深信服网络办公解决方案

深信服网络办公解决方案 一 功能一 功能 项目项目功能指标功能指标 IPSec VPN SSL VPN 二合一网关 同时支持 IPSec VPN 和 SSLVPN 两种 VPN 协议 采用标准 SSL 协议 对外仅开放 443 端口 支持对基于 TCP UDP ICMP 的所有 B S C S 应用系统的支持 例如视频 语音 Ping 等服务 支持 Web 参数修正 可针对 Flash Java Applet 视频等对象进行 修正 无需安装插件访问 B S 应用 支持终端使用包括 Win7 Mac Linux 等操作系统来登录 SSLVPN 系统 并完整支持 该操作系统下的各种 IP 层以上的 B S 和 C S 应用 支持 Windows Mobile IPhone OS Symbian Android 操作系统的智能手机 PDA 等移动终端的 SSL VPN 接入 支持终端使用包括 Firefox Safari Google Chrome Opera 浏览器来登录 SSLVPN 系统 登录后可完整支持通过 SSLVPN 发布的各种 IP 层以上的 B S 和 C S 应用 支持针对 Andriod IOS 智能终端第三方应用程序 APP 的 SSL VPN 软件开发包 SDK 实现 APP 的 L3VPN 接入 客户开发量在 20 行代码以内 支持完支持完 整性整性 产品应支持主流的商业加密算法 包括 AES DES 3DES DH RSA RC4 MD5 SHA1 等 并支持加载扩展 SM1 等其他安全 算法模块 可支持虚拟门户功能 在一台设备上配置多个域名或者 IP 地址 配置不同的使用界 面 提供给用户独立的使用体验 可支持远程应用发布功能 只传输鼠标 键盘操作和显示数据 无需安装客户端即 可支持 C S 模式软件系统的远程使用 支持客户端 服务端权限细化控制 远程存 储 支持虚拟打印机 本地输入法映射 支持远程应用单点登录 支持 Web 文件共享功能 用户登录 SSL VPN 后无需安装插件即可使用 进行文件打 包下载 上传 删除 重命名 剪切 复制 粘贴 新建文件夹等常用文件操作 支持登录用户在资源页面上直接点击资源列表来启动本机的 C S 应用系统客户端 减少业务操作 管理员可在线对登录用户发布即时广播信息 支持用户登录界面 服务界面的完全自定义 上传单独的 Web 页面作为用户登录界 面 服务界面 支持服务界面资源以文本或图标方式显示 支持自定义资源图标 支持单点登录功能 SSO 支持移动用户登录 VPN 后再登录内部 B S C S 应用系统 时不需要二次重复认证 支持针对 B S 单点登录用户名密码加密传输 保证安全 支持智能手机等移动终端的 B S 单点登录 支持针对不同的访问资源设定不同的 SSO 用户名和密码 支持用户自行修改 SSO 账号 支持认证后 直接跳转到用户资源默认服务应用页面 无需出现资源列表 提供一定技术 防止用户误操作关闭 IE 浏览器导致 VPN 隧道断开 如 用户误操作 时 将将 IE 最小化到系统托盘或悬浮窗口 易用性易用性 支持公有账号及私有账号设置 公有账号允许多人同时接入 私有账号仅可一人接 入 便于根据需要设置 支持用户自行设置 SSL VPN 开机自登录 桌面快捷方式 避免 SSLVPN 登录的繁琐 支持 SSLVPN C S 客户端方式启动 SSLVPN 登录过程脱离浏览器 支持 SSL VPN 登录界面默认登录方式 并可针对不同的用户组采用的认证方式显示 不同默认登录方式的 SSLVPN 登录界面 支持智能递推技术 针对多外链的门户网站进行动态嗅探页面内的链接并完成资源 自动授权 防止资源漏访 支持在 Vista 系统中以 User 权限登录正常使用 SSL VPN 支持 ISA 代理环境下的无缝接入 支持通过域服务器下发控件 可在只有 user 权限的机器上安装 SSL 控件 支持资源导入导出 单独保存配置 支持安全桌面功能 强制受保护的指定资源仅可在安全桌面下使用 安全桌面下默 认仅可与 SSLVPN 通信 断开互联网链接 在安全桌面内默认禁止外网和本地局域网 通讯 禁止和本机默认桌面的通信 防止使用包括 USB 口设备 打印机等外设的信 息外泄 退出安全桌面后清除安全桌面内一切操作和遗留的痕迹 保证重要应用使 用的安全性 安全桌面根据用户需要自行配置按用户组 单独用户启用 可配置安 全桌面下可访问的指定网段 可配置允许使用 COM 端口 允许使用打印机 允许与 切换到默认桌面 允许本地通信 支持更换安全桌面壁纸 文件明文导出及审计 数据加密保存 离线访问等功能 产品必须可在用户登录 SSLVPN 时智能判断存在中间人攻击行为 断开被攻击的连接 并可提示异常现象和记录攻击日志 支持用户终端登录前 登陆后的安全性检测 检测范围包括 用户接入 IP 接入时 间 接入线路 IP 进程 文件 注册表 操作系统 使用终端 可以检测出客户端 是否安装指定的防火墙或杀毒软件 支持客户端安全策略库 并支持自动升级 针对同一用户 用户组可根据客户端检查结果的安全级别进行不同的资源授权 保护 重要资源安全 支持针对指定用户 用户组设置允许 禁止用户登录 SSLVPN 后自行修改密码 用户描 述 手机号码 便于用户对个人信息的自行变更 支持客户端注销后自动清除所有缓存 Cookies 浏览器历史记录 保存的表单信息 实现零痕迹访问 终端安终端安 全全 可配置用户在接入 SSL VPN 的同时 断开与 Internet 其他连接 产品应具有用户 用户组细粒度的权限分配功能 可以针对被访问资源的 IP 地址 端口 提供的服务 URL 地址等进行权限控制 针对同一 B S 资源 可对不同用户 做到细致到 URL 级别的授权 支持主从认证账号绑定 必须实现 SSL VPN 账号与应用系统账号的唯一绑定 VPN 资源中的系统只能以指定账号登陆 加强身份认证 防止登录 SSL VPN 后冒名登录 应用系统 支持关键文件保护功能 可针对特定应用关键文件进行锁定 防止用户进行篡改进 行越权 权限 权限 服务器服务器 安全安全 针对服务器地址保护方面 可支持 SSLVPN 资源列表界面上的用户授权资源隐藏 针 对 B S 应用 可进行 URL 地址伪装 防止服务器真实 IP 地址泄露 产品必须支持 Local DB USB KEY 短信认证 硬件特征码 动态令牌 数字证书 认证 LDAP RADIUS CA 等认证方式 可针对用户 用户组设置认证方式的与 或 组合 可进行 LDAP USB KEY 硬件特征码 短信认证或动态令牌的四因素捆绑认 证 产品必须支持用户的硬件特征码认证 通过自动获取而非手动输入获取登录终端硬 件信息并生产证书 不同用户必须允许拥有不同数目的硬件特征码个数 硬件特征 码审批支持自动审批及分级分权管理 身份认身份认 证证 支持将 LDAP 指定 OU 中将用户导入到 SSLVPN 指定用户组 可根据该 OU 中的子 OU 结 构自动创建子用户组并完成用户导入 支持定时自动同步导入 在 LDAP 中新增用户 在未及时导入 SSLVPN 前 该用户可通过 LDAP 认证后 根据所属 OU 自动映射到指定 用户组 根据所属安全组自动映射到指定角色享有相应资源授权 LDAP 认证支持扩 展读取手机号码属性 虚拟 IP 属性 授权资源属性 方便管理员进行管理 同一 RADIUS 认证支持服务器多地址配置 RADIUS 认证支持读取手机号码 虚拟 IP 通过 RADIUS 认证的用户 可根据该用户字段属性自动映射到指定用户组 并享 有该用户组所绑定的角色资源授权 方便进行管理 支持有驱 USB KEY 无驱 USB KEY 认证 无驱 KEY 无需在客户端安装驱动 方便用 户 支持随机验证码短信认证 可自定义所发送短信信息格式 支持用户端短信重发功 能 支持结合移动 联通 电信的短信网关进行认证 可结合短信猫自行搭建 SSLVPN 短信认证平台 支持 webservice 短信认证 设备内部必须支持自建 CA 中心 便于数字证书认证平台搭建 并支持与基于 PKI 体 系的第三方 CA 进行结合认证 可根据 CA 某字段将通过 CA 认证的用户自动映射到 指定用户组 方便进行权限授权配置 支持多 CA 环境 支持 CRL 证书撤销列表 支持匿名登录 无需认证直接登录 SSLVPN 只提供 SSL 加密隧道传输 支持图形校验码 验证码必须包含数字和字母组合 支持软键盘认证 每次登陆数 字和密码随机变换 支持基于同用户名或同 IP 的防暴力破解 可设置锁定时间进行 自动解锁或手动解锁 支持密码强度设置 如限定密码最小长度 密码必须包含数字字母特殊字符组合 密码不能包含用户名 设置用户第一次登录必须修改初始密码 新密码不能与旧密 码相同 设置每隔指定天数用户必须修改密码 密码过期前几天提示修改 必须支持至少 4 条以上的外网多线路配置 客户端无需安装插件 非依靠 IP 地址库 根据速度探测实现用户端接入线路的自动优选 并在设备单臂部署模式下 多线路 接入前置网关 仅依靠 SSLVPN 设备同样可实现 SSLVPN 接入用户的多线路自动优选 功能 仅通过 SSLVPN 设备可实现资源负载均衡功能 用户接入同一资源根据权值可动态负 载到多台承载服务器上 支持单边加速功能 支持 web 服务 TCP 服务 L3VPN 服务 远程应用发布的单边加 速 支持 HTP 快速传输协议 大幅优化无线环境 CDMA GPRS WIFI 3G 高丢包 高延等恶劣网络环境下传输速度及效率 针对 B S 资源支持 WebCache 技术 动态缓存页面元素 提高 Web 页面响应速度 远程应用发布支持自有 SRAP 协议 极大提高应用访问速度 高速性高速性 针对 PDA 等手持移动终端上的 B S 资源使用 可实时动态调整页面架构适应终端进 行显示 实现 Web 优化 提高用户体验 支持 5 级以上的管理员分级分权限管理 从 Admin 派生树形结构下级管理员 上级 管理员可分配下级管理员享有设备配置模块权限 可管理的用户 资源 角色权限 并可限制下级管理员是否允许创建下级管理员 创建资源 创建角色 上级管理员 可限制下级管理员对权限内配置享有查看或配置权限 支持 10 级以上用户组树形结构分级管理 下级组可继承上级组的角色 资源及认证 方式等属性 支持基于用户 用户组分配不同的虚拟 IP 对于用户仅启用 L3VPN 应用 仅启用 TCP 应用 仅启用 Web 应用 都可支持用户的虚拟 IP 绑定 支持基于用户 用户组的流量控制和会话限制 无流量超时时间 账号过期时间 闲置失效时间设置 支持系统实时监控 图形化显示一段时间内的运行状况 可查看 CPU 占用率 各条 线路网络吞吐量 各条线路的 IP 地址及发送接收流速 并发会话数 SSL 并发用户 数 可查看历史最高并发用户数并显示时间记录 可实时查看 SSL 接入用户的用户 名 发送流速 接收流速 发送流量 接收流量 接入时间 并发会话数 接入 IP 虚拟 IP 认证方式等信息 并可在线中断指定用户 支持独立日志中心进行 SSLVPN 实时日志记录 可详细记录用户访问资源记录 用户 主机 IP 资源 时间 管理员日志 管理员 主机 IP 时间 管理行为 对象 系统日志 告警日志 可根据用户名 主机 IP 等信息进行用户行为查询 可提供用 户组 用户流量排行及查询 资源流量排行及查询 资源活跃程度 用户活跃程度等 记录 提供暴破登录记录 可提供用户登陆 SSLVPN 采用非绑定账号访问应用系统的 记录 高管理高管理 要求要求 支持整体网关配置的本地及远程备份 恢复功能 支持 SSLVPN 配置的单独备份 恢 复功能 并支持历史配置的回滚 支持不依赖于第三方的动态 IP 寻址系统和动态 IP 组网支持 非 DDNS 设备端多线路部署下 必须支持线路状态实时探测 若线路状态不稳定 用户端可 实时切换 SSLVPN 接入线路 并保持 SSLVPN 连接不中断 支持 SSLVPN 隧道断线自动 重连 稳定性 稳定性 可扩展可扩展 性性 支持 253 台不同型号设备间进行集群 A A 支持路由模式 单臂模式下多线路部 署的集群 支持集群设备间 Session 同步 一台设备宕机后其上用户无需重新登录 SSLVPN 可继续使用 可扩展分布式集群功能 无需专门的全局负载设备即可实现异 地 SSLVPN 设备间的接入用户负载分担 速度优选接入 异地设备间互为备份 分布 式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的 SSLVPN 设备 支持 IPSecVPN 移动用户的 LocalDB LDAP RADIUS USBKEY 认证 支持硬件鉴权绑 定用户登录终端 支持移动用户有效接入时间 过期时间设置 支持用户最后一次 登录时间记录 可允许 禁止用户在线修改密码 可允许 禁止同时多人以同一账号 以 IPSecVPN 移动客户端方式登陆 支持硬件网关的硬件鉴权 可根据设备本身的硬件信息生成证书 分支设备接入总 部根据该证书进行验证 防止非法网关的接入 支持 IPSecVPN 组网设备进行双向访问权限控制 总部可限制分支对本地访问权限 分支可限制总部对本地访问权限 对对端设备仅开放指定服务 可细致到 IP 端口 支持 IPSecVPN 隧道内组播 广播 网上邻居 支持同网段分支可通过隧道内 NAT 实现与总部同时建立 IPSec VPN 隧道 IPSecIPSec VPNVPN 功功 能能 支持总部与多分支组网 通过隧道间路由让分支与分支的 VPN 互访数据通过总部进 行转发 实现非直连组网 支持 VPN 隧道内流量控制 为每个接入分支和移动用户的上下行带宽限制 总部与分支有多条线路 可在线路间一一进行 IPSecVPN 隧道建立 并设置主隧道及 备份隧道 对主隧道可进行带宽叠加 按包或会话进行流量平均分配 主隧道断开 备份隧道自动启用 保证 IPSecVPN 连接不中断 可为每一分支单独设置不同的多线 路策略 单臂部署下同样支持多线路策略 针对线路跨运营商 高丢包导致的 IPSecVPN 使用不佳的情况 支持特定技术进行优 化 加快应用响应 提高访问速度 支持与 Cisco Juniper 等第三方标准 IPSec VPN 进行对接 支持在线查看各隧道连接状态 连接名称 用户名 实时流量 Internet IP 内网 IP 接入时间 传输类型 可整体查看设备外网流量 VPN 流量 连接总数 剩余 IPSec VPN 授权数 防火墙防火墙 产品应具备基于状态监测技术的防火墙功能 能够抵抗常见的网络攻击 能够进行 包过滤或 WAN LAN DMZ 口之间访问控制 为了避免人为配置错误 产品必须支持 对防火墙的过滤规则能够进行在线虚拟测试 1 对于带号的参数 必须按照招标参数要求提供相应的证明资料原件并加盖原厂商公章