天融信VPN組網(wǎng)解決方案模板

天融信VRCVPN客戶端支持操作系統(tǒng)平臺(tái)win/XP//VISTA/WIN7/WIN8等功能描述接入方式支持100/1000兆網(wǎng)卡、無線網(wǎng)卡等支持普通Modem撥號(hào)方式支持各種ADSL連接方式（PPPOE）支持2G/3G、WLAN等各種無線接入方式支持全網(wǎng)隧道訪問能夠?qū)h(yuǎn)程用戶提供一種內(nèi)部網(wǎng)的訪問服務(wù)，使用戶無論處于何種位置，都能夠象在局域網(wǎng)內(nèi)部一樣方便的訪問內(nèi)部網(wǎng)絡(luò)，真正實(shí)現(xiàn)3A保障（Anytime，Anywhere，Anyone）IPsec標(biāo)準(zhǔn)支持主模式和野蠻模式協(xié)商支持ESP標(biāo)準(zhǔn)支持標(biāo)準(zhǔn)NAT穿越支持3DES,MD5，SHA1標(biāo)準(zhǔn)加密和認(rèn)證算法支持采用硬件加密卡對(duì)數(shù)據(jù)進(jìn)行認(rèn)證、加密，最大限度保證用戶通信的安全證書格式支持標(biāo)準(zhǔn)X.509格式的證書，支持Base64、DER編碼方式支持WindowsCSP標(biāo)準(zhǔn)，能夠讀取多種第三方廠商USB-KeyDNS支持內(nèi)部DNS。移動(dòng)用戶與總部的VPN建立隧道后，能夠經(jīng)過總部的內(nèi)部DNS服務(wù)器直接使用域名訪問內(nèi)部的各個(gè)應(yīng)用服務(wù)器（如Http、Ftp服務(wù)器等）WINS支持內(nèi)部WINS。移動(dòng)用戶與總部的VPN建立隧道后，能夠經(jīng)過主機(jī)名訪問內(nèi)部的服務(wù)器和主機(jī)客戶端IP地址動(dòng)態(tài)分配客戶端能夠經(jīng)過網(wǎng)關(guān)動(dòng)態(tài)分配到虛擬IP地址，實(shí)現(xiàn)全網(wǎng)IP地址的動(dòng)態(tài)管理客戶端訪問控制支持用戶硬件特征碼綁定，防止賬號(hào)被盜用支持按角色分配訪問權(quán)限，不同用戶能訪問不同的網(wǎng)絡(luò)資源訪問權(quán)限能夠設(shè)置到端口隧道配置與管理支持多隧道管理，方便用戶配置自定義的隧道支持隧道斷線重?fù)?。若因?yàn)榫W(wǎng)絡(luò)不穩(wěn)定造成隧道斷開，可自動(dòng)重新建立隧道，省去用戶手工重啟隧道的麻煩支持隧道監(jiān)控。經(jīng)過GUI界面，用戶能夠?qū)崟r(shí)查看隧道的狀態(tài)，隧道數(shù)據(jù)流量，隧道是否啟動(dòng)/停止等支持隧道配置保存和導(dǎo)入支持用戶配置文件的保存和恢復(fù)客戶端自動(dòng)功能用戶能夠選擇客戶端的自動(dòng)功能，比如打開客戶端軟件后自動(dòng)運(yùn)行默認(rèn)連接和自動(dòng)重新認(rèn)證等等天融信VPN安全策略管理平臺(tái)天融信安全設(shè)備與策略管理平臺(tái)TP系統(tǒng)（也稱為TopPolicy系統(tǒng)）由TP管理器、TopPolicy服務(wù)器和TopPolicy數(shù)據(jù)庫三部分組成。其中，TopPolicy數(shù)據(jù)庫是TP系統(tǒng)的基礎(chǔ)組件，它主要用于存儲(chǔ)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備的信息及VPN安全策略。TopPolicy服務(wù)器是TP系統(tǒng)的核心組件，它是一個(gè)服務(wù)器程序，一般需要在網(wǎng)絡(luò)運(yùn)行過程中實(shí)時(shí)在線。它主要完成認(rèn)證設(shè)備、維護(hù)設(shè)備、維護(hù)VPN隧道、維護(hù)VRC信息等工作。TP系統(tǒng)結(jié)構(gòu)天融信VPN安全策略管理平臺(tái)（TP）作為安全設(shè)備與策略管理系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的全面監(jiān)管，支持對(duì)天融信全系列產(chǎn)品的管理，如對(duì)UTM、IPSec/SSLVPN、SJW11、VRC客戶端等設(shè)備的集中監(jiān)控和管理。TP管理員能夠?qū)W(wǎng)絡(luò)中的設(shè)備運(yùn)行狀態(tài)進(jìn)行集中監(jiān)控和管理，而且在TP服務(wù)器中對(duì)所有本機(jī)和下級(jí)服務(wù)器進(jìn)行設(shè)備管理、VRC管理、隧道管理、防火墻策略管理。管理員經(jīng)過集中定制IPS策略，集中定制防火墻的包過濾策略、訪問控制策略、NAT策略、深度過濾策略、VPN通訊策略，進(jìn)而下發(fā)到各個(gè)管理設(shè)備，避免各個(gè)設(shè)備獨(dú)立定制策略的隨意性，便于從安全策略角度實(shí)現(xiàn)全網(wǎng)的安全策略統(tǒng)一管理。與業(yè)務(wù)管理對(duì)應(yīng)的分級(jí)管理體系在現(xiàn)實(shí)應(yīng)用環(huán)境中，網(wǎng)絡(luò)環(huán)境具有龐大、分級(jí)、分支機(jī)構(gòu)多、遍布全國的特點(diǎn)，TopPolicy對(duì)安全設(shè)備的管理與部署能夠完全適應(yīng)這種管理模式。首先本系統(tǒng)支持4級(jí)的域管理，這樣，用戶能夠方便的把一個(gè)全國的項(xiàng)目分級(jí)與分域管理，在統(tǒng)一策略下對(duì)責(zé)任進(jìn)行分擔(dān)；經(jīng)過分級(jí)與分域管理，本系統(tǒng)能夠支持到3000臺(tái)安全設(shè)備和30000個(gè)VPN客戶端。其次，本系統(tǒng)能夠?qū)Π踩O(shè)備和策略實(shí)現(xiàn)完全的集中管理，也能夠?qū)崿F(xiàn)由下級(jí)管理中心或設(shè)備來管理日常的管理工作，而上級(jí)中心僅負(fù)責(zé)監(jiān)控與分析統(tǒng)計(jì)工作。策略的有序可控管理在實(shí)際的工作環(huán)境中，可能有大量的UTM和VPN設(shè)備（例如：300個(gè)VPN，1000條隧道）在運(yùn)行。如果全部在端到端方式或端到網(wǎng)關(guān)方式下各自建立聯(lián)接，一則手工配置很容易導(dǎo)致配置文件不一致，而且人力成本很高；二則由于管理員不能隨時(shí)監(jiān)控VPN設(shè)備之間的連接，導(dǎo)致VPN設(shè)備之間可能存在著不應(yīng)有的連接，網(wǎng)絡(luò)安全存在隱患。因此在VPN大規(guī)模應(yīng)用的情況下，需要對(duì)這些VPN進(jìn)行統(tǒng)一管理。TopPolicy讓管理員能夠經(jīng)過對(duì)所管理的VPN設(shè)備的行為進(jìn)行監(jiān)控，審計(jì)員能夠?qū)芾韱T的行為進(jìn)行監(jiān)控；而且經(jīng)過對(duì)加密算法、采用的安全策略以及網(wǎng)絡(luò)異常處理策略進(jìn)行統(tǒng)一的協(xié)調(diào)，使VPN設(shè)備在管理上是有序的；同時(shí)在VPN設(shè)備登錄時(shí)自動(dòng)下發(fā)統(tǒng)一配置的安全信息，無需對(duì)每個(gè)VPN設(shè)備進(jìn)行配置，從而減低了分散管理可能帶來的不一致和復(fù)雜性。VPN客戶端自動(dòng)部署VPN客戶端軟件（VRC）的分發(fā)、配置以及設(shè)備證書的生成和分發(fā)這些軟件部署工作，在VPN產(chǎn)品大規(guī)模使用的時(shí)候，將成為一項(xiàng)非常繁瑣和復(fù)雜的工作，系統(tǒng)管理員的工作量極大增加，同時(shí)也給整個(gè)VPN系統(tǒng)帶來了不必要的安全隱患。為了降低系統(tǒng)管理員的工作復(fù)雜度和保證系統(tǒng)的安全，天融信公司在TopPolicy中實(shí)現(xiàn)了VRC的自動(dòng)部署功能。TopPolicy內(nèi)含的自動(dòng)部署系統(tǒng)（AutomaticDistributionSystem：ADS）是中國第一套自行研制開發(fā)的為整個(gè)VPN系統(tǒng)提供VPN客戶端軟件安全部署服務(wù)的軟件。它能夠?qū)PN客戶端軟件進(jìn)行集中部署和必要的證書管理，而且為每個(gè)VPN客戶端軟件的部署提供必要的安全服務(wù)。它基于Windows操作平臺(tái)、IE瀏覽器和IISHTTP服務(wù)器，界面友好，使用簡便。TopPolicy自動(dòng)部署系統(tǒng)能夠?qū)崿F(xiàn)對(duì)企業(yè)內(nèi)部所有VRC的全面部署和證書、密鑰的統(tǒng)一管理，管理員能夠在任何網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)VRC的自動(dòng)部署，根據(jù)企業(yè)的實(shí)際需求制定全局VRC部署策略，從而使繁重的VRC部署工作變得簡單有序。管理員用戶能夠在異地對(duì)自動(dòng)部署系統(tǒng)的服務(wù)器進(jìn)行操作，提高了自動(dòng)部署的機(jī)動(dòng)性和靈活性。完善的PKI體系支持TopPolicy系統(tǒng)采用遵循X.509證書來作為提供認(rèn)證的載體。對(duì)于中等規(guī)模的用戶只需建立一個(gè)自封閉的身份認(rèn)證體系，則無需外部證書發(fā)放機(jī)構(gòu)的簽發(fā)證書，企業(yè)自己就能夠構(gòu)建自己的證書發(fā)放機(jī)構(gòu)(CA)。對(duì)這種用戶TopPolicy提供了簡單實(shí)用的PKICA系統(tǒng)，能夠?yàn)楣芾韱T、設(shè)備、VRC生成、更新、發(fā)放證書，同時(shí)提供證書驗(yàn)證與CRL文件管理等功能。對(duì)于已經(jīng)建有CA系統(tǒng)的用戶，TopPolicy完全支持第三方的PKI系統(tǒng)，能夠?yàn)樵O(shè)備和VRC導(dǎo)入/更新第三方CA生成的證書，不但支持在TP本地使用第三方CA的根證書驗(yàn)證設(shè)備以及VRC身份，還支持經(jīng)過OCSP協(xié)議實(shí)時(shí)在線驗(yàn)證設(shè)備和VRC身份。支持經(jīng)過HTTP、LDAP協(xié)議自動(dòng)下載CRL列表等等。集中的配置管理和豐富的設(shè)備管理功能針對(duì)不同的設(shè)備，能夠經(jīng)過手動(dòng)立即獲取配置或經(jīng)過任務(wù)自動(dòng)獲取配置。能夠?yàn)槊總€(gè)設(shè)備保存最多100個(gè)配置備份。能夠經(jīng)過調(diào)用各種管理組件如ping、telnet、SSH、Traceroute、遠(yuǎn)程管理等，實(shí)現(xiàn)對(duì)設(shè)備的配置和管理。多視角的可視化管理TopPolicy能經(jīng)過拓?fù)鋱D等多種方式，實(shí)現(xiàn)對(duì)設(shè)備、隧道等進(jìn)行各種管理，進(jìn)而實(shí)現(xiàn)對(duì)設(shè)備性能信息的監(jiān)視，包括CPU信息、內(nèi)存信息、接口信息和連接信息等。另外，對(duì)于具有VPN功能的設(shè)備還提供了隧道監(jiān)控和VPN監(jiān)控功能。適用于不同的網(wǎng)絡(luò)環(huán)境在TopPolicy構(gòu)建的系統(tǒng)中，每一個(gè)VPN設(shè)備都使用設(shè)備名稱作為系統(tǒng)內(nèi)唯一確定的ID標(biāo)識(shí)，經(jīng)過ID來管理和訪問這些VPN設(shè)備。這樣就拋棄了傳統(tǒng)的基于IP的管理方法，使TopPolicy不但能夠讓系統(tǒng)中的設(shè)備以固定IP方式、固定IP和動(dòng)態(tài)IP方式互聯(lián)，而且從根本上解決了VPN設(shè)備互聯(lián)時(shí)地址被地址轉(zhuǎn)換（NAT）的問題和動(dòng)態(tài)IP接入網(wǎng)絡(luò)的問題。而且不論VPN設(shè)備的網(wǎng)絡(luò)環(huán)境（IP地址）怎么改變，只要ID不變，TopPolicy服務(wù)器就為它保持原來的安全配置。系統(tǒng)高安全性作為安全管理產(chǎn)品，TopPolicy自身具有很高的安全性。系統(tǒng)各功能模塊間的通信均可采用加密的方式進(jìn)行；在TopPolicy構(gòu)建的系統(tǒng)內(nèi)采用證書進(jìn)行身份認(rèn)證；系統(tǒng)能夠抵御一定強(qiáng)度的DOS攻擊。經(jīng)過這些安全措施，有效地防止了由于網(wǎng)絡(luò)監(jiān)聽或帳號(hào)濫用造成的一系列安全問題。多語言支持支持動(dòng)態(tài)簡體中文和英文切換。使用靈活簡便TopPolicy的使用方式十分靈活，TopPolicy系統(tǒng)分成三個(gè)部分：TopPolicyServer，TopPolicyManager和被管理設(shè)備，每個(gè)部分都能夠在廣域網(wǎng)的不同物理位置獨(dú)立運(yùn)行。TopPolicy界面友好，操作起來相當(dāng)簡便，克服了相關(guān)VPN產(chǎn)品操作復(fù)雜、對(duì)用戶的技術(shù)門檻要求高的特點(diǎn)，配置十分的簡便。天融信TP產(chǎn)品功能功能大類子功能描述設(shè)備管理多級(jí)安全域管理能夠?qū)⒃O(shè)備按照管理范圍劃分為多個(gè)域；域之間能夠有上下級(jí)關(guān)系，最多支持4級(jí)域，能夠?yàn)楣芾韱T指定可管理的域范圍。設(shè)備注冊(cè)及認(rèn)證被管理設(shè)備自動(dòng)完成注冊(cè)與認(rèn)證設(shè)備遠(yuǎn)程管理在設(shè)備管理列表中選擇設(shè)備，經(jīng)過調(diào)用瀏覽器登錄遠(yuǎn)程設(shè)備進(jìn)行管理、在拓?fù)鋱D上選擇設(shè)備進(jìn)行遠(yuǎn)程管理調(diào)用、提供管理工具：Ping/SSH/telnet/Traceroute。設(shè)備配置集中保存和更新能夠查詢、接收并保存設(shè)備配置信息，并為設(shè)備提供配置更新服務(wù)。能夠?yàn)橐粋€(gè)設(shè)備保存多個(gè)配置，并在更新時(shí)由管理員進(jìn)行選擇；設(shè)備配置應(yīng)用后需要提示保存；支持天融信設(shè)備配置保存；可定期檢查設(shè)備配置是否被私自修改；可顯示配置變化狀態(tài)。設(shè)備操作開啟服務(wù)、設(shè)備重啟、時(shí)鐘設(shè)置、設(shè)置ROOT管理員口令等；設(shè)備主動(dòng)注冊(cè)支持動(dòng)態(tài)IP的VPN設(shè)備管理；設(shè)備發(fā)現(xiàn)設(shè)備自動(dòng)發(fā)現(xiàn)；支持第三方設(shè)備；設(shè)備批量增加；設(shè)備批量升級(jí)能夠按域或按設(shè)備制定升級(jí)計(jì)劃，在有可用的升級(jí)包時(shí)在指定時(shí)間自動(dòng)升級(jí)拓?fù)涔芾硗負(fù)鋱D維護(hù)顯示和編輯拓?fù)鋱D；放大縮小等功能。根據(jù)安全域、設(shè)備列表以及隧道列表，生成拓?fù)鋱D；顯示設(shè)備摘要信息：設(shè)備名稱、IP、隧道名。經(jīng)過子域結(jié)點(diǎn)，進(jìn)入下級(jí)域的拓?fù)滹@示拓?fù)鋱D顯示支持位置手工和自動(dòng)排列基于拓?fù)鋱D狀態(tài)管理基于拓?fù)鋱D的設(shè)備與隧道監(jiān)控圖形化編輯手動(dòng)圖形化增加、移除設(shè)備、安全域、隧道；顯示方式顯示設(shè)備中服務(wù)列表；當(dāng)前圖節(jié)點(diǎn)變化時(shí)自動(dòng)刷新；拓?fù)湮醋兓恍杼崾敬姹P；顯示子域報(bào)警；顯示中轉(zhuǎn)設(shè)備；顯示子域設(shè)備總數(shù)；開關(guān)控制是否顯示隧道名稱；支持拓?fù)鋱D打??；導(dǎo)出拓?fù)洌粓D標(biāo)排列操作；拓?fù)洳檎遥Q、IP、類型為條件）；防火墻策略全局對(duì)象管理包括地址、區(qū)域、服務(wù)、時(shí)間和內(nèi)容過濾對(duì)象等；對(duì)象分發(fā)防火墻策略管理支持包過濾策略、訪問控制策略、NAT策略、內(nèi)容過濾策略；防火墻參數(shù)的統(tǒng)一配置；支持策略分組。策略集中定義和下發(fā)以從手工創(chuàng)立策略；策略按域制定；可將策略下發(fā)并應(yīng)用到所選設(shè)備（可多臺(tái)）或域；設(shè)備監(jiān)視設(shè)備監(jiān)視在線狀態(tài)的監(jiān)視，及詳細(xì)信息的監(jiān)視（系統(tǒng)資源、接口流量等）；在子域結(jié)點(diǎn)中顯示該域內(nèi)所有下級(jí)設(shè)備的活躍數(shù)；批量監(jiān)視經(jīng)過分析設(shè)備健康記錄判斷設(shè)備運(yùn)行狀態(tài)；同時(shí)監(jiān)控多臺(tái)設(shè)備的接口信息；在監(jiān)控時(shí)能夠做批量“拆除連接”操作；支持監(jiān)視數(shù)據(jù)存儲(chǔ)、回放TOPN支持對(duì)監(jiān)控的設(shè)備進(jìn)行“TOPN”排序隧道監(jiān)視動(dòng)態(tài)隧道狀態(tài)的監(jiān)視（禁用、活躍、停止、協(xié)商）；拓?fù)鋱D上顯示隧道的狀態(tài)，包括禁用、啟用狀態(tài)；VRC用戶在線狀態(tài)監(jiān)視查看所有VRC用戶的狀態(tài)；在拓?fù)鋱D中選擇設(shè)備查看登錄在該設(shè)備所有在線VRC用戶；顯示VRC活躍數(shù)VPN策略基本策略管理為一臺(tái)網(wǎng)關(guān)批量添加到多臺(tái)網(wǎng)關(guān)的隧道能夠修改中間設(shè)備（可選）以及隧道封裝模式、數(shù)據(jù)保護(hù)方式、算法、指定隧道接口；等。隧道的建立/刪除/啟用/禁用，能夠批量操作增強(qiáng)策略管理支持NAT設(shè)備與非NAT設(shè)備建立隧道支持NAT設(shè)備與NAT設(shè)備建立隧道支持動(dòng)態(tài)IP設(shè)備之間隧道建立隧道增強(qiáng)參數(shù)隧道參數(shù)增加第一階段協(xié)商算法；VRC管理VRC用戶信息維護(hù)增加、刪除、修改VRC組單個(gè)或批量增加、刪除、修改VRC用戶VRC用戶的啟用和禁用地址池的維護(hù)；指實(shí)現(xiàn)增加地址段、刪除地址段、自動(dòng)分配IP、分配指定的IP。VRC權(quán)限管理基于VRC組對(duì)VRC用戶進(jìn)行權(quán)限定義指定VRC組能夠登錄哪些網(wǎng)關(guān)或安全域。為登錄VPN網(wǎng)關(guān)時(shí)指定權(quán)限：訪問權(quán)限、協(xié)議、目的IP或IP范圍、目的端口范圍。為VRC用戶指定登錄時(shí)間，每周哪些天能夠登錄。VRC軟件自動(dòng)分發(fā)為VRC生成證書、配置、臨時(shí)下載口令，然后進(jìn)行分發(fā)。用戶安裝后不需配置即可連通VPN網(wǎng)絡(luò)。CA管理本地CA功能為設(shè)備生成、更新、發(fā)放證書。為VRC生成、更新、發(fā)放證書。為管理員生成、更新、發(fā)放證書。證書驗(yàn)證與CRL文件管理第三方CA功能為設(shè)備導(dǎo)入/更新第三方CA生成的證書驗(yàn)證設(shè)備和VRC身份。支持經(jīng)過OCSP協(xié)議驗(yàn)證設(shè)備和VRC身份。支持第三方根證書和CRL導(dǎo)入。支持經(jīng)過HTTP、LDAP協(xié)議自動(dòng)下載CRL。日志管理日志接收及存儲(chǔ)支持設(shè)備日志的接收和存儲(chǔ)，以及系統(tǒng)日志的存儲(chǔ)和轉(zhuǎn)發(fā)。日志查詢對(duì)日志進(jìn)行詳細(xì)的按關(guān)鍵字查詢報(bào)警報(bào)警功能根據(jù)定義的報(bào)警條件，產(chǎn)生報(bào)警；報(bào)警條件有VRC用戶上下線，設(shè)備上下線信息，隧道連通斷線信息等等。報(bào)警信息瀏覽根據(jù)關(guān)鍵字查詢和瀏覽歷史報(bào)警信息報(bào)警方式包括郵件、WINPOP、SNMP、管理器鈴聲、管理器顯示短信等閥職報(bào)警CPU、MEM超限報(bào)警軟件升級(jí)設(shè)備及VRC軟件升級(jí)對(duì)設(shè)備和VRC的升級(jí)補(bǔ)丁進(jìn)行管理；可直接為設(shè)備進(jìn)行升級(jí)；也為VRC提供下載升級(jí)服務(wù)。斷點(diǎn)續(xù)傳斷點(diǎn)續(xù)傳升級(jí)方式升級(jí)檢測(cè)TP根據(jù)設(shè)備的版本號(hào)判斷是否有設(shè)備需要升級(jí)，如果有需要升級(jí)的設(shè)備，則提示用戶。用戶管理管理員管理基于角色的權(quán)限劃分和管理。統(tǒng)計(jì)分析統(tǒng)計(jì)報(bào)表輸出提供統(tǒng)計(jì)功能，并能夠打印統(tǒng)計(jì)報(bào)表。能夠針對(duì)單臺(tái)或多臺(tái)網(wǎng)關(guān)進(jìn)行統(tǒng)計(jì)，還可按安全域統(tǒng)計(jì)，也能夠針對(duì)整個(gè)網(wǎng)絡(luò)信息進(jìn)行統(tǒng)計(jì)。統(tǒng)計(jì)的信息應(yīng)該包括設(shè)備日志、系統(tǒng)日志、監(jiān)控信息等。系統(tǒng)運(yùn)行報(bào)表能夠統(tǒng)計(jì)網(wǎng)關(guān)上線下線時(shí)間、在線時(shí)長、VPN隧道異常情況、網(wǎng)關(guān)VRC認(rèn)證情況報(bào)表形式報(bào)表支持餅圖、柱狀圖、曲線圖等多種圖形方式顯示高可靠性服務(wù)器配置備份和恢復(fù)可實(shí)現(xiàn)服務(wù)器配置備份。可實(shí)現(xiàn)配置恢復(fù)。服務(wù)器級(jí)聯(lián)支持服務(wù)器分布式部署，下級(jí)上傳關(guān)鍵數(shù)據(jù)雙機(jī)冗余備份服務(wù)器能夠雙機(jī)備份雙線路冗余備份服務(wù)器支持雙線路，能夠在一條線路出現(xiàn)故障時(shí)自動(dòng)切換到另一條線路。TP運(yùn)行環(huán)境與標(biāo)準(zhǔn)可運(yùn)行在安裝有WindowsServer以及WindowsServer平臺(tái)的PC或服務(wù)器上。天融信VPN產(chǎn)品的主要特點(diǎn)支持國密局《IPSecVPN技術(shù)規(guī)范》天融信的IPSecVPN網(wǎng)關(guān)全面支持國家密碼管理局制定的《IPSecVPN技術(shù)規(guī)范》，支持多種國內(nèi)自主研制的硬件密碼算法，采用硬件密碼模塊進(jìn)行密碼算法運(yùn)算，支持國家密碼管理局規(guī)定的SM1、SM2、SM3、SM4商用密碼算法，產(chǎn)品的安全性和合規(guī)性有充分的保障。天融信IPSecVPN安全網(wǎng)關(guān)能夠與任何嚴(yán)格遵循《IPSecVPN技術(shù)規(guī)范》實(shí)現(xiàn)的IPSec網(wǎng)關(guān)進(jìn)行互聯(lián)互通?！禝PSecVPN技術(shù)規(guī)范》對(duì)標(biāo)準(zhǔn)的IPSec協(xié)議進(jìn)行了修正，以數(shù)字信封的認(rèn)證方式替代了預(yù)共享密鑰和簽名的認(rèn)證方式，拋棄了DH密鑰交換方式，采用了公鑰加密的方式，杜絕了中間人攻擊的可能，同時(shí)，采用國家的商用密碼算法替代公開的標(biāo)準(zhǔn)算法，為用戶的數(shù)據(jù)提供了最大限度的安全保護(hù)。全面支持IPSec協(xié)議標(biāo)準(zhǔn)IPSec作為一個(gè)全球性的安全標(biāo)準(zhǔn)，要求所有IPSec的實(shí)現(xiàn)必須嚴(yán)格遵循其各種協(xié)議規(guī)范，以便實(shí)現(xiàn)不同產(chǎn)品之間的互通。天融信IPSecVPN產(chǎn)品經(jīng)過嚴(yán)格的互通性測(cè)試，與Cisco、Juniper、MicroSoft等著名廠家的VPN產(chǎn)品能夠?qū)崿F(xiàn)互通。產(chǎn)品遵循RFC1828、RFC1829、RFC1851、RFC1852、RFC2085、RFC2401-2412等一系列協(xié)議標(biāo)準(zhǔn)。支持標(biāo)準(zhǔn)ESP、AH加密認(rèn)證協(xié)議；支持隧道模式、傳輸模式的協(xié)議封裝格式；支持IKEv1、IKEv2；支持主模式、野蠻模式、快速模式多種協(xié)商模式；支持證書認(rèn)證和預(yù)共享密鑰認(rèn)識(shí)方式；支持DES、3DES、AES等多種對(duì)稱密鑰算法；支持MD5、SHA1等多種完整性驗(yàn)證算法；支持RSA、DH等多種非對(duì)稱密鑰算法；支持?jǐn)U展認(rèn)證和模式配置。CleanVPN天融信VPN產(chǎn)品是集VPN、防火墻、帶寬管理、入侵防御等功能于一身的網(wǎng)絡(luò)安全產(chǎn)品，隧道策略、防火墻策略和防病毒策略能夠組合使用。CleanVPN病毒掃描能夠?qū)λ械腣PN數(shù)據(jù)流進(jìn)行掃描，從而阻止病毒和蠕蟲經(jīng)過VPN隧道傳播，在總部、分支、遠(yuǎn)程用戶和合作伙伴之間建立純凈的VPN網(wǎng)絡(luò)。完善的PKI體系提高用戶網(wǎng)絡(luò)安全等級(jí)隨著VPN技術(shù)在政府、金融等高安全性要求領(lǐng)域的應(yīng)用不斷深入，用戶對(duì)VPN網(wǎng)絡(luò)的認(rèn)證功能與其原有的PKI體系進(jìn)行無縫結(jié)合的需求也越來越強(qiáng)烈。網(wǎng)絡(luò)衛(wèi)士多合一VPN產(chǎn)品全面支持標(biāo)準(zhǔn)PKI體系結(jié)構(gòu)，既能夠經(jīng)過內(nèi)置的CA模塊獨(dú)立為移動(dòng)用戶簽發(fā)數(shù)字證書，又能夠經(jīng)過導(dǎo)入CA根證書＋CRL列表方式對(duì)第三方CA簽發(fā)的證書進(jìn)行認(rèn)證，同時(shí)還能夠經(jīng)過OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA提交在線證書認(rèn)真請(qǐng)求。具體PKI功能包括：支持標(biāo)準(zhǔn)X509.V3格式數(shù)字證書；支持DER、PEM、PKCS12等多種證書編碼格式；支持經(jīng)過內(nèi)置CA模塊為用戶簽發(fā)標(biāo)準(zhǔn)數(shù)字證書；支持同時(shí)導(dǎo)入多個(gè)CA根證書和CRL列表，對(duì)不同CA簽發(fā)證書進(jìn)行認(rèn)證；支持經(jīng)過OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA進(jìn)行在線證書認(rèn)證；支持生成PKCS10格式的證書請(qǐng)求，可生成證書請(qǐng)求，由第三方CA簽名；支持CRL列表文件的導(dǎo)入和經(jīng)過HTTP自動(dòng)下載。天融信與吉大正元、上海格爾、天威誠信、江南計(jì)算所等國內(nèi)主要CA廠商有著長期的合作，網(wǎng)絡(luò)衛(wèi)士VPN網(wǎng)關(guān)與這些廠商的CA系統(tǒng)均能夠無縫集成。支持全動(dòng)態(tài)IP地址間建VPN隧道當(dāng)前國內(nèi)常見的因特網(wǎng)接入方案，包括電話撥號(hào)、ADSL寬帶接入等，都是由ISP為接入用戶動(dòng)態(tài)分配臨時(shí)IP地址。如果企業(yè)的兩個(gè)分支機(jī)構(gòu)均采用動(dòng)態(tài)IP地址方式接入因特網(wǎng)，那么這兩個(gè)分支機(jī)構(gòu)之間的VPN隧道策略參數(shù)必須進(jìn)行動(dòng)態(tài)調(diào)整，這一過程對(duì)當(dāng)前市場(chǎng)大部分的VPN產(chǎn)品（包括國內(nèi)產(chǎn)品和國外產(chǎn)品）都無法自動(dòng)完成，這為VPN網(wǎng)絡(luò)的日常維護(hù)和廣泛應(yīng)用帶來很大困難。天融信IPSecVPN網(wǎng)關(guān)產(chǎn)品經(jīng)過集中的VPN策略管理方式和DDNS無縫結(jié)合技術(shù)成功解決了全動(dòng)態(tài)IP之間自動(dòng)建立VPN隧道的問題。NAT自動(dòng)穿越NAT技術(shù)是當(dāng)前國內(nèi)企業(yè)共享上網(wǎng)、小區(qū)和智能大廈寬帶接入、城域網(wǎng)寬帶接入所使用的主流技術(shù)。NAT與IPSec協(xié)議在原理上存在一定的矛盾，因此在應(yīng)用IPSec技術(shù)組建VPN網(wǎng)絡(luò)時(shí)，一定要考慮選用的VPN設(shè)備是否具有“NAT穿越”的功能。而大多數(shù)的VPN設(shè)備在配置隧道時(shí)，需要預(yù)先知道該條隧道是否存在NAT設(shè)備，而事實(shí)上，網(wǎng)絡(luò)管理員很難準(zhǔn)確掌握整個(gè)路徑中設(shè)備的NAT情況，而且NAT狀態(tài)也可能經(jīng)常變化。天融信IPSecVPN全系列產(chǎn)品均支持最新的NATT協(xié)議標(biāo)準(zhǔn)，在隧道協(xié)商過程中動(dòng)態(tài)的計(jì)算是否存在NAT設(shè)備，動(dòng)態(tài)的調(diào)整策略，無需管理員額外填寫任何配置，具有非常好的網(wǎng)絡(luò)適應(yīng)性。天融信的IPSecVPN產(chǎn)品還能經(jīng)過隧道路由轉(zhuǎn)發(fā)技術(shù)支持雙向NAT穿越。隧道路由技術(shù)實(shí)現(xiàn)VPN靈活自動(dòng)部署在實(shí)際物理網(wǎng)絡(luò)部署中，網(wǎng)絡(luò)管理員首先經(jīng)過物理線路（可能是光纖、雙絞線、電話線等）連接各個(gè)路由設(shè)備，然后經(jīng)過在路由器上配置靜態(tài)路由或者動(dòng)態(tài)路由完成各種規(guī)模網(wǎng)絡(luò)的靈活部署。在IPSecVPN網(wǎng)絡(luò)中，將每一條隧道視為連接兩臺(tái)VPN設(shè)備的虛擬網(wǎng)絡(luò)線路，隧道建立成功后，虛擬線路連接工作就完成了。基于這些虛擬線路，網(wǎng)絡(luò)管理員能夠在IPSecVPN網(wǎng)關(guān)上采用同樣的方法配置靜態(tài)、動(dòng)態(tài)路由協(xié)議，完成整個(gè)VPN網(wǎng)絡(luò)的靈活部署。這種隧道路由機(jī)制的優(yōu)點(diǎn)在于：網(wǎng)關(guān)的配置概念和方法與路由器類似，減少網(wǎng)絡(luò)管理員對(duì)于部署VPN網(wǎng)絡(luò)的學(xué)習(xí)和熟悉過程；經(jīng)過隧道路由規(guī)則的配置，能夠完成VPN數(shù)據(jù)流在VPN網(wǎng)關(guān)之間的靈活轉(zhuǎn)發(fā)，從而能夠?qū)崿F(xiàn)星型網(wǎng)絡(luò)拓?fù)洌⒔鉀Q雙向NAT穿越問題；經(jīng)過動(dòng)態(tài)隧道路由協(xié)議的配置，能夠?qū)崿F(xiàn)整個(gè)VPN網(wǎng)絡(luò)的自適應(yīng)部署，VPN網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)學(xué)習(xí)、自動(dòng)尋徑；經(jīng)過基于策略的隧道路由配置，能夠?qū)崿F(xiàn)VPN網(wǎng)關(guān)的冗余備份和負(fù)載均衡。完善的VPN網(wǎng)絡(luò)集中管理功能利用基于互聯(lián)網(wǎng)的VPN技術(shù)構(gòu)建企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)施，低成本、高效率是其天然的優(yōu)勢(shì)，但與此相伴的則是安全性和可管理性的潛在風(fēng)險(xiǎn)。特別是對(duì)于分支機(jī)構(gòu)、營業(yè)網(wǎng)點(diǎn)遍布全國的大型企業(yè)來講，其業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)具有分布地域廣泛、接入點(diǎn)多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點(diǎn)。如何確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，有效地管理、維護(hù)遍布企業(yè)各個(gè)結(jié)點(diǎn)的VPN設(shè)備，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，是VPN產(chǎn)品供應(yīng)商必須解決的問題。IPSecVPN在綜合了大量的用戶需求后，逐步形成了“統(tǒng)一認(rèn)證、集中監(jiān)控、分級(jí)管理”的VPN網(wǎng)絡(luò)管理方案。并成功運(yùn)用于許多特大型企業(yè)的VPN建設(shè)中。支持組播穿越隧道普通的IPSECVPN不能支持組播協(xié)議，因?yàn)镮PSEC只能將組播包路由到某一個(gè)特定的對(duì)端。天融信VPN經(jīng)過技術(shù)創(chuàng)新，能支持組播穿越，這樣就能夠在整個(gè)VPN網(wǎng)絡(luò)內(nèi)部利用組播來開展視頻會(huì)議等應(yīng)用。同時(shí)，利用組播穿越VPN隧道，還能夠輕松的實(shí)現(xiàn)隧道內(nèi)的動(dòng)態(tài)路由。VPN設(shè)備能夠?qū)⒁欢藢W(xué)習(xí)到的路由自動(dòng)發(fā)布到另外一端，從而大大簡化了網(wǎng)絡(luò)的部署，提升了網(wǎng)絡(luò)的管理效率。多機(jī)多線路負(fù)載均衡與備份天融信VPN網(wǎng)關(guān)支持多機(jī)與多線路的組合應(yīng)用，能夠在多臺(tái)設(shè)備與多條鏈路之間實(shí)現(xiàn)隧道內(nèi)數(shù)據(jù)的負(fù)載均衡或備份。還能實(shí)現(xiàn)多線路自動(dòng)選優(yōu)，有效解決國內(nèi)跨運(yùn)營商線路的互通問題。當(dāng)某條線路發(fā)生故障時(shí)，系統(tǒng)能自動(dòng)的將數(shù)據(jù)流切換到其它線路；當(dāng)一臺(tái)設(shè)備發(fā)生故障時(shí)，系統(tǒng)能自動(dòng)將數(shù)據(jù)流切換到其它網(wǎng)關(guān)設(shè)備，保證VPN網(wǎng)絡(luò)的連通性。支持靈活的移動(dòng)用戶接入策略VPN技術(shù)在遠(yuǎn)程移動(dòng)辦公領(lǐng)域的應(yīng)用越來越廣泛，因此支持安全靈活的移動(dòng)用戶接入策略已經(jīng)成為VPN產(chǎn)品競(jìng)爭(zhēng)的焦點(diǎn)。IPSecVPN產(chǎn)品支持豐富的移動(dòng)用戶接入策略，為各種需求的用戶提供了完善的解決方案。支持基于用戶＋口令的認(rèn)證機(jī)制；支持基于數(shù)字證書的認(rèn)證機(jī)制；支持基于證書＋口令的雙因子認(rèn)證機(jī)制；支持RADIUS/TARCAS/LDAP/AD等用戶認(rèn)證協(xié)議；支持USBKEY、動(dòng)態(tài)口令卡等強(qiáng)身份認(rèn)證機(jī)制；支持基于服務(wù)的移動(dòng)用戶的訪問授權(quán)；支持基于時(shí)間的移動(dòng)用戶訪問控制；支持移動(dòng)用戶的硬件特征碼綁定機(jī)制；客戶端版本支持中英文自動(dòng)切換。豐富多樣的認(rèn)證與授權(quán)天融信VPN產(chǎn)品內(nèi)置有用戶認(rèn)證數(shù)據(jù)庫，同時(shí)支持多種外部認(rèn)證，如：RADIUS認(rèn)證、AD認(rèn)證、LDAP認(rèn)證等，并支持外部認(rèn)證服務(wù)器對(duì)用戶授權(quán)與計(jì)費(fèi)。經(jīng)過外部認(rèn)證，能夠方便的與用戶原有的認(rèn)證系統(tǒng)無縫的結(jié)合。天融信的VPN網(wǎng)關(guān)支持用戶名、口令、證書、USBKEY、短信、硬件特征碼、指紋、動(dòng)態(tài)令牌、時(shí)間、IP地址等多種認(rèn)證方式以及它們的任意組合，為用戶提供最強(qiáng)的安全接入機(jī)制。分級(jí)可信接入體系可信接入是指對(duì)遠(yuǎn)程接入的VPN客戶端的主機(jī)安全性進(jìn)行檢查。天融信VPN網(wǎng)關(guān)可對(duì)客戶端的接入實(shí)行可信接入檢查，包括操作系統(tǒng)、補(bǔ)丁、防病毒軟件、防火墻軟件、進(jìn)程、文件、注冊(cè)表項(xiàng)等，對(duì)安全性檢查不合格的客戶端，可拒絕其接入內(nèi)網(wǎng)。天融信VPN網(wǎng)關(guān)還可對(duì)客戶端的可信接入安全性檢查結(jié)果進(jìn)行分級(jí)，不同的級(jí)別能夠授予不同的權(quán)限，對(duì)不滿足安全要求的主機(jī)或終端，能夠根據(jù)其缺陷程度分別實(shí)行隔離、修復(fù)和限制訪問。對(duì)于要求訪問敏感信息服務(wù)器的用戶，如果沒有達(dá)到較高安全等級(jí)，可只授予與其安全等級(jí)匹配的普通權(quán)限。這樣既能夠防止不安全的用戶主機(jī)感染內(nèi)部關(guān)鍵服務(wù)器，又能夠保留其瀏覽公司普通Web服務(wù)器的權(quán)限，實(shí)現(xiàn)桌面的安全等級(jí)與訪問資源的安全級(jí)別相匹配和訪問權(quán)限的分級(jí)。簡單易用的無驅(qū)客戶端當(dāng)前一般的IPSecVPN客戶端基本采用的是虛擬網(wǎng)卡和核心墊片技術(shù)，這些技術(shù)需要在用戶的設(shè)備上安裝核心驅(qū)動(dòng)程序，而核心驅(qū)動(dòng)程序的安裝是很不安全的，容易與用戶設(shè)備上的防火墻軟件、防病毒軟件等其它程序會(huì)發(fā)生沖突，而且程序員的任何一個(gè)疏忽都可能導(dǎo)致藍(lán)屏、死機(jī)等現(xiàn)象。天融信的IPSecVPN客戶端完全摒棄了這些弊端，采用Windows內(nèi)置的MiniPort為基石，無需安裝任何核心驅(qū)動(dòng)，不會(huì)與任何的防火墻、防病毒等其它核心程序發(fā)生沖突，安全、穩(wěn)定、簡單、易用，能讓用戶用得放心。iOS零安裝當(dāng)前移動(dòng)互聯(lián)已成為新的應(yīng)用趨勢(shì)，經(jīng)過智能終端即可方便的實(shí)現(xiàn)遠(yuǎn)程辦公，其中，蘋果的iPhone、iPad是最常見的終端之一。一般的VPN需要在蘋果終端上安裝軟件才能接入，這樣既不方便，又容易導(dǎo)致系統(tǒng)的不穩(wěn)定。天融信的iOS解決方案是采用零安裝方式，不需安裝任何軟件，直接使用iOS上內(nèi)置的IPSec客戶端與VPN網(wǎng)關(guān)進(jìn)行安全互聯(lián)，IPSec客戶端與VPN網(wǎng)關(guān)采用改進(jìn)的IPSec密鑰協(xié)商協(xié)議IKE+XAuth進(jìn)行隧道協(xié)商，既能實(shí)現(xiàn)用戶認(rèn)證授權(quán)，又能達(dá)到數(shù)據(jù)加密的效果，同時(shí)不用擔(dān)心iOS上客戶端的不穩(wěn)定性，具有使用方便、簡單、安全等特點(diǎn)。集成功能強(qiáng)大的防火墻功能天融信VPN產(chǎn)品集成了天融信強(qiáng)大的防火墻產(chǎn)品功能，能為用戶的VPN網(wǎng)絡(luò)提供高等級(jí)的邊界安全防護(hù)與訪問控制。天融信VPN網(wǎng)關(guān)具有強(qiáng)大的內(nèi)容過濾功能，支持URL分類過濾，分類庫大于700萬條；支持掛馬網(wǎng)站過濾；支持郵件過濾和反垃圾郵件功能。還具完善的應(yīng)用識(shí)別功能，用戶能夠輕松的針對(duì)一些典型網(wǎng)絡(luò)應(yīng)用，如MSN，QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即時(shí)通信應(yīng)用，以及BT、Edonkey、Emule、訊雷等p2p應(yīng)用實(shí)行靈活的訪問控制策略，如禁止、限時(shí)、帶寬控制等。集成強(qiáng)大的網(wǎng)絡(luò)附加功能天融信IPSecVPN網(wǎng)關(guān)為用戶組網(wǎng)提供了強(qiáng)大的網(wǎng)絡(luò)附加功能，完全能夠作為獨(dú)立的相關(guān)網(wǎng)絡(luò)設(shè)備進(jìn)行配置使用，其主要功能如下：基于TOS安全操作系統(tǒng)的高可擴(kuò)展性，可輕松的升級(jí)成集IPS、防病毒、內(nèi)容過濾、反垃圾郵件等功能于一體的安全網(wǎng)關(guān)；集成強(qiáng)大的網(wǎng)絡(luò)附加功能，支持交換、靜態(tài)/動(dòng)態(tài)路由、VLAN、帶寬管理、DNS代理、DHCP服務(wù)器、ARP代理、組播協(xié)議等。XXXX網(wǎng)絡(luò)系統(tǒng)互聯(lián)VPN解決方案根據(jù)XXXX網(wǎng)絡(luò)互聯(lián)的實(shí)際情況，我們采用天融信VPN系列產(chǎn)品提供整體網(wǎng)絡(luò)互聯(lián)VPN安全解決方案，解決其所面臨的網(wǎng)絡(luò)互訪、傳輸保密、節(jié)點(diǎn)認(rèn)證、增值服務(wù)、網(wǎng)絡(luò)訪問控制等問題。VPN解決方案各分支機(jī)構(gòu)經(jīng)過Internet接入中心，在采用天融信VPN設(shè)備實(shí)現(xiàn)互聯(lián)的情況下，其配置情況如下所述：在總部中心Internet接入口處安裝一臺(tái)“天融信千兆高端VPN網(wǎng)關(guān)”作為VPN中心網(wǎng)關(guān)。中心網(wǎng)關(guān)是整個(gè)VPN網(wǎng)絡(luò)的中心部件，它負(fù)責(zé)維護(hù)和各個(gè)分支機(jī)構(gòu)及移動(dòng)用戶之間的隧道和安全策略，中心網(wǎng)關(guān)兼有功能強(qiáng)大的防火墻功能，工作方式支持橋、路由和混雜方式，還具有入侵防御、內(nèi)容過濾、帶寬管理、日志報(bào)警等多種功能；在總部部署一臺(tái)服務(wù)器作為“安全策略管理平臺(tái)（TP）”，負(fù)責(zé)本企業(yè)整個(gè)VPN網(wǎng)絡(luò)中VPN設(shè)備的證書生成、發(fā)放，而且制定VPN設(shè)備之間的通信策略，使得全網(wǎng)的VPN設(shè)備能夠以數(shù)字證書方式進(jìn)行身份認(rèn)證和隧道的建立，并對(duì)使用的天融信VPN設(shè)備進(jìn)行管理，以簡化中心和所有分支機(jī)構(gòu)VPN設(shè)備的策略配置工作。天融信TP還具有拓?fù)鋱D自動(dòng)生成、日志審計(jì)、報(bào)表、實(shí)時(shí)監(jiān)控、報(bào)警等多種功能。各分支機(jī)構(gòu)根據(jù)網(wǎng)絡(luò)規(guī)模在Internet接口處安裝一臺(tái)天融信XX網(wǎng)關(guān)作為硬件網(wǎng)關(guān)。分支網(wǎng)關(guān)首先能夠作為各分支機(jī)構(gòu)的上網(wǎng)訪問設(shè)備和防火墻設(shè)備，在連入互聯(lián)網(wǎng)的同時(shí)自動(dòng)向中心VPN網(wǎng)關(guān)進(jìn)行身份認(rèn)證和VPN隧道協(xié)商。分支網(wǎng)關(guān)也兼有功能完善的防火墻功能，可抵抗多種攻擊方式，保護(hù)分支機(jī)構(gòu)內(nèi)網(wǎng)的安全；各移動(dòng)用戶在PC或移動(dòng)終端上安裝天融信VPN客戶端“VRC”，天融信VRC支持“證書”認(rèn)證、“用戶名＋