XXXX
VPN系统解决方案
目 录
第章 XXXX网络现状需求分析 3
11 网络现状 3
12 现组网方式缺陷 3
121 访问没保护 3
122 法运行部理软件 3
123 增值服务法实施 3
124 网络理混乱 3
13 需求分析 4
第二章 VPN技术天融信VPN产品 5
21 VPN基概念 5
22 VPN基技术 5
23 般VPN解决方案面问题 7
24 天融信VPN产品典型解决方案 9
241 天融信VPN硬件安全网关 9
242 天融信VPN客户端 15
243 天融信VPN安全策略理台 17
25 天融信VPN产品特点 22
251 支持国密局IPSec VPN技术规范 22
252 全面支持IPSec协议标准 23
253 CleanVPN 23
254 完善PKI体系提高户网络安全等级 23
255 支持全动态IP址间建VPN隧道 24
256 NAT动穿越 24
257 隧道路技术实现VPN灵活动部署 24
258 完善VPN网络集中理功 25
259 支持组播穿越隧道 25
2510 机线路负载均衡备份 26
2511 支持灵活移动户接入策略 26
2512 丰富样认证授权 26
2513 分级信接入体系 27
2514 简单易驱客户端 27
2515 iOS零安装 27
2516 集成功强防火墙功 28
2517 集成强网络附加功 28
第三章 XXXX网络系统互联VPN解决方案 29
31 VPN解决方案 29
32 配置功说明 31
321 天融信安全策略理台 31
322 天融信VPN硬件安全网关 31
323 天融信VPN客户端 31
33 通信程分析 31
34 安全性分析 31
35 密钥理 32
36 解决方案特点 32
第章 XXXX网络现状需求分析
11 网络现状
XXXX业务网络系统总部100左右分支机构组成分支机构均规模等局域网络组成中总部局域网络整网络系统核心企业类业务服务器时网络理中心分支机构移动办公户通Internet总部通信
12 现组网方式缺陷
121 访问没保护
现方式分支机构通特网总部联系(般Email者种时通讯工具)种联系方式通公网进行明文互动毫保密性言商业机密数竞争手引起业务损失Email方式实效性高双方通讯存时间差利企业部沟通
122 法运行部理软件
总部网分支机构局域网间互通基IP业务软件运行法实施OAERP等理软件影响企业理效率利整体策略性理
123 增值服务法实施
诸视频电视电话会议IP电话类增值服务网络难展开甚法展开方便功外线路进行改造增加企业负担
124 网络理混乱
着企业规模扩分支机构增分支机构局域网理员素质参差齐分惯进行局域网建设没统标准进行效理开展增值服务时反变成企业业务发展障碍
13 需求分析
根XXXX现网络状况业务情况希改建网络达成目标:
l 够保证分支机构移动办公户安全快捷访问总部局域网业务服务器
l 数Internet传输时应保证足够安全
l 全网实施OAERP等种业务软件提高企业理效率
l 时网络开展种网络服务IP电话视频会议等
l 全网进行统规划统理
基需求较完善解决方案实施基IPSEC VPN组网方式详细述VPN基原理天融信VPN解决方案
第二章 VPN技术天融信VPN产品
21 VPN基概念
VPN(Virtual Private Network:虚拟专网)种公网络尤Internet基础通道综合运隧道封装认证加密访问控制等种网络安全技术实现企业总部分支机构合作伙伴远程移动办公员间互连互通资源享方法VPN目标建立种灵活低成扩展网络互连手段代传统长途(租)专线连接远程拨号连接时VPN需道公网络必须解决带网络安全问题VPN技术概括说:实现低成安全互连
许实现VPN技术途径区该技术OSI参考模型层实现应层实现SSL会话层实现Socket5网络层实现IPSec数链层实现PPTPL2TP等VPN技术样性似高深专业术语容易般户知措天融信建议:果需安全访问互联网某站点SSL VPN种错选择果想通互联网访问公司网中某服务器需两处域局域网基互联网安全通连IPSec 种必然选择
22 VPN基技术
目前VPN实现采四项技术:隧道技术加解密技术密钥理技术者设备身份认证技术
l 隧道技术(Tunneling):类似点点技术公网络建立条数通道(隧道)数包通条隧道传输隧道隧道协议形成分第二三层隧道协议
受Internet网络中IP址资源短缺影响企业部网络私IP址址发出数包直接通Internet传输 必须代合法IP址种方法完成种址转换静态IP址转换动态IP址转换端口换数包封装等VPN言数包封装(隧道)常技术数包封装发生VPN发送节点时需原数包包添加合法外层IP包头包通公网传送接收端VPN节点该节点接收进行拆包处理原出原报文传述目标机VPN技术均采数包封装技术图IPSec VPN隧道模式数包封装程:
隧道封装数包
原数包
IP头
Data
新IP头
AH
Data
IP头
ESP
l 加解密技术(Encryption & Decryption):明文进行足够强加密送目进行解密达保护远程数传输程中安全
l 密钥理技术(Key Management):务保证密钥公网够安全传输窃取窃取相应手段进行二次防护
l 者设备身份认证技术(Authentication):正确分辨设备身相关需相互流通非法户法进入系统电子证书形式进行
VPN虚拟隧道模型实例图31示:
图 31 VPN虚拟隧道模型
图 21 VPN虚拟隧道模型
23 般VPN解决方案面问题
l 理配置复杂
VPN技术专业性配置时需专业员进行指导般户难理解正确
l 客户端软件问题
客户端软件提供VPN基标准IPSEC解决方案时客户端软件操作系统防火墙防病毒软件工作网络模型层容易产生软件突引起操作系统障存局限性
l 动态IP网状联通性
部分VPN产品支持子公司采动态拨号方式接入实现两动态拨号接入子公司相互通信
l NAT穿越
合法IP址限性现方网方式城域网方式接入说ISP分配户IP址特网合法址私网址ISP做层NAT接入IPSEC协议NAT具兼容性
l 第三方厂商产品兼容性问题
VPN厂商产品进行互联时IPSEC协议实现程度厂商产品进行通讯户某非标准IPSEC产品想进行VPN网络扩充选择产品户产品受限制完全遵循IPSEC标准开发产品实现产品互联
l VPN网关身问题
VPN产品分硬件网关产品软件网关产品两种类型安全问题关注侧重点会产生较差异软件网关产品分关注易性导致身安全性极度赖安装网关操作系统流行Windows操作系统漏洞百出非常容易出现系统障甚病毒者硬件障导致系统崩溃法保障VPN网关底层安全适场合较限硬件网关专硬件身安全性较软件网关非常提高性软件网关高效稳定软件网关求更高更专业
天融信公司身强技术实力长期实践已完全解决问题特点:
l 理配置
提供基串口远程两种登录理方式户远程理方式选择SSH(加密通讯)Telnet(加密通讯)设备进行配置该方式适网络理验理员熟悉网络理户天融信提供基windowsGUI理控制界面理员记忆复杂配置命令仅通点击鼠标完成全部配置工作
l 客户端软件问题
作完整企业VPN解决方案支持移动办公户远程访问企业网VPN客户端软件包必少现绝数VPN客户端软件需操作系统核中嵌入庞垫片常导致防火墙防病毒等软件突天融信VPN客户端软件采独非核心层IPSec实现方案桌面软件兼容性极佳
天融信VPN客户端软件提供完整IPSec协议实现移动户提供基户名口令证书动态令牌卡等种认证方式支持MAC址等硬件特征码绑定安全措施安装配置简单操作程类似配置windows拨号网络需输入接入网关址户名口令
l 动态IP网状联通性
通集中VPN策略理方式成功解决双动态IP间动建立VPN隧道问题网关接入特网首先企业总部部署安全策略理台(TP)进行注册身份认证然TP载VPN策略时TP负责策略参数发生改变时实时通知线网关产品更新策略确保网关够获新策略参数变化情况
l NAT穿越
解决问题IETF专门IPSec制定NAT穿越(NATT)协议草案协议中解决NAT穿越问题基思路IPSec封装数包外进行次UDP数封装样数包穿NAT网关时修改外层IPUDP数部真正IPSec数没进行改动目机处外层IPUDP封装掉获完整IPSec数包
NATT协议标准制定时间较短数国厂商没完全该标准进行支持国外厂商少数家产品针新标准进行升级天融信全系列产品支持新NATT标准NAT技术国广泛应户选VPN设备时应该功作重考核指标
l 第三方厂商产品兼容性问题
天融信公司VPN产品完全遵循IPSEC协议标准进行开发存该问题利国外完全遵IPSEC标准产品进行互联互通
24 天融信VPN产品典型解决方案
天融信VPN系列产品包括VONE系列(IPSECSSL VPN合网关)IPSEC VPN系列网关(包括3G VPN网关)VPN客户端软件天融信VPN统安全策略理台(TP)
241 天融信VPN硬件安全网关
天融信VPN硬件网关高性工控标准板硬件密码模块电子盘等构成置专安全嵌入式操作系统VPN软件模块根设备处理力提供功天融信VPN硬件网关分型号分面中型企业分支机构类型号产品性呈阶梯排列类产品功性作进步细分满足户需求
天融信VPN硬件网关功:
类
功
详细描述
网络
适应性
工作模式
² 支持透明路混合模式
路
² 支持静态路动态路
² 支持基源目址端口协议接口策略路
² 支持单臂路通单臂模式接入网络提供路转发功
² 支持Vlan路够VLAN虚接口间实现路功
² 支持RIPOSPF等路协议
² 支持线路捆绑负载均衡
组播
² 支持IGMPPIM组播协议
² 效实现视频会议等媒体应
VLAN
² 支持VlanVlan Trunk
² 支持8021Q进行封装解封
² 支持ISL进行ISL封装解封
² 支持QinQ技术(vlanvpn)报文进行二次基8021Q封装
生成树
² 支持8021DPVST生成树协议
端口聚合
² 支持物理接口端口聚合提高接口带宽
ARP
² 支持ARP代理ARP学设置静态ARP
² 设置防ARP欺骗
DHCP
² 支持DHCP ClientDHCP RelayDHCP Server
接入
² 支持太网光纤ADSL3GDHCP等种接入方式
² 支持4路ADSL拨号接入路ADSL支持链路负载均衡备份
² 支持网络时钟协议SNTP动根NTP服务器时钟调整机时间
² 支持IPXNetBEUI等非IP 协议
PKI
证书格式
² 支持X509 V3数字证书
² 支持DERPEMPKCS12等种证书编码
CA
² 支持置CA设备移动户签发证书
² 支持证书废弃支持生成标准CRL列表
² 支持证书请求生成第三方CA进行签名
² 置支持SM2算法CA
第三方CA
² 支持时导入第三方CA根证书CRL列表CA证书户进行身份认证支持通HTTP协议定时载CRL列表
² 支持通OCSPLDAP等协议线认证证书
IPSEC VPN
协议
² 支持ESPAHIKENATT等标准IPSEC协议
² 支持隧道模式传输模式
算法
² 支持DES3DESAES等标准加密算法支持MD5SHA1等标准HASH算法
² 支持DH GROUP125RSA 10242048非称算法
² 支持国家商密专SM1SM2SM3SM4算法
硬件加速
² 支持高速算法加速卡
数压缩
² 支持高效数流压缩算法
隧道认证
² 支持预享密钥数字证书认证支持XAuth扩展认证
² 支持标准X509证书建立隧道
网络
适应性
² 支持网状树型星型等种VPN网络拓扑
² 支持隧道NAT穿越双NAT隧道建立
² 支持全动态IP址间VPN组网
² 支持隧道转发
² 支持组播穿越IPSec隧道
² 支持机隧道负载均衡备份
VPN
客户端
² 支持第三方标准IPSec客户端接入
² 支持苹果终端IPSEC VPN客户端接入
² 支持移动户定义访问权限
² 支持基时间移动户访问控制策略
² 支持两网分离
² 支持线路动检测
² 支持移动户接入状态监控审计
² 支持中英文界面中英文动切换
*SSL VPN
(选配)
安全算法
² 支持AESDES3DESRC4MD5SHA1RSA等种算法
² 支持国家商密专SM1SM2SM3SM4算法
数压缩加速
² 支持高效流压缩算法
² 支持智压缩
² 支持WebCache加速
户认证
² 支持户名+口令户名+口令+图形认证码认证
² 支持X509数字证书认证
² 支持数字证书(USBKEY)+口令子认证
² 支持基LDAPRADIUSTACAS等协议外部服务器认证
² 支持短信认证图形码校验硬件特征码校验
户授权
² 支持角色授权支持独立户授权
² 支持基URL访问路径访问文件访问动作细粒度授权
² 支持授权支持外部组映射授权支持证书户授权
² 支持基证书中字段属性组合授权
应支持
² 支持WEB转发端口转发全网接入模式
² 支持HTMLJAPASPJAVA APPLETACTIVECookies等种Web应
² 支持基IP协议种CS应EMAILFTPERPCRMDB等
² 支持WindowsCIFS远程文件享
² 支持FTPWEB化访问
实时监控
² 实时监控线户登录时间线时间访问流量认证方式等种信息
² 支持动中断线户隧道连接
日志审计
² 详细审计户登录认证程种认证授权错误网资源访问情况等信息
² 支持级审计日志灵活配置审计级
² 支持日志保存支持日志传外部日志服务器
² 支持天融信专TAL日志服务器日志容进行深度分析统计
端点安全
² 支持接入客户端痕迹清够清楚cookie缓存历史记录等种访问痕迹
² 支持拔KEY隧道动中断
² 支持户超时动退出超时时间设置
虚拟门户
² 支持虚拟门户功虚拟门户定制登录界面定制否控件定制功模块定制认证方式定制公告信息等
企业门户缝融合
² SSL VPN企业门户缝融合户通企业门户登录SSL VPNSSL VPN够动跳转Portal页面企业某网站
集群
² 支持集群分布式集群功
Portal页面隐藏
² 户登录SSL VPN需驻留Portal页面隐藏右角缩成图标点击图标恢复Portal页面
客户端
² 支持Windows Mobile PDA客户端
² 支持iOSAndroid系统智终端客户端
² 支持WindowsXP20032008VistaWin7Win8Linux系统
² 支持独立客户端
² 支持户设定代理服务器信息
端口转发
² 支持TCP协议
² 支持UDP协议
² 支持智递推
单点登陆
² 支持HTTP401认证单点登录
² 支持户修改单点登陆账户信息
² 支持WEB方式单点登录
² 支持密码助手方式单点登录
信接入
信接入
² 支持接入机信息检查包括安装软件进程端口服务注册表操作系统补丁文件网卡等
² 支持信接入分级授权
² 支持检查策略:接入前检查接入检查定时检查等
国际化
语言支持
² 支持中英文界面
² 支持中英文动切换
DDNS
DDNS
² 支持DDNS动态域名注册
² 支持域名进行隧道定义协商
² 支持域名TP进行集中认证
技术标准
SSLVPN
² 符合国密局制定SSL VPN技术规范
IPSecVPN
² 符合国密局制定IPSEC VPN技术规范
L2TP
L2TP
² 支持远程户通L2TP接入建立L2TP隧道访问部网络
PPTP
PPTP
² 支持远程户通PPTP接入建立PPTP隧道访问部网络
网络
安全性
*容滤
² 采完全容检测(Complete Content Inspection)技术
² 支持基流数包透明代理滤方式
² 支持HTTPSMTPPOP3IMAPFTP等协议深度容滤
² 支持web重定支持URL分类滤
² 支持挂马网站滤
² 支持移动代码Java appletActiveXVBScriptJava script滤
² 支持邮件收发邮件址文件名文件类型滤
² 支持邮件题正文收发件附件名附件容等关键字匹配滤
² 支持反垃圾邮件功
² 支持TelnetFtpRSH命令滤
² 屏蔽受保护机服务器系统信息换服务器(FTPSMTPPOP3TelnetHTTP)BANNER信息
访问控制
² 基状态检测动态包滤
² 基源目IP址MAC址端口协议时间户角色访问控制
² 支持隧道访问控制
² 支持IPSec客户端SSL全网模式FW联动
² 动态端口支持协议:H323SIPFTPRTSPSQL*NETMMSRPCTFTPPPTP
² 支持数量级策略匹配加速算法
² 支持象秒新建连接数限制
² 基域名象访问控制
² 实现IPMAC绑定防享网
NAT
² 支持双NAT
² 支持动态址转换静态址转换
² 支持等种方式址转换
² 支持虚拟服务器功
*应识
² 支持百种应程序库滤包括P2PIM炒股网游等
² 支持MSNQQSkype等Instant Messenger通信应进行登陆限制帐号滤
² 限制BTeMuleeDonkey迅雷等P2P应
² 支持基应流量统计排名
² 支持基应历史流量趋势图
² 支持基机应流量统计
² 支持流量异常检测
² 深度流量滤(DFI)针P2P行识控制
*防病毒
² 支持HTTPFTPPOP3SMTPIMAP协议病毒查杀
² 支持200万余种病毒查杀病毒库定期时更新
² 支持木马病毒蠕虫病毒宏病毒脚病毒查杀
*防御攻击
² 非法报文攻击:land SmurfPingofdeathwinnuke tcp_sscanip_optionteardroptarga3ipspoof
² 统计型报文攻击:SynfloodIcmpfloodUdpfloodPortscanipsweep
² 支持址象源目连接数限制
² 端口阻断:根数包源数包特征进行阻断设置
² SYN代理:定义区域Syn Flood攻击行进行阻断滤
² CC攻击:通设置端口阀值阻断CC攻击
² 记录攻击日志报警
² 支持手动设置根IDS规动生成黑名单
安全理
户认证
² 支持次性口令认证(OTP)认证数字证书(CA)认证等常安全认证方式
² 支持统户理IPSECSSL套户认证理系统
² 支持口令复杂度设置支持密码找回首次登录修改口令功
² 支持点登录点数设置支持登录时间登录址范围控制
² 支持第三方认证RADIUSTACACSTACACS+LDAP域认证等安全认证方式
² 支持短信动态令牌硬件特征码认证
² 支持Session认证HTTP会话认证
² 支持WEB认证指纹认证
分级理
² 户理员分配权限理户信息
² 支持达16级分级理
² 支持理员三权分立
日志
² 支持WelfSyslog等种日志格式输出支持日志分级
² 支持安全审计系统(TAL)获更详日志分析审计功
² TAL接受防火墙日志外接受交换机路器操作系统应系统安全产品日志进行联合分析
² 日志进行加密传输
监控
² 支持网络接口CPU利率存率操作系统状况网络状况硬件系统进程进程存加密卡状况监测
² 根配置文件进行错误恢复
报警
² 置理系统安全策略通信硬件容错测试等种触发报警事件类
² 支持邮件NETBIOS声音SNMP控制台等种组合报警方式
流量统计
² 支持基IPsession数统计阀值报警功
² 支持基IP流量统计
² 支持基传输层端口进行流量session数统计
² 支持NETFLOW协议版5支持设置滤条件
带宽理
QoS
流量整形
² 根IP协议网络接口时间定义带宽分配策略
² 支持保证带宽限制带宽
² 支持DSCPCOS设置
² 支持p2p带宽限制
优先级
² 支持8级优先级控制
高性
双机热备
² 支持双机热备(ActiveStandby)模式
² 支持负载均衡(ActiveActive)模式
² 支持连接保护(Session Protect)模式
功
² 支持基IP探测链路备份功
² 支持服务器负载均衡提供轮询加权轮询少连接加权少连接源目址HASH等种负载均衡方式
² 支持双系统引导支持Watchdog功
配置理
配置方式
² 支持WEB图形配置命令行配置
² 支持基SSHHTTPS安全配置
² 支持通TP进行配置理
命令行
² 支持配置命令分级保护支持中英文
² 支持命令超时历史命令命令补齐命令帮助命令错误提示等功
WEBUI
² 支持配置导支持中文联机帮助
² 支持HTTPS客户端证书认证方式
² 支持CPU存连接数接口流量时监控图历史趋势图
² 支持应识病毒入侵防御统计数图形化显示
SNMP
² 支持SNMP v1 v2 v2c v3 版
² 支持SNMP MIB扩展
² 前通网络理台兼容HP Openview 等
系统升级
² 支持双系统升级
² 支持TFTPWebuiFtp升级
报文调试
² 提供强报文调试功帮助网络理员安全理员发现调试解决问题
² 支持发送虚拟报文
² 支持端口镜功够通设置滤条件选择性镜报文
配置恢复
² 进行配置文件备份载删恢复载
² 进行部分配置异批量导出导入
242 天融信VPN客户端
天融信IPSecVPN客户端款面移动户单机软件产品安装运行移动设备企业局域网台客户机中台设备具远程接入企业VPN功
天融信VPN客户端天融信VPN硬件软件网关配套VPN客户端间建立安全隧道构成虚拟专网实现客户端—网关(硬件软件)网关(硬件软件)—网关(硬件软件)间信息安全传输
天融信VPN客户端软件采天融信公司独创非核心层IPSec实现方案整VPN模块运行应层桌面软件兼容性极佳运行程户表现全透明:户应系统需作适应性调整网络配置必作改动
天融信VRC VPN客户端
支持操作系统台
win2000XP2003VISTAWIN7WIN8等
功
描 述
接入方式
² 支持1001000兆网卡线网卡等
² 支持普通Modem拨号方式
² 支持种ADSL连接方式(PPPOE)
² 支持2G3GWLAN等种线接入方式
支持全网隧道访问
² 远程户提供种部网访问服务户处种位置象局域网部样方便访问部网络真正实现3A保障(AnytimeAnywhereAnyone)
IPsec标准
² 支持模式野蛮模式协商
² 支持ESP标准
² 支持标准NAT穿越
² 支持3DESMD5SHA1标准加密认证算法
² 支持采硬件加密卡数进行认证加密限度保证户通信安全
证书格式
² 支持标准X509格式证书支持Base64DER编码方式
² 支持Windows CSP标准读取种第三方厂商USBKey
DNS
² 支持部DNS移动户总部VPN建立隧道通总部部DNS服务器直接域名访问部应服务器(HttpFtp服务器等)
WINS
² 支持部WINS移动户总部VPN建立隧道通机名访问部服务器机
客户端IP址动态分配
² 客户端通网关动态分配虚拟IP址实现全网IP址动态理
客户端访问控制
² 支持户硬件特征码绑定防止账号盗
² 支持角色分配访问权限户访问网络资源
² 访问权限设置端口
隧道配置理
² 支持隧道理方便户配置定义隧道
² 支持隧道断线重拨网络稳定造成隧道断开动重新建立隧道省户手工重启隧道麻烦
² 支持隧道监控通GUI界面户实时查隧道状态隧道数流量隧道否启动停止等
² 支持隧道配置保存导入
² 支持户配置文件保存恢复
客户端动功
² 户选择客户端动功开客户端软件动运行默认连接动重新认证等等
243 天融信VPN安全策略理台
天融信安全设备策略理台TP系统(称TopPolicy系统)TP理器TopPolicy服务器TopPolicy数库三部分组成中TopPolicy数库TP系统基础组件存储整网络中网络安全设备信息VPN安全策略
TopPolicy服务器TP系统核心组件服务器程序般需网络运行程中实时线完成认证设备维护设备维护VPN隧道维护VRC信息等工作
TP系统结构
天融信VPN安全策略理台(TP)作安全设备策略理系统够实现网络全面监支持天融信全系列产品理UTMIPSecSSL VPNSJW11VRC客户端等设备集中监控理TP理员网络中设备运行状态进行集中监控理TP服务器中机级服务器进行设备理VRC理隧道理防火墙策略理理员通集中定制IPS策略集中定制防火墙包滤策略访问控制策略NAT策略深度滤策略VPN通讯策略进发理设备避免设备独立定制策略意性便安全策略角度实现全网安全策略统理
l 业务理应分级理体系
现实应环境中网络环境具庞分级分支机构遍布全国特点 TopPolicy安全设备理部署够完全适应种理模式
首先系统支持4级域理样户方便全国项目分级分域理统策略责进行分担通分级分域理系统支持3000台安全设备30000VPN客户端
次系统安全设备策略实现完全集中理实现级理中心设备理日常理工作级中心仅负责监控分析统计工作
l 策略序控理
实际工作环境中量UTMVPN设备(例:300VPN1000条隧道)运行果全部端端方式端网关方式建立联接手工配置容易导致配置文件致力成高二理员时监控VPN设备间连接导致VPN设备间存着应连接网络安全存隐患VPN规模应情况需VPN进行统理
TopPolicy理员通理VPN设备行进行监控审计员理员行进行监控通加密算法采安全策略网络异常处理策略进行统协调VPN设备理序时VPN设备登录时动发统配置安全信息需VPN设备进行配置减低分散理带致复杂性
l VPN客户端动部署
VPN客户端软件(VRC)分发配置设备证书生成分发软件部署工作VPN产品规模时候成项非常繁琐复杂工作系统理员工作量极增加时整VPN系统带必安全隐患降低系统理员工作复杂度保证系统安全天融信公司TopPolicy中实现VRC动部署功
TopPolicy含动部署系统(Automatic Distribution System:ADS)国第套行研制开发整VPN系统提供VPN客户端软件安全部署服务软件够VPN客户端软件进行集中部署必证书理VPN客户端软件部署提供必安全服务基Windows 操作台IE浏览器IIS HTTP服务器界面友简便TopPolicy动部署系统够实现企业部VRC全面部署证书密钥统理理员网络环境中实现VRC动部署根企业实际需求制定全局VRC部署策略繁重VRC部署工作变简单序理员户异动部署系统服务器进行操作提高动部署机动性灵活性
l 完善PKI体系支持
TopPolicy系统采遵循X509证书作提供认证载体中等规模户需建立封闭身份认证体系需外部证书发放机构签发证书企业构建证书发放机构(CA)种户TopPolicy提供简单实PKI CA系统理员设备VRC生成更新发放证书时提供证书验证CRL文件理等功
已建CA系统户TopPolicy完全支持第三方PKI系统设备VRC导入更新第三方CA生成证书仅支持TP第三方CA根证书验证设备VRC身份支持通OCSP协议实时线验证设备VRC身份支持通HTTPLDAP协议动载CRL列表等等
l 集中配置理丰富设备理功
针设备通手动立获取配置通务动获取配置设备保存100配置备份
通调种理组件pingtelnetSSHTraceroute远程理等实现设备配置理
l 视角视化理
TopPolicy通拓扑图等种方式实现设备隧道等进行种理进实现设备性信息监视包括CPU信息存信息接口信息连接信息等外具VPN功设备提供隧道监控VPN监控功
l 适网络环境
TopPolicy构建系统中VPN设备设备名称作系统唯确定ID标识通ID理访问VPN设备样抛弃传统基IP理方法TopPolicy仅系统中设备固定IP方式固定IP动态IP方式互联根解决VPN设备互联时址址转换(NAT)问题动态IP接入网络问题VPN设备网络环境(IP址)改变ID变TopPolicy服务器保持原安全配置
l 系统高安全性
作安全理产品TopPolicy身具高安全性系统功模块间通信均采加密方式进行TopPolicy构建系统采证书进行身份认证系统抵御定强度DOS攻击通安全措施效防止网络监听帐号滥造成系列安全问题
l 语言支持
支持动态简体中文英文切换
l 灵活简便
TopPolicy方式十分灵活 TopPolicy系统分成三部分:TopPolicy ServerTopPolicy Manager理设备部分广域网物理位置独立运行TopPolicy界面友操作起相简便克服相关VPN产品操作复杂户技术门槛求高特点配置十分简便
l 天融信TP产品功
功类
子功
描述
设备理
级安全域理
设备理范围划分域域间级关系支持4级域理员指定理域范围
设备注册认证
理设备动完成注册认证
设备远程理
设备理列表中选择设备通调浏览器登录远程设备进行理拓扑图选择设备进行远程理调提供理工具: PingSSHtelnetTraceroute
设备配置集中保存更新
够查询接收保存设备配置信息设备提供配置更新服务设备保存配置更新时理员进行选择设备配置应需提示保存支持天融信设备配置保存定期检查设备配置否私修改显示配置变化状态
设备操作
开启服务设备重启时钟设置设置ROOT理员口令等
设备动注册
支持动态IPVPN设备理
设备发现
设备动发现支持第三方设备设备批量增加
设备批量升级
域设备制定升级计划升级包时指定时间动升级
拓扑理
拓扑图维护
显示编辑拓扑图放缩等功
根安全域设备列表隧道列表生成拓扑图
显示设备摘信息:设备名称IP隧道名
通子域结点进入级域拓扑显示
拓扑图显示支持位置手工动排列
基拓扑图状态理
基拓扑图设备隧道监控
图形化编辑
手动图形化增加移设备安全域隧道
显示方式
显示设备中服务列表前图节点变化时动刷新拓扑未变化需提示存盘显示子域报警显示中转设备显示子域设备总数开关控制否显示隧道名称支持拓扑图印导出拓扑图标排列操作拓扑查找(名称IP类型条件)
防火墙
策略
全局象理
包括址区域服务时间容滤象等象分发
防火墙策略理
支持包滤策略访问控制策略NAT策略容滤策略防火墙参数统配置支持策略分组
策略集中定义发
手工创建策略策略域制定策略发应选设备(台)域
设备监视
设备监视
线状态监视详细信息监视(系统资源接口流量等)
子域结点中显示该域级设备活跃数
批量监视
通分析设备健康记录判断设备运行状态时监控台设备接口信息监控时做批量拆连接操作支持监视数存储回放
TOP N
支持监控设备进行TOP N排序
隧道监视
动态隧道状态监视(禁活跃停止协商)
拓扑图显示隧道状态包括禁启状态
VRC户线状态监视
查VRC户状态
拓扑图中选择设备查登录该设备线VRC户显示VRC活跃数
VPN策略
基策略理
台网关批量添加台网关隧道
修改中间设备(选)隧道封装模式数保护方式算法指定隧道接口等
隧道建立删启禁批量操作
增强策略理
支持NAT设备非NAT设备建立隧道
支持NAT设备NAT设备建立隧道
支持动态IP设备间隧道建立
隧道增强参数
隧道参数增加第阶段协商算法
VRC理
VRC户信息维护
增加删修改VRC组
单批量增加删修改VRC户
VRC户启禁
址池维护指实现增加址段删址段动分配IP分配指定IP
VRC权限理
基VRC组VRC户进行权限定义
指定VRC组登录网关安全域
登录VPN网关时指定权限:访问权限协议目IPIP范围目端口范围
VRC户指定登录时间周天登录
VRC软件动分发
VRC生成证书配置时载口令然进行分发户安装需配置连通VPN网络
CA理
CA功
设备生成更新发放证书
VRC生成更新发放证书
理员生成更新发放证书
证书验证CRL文件理
第三方CA功
设备导入更新第三方CA生成证书
验证设备VRC身份
支持通OCSP协议验证设备VRC身份
支持第三方根证书CRL导入
支持通HTTPLDAP协议动载CRL
日志理
日志接收存储
支持设备日志接收存储系统日志存储转发
日志查询
日志进行详细关键字查询
报警
报警功
根定义报警条件产生报警
报警条件VRC户线设备线信息隧道连通断线信息等等
报警信息浏览
根关键字查询浏览历史报警信息
报警方式
包括邮件WINPOPSNMP理器铃声理器显示短信等
阀职报警
CPUMEM超限报警
软件升级
设备VRC软件升级
设备VRC升级补丁进行理直接设备进行升级VRC提供载升级服务
断点续传
断点续传升级方式
升级检测
TP根设备版号判断否设备需升级果需升级设备提示户
户理
理员理
基角色权限划分理
统计分析
统计报表输出
提供统计功印统计报表
针单台台网关进行统计安全域统计针整网络信息进行统计
统计信息应该包括设备日志系统日志监控信息等
系统运行报表
统计网关线线时间线时长VPN隧道异常情况网关VRC认证情况
报表形式
报表支持饼图柱状图曲线图等种图形方式显示
高性
服务器配置备份恢复
实现服务器配置备份
实现配置恢复
服务器级联
支持服务器分布式部署级传关键数
双机冗余备份
服务器双机备份
双线路冗余备份
服务器支持双线路条线路出现障时动切换条线路
l TP运行环境标准
运行安装Windows 2003 ServerWindows 2008 Server台PC服务器
25 天融信VPN产品特点
251 支持国密局IPSec VPN技术规范
天融信IPSec VPN网关全面支持国家密码理局制定IPSec VPN技术规范支持种国研制硬件密码算法采硬件密码模块进行密码算法运算支持国家密码理局规定SM1SM2SM3SM4商密码算法产品安全性合规性充分保障天融信IPSec VPN安全网关严格遵循IPSec VPN技术规范实现IPSec网关进行互联互通
IPSec VPN技术规范标准IPSec协议进行修正数字信封认证方式代预享密钥签名认证方式抛弃DH密钥交换方式采公钥加密方式杜绝中间攻击时采国家商密码算法代公开标准算法户数提供限度安全保护
252 全面支持IPSec协议标准
IPSec作全球性安全标准求IPSec实现必须严格遵循种协议规范便实现产品间互通天融信IPSec VPN产品严格互通性测试CiscoJuniperMicroSoft等著名厂家VPN产品实现互通产品遵循RFC 1828RFC 1829RFC 1851RFC 1852RFC 2085RFC 24012412等系列协议标准
Ø 支持标准ESPAH加密认证协议
Ø 支持隧道模式传输模式协议封装格式
Ø 支持IKEv1IKEv2
Ø 支持模式野蛮模式快速模式种协商模式
Ø 支持证书认证预享密钥认识方式
Ø 支持DES3DESAES等种称密钥算法
Ø 支持MD5SHA1等种完整性验证算法
Ø 支持RSADH等种非称密钥算法
Ø 支持扩展认证模式配置
253 CleanVPN
天融信VPN产品集VPN防火墙带宽理入侵防御等功身网络安全产品隧道策略防火墙策略防病毒策略组合CleanVPN病毒扫描VPN数流进行扫描阻止病毒蠕虫通VPN隧道传播总部分支远程户合作伙伴间建立纯净VPN网络
254 完善PKI体系提高户网络安全等级
着VPN技术政府金融等高安全性求领域应断深入户VPN网络认证功原PKI体系进行缝结合需求越越强烈网络卫士合VPN产品全面支持标准PKI体系结构够通置CA模块独立移动户签发数字证书够通导入CA根证书+CRL列表方式第三方CA签发证书进行认证时够通OCSPLDAP等标准协议第三方CA提交线证书认真请求具体PKI功包括:
Ø 支持标准X509V3格式数字证书
Ø 支持DERPEMPKCS12等种证书编码格式
Ø 支持通置CA模块户签发标准数字证书
Ø 支持时导入CA根证书CRL列表CA签发证书进行认证
Ø 支持通OCSPLDAP等标准协议第三方CA进行线证书认证
Ø 支持生成PKCS10格式证书请求生成证书请求第三方CA签名
Ø 支持CRL列表文件导入通HTTP动载
天融信吉正元海格尔天威诚信江南计算等国CA厂商着长期合作网络卫士VPN网关厂商CA系统均够缝集成
255 支持全动态IP址间建VPN隧道
目前国常特网接入方案包括电话拨号ADSL宽带接入等ISP接入户动态分配时IP址果企业两分支机构均采动态IP址方式接入特网两分支机构间VPN隧道策略参数必须进行动态调整程目前市场部分VPN产品(包括国产品国外产品)法动完成VPN网络日常维护广泛应带困难天融信IPSec VPN网关产品通集中VPN策略理方式DDNS缝结合技术成功解决全动态IP间动建立VPN隧道问题
256 NAT动穿越
NAT技术目前国企业享网区智厦宽带接入城域网宽带接入流技术NATIPSec协议原理存定矛盾应IPSec技术组建VPN网络时定考虑选VPN设备否具NAT穿越功数VPN设备配置隧道时需预先知道该条隧道否存NAT设备事实网络理员难准确掌握整路径中设备NAT情况NAT状态常变化
天融信IPSec VPN全系列产品均支持新NATT协议标准隧道协商程中动态计算否存NAT设备动态调整策略需理员额外填写配置具非常网络适应性天融信IPSec VPN产品通隧道路转发技术支持双NAT穿越
257 隧道路技术实现VPN灵活动部署
实际物理网络部署中网络理员首先通物理线路(光纤双绞线电话线等)连接路设备然通路器配置静态路者动态路完成种规模网络灵活部署IPSec VPN网络中条隧道视连接两台VPN设备虚拟网络线路隧道建立成功虚拟线路连接工作完成基虚拟线路网络理员IPSec VPN网关采样方法配置静态动态路协议完成整VPN网络灵活部署种隧道路机制优点:
Ø 网关配置概念方法路器类似减少网络理员部署VPN网络学熟悉程
Ø 通隧道路规配置完成VPN数流VPN网关间灵活转发实现星型网络拓扑解决双NAT穿越问题
Ø 通动态隧道路协议配置实现整VPN网络适应部署VPN网络拓扑动学动寻径
Ø 通基策略隧道路配置实现VPN网关冗余备份负载均衡
258 完善VPN网络集中理功
利基互联网VPN技术构建企业基础网络设施低成高效率天然优势相伴安全性理性潜风险尤分支机构营业网点遍布全国型企业讲业务网络系统具分布域广泛接入点网络结构复杂等特点确保企业部网络安全效理维护遍布企业结点VPN设备保证网络稳定运行VPN产品供应商必须解决问题IPSec VPN综合量户需求逐步形成统认证集中监控分级理VPN网络理方案成功运许特型企业VPN建设中
259 支持组播穿越隧道
普通IPSEC VPN支持组播协议IPSEC组播包路某特定端天融信VPN技术创新支持组播穿越样整VPN网络部利组播开展视频会议等应时利组播穿越VPN隧道轻松实现隧道动态路VPN设备端学路动发布外端简化网络部署提升网络理效率
2510 机线路负载均衡备份
天融信VPN网关支持机线路组合应台设备条链路间实现隧道数负载均衡备份实现线路动选优效解决国跨运营商线路互通问题某条线路发生障时系统动数流切换线路台设备发生障时系统动数流切换网关设备保证VPN网络连通性
2511 支持灵活移动户接入策略
VPN技术远程移动办公领域应越越广泛支持安全灵活移动户接入策略已成VPN产品竞争焦点IPSec VPN产品支持丰富移动户接入策略种需求户提供完善解决方案
Ø 支持基户+口令认证机制
Ø 支持基数字证书认证机制
Ø 支持基证书+口令双子认证机制
Ø 支持RADIUSTARCASLDAPAD等户认证协议
Ø 支持USB KEY动态口令卡等强身份认证机制
Ø 支持基服务移动户访问授权
Ø 支持基时间移动户访问控制
Ø 支持移动户硬件特征码绑定机制
Ø 客户端版支持中英文动切换
2512 丰富样认证授权
天融信VPN产品置户认证数库时支持种外部认证:RADIUS认证AD认证LDAP认证等支持外部认证服务器户授权计费通外部认证方便户原认证系统缝结合
天融信VPN网关支持户名口令证书USBKEY短信硬件特征码指纹动态令牌时间IP址等种认证方式意组合户提供强安全接入机制
2513 分级信接入体系
信接入指远程接入VPN客户端机安全性进行检查天融信VPN网关客户端接入实行信接入检查包括操作系统补丁防病毒软件防火墙软件进程文件注册表项等安全性检查合格客户端拒绝接入网
天融信VPN网关客户端信接入安全性检查结果进行分级级授予权限满足安全求机终端根缺陷程度分实行隔离修复限制访问求访问敏感信息服务器户果没达较高安全等级授予安全等级匹配普通权限样防止安全户机感染部关键服务器保留浏览公司普通Web服务器权限实现桌面安全等级访问资源安全级相匹配访问权限分级
2514 简单易驱客户端
目前般IPSec VPN客户端基采虚拟网卡核心垫片技术技术需户设备安装核心驱动程序核心驱动程序安装安全容易户设备防火墙软件防病毒软件等程序会发生突程序员疏忽导致蓝屏死机等现象
天融信IPSec VPN客户端完全摒弃弊端采Windows置MiniPort基石需安装核心驱动会防火墙防病毒等核心程序发生突安全稳定简单易户放心
2515 iOS零安装
目前移动互联已成新应趋势通智终端方便实现远程办公中苹果iPhoneiPad常见终端般VPN需苹果终端安装软件接入样方便容易导致系统稳定
天融信iOS解决方案采零安装方式需安装软件直接iOS置IPSec客户端VPN网关进行安全互联IPSec客户端VPN网关采改进IPSec密钥协商协议IKE+XAuth进行隧道协商实现户认证授权达数加密效果时担心iOS客户端稳定性具方便简单安全等特点
2516 集成功强防火墙功
天融信VPN产品集成天融信强防火墙产品功户VPN网络提供高等级边界安全防护访问控制
天融信VPN网关具强容滤功支持URL分类滤分类库700万条支持挂马网站滤支持邮件滤反垃圾邮件功具完善应识功户轻松针典型网络应MSNQQSkype新浪UC阿里旺旺Google Talk等时通信应BTEdonkeyEmule讯雷等p2p应实行灵活访问控制策略禁止限时带宽控制等
2517 集成强网络附加功
天融信IPSec VPN网关户组网提供强网络附加功完全作独立相关网络设备进行配置功:
Ø 基TOS安全操作系统高扩展性轻松升级成集IPS防病毒容滤反垃圾邮件等功体安全网关
Ø 集成强网络附加功支持交换静态动态路VLAN带宽理DNS代理DHCP服务器ARP代理组播协议等
第三章 XXXX网络系统互联VPN解决方案
根XXXX网络互联实际情况采天融信VPN系列产品提供整体网络互联VPN安全解决方案解决面网络互访传输保密节点认证增值服务网络访问控制等问题
31 VPN解决方案
分支机构通Internet接入中心采天融信VPN设备实现互联情况配置情况述:
1. 总部中心Internet接入口处安装台天融信千兆高端VPN网关作VPN中心网关中心网关整VPN网络中心部件负责维护分支机构移动户间隧道安全策略中心网关兼功强防火墙功工作方式支持桥路混杂方式具入侵防御容滤带宽理日志报警等种功
2. 总部部署台服务器作安全策略理台(TP)负责企业整VPN网络中VPN设备证书生成发放制定VPN设备间通信策略全网VPN设备够数字证书方式进行身份认证隧道建立天融信VPN设备进行理简化中心分支机构VPN设备策略配置工作天融信TP具拓扑图动生成日志审计报表实时监控报警等种功
3. 分支机构根网络规模Internet接口处安装台天融信XX网关作硬件网关分支网关首先作分支机构网访问设备防火墙设备连入互联网时动中心VPN网关进行身份认证VPN隧道协商分支网关兼功完善防火墙功抵抗种攻击方式保护分支机构网安全
4. 移动户PC移动终端安装天融信VPN客户端VRC天融信VRC支持证书认证户名+口令认证证书+户名口令 认证种认证方式天融信VRC支持前种流接入方式需简单配置中心硬件网关建立隧道进行安全通讯
5. Internet接入方式中心端求线路较稳定出口带宽较宽具静态公网IP址分支采ADSL常线路接入
利天融信VPN系列产品组成XXXXVPN网络图示:
图41 VPN网络结构图
天融信VPN系列产品帮助 XXXX总部局域网络分支机构托Internet构建成虚拟专网络系统感觉象专网络样单位统规划机IP址(:10XXX)分支机构总部网络互访时专网络样方便
32 配置功说明
321 天融信安全策略理台
l 生成签发理废弃数字证书
l VPN设备线理
l 制定通讯策略
l 支持第三方CA认证
322 天融信VPN硬件安全网关
l 导入证书
l 配置IP址
l 指定TP址
l 配置机网信息保护子网
l 载通信策略
323 天融信VPN客户端
l 导入证书
l 指定认证网关
l 配置相应认证方式
33 通信程分析
l 分支机构移动户网方式变
l 服务器访问方式变
l 总部部移动户分支机构通网邻居根机器名称互访(WINS配合)通私IP址访问
34 安全性分析
l 证书作身份认证
l VPN接入Internet安全策略服务器进行身份认证防范身份假
l 高强度机密性:数容特网中密文传输加密算法协商防止窃听篡改分析保证数机密性
l 保证数完整性:采认证算法原始数进行摘运算法
l 隐藏部网络IP址
l 采隧道嵌套技术实现端端安全防止部员工破坏
35 密钥理
l 支持标准IKE动密钥协商
l 采
l 标准X509证书认证
36 解决方案特点
1 健壮性:VPN设备置安全操作系统具良身安全性
2 透明性:现业务系统网络结构须做调整需做少量改动
3 适应性:适应系统网络结构调整发展
4 扩展性:采国际标准Ipsec设备实现互通互联
5 实施性:安装维护简单快速时进行影响正常业务
6 整体性:时提供网络安全访问控制传输加密节点认证户认证安全审计功配合企业已少认证方式
7 低成:帮助企业Internet骨干网组建私网络降低运营成
8 高速率:现宽带接入ADSL网提供网速率般兆远远DDNMODEM速度天融信VPN设备加密速率高达400兆
9 安全性高:采证书认证1024位非称加密方式保护密钥交换称加密算法选灵活性高国密办审批种硬件加密算法168位3DES加密算法选择
10 支持全动态IP址组网实现网状通信
11 缝支持NAT穿越(NATT)双NAT穿越
12 支持线路捆绑实现动态负载均衡带宽理
13 天融信VPN设备支持集中分级方式理方案适应户需求
14 文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
XXXX
VPN系统解决方案
目 录
第章 XXXX网络现状需求分析 3
11 网络现状 3
12 现组网方式缺陷 3
121 访问没保护 3
122 法运行部理软件 3
123 增值服务法实施 3
124 网络理混乱 3
13 需求分析 4
第二章 VPN技术天融信VPN产品 5
21 VPN基概念 5
22 VPN基技术 5
23 般VPN解决方案面问题 7
24 天融信VPN产品典型解决方案 9
241 天融信VPN硬件安全网关 9
242 天融信VPN客户端 15
243 天融信VPN安全策略理台 17
25 天融信VPN产品特点 22
251 支持国密局IPSec VPN技术规范 22
252 全面支持IPSec协议标准 23
253 CleanVPN 23
254 完善PKI体系提高户网络安全等级 23
255 支持全动态IP址间建VPN隧道 24
256 NAT动穿越 24
257 隧道路技术实现VPN灵活动部署 24
258 完善VPN网络集中理功 25
259 支持组播穿越隧道 25
2510 机线路负载均衡备份 26
2511 支持灵活移动户接入策略 26
2512 丰富样认证授权 26
2513 分级信接入体系 27
2514 简单易驱客户端 27
2515 iOS零安装 27
2516 集成功强防火墙功 28
2517 集成强网络附加功 28
第三章 XXXX网络系统互联VPN解决方案 29
31 VPN解决方案 29
32 配置功说明 31
321 天融信安全策略理台 31
322 天融信VPN硬件安全网关 31
323 天融信VPN客户端 31
33 通信程分析 31
34 安全性分析 31
35 密钥理 32
36 解决方案特点 32
第章 XXXX网络现状需求分析
11 网络现状
XXXX业务网络系统总部100左右分支机构组成分支机构均规模等局域网络组成中总部局域网络整网络系统核心企业类业务服务器时网络理中心分支机构移动办公户通Internet总部通信
12 现组网方式缺陷
121 访问没保护
现方式分支机构通特网总部联系(般Email者种时通讯工具)种联系方式通公网进行明文互动毫保密性言商业机密数竞争手引起业务损失Email方式实效性高双方通讯存时间差利企业部沟通
122 法运行部理软件
总部网分支机构局域网间互通基IP业务软件运行法实施OAERP等理软件影响企业理效率利整体策略性理
123 增值服务法实施
诸视频电视电话会议IP电话类增值服务网络难展开甚法展开方便功外线路进行改造增加企业负担
124 网络理混乱
着企业规模扩分支机构增分支机构局域网理员素质参差齐分惯进行局域网建设没统标准进行效理开展增值服务时反变成企业业务发展障碍
13 需求分析
根XXXX现网络状况业务情况希改建网络达成目标:
l 够保证分支机构移动办公户安全快捷访问总部局域网业务服务器
l 数Internet传输时应保证足够安全
l 全网实施OAERP等种业务软件提高企业理效率
l 时网络开展种网络服务IP电话视频会议等
l 全网进行统规划统理
基需求较完善解决方案实施基IPSEC VPN组网方式详细述VPN基原理天融信VPN解决方案
第二章 VPN技术天融信VPN产品
21 VPN基概念
VPN(Virtual Private Network:虚拟专网)种公网络尤Internet基础通道综合运隧道封装认证加密访问控制等种网络安全技术实现企业总部分支机构合作伙伴远程移动办公员间互连互通资源享方法VPN目标建立种灵活低成扩展网络互连手段代传统长途(租)专线连接远程拨号连接时VPN需道公网络必须解决带网络安全问题VPN技术概括说:实现低成安全互连
许实现VPN技术途径区该技术OSI参考模型层实现应层实现SSL会话层实现Socket5网络层实现IPSec数链层实现PPTPL2TP等VPN技术样性似高深专业术语容易般户知措天融信建议:果需安全访问互联网某站点SSL VPN种错选择果想通互联网访问公司网中某服务器需两处域局域网基互联网安全通连IPSec 种必然选择
22 VPN基技术
目前VPN实现采四项技术:隧道技术加解密技术密钥理技术者设备身份认证技术
l 隧道技术(Tunneling):类似点点技术公网络建立条数通道(隧道)数包通条隧道传输隧道隧道协议形成分第二三层隧道协议
受Internet网络中IP址资源短缺影响企业部网络私IP址址发出数包直接通Internet传输 必须代合法IP址种方法完成种址转换静态IP址转换动态IP址转换端口换数包封装等VPN言数包封装(隧道)常技术数包封装发生VPN发送节点时需原数包包添加合法外层IP包头包通公网传送接收端VPN节点该节点接收进行拆包处理原出原报文传述目标机VPN技术均采数包封装技术图IPSec VPN隧道模式数包封装程:
隧道封装数包
原数包
IP头
Data
新IP头
AH
Data
IP头
ESP
l 加解密技术(Encryption & Decryption):明文进行足够强加密送目进行解密达保护远程数传输程中安全
l 密钥理技术(Key Management):务保证密钥公网够安全传输窃取窃取相应手段进行二次防护
l 者设备身份认证技术(Authentication):正确分辨设备身相关需相互流通非法户法进入系统电子证书形式进行
VPN虚拟隧道模型实例图31示:
图 31 VPN虚拟隧道模型
图 21 VPN虚拟隧道模型
23 般VPN解决方案面问题
l 理配置复杂
VPN技术专业性配置时需专业员进行指导般户难理解正确
l 客户端软件问题
客户端软件提供VPN基标准IPSEC解决方案时客户端软件操作系统防火墙防病毒软件工作网络模型层容易产生软件突引起操作系统障存局限性
l 动态IP网状联通性
部分VPN产品支持子公司采动态拨号方式接入实现两动态拨号接入子公司相互通信
l NAT穿越
合法IP址限性现方网方式城域网方式接入说ISP分配户IP址特网合法址私网址ISP做层NAT接入IPSEC协议NAT具兼容性
l 第三方厂商产品兼容性问题
VPN厂商产品进行互联时IPSEC协议实现程度厂商产品进行通讯户某非标准IPSEC产品想进行VPN网络扩充选择产品户产品受限制完全遵循IPSEC标准开发产品实现产品互联
l VPN网关身问题
VPN产品分硬件网关产品软件网关产品两种类型安全问题关注侧重点会产生较差异软件网关产品分关注易性导致身安全性极度赖安装网关操作系统流行Windows操作系统漏洞百出非常容易出现系统障甚病毒者硬件障导致系统崩溃法保障VPN网关底层安全适场合较限硬件网关专硬件身安全性较软件网关非常提高性软件网关高效稳定软件网关求更高更专业
天融信公司身强技术实力长期实践已完全解决问题特点:
l 理配置
提供基串口远程两种登录理方式户远程理方式选择SSH(加密通讯)Telnet(加密通讯)设备进行配置该方式适网络理验理员熟悉网络理户天融信提供基windowsGUI理控制界面理员记忆复杂配置命令仅通点击鼠标完成全部配置工作
l 客户端软件问题
作完整企业VPN解决方案支持移动办公户远程访问企业网VPN客户端软件包必少现绝数VPN客户端软件需操作系统核中嵌入庞垫片常导致防火墙防病毒等软件突天融信VPN客户端软件采独非核心层IPSec实现方案桌面软件兼容性极佳
天融信VPN客户端软件提供完整IPSec协议实现移动户提供基户名口令证书动态令牌卡等种认证方式支持MAC址等硬件特征码绑定安全措施安装配置简单操作程类似配置windows拨号网络需输入接入网关址户名口令
l 动态IP网状联通性
通集中VPN策略理方式成功解决双动态IP间动建立VPN隧道问题网关接入特网首先企业总部部署安全策略理台(TP)进行注册身份认证然TP载VPN策略时TP负责策略参数发生改变时实时通知线网关产品更新策略确保网关够获新策略参数变化情况
l NAT穿越
解决问题IETF专门IPSec制定NAT穿越(NATT)协议草案协议中解决NAT穿越问题基思路IPSec封装数包外进行次UDP数封装样数包穿NAT网关时修改外层IPUDP数部真正IPSec数没进行改动目机处外层IPUDP封装掉获完整IPSec数包
NATT协议标准制定时间较短数国厂商没完全该标准进行支持国外厂商少数家产品针新标准进行升级天融信全系列产品支持新NATT标准NAT技术国广泛应户选VPN设备时应该功作重考核指标
l 第三方厂商产品兼容性问题
天融信公司VPN产品完全遵循IPSEC协议标准进行开发存该问题利国外完全遵IPSEC标准产品进行互联互通
24 天融信VPN产品典型解决方案
天融信VPN系列产品包括VONE系列(IPSECSSL VPN合网关)IPSEC VPN系列网关(包括3G VPN网关)VPN客户端软件天融信VPN统安全策略理台(TP)
241 天融信VPN硬件安全网关
天融信VPN硬件网关高性工控标准板硬件密码模块电子盘等构成置专安全嵌入式操作系统VPN软件模块根设备处理力提供功天融信VPN硬件网关分型号分面中型企业分支机构类型号产品性呈阶梯排列类产品功性作进步细分满足户需求
天融信VPN硬件网关功:
类
功
详细描述
网络
适应性
工作模式
² 支持透明路混合模式
路
² 支持静态路动态路
² 支持基源目址端口协议接口策略路
² 支持单臂路通单臂模式接入网络提供路转发功
² 支持Vlan路够VLAN虚接口间实现路功
² 支持RIPOSPF等路协议
² 支持线路捆绑负载均衡
组播
² 支持IGMPPIM组播协议
² 效实现视频会议等媒体应
VLAN
² 支持VlanVlan Trunk
² 支持8021Q进行封装解封
² 支持ISL进行ISL封装解封
² 支持QinQ技术(vlanvpn)报文进行二次基8021Q封装
生成树
² 支持8021DPVST生成树协议
端口聚合
² 支持物理接口端口聚合提高接口带宽
ARP
² 支持ARP代理ARP学设置静态ARP
² 设置防ARP欺骗
DHCP
² 支持DHCP ClientDHCP RelayDHCP Server
接入
² 支持太网光纤ADSL3GDHCP等种接入方式
² 支持4路ADSL拨号接入路ADSL支持链路负载均衡备份
² 支持网络时钟协议SNTP动根NTP服务器时钟调整机时间
² 支持IPXNetBEUI等非IP 协议
PKI
证书格式
² 支持X509 V3数字证书
² 支持DERPEMPKCS12等种证书编码
CA
² 支持置CA设备移动户签发证书
² 支持证书废弃支持生成标准CRL列表
² 支持证书请求生成第三方CA进行签名
² 置支持SM2算法CA
第三方CA
² 支持时导入第三方CA根证书CRL列表CA证书户进行身份认证支持通HTTP协议定时载CRL列表
² 支持通OCSPLDAP等协议线认证证书
IPSEC VPN
协议
² 支持ESPAHIKENATT等标准IPSEC协议
² 支持隧道模式传输模式
算法
² 支持DES3DESAES等标准加密算法支持MD5SHA1等标准HASH算法
² 支持DH GROUP125RSA 10242048非称算法
² 支持国家商密专SM1SM2SM3SM4算法
硬件加速
² 支持高速算法加速卡
数压缩
² 支持高效数流压缩算法
隧道认证
² 支持预享密钥数字证书认证支持XAuth扩展认证
² 支持标准X509证书建立隧道
网络
适应性
² 支持网状树型星型等种VPN网络拓扑
² 支持隧道NAT穿越双NAT隧道建立
² 支持全动态IP址间VPN组网
² 支持隧道转发
² 支持组播穿越IPSec隧道
² 支持机隧道负载均衡备份
VPN
客户端
² 支持第三方标准IPSec客户端接入
² 支持苹果终端IPSEC VPN客户端接入
² 支持移动户定义访问权限
² 支持基时间移动户访问控制策略
² 支持两网分离
² 支持线路动检测
² 支持移动户接入状态监控审计
² 支持中英文界面中英文动切换
*SSL VPN
(选配)
安全算法
² 支持AESDES3DESRC4MD5SHA1RSA等种算法
² 支持国家商密专SM1SM2SM3SM4算法
数压缩加速
² 支持高效流压缩算法
² 支持智压缩
² 支持WebCache加速
户认证
² 支持户名+口令户名+口令+图形认证码认证
² 支持X509数字证书认证
² 支持数字证书(USBKEY)+口令子认证
² 支持基LDAPRADIUSTACAS等协议外部服务器认证
² 支持短信认证图形码校验硬件特征码校验
户授权
² 支持角色授权支持独立户授权
² 支持基URL访问路径访问文件访问动作细粒度授权
² 支持授权支持外部组映射授权支持证书户授权
² 支持基证书中字段属性组合授权
应支持
² 支持WEB转发端口转发全网接入模式
² 支持HTMLJAPASPJAVA APPLETACTIVECookies等种Web应
² 支持基IP协议种CS应EMAILFTPERPCRMDB等
² 支持WindowsCIFS远程文件享
² 支持FTPWEB化访问
实时监控
² 实时监控线户登录时间线时间访问流量认证方式等种信息
² 支持动中断线户隧道连接
日志审计
² 详细审计户登录认证程种认证授权错误网资源访问情况等信息
² 支持级审计日志灵活配置审计级
² 支持日志保存支持日志传外部日志服务器
² 支持天融信专TAL日志服务器日志容进行深度分析统计
端点安全
² 支持接入客户端痕迹清够清楚cookie缓存历史记录等种访问痕迹
² 支持拔KEY隧道动中断
² 支持户超时动退出超时时间设置
虚拟门户
² 支持虚拟门户功虚拟门户定制登录界面定制否控件定制功模块定制认证方式定制公告信息等
企业门户缝融合
² SSL VPN企业门户缝融合户通企业门户登录SSL VPNSSL VPN够动跳转Portal页面企业某网站
集群
² 支持集群分布式集群功
Portal页面隐藏
² 户登录SSL VPN需驻留Portal页面隐藏右角缩成图标点击图标恢复Portal页面
客户端
² 支持Windows Mobile PDA客户端
² 支持iOSAndroid系统智终端客户端
² 支持WindowsXP20032008VistaWin7Win8Linux系统
² 支持独立客户端
² 支持户设定代理服务器信息
端口转发
² 支持TCP协议
² 支持UDP协议
² 支持智递推
单点登陆
² 支持HTTP401认证单点登录
² 支持户修改单点登陆账户信息
² 支持WEB方式单点登录
² 支持密码助手方式单点登录
信接入
信接入
² 支持接入机信息检查包括安装软件进程端口服务注册表操作系统补丁文件网卡等
² 支持信接入分级授权
² 支持检查策略:接入前检查接入检查定时检查等
国际化
语言支持
² 支持中英文界面
² 支持中英文动切换
DDNS
DDNS
² 支持DDNS动态域名注册
² 支持域名进行隧道定义协商
² 支持域名TP进行集中认证
技术标准
SSLVPN
² 符合国密局制定SSL VPN技术规范
IPSecVPN
² 符合国密局制定IPSEC VPN技术规范
L2TP
L2TP
² 支持远程户通L2TP接入建立L2TP隧道访问部网络
PPTP
PPTP
² 支持远程户通PPTP接入建立PPTP隧道访问部网络
网络
安全性
*容滤
² 采完全容检测(Complete Content Inspection)技术
² 支持基流数包透明代理滤方式
² 支持HTTPSMTPPOP3IMAPFTP等协议深度容滤
² 支持web重定支持URL分类滤
² 支持挂马网站滤
² 支持移动代码Java appletActiveXVBScriptJava script滤
² 支持邮件收发邮件址文件名文件类型滤
² 支持邮件题正文收发件附件名附件容等关键字匹配滤
² 支持反垃圾邮件功
² 支持TelnetFtpRSH命令滤
² 屏蔽受保护机服务器系统信息换服务器(FTPSMTPPOP3TelnetHTTP)BANNER信息
访问控制
² 基状态检测动态包滤
² 基源目IP址MAC址端口协议时间户角色访问控制
² 支持隧道访问控制
² 支持IPSec客户端SSL全网模式FW联动
² 动态端口支持协议:H323SIPFTPRTSPSQL*NETMMSRPCTFTPPPTP
² 支持数量级策略匹配加速算法
² 支持象秒新建连接数限制
² 基域名象访问控制
² 实现IPMAC绑定防享网
NAT
² 支持双NAT
² 支持动态址转换静态址转换
² 支持等种方式址转换
² 支持虚拟服务器功
*应识
² 支持百种应程序库滤包括P2PIM炒股网游等
² 支持MSNQQSkype等Instant Messenger通信应进行登陆限制帐号滤
² 限制BTeMuleeDonkey迅雷等P2P应
² 支持基应流量统计排名
² 支持基应历史流量趋势图
² 支持基机应流量统计
² 支持流量异常检测
² 深度流量滤(DFI)针P2P行识控制
*防病毒
² 支持HTTPFTPPOP3SMTPIMAP协议病毒查杀
² 支持200万余种病毒查杀病毒库定期时更新
² 支持木马病毒蠕虫病毒宏病毒脚病毒查杀
*防御攻击
² 非法报文攻击:land SmurfPingofdeathwinnuke tcp_sscanip_optionteardroptarga3ipspoof
² 统计型报文攻击:SynfloodIcmpfloodUdpfloodPortscanipsweep
² 支持址象源目连接数限制
² 端口阻断:根数包源数包特征进行阻断设置
² SYN代理:定义区域Syn Flood攻击行进行阻断滤
² CC攻击:通设置端口阀值阻断CC攻击
² 记录攻击日志报警
² 支持手动设置根IDS规动生成黑名单
安全理
户认证
² 支持次性口令认证(OTP)认证数字证书(CA)认证等常安全认证方式
² 支持统户理IPSECSSL套户认证理系统
² 支持口令复杂度设置支持密码找回首次登录修改口令功
² 支持点登录点数设置支持登录时间登录址范围控制
² 支持第三方认证RADIUSTACACSTACACS+LDAP域认证等安全认证方式
² 支持短信动态令牌硬件特征码认证
² 支持Session认证HTTP会话认证
² 支持WEB认证指纹认证
分级理
² 户理员分配权限理户信息
² 支持达16级分级理
² 支持理员三权分立
日志
² 支持WelfSyslog等种日志格式输出支持日志分级
² 支持安全审计系统(TAL)获更详日志分析审计功
² TAL接受防火墙日志外接受交换机路器操作系统应系统安全产品日志进行联合分析
² 日志进行加密传输
监控
² 支持网络接口CPU利率存率操作系统状况网络状况硬件系统进程进程存加密卡状况监测
² 根配置文件进行错误恢复
报警
² 置理系统安全策略通信硬件容错测试等种触发报警事件类
² 支持邮件NETBIOS声音SNMP控制台等种组合报警方式
流量统计
² 支持基IPsession数统计阀值报警功
² 支持基IP流量统计
² 支持基传输层端口进行流量session数统计
² 支持NETFLOW协议版5支持设置滤条件
带宽理
QoS
流量整形
² 根IP协议网络接口时间定义带宽分配策略
² 支持保证带宽限制带宽
² 支持DSCPCOS设置
² 支持p2p带宽限制
优先级
² 支持8级优先级控制
高性
双机热备
² 支持双机热备(ActiveStandby)模式
² 支持负载均衡(ActiveActive)模式
² 支持连接保护(Session Protect)模式
功
² 支持基IP探测链路备份功
² 支持服务器负载均衡提供轮询加权轮询少连接加权少连接源目址HASH等种负载均衡方式
² 支持双系统引导支持Watchdog功
配置理
配置方式
² 支持WEB图形配置命令行配置
² 支持基SSHHTTPS安全配置
² 支持通TP进行配置理
命令行
² 支持配置命令分级保护支持中英文
² 支持命令超时历史命令命令补齐命令帮助命令错误提示等功
WEBUI
² 支持配置导支持中文联机帮助
² 支持HTTPS客户端证书认证方式
² 支持CPU存连接数接口流量时监控图历史趋势图
² 支持应识病毒入侵防御统计数图形化显示
SNMP
² 支持SNMP v1 v2 v2c v3 版
² 支持SNMP MIB扩展
² 前通网络理台兼容HP Openview 等
系统升级
² 支持双系统升级
² 支持TFTPWebuiFtp升级
报文调试
² 提供强报文调试功帮助网络理员安全理员发现调试解决问题
² 支持发送虚拟报文
² 支持端口镜功够通设置滤条件选择性镜报文
配置恢复
² 进行配置文件备份载删恢复载
² 进行部分配置异批量导出导入
242 天融信VPN客户端
天融信IPSecVPN客户端款面移动户单机软件产品安装运行移动设备企业局域网台客户机中台设备具远程接入企业VPN功
天融信VPN客户端天融信VPN硬件软件网关配套VPN客户端间建立安全隧道构成虚拟专网实现客户端—网关(硬件软件)网关(硬件软件)—网关(硬件软件)间信息安全传输
天融信VPN客户端软件采天融信公司独创非核心层IPSec实现方案整VPN模块运行应层桌面软件兼容性极佳运行程户表现全透明:户应系统需作适应性调整网络配置必作改动
天融信VRC VPN客户端
支持操作系统台
win2000XP2003VISTAWIN7WIN8等
功
描 述
接入方式
² 支持1001000兆网卡线网卡等
² 支持普通Modem拨号方式
² 支持种ADSL连接方式(PPPOE)
² 支持2G3GWLAN等种线接入方式
支持全网隧道访问
² 远程户提供种部网访问服务户处种位置象局域网部样方便访问部网络真正实现3A保障(AnytimeAnywhereAnyone)
IPsec标准
² 支持模式野蛮模式协商
² 支持ESP标准
² 支持标准NAT穿越
² 支持3DESMD5SHA1标准加密认证算法
² 支持采硬件加密卡数进行认证加密限度保证户通信安全
证书格式
² 支持标准X509格式证书支持Base64DER编码方式
² 支持Windows CSP标准读取种第三方厂商USBKey
DNS
² 支持部DNS移动户总部VPN建立隧道通总部部DNS服务器直接域名访问部应服务器(HttpFtp服务器等)
WINS
² 支持部WINS移动户总部VPN建立隧道通机名访问部服务器机
客户端IP址动态分配
² 客户端通网关动态分配虚拟IP址实现全网IP址动态理
客户端访问控制
² 支持户硬件特征码绑定防止账号盗
² 支持角色分配访问权限户访问网络资源
² 访问权限设置端口
隧道配置理
² 支持隧道理方便户配置定义隧道
² 支持隧道断线重拨网络稳定造成隧道断开动重新建立隧道省户手工重启隧道麻烦
² 支持隧道监控通GUI界面户实时查隧道状态隧道数流量隧道否启动停止等
² 支持隧道配置保存导入
² 支持户配置文件保存恢复
客户端动功
² 户选择客户端动功开客户端软件动运行默认连接动重新认证等等
243 天融信VPN安全策略理台
天融信安全设备策略理台TP系统(称TopPolicy系统)TP理器TopPolicy服务器TopPolicy数库三部分组成中TopPolicy数库TP系统基础组件存储整网络中网络安全设备信息VPN安全策略
TopPolicy服务器TP系统核心组件服务器程序般需网络运行程中实时线完成认证设备维护设备维护VPN隧道维护VRC信息等工作
TP系统结构
天融信VPN安全策略理台(TP)作安全设备策略理系统够实现网络全面监支持天融信全系列产品理UTMIPSecSSL VPNSJW11VRC客户端等设备集中监控理TP理员网络中设备运行状态进行集中监控理TP服务器中机级服务器进行设备理VRC理隧道理防火墙策略理理员通集中定制IPS策略集中定制防火墙包滤策略访问控制策略NAT策略深度滤策略VPN通讯策略进发理设备避免设备独立定制策略意性便安全策略角度实现全网安全策略统理
l 业务理应分级理体系
现实应环境中网络环境具庞分级分支机构遍布全国特点 TopPolicy安全设备理部署够完全适应种理模式
首先系统支持4级域理样户方便全国项目分级分域理统策略责进行分担通分级分域理系统支持3000台安全设备30000VPN客户端
次系统安全设备策略实现完全集中理实现级理中心设备理日常理工作级中心仅负责监控分析统计工作
l 策略序控理
实际工作环境中量UTMVPN设备(例:300VPN1000条隧道)运行果全部端端方式端网关方式建立联接手工配置容易导致配置文件致力成高二理员时监控VPN设备间连接导致VPN设备间存着应连接网络安全存隐患VPN规模应情况需VPN进行统理
TopPolicy理员通理VPN设备行进行监控审计员理员行进行监控通加密算法采安全策略网络异常处理策略进行统协调VPN设备理序时VPN设备登录时动发统配置安全信息需VPN设备进行配置减低分散理带致复杂性
l VPN客户端动部署
VPN客户端软件(VRC)分发配置设备证书生成分发软件部署工作VPN产品规模时候成项非常繁琐复杂工作系统理员工作量极增加时整VPN系统带必安全隐患降低系统理员工作复杂度保证系统安全天融信公司TopPolicy中实现VRC动部署功
TopPolicy含动部署系统(Automatic Distribution System:ADS)国第套行研制开发整VPN系统提供VPN客户端软件安全部署服务软件够VPN客户端软件进行集中部署必证书理VPN客户端软件部署提供必安全服务基Windows 操作台IE浏览器IIS HTTP服务器界面友简便TopPolicy动部署系统够实现企业部VRC全面部署证书密钥统理理员网络环境中实现VRC动部署根企业实际需求制定全局VRC部署策略繁重VRC部署工作变简单序理员户异动部署系统服务器进行操作提高动部署机动性灵活性
l 完善PKI体系支持
TopPolicy系统采遵循X509证书作提供认证载体中等规模户需建立封闭身份认证体系需外部证书发放机构签发证书企业构建证书发放机构(CA)种户TopPolicy提供简单实PKI CA系统理员设备VRC生成更新发放证书时提供证书验证CRL文件理等功
已建CA系统户TopPolicy完全支持第三方PKI系统设备VRC导入更新第三方CA生成证书仅支持TP第三方CA根证书验证设备VRC身份支持通OCSP协议实时线验证设备VRC身份支持通HTTPLDAP协议动载CRL列表等等
l 集中配置理丰富设备理功
针设备通手动立获取配置通务动获取配置设备保存100配置备份
通调种理组件pingtelnetSSHTraceroute远程理等实现设备配置理
l 视角视化理
TopPolicy通拓扑图等种方式实现设备隧道等进行种理进实现设备性信息监视包括CPU信息存信息接口信息连接信息等外具VPN功设备提供隧道监控VPN监控功
l 适网络环境
TopPolicy构建系统中VPN设备设备名称作系统唯确定ID标识通ID理访问VPN设备样抛弃传统基IP理方法TopPolicy仅系统中设备固定IP方式固定IP动态IP方式互联根解决VPN设备互联时址址转换(NAT)问题动态IP接入网络问题VPN设备网络环境(IP址)改变ID变TopPolicy服务器保持原安全配置
l 系统高安全性
作安全理产品TopPolicy身具高安全性系统功模块间通信均采加密方式进行TopPolicy构建系统采证书进行身份认证系统抵御定强度DOS攻击通安全措施效防止网络监听帐号滥造成系列安全问题
l 语言支持
支持动态简体中文英文切换
l 灵活简便
TopPolicy方式十分灵活 TopPolicy系统分成三部分:TopPolicy ServerTopPolicy Manager理设备部分广域网物理位置独立运行TopPolicy界面友操作起相简便克服相关VPN产品操作复杂户技术门槛求高特点配置十分简便
l 天融信TP产品功
功类
子功
描述
设备理
级安全域理
设备理范围划分域域间级关系支持4级域理员指定理域范围
设备注册认证
理设备动完成注册认证
设备远程理
设备理列表中选择设备通调浏览器登录远程设备进行理拓扑图选择设备进行远程理调提供理工具: PingSSHtelnetTraceroute
设备配置集中保存更新
够查询接收保存设备配置信息设备提供配置更新服务设备保存配置更新时理员进行选择设备配置应需提示保存支持天融信设备配置保存定期检查设备配置否私修改显示配置变化状态
设备操作
开启服务设备重启时钟设置设置ROOT理员口令等
设备动注册
支持动态IPVPN设备理
设备发现
设备动发现支持第三方设备设备批量增加
设备批量升级
域设备制定升级计划升级包时指定时间动升级
拓扑理
拓扑图维护
显示编辑拓扑图放缩等功
根安全域设备列表隧道列表生成拓扑图
显示设备摘信息:设备名称IP隧道名
通子域结点进入级域拓扑显示
拓扑图显示支持位置手工动排列
基拓扑图状态理
基拓扑图设备隧道监控
图形化编辑
手动图形化增加移设备安全域隧道
显示方式
显示设备中服务列表前图节点变化时动刷新拓扑未变化需提示存盘显示子域报警显示中转设备显示子域设备总数开关控制否显示隧道名称支持拓扑图印导出拓扑图标排列操作拓扑查找(名称IP类型条件)
防火墙
策略
全局象理
包括址区域服务时间容滤象等象分发
防火墙策略理
支持包滤策略访问控制策略NAT策略容滤策略防火墙参数统配置支持策略分组
策略集中定义发
手工创建策略策略域制定策略发应选设备(台)域
设备监视
设备监视
线状态监视详细信息监视(系统资源接口流量等)
子域结点中显示该域级设备活跃数
批量监视
通分析设备健康记录判断设备运行状态时监控台设备接口信息监控时做批量拆连接操作支持监视数存储回放
TOP N
支持监控设备进行TOP N排序
隧道监视
动态隧道状态监视(禁活跃停止协商)
拓扑图显示隧道状态包括禁启状态
VRC户线状态监视
查VRC户状态
拓扑图中选择设备查登录该设备线VRC户显示VRC活跃数
VPN策略
基策略理
台网关批量添加台网关隧道
修改中间设备(选)隧道封装模式数保护方式算法指定隧道接口等
隧道建立删启禁批量操作
增强策略理
支持NAT设备非NAT设备建立隧道
支持NAT设备NAT设备建立隧道
支持动态IP设备间隧道建立
隧道增强参数
隧道参数增加第阶段协商算法
VRC理
VRC户信息维护
增加删修改VRC组
单批量增加删修改VRC户
VRC户启禁
址池维护指实现增加址段删址段动分配IP分配指定IP
VRC权限理
基VRC组VRC户进行权限定义
指定VRC组登录网关安全域
登录VPN网关时指定权限:访问权限协议目IPIP范围目端口范围
VRC户指定登录时间周天登录
VRC软件动分发
VRC生成证书配置时载口令然进行分发户安装需配置连通VPN网络
CA理
CA功
设备生成更新发放证书
VRC生成更新发放证书
理员生成更新发放证书
证书验证CRL文件理
第三方CA功
设备导入更新第三方CA生成证书
验证设备VRC身份
支持通OCSP协议验证设备VRC身份
支持第三方根证书CRL导入
支持通HTTPLDAP协议动载CRL
日志理
日志接收存储
支持设备日志接收存储系统日志存储转发
日志查询
日志进行详细关键字查询
报警
报警功
根定义报警条件产生报警
报警条件VRC户线设备线信息隧道连通断线信息等等
报警信息浏览
根关键字查询浏览历史报警信息
报警方式
包括邮件WINPOPSNMP理器铃声理器显示短信等
阀职报警
CPUMEM超限报警
软件升级
设备VRC软件升级
设备VRC升级补丁进行理直接设备进行升级VRC提供载升级服务
断点续传
断点续传升级方式
升级检测
TP根设备版号判断否设备需升级果需升级设备提示户
户理
理员理
基角色权限划分理
统计分析
统计报表输出
提供统计功印统计报表
针单台台网关进行统计安全域统计针整网络信息进行统计
统计信息应该包括设备日志系统日志监控信息等
系统运行报表
统计网关线线时间线时长VPN隧道异常情况网关VRC认证情况
报表形式
报表支持饼图柱状图曲线图等种图形方式显示
高性
服务器配置备份恢复
实现服务器配置备份
实现配置恢复
服务器级联
支持服务器分布式部署级传关键数
双机冗余备份
服务器双机备份
双线路冗余备份
服务器支持双线路条线路出现障时动切换条线路
l TP运行环境标准
运行安装Windows 2003 ServerWindows 2008 Server台PC服务器
25 天融信VPN产品特点
251 支持国密局IPSec VPN技术规范
天融信IPSec VPN网关全面支持国家密码理局制定IPSec VPN技术规范支持种国研制硬件密码算法采硬件密码模块进行密码算法运算支持国家密码理局规定SM1SM2SM3SM4商密码算法产品安全性合规性充分保障天融信IPSec VPN安全网关严格遵循IPSec VPN技术规范实现IPSec网关进行互联互通
IPSec VPN技术规范标准IPSec协议进行修正数字信封认证方式代预享密钥签名认证方式抛弃DH密钥交换方式采公钥加密方式杜绝中间攻击时采国家商密码算法代公开标准算法户数提供限度安全保护
252 全面支持IPSec协议标准
IPSec作全球性安全标准求IPSec实现必须严格遵循种协议规范便实现产品间互通天融信IPSec VPN产品严格互通性测试CiscoJuniperMicroSoft等著名厂家VPN产品实现互通产品遵循RFC 1828RFC 1829RFC 1851RFC 1852RFC 2085RFC 24012412等系列协议标准
Ø 支持标准ESPAH加密认证协议
Ø 支持隧道模式传输模式协议封装格式
Ø 支持IKEv1IKEv2
Ø 支持模式野蛮模式快速模式种协商模式
Ø 支持证书认证预享密钥认识方式
Ø 支持DES3DESAES等种称密钥算法
Ø 支持MD5SHA1等种完整性验证算法
Ø 支持RSADH等种非称密钥算法
Ø 支持扩展认证模式配置
253 CleanVPN
天融信VPN产品集VPN防火墙带宽理入侵防御等功身网络安全产品隧道策略防火墙策略防病毒策略组合CleanVPN病毒扫描VPN数流进行扫描阻止病毒蠕虫通VPN隧道传播总部分支远程户合作伙伴间建立纯净VPN网络
254 完善PKI体系提高户网络安全等级
着VPN技术政府金融等高安全性求领域应断深入户VPN网络认证功原PKI体系进行缝结合需求越越强烈网络卫士合VPN产品全面支持标准PKI体系结构够通置CA模块独立移动户签发数字证书够通导入CA根证书+CRL列表方式第三方CA签发证书进行认证时够通OCSPLDAP等标准协议第三方CA提交线证书认真请求具体PKI功包括:
Ø 支持标准X509V3格式数字证书
Ø 支持DERPEMPKCS12等种证书编码格式
Ø 支持通置CA模块户签发标准数字证书
Ø 支持时导入CA根证书CRL列表CA签发证书进行认证
Ø 支持通OCSPLDAP等标准协议第三方CA进行线证书认证
Ø 支持生成PKCS10格式证书请求生成证书请求第三方CA签名
Ø 支持CRL列表文件导入通HTTP动载
天融信吉正元海格尔天威诚信江南计算等国CA厂商着长期合作网络卫士VPN网关厂商CA系统均够缝集成
255 支持全动态IP址间建VPN隧道
目前国常特网接入方案包括电话拨号ADSL宽带接入等ISP接入户动态分配时IP址果企业两分支机构均采动态IP址方式接入特网两分支机构间VPN隧道策略参数必须进行动态调整程目前市场部分VPN产品(包括国产品国外产品)法动完成VPN网络日常维护广泛应带困难天融信IPSec VPN网关产品通集中VPN策略理方式DDNS缝结合技术成功解决全动态IP间动建立VPN隧道问题
256 NAT动穿越
NAT技术目前国企业享网区智厦宽带接入城域网宽带接入流技术NATIPSec协议原理存定矛盾应IPSec技术组建VPN网络时定考虑选VPN设备否具NAT穿越功数VPN设备配置隧道时需预先知道该条隧道否存NAT设备事实网络理员难准确掌握整路径中设备NAT情况NAT状态常变化
天融信IPSec VPN全系列产品均支持新NATT协议标准隧道协商程中动态计算否存NAT设备动态调整策略需理员额外填写配置具非常网络适应性天融信IPSec VPN产品通隧道路转发技术支持双NAT穿越
257 隧道路技术实现VPN灵活动部署
实际物理网络部署中网络理员首先通物理线路(光纤双绞线电话线等)连接路设备然通路器配置静态路者动态路完成种规模网络灵活部署IPSec VPN网络中条隧道视连接两台VPN设备虚拟网络线路隧道建立成功虚拟线路连接工作完成基虚拟线路网络理员IPSec VPN网关采样方法配置静态动态路协议完成整VPN网络灵活部署种隧道路机制优点:
Ø 网关配置概念方法路器类似减少网络理员部署VPN网络学熟悉程
Ø 通隧道路规配置完成VPN数流VPN网关间灵活转发实现星型网络拓扑解决双NAT穿越问题
Ø 通动态隧道路协议配置实现整VPN网络适应部署VPN网络拓扑动学动寻径
Ø 通基策略隧道路配置实现VPN网关冗余备份负载均衡
258 完善VPN网络集中理功
利基互联网VPN技术构建企业基础网络设施低成高效率天然优势相伴安全性理性潜风险尤分支机构营业网点遍布全国型企业讲业务网络系统具分布域广泛接入点网络结构复杂等特点确保企业部网络安全效理维护遍布企业结点VPN设备保证网络稳定运行VPN产品供应商必须解决问题IPSec VPN综合量户需求逐步形成统认证集中监控分级理VPN网络理方案成功运许特型企业VPN建设中
259 支持组播穿越隧道
普通IPSEC VPN支持组播协议IPSEC组播包路某特定端天融信VPN技术创新支持组播穿越样整VPN网络部利组播开展视频会议等应时利组播穿越VPN隧道轻松实现隧道动态路VPN设备端学路动发布外端简化网络部署提升网络理效率
2510 机线路负载均衡备份
天融信VPN网关支持机线路组合应台设备条链路间实现隧道数负载均衡备份实现线路动选优效解决国跨运营商线路互通问题某条线路发生障时系统动数流切换线路台设备发生障时系统动数流切换网关设备保证VPN网络连通性
2511 支持灵活移动户接入策略
VPN技术远程移动办公领域应越越广泛支持安全灵活移动户接入策略已成VPN产品竞争焦点IPSec VPN产品支持丰富移动户接入策略种需求户提供完善解决方案
Ø 支持基户+口令认证机制
Ø 支持基数字证书认证机制
Ø 支持基证书+口令双子认证机制
Ø 支持RADIUSTARCASLDAPAD等户认证协议
Ø 支持USB KEY动态口令卡等强身份认证机制
Ø 支持基服务移动户访问授权
Ø 支持基时间移动户访问控制
Ø 支持移动户硬件特征码绑定机制
Ø 客户端版支持中英文动切换
2512 丰富样认证授权
天融信VPN产品置户认证数库时支持种外部认证:RADIUS认证AD认证LDAP认证等支持外部认证服务器户授权计费通外部认证方便户原认证系统缝结合
天融信VPN网关支持户名口令证书USBKEY短信硬件特征码指纹动态令牌时间IP址等种认证方式意组合户提供强安全接入机制
2513 分级信接入体系
信接入指远程接入VPN客户端机安全性进行检查天融信VPN网关客户端接入实行信接入检查包括操作系统补丁防病毒软件防火墙软件进程文件注册表项等安全性检查合格客户端拒绝接入网
天融信VPN网关客户端信接入安全性检查结果进行分级级授予权限满足安全求机终端根缺陷程度分实行隔离修复限制访问求访问敏感信息服务器户果没达较高安全等级授予安全等级匹配普通权限样防止安全户机感染部关键服务器保留浏览公司普通Web服务器权限实现桌面安全等级访问资源安全级相匹配访问权限分级
2514 简单易驱客户端
目前般IPSec VPN客户端基采虚拟网卡核心垫片技术技术需户设备安装核心驱动程序核心驱动程序安装安全容易户设备防火墙软件防病毒软件等程序会发生突程序员疏忽导致蓝屏死机等现象
天融信IPSec VPN客户端完全摒弃弊端采Windows置MiniPort基石需安装核心驱动会防火墙防病毒等核心程序发生突安全稳定简单易户放心
2515 iOS零安装
目前移动互联已成新应趋势通智终端方便实现远程办公中苹果iPhoneiPad常见终端般VPN需苹果终端安装软件接入样方便容易导致系统稳定
天融信iOS解决方案采零安装方式需安装软件直接iOS置IPSec客户端VPN网关进行安全互联IPSec客户端VPN网关采改进IPSec密钥协商协议IKE+XAuth进行隧道协商实现户认证授权达数加密效果时担心iOS客户端稳定性具方便简单安全等特点
2516 集成功强防火墙功
天融信VPN产品集成天融信强防火墙产品功户VPN网络提供高等级边界安全防护访问控制
天融信VPN网关具强容滤功支持URL分类滤分类库700万条支持挂马网站滤支持邮件滤反垃圾邮件功具完善应识功户轻松针典型网络应MSNQQSkype新浪UC阿里旺旺Google Talk等时通信应BTEdonkeyEmule讯雷等p2p应实行灵活访问控制策略禁止限时带宽控制等
2517 集成强网络附加功
天融信IPSec VPN网关户组网提供强网络附加功完全作独立相关网络设备进行配置功:
Ø 基TOS安全操作系统高扩展性轻松升级成集IPS防病毒容滤反垃圾邮件等功体安全网关
Ø 集成强网络附加功支持交换静态动态路VLAN带宽理DNS代理DHCP服务器ARP代理组播协议等
第三章 XXXX网络系统互联VPN解决方案
根XXXX网络互联实际情况采天融信VPN系列产品提供整体网络互联VPN安全解决方案解决面网络互访传输保密节点认证增值服务网络访问控制等问题
31 VPN解决方案
分支机构通Internet接入中心采天融信VPN设备实现互联情况配置情况述:
1. 总部中心Internet接入口处安装台天融信千兆高端VPN网关作VPN中心网关中心网关整VPN网络中心部件负责维护分支机构移动户间隧道安全策略中心网关兼功强防火墙功工作方式支持桥路混杂方式具入侵防御容滤带宽理日志报警等种功
2. 总部部署台服务器作安全策略理台(TP)负责企业整VPN网络中VPN设备证书生成发放制定VPN设备间通信策略全网VPN设备够数字证书方式进行身份认证隧道建立天融信VPN设备进行理简化中心分支机构VPN设备策略配置工作天融信TP具拓扑图动生成日志审计报表实时监控报警等种功
3. 分支机构根网络规模Internet接口处安装台天融信XX网关作硬件网关分支网关首先作分支机构网访问设备防火墙设备连入互联网时动中心VPN网关进行身份认证VPN隧道协商分支网关兼功完善防火墙功抵抗种攻击方式保护分支机构网安全
4. 移动户PC移动终端安装天融信VPN客户端VRC天融信VRC支持证书认证户名+口令认证证书+户名口令 认证种认证方式天融信VRC支持前种流接入方式需简单配置中心硬件网关建立隧道进行安全通讯
5. Internet接入方式中心端求线路较稳定出口带宽较宽具静态公网IP址分支采ADSL常线路接入
利天融信VPN系列产品组成XXXXVPN网络图示:
图41 VPN网络结构图
天融信VPN系列产品帮助 XXXX总部局域网络分支机构托Internet构建成虚拟专网络系统感觉象专网络样单位统规划机IP址(:10XXX)分支机构总部网络互访时专网络样方便
32 配置功说明
321 天融信安全策略理台
l 生成签发理废弃数字证书
l VPN设备线理
l 制定通讯策略
l 支持第三方CA认证
322 天融信VPN硬件安全网关
l 导入证书
l 配置IP址
l 指定TP址
l 配置机网信息保护子网
l 载通信策略
323 天融信VPN客户端
l 导入证书
l 指定认证网关
l 配置相应认证方式
33 通信程分析
l 分支机构移动户网方式变
l 服务器访问方式变
l 总部部移动户分支机构通网邻居根机器名称互访(WINS配合)通私IP址访问
34 安全性分析
l 证书作身份认证
l VPN接入Internet安全策略服务器进行身份认证防范身份假
l 高强度机密性:数容特网中密文传输加密算法协商防止窃听篡改分析保证数机密性
l 保证数完整性:采认证算法原始数进行摘运算法
l 隐藏部网络IP址
l 采隧道嵌套技术实现端端安全防止部员工破坏
35 密钥理
l 支持标准IKE动密钥协商
l 采
l 标准X509证书认证
36 解决方案特点
1 健壮性:VPN设备置安全操作系统具良身安全性
2 透明性:现业务系统网络结构须做调整需做少量改动
3 适应性:适应系统网络结构调整发展
4 扩展性:采国际标准Ipsec设备实现互通互联
5 实施性:安装维护简单快速时进行影响正常业务
6 整体性:时提供网络安全访问控制传输加密节点认证户认证安全审计功配合企业已少认证方式
7 低成:帮助企业Internet骨干网组建私网络降低运营成
8 高速率:现宽带接入ADSL网提供网速率般兆远远DDNMODEM速度天融信VPN设备加密速率高达400兆
9 安全性高:采证书认证1024位非称加密方式保护密钥交换称加密算法选灵活性高国密办审批种硬件加密算法168位3DES加密算法选择
10 支持全动态IP址组网实现网状通信
11 缝支持NAT穿越(NATT)双NAT穿越
12 支持线路捆绑实现动态负载均衡带宽理
13 天融信VPN设备支持集中分级方式理方案适应户需求
14 文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档