SSLVPN解决方案

XXX公司 VPN系统解决方案

建议书

北京天融信公司 2014年6月

VPN组网方案建议书

目 录

第一章 XXX公司网络现状及需求分析 .............................. 1

1.1 网络现状 ................................................................................................................................ 1 1.2 需求分析 ................................................................................................................................ 1

第二章 VPN技术及天融信VONE产品 ................................... 2

2.1 VPN产品概述 ........................................................................................................................ 2

2.1.1 安全接入的应用趋势 ............................................................................................. 2 2.1.2 安全接入的技术趋势 ............................................................................................. 2 2.1.3 天融信VONE产品介绍 ........................................................................................ 3 2.2 天融信VONE网关产品特点 ............................................................................................... 4 2.3 天融信VONE产品主要功能 ............................................................................................. 11 2.4 天融信VONE产品规格 ..................................................................................................... 19

第三章 XXX公司SSL VPN接入解决方案 ............................... 20

3.1 VPN解决方案 ...................................................................................................................... 20 3.2 本解决方案的主要特点 ...................................................................................................... 22

VPN组网方案建议书

第一章 XXX公司网络现状及需求分析

1.1 网络现状

XXX公司企业业务网络系统由企业总部和远程移动用户组成。其中总部局域网络是整个网络系统的核心，为企业各类服务器所在地，同时也是网络管理中心。各移动用户现在希望通过Internet与总部进行安全通信，具体需求如下：

企业现在有一个内部业务应用系统（基于B/S或C/S架构），由于业务的扩展，有很多业务人员在外办公，目前大概有1000名移动用户，为了能合理利用网络及内部资源，需提供一个简单可行的远程接入方案，把移动用户接入到内网，同时对这些用户能有效进行管理。

1.2 需求分析

根据XXX公司现有的网络状况和业务情况，目前的需求分析如下： ? 内网业务系统基于B/S结构，业务模式简单； ? 移动办公人员众多，使用水平参差不齐； ? 对移动办公人员的身份要求进行严格认证和监控； ? 数据在Internet上传输时应保证足够的安全； ? 该系统扩展性好，为以后的扩充更多用户做好准备； ? 有良好的日志系统；

? 整个接入系统安装方便、快捷，便于维护和管理。

基于以上分析，这是一个典型的VPN的接入需求。天融信公司能提供基于IPSec和SSL的两种VPN解决方案，在本案中，用户的业务模式简单（仅基于B/S模式），用户数量众多，在此推荐采用SSL的解决方案。以下我们将详细论述天融信SSL VPN解决方案。

1

VPN组网方案建议书

第二章 VPN技术及天融信VONE产品

2.1 VPN产品概述 2.1.1 安全接入的应用趋势

随着电子政务和电子商务信息化建设的快速推进和发展，越来越多的政府、企事业部门已经或即将构建网上办公系统和业务应用系统，使内部办公人员通过网络可以迅速地获取信息，使移动办公等多种远程办公模式得以逐步实现，同时使合作伙伴人员也能够访问到相应的信息资源。可是要享受通过互联网访问企业内部的信息资源的便利，就面临着非法访问、信息窃取等越来越多的来自外部和内部的安全威胁。而我们目前所使用的操作系统、网络协议和应用系统不可避免地存在着不少的安全漏洞。因此，在构建和应用这些应用系统时，必须要保障关键应用在开放网络环境中的安全，同时还需尽量降低实施和维护成本。

2.1.2 安全接入的技术趋势

目前安全接入组网技术有多种，每种技术都有其适用范围和优点，同时也有一定的缺点。主流的VPN技术主要有以下三种：

1．L2TP/PPTP VPN

L2TP/PPTP VPN属于二层VPN技术。在windows主流的操作系统中都集成的L2TP/PPTP VPN拨号客户端软件；但是由于协议自身的缺陷，没有高强度的加密和认证手段，安全性较低；同时这种技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决；

2．IPSec VPN

IPSec VPN 属于三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施；同时工作在网络协议的三层，对应用程序是透明的，能够无缝支持各种应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN的VPN组网；支持多种网络拓扑结构。其缺点是网络协议比较复杂，正确配置VPN隧道需要较多的专业知识；而且需要在移动用户的机器上安装单独的客户端软件。

3．SSL VPN

2

VPN组网方案建议书

SSL VPN属于应用层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护；由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议，因此原理上将对于B/S应用是无需安装客户端软件的，部署使用较为简单。主要适用与移动用户接入并访问B/S结构的应用系统，对于C/S应用的支持仍然需要安装客户端的插件。

各种VPN技术都有其优点和缺点，用户的实际应用中，往往需要将这几种技术进行综合应用，才能满足较为复杂的用户需求。天融信将这几种VPN技术有机的进行了整合，实现了在一台设备中同时支持上述几种主流的VPN组网技术，同时集成了业内成熟领先的防火墙和身份认证系统，形成了一个完整的安全接入解决方案。

2.1.3 天融信VONE产品介绍

网络卫士VONE系列（IPSEC/SSL VPN多合一网关）是集天融信十几年研发经验，向用户提供的完整VPN接入解决方案，是天融信推出的最新一代网络安全接入产品。该产品以天融信自主知识产权的TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了身份认证、访问控制等安全手段，具有安全、高效、易于管理和扩展等特点。

网络卫士VONE网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务。产品的L2TP/PPTP/SSL功能无需安装任何客户端软件，也无需投入太多人力进行配置或长期的维护；产品完善的IPSEC VPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络。

SSL VPN位于外部网络和内部网络之间，利用安全套接层(SSL)来提供安全的传输功能，而SSL在所有标准的Web浏览器中都具有的。SSL VPN构建在经过强化的软硬件平台上，实现用户和资源的绑定。

天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式，以适应不同的用户需求，同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能。

网络卫士VONE网关包含完整的业界领先的专业防火墙功能，还具有内容过滤、入侵防御、带宽管理等功能，能为用户提供全面的网络边界安全防护解决方案。

3

VPN组网方案建议书

2.2 天融信VONE网关产品特点 1) 自主安全操作系统平台

采用自主知识产权的安全操作系统 — TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

2) 多种VPN技术有机融合

前面已经分析了目前主流的各种VPN技术的优缺点，这些技术有其不同的适用范围。在实际的用户网络中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和安全性都会面临新的挑战。

网络卫士VONE网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。

3) 安全接入与安全防护无缝结合

VPN网关作为网络边界设备，除了完成远端网络或移动用户的远程接入功能外，对用户网络边界安全也是至关重要的。网络卫士VONE网关是构建在天融信强大的TOS系统平台基础上，集成了天融信业内领先的防火墙功能模块，能够为用户的VPN网络提供高等级的边界安全防护与访问控制。

天融信VPN网关具有强大的内容过滤功能，支持URL分类过滤，分类库大于700万条；支持挂马网站过滤；支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能，用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、带宽控制等。

4

VPN组网方案建议书

网络卫士VONE网关支持完善的基于完全内容检测的访问控制技术。防火墙检测技术发展至今，大致经历了三个阶段，从早期的状态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。

网络卫士VONE网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。

4) 多种SSLVPN技术结合实现应用全覆盖

目前SSLVPN接入技术大致分为三类：WEB转发（WEB FORWARD），端口转发（PORT FORWARD）和全网接入（NETWORK ACCESS或者称为IP TUNNEL）。这三种技术的技术特点和适用范围各不相同，在网络卫士VONE网关中对这三种SSLVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。

WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。网络卫士VONE网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。

端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好，但其要求在客户端安装一个ACTIVEX控件。网络卫士VONE网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。

5

VPN组网方案建议书

全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VONE网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道（SPLIT TUNNEL即可以同时访问VPN和因特网）或完全隧道（FULL TUNNEL即只能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了远程接入的安全性和灵活性。

5) 支持虚拟桌面/虚拟应用

天融信公司的TopConnect客户端产品，即支持虚拟桌面模式，也支持虚拟应用模式。通过这两种不同的使用模式，企业用户可以限制不同的用户使用不同的模式，即保证用户敏感数据的安全，又能减少网络管理的维护量，降低企业内部应用维护的人力物力成本。

针对业务应用丰富，使用环境单一的用户，或需要对智能移动终端进行管理和维护人员，可使用虚拟桌面模式。在这种模式下，服务器直接将服务器端的个性化桌面展现给用户。与传统的PC机相比较，除显示屏幕面积外，其余使用和操作没有任何差异。

而对于业务应用单一，使用环境复杂，或不能开发较多权限的用户，可使用虚拟应用模式。在这种模式下，服务器只将特定的应用界面推送给用户。除授权使用的应用外，用户无法使用其它任何应用，更无法对服务器进行修改和配置。

6) 完善的身份认证技术

网络卫士VONE网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信，管理员可以配置简单的“用户名＋口令”认证方式，从而达到简单易用的效果；为了防止线路窃听和重播攻击，管理员可以采用“用户名＋口令＋图形认证码”的方式对移动用户进行身份认证；对于需要强身份认证机制的用户，管理员可以采用“数字证书”的认证方式，通过高强度的密码运算来保证用户身份标识不会受到“字典攻击”等暴力攻击的威胁；还可以通过“数字证书（USBKEY）＋口令”的双因子认证方式来确保移动用户的证书不会被盗用，进一步加强认证的安全性。

网络卫士VONE网关还支持短信认证、图形码校验、硬件特征码校验。支持基于web协议的认证方式，可以和业务资源的帐号系统使用一套，避免了在VONE上再次建立帐

6

VPN组网方案建议书

号，能够统一管理帐号，增强了易用性。支持指纹认证，可以基于指纹信息进行认证。VONE网关还支持多种认证方式的任意组合，为用户提供最强的安全接入机制。

网络卫士VONE网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动，从而能够实现动态口令认证、域认证等高级的认证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库，实现用户集中管理和认证，又可以充分利用用户已有的资源。

7) 多级用户授权机制和授权组合

授权是对移动用户通过身份认证接入网关后，允许访问的内网资源权限进行控制，是保护内网资源安全的主要技术手段。网络卫士VONE网关采用多级授权机制和用户授权继承的策略，满足各种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书的属性字段的授权，支持基于外部属性（LDAP或Radius下发的属性值）的授权，也支持多条授权策略的组合。

在用户授权的粒度上，网络卫士VONE网关支持基于URL/目录/文件等访问内容的控制策略，支持用户行为动作的访问控制策略，支持基于访问时间的控制策略，能够充分满足管理员的各种用户授权需求。

8) 完善的PKI体系提高用户网络的安全等级

随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品全面支持标准PKI体系结构，既能够通过内置的CA模块独立为移动用户签发数字证书，又能够通过导入CA根证书＋CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认证请求。具体的PKI功能包括： ? ? ? ? ?

支持标准X509.V3格式数字证书；

支持DER、PEM、PKCS12等多种证书编码格式； 支持通过内置CA模块为用户签发标准数字证书；

支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证； 支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证；

7

VPN组网方案建议书

? ?

支持生成PKCS10格式的证书请求，可生成证书请求，由第三方CA签名； 支持CRL列表文件的导入和通过HTTP自动下载。

天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长

期的合作，网络卫士VONE网关与这些厂商的CA系统均能够无缝集成。

9) 卓越的网络及应用环境适应能力

网络卫士VONE网关构建于强大的TOS系统平台之上，天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。其支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等，适用网络的范围非常广泛，充分保证了用户的网络的可用性。

同时，针对国内用户动态IP地址较多的现状，网络卫士VPN网关整合了天融信公司独立维护的EZVPN动态域名系统，为天融信VPN用户提供专用的动态地址域名解析服务，从而很好地解决了动态地址的VPN接入问题。

10) 分级可信接入体系

天融信VPN网关还可对可信接入安全性检查结果进行分级，不同的级别可以授予不同的权限，对不满足安全要求的主机或终端，可以根据其缺陷程度分别实行隔离、修复和限制访问。对于要求访问敏感信息服务器的用户，如果没有达到较高安全等级，可只授予与其安全等级匹配的普通权限。这样既可以防止不安全的用户主机感染内部关键服务器，又可以保留其浏览公司普通Web服务器的权限，实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级。

11) 支持虚拟门户功能

SSL VPN提供了虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。

12) 分级管理和三权分立

8

VPN组网方案建议书

天融信的VPN网关支持将管理员进行分级分组，一级管理员可以创建若干二级管理员，并给其进行授权，分配二级管理员可以管理的用户组，可以使用的资源组，可以使用的角色，是否可以创建下级管理员等。二级管理员在其权限允许的范围内行使其权限，如添加、修改、删除用户，在权限范围内给用户授权，创建三级管理员，给三级管理员授权等。天融信VPN网关最多可以支持16级的管理员分级管理，便于大型组织客户将管理权限下放，并可以根据需要授予不同的管理员不同权限。支持管理员的三权分立，可分别授予不同类型的管理员不同的权限。

13) 支持多种单点登录方式

支持多种单点登录方式，支持HTTP401方式、密码助手、WEB方式的单点登录，用户只需要进行一次认证即可访问所有授权的业务资源，大大提高了系统的易用性。

14) 与企业门户无缝融合

许多大型企业已经拥有了自己的企业门户，我们的SSL VPN可以与用户的企业门户无缝融合，只需要简单替换一下企业门户中的登录URL即可实现。许多企业已经部署了单点登录服务器，我们的SSL VPN也能够很好融合。用户通过企业门户登录SSLVPN后，SSLVPN能够自动跳转Portal页面到企业的单点登录服务器页面，显示该用户的资源列表，同时在右下角显示一个SSLVPN小图标。

15) 适应多种终端和系统平台

目前移动互联已成为新的应用趋势，天融信VONE针对移动终端提供了多种安全接入技术，能方便的实现通过智能终端移动办公。支持虚拟桌面和虚拟应用的虚拟化接入技术，具有终端与后台业务数据分离和应用无关性的技术特点，能很好的解决移动终端接入所面临的数据安全性和应用适应性问题。

天融信TopConnect客户端是专门为智能移动终端提供安全接入的SSL客户端产品，不但支持传统的Windows/Linux操作系统，还支持iOS、Android等移动操作系统，未来还将支持WP8。丰富的操作系统平台支持，意味着用户可以自由的选择终端产品，无需受限于某个特定的应用范围。

9

VPN组网方案建议书

对于iOS、Andriod智能终端支持SSL的虚拟桌面接入，其中iOS还支持IPSEC“零安装”接入；对于Android、Windows Mobile系统的智能终端，还支持使用全网接入模式接入；对于PC系统，支持Windows 2000、XP、2003、2008、Vista、Win7、Linux系统的接入。

16) 智能递推

天融信VONE产品支持智能递推功能，只需要配置一个门户url，采用智能递推技术，即可自动将该门户url包含的子连接加入可以访问的资源列表，降低了管理配置工作量。

17) 智能压缩

支持数据智能压缩功能，能够智能的根据当前传输数据的压缩比决定是否启用压缩，大大提高了传输的效率和应用的访问速度。

18) VPN集群功能

支持集群功能，能够使用多台VONE网关组成一个集群系统，大大提高了VPN网关的整体性能和可靠性，能够满足大并发用户数的需求。

天融信VPN采用基于TOS系统的智能集群技术。它的基本工作模式是多台VPN网关并行工作，都处于正常的数据转发状态，对外提供统一接入IP，多台VPN网关之间相互备份，一旦某台设备故障时，其他的设备能够立即接替其工作，保证用户业务数据的不间断。天融信VPN支持最多256台设备的集群和多种集群负载均衡策略；支持通过心跳口进行状态和Session同步，网关切换时无需用户二次认证。

19) 符合国密局《SSL VPN技术规范》和《IPSEC VPN技术规范》

天融信SSLVPN是严格按照国家密码管理局制定的《SSL VPN技术规范》和《IPSECVPN技术规范》进行开发的，并通过了国家密码管理局商用密码检测中心的检测，支持国家密码管理局规定的SM1(SCB2)、SM2、SM3商用密码算法。

10

VPN组网方案建议书

2.3 天融信VONE产品主要功能

类别 功能 工作模式 ? ? ? ? 路由 ? ? ? ? ? 组播 ? ? ? ? VLAN ? ? ? 生成树 ARP DHCP 接入 其它 ? ? ? ? ? ? ? 支持透明、路由、混合模式 支持静态路由、动态路由 支持基于源/目的地址、接口、Metric的策略路由 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能 支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能 支持RIP、OSPF等路由协议 支持多线路源路返回的智能选路 支持多线路捆绑和负载均衡 支持IGMP组播协议 支持IGMP SNOOPING 可有效地实现视频会议等多媒体应用 支持Vlan Trunk 支持802.1Q，能进行封装和解封 支持ISL，能进行ISL的封装和解封 在同一个Vlan内能进行二层交换 支持QinQ技术（vlan-vpn），对报文进行二次基于802.1Q封装 支持802.1D生成树协议 支持ARP代理、ARP学习 可设置静态ARP 支持DHCP Client、DHCP Relay、DHCP Server 支持以太网、光纤、ADSL、DHCP等多种接入方式 支持网络时钟协议SNTP，可自动根据NTP服务器的时钟调整本机时间 支持IPX、NetBEUI等非IP 协议 支持X.509 V3数字证书 支持DER/PEM/PKCS12等多种证书编码 支持内置CA，为其他设备或移动用户签发证书 可生成、吊销、删除证书 支持本地CA根证书、根私钥的更新 支持证书废弃，支持生成标准CRL列表 支持证书请求的生成，由第三方CA进行签名 支持证书链管理 内置支持SM2算法的CA 详细描述 网络 适应性 证书格式 ? ? ? ? ? PKI 本地CA ? ? ? ? ? 支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用第三方CA 户进行身份认证，支持通过HTTP协议定时下载CRL列表 ? 支持通过OCSP/LDAP等协议在线认证证书 11

VPN组网方案建议书

类别 功能 安全算法 协议类型 数据压缩与加速 ? ? ? ? ? ? ? ? ? 详细描述 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法 支持国家商密专用的SM1(SCB2)、SM2、SM3算法 支持SSL 2.0/3.0 TLS 1.0 支持高效流压缩算法 支持智能压缩 支持WebCache加速 支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证 支持X.509数字证书认证 支持数字证书（USBKEY）+口令多因子认证 支持公共帐户登陆，支持临时禁止帐户登录 支持本地数据库认证 支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证 支持短信认证、图形码校验、硬件特征码校验 支持角色授权、支持独立用户授权 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中的字段属性组合授权 支持WEB转发、端口转发、全网接入模式 用户认证 ? ? ? ? ? ? 用户授权 SSL VPN ? ? ? ? ? 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 ? 支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等 支持Windows/CIFS远程文件共享 支持FTP的WEB化访问 支持资源自动打开 支持资源连接隐藏 支持资源和特定应用程序关联 实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信支持主动中断在线用户的隧道连接 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信支持多级审计日志，可以灵活配置审计级别 支持日志本地保存，支持将日志上传到外部日志服务器 支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统应用支持 ? ? ? ? ? 实时监控 ? 息 ? ? 息 日志审计 ? ? ? 计 12

VPN组网方案建议书

类别 功能 详细描述 ? 支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹 ? ? 支持拔KEY隧道自动中断 支持用户超时自动退出，超时时间可以设置 端点安全 虚拟门户 与企业门户无缝融合 集群 Portal页面隐藏 ? 支持虚拟门户功能，每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等 ? SSL VPN可以与企业门户无缝融合，即用户可以通过企业门户登录SSL VPN，并且SSL VPN能够自动跳转Portal页面到企业的某个网站 ? 支持集群功能 ? 在用户登录SSL VPN后不需要驻留Portal页面，可以隐藏，并在右下角缩成一个小图标，点击小图标还能恢复Portal页面 ? ? 支持Windows Mobile PDA客户端 支持安卓系统的智能终端 支持Linux系统的PC机 支持Windows 2000、XP、2003、2008、Vista、Win7系统PC 支持独立客户端 支持用户设定代理服务器信息 支持TCP协议 支持UDP协议 支持智能递推 支持HTTP401认证单点登录 支持用户修改单点登陆的账户信息 支持WEB方式的单点登录 支持密码助手方式的单点登录 客户端 ? ? ? ? ? 端口转发 ? ? ? 单点登陆 ? ? ? 可信接入 可信接入 ? 支持接入主机的信息检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 ? ? ? 支持可信接入分级授权 支持检查策略：接入前检查、接入后检查、定时检查等 支持中、英文界面 支持中、英文自动切换 支持中、英文手动切换 支持DDNS动态域名注册 支持使用域名进行隧道定义及协商 支持使用域名向TP进行集中认证 支持ESP/AH/IKE/NATT等标准IPSEC协议 支持隧道模式、传输模式 国际化 语言支持 ? ? ? DDNS DDNS ? ? IPSEC 协议 ? ? 13

VPN组网方案建议书

类别 VPN 功能 ? 法 ? ? 详细描述 支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算支持DH GROUP1/2/5，RSA 1024/2048非对称算法 支持国家商密专用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法 支持高速算法加速卡 支持高效数据流压缩算法 支持预共享密钥、数字证书认证，支持XAuth扩展认证 支持使用标准的X.509证书建立隧道 支持网状、树型、星型等多种VPN网络拓扑 支持隧道的NAT穿越、双向NAT隧道建立 支持全动态IP地址间的VPN组网 支持隧道转发 支持GRE over IPsec方式 支持组播穿越IPSec隧道 支持多机多隧道的负载均衡和备份 支持第三方标准IPSec客户端接入 支持苹果终端IPSEC VPN客户端接入 支持为移动用户自动分配内部IP地址、DNS/WINS服务器地址 支持为移动用户定义访问权限 支持基于时间的移动用户访问控制策略 支持两网分离 支持多线路自动检测 支持用户在线修改口令 支持移动用户接入状态的监控和审计 支持中/英文界面和中/英文自动切换 符合国密局制定的《SSL VPN技术规范》 符合国密局制定的《IPSEC VPN技术规范》 支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络 支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络 算法 硬件加速 数据压缩 隧道认证 ? ? ? ? ? ? 网络 适应性 ? ? ? ? ? ? ? ? ? VPN 客户端 ? ? ? ? ? ? 技术标准 L2TP PPTP SSLVPN IPSecVPN L2TP PPTP ? ? ? ? 14

VPN组网方案建议书

类别 功能 ? ? ? ? ? ? *内容过滤 ? ? ? ? ? ? 详细描述 完全内容检测（Complete Content Inspection）技术 支持基于流、数据包、透明代理的过滤方式 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤 支持DNS过滤、DNS中继 支持web重定向 支持URL分类过滤，分类库大于700万 支持挂马网站过滤 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 支持反垃圾邮件功能 支持Telnet、Ftp、RSH命令过滤 ? 可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、Telnet、HTTP）的BANNER信息 网络 安全性 ? 基于状态检测的动态包过滤 ? 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制 ? ? ? 访问控制 ? 支持基于用户的PPTP的访问控制 支持隧道内的访问控制 支持IPSec客户端与SSL全网模式与FW联动 支持报文合法性检查 ? 动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP ? ? ? ? ? ? NAT ? ? ? 访问控制策略分组管理 支持大数量级的策略匹配加速算法 支持对象的每秒新建连接数限制 基于域名对象的访问控制 可实现IP/MAC绑定 支持双向NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能 15

VPN组网方案建议书

类别 功能 ? 详细描述 支持近百种应用程序库的过滤，包括P2P、IM、炒股、网游等 ? 支持MSN、QQ、Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制和帐号过滤 ? ? *应用识别 ? ? ? ? ? ? ? *防病毒 ? ? 支持MSN在线用户显示 可限制BT、eMule、eDonkey、迅雷等P2P应用 支持基于应用的流量统计 支持基于应用的流量排名 支持基于应用的历史流量趋势图 支持基于主机的应用流量统计 支持流量异常检测 深度流量过滤（DFI），针对P2P行为的识别控制 支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀 支持100万余种病毒的查杀，病毒库定期与及时更新 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀 ? 非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof ? ? 统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep 支持地址对象源目的最大连接数限制 ? Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率 *防御攻击 ? ? ? ? ? ? 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置 SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤 CC攻击：可通过设置端口和阀值阻断CC攻击 可记录攻击日志和报警 支持手动设置和根据IDS规则自动生成黑名单 支持手动设置和根据可信连接达到一定规模后升级为白名单用户 16

VPN组网方案建议书

类别 功能 详细描述 ? 支持使用一次性口令认证（OTP）、本地认证、数字证书（CA）认证等常用的安全认证方式 ? ? ? ? ? 支持统一用户管理，IPSEC与SSL使用同一套用户认证、管理系统 支持口令复杂度设置 支持多点登录地点数设置 支持登录时间、登录地址范围控制 支持密码找回功能 支持首次登录修改口令 用户认证 ? ? 支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 ? ? ? ? ? ? 支持短信、动态令牌、硬件特征码认证 支持Session认证、HTTP会话认证 支持WEB认证和指纹认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 可为用户管理员分配不同的权限，管理不同的用户信息 用户管理员没有系统配置的权限 不同的用户管理员之间不交叉 支持多达16级的分级管理 支持管理员的三权分立 支持Welf、Syslog等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能 安全管理 分级管理 ? ? ? ? ? ? ? 日志 ? ? ? TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析 ? 监控 可对日志进行加密传输 ? 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测 ? 可根据配置文件进行错误恢复 报警 ? 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 ? ? 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式 QOS带宽管理 根据IP、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理 支持8级优先级控制 QoS ? ? ? 带宽管理 流量整形 优先级 ? 17

VPN组网方案建议书

类别 功能 ? 双机热备 ? ? ? 详细描述 支持双机热备（Active-Standby）模式 支持负载均衡（Active-Active）模式 支持连接保护（Session Protect）模式 支持系统故障自动切换和抢占功能 支持链路备份功能 高可用性 其它功能 ? ? 支持服务器的负载均衡，提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式 ? ? ? 支持双系统引导 支持Watchdog功能 支持WEB图形配置、命令行配置 支持本地配置、远程配置 支持基于SSH、SSL的安全配置 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 支持SNMP 的v1 、v2 、v2c 、v3 版本 支持SNMP MIB扩展 支持SNMP查询、SNMP Trap 与当前通用的网络管理平台兼容，如HP Openview 等 支持双系统升级 支持远程维护和系统升级 支持TFTP升级 配置方式 ? ? ? 命令行 ? ? ? 配置管理 SNMP ? ? ? ? 系统升级 ? ? 报文调试 ? 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题 ? 支持发送虚拟报文 可以进行配置文件的备份、下载、删除、恢复和上载 配置恢复 ?

18

VPN组网方案建议书

2.4 天融信VONE产品规格

产品型号 2U机架式结构； TV-61830-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口），可扩展万兆接口；标配双电源 2U机架式结构； TV-61530-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口）； 标配双电源 2U机架式结构； TV-61330-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口）； 标配双电源 2U机架式结构； TV-61331-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口）； 单电源，可扩展为双电源 1U机架式结构； TV-61230-VONE 最大配置为26个接口，包括3个扩展槽和2个10/100/1000BASE-T接口（作为HA口和管理口） 1U机架式结构； 最大配置为26个接口，包括3个扩展槽和2个10/100/1000BASE-T接口（作为HA口和管理口） TV-61614-VONE 2U机架式结构；最大配置为12个接口，标配4个10/100/1000Base-T接口，1个扩展槽； 标配双电源 TV-61214-VONE 1U机架式结构；最大配置为12个接口，标配4个10/100/1000Base-T接口，1个扩展槽 1U机架式结构；最大配置为12个接口，标配4个10/100/1000Base-T接口，1个扩展槽 1U机架式结构；10个10/100/1000Base-T接口 1U机架式结构； 配置为6个10/100/1000BASE-T接口 1U机架式结构； 配置为4个10/100/1000BASE-T接口 桌面型结构； 4个10/100/1000MBase-T端口 硬件说明 TV-61030-VONE TV-61114-VONE TV-41710-VONE TV-41706-VONE TV-41604-VONE TV-21604-VONE

19

VPN组网方案建议书

第三章 XXX公司SSL VPN接入解决方案

根据XXX公司移动用户接入实际情况，我们采用天融信SSL VPN系列产品提供整体网络安全互联解决方案，解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。

3.1 VPN解决方案

VPN配置方案如下描述：

1． 在总部Internet出口处安装天融信TV-6830-VONE安全网关，其接入方式为采用路由

模式。另外，还可以在SSL VPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能，根据实际需要设置各个功能模块的具体安全防护策略，以确保中心本地网络免受各种外来威胁。天融信TV-6830-VONE网关最大可支持10000并发用户，完全满足目前应用及以后扩展的需求；

2． 在网关上根据不同用户的划分可以对用户进行角色和组的权限设定，这种设定可以细

致的划分每一个用户的访问权限，即可指定某用户在指定时间访问指定服务器的指定端口，从而保证了内网服务器的安全性；同时，为了保护内网服务器的安全，管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器，这样进一步对内网进行防护；

3． 移动用户要访问内网服务器时，仅需打开浏览器，输入公开的服务器地址及自己的用

户名口令（或者直接用证书的形式访问，免除输入用户名口令的麻烦），即可访问授权的内部资源，由于各种访问资源的权限已经由管理员设定好，用户可以直接点击资源连接进行访问；

4． 对于管理员的操作及用户的访问，天融信VPN网关提供详细的日志查询功能（包括管

理员、用户及服务器），可以很容易的看到各种状态。还可以在线管理（禁用，踢下线）用户，日志为标准Syslog格式，可导入其他日志查看器查看。 5． 使用天融信SSL VPN实现的远程接入如下图所示：

20

VPN组网方案建议书

图4.1 XXX公司SSL VPN网络结构

通过部署天融信SSL VPN设备组建的企业移动办公网络，网络结构简单，维护成本低，用户只需使用浏览器就可以做到安全的连接网络，并能针对不同的用户，给予不同的应用权限。因此通过天融信SSL VPN很好的解决了“随时随地”的网络资源安全共享的需求。

21

VPN组网方案建议书

3.2 本解决方案的主要特点

? 设计全面：全面的安全防护解决方案，帮助用户打造高效率和高安全性的网络平台； ? 功能强大：同时提供防火墙、VPN、入侵防御、内容过滤、流量管理及安全审计等功能，

从而构建主动防御、多层次防御的企业安全保障体系，从容应对各种外来威胁； ? 整体协防：各防御模块之间相互协同工作，全面提升系统的整体安全水平，缔造更可信

的网络；

? 健壮性：VONE设备基于专用安全操作系统，具有良好的自身安全性； ? 透明性：现有业务系统和网络结构无须做任何调整或只需做少量改动； ? 适应性：能很好适应系统网络结构的调整和发展；

? 互通性：VONE内置的Ipsec功能可与采用国际标准Ipsec的设备之间互通互联； ? 高性能：开启各项安全功能后，天融信VONE网关的处理性能和数据转发速率仍能够

保持高水准，完全能够满足互联网出口的接入速率，不会成为传输瓶颈； ? 便于实施：安装、维护简单快速，可随时进行而不影响正常业务；

? 低成本：一机多能，大大降低了安全产品的采购、部署和运营成本，使用户获得最大的

投资回报；

? 扩展性：天融信VONE网关产品采用模块化设计，具有极强的扩展性，可以随着用户

网络的扩展平滑升级。

22

本文来源：https://www.bwwdw.com/article/gyzo.html