VPN接入解决方案Word下载.docx
《VPN接入解决方案Word下载.docx》由会员分享,可在线阅读,更多相关《VPN接入解决方案Word下载.docx(16页珍藏版)》请在冰点文库上搜索。
支持“用户名+口令”、“用户名+口令+图形认证码”认证
支持数字证书+UKEY+口令多因子认证
支持X.509数字证书认证,内置CA中心,支持第三方CA
支持帐户启用和禁止管理,支持公共帐户登录
支持本地数据库认证(Localdb)
支持基于RADIUS/AD/LDAP/SecureID等协议的外部服务器认证
支持分组授权、支持独立用户授权和授权继承
支持基于URL、访问路径、访问文件、访问动作的细粒度授权
支持基于时间的访问授权方式
支持本地授权、支持外部组映射授权、支持证书用户授权
支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用
支持基于IP协议的各种B/S、C/S应用,如WEB、EMAIL,FTP,ERP,CRM,Oracle,OA,文件共享,VOIP及视频点播等
支持端点安全策略,接入客户端能够清除cookie、缓存、历史记录等访问痕迹,支持隧道内的内容过滤和病毒过滤
支持拔KEY隧道自动中断
支持用户超时自动退出,超时时间可以设置
实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种信息,管理员可强制中断在线用户的隧道连接
支持本地日志和外部日志服务器,详细记录用户登录认证过程、各种认证授权错误、内网资源访问情况、访问流量等信息
防火墙
基于状态检测的动态包过滤防火墙,支持完全内容检测CCI
支持基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间、用户、角色的访问控制策略
支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、TFTP等协议
支持报文合法性检查
支持双向NAT
支持动态地址转换和静态地址转换
支持多对一、一对多和一对一等多种方式的地址转换
支持虚拟防火墙,支持虚拟服务器功能
支持IP/MAC绑定,支持IP/MAC地址自动探测
IPSecVPN
符合国家密码管理政策,支持国家密码管理机构批准的高强度专用算法,支持国际标准加密算法
全面支持IPSec协议标准
支持标准PKI体系结构,支持预共享密钥、数字证书的身份认证,支持X.509标准证书
提供完善的VPN网络安全管理中心(SMC),支持集中认证、策略分发、权限管理、统一监控和日志报警等功能
支持最新NAT穿越(NATT)协议,支持双向NAT穿越
支持隧道数据压缩
支持星型、树型和网状VPN组网方式
支持全动态IP地址的VPN组网方案
支持动态域名解析(DDNS),提供VPN专用DDNS服务器
支持PPTP、L2TP和GRE隧道协议
集成华盾VPN动态隧道技术,与华盾VPN网关、安全管理中心SMC、VPN客户端全面兼容
灵活易用的VPN客户端,支持硬件特征码绑定和认证,提供6个不同安全等级的版本,可根据不同安全需求限定客户端的版本
支持移动用户的访问授权控制
内容过滤
采用完全内容检测(CompleteContentInspection)技术
支持IPSEC/SSLVPN隧道内的内容过滤
支持基于流、数据包、透明代理的过滤方式
支持对HTTP、SMTP、POP3、FTP、IMAP、RSH等协议的深度内容过滤,可以根据需要过滤对敏感内容的访问
支持URL过滤,可以根据需要过滤对敏感页面的访问
支持对移动代码如JavaApplet、Active-X、VBScript、JScript、JavaScript的过滤
支持对邮件的收发地址以及附件的文件名、文件类型过滤
支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤
可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER和版本信息。
支持MSN,QQ,Skype、YahooMSG、网易泡泡、新浪UC、阿里旺旺等InstantMessenger通信,并可对这些应用进行限制
可对BT,eMule,eDonkey、PPLive、PPStream、迅雷、超级旋风等P2P应用实现禁止、带宽控制或连接数限制,保障正常业务访问的带宽。
入侵防御
可防御Synflood、Icmpflood、Udpflood、Portscan、ipsweep、land、Smurf、PingofDeath、winnuke、tcp_scan、ip_option、teardrop、targa3、ipspoof等攻击
支持抗CC攻击,可通过设置端口和阀值阻断CC攻击
可与国内主流的IDS设备联动,以提高入侵检测效率
可根据数据包的来源和特征进行阻断设置
SYN代理:
对来自定义区域的SynFlood攻击行为进行阻断过滤
当有攻击事件发生时,可记录日志并开启报警功能
流量管理
根据IP、协议、网络接口、时间定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
支持8级优先级控制
支持VPN隧道内的带宽管理QOS
高可用性
支持双机热备(Active-Standby模式)
支持负载均衡(Active-Active模式)
支持系统故障切换
支持服务器的负载均衡,提供轮询、加权轮叫、最少连接、加权最少连接等多种负载均衡方式供用户选择
支持生成树协议,可实现链路负载均衡
支持链路备份功能
支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用
支持Watchdog功能
用户认证
支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecurID)以及数字证书(CA)等常用的安全认证方式
支持使用第三方认证服务器,如RADIUS、TACACS/TACACS+、LDAP、AD域认证等安全认证方式,支持OCSP在线证书认证
支持Session认证、HTTP会话认证
支持认证保活功能
可将认证用户信息加密存放在本地数据库
网络功能
支持路由、透明、混合模式
支持静态路由、动态路由
支持基于源/目的地址、接口、Metric的策略路由
支持单臂路由,可以单臂模式接入网络,并提供路由转发
支持Vlan路由,能在不同的VLAN虚接口间实现路由
支持RIP、OSPF等路由协议
支持IGMP组播协议
支持IGMPSNOOPING
可有效地实现视频会议等多媒体应用
支持与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备传播路由
支持802.1Q,能进行802.1Q的封装和解封
支持ISL,能进行ISL的封装和解封
在同一个Vlan内能进行二层交换
支持802.1D生成树协议,包括PVST及CST等协议
支持ARP代理、ARP学习
可设置静态ARP
支持对非IP协议IPX/NetBEUI的传输与控制
支持DHCPClient、DHCPRelay、DHCPServer
支持以太网、光纤、ADSL、CDMA、GPRS等多种接入方式
支持多线路捆绑和负载均衡
安全管理
支持Welf、Syslog等多种日志格式的输出
支持通过第三方软件来查看日志
支持日志分级
支持对接收到的日志进行缓冲存储
通过安全审计系统,可获得更详尽的日志分析、审计和报表功能,并能提供员工上网行为管理功能
支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测
可根据配置文件进行错误恢复
报警事件:
内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类
报警方式:
采用邮件、NETBIOS、声音、SNMP、控制台等多种报警方式,报警方式可以组合使用
系统管理
支持WEBUI管理、命令行配置
支持本地配置、远程配置
支持基于SSH、SSL的安全配置
支持配置命令分级保护
支持CLI中英文命令行
CLI命令行支持命令超时、历史命令、命令补齐、错误提示、中英文命令帮助等功能
支持SNMP的v1、v2、v2c、v3版本
与当前通用的网络管理平台兼容,如HPOpenview等
支持远程维护和系统升级、支持TFTP、FTP、WEBUI方式升级设备
提供强大的报文调试功能,可帮助管理员发现、调试和解决问题
可以进行配置文件和认证数据库的备份、下载、删除、恢复和上载
支持网络时钟协议NTP,可自动根据NTP服务器时钟调整本机时间
一.3华盾VPN280SSL产品介绍
1U机架式;
标配4个百兆电口,2个扩展插槽,最大支持8个电口;
SSL并发用户:
标配50个,最大可扩展至2000个;
最大IPSEC并发隧道数:
500条;
明文转发速率:
单口100Mbps;
最大并发连接数:
100万;
VPN加密速度:
80Mbps
一.4华盾SSLVPN网关产品特点
一.4.1多种VPN技术有机融合
目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围。
在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。
华盾SSLVPN网关是东方华盾在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。
在华盾安全操作系统平台强大的整合能力保障下,各种VPN模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台。
一.4.2安全接入与安全防护无缝结合
VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的。
华盾SSLVPN网关构建在华盾安全操作系统平台基础上,集成了业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护。
华盾SSLVPN网关支持完善的基于内容检测的网络访问控制。
内容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(StatusInspection)到后来的深度包检测(DeepPacketInspection),现在已经发展到了最新的完全内容检测(CCI,CompleteContentInspection)。
状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
华盾SSLVPN网关在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;
在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP、UDP端口进行过滤,并进行完整的协议状态分析;
在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;
从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
华盾SSLVPN网关提供了强大的网络应用控制功能。
用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
华盾SSLVPN网关还拥有强大的地址转换能力。
同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。
支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。
华盾SSLVPN网关集成了高级的IntelligentGuard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括SynFlood、Smurf、Targa3、SynAttack、ICMPflood、Pingofdeath、PingSweep、Landattack、Teardropattack、IPaddresssweepoption、FilterIPsourcerouteoption、Synfragments、NoflagsinTCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IPsecurityoptions、IPsourceroute、IPrecordroute、IPbadoptions、IP碎片、端口扫描等几十种攻击。
一.4.3多种SSLVPN技术结合实现应用系统全覆盖
目前SSLVPN接入技术大致分为三类:
WEB转发(WEBFORWARD),端口转发(PORTFORWARD或者称为APPPROXY)和全网接入(NETWORKACCESS或者称为IPTUNNEL)。
这三种技术的技术特点和适用范围各不相同,在华盾SSLVPN网关中对这三种SSLVPN接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。
WEB转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。
但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强。
华盾SSLVPN网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。
同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性。
端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。
这种模式的适应性比WEB转发要好,但其要求在客户端安装一个ActiveX控件。
华盾SSLVPN网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。
全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ActiveX的控件。
华盾SSLVPN网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLITTUNNEL即可以同时访问VPN和因特网)或完全隧道(FULLTUNNEL即只能访问VPN不能访问因特网)的方式接入VPN网络,大大提高了网络的整体安全性。
一.4.4完善的身份认证技术确保内部资源安全
VPN的接入用户都具有远程访问部分企业内部资源的权限,而这些移动用户的接入地点是非常分散的,如果在接入时没有对用户身份进行严格的认证和授权,将会给企业内网带来很严重的安全因患。
华盾SSLVPN网关为通过SSL隧道接入的用户提供了完整的身份认证手段。
如果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方式,从而达到简单易用的效果;
为了防止线路窃听和重播攻击,管理员可以采用“用户名+口令+图形认证码”的方式对移动用户进行身份认证;
对于需要强身份认证机制的用户,管理员可以采用“数字证书”的认证方式,通过强度非常高的密码运算来保证用户的用户的身份标识不会受到“字典攻击”等暴力攻击的威胁;
当然,还可以通过“数字证书+UKEY+口令”的双因子认证方式来确保移动用户的证书不会被盗用,来进一步加强认证的安全性。
华盾SSLVPN网关除能够在本地对用户进行身份认证,还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。
这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又可以充分利用用户已有的资源,避免管理员大量重复的体力劳动。
为了便于管理员的管理配置,同时也方便企业的合作伙伴能够及时方便地与其进行信息共享,有时需要建立一个级别较低共用帐户,满足众多移动用户的快速接入。
华盾SSLVPN网关支持配置多个不同权限的公共帐户,并且能够实时监控每个采用公共帐户登录的用户的行为,对于存在异常访问行为的用户可以强制其下线,而不会影响其他使用该帐户的合法用户的正常访问。
一.4.5多级用户授权机制提供灵活的用户授权组合
授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制,是保护内网资源安全的主要技术手段。
管理员对用户授权的需求往往是复杂多样的,最简单直接的需求是能够根据用户的身份划分多个组,每个组享有不同的资源访问权限;
有时某个用户可能具有多重身份,分属于多个用户组,享有多个组的访问权限;
有时在同一个用户组下面,可能某一个或某几个用户在具备用户组访问权限的同时,还有部分特权能够访问更高安全级别的资源,等等。
华盾SSLVPN网关采用多级授权机制和用户授权继承的策略,完全满足上述的各种用户授权需求。
在用户授权的粒度上,华盾SSLVPN网关支持基于URL/目录/文件等访问内容的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分满足管理员的各种用户授权需求。
一.4.6完善的PKI体系提高用户网络的安全等级
随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。
华盾SSLVPN网关全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证,同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。
具体PKI功能包括:
●
支持标准X509.V3格式数字证书;
支持DER、PEM、PKCS12等多种证书编码格式;
支持通过内置CA模块为用户签发标准数字证书;
支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证;
支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证;
支持CRL列表文件的导入和通过HTTP自动下载;
东方华盾与国内主要CA厂商有着长期的合作,华盾SSLVPN网关与这些厂商的CA系统均能够无缝集成。
一.4.7卓越的网络及应用环境适应能力
华盾VPN网关经过多年的技术积累和庞大的用户群为其产品提供了卓越的网络及应用环境适应能力。
其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、H.323、MMS等等,适用网络的范围非常广泛,充分保证了用户的网络的可用性。
同时,针对国内用户动态IP地址较多的现状,华盾VPN网关整合了东方华盾独立维护的EZVPN动态域名系统,为华盾VPN用户提供专用的动态地址域名解析服务,从而很好地解决了动态地址的VPN接入问题。
一.5本解决方案的主要特点
✓设计全面:
全面的安全防护解决方案,帮助用户打造高效率和高安全性的网络平台;
✓功能强大:
同时提供防火墙、VPN、入侵防御、内容过滤、流量管理及安全审计等功能,从而构建主动防御、多层次防御的企业安全保障体系,从容应对各种外来威胁;
✓整体协防:
各防御模块之间相互协同工作,全面提升系统的整体安全水平,缔造更可信的网络;
✓健壮性:
SSLVPN设备基于专用安全操作系统,具有良好的自身安全性;
✓透明性:
现有业务系统和网络结构无须做任何调整或只需做少量改动;
✓适应性:
能很好适应系统网络结构的调整和发展;
✓互通性:
SSLVPN内置的Ipsec功能可与采用国际标准Ipsec的设备之间互通互联;
✓高性能:
开启各项安全功能后,华盾SSLVPN网关的处理性能和数据转发速率仍能够保持高水准,完全能够满足互联网出口的接入速率,不会成为传输瓶颈;
✓便于实施:
安装、维护简单快速,可随时进行而不影响正常业务;
✓低成本:
一机多能,大大降低了安全产品的采购、部署和运营成本,使用户获得最大的投资回报;
✓扩展性:
华盾SSLVPN网关产品采用模块化设计,具有极强的扩展性,可以随着用户网络的扩展平滑升级。
升级会员 