深信服网络办公解决方案.doc

深信服网络办公解决方案一功能项目功能指标支持完整性IPSec VPN、SSL VPN二合一网关，同时支持IPSec VPN和SSLVPN两种VPN协议采用标准SSL 协议，对外仅开放443端口支持对基于TCP、UDP、ICMP的所有B/S、C/S应用系统的支持，例如视频、语音、Ping等服务；支持Web参数修正，可针对Flash、Java、Applet、视频等对象进行修正，无需安装插件访问B/S应用；支持终端使用包括Win7、Mac、Linux等操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows Mobile、IPhone OS、Symbian、Android操作系统的智能手机、PDA等移动终端的SSL VPN接入支持终端使用包括Firefox、Safari、Google Chrome、Opera浏览器来登录SSLVPN系统，登录后可完整支持通过SSLVPN发布的各种IP层以上的B/S和C/S应用支持针对Andriod、IOS智能终端第三方应用程序（APP）的SSL VPN软件开发包（SDK），实现APP的L3VPN接入，客户开发量在20行代码以内产品应支持主流的商业加密算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等，并支持加载扩展SM1等其他安全算法模块。易用性可支持虚拟门户功能，在一台设备上配置多个域名或者IP地址，配置不同的使用界面，提供给用户独立的使用体验； 可支持远程应用发布功能：只传输鼠标、键盘操作和显示数据，无需安装客户端即可支持C/S模式软件系统的远程使用。支持客户端、服务端权限细化控制、远程存储，支持虚拟打印机、本地输入法映射；支持远程应用单点登录支持Web文件共享功能，用户登录SSL VPN后无需安装插件即可使用，进行文件打包下载、上传、删除、重命名、剪切、复制、粘贴、新建文件夹等常用文件操作 支持登录用户在资源页面上直接点击资源列表来启动本机的C/S应用系统客户端，减少业务操作。 管理员可在线对登录用户发布即时广播信息。 支持用户登录界面、服务界面的完全自定义，上传单独的Web页面作为用户登录界面、服务界面支持服务界面资源以文本或图标方式显示，支持自定义资源图标 支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持智能手机等移动终端的B/S单点登录；支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号。 支持认证后，直接跳转到用户资源默认服务应用页面，无需出现资源列表 提供一定技术，防止用户误操作关闭IE浏览器导致VPN隧道断开，如：用户误操作时，将将IE最小化到系统托盘或悬浮窗口。 支持公有账号及私有账号设置，公有账号允许多人同时接入，私有账号仅可一人接入，便于根据需要设置 支持用户自行设置SSL VPN开机自登录、桌面快捷方式，避免SSLVPN登录的繁琐；支持SSLVPN C/S客户端方式启动，SSLVPN登录过程脱离浏览器 支持SSL VPN登录界面默认登录方式，并可针对不同的用户组采用的认证方式显示不同默认登录方式的SSLVPN登录界面支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访 支持在Vista系统中以User权限登录正常使用SSL VPN支持ISA代理环境下的无缝接入支持通过域服务器下发控件，可在只有user权限的机器上安装SSL控件 支持资源导入导出，单独保存配置 终端安全支持安全桌面功能，强制受保护的指定资源仅可在安全桌面下使用；安全桌面下默认仅可与SSLVPN通信，断开互联网链接；在安全桌面内默认禁止外网和本地局域网通讯，禁止和本机默认桌面的通信，防止使用包括USB口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹，保证重要应用使用的安全性。安全桌面根据用户需要自行配置按用户组、单独用户启用；可配置安全桌面下可访问的指定网段；可配置允许使用COM端口、允许使用打印机、允许与切换到默认桌面、允许本地通信；支持更换安全桌面壁纸、文件明文导出及审计、数据加密保存、离线访问等功能。 产品必须可在用户登录SSLVPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象和记录攻击日志。 支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件 支持客户端安全策略库，并支持自动升级针对同一用户/用户组可根据客户端检查结果的安全级别进行不同的资源授权，保护重要资源安全 支持针对指定用户/用户组设置允许/禁止用户登录SSLVPN后自行修改密码、用户描述、手机号码，便于用户对个人信息的自行变更 支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息，实现零痕迹访问可配置用户在接入SSL VPN的同时，断开与Internet其他连接 权限、服务器安全产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；针对同一B/S资源，可对不同用户做到细致到URL级别的授权。 支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统 支持关键文件保护功能，可针对特定应用关键文件进行锁定，防止用户进行篡改进行越权针对服务器地址保护方面，可支持SSLVPN资源列表界面上的用户授权资源隐藏；针对B/S应用，可进行URL地址伪装，防止服务器真实IP地址泄露 身份认证产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、CA等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行LDAP、USB KEY、硬件特征码、短信认证或动态令牌的四因素捆绑认证 产品必须支持用户的硬件特征码认证，通过自动获取而非手动输入获取登录终端硬件信息并生产证书；不同用户必须允许拥有不同数目的硬件特征码个数；硬件特征码审批支持自动审批及分级分权管理 支持将LDAP指定OU中将用户导入到SSLVPN指定用户组，可根据该OU中的子OU结构自动创建子用户组并完成用户导入；支持定时自动同步导入。在LDAP中新增用户，在未及时导入SSLVPN前，该用户可通过LDAP认证后，根据所属OU自动映射到指定用户组，根据所属安全组自动映射到指定角色享有相应资源授权。LDAP认证支持扩展读取手机号码属性、虚拟IP属性、授权资源属性，方便管理员进行管理 同一RADIUS认证支持服务器多地址配置；RADIUS认证支持读取手机号码、虚拟IP；通过RADIUS认证的用户，可根据该用户字段属性自动映射到指定用户组，并享有该用户组所绑定的角色资源授权，方便进行管理 支持有驱USB KEY、无驱USB KEY认证，无驱KEY无需在客户端安装驱动，方便用户 支持随机验证码短信认证，可自定义所发送短信信息格式，支持用户端短信重发功能；支持结合移动、联通、电信的短信网关进行认证；可结合短信猫自行搭建SSLVPN短信认证平台；支持webservice短信认证设备内部必须支持自建CA中心，便于数字证书认证平台搭建；并支持与基于PKI体系的第三方CA进行结合认证 ，可根据CA某字段将通过CA认证的用户自动映射到指定用户组，方便进行权限授权配置；支持多CA环境；支持CRL证书撤销列表支持匿名登录，无需认证直接登录SSLVPN，只提供SSL加密隧道传输 支持图形校验码，验证码必须包含数字和字母组合；支持软键盘认证，每次登陆数字和密码随机变换；支持基于同用户名或同IP的防暴力破解，可设置锁定时间进行自动解锁或手动解锁 支持密码强度设置，如限定密码最小长度、密码必须包含数字字母特殊字符组合、密码不能包含用户名；设置用户第一次登录必须修改初始密码，新密码不能与旧密码相同；设置每隔指定天数用户必须修改密码，密码过期前几天提示修改 高速性必须支持至少4条以上的外网多线路配置，客户端无需安装插件、非依靠IP地址库、根据速度探测实现用户端接入线路的自动优选；并在设备单臂部署模式下，多线路接入前置网关，仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能仅通过SSLVPN设备可实现资源负载均衡功能，用户接入同一资源根据权值可动态负载到多台承载服务器上 支持单边加速功能，支持web服务，TCP服务，L3VPN服务，远程应用发布的单边加速支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、高延等恶劣网络环境下传输速度及效率针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度 远程应用发布支持自有SRAP协议，极大提高应用访问速度 针对PDA等手持移动终端上的B/S资源使用，可实时动态调整页面架构适应终端进行显示，实现Web优化，提高用户体验 高管理要求支持5级以上的管理员分级分权限管理，从Admin派生树形结构下级管理员；上级管理员可分配下级管理员享有设备配置模块权限，可管理的用户、资源、角色权限，并可限制下级管理员是否允许创建下级管理员、创建资源、创建角色；上级管理员可限制下级管理员对权限内配置享有查看或配置权限 支持10级以上用户组树形结构分级管理，下级组可继承上级组的角色，资源及认证方式等属性 支持基于用户、用户组分配不同的虚拟IP；对于用户仅启用L3VPN应用/仅启用TCP应用/仅启用Web应用，都可支持用户的虚拟IP绑定支持基于用户、用户组的流量控制和会话限制、无流量超时时间、账号过期时间、闲置失效时间设置 支持系统实时监控，图形化显示一段时间内的运行状况，可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数；可查看历史最高并发用户数并显示时间记录；可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息，并可在线中断指定用户 支持独立日志中心进行SSLVPN实时日志记录，可详细记录用户访问资源记录（用户、主机IP、资源、时间）、管理员日志（管理员、主机IP、时间、管理行为、对象）、系统日志、告警日志；可根据用户名、主机IP等信息进行用户行为查询；可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录；提供暴破登录记录；可提供用户登陆SSLVPN采用非绑定账号访问应用系统的记录 支持整体网关配置的本地及远程备份、恢复功能；支持SSLVPN配置的单独备份、恢复功能，并支持历史配置的回滚 稳定性、可扩展性支持不依赖于第三方的动态IP寻址系统和动态IP组网支持（非DDNS）设备端多线路部署下，必须支持线路状态实时探测，若线路状态不稳定，用户端可实时切换SSLVPN接入线路，并保持SSLVPN连接不中断；支持SSLVPN隧道断线自动重连 支持253台不同型号设备间进行集群（A/A），支持路由模式、单臂模式下多线路部署的集群；支持集群设备间Session同步，一台设备宕机后其上用户无需重新登录SSLVPN可继续使用；可扩展分布式集群功能，无需专门的全局负载设备即可实现异地SSLVPN设备间的接入用户负载分担、速度优选接入，异地设备间互为备份，分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的SSLVPN设备IPSec VPN功能支持IPSecVPN移动用户的LocalDB、LDAP、RADIUS、USBKEY认证，支持硬件鉴权绑定用户登录终端；支持移动用户有效接入时间、过期时间设置，支持用户最后一次登录时间记录；可允许/禁止用户在线修改密码，可允许/禁止同时多人以同一账号以IPSecVPN移动客户端方式登陆 支持硬件网关的硬件鉴权，可根据设备本身的硬件信息生成证书，分支设备接入总部根据该证书进行验证，防止非法网关的接入 支持IPSecVPN组网设备进行双向访问权限控制，总部可限制分支对本地访问权限，分支可限制总部对本地访问权限，对对端设备仅开放指定服务，可细致到IP、端口支持IPSecVPN隧道内组播、广播、网上邻居 支持同网段分支可通过隧道内NAT实现与总部同时建立IPSec VPN隧道 支持总部与多分支组网，通过隧道间路由让分支与分支的VPN互访数据通过总部进行转发，实现非直连组网支持VPN隧道内流量控制，为每个接入分支和移动用户的上下行带宽限制 总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略针对线路跨运营商、高丢包导致的IPSecVPN使用不佳的情况，支持特定技术进行优化，加快应用响应，提高访问速度 支持与Cisco、Juniper等第三方标准IPSec VPN进行对接支持在线查看各隧道连接状态、连接名称、用户名、实时流量、Internet IP、内网IP、接入时间、传输类型；可整体查看设备外网流量、VPN流量、连接总数、剩余IPSec VPN授权数防火墙产品应具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击，能够进行包过滤或WAN、LAN、DMZ口之间访问控制；为了避免人为配置错误，产品必须支持对防火墙的过滤规则能够进行在线虚拟测试。 1、对于带号的参数，必须按照招标参数要求提供相应的证明资料原