XXX企業(yè)

VPN系統(tǒng)處理方案

提議書

北京天融信企業(yè)

2021年4月

目錄

第一章XXX企業(yè)網(wǎng)絡現(xiàn)實狀況及需求分析..........

1.1網(wǎng)絡現(xiàn)實狀況............................................

1.2需求分析....................................................

第二章VPN技術及天融信VONE產(chǎn)品....................

2.1VPN產(chǎn)品概述................................................

2.1.1安全接入應用趨勢....................................

2.1.2安全接入技術趨勢...................................

2.1.3天融信VONE產(chǎn)品介紹................................

2.2天融信VONE網(wǎng)關產(chǎn)品特點...................................

2.3大融信VONE產(chǎn)品關遴功效...................................

2.4天融信VONE產(chǎn)品規(guī)格........................................

第三章XXX企業(yè)SSLVPN接入處理方案................

3.1VPN處理方案...............................................

3.2本處理方案關犍特點........................................

第一章XXX企業(yè)網(wǎng)絡現(xiàn)實狀況及需求分析

1.1網(wǎng)絡現(xiàn)實狀況

xxx企業(yè)企業(yè)業(yè)務網(wǎng)絡系統(tǒng)由企業(yè)總部和遠程挪移用戶組成。其中總部局域網(wǎng)絡是整

個網(wǎng)絡系統(tǒng)關鍵，為企業(yè)各類服務器所在地，同時也是網(wǎng)絡管理中心.各挪移用戶現(xiàn)在期望

經(jīng)過Internet和總部進行安全通信，具體需求以下：

企業(yè)現(xiàn)在有一個內部業(yè)務應用系統(tǒng)（基于B/S或者C/S架構），因為業(yè)務擴展，有不少

業(yè)務人員在外辦公，現(xiàn)在大約有1000名挪移用戶，為了能合理利用網(wǎng)絡及內部資源，需

提供一個簡單可行遠程接入方案，把挪移用戶接入到內網(wǎng)，同時對這些用戶能有效進行管

理。

1.2需求分析

依據(jù)XXX企業(yè)現(xiàn)有網(wǎng)絡情況和業(yè)務情況，現(xiàn)在需求分析以下：

?內網(wǎng)業(yè)務系統(tǒng)基于B/S結構，業(yè)務模式簡單；

?挪移辦公人員眾多，使用水平參差不齊；

?對挪移辦公人員身份要求進行嚴格認證和監(jiān)控；

?數(shù)據(jù)在Internet上傳輸時應確保足夠安全；

,該系統(tǒng)擴展性好，為以后擴充更多用戶做好準備；

?有良好日志系統(tǒng)；

?整個接入系統(tǒng)安裝方便、快捷，便于維護和管理。

基于以上分析，這是一個經(jīng)典VPN接入需求。天融信企業(yè)能提供基于IPSec和SSL

兩種VPN處理方案，在本案中，用戶業(yè)務模式簡單（僅基于B/S模式），用戶數(shù)量眾多，在

此推薦采取SSL處理方案。以下我們將具體敘述天融信SSLVPN處理方案。

第二章VPN技術及天融信VONE產(chǎn)品

2.1VPN產(chǎn)品概述

2.1.1安全接入應用趨勢

伴有電子政務和電子商務信息化建設快速推進和發(fā)展，越來越多政府、企事業(yè)部門已經(jīng)

或者即將構建網(wǎng)上辦公系統(tǒng)和業(yè)務應用系統(tǒng)，使內部辦公人員經(jīng)過網(wǎng)絡能夠快速地獲取信

息、，使挪移辦公等多個遠程辦公模式得以逐步實現(xiàn)，同時使合作火伴人員也能夠訪問到對

應信息資源。可是要享受經(jīng)過互聯(lián)網(wǎng)訪問企業(yè)內部信息資源便利，就面臨著非法訪問、信

息竊取等越來越多來自外部和內部安全威脅。而我們現(xiàn)在所使用操作系統(tǒng)、網(wǎng)絡協(xié)議和應

用系統(tǒng)不可避免地存在著不少安全漏洞。所以，在構建和應用這些應用系統(tǒng)時，必需要保

障關鍵應用在開放網(wǎng)絡環(huán)境中安全，同時還需盡可能降低實施和維護成本。

2.1.2安全接入技術趨勢

現(xiàn)在安全接入組網(wǎng)技術有多個，每種技術全部有其合用范圍和優(yōu)點，同時也有一定缺點。

主流VPN技術關鍵有以下三種：

1.L2TP/PPTPVPN

L2TP/PPTPVPN屬于二層VPN技術。在windows主流操作系統(tǒng)中全部集成L2TP/PPTP

VPN撥號用戶端軟件：無非因為協(xié)議本身缺點，沒有高強度加密和認證手段，安全性較低：

同時這種技術僅處理了挪移用戶VPN訪問需求，對于LAN-TO-LANVPN應用無法處理；

2.IPSecVPN

IPSecVPN屬于三層VPN技術，協(xié)議定義了完整安全機制，對用戶數(shù)據(jù)完整性和私密

性全部有完善保護方法；司時工作在網(wǎng)絡協(xié)議三層，對應用程序是透明，能夠無縫支持多種

應用；既能夠支持挪移用戶VPN應用，也能支持LAN-TO-LANVPN組網(wǎng)；支持多個網(wǎng)絡拓

撲結構。其缺點是網(wǎng)絡協(xié)議比較復雜，正確配置VPN隧道需要較多專業(yè)知識：而且需要在移

動用戶機器上安裝單獨用戶端軟件。

3.SSLVPN

SSLVPN屬于應用層VPN技術，協(xié)議定義了完整安全機制，對用戶數(shù)據(jù)完整性和私密性

全部有完善保護；因為在windows等操作系統(tǒng)中IE瀏覽器已經(jīng)支持了完整SSL協(xié)議，所以原

理上將對于B/S應用是無需安裝用戶端軟件，布署使用較為簡單。關鍵合用和挪移用戶接入

并訪問B/S結構應用系統(tǒng)，對于C/S應用支持仍然需要安裝用戶端插件。

多種VPN技術全部有其優(yōu)點和缺點，用戶實際應用中，往往需要將這多個技術進行綜合

應用，才干滿足較為復雜用戶需求。天融信將這多個VPN技術有機進行了整合，實現(xiàn)了在一

臺設備中同時支持上述多個主流VPN組網(wǎng)技術，同時集成為了業(yè)內成熟率先防火墻和身份認

證系統(tǒng)，形成為了一個完整安全接入處理方案。

2.1.3天融信VONE產(chǎn)品介紹

網(wǎng)絡衛(wèi)士VONE系列(IPSEC/SSLVPN多合一網(wǎng)關)是集天融信十幾年研發(fā)經(jīng)驗，向用

戶提供完整VPN接入處埋方案，是天融信推出最新一代網(wǎng)絡安全接入產(chǎn)品。該產(chǎn)品以天融信

自主知以產(chǎn)權TOS(TopsecOperatingSystem)為系統(tǒng)平臺，采取開放性系統(tǒng)架構及模塊化

設計，融合了身份認證、訪問控制等安全手段，含有安全、高效、易于管理和擴展等特點。

網(wǎng)絡衛(wèi)士VONE網(wǎng)關可為分支機構、挪移辦公職員、業(yè)務合作火伴及用戶提供各自所需

應用和資源安全便捷接入服務。產(chǎn)品L2TP/PPTP/SSL功效無需安裝任何用戶端軟件，也無需

投入太多人力進行配置或者長久維護；產(chǎn)品完善IPSECVPN功效能夠方便構筑和分支機構之

間LAN-TO-LAN互聯(lián)VPN網(wǎng)絡。

SSLVPN在外部網(wǎng)絡和內部網(wǎng)絡之間，利用安全套接層(SSL)來提供安全傳輸功效，而

SSL在全部標準Web瀏覽器中全部含有。SSLVPN構建在經(jīng)過強化軟硬件平臺上，實現(xiàn)用戶

和資源綁定。

天融信VONE網(wǎng)關可提供Web轉發(fā)、應用Web化、端口轉發(fā)和全網(wǎng)接入等多個接入方法，

以適應不一樣用戶需求，同時還含有強大訪問控制權限管理、細粒度審計和日志統(tǒng)計等功效。

網(wǎng)絡衛(wèi)士VONE網(wǎng)關包含完整業(yè)界率先專業(yè)防火墻功效，還含有內容過濾、入侵謹防、

帶寬管理等功效，能為用戶提供全方面網(wǎng)絡邊界安全防手處理方案。

2.2天融信VONE網(wǎng)關產(chǎn)品特點

1)自主安全操作系統(tǒng)平臺

采取自主知識產(chǎn)權安全操作系統(tǒng)一TOS(TopsecOperatingSystem),TOS擁有

優(yōu)異模塊化設計架構，有效保障了防火墻、VPN.自容過濾、抗攻擊、流量整形等模塊

優(yōu)異性能，其良好擴展性為未來快速擴展更多特征提供了無限可能。TOS含有高安全性、

高可靠性、高實時性、高擴展性及多體系結構平臺適應性特點。

2)多個VPN技術有機融合

前面已經(jīng)分析了現(xiàn)在主流多種VPN技術優(yōu)缺點，這些技術有其不一樣合用范圍。在

實際用戶網(wǎng)絡中，不一樣用戶需求往往需要多個VPN技術綜合應用，在這種情況下往往

需要用戶購置多臺不一樣VPN設備來滿足需求，這既浪費資源又帶來用戶管理維護工作

量，同時網(wǎng)絡環(huán)境變得愈加復雜，網(wǎng)絡運行穩(wěn)定性和安全性全部見面臨新挑戰(zhàn)。

網(wǎng)絡衛(wèi)士VONE網(wǎng)關是天融信企業(yè)在多年多種獨立VPN產(chǎn)品研發(fā)和銷售基礎上，推

出一款融合lPSEC/SSL/m?/L2TP等多個VPN技術綜合安全網(wǎng)關產(chǎn)品。在TOS平臺強大

整合能力保障下，多種VPN模塊進行了有機整合，為用戶提供一個統(tǒng)一完整VPN接入平

臺。

3)安全接入和安全防護無縫結合

VPN網(wǎng)關作為網(wǎng)絡邊界設備，除了完成遠端網(wǎng)絡或者挪移用戶遠程接入功效外，對

用戶網(wǎng)絡邊界安全也是至關關鍵。網(wǎng)絡衛(wèi)士VONE網(wǎng)關是構建在天融信強大TOS系統(tǒng)

平臺基礎上，集成為了天融信業(yè)內率先防火墻功效模塊，能夠為用戶VPN網(wǎng)絡提供高

等級邊界安全防護和訪問控制。

天融信VPN網(wǎng)關含有強大內容過濾功效，支持LTL分類過濾，分類庫大于700萬條；

支持掛馬網(wǎng)站過濾；支持郵件過濾和反垃圾郵件功效。還具完善應用識別功效，用戶能

夠輕松針對部份經(jīng)典網(wǎng)絡應用，如MSN,QQ.Skypo,新浪UC,阿里旺旺.谷歌Talk

等即時通信應用,和BT、Edon通y、Emule、訊雷等p2p應用實施靈便訪問控制策略,如

嚴禁、限時、帶寬控制等。

網(wǎng)絡衛(wèi)士V0NE網(wǎng)關支持完善基于徹底內容檢測訪問控制技術。防火墻檢測技術發(fā)

展至今，大致經(jīng)歷了三個階段，從早期狀態(tài)檢測(StatusInspection)到以后深度包

檢測(DeepPacketInspection),現(xiàn)在已經(jīng)發(fā)展到了最新徹底內容檢測(CCLComplete

ContentInspection）o狀態(tài)檢測只檢驗數(shù)據(jù)包包頭，深度包檢測可對數(shù)據(jù)包內容進行

檢驗，而CCI則可實時將網(wǎng)絡層數(shù)據(jù)還原為完整應用層對象（如文件、網(wǎng)頁、郵件等），

并對這些完整內容進行全方面檢驗，實現(xiàn)根本內容防護。

網(wǎng)絡衛(wèi)士VONE網(wǎng)關在MAC層提供基于MAC地址過濾控制能力，同時支持對多種二

層協(xié)議過濾功效；在網(wǎng)絡層和傳輸層提供基于狀態(tài)檢測分組過濾，能夠依據(jù)網(wǎng)絡地址、

網(wǎng)絡協(xié)議和TCP、UDP端口進行過濾，并進行完整協(xié)議狀態(tài)分析；在應用層經(jīng)過深度內

容檢測機制，能夠對高層應用協(xié)議命令、訪問路徑、內容、訪問文件資源、關鍵字、移

動代碼等實現(xiàn)內容安全控制；從而形成為了立體、全方面訪問控制機制，實現(xiàn)了全方位

安全控制。

4）多個SSLVPN技術結合實現(xiàn)應用全覆蓋

現(xiàn)在SSLVEN接入技術大致分為三類:WEB轉發(fā)（WEBHJKWAKD）,端口轉發(fā)（PUKT

FORWARD）和全網(wǎng)接入（NETWORKACCESS或者稱為TPTUNNEL）o這三種技術技術特點

和合用范圍各不相同，在網(wǎng)絡衛(wèi)士VONE網(wǎng)關中對這三種SSLVPN接入技術全部做了很

好支持，用戶能夠依據(jù)本身應用系統(tǒng)特點選擇使用一個或者多個接入方法。

WEB轉發(fā)模式能夠實現(xiàn)用戶徹底無用戶端接入，支持多種操作系統(tǒng)和用戶瀏覽器平

臺。但其缺點是僅支持B/S模式應用系統(tǒng)，而且對用戶應用系統(tǒng)依靠性較強.網(wǎng)絡衛(wèi)士

VONE網(wǎng)關經(jīng)過在WEB轉發(fā)模式中應用獨創(chuàng)智能URL重定向技術和自動分布式頁面重構技

術大大提升了對用戶B/S系統(tǒng)支持率和處理性能。同時經(jīng)過開放頁面替換規(guī)則框架，支

持為用戶個性化業(yè)務系統(tǒng)自定義特殊URL替換規(guī)則，深入提升了系統(tǒng)適應性。

端口轉發(fā)模式經(jīng)過用戶端當?shù)卮砑夹g實現(xiàn)對用戶訪問請求SSL協(xié)議封裝和轉發(fā)。

這種模式適應性比WEB轉發(fā)要好，但其要求在用戶端安裝一個ACTIVEX控件。網(wǎng)絡衛(wèi)士

VONE網(wǎng)關實現(xiàn)了用戶瑞透明代理，用戶不需要修改當?shù)厝魏闻渲眉茨芡瓿纱砜丶惭b

和使用，大大簡化了用戶操作步驟。

全網(wǎng)接入模式經(jīng)過SSL隧道轉發(fā)用戶端全部IP請求報文，其適應性最好，能夠支

持基于IP協(xié)議全部B/S和C/S業(yè)務系統(tǒng)，其一樣要求在用戶端系統(tǒng)上安裝一個ACTIVEX

控件。網(wǎng)絡衛(wèi)士VONE網(wǎng)關經(jīng)過全網(wǎng)接入模式能夠實現(xiàn)挪移用戶虛擬IP地址分配，實現(xiàn)

多種訪問控制策略下發(fā)，支持挪移用戶以分離隧道（SPLITTUNNEL即能夠同時訪巨VPN

和因特網(wǎng)）或者徹底隧道（FULLTUNNEL即只能訪問VPN不能訪問因特網(wǎng)）方法接入

VPN網(wǎng)絡，大大提升了遠程接入安全性和靈便性。

5）支持虛擬桌面/虛擬應用

天融信企業(yè)TopConnect用戶端產(chǎn)品，即支持虛擬桌面模式，也支持虛擬應用模式。

經(jīng)過這兩種不一樣使用模式，企業(yè)用戶能夠限制不一樣用戶使用不一樣模式，即確保用

戶敏感數(shù)據(jù)安全，又能降低網(wǎng)絡管理維護量，降低企業(yè)內部應用維護人力物力成本。

針對業(yè)務應用豐富，使用環(huán)境單一用戶，或者需要對智能挪移終端進行管理和維護

人員，可使用虛擬桌面模式。在這種模式下，服務器直接將服務器端個性化桌面展現(xiàn)

給用戶。和傳統(tǒng)PC機相比較，除顯示器幕面積外，其它使用和操作沒有任何差異。

而對于業(yè)務應用單一，使用環(huán)境復雜，或者不能開辟較多權限用戶，可使用虛擬應

用模式。在這種模式卜，服務器只將特定應用界面推送給用戶。除授權使用應用外，

用戶無法使用其它任何應用，更無法對服務器進行修改和配置。

6）完善身份認證技術

網(wǎng)絡衛(wèi)士V0NE網(wǎng)關為經(jīng)過SSL隧道接入用戶提供了完整身份認證手段。假如挪移

用戶接入環(huán)境比較簡單、可信，管理員能夠配置簡單”用戶名+口令”認證方法，從而

達成簡單易用效果；為了預防路線竊聽和重播攻擊，管理員能夠采取“用戶名+口令+

圖形認證碼”方法對挪移用戶進行身份認證；對于需要強身份認證機制用戶，管理員能

夠采取“數(shù)字證書”認證方法，經(jīng)過高強度密碼運算來確保用戶身份標識不會受到“字

典攻擊”等暴力攻擊威脅；還能夠經(jīng)過“數(shù)字證書（USBKEY）+口令”雙因子認證方法

來確保挪移用戶證書不會被盜用，深入加強認證安全性。

網(wǎng)絡衛(wèi)士VONE網(wǎng)關還支持短信認證，圖形碼校驗，硬件特征碼校驗v支持基于web

協(xié)議認證方法，能夠和業(yè)務資源帳號系統(tǒng)使用一套，避免了在V0NE上再次建立帳號，

能夠統(tǒng)一管理帳號，增強了易用性。支持指紋認證，能夠基于指紋信息進行認證。V0NE

網(wǎng)關還支持多個認證方法任意組合，為用戶提供最強安全接入機制。

網(wǎng)絡衛(wèi)士V0NE網(wǎng)關還支持經(jīng)過RADIUS/TARCAS/LDAP等標準協(xié)議和外部專用用戶身

份認證管理系統(tǒng)進行互動，從而能夠實現(xiàn)動態(tài)口令認證、域認證等高級認證方法。這既

能夠和用戶其它應用系統(tǒng)和安全產(chǎn)品共用用戶認證數(shù)據(jù)庫，實現(xiàn)用戶集中管理和認證，

乂能夠充足利用用戶已經(jīng)有資源。

7）多級用戶授權機制和授權組合

授權是對挪移用戶經(jīng)過身份認證接入網(wǎng)關后，許可訪問內網(wǎng)資源權限進行控制，是

保護內網(wǎng)資源安全關鍵技術手段。網(wǎng)絡衛(wèi)士VONE網(wǎng)關采取多級授權機制和用戶授權繼

承策略，滿足多種用戶授權需求。支持整體授權、條件授權、屬性授權。支持基于證書

屬性字段授權，支持基于外部屬性（LDAP或者Radius卜.發(fā)屬性值）授權，也支持多條

授權策略組合。

在用戶授權粒度上，網(wǎng)絡衛(wèi)士VONE網(wǎng)關支持基于URL/目錄/文件等訪問內容控制策

略，支持用戶行為動作訪問控制策略，支持基于訪問時間控制策略，能夠充足滿足管理

員多種用戶授權需求。

8）完善PKI體系提升用戶網(wǎng)絡安全等級

伴有VPN技術在政府、金融等高安全性要求領域應用不停深入，用戶對VPN網(wǎng)絡認

證功效和其原有PKI體系進行無縫結合需求也越來越強烈。網(wǎng)絡衛(wèi)士多合一VPN產(chǎn)品全

方面支持標準PKI體系結構，既能夠經(jīng)過內置CA模塊獨立為挪移用戶簽發(fā)數(shù)字證書，

又能夠經(jīng)過導入CA根證書+CRL列表方法對第三方CA簽發(fā)證書進行認證，同時還能夠

經(jīng)過OCSP/LDAP等標準協(xié)議向第三方CA提交在線證書認證請求。具體PKI功效包含：

?支持標準X509.V3格式數(shù)字證書：

>支持DER、PEM、PKCS12等多個證書編碼格式；

?支持經(jīng)過內置CA模塊為用戶簽發(fā)標準數(shù)字證書：

a支持同時導入多個CA根證書和CRL列表,對不一樣CA簽發(fā)證書進行認證：

a支持經(jīng)過OCSP/LDAP等標準協(xié)議向第三方CA進行在線證書認證；

A支持生成PKCS10格式證書請求，可生成證書請求，由笫三方CA署名；

>支持CRL列表文件導入和經(jīng)過HTTP自動下載。

天融信和吉大正元、上海格爾、天威誠信、江南計算所等中國關鍵CA廠商有著長

久合作，網(wǎng)絡衛(wèi)士VONE網(wǎng)關和這些廠商CA系統(tǒng)均能夠無縫集成。

9）卓越網(wǎng)絡及應用環(huán)境適應能力

網(wǎng)絡衛(wèi)士VONE網(wǎng)關構建于強大TOS系統(tǒng)平臺之上，天融信在網(wǎng)絡和信息安全領域

多年技術積累和龐大用戶群為其提供了卓越網(wǎng)絡及應用環(huán)境適應能力。其支持眾多網(wǎng)絡

通信協(xié)議和應用協(xié)議，如VLAN、ADSL、PPP、ISL、802.IQ、SpanningTree、H.323、MMS、

RTSP、ORACLESQL*NET.MSRPC等等，合用網(wǎng)絡范圍很廣泛,充足確保了用戶網(wǎng)絡可用

性。

同時，針對中國用戶動態(tài)IP地址較多現(xiàn)實狀況，網(wǎng)絡衛(wèi)士VPN網(wǎng)關整合了天融信

企業(yè)獨立維護EZVPN動態(tài)域名系統(tǒng)，為天融信VPN用戶提供專用動態(tài)地址域名解析服務，

從而很好地處理了動態(tài)地址VPN接入問題。

10）分級可信接入體系

天融信VPN網(wǎng)關還可對可信接入安全性檢驗結果進行分級，不一樣等級能夠授予不

一樣權限，對不滿足安全要求主機或者終端，能夠依據(jù)其缺點程度分別實施隔離、修復

和限制訪問。對于要求訪問敏感信息服務器用戶，假如沒有達成較高安全等級，可只

授予和其安全等級匹配普通權限。這么既能夠預防不安全用戶主機感染內部關鍵服務

器，乂能夠保留其瀏覽企業(yè)普通Mb服務器權限，實現(xiàn)桌面安全等級和訪問資源安全

等級相匹配和訪問權限分級。

11）支持虛擬門戶功效

SSLVPN提供了虛擬門戶功效，從而使得企業(yè)及部門全部可擁有自己獨立遠程接入

門戶。每一個虛擬門戶全部能夠定制不一樣登錄界面、定制是否使用控件、定制使用哪

些功效模塊、定制不一樣認證方法、定制不一樣公告信息等。

12）分級管理和三權分立

天融信VPN網(wǎng)關支持將管理員進行分級分組，一級管理員能夠創(chuàng)建若干二級管理員，

并給其進行授權，分配二級管理員能夠管理用戶組，能夠使用資源組，能夠使用角色，

是否能夠創(chuàng)建卜.級管理員等。二級管理員在其權限許可范圍內行使其權限，如添加、修

改、刪除用戶，在權限范圍內給用戶授權，創(chuàng)建三級管理員，給三級管理員授權等。天

融信VPN網(wǎng)關最多能夠支持16級管理員分級管理，便;大型組織用戶將管理權限下放，

并能夠依據(jù)需要授予不一樣管理員不一樣權限。支持管理員三權分立，可分別授予不一

樣類型管理員不?樣權限。

13）支持多個單點登錄方法

支持多個單點登錄方法，支持HTTP401方法、密碼助手、WEB方法單點登錄，用戶

只需要進行一次認證即可訪問全部授權業(yè)務資源，大大提升了系統(tǒng)易用性。

14）和企業(yè)門戶無縫融合

不少大型企業(yè)已經(jīng)擁有了自己企業(yè)門戶，我們SSLVPN能夠和用戶企業(yè)門戶無縫融

合，只需要簡單替換一下企業(yè)門戶中登錄URL即可妾現(xiàn)。不少企業(yè)已經(jīng)布署了單點登錄

服務器，我們SSLVPN也能夠很好融合。用戶經(jīng)過企業(yè)門戶登錄SSLVPN后，SSLVPN能

夠自動跳轉Portal頁面到企業(yè)單點登錄服務器頁面，顯示該用戶資源列表，同時在右

下角顯示一個SSLVPN小圖標。

15）適應多個終端和系統(tǒng)平臺

現(xiàn)在挪移互聯(lián)已成為新應用趨勢，天融信VONE針對挪移終端提供了多個安全接入

技術，能方便實現(xiàn)經(jīng)過智能終端挪移辦公。支持虛擬桌面和虛擬應用虛擬化接入技術，

含有終端和后臺業(yè)務數(shù)據(jù)分離和應用無關性技術特點，能很好處理挪移終端接入所面臨

數(shù)據(jù)安全性和應用適應性問題。

天融信TopConncct用戶端是專門為智能挪移終端提供安全接入SSL用戶端產(chǎn)品，

不僅支持傳統(tǒng)Windowg/Linux操作系統(tǒng)，還支持iOS.Android等挪移操作系統(tǒng)，未來

還將支持WP8o豐富操作系統(tǒng)平臺支持，意味著用戶能夠自由選擇終端產(chǎn)品，無需受限

于某個特定應用范圍。

對于iOS、Andriod智能終端支持SSL虛擬桌面接入，其中iOS還支持IPSEC“零

安裝”接入；對于Android.WindowsMobile系統(tǒng)智能終端，還支持使用全網(wǎng)接入模式

接入；對于PC系統(tǒng)，支持Windows、XP、、、Vista、Win7、Linux系統(tǒng)接入。

16)智能遞推

天融信VONE產(chǎn)品支持智能遞推功效，只需要配置一個門戶url,采取智能遞推技術，

即可自動將該門戶url包含子連接加入能夠訪問資源列表，降低了管理配置工作量。

17)智能壓縮

支持數(shù)據(jù)智能壓縮功效，能夠智能依據(jù)目前傳輸數(shù)據(jù)壓縮比決定是否啟用壓縮，大

大提升了傳輸效率和應用訪問速度。

18)VPN集群功效

支持集群功效，能夠使用多臺VONE網(wǎng)關組成一個集群系統(tǒng)，大大提升了VPN網(wǎng)關

整體性能和可靠性，能夠滿足大并發(fā)用戶數(shù)需求。

天融信VPN采取基于TOS系統(tǒng)智能集群技術。它基礎工作模式是多臺VPN網(wǎng)關并行

工作，全部處于正常數(shù)據(jù)轉發(fā)狀態(tài)，對外提供統(tǒng)一接入IP,多臺VPN網(wǎng)關之間相互備份，

一旦某臺設備故障時，其它設備能夠即將接替其工作，確保用戶業(yè)務數(shù)據(jù)不間斷。天融

信VPN支持最多256臺設備集群和多個集群負載均衡策略；支持經(jīng)過心跳口進行狀態(tài)和

Session同時，網(wǎng)關切換時無需用戶二次認證。

19)符合國密局《SSLVPN技術規(guī)范》和《IPSECVPN技術規(guī)范》

天融信SSLVPN是嚴格根據(jù)國家密碼管理局制訂《SSLVPN技術規(guī)范》和《IPSECVPN

技術規(guī)范》進行開辟，并經(jīng)過了國家密碼管理局商用密碼檢測中心檢測，支持國家密碼

管理局要求SMI(SCB2)>SM2、SM3商用密碼算法。

2.3天融信VONE產(chǎn)品關鍵功效

類別功效具體描述

網(wǎng)絡工作模式支持透明、路由、混合模式

類別功效具體描述

適應性今支持靜態(tài)路由、動態(tài)路由

今支持基于源/目標地址、接口、Metric策略路由

今支持單臂路由，可經(jīng)過單臂模式接入網(wǎng)絡，并提供路由轉發(fā)功效

路由今支持Vian路由，能夠在不一樣VLAN虛接口間實現(xiàn)路由功效

今支持RIP、OSPF等路由協(xié)議

今支持多路線源路返回智能選路

今支持多路線捆綁和負載均衡

今支持IGMP組播協(xié)議

組播今支持IGMPSNOOPING

今可有效地實現(xiàn)視頻會議等多媒體應用

今支持VianTrunk

今支持802.1Q,能進行封裝和解封

VLAN今支持ISL,能進行ISL封裝和解封

今在同一個Vian內能進行二層交換

今支持QinQ技術(vlan-vpn),對報文進行二次基于802.1Q封裝

生成樹今支持802.1D生成樹協(xié)議

今支持ARP代理、ARP學習

ARP

今可設置靜態(tài)ARP

DHCP今支持DHCPClient.DHCPRelay.DHCPServer

接入今支持以太網(wǎng)、光纖、ADSL、CHCP等多個接入方法

今支持網(wǎng)絡時鐘協(xié)議SNTP,可自動依據(jù)NTP服務器時鐘調整本機時間

其它

今支持IPX、NetBEUI等非IP協(xié)議

證書格式今支持X.509V3數(shù)字證出

今支持DER/PEM/PKCS12等多個證書編碼

今支持內置CA,為其它設備或者挪移用戶簽發(fā)證書

今可生成、吊銷、刪除證書

今支持當?shù)谻A根證書、根私鑰更新

當?shù)谻A

PKI今支持證書廢棄，支持生成標準ORL列表

今支持證書請求生成，由第三方CA進行著名

今支持證書鏈管理

今內置支持SM2算法CA

今支持同時導入多個第三方CA根證書和CRL列表，對不一樣CA證書用

第三方CA戶進行身份認證，支持經(jīng)過HTTP協(xié)議定時卜載CRL列表

今支持經(jīng)過OCSP/LDAP等協(xié)議在線認證證書

安全算法今支持AES、DES,3DES、RC4、MD5、SHA1、RSA等多個算法

SSLVPN今支持國家商密專用SM1(SCB2),SM2、SM3算法

協(xié)議類型今支持SSL2.0/3.0TLS1.0

類別功效具體描述

數(shù)據(jù)壓縮今支持高效流壓縮算法

今支持智能壓縮

和加速

今支持WebCache加速

今支持“用戶名+口令”、“用戶名+口令+圖形認證碼”認證

今支持X.509數(shù)字證書認證

今支持數(shù)字證書(USBKEY)+口令多因子認證

用戶認證今支持公共帳戶登陸，支持暫時嚴禁帳戶登錄

今支持當?shù)財?shù)據(jù)庫認證

今支持基于LDAP/RADIUS/TACAS等協(xié)議外部服務器認證

今支持短信認證、圖形碼校驗、便件特征碼校驗

今支持角色授權、支持獨立用戶授權

今支持基于URL、訪問路徑、訪問文件、訪問動作細粒度授權

用戶授權今支持基于時間訪問授權方法

今支持當?shù)厥跈?、支持外部組映射授權、支持證書用戶授權

今支持基于證書中字段屬性組合授權

今支持WEB轉發(fā)、端口轉發(fā)、全網(wǎng)接入模式

今支持HTML、JAP、ASP、JAVAAPPLET,ACTIVE.Cookies等多種Web

應用

今支持基于IP協(xié)議多種C/S應用，如EMAIL,FTP,ERP,CRM,DB等

應用支持今支持Windows/CIFS遠程文件共享

今支持FTPWEB化訪問

今支持資源自動打開

今支持資源連接隱藏

今支持資源和特定應用程序關聯(lián)

實時監(jiān)控今實時監(jiān)控在線用戶登錄時間、在線時間、訪問流量，認證方法等多個信息

今支持主動中止在線用戶隧道連接

今具體審計用戶登錄認證過程、多種認證授權錯誤、內網(wǎng)資源訪問情況等信

息

日志審計今支持多級審計日志，能夠靈便配置審計等級

今支持日志當?shù)乇Ａ?，支持將日志?傳到外部日志服務解

今支持天融信專用TA-LH志服務器，能夠對H忐內容進行深度分析和統(tǒng)計

今支持接入用戶端痕跡清除，能夠清晰cookie、緩存、歷史統(tǒng)計等多種訪問

痕跡

端點安全

今支持拔KEY隧道自動中止

今支持用戶超時自動退出，超時時間能夠設置

今支持虛擬門戶功效，每一個虛擬門戶全部能夠定制不一樣登錄界面、定制

虛擬門戶是否使用控件、定制使用哪些功效模塊、定制不一樣認證方法、定制不一樣

公告信息等

類別功效具體描述

和企業(yè)門

今能夠和企業(yè)門戶無縫融合，即用戶能夠經(jīng)過企業(yè)門戶登錄

戶無縫融SSLVPNSSL

而且能夠自動跳轉頁面到企業(yè)某個網(wǎng)站

合VPN,SSLVPNPortal

集群今支持集群功效

Portal頁面今在用戶登錄SSLVPN后不需要駐留Portal頁面，能夠隱藏，并在右下角

隱藏縮成一個小圖標，點擊小圖標還能恢復Portal頁面

今支持WindowsMobilePDA用戶端

今支持安卓系統(tǒng)智能終端

用戶端今支持Linux系統(tǒng)PC機

今支持Windows、XP、、、Vista、Win7系統(tǒng)PC

今支持獨立用戶端

今支持用戶設定代理服務器信息

今支持TCP協(xié)議

端口轉發(fā)

今支持UDP協(xié)議

今支持智能遞推

今支持HTTP401認證單點登錄

單點登陸今支持用戶修改單點登陸賬戶信息

今支持WEB方法單點登錄

今支持密碼助手方?法單點登錄

今支持接入主機信息檢驗，包含安裝軟件、進程、端口、服務、注冊表、操

作系統(tǒng)及補丁、文件、網(wǎng)卡等

可信接入可信接入

今支持可信接入分級授權

今支持檢臉策略：接入前檢驗、接入后檢驗、定時檢驗等

今支持中、英文界面

國際化語言支持今支持中、英文自動切換

今支持中、英文手動切換

今支持DDNS動態(tài)域名注冊

DDNSDDNS今支持使用域名進行隧道定義及商議

今支持使用域名向TP進行集中認證

協(xié)議今支持ESP/AH/IKE/NATT等標準IPSEC協(xié)議

今支持隧道模式、傳輸模式

今支持DE&3DES/AES等標準力口密算法，支持MD5SHA1等標準HASH算

法

IPSEC算法

VPN今支持DHGROUP1⑵5,RSA1024/2048非對稱算法

今支持國家商密專用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法

硬件加速今支持高速算法加速卡

數(shù)據(jù)壓縮今支持高效數(shù)據(jù)流壓縮算法

類別功效具體描述

隧道認證今支持預共享密鑰、數(shù)字證書認證，支持XAuth擴展認證

今支持使用標準X.509證書建立隧道

今支持網(wǎng)狀、樹型、星型等多個VPN網(wǎng)絡拓撲

今支持隧道NAT穿越、雙向NAT隧道建立

網(wǎng)絡今支持全動態(tài)IP地址間VPN組網(wǎng)

今支持隧道轉發(fā)

適應性

今支持GREoverlPsec方法

今支持組播穿越IPSec隧道

今支持多機多隧道負載均衡和備份

今支持第三方標準IPSec用戶端接入

今支持蘋果終端IPSECVPN用戶端接入

今支持為挪移用戶自動分配內部IP地址、DNSAMNS服務器地址

今支持為挪移用戶定義訪問權限

VPN今支持基于時間挪移用戶訪問控制策略

用戶端今支持兩網(wǎng)分離

今支持多路線自動檢測

今支持用戶在線修改口令

今支持挪移用戶接入狀態(tài)監(jiān)控和審計

今支持中/英文界面和中/英文自動切換

SSLVPN

技術標準今符合國密同制訂WSSLVPN技術規(guī)范》

IPSecVPN今符合國密局制訂《IPSECVPN技術規(guī)范》

L2TPL2TP今支持遠程用戶經(jīng)過12Tp接入，建立L2Tp隧道訪問內部網(wǎng)絡

PPTPPPTP今支持遠程用戶經(jīng)過PPTP接入，建立PPTP隧道訪問內部網(wǎng)絡

今徹底內容檢測(CompleteContentInspection)技術

今支持基于流、數(shù)據(jù)包、透明代理過濾方法

今支持對HTTP、SMTP、POP3.IMAP,FTP等協(xié)議深度內容過濾

今支持DNS過濾、DNS中繼

今支持web重.定向

今支持URL分類過濾，分類庫大于700萬

網(wǎng)絡

今支持掛馬網(wǎng)站過濾

?內容過濾

女全性

今支持對■挪移代碼如Javaapplet、Active-X,VBScript、Javascript過濾

今支持對郵件收發(fā)郵件地址、文件名、文件類型過濾

今支持對郵件專題、正文、收發(fā)件人、附件名、附件內容等關鍵字匹配過濾

今支持反垃圾郵件功效

今支持Telnet.Ftp、RSH命令過濾

今可屏蔽受保護主力U服務器系統(tǒng)信息，如替換服務器(FTP、SMTP、POP3、

Telnet.HTTP)BANNER信息

類別功效具體描述

今基于狀態(tài)檢測動態(tài)包過濾

今基于源/目標IP地址、MAC地址、端口和協(xié)議、時間、用戶、角色訪問

控制

今支持基于用戶PPTP訪問控制

今支持隧道內訪問控制

今支持IPSec用戶端和SSL全網(wǎng)模式和FW聯(lián)動

今支持報文正當性檢驗

訪問控制

今動態(tài)端口支持協(xié)議：H.323、SIP、FTP、RTSP,SCVNET、MMS,RPC、

TFTP、PPTP

今訪問控制策略分組管理

今支持大數(shù)量級策略匹配加速算法

今支持對?象每秒新建連接數(shù)限制

今基于域名對象訪問控制

今可實現(xiàn)IP/MAC綁定

今支持雙向NAT

今支持動態(tài)地址轉換和靜態(tài)地址轉換

NAT

今支持多對一、一對多和一對一等多個方法地址轉換

今支持虛擬限務器功效

今支持近百種應用程序庫過濾，包含P2P、IM、炒股、網(wǎng)游等

今支持MSN、QQ、Skype等InstantMessenger通信，并能夠對于這些應用

進行登陸限制和帳號過漉

今支持MSN在線用戶顯示

今可限制BT、eMule、eDonkey,迅雷等P2P應用

“應用識別今支持基于應用流量統(tǒng)計

今支持基于應用流量排名

今支持基于應用歷史流量趨勢圖

今支持基于主機應用流量統(tǒng)計

今支持流量異常檢測

今深度流量過濾(DFI),針對P2P行為識別控制

今支持HTTP,FTP,POP3,SMTP,IMAP協(xié)議病毒查殺

“防病毒今支持100萬余種病毒查殺，病毒庫定時和即將更新

今支持木馬病毒、蠕蟲病毒、宏病毒、腳本病毒查殺

類別功效具體描述

今非法報文攻擊：land、Smurf.Pingofdeath,winnuke、tcp_sscan、ip_option、

teardrop、targa3、ipspoof

今統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan,ipsv/eep

今支持地址對象源目標最大連接數(shù)限制

今Topsec聯(lián)動：可和支持TOPSEC協(xié)議IDS設備聯(lián)動，以提升入侵檢測效

率

.謹防攻擊今端口阻斷：能夠依據(jù)數(shù)據(jù)包起源和數(shù)據(jù)包特征進行阻斷設置

今SYN代理：對來自定義區(qū)域SynFlood攻擊行為進行阻斷過濾

今CC攻擊：可經(jīng)過設置端口和閥值阻斷CC攻擊

今可統(tǒng)計攻擊日志和報警

今支持手動設置和依據(jù)IDS規(guī)則自動生成黑名單

今支持手動設置和依據(jù)可信連接達成?定規(guī)模后升級為白名單用戶

今支持使用一次性口令認證（OTP）、當?shù)卣J證、數(shù)字證書（CA）認證等

常見安全認證方法

今支持統(tǒng)一用戶管理，IPSEC和SSL使用同一套用戶認證、管理系統(tǒng)

今支持口令曳雜度設置

今支持多點登錄地點數(shù)設置

今支持登錄時間、登錄地址范圍控制

今支持密碼找回功效

用戶認證今支持首次登錄修改口令

今支持使用第三方認證，如RADIUS.TACACS/TACACS+,LDAP、域認

證等安全認證方法

安全管理

今支持短信、動態(tài)令牌、硬件特征碼認證

今支持Session認證、HTTP會話認證

今支持WEB認證和指紋認證

今支持認證?；罟π?/p>

今可將認證用戶信息加密存放