網絡安全加固最新解決方案

1、網絡系統(tǒng)安全加固方案北京*有限公司2018年3月目 錄1項目介紹31.1項目背景31.2項目目標31.3參考標準31.4方案設計原則41.5網絡系統(tǒng)現(xiàn)狀52網絡系統(tǒng)升級改造方案62.1網絡系統(tǒng)建設要求62.2網絡系統(tǒng)升級改造方案72.3網絡設備部署及用途92.4核心交換及安全設備UPS電源保證102.5網絡系統(tǒng)升級改造方案總結103網絡系統(tǒng)安全加固技術方案103.1網絡系統(tǒng)安全加固建設要求103.2網絡系統(tǒng)安全加固技術方案113.3安全設備部署及用途223.4安全加固方案總結224產品清單24 第II頁 1 項目介紹1.1 項目背景隨著對外網信息化的發(fā)展，業(yè)務系統(tǒng)對外網絡系統(tǒng)、信息系統(tǒng)的依賴程

2、度也越來越高，信息安全的問題也越來越突出。為了有效防范和化解風險，保證對外網信息系統(tǒng)平穩(wěn)運行和業(yè)務持續(xù)開展，須對對外網現(xiàn)有的網絡升級，并建立信息安全保障體系，以增強對外網的信息安全風險防范能力。同時隨著全球化和網絡化，全球信息化建設的加快對我國的影響越來越大。由于利益的驅使，針對信息系統(tǒng)的安全威脅越來越多，必需加強自身的信息安全保護工作，建立完善的安全機制來抵御外來和內在的信息安全威脅。為提升對外網整體信息安全管理水平和抗風險能力，我們需要根據(jù)國內外先進信息安全管理機制結合對外網自身特點和需求來開展一項科學和系統(tǒng)的信息安全體系建設和規(guī)劃設計工作。通過系統(tǒng)的信息安全體系規(guī)劃和建設，將為對外網加強

3、內部控制和內部管理，降低運營風險，建立高效、統(tǒng)一、運轉協(xié)調的管理體制的重要因素。1.2 項目目標滿足對外網對網絡系統(tǒng)等基礎設施的需求，降低基礎設施對對外網信息化發(fā)展的制約，順利完成業(yè)務系統(tǒng)、網絡系統(tǒng)與信息安全系統(tǒng)的整合，促進對外網信息化可持續(xù)發(fā)展。本次改造工作的主要內容：通過網絡系統(tǒng)改造及安全加固，滿足對外網日常辦公需要，保障重要網絡及業(yè)務系統(tǒng)的安全運行。1.3 參考標準本方案重點參考的政策和標準包括：l 中華人民共和國政府信息公開條例（中華人民共和國國務院令第492號）l 中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定l 國務院辦公廳關于做好中央政府門戶網站內容保障工作的意見（國辦發(fā)200

4、531號）l 信息技術 信息系統(tǒng)安全等級保護實施指南l 信息技術 信息系統(tǒng)安全等級保護基本要求l 信息技術 信息系統(tǒng)安全等級保護方案設計規(guī)范l BS7799/ISO17799信息安全管理實踐準則1.4 方案設計原則本方案在設計中將嚴格遵循以下原則：需求、風險、代價平衡分析的原則對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡要進行實際的研究(包括任務、性能、結構、可靠性、可維護性等)，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略；綜合性、整體性原則應運用系統(tǒng)工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手

5、段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)技術措施(訪問控制、加密技術、認證技術、攻出檢測技術、容錯、防病毒等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。計算機網絡的各個環(huán)節(jié)，包括個人(使用、維護、管理)、設備(含設施)、軟件(含應用系統(tǒng))、數(shù)據(jù)等，在網絡安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代價、效果對不同網絡并不完全相同。計算機網絡安全應遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網絡體系結構及網絡安全體系結構；動態(tài)保護原則網絡安全是整體的、動態(tài)的。網絡安全的整體性是指一個安全系統(tǒng)的建立

6、，即包括采用相應的安全設備，又包括相應的管理手段。安全設備不是指單一的某種安全設備，而是指幾種安全設備的綜合。網絡安全系統(tǒng)的動態(tài)性是指，安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。所以，建設的安全防護系統(tǒng)不是一勞永逸的事情；一致性原則一致性原則主要是指網絡安全問題應當與具體的安全措施保持同步，并且在網絡安全建設中所采取的各類安全措施應當執(zhí)行統(tǒng)一的安全策略，各個策略之間能

7、夠相互互補，并針對具體的問題，從不同的側面執(zhí)行一致性的策略，避免出現(xiàn)策略自身的矛盾和失誤；強制性原則安全措施的策略應當統(tǒng)一下發(fā)，強制執(zhí)行，應避免各個環(huán)節(jié)的安全措施各自為政，從而也保障了安全策略的一致性，保障各個環(huán)節(jié)的安全措施能夠相互互補，真正的為系統(tǒng)提供有效的保護；易操作性原則安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。多重保護原則任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。1.5 網絡系統(tǒng)現(xiàn)狀對外網共計約120名辦公人員。辦公網

8、絡通過一臺二層交換機接入亦莊機房核心交換機，到機房的鏈路介質為兩條光纖。網絡系統(tǒng)現(xiàn)狀拓撲目前，對外網現(xiàn)有四臺二層交換機需要更新升級。同時辦公場所沒有無線網絡覆蓋，且無內網安全防護設備。2 網絡系統(tǒng)升級改造方案2.1 網絡系統(tǒng)建設要求網絡系統(tǒng)建設要求如下：l 升級替換二層交換機。l 采用集中控管的組網方式，集中控制管理所有的AP。l AP采用POE供電的方式。l 為了滿足大容量并且以備擴容和發(fā)展，室內無線AP要求必須支持兩個射頻模塊，可以工作在2.4GHz和5.8GHz頻段;l 無線系統(tǒng)能夠對用戶角色制定不同的策略，滿足授權管理（訪問控制、流量控制）功能；l 充分考慮WLAN的安全性，采用先進的

9、WLAN安全技術保障。l 無線局域網系統(tǒng)要能方便和靈活地調整與擴充。l 為核心網絡交換及安全設備提供UPS電源保證。2.2 網絡系統(tǒng)升級改造方案網絡系統(tǒng)升級改造方案拓撲圖如下：2.2.1 有線網絡升級替換四臺現(xiàn)有二層交換機。2.2.2 新建無線網絡 AP布放設計根據(jù)現(xiàn)場實際勘測、信號測試情況，無線網絡采取蜂窩式部署方式。AP安裝在走廊/墻壁上。辦公區(qū)域接入8個AP供辦公人員日常業(yè)務使用。 無線組網方式結合用戶無線網絡需求情況，結合產品自身技術特點，為了滿足用戶構建一個高速、穩(wěn)定、安全、可靠、易于管理的無線接入網絡的需求，本設計方案按照AP+控制器的結構化無線網絡解決

10、方案進行設計。 信道規(guī)劃使用2.4GHz頻點為例，為保證信道之間不相互干擾，要求兩個信道之間間隔不低于25MHz。在一個覆蓋區(qū)內，最多可以提供3個不重疊的頻點同時工作，通常采用1、6、11三個頻點。WLAN頻率規(guī)劃需綜合考慮建筑結構、穿透損耗以及布線系統(tǒng)等具體情況進行。 多業(yè)務區(qū)分設計在設計上采用無線局域網多SSID技術，設置多業(yè)務區(qū)分方式。例如一個SSID可給內部員工所用，而另一個可給外來的客戶專用。 無線安全性設計在無線系統(tǒng)中，可以在多個層面對系統(tǒng)構筑安全防護，其安全性設計如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應用的種類設置多個SSI

11、D，不同的SSID采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。另外SSID還可以選擇隱藏的方式，該SSID不廣播，用戶無法看到，防止非法用戶的接入。SSID還可以選擇在某些AP上出現(xiàn)，某些AP上不出現(xiàn)，限制SSID出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。（2）加密：無線系統(tǒng)支持國際標準的多種數(shù)據(jù)加密方式，保護數(shù)據(jù)不被竊取，用戶可根據(jù)實際需要自行選擇。（3）多重接入認證方式：廠家無線系統(tǒng)支持多重認證方式結合：開放式、WPA-PSK、WPA2-PSK（個人）、開放式+Portal認證、WPA-PSK/WPA2-PSK+Portal認證、WPA(企業(yè))、WPA2（企業(yè)）、WPA/WPA2

12、（企業(yè)）； 網絡與用戶管理在無線系統(tǒng)中可以設定用戶的角色，同時，可根據(jù)角色進行訪問的管控與流量的管理。比如，辦公人員及領導具有較高的網絡權限，可以訪問更多的網絡資源，或者對某些特殊的來賓開放某些VIP賬號，分配給其較高權限的權限。分配較高的帶寬供使用。而訪客分配有限的權限，限制帶寬和禁止訪問內網，同時也可進行時間的限制。2.3 網絡設備部署及用途本次網絡系統(tǒng)升級改造中各設備部署及用途如下：序號設備名稱數(shù)量單位用途1接入交換機1臺與機房三層交換機對接2終端接入交換機4臺提供終端PC的接入網絡3POE交換機1臺為AP設備供電4AC控制器1臺用于控制管理AP5室內AP8臺為用戶提供無線

13、數(shù)據(jù)接入2.4 核心交換及安全設備UPS電源保證 通過核心信息機房布放核心交換機，核心網絡安全設備，無線網控制器等，為保證這些設備在停電狀態(tài)下的正常工作，我們配置了5K的ups電源，為核心網絡設備提供延遲1小時的不間斷電源保證。2.5 網絡系統(tǒng)升級改造方案總結通過本次網絡系統(tǒng)升級改造，網絡的基礎設施可以滿足未來5年擴展需求。根據(jù)業(yè)務需求優(yōu)化網絡系統(tǒng)，保證網絡系統(tǒng)可用性、工程實施的簡便快捷。滿足網絡系統(tǒng)等基礎設施的需求，降低基礎設施對信息化發(fā)展的制約，順利完成重要業(yè)務系統(tǒng)的部署及信息系統(tǒng)的整合，促進對外網信息化可持續(xù)發(fā)展。3 網絡系統(tǒng)安全加固技術方案3.1 網絡系統(tǒng)安全加固建設要求網絡系統(tǒng)安全加

14、固建設要求如下：1、網絡邊界安全防護2、財務等重要部門安全防護3、限制網速，控制上網；訪客可通過掃碼或關注微信公眾號，認證上網4、網絡準入5、IPSEC VPN：與阿里云對接6、SSLVPN設備：移動辦公3.2 網絡系統(tǒng)安全加固技術方案針對系統(tǒng)的安全建設需求，在安全域劃分的基礎之上，提出了有針對性的安全技術措施，來構建整個信息安全技術防護體系。具體部署方式如下圖所示：結合實際業(yè)務保障需要，本著“適度安全，保護重點”的原則，我們建議采用以下安全技術措施來構建安全保障體系的技術支撐平臺。3.2.1 邊界安全保護措施采用防火墻，對信息網絡中重要的安全域提供邊界訪問控制，嚴格控制進出網絡各個安全區(qū)域的

15、訪問，明確訪問的來源、訪問的對象及訪問的類型，確保合法訪問的正常進行，杜絕非法及越權訪問；同時有效預防、發(fā)現(xiàn)、處理異常的網絡訪問，確保對外網信息網絡正常訪問活動。 網絡邊界安全防護n 部署位置：在房與辦公區(qū)域之間部署防火墻設備。n 部署模式：防火墻采用路由方式部署。 重要部門安全防護n 部署位置：在行政、財務等重要部門與其他辦公區(qū)域之間部署防火墻設備。n 部署模式：防火墻采用透明方式部署。 產品功能特點“基于用戶防護”、“面向應用安全”、“高效轉發(fā)平臺”、“多層級冗余架構”、“全方位可視化”及“安全技術融合”六大特性的NGFW下一代防火墻系列產品。全新

16、的NGFW下一代防火墻產品線，不論是在性能方面還是在功能方面都完全符合用戶對下一代防火墻產品的各種需求。n 基于用戶防護靈活且強大的用戶身份管理系統(tǒng)，支持RADIUS、TACACS、LDAP 、AD、郵件、證書、Ukey、短信等多種認證協(xié)議和認證方式。在用戶管理方面，實現(xiàn)了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環(huán)境下不同的用戶需求?；谏鲜鎏匦?，網絡終端在訪問網絡前，被強制要求到NGFW下一代防火墻進行身份認證來完成對其的“合法性”檢查。除此之外，NGFW下一代防火墻還集成了強大的安全準入控制功能，針對身份認證通過后的網絡終端操作系統(tǒng)環(huán)境進行系統(tǒng)服務、軟件、文件、進程、注冊表等細

17、粒度的檢測與控制來實現(xiàn)對其的“合規(guī)性”檢查。通過對網絡終端“合法性”與“合規(guī)性”的雙重審核后，NGFW下一代防火墻將根據(jù)其身份認證信息（用戶ID）通過智能過濾引擎實現(xiàn)基于用戶身份的安全防護策略部署與可視化監(jiān)控。 一體化智能過濾引擎NGFW下一代防火墻系列產品，采用高度集成的一體化智能過濾引擎技術。其能夠在一次數(shù)據(jù)拆包過程中，對數(shù)據(jù)進行并行深度檢測，從而保證了協(xié)議深度識別的高效性。另外，NGFW下一代防火墻產品基于八元組高級訪問控制設計，除傳統(tǒng)的五元組控制以外，實現(xiàn)了用戶身份信息、應用程序指紋及內容特征的識別與控制，充分體現(xiàn)了下一代防火墻關注“用戶”與“應用”的設計理念。n 高效轉發(fā)平臺 TOS

18、安全系統(tǒng)平臺NGFW系列產品基于廠家公司十余年高品質安全產品開發(fā)經驗結晶的TOS（Topsec Operating System）安全系統(tǒng)平臺。隨著多核技術的廣泛應用，TOS以多核硬件架構為基礎，分為系統(tǒng)內核層、硬件抽象層及安全引擎層。在安全引擎層內，根據(jù)安全功能模塊協(xié)議特性的不同，分為網絡引擎組（NETWORK Engines）與應用引擎組（APP Engines）。通過將引擎組與多核硬件架構的完美整合，使TOS在系統(tǒng)層面實現(xiàn)了全功能多核并行流處理。而在硬件抽象層則采用多種加速技術，根據(jù)各個核心的實時負載情況，將流量按會話的方式動態(tài)均衡到CPU的各個核心，從而確保整個CPU效率執(zhí)行的最大化。

19、 TopTURBO數(shù)據(jù)層高速處理TopTURBO是自主原創(chuàng)實現(xiàn)數(shù)據(jù)層多核快速轉發(fā)的高性能業(yè)務處理技術。通過NGFW產品研發(fā)團隊在TOS系統(tǒng)平臺上所進行的大量性能優(yōu)化工作，利用TopTURBO技術將數(shù)據(jù)層高速處理解決方案平滑遷移到多核硬件平臺上，與當今最先進的高性能多核架構合而為一，從而獲得更高的網絡處理性能。3.2.2 網絡流量控制防護措施串聯(lián)部署上網行為管理系統(tǒng)，依據(jù)業(yè)務系統(tǒng)使用情況配置網絡帶寬和用戶對外訪問的帶寬，滿足業(yè)務應用系統(tǒng)帶寬使用，同時保障網絡暢通。 網絡流量控制防護n 部署位置：在防火墻設備與內網三層交換機之間。n 部署模式：采用透明方式部署。n 認證方式：用戶只需

20、用微信掃描企業(yè)提供的二維碼，關注公眾號并申請上網，即可完成身份認證過程。同時支持掃一掃的方式認證上網。 產品功能特點n IP/MAC/VLAN綁定 上網行為管理設備支持二層網絡環(huán)境和三層網絡環(huán)境的IP、MAC、IP+MAC和VLAN ID的綁定，可自動阻斷哪些非法占用他人IP的用戶上網。 n 認證賬戶有效期 對于一些臨時的用戶，通過有效期的限定可以控制這些用戶的上網時間范圍，當用戶超出預設的時間有效期，就不能上網。很好的控制了外來用戶上網的準入性和上網時長。同時可以設定用戶離線多久就自動刪除該用戶，從而大大的簡化了動態(tài)用戶的管理，增強了用戶管理的靈活性。 n 微信認證 支持與微信

21、結合的認證方式，用戶關注微信公眾號后即通過身份認證，后臺記錄用戶IDn 登錄重定向 上網行為管理設備支持網頁重定向的功能。當用戶認證成功后，上網行為管理設備可以將其第一次的WEB訪問重定向到預設的URL鏈接。此功能適合于政府機關、企業(yè)集團、大中小學等、或者酒店等網絡環(huán)境，便于用戶上網的時候直接導向最新的公告信息。 n 帶寬資源管理 通過專業(yè)的帶寬管理和分配算法，上網行為管理設備提供流量優(yōu)先級、最大帶寬限制、保障帶寬、預留帶寬、以及隨機公平隊列等一系列的應用優(yōu)化和帶寬管理控制功能。 n 防共享上網上網行為管理，能自動發(fā)現(xiàn)網絡中私接的有線路由器、無線路由、360wifi等共享上網行為，能夠及時對私

22、接行為進行管控，在系統(tǒng)中能夠實時查看管控記錄和日志3.2.3 網絡準入 網絡準入n 部署位置：內網三層交換機。n 部署模式：采用旁路方式部署。 產品功能特點l 完整的接入管理流程一套完整的接入管理流程，從基本的接入身份標識，到接入后的合規(guī)檢查和修復向導以及實名審計等，整體包裝終端準入的安全性，純凈化與抗抵賴作用。l 全方位的可信準入可信終端：只允許合法終端的接入，細粒度的健康檢查保證接入終端的合規(guī)性；可信用戶：系統(tǒng)提供實名制的準入功能，并可與AD域聯(lián)動，將網絡準入同域認證有機結合。l 無線準入業(yè)界領先支持傳統(tǒng)PC有線和無線認證、健康檢查、動態(tài)VLAN劃分；支持智能終

23、端無線準入，無需安裝客戶端，支持Android、IOS、Windows Phone等主流操作系統(tǒng)。l 具有很好的網絡環(huán)境適應性，不需要大幅調整網絡結構網絡安全準入系統(tǒng)可適應各類復雜網絡和混合型部署網絡，支持多種接入方式，支持有線和無線的準入。支持CISCO、H3C、華為等多個廠商的設備，很好的滿足及適應了客戶網絡的復雜性。l 細粒度的合規(guī)檢查從識別系統(tǒng)特征，到操作系統(tǒng)以及殺毒軟件的特征，全面支持對客戶端主機的各種安全檢查，除基本的安全檢查項外（殺毒軟件、注冊表、進程等），可以由管理員自定義制訂檢查安全監(jiān)測任務。用戶可根據(jù)實際需求選擇符合自己的合規(guī)檢查。l 高性能，高穩(wěn)定性的設備基于最新硬件平臺

24、而構建的NAC硬件準入網關，公司十五年的硬件產品技術積累，硬件平臺廣泛應用于防火墻、IPS、VPN等其他硬件產品。該產品基于具有自主知識產權的安全操作系統(tǒng)TOS (Topsec Operating System)。l 強大的可擴展性準入安全檢查技術上除了滿足客戶端安全監(jiān)控、客戶端安全加固、客戶端管理等要求之外，還提供多種數(shù)據(jù)接口和二次開發(fā)接口?？筛鶕?jù)實際需要快速進行功能定制，也可與TSM產品(TD/TA-NET/TA-DB)聯(lián)合部署，并可提供基于實名認證審計功能。3.2.4 IPSEC VPN機房與云IPSEC VPN建立安全訪問通道。采用基于IPSEC協(xié)議的虛擬專用網（VPN）機制，結合可靠

25、的認證、授權和密碼技術，保護遠程通信過程和傳輸數(shù)據(jù)的真實性、完整性、保密性，防止重要業(yè)務數(shù)據(jù)在傳輸過程中被竊取、篡改和破壞。 IPSEC VPNn 部署位置：機房三層交換機。n 部署模式：采用旁路方式部署。 產品功能特點l 全面支持國密局IPSec協(xié)議規(guī)范IPSec作為一個通用性的安全標準，要求所有IPSec的實現(xiàn)必須嚴格遵循其各種協(xié)議規(guī)范，以便實現(xiàn)不同產品之間的互通。IPSec VPN產品經過國家密碼管理局的嚴格鑒定，符合國密局最新制定的IPSEC VPN技術規(guī)范，可以和其他符合規(guī)范的的VPN產品實現(xiàn)互通。本產品遵循國密局最新制定的IPSEC VPN技術規(guī)范標準協(xié)

26、議。支持ESP、AH加密認證協(xié)議支持隧道模式、傳輸模式的協(xié)議封裝格式支持密鑰交換協(xié)議支持主模式、快速模式多種協(xié)商模式支持證書認證方式l 通過隧道路由技術實現(xiàn)VPN網絡的靈活自動部署在實際物理網絡部署中，網絡管理員首先通過物理線路（可能是光纖、雙絞線、電話線等）連接各個路由設備，然后通過在路由器上配置靜態(tài)路由或者動態(tài)路由完成各種規(guī)模網絡的靈活部署。在IPSec VPN網絡中，將每一條隧道視為連接兩臺VPN設備的虛擬網絡線路，隧道建立成功后，虛擬線路連接工作就完成了?；谶@些虛擬線路，網絡管理員可以在IPSec VPN網關上采用同樣的方法配置靜態(tài)、動態(tài)路由協(xié)議，完成整個VPN網絡的靈活部署。這種隧

27、道路由機制的優(yōu)點在于：網關的配置概念和方法與路由器類似，減少網絡管理員對于部署VPN網絡的學習和熟悉過程；通過隧道路由規(guī)則的配置，可以完成VPN數(shù)據(jù)流在VPN網關之間的靈活轉發(fā)，從而可以實現(xiàn)星型網絡拓撲，并解決雙向NAT穿越問題；通過動態(tài)隧道路由協(xié)議的配置，可以實現(xiàn)整個VPN網絡的自適應部署，VPN網絡拓撲的自動學習、自動尋徑；通過基于策略的隧道路由配置，可以實現(xiàn)VPN網關的冗余備份和負載均衡。l 完善的PKI體系提高用戶網絡的安全等級隨著VPN技術在政府、金融等高安全性要求領域的應用不斷深入，用戶對VPN網絡的認證功能與其原有的PKI體系進行無縫結合的需求也越來越強烈。網絡衛(wèi)士VPN產品全面

28、支持標準PKI體系結構，既能夠通過內置的CA模塊獨立為移動用戶簽發(fā)數(shù)字證書，又能夠通過導入CA根證書CRL列表方式對第三方CA簽發(fā)的證書進行認證，同時還能夠通過OCSP/LDAP等標準協(xié)議向第三方CA提交在線證書認真請求。具體PKI功能包括：支持標準X509.V3格式數(shù)字證書；支持DER、PEM、PKCS12等多種證書編碼格式；支持通過內置CA模塊為用戶簽發(fā)標準數(shù)字證書；支持同時導入多個CA根證書和CRL列表，對不同CA簽發(fā)證書進行認證；支持通過OCSP/LDAP等標準協(xié)議向第三方CA進行在線證書認證；支持生成PKCS10格式的證書請求，可生成證書請求，由第三方CA簽名；支持CRL列表文件的導

29、入和通過HTTP自動下載； 與吉大正元、上海格爾、天威誠信、江南計算所等國內主要CA廠商有著長期的合作，網絡衛(wèi)士VPN網關與這些廠商的CA系統(tǒng)均能夠無縫集成。3.2.5 SSL VPN采用基于PKI的數(shù)字證書技術實現(xiàn)服務器和用戶端的雙向身份認證，并采用數(shù)字簽名技術保證數(shù)據(jù)傳輸?shù)耐暾院徒灰椎目沟仲囆裕煞奖愕貙崿F(xiàn)移動辦公用戶利用互聯(lián)網對系統(tǒng)的安全訪問。可結合USB KEY提供證書和密鑰的存儲，增強用戶身份認證的安全性。 SSL VPNn 部署位置：機房防火墻DMZ區(qū)。n 部署模式：采用旁路方式部署。 產品功能特點l 自主安全操作系統(tǒng)平臺采用自主知識產權的安全操作系統(tǒng)

30、 TOS（Topsec Operating System），TOS擁有優(yōu)秀的模塊化設計架構，有效保障了防火墻、VPN、內容過濾、抗攻擊、流量整形等模塊的優(yōu)異性能，其良好的擴展性為未來迅速擴展更多特性提供了無限可能。TOS具有高安全性、高可靠性、高實時性、高擴展性及多體系結構平臺適應性的特點。l 多種VPN技術有機融合前面已經分析了目前主流的各種VPN技術的優(yōu)缺點，這些技術有其不同的適用范圍。在實際的用戶網絡中，不同的用戶需求往往需要多種VPN技術綜合應用，在這種情況下往往需要用戶購買多臺不同的VPN設備來滿足需求，這既浪費資源又帶來用戶管理維護的工作量，同時網絡環(huán)境變得更加復雜，網絡運行的穩(wěn)定

31、性和安全性都會面臨新的挑戰(zhàn)。VONE網關是廠家公司在多年各種獨立的VPN產品研發(fā)和銷售的基礎上，推出的一款融合IPSEC/SSL/PPTP/L2TP等多種VPN技術的綜合安全網關產品。在TOS平臺強大的整合能力保障下，各種VPN模塊進行了有機的整合，為用戶提供一個統(tǒng)一完整的VPN接入平臺。l 多種SSLVPN技術結合實現(xiàn)應用全覆蓋目前SSLVPN接入技術大致分為三類：WEB轉發(fā)（WEB FORWARD），端口轉發(fā)（PORT FORWARD）和全網接入（NETWORK ACCESS或者稱為IP TUNNEL）。這三種技術的技術特點和適用范圍各不相同，在廠家VONE網關中對這三種SSLVPN接入技

32、術都做了很好的支持，用戶可以根據(jù)自身應用系統(tǒng)的特點選擇使用一種或多種接入方式。WEB轉發(fā)模式可以實現(xiàn)用戶的完全無客戶端接入，支持各種操作系統(tǒng)和客戶瀏覽器平臺。但其缺點是僅支持B/S模式的應用系統(tǒng)，而且對客戶應用系統(tǒng)的依賴性較強。廠家VONE網關通過在WEB轉發(fā)模式中應用獨創(chuàng)的智能URL重定向技術和自動分布式頁面重構技術大大提高了對用戶B/S系統(tǒng)的支持率和處理性能。同時通過開放的頁面替換規(guī)則框架，支持為用戶個性化的業(yè)務系統(tǒng)自定義特殊的URL替換規(guī)則，進一步提高了系統(tǒng)的適應性。端口轉發(fā)模式通過客戶端本地代理技術實現(xiàn)對用戶訪問請求的SSL協(xié)議封裝和轉發(fā)。這種模式的適應性比WEB轉發(fā)要好，但其要求在客戶端安裝一個ACTIVEX控件。廠家VONE網關實現(xiàn)了客戶端透明代理，用戶不需要修改本地的任何配置即能完成代理控件的安裝和使用，大大簡化了用戶操作步驟。全網接入模式通過SSL隧道轉發(fā)客戶端所有的IP