武汉思为同飞安全产品白皮书.doc

武汉思为同飞网络技术有限公司 安 全 之 路 有 我 同 行 思为同飞安全产品白皮书 武 汉 思 为 同 飞 网 络 技 术 有 限 公 司二九年 八 月目 录第一章 前言3第二章 思为网络安全产品简介4第三章 思为防火墙功能特点103.1 稳定可靠的安全基石103.2 强大的应用过滤控制，提供深层次监控手段113.3 防垃圾邮件，解决邮件处理难题113.4 增强的网络通信能力，满足各种形式的上网需求123.5 完善的服务管理和扩展12第四章 思为VPN功能的特点134.1 全方位的传输保护134.2 高性能的通信保障144.3 强大的网络部署能力144.4 全面支持标准化，保护用户投资154.5 方便灵活的SSL VPN技术164.6 全面可靠的身份认证16第五章 辅助功能介绍185.1 六种冗余备份技术，保障系统可靠性185.2 灵活的链路适应能力195.3 强大的网络管理能力195.4 简单方便的管理和操作20第六章 思为网络安全产品优势特点21第七章 思为防火墙典型应用模式237.1 多出口链路的安全应用237.2 内部局域网的安全管理247.3 防火墙的集群部署25第八章 思为VPN典型应用模式268.1路由/透明模式部署268.2 单臂路由模式部署268.3无线网络中的安全通信278.4 思为SSL VPN的安全应用288.5 混合部署、集中管理模式29第九章 产品规格和性能指标309.1 UTM防火墙产品规格309.2 VPN产品规格319.3 SSLVPN产品规格31附资质认证：33第一章 前言随着计算机网络技术的飞速发展，依赖计算机网络系统完成传送、存储和处理信息的应用明显加强。网上银行、网上市场、网上电子商务、网上电子政务等形式层出不穷。网上数据流、信息流、资金流已经成为网络世界不可缺少的主要部分，随之而来的网络信息安全问题也更加突出。表现成各种威胁，如通信传输威胁、存储攻击威胁、信息系统威胁等。在信息化的浪潮中，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的小型业务系统逐渐向大型关键业务系统扩展。典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。武汉思为同飞网络技术有限公司是一家专业从事网络安全产品研制、生产和提供安全服务的高科技企业。公司员工100%都是本科以上学历，技术人员中有70%是博士和硕士研究生。公司骨干从1998年开始和国内著名网络安全公司合作从事网络安全研究，具有长达十年的丰富的网络安全产品经验，对网络安全的技术和国内用户的需求有着深刻的理解和认识。从2005年成立至今，公司始终保持高速增长，是华中地区首屈一指的网络安全高科技企业。目前公司在总结国内外各种网络安全产品的特点和国内用户实际需求的基础上，经过多年的技术沉淀，已经成功研制开发了全系列IPSec VPN、SSLVPN、防火墙、UTM网关、行为审计AA网关以及个人桌面安全产品。思为同飞目前已经在广东、广西、湖北、北京、上海等全国大部分省市建立了分支机构和经销渠道，同时努力秉承“安全之路，有我同行”的理念，以不断提升客户价值为目标，为企事业单位提供高品质的信息安全整体解决方案、信息安全服务和信息安全产品，为客户在信息安全道路上提供坚实的保护和支持，从而实现与客户的共同腾飞。思为同飞公司多次配合有关科研院所承接国家863、科技部信息安全领域的专项课题，同时紧紧把握世界先进技术发展潮流，在无线应用越来越蓬勃的时代,率先以智能手持设备为平台开发出了国内第一套高安全级别、可移植、可扩展、灵活的无线移动安全接入整体解决方案，并已成功在公安、税务等行业进行了应用。思为同飞公司正致力于持续的创新和开发，以“为用户信息安全道路保驾护航”为已任，不断为中国的信息安全事业写下新的篇章。第二章 思为网络安全产品简介思为安全网关产品是集成了VPN、防火墙、内容过滤、入侵防御和流量控制技术的软硬件一体化专用安全设备，有效地实现了“主/被动安全防御”的完美结合，思为网关采用自主设计的安全操作系统，具有高可用性、高易用性、高扩展性和高安全性等特点。思为公司的安全产品包括：VPN系列、SSLVPN系列、防火墙系列、UTM系列以及各种管理和应用软件等。思为安全网关产品线覆盖了“SOHO级企业级运营商级”全系列产品，支持各种规模的企业安全网络的构建，满足用户最高性价比配置的需求。思为安全网关对链路中存在的一些低端的、不合IP协议规范的接入设备也能提供比较好的支持，适用于多种复杂网络环境。思为安全网关采用模块化设计，根据用户的需求进行量身定制，包括集成VPN功能的防火墙、集成防火墙功能的VPN、IPSEC VPN/SSL VPN一体化的VPN以及全功能的UTM等。思为安全产品各安全模块功能列表如下：分类功能详细指标路由模式路由支持透明支持混合路由和透明同时工作单臂只有一个接口连入网络，减少对网络的影响策略路由支持源路由动态路由支持OSPF/RIP组播路由支持IGMP组播协议支持MROUTE、PIM组播路由有效实现视频会议等多媒体应用支持组播报文通过VPN加密传输VLAN支持与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由支持802.1Q，能进行802.1Q的封装和解封在同一VLAN中进行二层交换网络适应性以太网、宽带10M/100M/1000M生成树支持802.1D生成树协议ADSL拨号支持pppoe拨号接入服务DHCP分配支持DHCP Client/DHCP Sever多链路捆绑支持DDNS动态域名支持ARP支持ARP代理、ARP学习可设置静态ARP非IP协议支持对非IP协议例如IPX/NetBEUI的传输与控制系统管理集中管理支持管理平台GUI管理器，telnet、SSH、consle口等本地管理console口远端管理通过GUI管理器和SSH远程管理安全网关SNMP协议支持V1、V2和V3协议 分层管理支持管理员和审计员的身份调试命令支持调试维护模式系统升级支持远程界面升级和本地升级配置维护支持配置保存、下载、恢复和删除VPN类型SSL支持B/S、C/S架构的应用服务IPSec支持标准IKE协议，支持网络-网络、网络-客户端、客户端-客户端的应用L2TP可做客户端或服务器，可与Windows、路由器互通AAA认证身份认证方式本地用户数据、LDAP/AD、RADIUS、USBKEY认证校验码支持短信校验支持手机通过短信接收认证的校验码数字证书认证支持本地CA和第三方CA第三方数据库支持LDAP/AD/RADIUS等数据库标准PKISCEP协议支持SECP协议远程注册、更新证书LDAP协议支持LDAP协议远程获取证书和CRL第三方CAWindows CA、 Linux CA、格尔CA等CRL列表支持CRL和CRL的自动更新IPSEC VPN（可选）协议IPSEC协议族，支持RFC1826/1827/2401/2402/2403/2404/2405/2406/2407/2408/2409加密算法支持DES、DES-MD5、DES-SHA1、3DES、3DES-MD5、3DES-SHA1、AES、AES-MD5、AES-SHA1和国家密码管理机构批准的高强度算法（SSP02、SCB2）摘要算法支持MD5、SHA1签名算法支持RSA1024IKE模式主模式IKE认证数字证书方式和预共享密钥方式NAT穿越支持标准Draft-ietf-IPSec-UDP-ereaps-00 /01/02/03和Draft-ietf-IPSec-NAT-t-IKE-00/01/02/03/ 04/ 05/06隧道类型包括网络到网络的通信远程主机到网络的通信远程主机通过中心网关中转和远程主机的通信隧道方式隧道交换隧道接力隧道嵌套远程移动用户认证一次性口令认证标准X.509证书方式LDAP/AD/RADIUS等认证方式SecureID方式移动用户资源下发分配虚IP下发配置下发内部DNS信息下发内部WINS信息移动用户硬件绑定对移动用户的主机进行硬件绑定管理员指定用户硬件信息系统自动学习外部文件导入移动用户地址分配管理员指定地址池分发，以后固定外部文件导入链路适应技术独创的TTG（IPSec over Http）专利技术，保障隧道通信高效的证书压缩，减少报文大小灵活的TCP长度修改，避免不必要的分片方便的IPSec分包技术，解决分片包被意外丢弃的问题网络适应技术全动态组网，采用希网DDNS服务和内建策略中心服务双边NAT建隧道允许相同地址的子网之间建隧道支持多链路隧道，互为均衡和备份，提高隧道带宽和可靠性网间加速技术支持网间加速技术，提高网速10倍以上L2TP VPN客户端/服务器模式网络到网络的通信Windows客户端与网络的通信SSL VPN（可选）HTTP压缩支持LZO流压缩协议支持SSL V2/V3和TLS V1加密算法支持AES、DES、3DES、MD5、SHA、RC2、RC5、DESX、BF、IDEA、CAST5、MD2、RSA、DSA、RIPEMD等加密算法可用的浏览器IE6、IE7、Netscape应用服务支持 Html/Dhtml, Jsp, Asp,Java applet, Activx, Cookies等各种Web技术支持FTP、Email的Web访问支持基于IP层以上的各种TCP/IP协议的应用。包括：http，Email，Ftp，网上邻居，Notes，Outlook，Oracle, SQL等各种动态和静态的C/S应用支持单主机和保护子网的访问访问细粒度控制支持用户组管理和角色管理用户接入权限和访问权限，指定用户可访问的资源控制用户组的访问时间，限制用户只能在指定的时间段登陆控制允许用户组的登陆地址，控制允许用户组的登陆地址支持用户黑名单，黑名单用户不能访问SSL VPN资源防火墙控制用户访问细粒度，控制用户的访问时间、地址、资源等客户端安全性客户端安全性扫描，扫描系统安装的补丁和杀毒软件支持客户端缓存清空支持客户端Cookie清空支持客户端访问记录清空客户端硬件特征码绑定实时监控支持实时监控用户接入清空支持在线中断用户支持实时监控系统的运行多页面风格选择支持，共提供5种风格访问控制通信控制支持OSPF、IGMP、DVMRP等三层协议过滤基于状态检测的流过滤访问控制支持报文合法性检查支持动态端口协议可以实现IP/MAC绑定对通过VPN访问内部网的数据继续安全控制支持对即时通信软件QQ、MSN的控制支持对游戏软件的控制支持对证券、股票软件的控制基于源/目的IP地址、端口、应用服务、时间、用户组和区域的6元组的访问控制NAT技术支持双向NAT、正反向NAT无限制支持动态地址转换和静态地址转换支持多对一、一对多和一对一等多种方式的地址转换支持端口映射应用过滤应用过滤支持对HTTP、FTP、DNS等协议的内容过滤支持URL过滤支持对http访问地址、网页内容、关键字的过滤支持对Baidu、Google、Yahoo等搜索引擎关键词的过滤支持对Ftp命令、传送文件的过滤支持对域名解析请求进行过滤支持通配符过滤支持对MSN、QQ的行为监控支持对BT、电驴等P2P应用的控制支持百万级网页黑名单的过滤邮件过滤（可选）邮件头过滤支持POP3、SMTP、WEB MAIL等邮件协议邮件地址黑、白名单邮件地址过滤邮件大小和附件名过滤IP控制、转发控制、抄送控制垃圾邮件过滤智能学习支持贝叶斯算法和行为分析算法国内外RBL支持支持人工审核病毒扫描（可选）病毒载体支持POP3，SMTP等邮件协议的病毒查杀查杀邮件正文/附件中包含的病毒病毒类型支持17万余种病毒的查杀，病毒库定期更新支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀扫描种类支持启发式扫描查杀未知病毒支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀提供快速扫描及完全扫描两种扫描方式入侵检测入侵检测支持抗非法报文攻击：包括land 、Smurf、Ping of death、Winnuke、Tcp_sscan、Ip_option、Teardrop、Targa3、Ipspoof等抗系统扫描，包括Syn半开扫描、FIN、ACK扫描、圣诞树扫描、NULL扫描、UDP扫描等抗洪泛攻击，包括DOS、DDOS、SYNFLOOD、UDPFLOOD、PINGFLOOD等支持服务器保护支持对ARP欺骗病毒的防御对工作在非法监听状态的内部主机进行检查实时记录攻击信息，能够显示最近100条的攻击信息，并实时记录和报警支持手机短信校验安全审计日志支持Syslog日志输出支持第三方日志服务器对日志进行缓冲存储支持各种类型的分级审计监控提供对CPU、内存、文件系统、网络接口、网络通信的监控报警支持对多种不同事件的报警可根据配置文件进行错误恢复内置触发报警支持邮件、NetBios、声音、控制台等多种组合报警内置网络服务DHCP服务支持DHCP Client拨号服务器管理员可以通过电话线远程管理带宽管理QoS根据IP、协议、网络接口、时间定义带宽分配策略支持最小保证带宽和最大限制带宽支持对BT等下载的带宽控制使用Diffserv技术区分服务技术、随机早检测RED技术最大1024个宽度分类高可靠性自动恢复Watchdog自动恢复网络黑匣子对设备故障现场进行实时记录，方便事后分析和处理双机热备支持虚拟路由冗余支持VRPP服务器均衡支持对多台内部服务器提供负载均衡多机集群支持网关多机多链路负载均衡多链路捆绑多链路热备和均衡，增加出口带宽，增强链路可靠性双系统引导升级或启动失败可以自动引导到备份系统，不用返厂维修第三章 思为防火墙功能特点3.1 稳定可靠的安全基石l 自主安全的操作平台思为同飞的防火墙采用自主的网络安全操作系统，拥有优秀的模块化架构，能有效保障访问控制VPN、内容过滤、抗攻击、流量控制等模块的优异性能，并能为未来迅速扩展更多特性提供无限可能。该操作系统具有高安全性、高可靠性、高实时性、高扩展性、高适应性的特点。l 完善的状态流过滤技术思为同飞防火墙根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等信息对数据包进行访问控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理。具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。支持复杂动态协议的状态流过滤，通过对协议内容的实时分析，动态开放所需的端口，传输结束后实时关闭端口，确保内网安全。l 实时的入侵检测和防御思为同飞防火墙可以对用户的内部资源提供入侵检测和防御保护，能够抵抗多种DoS,DDos攻击、TCP/UDP/ICMP的Flood攻击、Land Attack、Ping to Death、Tear Drop等常见攻击，尤其是能够抵抗各种系统漏洞扫描，从而能够有效防止更进一步的黑客攻击。通过设置抗扫描攻击、洪泛攻击和各类非法报文攻击的参数，用户可以对内部服务器提供重点保护。并且针对目前流行的ARP欺骗病毒能够进行自动检测和防御。l 易配置的安全策略体系思为同飞防火墙采用面向资源的安全策略体系，管理员根据自己的需求建立独立的安全区域、管理接口、端口协议、子网对象、用户组、访问时间、访问地址等对象，制定安全灵活的通信策略和安全策略，实现层次分明而全面的策略机制。防火墙安全策略配置简单，易于维护，能方便定义不同细粒度的规则。3.2 强大的应用过滤控制，提供深层次监控手段l 深度内容过滤思为同飞防火墙具备HTTP、FTP、DNS协议的内容过滤功能，保护终端用户合法有效地使用各种网络资源；思为防火墙支持URL过滤，并支持黑/白名单过滤策略；支持对http访问地址、网页内容、关键字的过滤，以及搜索引擎关键词的过滤；支持对域名解析请求进行过滤，可以控制所有的域名访问；支持对ftp命令、传送文件的过滤。l 支持对多种应用的控制针对目前企业中普遍存在的上班期间一些非法网络应用的泛滥，思为同飞防火墙能够对QQ、MSN等即时通信软件，联众、浩方等游戏软件，长江证券、钱龙等证券和股票软件进行过滤控制，可以实现对合法的用户在规定的时间内允许或禁止此类应用。l 支持对MSN、QQ的行为审计针对越来越多的企业对员工上网行为的关注，思为同飞防火墙可以对用户的MSN、QQ聊天信息进行记录和控制。能够还原用户聊天的内容、传输的文件以及视频聊天等数据，并提供完善的审计和查询机制。3.3 防垃圾邮件，解决邮件处理难题l 支持邮件过滤和防垃圾邮件思为同飞防火墙可以增加邮件过滤模块，对邮件进行过滤检查，支持POP3、SMTP、WEB-MAIL等邮件传输协议。同时支持智能学习和贝叶斯算法，可以对垃圾邮件进行检查。为了进一步提高企业邮件传输的安全性，思为同飞的邮件过滤模块还可以支持独有的人工审核机制，只有审核通过的邮件才可以外出转发，从而有效地保障了邮件内容的安全性和合法性。l 邮件病毒扫描思为同飞防火墙的邮件过滤模块可以对邮件的内容进行病毒扫描。能够查杀木马病毒、蠕虫病毒、宏病毒、脚本病毒，同时对于ZIP/ARJ/CAB/RAR/GZIP/BZIP2等格式的一些压缩文件也可以自动进行还原扫描。目前系统支持对大约十七万种病毒进行扫描，并可以自动进行病毒库的升级。3.4 增强的网络通信能力，满足各种形式的上网需求l 强大的地址转换能力思为同飞防火墙拥有强大的地址转换能力，能同时支持正向、反向地址转换；支持动态地址和静态地址的映射；支持端口映射；支持多对一、一对多和一对一等多种方式的地址转换，能够为用户提供完善的地址转换方案。l 多种接入方式保证系统高效部署思为防火墙完美支持ADSL等多种宽带接入方式的实现，能够支持ADSL的按需拨号、自动地址转换等实用功能，保证用户安全、快捷通过ADSL接入Internet。同时也适应各种以太网的接入，支持trunk即主干链路工作模式，能实现VLAN间通过防火墙进行路由。思为同飞防火墙支持的部署方式有路由模式、透明模式、单臂模式、混合模式等；既可以作为出口，也可以作为旁路；既支持固定地址组网，也支持全动态地址组网。3.5 完善的服务管理和扩展l 支持服务器负载均衡思为同飞防火墙支持网关之间的负载均衡，采用轮询、随机和负载等方式自动平衡保护子网内的服务器或VPN网关的用户访问量，保证每台服务器或防火墙网关能够均衡的分配用户数据流，从而保障整个系统的稳定运行，最大可以支持256台设备的均衡。l 完善的日志服务思为同飞防火墙提供事件、错误、警告、管理、访问五个级别的运行日志，能够依据系统要求记录敏感通信事件和管理事件，同时也能提供网络使用情况的统计数据。管理员根据日志记录可以审计防火墙的使用情况、管理员所进行的操作和网关所阻断的探测、攻击等非法访问，并为安全策略的进一步完善提供参考。同时思为防火墙还支持日志的导出，利用日志分析工具对导出的日志按照不同的需求分析。思为防火墙支持独立的日志中心，可以实时的将日志传送到日志服务器，为管理员统计、分析资源的详细使用情况提供详细的数据支持。第四章 思为VPN功能的特点4.1 全方位的传输保护l 支持IPSec/IKE协议IPSec作为一个全球性的VPN安全标准，要求所有IPSec的实现必须严格遵循其各种协议规范，以便实现不同产品之间的互通。IPSec协议能够对网络通信报文提供ESP加密和AH验证服务，从而保证报文传输的机密性和合法性。思为VPN产品已经全面支持IPSec和IKE协议，并且经过严格的互通性测试，能够和Cisco、Juniper、MicroSoft等著名厂家的VPN产品实现互通。系统加密算法支持DES、3DES、AES等，验证算法支持MD5和SHA1。l 支持L2TP协议L2TP协议是一种2层VPN协议，为了能够兼容用户已有的L2TP网络，思为VPN也可以支持L2TP协议，能够作为L2TP服务器，允许Windows客户端接入内部网络，也可以作为L2TP客户端接入其他L2TP服务器。l 支持SSL VPN思为SSL VPN采用标准的SSL协议标准，因此用户在客户端只需要使用标准的Web浏览器连接Internet网，通过网页即可以访问SSL VPN内网的保护资源。相对于使用IPSEC VPN的用户来说，使用SSL VPN之后，管理员省去安装和维护大量客户端的麻烦，网络的管理成本和运营成本也随之降低。l 集成强大的访问控制用户的内部网络不仅面临着来自Internet上的攻击，还面临着来自远程VPN接入端的非法访问。因此思为VPN自身具有包过滤模块和防火墙模块，能够实现内部网络和外部网络的隔离，可以在防火墙模块上添加相应的访问规则来允许或禁止外部网络到内部网络的访问。思为VPN中的防火墙模块采用高性能的基于全状态检测的防火墙引擎，对来自Internet上的和远程VPN接入端的请求和应答全部进行规则检查，从而极大的防止了入侵者通过数据驱动方式对内部网的攻击。通过对连接表进行优化，思为防火墙能够最大支持100万条并发连接，从而满足高端用户的通信需求。l 防火墙和VPN的联动功能一方面VPN报文被加密传输之前和解密到达后需要通过防火墙的安全检测，才能防止住通过VPN隧道进行的网络攻击。另一方面，由于防火墙具有强大的地址转换功能，因此对于一些特殊的网络环境就需要对通信数据先进行地址转换，然后再进行VPN隧道的封装，例如地址冲突等情况。所以思为公司的VPN产品通过内置的功能强大的防火墙模块可以方便的进行联动，从而灵活的适应各种网络的需求。4.2 高性能的通信保障l 支持带宽叠加，成倍增加上网带宽思为VPN可以扩展支持多个外出链路，最大可以支持16条线路捆绑和负载均衡，当然这受到物理网口数的限制。多线路捆绑技术给用户带来的好处是显而易见的。首先就是带宽的成倍提升，另一个好处就是系统的稳定性大大增强。正常情况下用户上网流量将根据带宽比例从不同的线路外出，而当任何一条线路出现故障时，数据可以无缝切换到其他正常线路，保证了整个系统的持续可靠运行。l 采用隧道压缩技术，提高吞吐率思为 VPN可以支持隧道压缩，用户如果选择启动压缩功能，那么隧道通信的数据将首先进行压缩，然后再进行加密。由于压缩减小了数据长度，因此也就提高了加解密的速度。根据实际测算压缩功能可以极大地减小文本、数据库等数据信息，压缩比可以达到1：1，从而使传输速度提高近一倍，但是对于图片、视频等数据则无法进行压缩。因此用户如果主要进行电子办公，那么可以选择压缩功能来提高VPN的传输速度。l 高品质的带宽管理，保障关键通信用户进行网络访问除了普通的因特网浏览之外，也包含重要的业务通信。为了保障重要的业务通信能够得到快速处理，就必须提供对不同类型通信的带宽控制。思为VPN提供精确的动态带宽管理功能，可根据因特网接入的总带宽，定量的控制不同业务类型数据所占用的带宽比例。同时采用了自适应的动态管理策略，当某一类型通信数据流没有达到额定带宽时，其他类型通信可以自动借用该类型剩余的带宽，而当该类型数据流加大时，其他类型通信又会自动让出占用的数据带宽，从而即可以确保数据的通讯质量，又不会造成不必要的带宽资源浪费。l 采用网间加速技术，提高业务效率传统跨Internet的访问，例如FTP、WEB等应用，数据传输速度每秒普遍只有几十K，速度慢并且容易断线，访问效率很低。为了解决上述问题，提供良好的传输手段，思为VPN产品采用最新的网间加速技术，支持传输压缩、报文重组、数据Cache以及优化后的TCP协议等方式，最大化的减少网络之间传输的数据量，从而提高网络传输的效率。根据实际测试对比，采用加速技术之后，网间数据传输率从40-50Kbps提高到1Mbps，速度提升了十几倍，而且对某些应用可以提高40-50倍以上。4.3 强大的网络部署能力l 支持全动态组网目前国内常用的因特网接入方案（包括电话拨号、ISDN拨号、ADSL宽带接入等等）都是由ISP为接入用户动态分配临时IP地址，而主动向动态IP地址发起访问是困难的。所以对于企业内部全动态地址接入的情况，思为 VPN网关可以自动进行动态域名注册，发起隧道时首先进行域名解析，就可以自动获得对方设备的当前IP地址。l 支持双边NAT所谓双边NAT模式，是指通讯的双方都在NAT环境中（即：都采用保留IP地址上网），发起通讯的VPN设备由于无法确定被连接VPN设备的IP地址和协商端口号等多种原因，而导致无法建立加密通讯隧道。在实际网络环境中，VPN网关可能放在防火墙的内部，这就是典型的“双边NAT模式”，这使得普通VPN在实际网络环境中的应用受到限制。思为VPN网关支持隧道接力交换技术，通过和第三方确定地址或域名的VPN设备建立隧道进行中转，从而解决这种双边NAT穿越的问题。l 允许子网冲突，减轻部署负担当前很多企业的网络在刚开始构建的时候由于规模较小，应用不是很多，所以在IP地址的管理方面没有做到统一规划。当企业需要通过VPN把全省甚至全国的分支机构互联起来，构建全网互联访问的时候，不同分支机构之间地址极有可能发生网址冲突。在这种情况下，常规的IPSec VPN产品必须要求重新进行地址划分，不仅费时费力，而且还要进行大规模的网络调整，从而增加了部署和管理的成本。思为VPN产品创造性的解决了这个问题。通过采用虚拟子网的方式，把原来冲突的网络转变为逻辑上重新规划的网络，这样冲突双方只需有一方配置了虚拟子网，就可以使得双方按照新的地址进行隧道访问，而原有访问Internet的地址和拓扑保持不变。l 多种工作模式，满足不同拓扑要求思为 VPN可以工作在路由模式、透明模式、混合模式和单臂模式，并且能够在透明模式下进行隧道访问。除了静态路由外，还支持源地址策略路由，可以针对不同的用户网络流量进行分流，从而可以实现VPN设备的集群。思为VPN可以作为内部网的计算机，采用单臂模式接入到网络中，在这种情况下不仅具备通信加密功能，而且还不会影响内部网结构的改变，方便了部署和实施。4.4 全面支持标准化，保护用户投资l 支持标准IPSec协议和IKE协议目前思为VPN产品已经全面支持国际标准IPSec协议和IKE协议，可以和其他支持标准的VPN厂家实现互通。已经经过实际测试有： Cisco路由器（IOS:12.1）,PSK方式、数字签名方式 Juniper设备,PSK方式 Cabletron路由器 Vigor路由器,PSK方式 Windows系列（2000、XP系列）PSK方式、数字签名方式l 支持标准PKI协议任何一个VPN节点，必须导入一个合法的数字证书，才能和其它VPN进行基于证书的双向身份认证。思为VPN采用标准X.509格式的证书，可以支持DER编码、BASE64编码和PKCS编码的文件。除了支持思为证书管理器颁发的证书以外，系统还支持第三方CA。管理员可以通过手工方式或SCEP、LDAP等在线方式下载第三方CA颁发的证书和作废列表，从而和企业内部的PKI系统无缝结合。4.5 方便灵活的SSL VPN技术l 无需安装客户端，使用简单思为SSL VPN采用标准的SSL协议标准，因此用户在客户端只需要使用标准的web浏览器连接Internet网，通过网页即可以访问SSL VPN内网的保护资源。相对于使用IPSEC VPN的用户来说，使用SSL VPN之后，管理员省去安装和维护大量客户端的麻烦，网络的管理成本和运营成本也随之降低。无论用户采用固定地址或动态拨号、有线或无线的方式接入网络，都可以正常使用思为SSL VPN。用户打开浏览器之后，可以通过地址、域名的方式来登陆SSL VPN，而不需再输入任何端口。l 使用IP Tunnel技术支持所有应用和网络访问思为SSL VPN除了可以支持传统的WEB Agent技术，而且还可以采用IP Tunnel技术能够支持各种C/S应用，支持所有的基于IP层以上的静态或动态接口端口应用的完全支持，包括网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE等各种应用。思为SSL VPN还支持终端用户对内网单台机器或保护子网的访问。 终端用户在使用思为SSL VPN的时候，不需要安装客户端，只需要通过标准浏览器打开SSL VPN的登陆界面之后，安装一个ActiveX控件，在客户端的机器上会自动生成一块专门用于SSL VPN通信的虚拟网卡，从而保证思为SSL VPN的用户能够使用所有基于IP网络层的应用。l 详尽的细粒度访问控制SSL VPN相对于IPSEC VPN而言的一个优势就是客户的细粒度访问控制，思为SSL VPN对用户的访问控制细粒度已经非常精确。根据组织架构，用户可以分组管理；根据在组织结构中的不同角色，用户可以分角色管理，为每个用户或用户组指定一个或多个角色；根据角色的不同安全级别，用户可以分时间和空间管理，为不同角色或用户划分允许访问的时间段和允许访问的物理地址。思为SSL VPN还可以通过内部集成的防火墙，对VPN数据进行访问控制；同时能够对每个用户的访问行为进行日志记录，便于管理员审查。l 高效的压缩算法提高访问速度一般的SSL数据传送是不压缩的，这样会导致客户在访问保护资源的时候速度低下。思为SSL VPN采用高效的LZO高效流压缩算法，对所有VPN数据先压缩再传输，大大提高了终端用户在使用web资源、C/S应用以及网络访问的效率，能够显著减少下载时间和提高访问速度。特别是终端客户使用无线方式（CDMA、GPRS等）上网的时候，效果会更加明显。l 自主定制用户登陆界面思为SSL VPN可以定制登陆界面，管理员根据自己的需求制订用户的登陆界面；同时用户还可以根据个人喜好或工作需要，定制浏览器的页面风格。4.6 全面可靠的身份认证l 安全的硬件认证思为VPN除了支持用户名/密码等传统方式之外，还支持USB证书方式认证。USB-KEY是一种USB身份认证设备，为防止USB-KEY丢失后被盗用，还为USB-KEY加入PIN码保护，同时为了防止对PIN码的强制性攻击，在芯片组中设置多次密码试错自锁功能。l 短信校验多重保证思为 VPN的短信校验技术是随着无线技术的突飞猛进而出现，充分利用了其灵活可靠的特点，形成的一种革新性的认证解决方案。认证系统分为手机短信终端和短信认证服务两部分，短信认证服务器可以集成于思为 VPN，终端用户在已有移动电话和PDA的基础上，通过手机短信方式获取用户认证必需的校验码。这样思为VPN的终端用户就可以通过用户名/密码和USB-KEY的方式登陆SSL VPN，在登陆的过程中通过移动电话或PDA短信收取一次性校验码，经过如上双重因素认证之后就能访问相应的内网资源了。l 支持外部有效认证思为 VPN的除了支持终端用户使用本地用户数据库的用户登陆访问内网资源外，还支持外部第三方认证服务器。通过与第三方的LDAP认证服务器或RADIUS认证服务器的有效集成，一个组织结构就可以只保存一套认证体系，简化了部署过程，减少了运营成本。l 支持客户端特征码硬件绑定每个终端用户使用的PC机都独有自己的某些硬件特征信息，在登陆思为 VPN的过程中，可以将自己的硬件特征信息上报。思为 VPN根据管理员的选择，可以自动将上报的硬件特征信息生成特征码，并与登陆的用户进行绑定。绑定之后的用户将只限于在绑定的机器上使用，进一步提高了接入用户的合法性和企业内网资源的安全性。l 客户端安全扫描为了保证终端用户接入VPN之前的安全性，思为 VPN在用户登陆的时候，系统会对客户端的主机健康状态进行检查，内容涉及到主机的操作系统、是否安装防火墙软件、是否安装防病毒软件、是否打了最新的补丁等信息。如果主机健康状态不佳，管理员可以限制主机联入内部网。第五章 辅助功能介绍5.1 六种冗余备份技术，保障系统可靠性l 链路备份，保证链路可靠性随着Internet应用的不断发展，只有一个链路连接公共网络将导致单点失败和网络极其脆弱，思为安全产品全面支持多链路技术将多条线路、不同方式接入方式的上网线路实现带宽叠加和互为备份，保证了整个系统的持续可靠运行。若任何一条线路出现故障，思为VPN可以将数据无缝切换到其他正常线路，不会影响 VPN用户的接入和访问。思为安全产品采用多链路技术还能通过线路优选解决不同运营商之间的线路对接问题。例如总部VPN配置不同服务商的多链路之后，各区域的终端用户可以自动选择匹配的线路与总部进行VPN通信。l 双机热备，保证设备可靠性双机热备在集群节点间保持间歇的通信信号，称为心跳信号，是错误检测的一个机制。心跳的作用就是让主机了解对方是否存在，服务是否健全，一旦双机种的任何一方心跳消失，则另一台主机立即接替继续提供服务。思为安全产品部署为双机热备模式之后，能够保证当主网关发生意外down机、网络链路发生故障、硬件故障等情况的时候，从网关自动切换为工作状态，代替主网关正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于5s。l 实时探测、断线重连，保证通信可靠性由于种种原因远方VPN节点可能出现多种异常情况，为了保证隧道通信的稳定性，思为 VPN采用独创的隧道保活技术，不断监控对端设备和隧道状态。如果对端掉电重起或者没有响应，那么系统就会自动重连建立新的隧道。l 支持集群，保证负载的可靠性如果防火墙或VPN的用户量比较大或在某个峰值时间访问中心出口的时候，可能会造成中心网关的信息堵塞，导致部分用户不能立即登陆中心网关。思为同飞安全网关支持集群技术，能够将多台设备同时部署，支持负载均衡，有效缓解高峰期间的访问压力。l 独创的双系统备份，保证升级的可靠性在系统升级过程中，由于网络故障或软件故障，一旦升级失败，就会破坏系统环境，导致系统无法正常使用，只能返厂维修。为了防止这种情况，思为安全产品采用独创的双备份系统进行引导。如果升级失败，系统会自动恢复进入最近一次正常的系统或备份系统，从而不会影响到用户的使用。l 支持网络黑匣子，还原故障现场网络设备在使用过程中一旦出现死机、重启的情况，为了事后快速分析出现故障的原因，思为网关支持网络黑匣子的功能。在系统出现故障的时候，系统会自动把出现故障的信息数据记录下来，为事后分析提供强大的依据，为进一步提高安全系统的稳定性提供第一手资料。5.2 灵活的链路适应能力l 支持多种接入方式，随时随地移动办公思为全系列安全产品能够灵活的支持ADSL、PPP、DHCP等上网方式，而移动客户端还能够支持WLAN、PCMCIA、GPRS、CDMA等无线上网方式。所有的系统都能够很好的实现对网络中存在的防火墙、NAT等设备的穿越。真正实现“有线、无线，一网打尽”。l 增强的链路适应能力，确保e路畅通目前市场上许多低端、不合IP协议规范的接入设备对网络通信报文支持较差，主要体现在一下几个方面：1. 较大的UDP报文无法通过。2. 分片报文会被某些NAT设备直接丢弃。3链路丢包率比较大，造成通信无法成功。为了能够兼容这些较差的链路，思为公司对IPSec VPN进行了多方面的改进，通过采用证书压缩机制、IPSec分片技术以及独有的专利技术TCP隧道和MTU探测修改技术，来共同保障链路通信的适应性。经过上述改进，我们可以保证：只要用户可以上网冲浪，思为VPN就可以保持隧道互联互通。5.3 强大的网络管理能力l 支持全部路由协议思为网关支持各种路由协议，可以配置静态路由、策略路由和RIP、OSPF动态路由；思为网关支持IGMP组播协议，支持MROUTE、PIM组播路由，有效实现视频会议等多媒体使用，同时还支持组播报文通过VPN加密传输；思为网关能与交换机、路由器的TRUNK接口对接，并能实现Vlan间通过安全设备传输路由，在同一层种能实现二层交换。l 支持DHCP服务思为网关支持DHCP服务，可以将网关作为DHCP服务器布置在局域网内部，支持内网机器自动获取地址。l 支持动态域名服务思为网关支持动态域名服务，能够将拨号接口的地址与公网域名进行绑定，在拨号地址发生变化的情况下也能保证用户通过域名能正常访问思为网关。思为网关一个接口可以绑定多个域名，目前支持希网DDNS服务。l 带宽管理思为网关支持带宽管理，使用Diffserv技术区分服务技术和随机早检测RED技术来进行带宽控制，实现最大1024个宽度分类。管理员能够通过IP、协议、网络接口、时间定义来配置带宽分配策略，实现优先级高的用户享有较高的带宽。同时还能够对bt、emule等P2P下载的带宽进行限速。5.4 简单方便的管理和操作l 快捷的用户部署，降低安装成本对于大多数企业来说，通常会使用几台VPN网关设备作为中心节点，而其余大部分都采用移动客户端软件来远程接入。在这种情况下，如何把客户端软件、配置信息以及用户认证所需要的证书等资源快捷的交给不同地域的用户就成为VPN部署的一个难题。思为VPN可以通过证书管理器为用户生成证书、私钥，同时采用邮件通知形式通知用户自己到证书管理器上下载软件安装包和配置文件，用户只需在本地安装就可实现快速部署。l 简单的用户操作用户对客户端软件的要求是越简单越好，思为VPN客户端软件可以轻松的满足用户的梦想。对于普通用户来说，只需要在首次使用时输入网关的地址以及认证的方式，此后的运行就都可以直接通过桌面的快捷方式点击就OK了。真正实现了“轻松点击、一键联网”。l 完善的日志审计思为安全网关能依据系统要求记录敏感通信事件和管理事件，同时也能提供网络使用情况的统计数据。收集一个网络的使用和误用情况是非常重要的。管理员根据日志记录可以审计系统隧道建立的情况、管理员所进行的操作和网关所阻断的探测、攻击等非法访问，并为安全策略的进一步完善提供参考。同时网关能支持日志导出，利用日志分析工具可以对导出的日志按照不同的需求进行分析。l 在线升级思为网关支持在线升级，管理员可以通过串口、Telnet或管理器进行升级来提高网关的性能和功能。通过在线升级功能，管理员可以拥有不断更新换代的安全产品。同等型号设备在服务期间是免费升级，同时也可以实现安全模块的升级。第六章 思为安全产品优势特点序号功能优势说明1VPN客户端软件支持支持PDA等手机终端的无线访问除了桌面用户以外，还可以支持PDA手机用户无线安全加密访问，适合公安、税务、海关等行业应用国内独家2VPN客户端软件支持WINCE操作系统的网络终端可以在银行、证券等大量应用网络终端的机器上使用加密功能国内独家3支持VPN隧道协商状态跟踪可以对协商阶段和进展情况进行跟踪，随时显示隧道协商的状态国内领先4支持隧道多链路均衡可以和对方VPN设备通过多个外出链路同时建立隧道，并且可以制定不同隧道的优先级别，实现隧道通信的均衡和备份国内领先5支持IPSec over TCP/HTTP的TTG（Tunnel Transmit Guarantee）专利技术采用已经申请国家专利的IPSec over TCP/Http技术，可以极大地提高VPN系统网络传输的可靠性国内独家6支持子网地址冲突采用已经申请国家专利的技术，通过网址转换，方便的实现子网地址冲突的网络之间的访问，减少部署复杂度国内领先7国内率先同时支持单播、组播和广播隧道通信可以对网络中主要的三种通信报文进行加密，彻底实现对所有IP应用的VPN支持，无缝支持用户业务的扩展国内独家8不用通过WINS服务器自动可以支持网上邻居用户可以通过搜索机器名或查看网上邻居看到VPN内的所有机器国内领先9可以支持组播视频通信的加密能够实现Internet上的视频通信保护国内领先10国内率先支持单机单链路、多机多链路集群功能满足用户对多种接入链路的复杂支持，尤其适合大型企业或者全国性的单位国内领先11SSLVPN采用隧道技术支持WEB、TCP、UDP、ICMP等所有IP应用可以兼容用户所有的业务需求，不用专门针对企业应用进行SSLVPN定制开发国内领先12支持手机短信认证采用最新移动技术，一次一密，避免用户口令遗忘，安全方便国内先进13支持用户登录时间、登录IP和登录机器特征码的三元素检查从而可以限制户在规定的时间、规定的地址使用规定的机器上网，绝对保障用户的身份安全国内独有14支持多机集群最大可以扩展到256台设备，满足用户对性能、可靠性的要求国内领先15除了支持常规几种认证