VPN技術(shù)設(shè)計(jì)方案

技術(shù)設(shè)計(jì)方案項(xiàng)目概述與需求分析項(xiàng)目建設(shè)目標(biāo)方案設(shè)計(jì)參考體系結(jié)構(gòu)根據(jù)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T9387.2-1995（ISO7498-2：1989）《信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型》第2部分“安全體系結(jié)構(gòu)”的規(guī)定，信息安全應(yīng)當(dāng)考慮到構(gòu)成整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的各個(gè)層面，以保證異構(gòu)的計(jì)算機(jī)進(jìn)程之間遠(yuǎn)距離交換信息的安全。物理層的安全主要考慮物理連接的機(jī)密性和通信業(yè)務(wù)流的機(jī)密性，例如防止對(duì)物理通路的竊聽(tīng)，此外，對(duì)物理通路的攻擊（干擾等）和物理通路的損壞也是我們要考慮的問(wèn)題，這是確保上層數(shù)據(jù)和服務(wù)的完整性和可用性的基礎(chǔ)。鏈路層的安全主要考慮連接機(jī)密性和無(wú)連接機(jī)密性，需要保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)，可以采用劃分VLAN（局域網(wǎng)）、鏈路層加密通訊（對(duì)協(xié)議敏感）等手段。網(wǎng)絡(luò)層的安全在網(wǎng)絡(luò)層要考慮的安全問(wèn)題相對(duì)較多，包括對(duì)等實(shí)體鑒別、數(shù)據(jù)原發(fā)鑒別、訪問(wèn)控制、連接機(jī)密性、無(wú)連接機(jī)密性、通信業(yè)務(wù)流機(jī)密性、不帶恢復(fù)的連接完整性、無(wú)連接完整性等，需要采用有效的機(jī)制保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)（鑒別、訪問(wèn)控制），保證網(wǎng)絡(luò)路由正確，避免信息數(shù)據(jù)被監(jiān)聽(tīng)或破壞（加密）等。傳輸層的安全在傳輸層要考慮的安全問(wèn)題與網(wǎng)絡(luò)層大體相似，但略有不同，包括對(duì)等實(shí)體鑒別、數(shù)據(jù)原發(fā)鑒別、訪問(wèn)控制、連接機(jī)密性、無(wú)連接機(jī)密性、帶恢復(fù)的連接完整性、不帶恢復(fù)的連接完整性、無(wú)連接完整性等，通常在網(wǎng)絡(luò)層采用的安全機(jī)制都同時(shí)適用于傳輸層。應(yīng)用層的安全應(yīng)用層的安全問(wèn)題覆蓋了安全服務(wù)的全部?jī)?nèi)容，包括對(duì)等實(shí)體鑒別、數(shù)據(jù)原發(fā)鑒別、訪問(wèn)控制服務(wù)、連接機(jī)密性、無(wú)連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性、帶恢復(fù)的連接完整性、不帶恢復(fù)的連接完整性、選擇字段連接完整性、無(wú)連接完整性、選擇字段無(wú)連接完整性、數(shù)據(jù)原發(fā)證明的抗抵賴、交付證明的抗抵賴等，可采用的安全機(jī)制包括加密、數(shù)字簽名、訪問(wèn)控制、數(shù)據(jù)完整性保護(hù)、鑒別、通信業(yè)務(wù)填充、路由控制、公證等。方案設(shè)計(jì)原則網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，而網(wǎng)絡(luò)加密數(shù)據(jù)的傳輸與建設(shè)更是如此。對(duì)于XXX信息網(wǎng)安全傳輸體系的建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行，采用先進(jìn)的“平臺(tái)化”建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在實(shí)際建設(shè)中應(yīng)遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開(kāi)展，相互配套；在實(shí)現(xiàn)上分步實(shí)施，漸進(jìn)獲??；在具體設(shè)計(jì)中結(jié)構(gòu)上一體化，標(biāo)準(zhǔn)化，平臺(tái)化；安全保密功能上多級(jí)化，對(duì)信道適應(yīng)多元化。在實(shí)際實(shí)施中還要按照系列基本原則進(jìn)行：系統(tǒng)性原則；簡(jiǎn)單性原則；實(shí)時(shí)、連續(xù)、安全統(tǒng)一原則；需求、風(fēng)險(xiǎn)、代價(jià)平衡原則；實(shí)用與先進(jìn)相互結(jié)合的原則；方便與安全相互統(tǒng)一原則；全面防護(hù)、突出重點(diǎn)原則；分層、分區(qū)原則；整體規(guī)劃、分布實(shí)施原則；責(zé)任明確，分級(jí)管理，聯(lián)合防護(hù)原則。安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。網(wǎng)絡(luò)中相同安全級(jí)別的保密強(qiáng)度要一致。一些部分強(qiáng)調(diào)過(guò)分則產(chǎn)生浪費(fèi)，一些部分措施薄弱可能發(fā)生危險(xiǎn)。安全強(qiáng)度和付出的代價(jià)要均衡考慮。網(wǎng)絡(luò)安全設(shè)備對(duì)對(duì)不同網(wǎng)絡(luò)結(jié)構(gòu)要有很好的適應(yīng)能力，滿足不同網(wǎng)絡(luò)應(yīng)用的具體需求，在網(wǎng)絡(luò)環(huán)境發(fā)生變化時(shí)，安全設(shè)施能隨網(wǎng)絡(luò)擴(kuò)展要求進(jìn)行靈活的擴(kuò)充而不改變或盡量少改動(dòng)原來(lái)的結(jié)構(gòu)。網(wǎng)絡(luò)安全不單靠先進(jìn)的安全技術(shù)或安全產(chǎn)品來(lái)實(shí)現(xiàn)，必須結(jié)合管理，尤其是當(dāng)前我國(guó)發(fā)生的網(wǎng)絡(luò)安全問(wèn)題中，管理問(wèn)題占相當(dāng)大的比例，在建立網(wǎng)絡(luò)安全技術(shù)設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。具體參考以下設(shè)計(jì)原則：安全保密性原則XXX信息網(wǎng)匯集和管理著大量的核心、秘密、敏感資料、關(guān)鍵性資料，安全保密性是系統(tǒng)建設(shè)的重要前提。遵循安全保密原則，做好系統(tǒng)的安全保密性設(shè)計(jì)，確保系統(tǒng)安全運(yùn)行尤為重要。包括：信息處理和傳輸系統(tǒng)的安全，網(wǎng)絡(luò)上系統(tǒng)信息的安全，網(wǎng)絡(luò)上信息傳播安全、使用加密機(jī)制進(jìn)行安全加密傳輸?shù)?。先進(jìn)性原則采用當(dāng)今國(guó)內(nèi)、國(guó)際上最先進(jìn)和成熟的計(jì)算機(jī)軟硬件平臺(tái)、軟件設(shè)計(jì)編程方法、開(kāi)放式的體系結(jié)構(gòu)和信息安全保障體系，使新建立的系統(tǒng)能夠最大限度地適應(yīng)今后的業(yè)務(wù)發(fā)展變化需要。可擴(kuò)展原則網(wǎng)絡(luò)的設(shè)計(jì)必須體現(xiàn)開(kāi)放性。網(wǎng)絡(luò)中的硬件與網(wǎng)絡(luò)協(xié)議必須采用與國(guó)際標(biāo)準(zhǔn)兼容的開(kāi)放協(xié)議，并建立在可擴(kuò)展的平臺(tái)上，隨業(yè)務(wù)發(fā)展的不斷擴(kuò)大，保證網(wǎng)絡(luò)平滑過(guò)渡?？煽啃栽瓌t我們建設(shè)XXX信息網(wǎng)的重要目的之一是在各個(gè)節(jié)點(diǎn)之間實(shí)現(xiàn)安全的信息共享、達(dá)到協(xié)同辦公、提高辦公效率和透明度的目的。系統(tǒng)運(yùn)行后，每天都要處理大量的數(shù)據(jù)。任一系統(tǒng)故障都會(huì)給用戶帶來(lái)不可估量的損失，這就要求系統(tǒng)具有高度的可靠性。所以在網(wǎng)絡(luò)體系的建設(shè)中必須考慮網(wǎng)絡(luò)的可靠性，在能力的許可范圍內(nèi)，提供冗余設(shè)備，以雙機(jī)熱備或者負(fù)載均衡的模式下接入網(wǎng)絡(luò)中，降低故障發(fā)生的可能性，同時(shí)配以高質(zhì)量后備式電源，確保數(shù)據(jù)傳輸過(guò)程中的安全性。標(biāo)準(zhǔn)化原則標(biāo)準(zhǔn)化建設(shè)有利于避免重復(fù)投資、節(jié)約成本、方便管理、提高各系統(tǒng)的兼容性和系統(tǒng)的可擴(kuò)展性。因此XXX信息網(wǎng)建設(shè)應(yīng)依據(jù)有關(guān)政策文件的規(guī)定，使接入數(shù)據(jù)項(xiàng)結(jié)構(gòu)統(tǒng)一化、標(biāo)準(zhǔn)化；使接入網(wǎng)絡(luò)支持統(tǒng)一的身份認(rèn)證規(guī)范；使各接入網(wǎng)提供符合專網(wǎng)數(shù)據(jù)接口的標(biāo)準(zhǔn)和規(guī)范。統(tǒng)一規(guī)劃原則XXX信息網(wǎng)建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，在系統(tǒng)的建設(shè)過(guò)程中，必須把全公司的網(wǎng)絡(luò)系統(tǒng)建設(shè)規(guī)劃設(shè)計(jì)作為發(fā)展目標(biāo)規(guī)劃和工作任務(wù)的首要內(nèi)容，結(jié)合安全系統(tǒng)的建設(shè)規(guī)劃，以統(tǒng)一的基調(diào)，推進(jìn)交換體系的建設(shè)。統(tǒng)一管理原則統(tǒng)一管理在于通過(guò)先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)，采用統(tǒng)一品牌和系列型號(hào)的網(wǎng)絡(luò)安全設(shè)備，使得全公司網(wǎng)絡(luò)能夠在一個(gè)有效的管理體系下工作，同時(shí)，建立合乎規(guī)范和具有實(shí)用性的網(wǎng)絡(luò)設(shè)備運(yùn)行管理?xiàng)l例及設(shè)備配置手冊(cè)，控制和監(jiān)督網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。成本控制為了在全公司范圍內(nèi)建設(shè)一個(gè)多類型業(yè)務(wù)運(yùn)行的承載網(wǎng)絡(luò)平臺(tái)，在資金的使用上，可以采用由統(tǒng)一組織項(xiàng)目的實(shí)施，設(shè)備統(tǒng)一集中政府采購(gòu)的方式進(jìn)行，各級(jí)機(jī)構(gòu)以統(tǒng)一的標(biāo)準(zhǔn)，負(fù)責(zé)本地化相關(guān)項(xiàng)目建設(shè)的方式。其優(yōu)勢(shì)在于提高設(shè)備兼容性，減少由于建設(shè)環(huán)節(jié)太多而造成的工期延誤，費(fèi)用增加的不良現(xiàn)象發(fā)生。技術(shù)與管理相結(jié)合的原則系統(tǒng)建設(shè)必須與業(yè)務(wù)流程優(yōu)化、整合相結(jié)合，最大限度挖掘信息化帶來(lái)的效益。安全是本系統(tǒng)建設(shè)的關(guān)鍵，安全體系包括安全技術(shù)體系和安全管理體系兩個(gè)層面，系統(tǒng)的安全性只有通過(guò)兩個(gè)層面的有機(jī)結(jié)合才能有效保證。因此，在系統(tǒng)建設(shè)過(guò)程中必須同步建立相關(guān)管理策略和制度。

方案總體設(shè)計(jì)思路本方案的設(shè)計(jì)以可信網(wǎng)絡(luò)架構(gòu)TNA的設(shè)計(jì)思想為主線，通過(guò)本方案的設(shè)計(jì)與產(chǎn)品部署，通過(guò)VPN系統(tǒng)的實(shí)施，來(lái)滿足本次信息安全技術(shù)防護(hù)的基本目標(biāo)；通過(guò)與XXX現(xiàn)有安全管理制度的結(jié)合，逐步建立起完善的、可信的信息安全技術(shù)管理運(yùn)維平臺(tái)。方案設(shè)計(jì)總體框架圖如下：方案設(shè)計(jì)總體框架圖如上圖所示，本設(shè)計(jì)方案將以TNA架構(gòu)為思想，最終構(gòu)建一個(gè)以VPN安全管理平臺(tái)為核心的信息安全技術(shù)運(yùn)維平臺(tái)，并與安全技術(shù)防護(hù)體系、安全管理制度，及日常運(yùn)行維護(hù)有機(jī)地結(jié)合起來(lái)。

方案設(shè)計(jì)內(nèi)容針對(duì)XXX信息系統(tǒng)VPN安全防護(hù)的特殊需求，本節(jié)設(shè)計(jì)內(nèi)容將以可信網(wǎng)絡(luò)架構(gòu)為引線，進(jìn)行詳細(xì)的闡述?？尚啪W(wǎng)絡(luò)架構(gòu)TNA模型“可信網(wǎng)絡(luò)架構(gòu)”是基于天融信公司強(qiáng)大的技術(shù)實(shí)力和先進(jìn)的服務(wù)理念提出來(lái)的，旨在通過(guò)對(duì)現(xiàn)有信息安全產(chǎn)品和信息安全子系統(tǒng)的有效整合、管理與監(jiān)控，結(jié)合可信網(wǎng)絡(luò)的接入控制機(jī)制、網(wǎng)絡(luò)內(nèi)部信息的保護(hù)和信息可信傳輸機(jī)制，實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的可信擴(kuò)展與監(jiān)管，并提供完善的信息安全保護(hù)。通過(guò)對(duì)用戶網(wǎng)絡(luò)安全系統(tǒng)的動(dòng)態(tài)評(píng)估與完善，有效提升用戶信息系統(tǒng)安全防御能力。“可信網(wǎng)絡(luò)架構(gòu)”主要包括可信安全管理系統(tǒng)（TSM）、網(wǎng)關(guān)可信代理（GTA）、網(wǎng)絡(luò)可信代理（NTA）和端點(diǎn)可信代理（PTA）四部分組成，從而確保安全管理系統(tǒng)、安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備和桌面終端用戶等四個(gè)安全環(huán)節(jié)的安全性與可信性，最終通過(guò)對(duì)用戶網(wǎng)絡(luò)安全資源的有效整合和管理（如下圖所示），通過(guò)基于可信代理（PTA、NTA或GTA）的可信網(wǎng)絡(luò)安全接入機(jī)制，實(shí)現(xiàn)“可信網(wǎng)絡(luò)”的動(dòng)態(tài)擴(kuò)展，防止用戶敏感信息的泄漏?？尚啪W(wǎng)絡(luò)安全模型TNA該架構(gòu)最大的不同是實(shí)現(xiàn)了對(duì)用戶現(xiàn)有資源的合理整合與管理，改變以往針對(duì)某一安全事件所采用的安全管理體系，實(shí)施對(duì)用戶網(wǎng)絡(luò)安全全面的、系統(tǒng)的、集中的安全管理，各安全產(chǎn)品之間實(shí)現(xiàn)真正的關(guān)聯(lián)與聯(lián)動(dòng)，從而大大地為節(jié)省資源，而整個(gè)架構(gòu)實(shí)施的是動(dòng)態(tài)全程安全管理，可以實(shí)現(xiàn)用戶‘可信網(wǎng)絡(luò)’安全應(yīng)用范圍的無(wú)限拓展，而且還有一個(gè)重大的改變，極大地滿足了信息系統(tǒng)保護(hù)的要求，完成多層次的積極防御和綜合防范。加油站、油庫(kù)、地區(qū)公司與大區(qū)公司VPN傳輸互連方案設(shè)計(jì)XXXVPN互連設(shè)計(jì)方案，必須依照安全“平臺(tái)化”的建設(shè)思想，針對(duì)系統(tǒng)業(yè)務(wù)的共性，構(gòu)建一個(gè)“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套”的安全平臺(tái)。為了保證所有在網(wǎng)絡(luò)上傳輸?shù)闹匾獢?shù)據(jù)信息，必須使用VPN系統(tǒng)對(duì)公共網(wǎng)上的重要數(shù)據(jù)進(jìn)行處理。處理后的數(shù)據(jù)不僅能夠保護(hù)數(shù)據(jù)的私密性，還具有信息身份認(rèn)證功能和抗攻擊功能，其他人無(wú)法將偽造的信息在VPN隧道上傳輸；并且即使他人截獲了數(shù)據(jù)信息，也無(wú)法對(duì)加密的信息進(jìn)行破解。對(duì)于加油站、油庫(kù)、地區(qū)公司與大區(qū)公司VPN互連設(shè)計(jì)方案中，大區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)是其它各級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)的服務(wù)器端，也是整個(gè)VPN傳輸網(wǎng)絡(luò)設(shè)計(jì)方案的中心節(jié)點(diǎn)。具體設(shè)計(jì)拓?fù)涫疽鈭D如下圖：加油站、油庫(kù)、地區(qū)公司與大區(qū)公司VPN傳輸互連設(shè)計(jì)圖如上圖所示，對(duì)于大區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)而言，必須作為整個(gè)網(wǎng)絡(luò)隧道傳輸體系的服務(wù)器端，各加油站、油庫(kù)，及地區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)則是客戶端。同時(shí)，對(duì)于通訊鏈路的建設(shè)不僅要充分考慮數(shù)據(jù)下載的速度，還要充分考慮數(shù)據(jù)上傳的速度；另外，加油站、油庫(kù)內(nèi)各系統(tǒng)利用ADSL接入互聯(lián)網(wǎng)，與大區(qū)公司進(jìn)行實(shí)時(shí)數(shù)據(jù)傳輸，單次交易數(shù)據(jù)量按照0.5K計(jì)算，客服數(shù)據(jù)按1K計(jì)算，并發(fā)數(shù)在6個(gè)以上，系統(tǒng)并發(fā)請(qǐng)求較多，因此對(duì)鏈路質(zhì)量和數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性要求較高。因此盡量選擇帶寬傳輸速率較高的ADSL線路，如2M或者以上。因此，在本次方案設(shè)計(jì)和產(chǎn)品選型中，可以在各大區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)配置千兆高端VPN網(wǎng)關(guān)產(chǎn)品，在各加油站、油庫(kù)，及地區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)配置普通百兆VPN產(chǎn)品，其傳輸模式均是VPN網(wǎng)關(guān)與VPN網(wǎng)關(guān)的互連方式。在實(shí)際的實(shí)施配置過(guò)程中，大區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)的千兆高端VPN產(chǎn)品可以部署在路由或者透明模式下，并分配與下級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)互連的IP地址，而各加油站、油庫(kù)，及地區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)的百兆VPN產(chǎn)品既可以配置在路由模式，通過(guò)NAT方式聯(lián)入上一級(jí)網(wǎng)絡(luò)系統(tǒng)，進(jìn)行數(shù)據(jù)加密的傳輸，也可以配置在透明模式下，設(shè)置一個(gè)對(duì)外通信和管理的IP地址即可，無(wú)需改變內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和路由情況。具體對(duì)大區(qū)公司、加油站、油庫(kù)，及地區(qū)公司網(wǎng)絡(luò)節(jié)點(diǎn)VPN互連的證書(shū)下發(fā)、導(dǎo)入和策略配置可以通過(guò)銷售公司總部網(wǎng)絡(luò)節(jié)點(diǎn)的VPN集中管理平臺(tái)來(lái)完成。加油站、油庫(kù)、地區(qū)公司與銷售公司總部互連方案設(shè)計(jì)對(duì)于各加油站、油庫(kù)、地區(qū)公司與銷售公司總部的互連方案來(lái)說(shuō)，可以通過(guò)各加油站、油庫(kù)、地區(qū)公司與大區(qū)公司的VPN傳輸網(wǎng)絡(luò)，再經(jīng)由大區(qū)公司與銷售公司總部的專線網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)敏感數(shù)據(jù)的安全傳輸。對(duì)于本系統(tǒng)，依據(jù)網(wǎng)絡(luò)安全的最佳設(shè)計(jì)原則，既達(dá)到了設(shè)計(jì)目標(biāo)的要求，又能達(dá)到節(jié)約安全投資的目的，推薦的設(shè)計(jì)方案拓?fù)鋱D如下圖：加油站、油庫(kù)、地區(qū)公司與銷售公司總部VPN傳輸互連設(shè)計(jì)圖在實(shí)際應(yīng)用中，對(duì)于加油站信息管理系統(tǒng)而言，由于總部系統(tǒng)和站級(jí)系統(tǒng)在架構(gòu)中上處于對(duì)等關(guān)系，即總部系統(tǒng)會(huì)向站級(jí)系統(tǒng)進(jìn)行數(shù)據(jù)的讀寫(xiě)，站級(jí)系統(tǒng)也會(huì)向總部系統(tǒng)進(jìn)行數(shù)據(jù)的讀寫(xiě)。因此，在雙方進(jìn)行數(shù)據(jù)傳輸和讀寫(xiě)時(shí)，可以首先通過(guò)加油站與大區(qū)公司的VPN傳輸線路實(shí)現(xiàn)公共網(wǎng)上的加密傳輸；再由大區(qū)公司經(jīng)由專網(wǎng)與銷售公司總部實(shí)現(xiàn)相關(guān)信息的安全傳輸。天融信網(wǎng)絡(luò)衛(wèi)士VPN產(chǎn)品的功能特點(diǎn)系統(tǒng)架構(gòu)圖天融信網(wǎng)絡(luò)衛(wèi)士VPN產(chǎn)品系統(tǒng)架構(gòu)圖支持完全內(nèi)容檢測(cè)CCI技術(shù)網(wǎng)絡(luò)衛(wèi)士VPN采用最新的CCI技術(shù)，提供對(duì)OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實(shí)時(shí)保護(hù)。支持CleanVPN技術(shù)網(wǎng)絡(luò)衛(wèi)士VPN產(chǎn)品同時(shí)具備防火墻、VPN和內(nèi)容過(guò)濾等功能，并且各功能相互融合，能夠?qū)PN數(shù)據(jù)進(jìn)行檢查，攔截病毒、蠕蟲(chóng)、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了VPN通信的安全，為用戶提供放心的CleanVPN服務(wù)。詳細(xì)功能如下：類別功能詳細(xì)描述工作模式工作模式支持透明、路由、混合模式網(wǎng)絡(luò)適應(yīng)性路由支持靜態(tài)路由、動(dòng)態(tài)路由。支持基于源/目的地址、接口、Metric的策略路由。支持單臂路由，可通過(guò)單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持Vlan路由，能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能。支持RIP、OSPF等路由協(xié)議。組播支持IGMP組播協(xié)議。支持IGMPSNOOPING?？捎行У貙?shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用。VLAN可與交換機(jī)的Trunk接口對(duì)接，并且能夠?qū)崿F(xiàn)Vlan間通過(guò)安全設(shè)備傳播路由。支持802.1Q，能進(jìn)行封裝和解封。支持ISL，能進(jìn)行ISL的封裝和解封。在同一個(gè)Vlan內(nèi)能進(jìn)行二層交換。生成樹(shù)支持802.1D生成樹(shù)協(xié)議。ARP支持ARP代理、ARP學(xué)習(xí)。可設(shè)置靜態(tài)ARP。DHCP支持DHCPClient、DHCPServer。接入支持ADSL等寬帶接入。支持PPPOE撥號(hào)接入。其它支持網(wǎng)絡(luò)時(shí)鐘協(xié)議SNTP，可以自動(dòng)根據(jù)NTP服務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間。支持IPX、NetBEUI等非IP協(xié)議。SSLVPN安全算法支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多種算法選擇協(xié)議類型支持SSL2.0/3.0TLS1.0數(shù)據(jù)壓縮支持高效流壓縮算法用戶認(rèn)證支持“用戶名＋口令”、“用戶名＋口令＋圖形認(rèn)證碼”認(rèn)證支持X.509數(shù)字證書(shū)認(rèn)證支持?jǐn)?shù)字證書(shū)＋UKEY+口令多因子認(rèn)證支持公共帳戶登陸，支持臨時(shí)禁止帳戶登錄支持本地?cái)?shù)據(jù)庫(kù)認(rèn)證支持基于LDAP/RADIUS/TACAS等協(xié)議的外部服務(wù)器認(rèn)真用戶授權(quán)支持分組授權(quán)、支持獨(dú)立用戶授權(quán)和授權(quán)繼承支持基于URL、訪問(wèn)路徑、訪問(wèn)文件、訪問(wèn)動(dòng)作的細(xì)粒度授權(quán)支持基于時(shí)間的訪問(wèn)授權(quán)方式支持本地授權(quán)、支持外部組映射授權(quán)、支持證書(shū)用戶授權(quán)應(yīng)用支持支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各種Web應(yīng)用支持基于IP協(xié)議的各種C/S應(yīng)用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS遠(yuǎn)程文件共享實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控在線用戶的登錄時(shí)間、在線時(shí)間、訪問(wèn)流量，認(rèn)證方式等多種信息支持對(duì)使用公共帳戶登錄用戶進(jìn)行獨(dú)立監(jiān)控支持主動(dòng)中斷在線用戶的隧道連接日志審計(jì)詳細(xì)審計(jì)用戶登錄認(rèn)證過(guò)程、各種認(rèn)證授權(quán)錯(cuò)誤、內(nèi)網(wǎng)資源訪問(wèn)情況等信息支持多級(jí)審計(jì)日志，可以靈活配置審計(jì)級(jí)別支持日志本地保存，支持將日志上傳到外部日志服務(wù)器支持天融信專用的TA-L日志服務(wù)器，可以對(duì)日志內(nèi)容進(jìn)行深度分析和統(tǒng)計(jì)端點(diǎn)安全支持接入客戶端痕跡清除，能夠清楚cookie、緩存、歷史記錄等各種訪問(wèn)痕跡支持拔KEY隧道自動(dòng)中斷支持用戶超時(shí)自動(dòng)退出，超時(shí)時(shí)間可以設(shè)置IPSECVPN協(xié)議支持ESP/AH/IKE/NATT等標(biāo)準(zhǔn)IPSEC協(xié)議，支持隧道模式、傳輸模式算法支持MD5/SHA1等標(biāo)準(zhǔn)HASH算法支持國(guó)家商密專用的SCB2算法數(shù)據(jù)壓縮支持高效數(shù)據(jù)流壓縮算法隧道認(rèn)證支持預(yù)共享密鑰、數(shù)字證書(shū)認(rèn)證，支持?jǐn)U展認(rèn)證網(wǎng)絡(luò)適應(yīng)性支持網(wǎng)狀、樹(shù)型、星型等多種VPN網(wǎng)絡(luò)拓?fù)渲С炙淼赖腘AT穿越、雙向NAT隧道建立支持全動(dòng)態(tài)IP地址間的VPN組網(wǎng)支持隧道轉(zhuǎn)發(fā)支持多機(jī)多隧道的負(fù)載均衡和冗余備份方案支持隧道內(nèi)的訪問(wèn)控制PKI證書(shū)格式支持X.509V3數(shù)字證書(shū)，支持DER/PEM/PKCS12多種證書(shū)編碼本地CA支持內(nèi)置CA，為其他設(shè)備或移動(dòng)用戶簽發(fā)證書(shū)支持本地CA根證書(shū)、根私鑰的更新支持證書(shū)廢棄，支持生成標(biāo)準(zhǔn)CRL列表第三方CA支持同時(shí)導(dǎo)入多個(gè)第三方CA的根證書(shū)和CRL列表，對(duì)不同CA證書(shū)用戶進(jìn)行身份認(rèn)證，支持通告HTTP協(xié)議定時(shí)下載CRL列表支持通過(guò)OCSP/LDAP等協(xié)議在線認(rèn)證證書(shū)防火墻功能內(nèi)容過(guò)濾采用完全內(nèi)容檢測(cè)（CompleteContentInspection）技術(shù)。支持基于流、數(shù)據(jù)包、透明代理的過(guò)濾方式。支持對(duì)HTTP、SMTP、POP3、FTP等協(xié)議的深度內(nèi)容過(guò)濾。支持URL過(guò)濾。支持對(duì)移動(dòng)代碼如Javaapplet、Active-X、VBScript、Javascript的過(guò)濾。支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過(guò)濾。支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過(guò)濾。支持MSN，QQ，Skype等InstantMessenger通信，并可以對(duì)于這些應(yīng)用進(jìn)行登陸限制?？上拗艬T，eMule，eDonkey等P2P應(yīng)用?？善帘问鼙Ｗo(hù)主機(jī)/服務(wù)器系統(tǒng)信息，如替換服務(wù)器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。包過(guò)濾基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過(guò)濾。基于源/目的IP地址、MAC地址、端口和協(xié)議、時(shí)間、用戶的訪問(wèn)控制。支持基于用戶的PPTP的訪問(wèn)控制。支持報(bào)文合法性檢查。動(dòng)態(tài)端口支持協(xié)議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP?？蓪?shí)現(xiàn)IP/MAC綁定。防御攻擊非法報(bào)文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof。統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。Topsec聯(lián)動(dòng)：可與支持TOPSEC協(xié)議的IDS設(shè)備聯(lián)動(dòng)，以提高入侵檢測(cè)效率。端口阻斷：可以根據(jù)數(shù)據(jù)包的來(lái)源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置。SYN代理：對(duì)來(lái)自定義區(qū)域的SynFlood攻擊行為進(jìn)行阻斷過(guò)濾。CC攻擊：可通過(guò)設(shè)置端口和閥值阻斷CC攻擊?？捎涗浌羧罩竞蛨?bào)警。NAT支持雙向NAT。支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換。支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換。支持虛擬服務(wù)器功能。安全管理用戶認(rèn)證支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecurID）以及數(shù)字證書(shū)（CA）等常用的安全認(rèn)證方式。支持使用第三方認(rèn)證，如RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式。支持Session認(rèn)證、HTTP會(huì)話認(rèn)證。支持認(rèn)證?；罟δ堋？蓪⒄J(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫(kù)。日志支持Welf、Syslog等多種日志格式的輸出。支持通過(guò)第三方軟件來(lái)查看日志。支持日志分級(jí)。支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ)。可對(duì)日志進(jìn)行加密傳輸。監(jiān)控支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率、操作系統(tǒng)狀況、網(wǎng)絡(luò)狀況、硬件系統(tǒng)、進(jìn)程、進(jìn)程內(nèi)存、加密