网神SecSSL 3600安全接入网关系统-产品白皮书 V1.0.doc

网神SecSSL 3600系列安全接入网关系统-产品白皮书网神SecSSL 3600安全接入网关系统产 品 白 皮 书网御神州科技（北京）有限公司目 录1 产品概述22 产品特点33 产品功能74 产品型号及指标114.1 SSLVPN主机系统介绍114.2 SSLVPN辅件介绍165 产品资质与荣誉171 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品，是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。通过对接入受控网络的主机进行全面的安全状态检查和修复，再加上细粒度的动态授权机制，SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。系统也能够在用户访问结束后，根据安全策略的设置清除遗留在远程主机本地的数据，真正做到了“零”痕迹。利用创新的智能终端识别和链路质量侦测技术，SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。SecSSL 3600确保用户可以利用任意平台，随时随地安全及快速的访问内部资源，是目前企/事业单位远程及内网安全网络接入的最佳选择。网神SecSSL 3600系列安全接入网关系统针对的应用环境包括（但不局限于）下列描述：l 电子商务交易平台l 电子政务应用系统l ERP 、CRM、 SCM、 OA、财务、人力资源、物流管理等应用系统l MySQL、SQL Server、Oracle等各种数据库系统l 网上银行l 网络图书馆的远程安全接入和访问l 电子邮件系统l 协同设计系统l 关键内部业务应用系统等2 产品特点l 无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。由于SSL VPN使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。l 不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统，或者部署了一些服务来满足自己的需要，例如，使用Outlook的日历安排功能安排会议，为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。员工主要的工作时间，一般都是在企业内部使用这些特定的应用。因此，当在家里或者酒店需要访问这些企业资源时，员工也希望保持在公司Intranet中的使用习惯，不希望改变客户端的应用程序，也不希望改变客户端的应用程序的配置。l 可绑定客户端应用在SSL VPN设计时，考虑到用户使用方便，因此特别提供客户端应用绑定的功能，让用户可以针对某一个应用服务设定使用哪一种客户端的应用程序。客户端应用绑定设置，也可由管理员完成，让用户免于设置操作。当用户通过SecSSL 3600登入内部网络时，通过该功能可以看到可访问的应用服务列表。在该列表中，用户可设置指定服务与自己喜欢的应用及启动该应用所需要的参数绑定在一起。完成了以上绑定后，用户登录系统便能直接点击服务名称，从而启动应用软件。管理员/用户可以针对一个服务设定多个客户端的应用程序，也可定制关联应用的特性，给予用户最大的选择使用何种客户端的应用程序的自由。如果用户不设定关联应用，那么也可直接在操作系统中启动应用软件。l 支持多种基于TCP/UDP的应用系统虽然SSL协议主要用于保护Web应用系统，但是SSL VPN应该也能够支持多种基于TCP/UDP的Client/Server结构的应用软件。管理员只需通过简单的管理接口，即可在服务器上定义需要支持的应用或配置服务器使用的端口。SecSSL 3600支持多种使用动态端口的应用协议，例如：FTP、TFTP、Oracle、SQL Server等。这些特性使得SecSSL 3600能够最大程度地满足客户的应用需求，同时，SecSSL 3600不会像IPsec VPN那样将客户端透明地连接到企业总部地网络中，而将整个网络暴露在客户端的面前。因此SecSSL 3600做到了应用与安全之间的平衡。l 支持第三方Radius/Windows AD/LDAP认证系统作为企业的远程接入VPN网关，SSL VPN（如SecSSL 3600）最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。为了减轻管理员的管理操作，SSL VPN不应只提供内置用户认证数据库，也应可以同常用的Radius/Windows AD/LDAP用户认证系统结合，提供一体化的用户认证设施。利用第三方认证系统，管理员无需在SecSSL 3600上配置任何用户相关的信息，仅仅需要对不同认证服务器或服务器上的用户进行授权即可。l 支持Windows AD/LDAP用户数据库同步企业一般都会有集中的用户管理系统，例如基于Windows AD的用户管理系统。虽然IT管理人员希望只需维护一个用户数据库，但也要求在不同的应用系统及网关上进行细粒度的配置。若系统支持同Windows AD/LDAP服务器之间实现帐号同步，即可保持服务器与企业用户数据库的一致。SecSSL 3600实现了用户帐号同步功能，便于管理员制定细粒度的访问控制规则。l 支持基于信任链表的PKI证书应用基于公开密钥证书的认证系统具有安全性高、扩展性好等特点，因此很多企业已经开始使用PKI作为基础的认证设施。企业提供的远程接入解决方案，不仅仅针对接入本企业的员工，也可能要针对接入企业的不同合作伙伴，因此企业会要求远程接入网关，能够支持多个CA签发的证书的用户认证。SecSSL 3600采用信任链表的方式实现了对多CA的支持，该方式下也可设定不信任某些CA。作为一个网关设备，SecSSL 3600本身也需要一个证书向连接它的客户端证明自己的可信身份。SecSSL 3600有三种获取自身证书的方式： 自签发证书自签发证书的意思是SecSSL 3600可以自己为自己签发一个标识自己身份的证书。 自签发证书请求消息自签发证书请求消息的意思是SecSSL 3600可以自己生成一个PKCS#10格式的证书请求消息，管理员需要把这个请求交给第三方的CA来为SecSSL 3600签发一个证书。 导入第三方CA签发的证书管理员可以直接从第三方CA为SecSSL 3600申请证书，然后把对应的证书/私钥对导入到系统中。l 检查客户端安全措施一旦有用户接入到企业内部网络中，那么远端用户的计算机就成了企业网络的边缘。因此IT管理人员需要确保远端用户的计算机满足企业的安全策略要求。为保证客户端的安全性，SecSSL 3600提供如下措施： 主机检查与缓存清除 主机保护 访问限制列表 用户登录锁定 SSL协议/加密算法设置在主机检查与缓存清除方面，SecSSL 3600允许管理员设置需要在客户端检查的条目，例如： 允许/禁止哪些进程运行 允许/禁止哪些文件存在 允许/禁止哪些网络端口打开 允许/禁止安装的杀毒软件/个人防火墙SecSSL 3600允许管理员为用户登录之前和登录认证通过之后，配置不同的检查规则。当检查结果跟安全策略的期望相违背时，SecSSL 3600可以自动执行管理员设定的相应安全管理动作（例如启动防火墙、关闭恶意进程等）。同时，管理员还可以配置SecSSL 3600，使得用户在结束访问时能够自动地把用户本地缓存的信息清除，避免企业信息不经意地被泄漏。除了检查客户端计算机的安全状态之外，SecSSL 3600还允许管理员通过ARL设置，允许远程用户/管理员只能/不能从哪些IP地址访问SecSSL 3600。SSL协议已经从1.0、2.0晋升到3.0和TLS1.0，但标准的浏览器一般都仍然使用SSL2.0作为默认的选项。SecSSL 3600提供选项给管理员，让管理员选择需要使用哪一种SSL协议来接入用户。如果用户端的协议版本号不满足管理员设置的要求，那么SecSSL 3600会给用户提示信息，这样SecSSL 3600就在执行严格的安全限制的同时保持了用户友好。因为SecSSL 3600是基于Web为用户提供VPN服务，那么就面临着有些攻击会在Web页面上发动口令暴力攻击。SecSSL 3600通过用户登录锁定功能来限制用户错误口令尝试的次数，并且如果用户口令错误达到一定次数之后，SecSSL 3600可以在一段时间内拒绝该用户登录，从而提高了系统的安全性。l 提供基于角色的细粒度访问控制访问控制是SSL VPN提供的核心安全服务。SecSSL 3600所使用的基于角色的访问控制，便于管理员快速地针对企业现状配置对应的更改控制规则。通过角色将系统的访问用户同系统保护资源联系起来，既非常直观，而且在访问控制策略发生变化的时候，也无需为每一种资源或者每一个用户修改权限，而只需要修改某一种服务/角色/用户的属性。在SecSSL 3600中，一个用户可以属于多个角色、访问多种服务，而一个服务可以被多个不同的角色访问。另外，管理员也可以设定角色的有效时间。l 提供网络连接（NC）组网模式，超越传统的IPSecVPNNC（Network Connection，网络连接）是一种让远程用户能够在IP层面访问企业内部资源的远程访问方式。在这种方式下可以支持任意基于IP的应用，与其配置方式、部署实施便利性远远优胜于传统的IPSecVPN系统，为移动客户端通过Internet远程访问企业内部网络资源和Site to Site（网对网）互连的应用提供了充分的解决方案。3 产品功能客户端访问方式描 述虚拟服务（Vservice）支持SSL，支持双向证书认证,支持任意TCP应用端口转发（Application Tunnel）支持TCP/UDP 应用网络连接（NC）支持任意基于IP的应用UDeskTerminal Service(Java)FilePassFTP, File sharing, CIFSSite to Site VPN支持任意基于IP的应用虚拟主机支持独立应用程序支持客户端操作系统支持Windows 2000/XP/2003/VistaApplication Tunnel, NC, UDesk, FilePass, VserviceWindows Mobile 2003, 2005NC, FilePass, VserviceLinux/Unix/MacUDesk, FilePass, Vservice, NC典型应用Outlook, File Sharing, Oracle, FTP, Telnet, Web, 等任意IP应用；用户认证凭证用户名口令 支持双向证书认证 支持双因子认证 智能卡， USB Key动态口令支持Secure Computing，RSA SecureID附加验证码 支持短信认证支持用户超时可设置超时时间用户重认证支持单点登录支持用户认证目录本地数据库 支持PKI支持Radius服务器 支持PAP、CHAPLDAP 支持Windows 活动目录 支持NTLM支持LDAP/AD服务器下载组支持LDAP/AD服务器下载用户信息支持限制通过LDAP协议连接AD服务器支持批量导入用户证书用户，口令用户加密和协议协议 SSL v2、v3，TLS v1对称密钥 RC4/DES/3DES/AES等非对称密钥 DH，ADH， RSA 1024位，最大至2048散列算法 SHA-1，MD5DH密钥交换支持国密局算法，如SCB2等支持证书管理自签名证书 支持证书请求消息支持证书格式 X.509 v2/ v3兼容证书注销列表格式 X.509 v2 兼容第三方证书 通过信任链方式支持多个CAOCSP支持证书组支持客户端安全操作系统检查支持间谍软件检查支持个人防火墙检查支持防病毒软件检查支持安全修复动作支持清除缓存 支持清除自定义目录支持执行自定义脚本支持自动下载客户端代理 支持自动下载代理策略 支持客户端程序关联 管理员可以配置多个管理程序自动启用客户端应用支持应用服务分组支持客户端邦定支持主机保护可管控进程和键盘输入访问控制访问控制模型 基于角色的访问控制基于客户端条件的授权支持基于客户端条件的属性设置支持限制Web访问路径支持会话控制支持应用控制支持Block Internet支持Split Tunnel支持内容过滤FTP, HTTP命令用户超时支持根据时间的规则支持URL子目录支持网络多ISP接入支持NATSNAT, DNAT网络诊断Ping, TracerouteNTP支持DNS支持NC IP地址DHCP、地址池/静态IP绑定代理穿越支持高可用性双机备份AP, AA模式负载均衡双机负载均衡客户端智能选路支持数据压缩支持配置文件导入导出支持管理管理员用户接口 Web UI，CLI，SSH管理员访问控制 支持管理员认证 口令、证书管理员类型系统、配置、审计用户界面定制登录欢迎词，登录界面，客户端默认语言，登录页面图片消息发布按照角色的消息发布SNMPv3日志和审计Syslog支持日志记录管理员管理日志系统运行日志最终用户访问日志分类查询用户会话日志管理员管理日志系统运行日志最终用户访问日志日志存储 本地、远程日志定期自动导出导出至FTP，导出频率和导出内容可以定义；TOP N最大流量服务；在线时间最长用户；传输数据最多用户；登陆次数最多拥护；报表用户组统计报表用户统计报表用户组摘要报表日志邮件告警支持系统监控系统资源CPU，内存，存储空间网络流量接口，系统在线用户使用者列表在线服务支持4 产品型号及指标4.1 SSLVPN主机系统介绍SecSSL 3600-S （25/50/100/200并发用户数）指标项描 述物理规格结构1U机架式机箱规格尺寸(mm)430（长）360（宽）44（高）网络适配器4个10/100M 自适应RJ-45接口串口RS-232接口类型CF卡容量256M液晶显示面板无硬件加速卡无国密卡（SCB2算法）无电源单/双单电源电压100-240V,60-50Hz,5-3A功率250W环境参数工作温度0C 50C存储温度-20C 70C相对湿度10% 90%，无凝露性能指标加密吞吐量（MB）80MbpsSSL新建/拆除速率（TPS）120次/秒单台最大可支持并发用户数（CUs）200延时(ms)0.5msMTBF(小时)10万SecSSL 3600-SC（25/50/100/200并发用户数）指标项描 述物理规格结构1U机架式机箱规格尺寸(mm)430（长）360（宽）44（高）网络适配器4个10/100M 自适应RJ-45接口串口RS-232接口类型CF卡容量256M液晶显示面板无硬件加速卡无国密卡（SCB2算法）支持电源单/双单电源电压100-240V,60-50Hz,5-3A功率250W环境参数工作温度0C 50C存储温度-20C 70C相对湿度10% 90%，无凝露性能指标加密吞吐量（MB）40MbpsSSL新建/拆除速率（TPS）70次/秒单台最大可支持并发用户数（CUs）200 延时(ms)2msMTBF(小时)10万SecSSL 3600-M（100/200/300/500并发用户数）指标项描 述物理规格结构1U机架式机箱规格尺寸(mm)430（长）360（宽）44（高）网络适配器4个10/100M 自适应RJ-45接口2个10/100/1000M自适应RJ-45接口串口RS-232接口类型CF卡容量512M液晶显示面板显示系统状态信息，如接口IP，CPU、内存资源利用率等硬件加速卡无国密卡（SCB2算法）无电源单/双单电源电压100-240V,60-50Hz,5-3A功率250W环境参数工作温度0C 50C存储温度-20C 70C相对湿度10% 90%，无凝露性能指标加密吞吐量（MB）220MbpsSSL新建/拆除速率（TPS）160次/秒单台最大可支持并发用户数（CUs）500延时(ms)0.5msMTBF(小时)10万SecSSL 3600-MC（100/200/300/500并发用户数）指标项描 述物理规格结构1U机架式机箱规格尺寸(mm)430（长）360（宽）44（高）网络适配器4个10/100M 自适应RJ-45接口2个10/100/1000M自适应RJ-45接口串口RS-232接口类型CF卡容量512M液晶显示面板显示系统状态信息，如接口IP，CPU、内存资源利用率等硬件加速卡无国密卡（SCB2算法）支持电源单/双单电源电压100-240V,60-50Hz,5-3A功率250W环境参数工作温度0C 50C存储温度-20C 70C相对湿度10% 90%，无凝露性能指标加密吞吐量（MB）180MbpsSSL新建/拆除速率（TPS）130次/秒单台最大可支持并发用户数（CUs）500延时(ms)2msMTBF(小时)10万SecSSL 3600-H（500/1000/2000/3000/5000并发用户数）指标项描 述物理规格结构2U机架式机箱规格尺寸(mm)430（长）360（宽）44（高）网络适配器2个10/100M 自适应RJ-45接口2个10/100/1000M自适应RJ-45接口2组千兆Combo口（光/电任选其一）串口RJ-45接口类型CF卡容量1G液晶显示面板显示系统状态信息，如接口IP，CPU、内存资源利用率等硬件加速卡有国密卡（SCB2算法）无电源单/双双电源电压100-240V,60-50Hz,5-3A双路供电功率250W环境参数工作温度0C 50C存储温度-20C 70C相对湿度10% 90%，无凝露性能指标加密吞吐量（MB）850MbpsSSL新建/拆除速率（TPS）500次/秒单台最大可支持并发用户数（CUs）5000延时(ms)0.3msMTBF(小时)10万SecSSL 3600-HC（500/1000/2000/3000/5000并发用户数）指标项描 述物理规格结构2U机架式机箱规格尺寸(mm)430（长）360（宽）44（高）网络适配器2个10/100M 自适应RJ-45接口2个10/100/1000M自适应RJ-45接口2组千兆Combo口（光/电任选其一）串口RJ-45 接口类型CF卡容量1G液晶显示面板显示系统状态信息，如接口IP，CPU、内存资源利用率等硬件加速