tài)IP之間自動建立VPN隧道的問題。NAT自動穿越NAT技術(shù)是當(dāng)前國內(nèi)企業(yè)共享上網(wǎng)、小區(qū)和智能大廈寬帶接入、城域網(wǎng)寬帶接入所使用的主流技術(shù)。NAT與IPSec協(xié)議在原理上存在一定的矛盾，因此在應(yīng)用IPSec技術(shù)組建VPN網(wǎng)絡(luò)時，一定要考慮選用的VPN設(shè)備是否具有“NAT穿越”的功能。而大多數(shù)的VPN設(shè)備在配置隧道時，需要預(yù)先知道該條隧道是否存在NAT設(shè)備，而事實上，網(wǎng)絡(luò)管理員很難準(zhǔn)確掌握整個路徑中設(shè)備的NAT情況，而且NAT狀態(tài)也可能經(jīng)常變化。天融信IPSecVPN全系列產(chǎn)品均支持最新的NATT協(xié)議標(biāo)準(zhǔn)，在隧道協(xié)商過程中動態(tài)的計算是否存在NAT設(shè)備，動態(tài)的調(diào)整策略，無需管理員額外填寫任何配置，具有非常好的網(wǎng)絡(luò)適應(yīng)性。天融信的IPSecVPN產(chǎn)品還能經(jīng)過隧道路由轉(zhuǎn)發(fā)技術(shù)支持雙向NAT穿越。隧道路由技術(shù)實現(xiàn)VPN靈活自動部署在實際物理網(wǎng)絡(luò)部署中，網(wǎng)絡(luò)管理員首先經(jīng)過物理線路（可能是光纖、雙絞線、電話線等）連接各個路由設(shè)備，然后經(jīng)過在路由器上配置靜態(tài)路由或者動態(tài)路由完成各種規(guī)模網(wǎng)絡(luò)的靈活部署。在IPSecVPN網(wǎng)絡(luò)中，將每一條隧道視為連接兩臺VPN設(shè)備的虛擬網(wǎng)絡(luò)線路，隧道建立成功后，虛擬線路連接工作就完成了?；谶@些虛擬線路，網(wǎng)絡(luò)管理員能夠在IPSecVPN網(wǎng)關(guān)上采用同樣的方法配置靜態(tài)、動態(tài)路由協(xié)議，完成整個VPN網(wǎng)絡(luò)的靈活部署。這種隧道路由機制的優(yōu)點在于：網(wǎng)關(guān)的配置概念和方法與路由器類似，減少網(wǎng)絡(luò)管理員對于部署VPN網(wǎng)絡(luò)的學(xué)習(xí)和熟悉過程；經(jīng)過隧道路由規(guī)則的配置，能夠完成VPN數(shù)據(jù)流在VPN網(wǎng)關(guān)之間的靈活轉(zhuǎn)發(fā)，從而能夠?qū)崿F(xiàn)星型網(wǎng)絡(luò)拓撲，并解決雙向NAT穿越問題；經(jīng)過動態(tài)隧道路由協(xié)議的配置，能夠?qū)崿F(xiàn)整個VPN網(wǎng)絡(luò)的自適應(yīng)部署，VPN網(wǎng)絡(luò)拓撲的自動學(xué)習(xí)、自動尋徑；經(jīng)過基于策略的隧道路由配置，能夠?qū)崿F(xiàn)VPN網(wǎng)關(guān)的冗余備份和負載均衡。完善的VPN網(wǎng)絡(luò)集中管理功能利用基于互聯(lián)網(wǎng)的VPN技術(shù)構(gòu)建企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施，低成本、高效率是其天然的優(yōu)勢，但與此相伴的則是安全性和可管理性的潛在風(fēng)險。特別是對于分支機構(gòu)、營業(yè)網(wǎng)點遍布全國的大型企業(yè)來講，其業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)具有分布地域廣泛、接入點多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點。如何確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，有效地管理、維護遍布企業(yè)各個結(jié)點的VPN設(shè)備，保證網(wǎng)絡(luò)的穩(wěn)定運行，是VPN產(chǎn)品供應(yīng)商必須解決的問題。IPSecVPN在綜合了大量的用戶需求后，逐步形成了“統(tǒng)一認證、集中監(jiān)控、分級管理”的VPN網(wǎng)絡(luò)管理方案。并成功運用于許多特大型企業(yè)的VPN建設(shè)中。支持組播穿越隧道普通的IPSECVPN不能支持組播協(xié)議，因為IPSEC只能將組播包路由到某一個特定的對端。天融信VPN經(jīng)過技術(shù)創(chuàng)新，能支持組播穿越，這樣就能夠在整個VPN網(wǎng)絡(luò)內(nèi)部利用組播來開展視頻會議等應(yīng)用。同時，利用組播穿越VPN隧道，還能夠輕松的實現(xiàn)隧道內(nèi)的動態(tài)路由。VPN設(shè)備能夠?qū)⒁欢藢W(xué)習(xí)到的路由自動發(fā)布到另外一端，從而大大簡化了網(wǎng)絡(luò)的部署，提升了網(wǎng)絡(luò)的管理效率。多機多線路負載均衡與備份天融信VPN網(wǎng)關(guān)支持多機與多線路的組合應(yīng)用，能夠在多臺設(shè)備與多條鏈路之間實現(xiàn)隧道內(nèi)數(shù)據(jù)的負載均衡或備份。還能實現(xiàn)多線路自動選優(yōu)，有效解決國內(nèi)跨運營商線路的互通問題。當(dāng)某條線路發(fā)生故障時，系統(tǒng)能自動的將數(shù)據(jù)流切換到其它線路；當(dāng)一臺設(shè)備發(fā)生故障時，系統(tǒng)能自動將數(shù)據(jù)流切換到其它網(wǎng)關(guān)設(shè)備，保證VPN網(wǎng)絡(luò)的連通性。支持靈活的移動用戶接入策略VPN技術(shù)在遠程移動辦公領(lǐng)域的應(yīng)用越來越廣泛，因此支持安全靈活的移動用戶接入策略已經(jīng)成為VPN產(chǎn)品競爭的焦點。IPSecVPN產(chǎn)品支持豐富的移動用戶接入策略，為各種需求的用戶提供了完善的解決方案。支持基于用戶＋口令的認證機制；支持基于數(shù)字證書的認證機制；支持基于證書＋口令的雙因子認證機制；支持RADIUS/TARCAS/LDAP/AD等用戶認證協(xié)議；支持USBKEY、動態(tài)口令卡等強身份認證機制；支持基于服務(wù)的移動用戶的訪問授權(quán)；支持基于時間的移動用戶訪問控制；支持移動用戶的硬件特征碼綁定機制；客戶端版本支持中英文自動切換。豐富多樣的認證與授權(quán)天融信VPN產(chǎn)品內(nèi)置有用戶認證數(shù)據(jù)庫，同時支持多種外部認證，如：RADIUS認證、AD認證、LDAP認證等，并支持外部認證服務(wù)器對用戶授權(quán)與計費。經(jīng)過外部認證，能夠方便的與用戶原有的認證系統(tǒng)無縫的結(jié)合。天融信的VPN網(wǎng)關(guān)支持用戶名、口令、證書、USBKEY、短信、硬件特征碼、指紋、動態(tài)令牌、時間、IP地址等多種認證方式以及它們的任意組合，為用戶提供最強的安全接入機制。分級可信接入體系可信接入是指對遠程接入的VPN客戶端的主機安全性進行檢查。天融信VPN網(wǎng)關(guān)可對客戶端的接入實行可信接入檢查，包括操作系統(tǒng)、補丁、防病毒軟件、防火墻軟件、進程、文件、注冊表項等，對安全性檢查不合格的客戶端，可拒絕其接入內(nèi)網(wǎng)。天融信VPN網(wǎng)關(guān)還可對客戶端的可信接入安全性檢查結(jié)果進行分級，不同的級別能夠授予不同的權(quán)限，對不滿足安全要求的主機或終端，能夠根據(jù)其缺陷程度分別實行隔離、修復(fù)和限制訪問。對于要求訪問敏感信息服務(wù)器的用戶，如果沒有達到較高安全等級，可只授予與其安全等級匹配的普通權(quán)限。這樣既能夠防止不安全的用戶主機感染內(nèi)部關(guān)鍵服務(wù)器，又能夠保留其瀏覽公司普通Web服務(wù)器的權(quán)限，實現(xiàn)桌面的安全等級與訪問資源的安全級別相匹配和訪問權(quán)限的分級。簡單易用的無驅(qū)客戶端當(dāng)前一般的IPSecVPN客戶端基本采用的是虛擬網(wǎng)卡和核心墊片技術(shù)，這些技術(shù)需要在用戶的設(shè)備上安裝核心驅(qū)動程序，而核心驅(qū)動程序的安裝是很不安全的，容易與用戶設(shè)備上的防火墻軟件、防病毒軟件等其它程序會發(fā)生沖突，而且程序員的任何一個疏忽都可能導(dǎo)致藍屏、死機等現(xiàn)象。天融信的IPSecVPN客戶端完全摒棄了這些弊端，采用Windows內(nèi)置的MiniPort為基石，無需安裝任何核心驅(qū)動，不會與任何的防火墻、防病毒等其它核心程序發(fā)生沖突，安全、穩(wěn)定、簡單、易用，能讓用戶用得放心。iOS零安裝當(dāng)前移動互聯(lián)已成為新的應(yīng)用趨勢，經(jīng)過智能終端即可方便的實現(xiàn)遠程辦公，其中，蘋果的iPhone、iPad是最常見的終端之一。一般的VPN需要在蘋果終端上安裝軟件才能接入，這樣既不方便，又容易導(dǎo)致系統(tǒng)的不穩(wěn)定。天融信的iOS解決方案是采用零安裝方式，不需安裝任何軟件，直接使用iOS上內(nèi)置的IPSec客戶端與VPN網(wǎng)關(guān)進行安全互聯(lián)，IPSec客戶端與VPN網(wǎng)關(guān)采用改進的IPSec密鑰協(xié)商協(xié)議IKE+XAuth進行隧道協(xié)商，既能實現(xiàn)用戶認證授權(quán)，又能達到數(shù)據(jù)加密的效果，同時不用擔(dān)心iOS上客戶端的不穩(wěn)定性，具有使用方便、簡單、安全等特點。集成功能強大的防火墻功能天融信VPN產(chǎn)品集成了天融信強大的防火墻產(chǎn)品功能，能為用戶的VPN網(wǎng)絡(luò)提供高等級的邊界安全防護與訪問控制。天融信VPN網(wǎng)關(guān)具有強大的內(nèi)容過濾功能，支持URL分類過濾，分類庫大于700萬條；支持掛馬網(wǎng)站過濾；支持郵件過濾和反垃圾郵件功能。還具完善的應(yīng)用識別功能，用戶能夠輕松的針對一些典型網(wǎng)絡(luò)應(yīng)用，如MSN，QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即時通信應(yīng)用，以及BT、Edonkey、Emule、訊雷等p2p應(yīng)用實行靈活的訪問控制策略，如禁止、限時、帶寬控制等。集成強大的網(wǎng)絡(luò)附加功能天融信IPSecVPN網(wǎng)關(guān)為用戶組網(wǎng)提供了強大的網(wǎng)絡(luò)附加功能，完全能夠作為獨立的相關(guān)網(wǎng)絡(luò)設(shè)備進行配置使用，其主要功能如下：基于TOS安全操作系統(tǒng)的高可擴展性，可輕松的升級成集IPS、防病毒、內(nèi)容過濾、反垃圾郵件等功能于一體的安全網(wǎng)關(guān)；集成強大的網(wǎng)絡(luò)附加功能，支持交換、靜態(tài)/動態(tài)路由、VLAN、帶寬管理、DNS代理、DHCP服務(wù)器、ARP代理、組播協(xié)議等。XXXX網(wǎng)絡(luò)系統(tǒng)互聯(lián)VPN解決方案根據(jù)XXXX網(wǎng)絡(luò)互聯(lián)的實際情況，我們采用天融信VPN系列產(chǎn)品提供整體網(wǎng)絡(luò)互聯(lián)VPN安全解決方案，解決其所面臨的網(wǎng)絡(luò)互訪、傳輸保密、節(jié)點認證、增值服務(wù)、網(wǎng)絡(luò)訪問控制等問題。VPN解決方案各分支機構(gòu)經(jīng)過Internet接入中心，在采用天融信VPN設(shè)備實現(xiàn)互聯(lián)的情況下，其配置情況如下所述：在總部中心Internet接入口處安裝一臺“天融信千兆高端VPN網(wǎng)關(guān)”作為VPN中心網(wǎng)關(guān)。中心網(wǎng)關(guān)是整個VPN網(wǎng)絡(luò)的中心部件，它負責(zé)維護和各個分支機構(gòu)及移動用戶之間的隧道和安全策略，中心網(wǎng)關(guān)兼有功能強大的防火墻功能，工作方式支持橋、路由和混雜方式，還具有入侵防御、內(nèi)容過濾、帶寬管理、日志報警等多種功能；在總部部署一臺服務(wù)器作為“安全策略管理平臺（TP）”，負責(zé)本企業(yè)整個VPN網(wǎng)絡(luò)中VPN設(shè)備的證書生成、發(fā)放，而且制定VPN設(shè)備之間的通信策略，使得全網(wǎng)的VPN設(shè)備能夠以數(shù)字證書方式進行身份認證和隧道的建立，并對使用的天融信VPN設(shè)備進行管理，以簡化中心和所有分支機構(gòu)VPN設(shè)備的策略配置工作。天融信TP還具有拓撲圖自動生成、日志審計、報表、實時監(jiān)控、報警等多種功能。各分支機構(gòu)根據(jù)網(wǎng)絡(luò)規(guī)模在Internet接口處安裝一臺天融信XX網(wǎng)關(guān)作為硬件網(wǎng)關(guān)。分支網(wǎng)關(guān)首先能夠作為各分支機構(gòu)的上網(wǎng)訪問設(shè)備和防火墻設(shè)備，在連入互聯(lián)網(wǎng)的同時自動向中心VPN網(wǎng)關(guān)進行身份認證和VPN隧道協(xié)商。分支網(wǎng)關(guān)也兼有功能完善的防火墻功能，可抵抗多種攻擊方式，保護分支機構(gòu)內(nèi)網(wǎng)的安全；各移動用戶在PC或移動終端上安裝天融信VPN客戶端“VRC”，天融信VRC支持“證書”認證、“用戶名＋