VPN网络安全互连解决计划

PAGEPAGE27某某某集团ＶPN网络平安互连解决方案上海安达通信息平安技术有限公司ＨＹPＥRＬIＮＫ"httｐ：//wwｗ.adtsec.ｃｏｍ”hｔtp：/／wｗｗ．ａdtsｅc．ｃom

目ﻩﻩ录TOC\ｏ＂１-3"＼h\z\uHYＰEＲLIＮK\l”_Ｔｏc1８2７39059"1。ﻩ用户需求ﻩPAGＥRＥF_Toｃ182７390５９\h3ＨYPＥRLＩNＫ＼l＂＿Toｃ18273９０６0”2．ﻩVPＮ网络设计原则ﻩPＡGEREF＿Ｔｏｃ18２739060\h５HＹＰERLINK＼ｌ”＿Ｔｏc１8２739061＂3．ﻩ系统设计ﻩＰAGＥREF_Tｏc182739０6１＼h６HＹPＥRLＩNＫ\ｌ”_Ｔoc１82７39０６2"3．１。 VPＮ系统部署ﻩPAGERＥF＿Toc１8２739０6２\h6HＹPEＲLＩNK\l＂_Ｔｏc182739063＂3．1.1．ﻩ总部网络ＶＰN系统部署ﻩPAGEＲEF_Toc1８2７3９063＼h6HYＰERLINK\l”＿Toc1８27390６４"3。１．2．ﻩ分支机构ＶPN系统部署ﻩ０６4\h６HＹＰERLIＮK＼l”_Toｃ１８2７39065”3．1．3. 移动办公网点VＰN系统部署 PＡＧＥREF_Ｔoc1827３9０６5\h7ＨYPERLINK\l＂_Toｃ18２7３9066＂3．1.4．ﻩ全网VＰＮ系统部署示意图和系统功能阐述 PＡGERＥF_Tｏｃ18273906６\h7ＨYPＥRＬINＫ\l＂＿Ｔoｃ1８273９0６７＂3.2．ﻩ功能分析ﻩPＡＧEREF＿Toc１８２7３9０６７\h9HＹPEＲLＩNK＼l＂_Ｔoc１８２７３９06８”3．3．ﻩ性能分析ﻩPAＧEREF＿Toc18273９06８\ｈ1０HYＰＥＲＬINK\ｌ"_Tｏｃ1８2７39０６9”3。4。ﻩVOIP和视频会议增值解决方案ﻩＰＡGEＲEＦ＿Ｔoｃ18２7３9069\h１0HYPERLINK＼l"＿Tｏc182739０70”4．ﻩ设备选型和选型产品简介ﻩＰAGＥREF_Ｔｏｃ18２７3９0７0\h1１HＹPERＬIＮＫ\l＂_Toｃ１8273９071”4。1。ﻩ选型原则和设备选型ﻩPAＧEREＦ＿Ｔｏc１82739071\h１1ＨＹPERＬＩＮK＼l”_Ｔoｃ182７39072"４.2。ﻩ选型产品简介ﻩＰＡＧEREＦ＿Toｃ１8２739０72\h1２ＨYPERLＩNK＼ｌ”_Toc１８２73９07３＂4。2．1。ﻩＩPSｅc／ＳＳL二合一SJW7４系列平安网关功能一览表ﻩＰAGEＲEF＿Toｃ１８２７39073\ｈ１2HYPERLIＮK\l＂_Toc1８2７3９07４"4。２。2.ﻩ平安网关性能表ﻩPＡＧERＥＦ_Ｔoc18２７3９074＼h1６HYPERLINＫ\l"＿Toc１82739075＂5。 售后服务ﻩＰAGEＲＥＦ＿Toc１827390７５＼h１7HＹPEＲＬＩNK\l＂_Tｏc1８２7３907６"5.1.ﻩ售后服务承诺 ＰAＧＥREF＿Ｔoc1８27３9０７6＼ｈ17HYPERLＩNK\l＂_Ｔoc18２739077"5．2.ﻩ免费保修期内售后服务内容ﻩＰAGＥREＦ＿Ｔoc１8２739077＼h18ＨYＰＥRＬＩNK\l＂_Tｏｃ182７3907８"5.2．1．ﻩ免费返厂维修服务ﻩPＡGEＲＥF_Toc1８2739078\h１8HＹPEＲLIＮK\l＂＿Toc1８2739079＂5．２。２．ﻩ免费询问服务ﻩＰＡGEREF_Tｏc18２７３９0７９＼h１８HYPERＬINＫ\l"_Ｔoc1８２７39080"５.２.3．ﻩ免费补丁通知及推举 ＰＡGEREＦ_Ｔoｃ1827390８0＼h18ＨYＰEＲLIＮK５.２．5．ﻩ免费产品常规检测服务 ＰＡＧＥRＥF＿Toc1８27３9０８2\h18HＹＰＥRLINK\l＂＿Ｔｏc18２７39083”5。2。6.ﻩ备件替换服务ﻩPＡGＥREＦ＿Toc1８２７3９0８３\h1９ＨＹＰEＲLIＮK＼l＂＿Toｃ18２739０84"5。3。ﻩ免费保修期后售后服务内容ﻩPＡGEREF_Toｃ1827390８４＼ｈ１９HＹPＥRLINK＼l"＿Toc１82７３9０８５＂５.３。1. 软件升级服务ﻩPＡGEＲEＦ_Ｔoc1827390８5\ｈ19ＨＹPERLINK\ｌ＂_Ｔoc182７３9０８６”5．３。2． 以旧换新服务ﻩPAＧERＥＦ_Tｏc１82７3908６＼h1９HYPERLＩNK\ｌ”＿Toc18２73９0８7”５．３.3.ﻩ返厂维修服务ﻩPAGEREＦ_Ｔoc１8273９0８7\ｈ2０HYPERＬIＮK＼ｌ"_Ｔoc18２７39０８８”5。3。４．ﻩ备件替换服务 ＰAGＥREF＿Toc１8２7３9088\h20ＨＹＰERＬINＫ５.３。5． 备机租赁服务ﻩPAＧEＲEF_Ｔoc1827390８9\h２０HYPＥRＬINＫ\l”_Toｃ1８２７39090＂5.4．ﻩ售后服务方式ﻩ２7３90９0\h21ＨＹPERＬＩNＫ\l”_Ｔｏｃ1827３９091＂５.4.1。ﻩ热线服务4０0-880－１２33ﻩＰAGERＥＦ_Toc18273９0９1\h２１HYＰＥRLINK\l＂_Toc182７3909２"5．4．2。 网络远程服务 PＡＧEREF_Ｔoc18２７39092＼h21HYPERLＩNK\l”＿Toc182７３9093＂５．4。3。 现场服务 ＰAGEＲＥF_Toc182７3909３\ｈ２1ＨYPERLINK\l＂＿Toc１82７３90９4”5。4．４。ﻩ其他服务ﻩPAGＥRＥF＿Ｔｏｃ1８2７３9094＼h２1ＨYPＥRLINK＼l”_Tｏc１82739095＂6．ﻩ用户培训ﻩPAGEＲEF_Toc１82７３9０95\h22HYPＥRLINK\ｌ＂＿Toｃ18２739０96＂７。ﻩ附件-—公司简介及成功客户ﻩPAGEＲＥＦ＿Ｔｏｃ18２７３9０9６\h2４ＨYPEＲLINK７.4。 安达通公司部分大中型VPＮ成功案例ﻩPAＧEＲEF_Ｔoｃ182739１００\h2８用户需求某某某集团VＰＮ联网系统总体建设目标是:建立网络互联、信息共享、平安牢靠的远程接入VＰＮ网络。在完成了本项目的VPN网络建设后,将为某某某集团和其分支机构实施各种网络应用系统供应统一、平安、高速、牢靠的网络传输平台,简略能够实现以下目标：１)异地网络互连互通能够实现总部和外地分支机构、移动用户间，通过互联网平安牢靠互连,各地机构可通过VPＮ网络顺利访问总部的各个应用软件系统,就象在局域网内使用这些应用软件系统一样。2）对各种应用系统透明能够依据用户的需要有选择地对需要的应用系统数据进行加密,不需要加密的数据和一般Intｅrneｔ接入业务（如：访问163、ｓｉna等）不受到影响。而且目前各种网络应用均能够在VＰN专网上使用，不需要转变用户的使用习惯。3)高平安性通过构建的VＰＮ网络，能够解决单位内部信息系统数据传输的平安性:保密性、完整性和不行抵赖性.安达通的VPN网关采纳通过国家密码管理局认证的加密算法或者国际标准加密算法进行密钥通信和加密封装，能够保证您的业务系统平安和牢靠的运行而不会被外部人员恶意窃取和窜改。VＰN平安网关可以对访问者资源和权限进行分类,一般业务只有访问特定服务器的特定权限(例如只能查看财务资源)，不能实行其他任何操作，避开了从业务单位外部发生的恶意入侵和攻击的发生；而高级用户才能对总部内网进行敏感业务的操作.ＶＰＮ平安网关可对本地局域网实施边界防护。VPN平安网关融合了防火墙、VＰＮ、入侵检测微引擎，可对外来及内部攻击进行主动防御，更能保证整个网络平台的平安及每个局域网内部的平安.我公司ＶＰＮ平安网关其内置防火墙其抗攻击能力优异。4)高牢靠性我公司ＶPN系统性能稳定牢靠,其高达40000小时的平均无故障工作时间可为系统长期稳定运行供应强有力的保证.并可通过双机热备、多线路负载均衡系统实现中心节点的网络不间断运行。５)高性能此次网络建设依据用户需求和网络带宽，所选用的设备具有较高的加密速率，不仅能满意当前用户数量下的需求，也为将来的扩展留有充分空间.不会由于VPN设备的部署影响上网的速度，并且应当满意应用软件运行的带宽需求。6）高性价比ＶＰN系统价格廉价，而且基于一般宽带线路，接入费用低廉，所以本方案具有极高的性能价格比和投资回报率。７）易于扩展系统VPN网络的扩展格外容易，同时又不会带来平安隐患。如：需要增加客户数量，只需升级设备lｉcense，而无需另购设备。本项目实施后不但解决了很高的信息数据传输平安性,而且不会影响网络传输性能。本方案不仅满意今日的需求，而且支持将来扩展。VＰN网络设计原则对本次的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“有用性、牢靠性、平安型、先进性、扩展性、易管理性、兼容性”建设系统。简略的我们遵循了以下原则：平安性原则我公司坚持以高度平安性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。牢靠性原则这套网络平安系统是用户众多,大量移动用户依靠它在猎取重要信息。它的稳定牢靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作,将给用户带来不便和不行低估的损失。因此牢靠性是平台运行的首要保证。我公司将采纳相应的手段保证系统、网络和数据的稳定牢靠性和不间断运行.先进性原则在系统建设方案，具有相当的先进性，并能够通过对ＶPＮ设备和软件的不断升级,确保系统的技术领先性和持续进展性。有用性原则系统在设计上一方面将满意双向的数据传送、实时处理的要求；另一方面,又采纳国际上最先进的技术,使系统完成后，保持肯定时期的领先地位。有用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与有用性相结合.可扩展性原则系统建设应该是统一规划、分步实施、逐步完善的过程。我公司在该方案的设计中充分考虑它的可扩展性,使系统能够便利的扩展。易管理性原则网络系统的管理和维护工作也是至关重要的.在系统设计时既要充分考虑平台的易管理性，为平台维护者供应便利的管理工具；同时又要设计规范但不失灵敏的工作流程.兼容性原则ＶＰN系统是网络层平安设备，对各种网络应用透明;我公司的VＰＮ平安网关遵循标准的SＳＬ、Ipsｅc和IKE协议，在网络层对IＰ数据包进行加密，对网络中的数据流做基于五元组的访问掌握，因此,对于应用系统是完全透明的.同时依靠我公司强大的研发能力,能够为用户供应特殊的定制性需求.系统设计ＶＰN系统部署某某某集团当前采纳１条1０Ｍbｐｓ宽带线路连接到互联网。如图部署１台ＳJW7４B型平安网关。分支机构和移动用户均通过互联网远程接入总部内网,通过建立的VPN加密隧道，平安访问总部网内的各应用系统（包括B/S和C/S的应用），如:OA等。总部网络VＰN系统部署某某某集团如下部署ＶＰN平安网关：在这种情况下，用户完全没有必要再部署Fｉｒｅｗall，可以如上图部署AＤT平安网关SJW7４Ｂ。安达通平安网关是集“ＶPN、防火墙、IDS微引擎”于一体的网络边界平安防护和平安接入设备,它有效地实现了“主/被动平安防御”的完善结合.其格外强大的VPＮ功能和高平安性、高性价比的多功能集成，是当今网络平安技术进展的主流方向。SＪW７４B型平安网关是安达通IPＳec和SSL合一的最新VPN成果,移动用户只需要使用IE等主流互联网扫瞄器,通过“帐户+口令”或USＢKEY等认证方式,即可和网关建立VPN隧道（使用SSＬ+ＩＰＳec方式），接入内网，进而为各种IＰ应用供应透明传输平台。同时，SJW７4B网关也支持传统的使用“平安客户端"软件（即:IPSec客户端)和网关建立VPN隧道。分支机构ＶPＮ系统部署对于分支机构,采纳SＪW７4Apｒo平安网关部署在网络的边界,和总部的VPN平安网关建立VPN连接，同时充当防火墙保护本地局域网。ADT各型号的平安网关功能相同，只是性能不同,所以总部平安网关的各种功能，分支机构部署的平安网关同样具备，本处不再赘述。如下图：移动办公网点VPN系统部署对于移动用户，只需要在需要远程接入的PＣ上安装安达通平安客户端软件（使用IPSｅc协议）或采纳IE扫瞄器（不用安装专门的VPN客户端软件，使用SSL协议)，即可和总部的VPＮ平安网关建立平安连接。移动用户可以使用“帐户+口令”作为身份认证方式接入；也可以和SurｅＩＤ(安达通USBKEY）配套使用,提高平安性保证身份不行仿冒。如下图:全网VＰＮ系统部署示意图和系统功能阐述ＶＰＮ部署示意图如下所示:网络示意图在总部网络的边界处，部署SJW７４Ｂ型平安网关，网关的WAN口接intｅｒｎet出口（没有Ｆiｒewaｌｌ时),ＬAN口接内网核心交换机;或采纳“单臂连接”方式来部署VPN平安网关（用户已经有Firewａｌｌ时)。SJW74B型平安网关是安达通IPＳec和SSＬ合一的最新VPN成果，移动用户只需要使用ＩＥ等主流互联网扫瞄器，通过“帐户+口令"或UＳBＫEY等认证方式，即可和网关建立VＰＮ隧道（使用SSL＋ＩPＳec方式)，接入内网，进而为各种ＩP应用供应透明传输平台.同时，SＪW7４Ｂ网关也支持传统的使用“平安客户端"软件(即:IPＳec客户端）和网关建立VPＮ隧道。总部边界处还可以部署“双机热备”系统,可以在主设备发生单点故障时进行无缝的切换，确保中心节点的高牢靠性和不间断运行。下属分支机构通过部署SJW74Aｐro平安网关，替代原来的路由器上网方式,在保证了VＰＮ隧道平安访问的前提下,对分支机构的内网进行了有效的保护和掌握；SJW７4Aｐro网关内置强大的防火墙功能在供应上网和VＰN加密通信的前提下保证了内网用户不会被黑客和网络病毒所侵犯。移动办公网点的PC上通过ADSＬ拨号上网；安装“ＶＰN平安客户端”软件(使用IＰSec协议）或直接使用IＥ扫瞄器(使用ＳSL协议），通过“帐户+口令”或ＵSＢKＥY硬件认证的方式,和VPN平安网关建立VPN加密隧道，接入内网,进而为各种ＩP应用供应透明传输平台。功能分析如上部署网络平安设备：VPN可以实现以下几方面功能：实现分支机构（采纳VPN平安网关）或者移动用户（采纳安装“平安客户端”或使用ＩE扫瞄器）通过互联网远程接入总部内网，建立ＶＰＮ加密隧道,平安访问总部内网的各应用系统（包括Ｂ/S和Ｃ/S的应用），在访问过程确保数据传输平安.总部边界处还可以部署“双机热备”系统,可以在主网关发生故障时，热备网关自动接管进行无缝的切换，确保中心节点的高牢靠性和不间断运行.在远程接入(下属机构拨号PＣ和移动用户）的计算机上,只需要插入经过管理员授权的ＵsbＫｅy（强身份认证载体）或使用“帐户＋口令”的方式，运行平安客户端软件或采纳IE扫瞄器,即可与ＶＰＮ平安网关建立VＰＮ隧道，然后就可象在总部局域网内一样使用各种应用软件。另外，如果需要提高平安性(由VPN设备管理员可在ＶPN网关上开启“主机绑定”功能，就可实现USBKEＹ和远程接入的PＣ机进行硬件绑定，这样这个USＢKEY将只能在绑定的PC机上使用。这样可以提高平安性,使管理员严格指定的PC才能接入总部,避开了下属单位用户从其他地方（如：家里）访问XＸ单位的总部内网，避开了信息泄露的威胁。也可以开启“双网隔离”功能,让远程接入的ＰＣ终端在使用VPN隧道时（即在和总部建立连网时)，不能访问互联网中的其他地方(如:siｎa等），进一步提高平安性。平安网关能够对VＰN访问用户进行分类,分成不同的用户资源组,如:财务部、人事部、IT部等（如下图)。分类的用户可在网关上设定不同移动用户组的VPN访问掌握策略，确保不同身份的用户接入到内网后,只能访问网管人员允许他能够访问的服务器／应用/指定的子网或PC(如：只允许XX系/部门的用户只能访问某些应用系统).ＳJW74平安网关具有优良的Qos能力,可以为企业的关键应用（如：ERP、OA、视频会议系统等）保留带宽。这样即使当网络拥挤时，也能够保障关键应用的畅通和尽量小的延时。ＡＤT平安能够将访问掌握策略与保留带宽绑定，并能为这些应用设定优先级，共有8个处理等级可以设置。ＶＰN平安网关对外网可以抵挡黑客的入侵,并可和Ｆiｒｅwａll一起，构成两道网络防护屏障。并可和ＩDS联动，为以后进一步加强总部内网的平安留下进展的空间.VPN平安网关具备优良的状态检测功能,可以防御外网对内部主机的端口扫描、各种DoＳ/DDoS攻击等恶意攻击行为。性能分析SＪＷ７4Ｂ平安网关采纳嵌入式架构,４个网口均采纳10／100Ｍ自适应接口。SJＷ7４Ａｐｒｏ平安网关采纳嵌入式架构，3个网口均采纳10/１00M自适应接口。经上海信息平安测评认证中心专业测评：SJＷ7４Ｂ支持60０，000个内网并发会话数，１,00０个VPN并发用户;在高强度加密下,ＩPＳec吞吐率为40Mbｐs,防火墙吞吐率为１00Mbps.SJW74Aprｏ支持30０，００0个内网并发会话数，4０0个VPＮ并发用户;在高强度加密下，IPSec吞吐率为２0Mｂps，防火墙吞吐率为1０0Mbps。3）远程VＰN移动终端的高加密速度高达３0Mbｐs，所以不会对通过ADＳＬ上网的速度造成用户感觉得到的影响，而且加/解密处理对各种应用软件透明。ＶOIP和视频会议增值解决方案在建成了VＰN网络以后,不仅可以在VPＮ网络上传输数据，而且可以传输语音、视频。安达通VPＮ平安网关能够为ＶＯIＰ、视频和其他需要优先的网络应用，保留带宽和优先处理,这样当网络拥挤时,也能够保障视频、ＶOＩＰ线路的畅通和话音质量。ADＴ平安能够将访问掌握策略与保留带宽绑定，并能为这些应用设定优先级，共有8个处理等级可以设置。如下图所示意：设备选型和选型产品简介选型原则和设备选型对ＶPN产品进行选型，通常依据以下几方面原则：平安网关的加密吞吐率应当大于网络的出口带宽，以免在VPＮ平安网关上产生性能瓶颈；部署在中心节点的平安网关的并发数目应当大于互连的分支机构和移动用户总数;部署在各个节点的VＰN平安网关的并发会话数，应当与本地局域网内的上网ＰC数目有个对比关系（参见“安达通平安网关性能索引表”中的相关参数）；考虑用户的预算。基于要求和上述选型原则，本项目ＶPN平台中将会用到上海安达通信息平安技术有限公司研制生产的如下产品:选用设备型号数量部署位置ＳJW7４B平安网关1台ＸX单位网络边界ＳJW74Apro平安网关４个分支机构出口处移动用户端Licensｅ(配套ＵSBKEY）若干个远程移动终端上选型产品简介IPSec/SSL二合一SJＷ７4系列平安网关功能一览表IPＳecＶPNIPSec协议ＶPN的设计完全遵守ＩＰSec和IKE标准;可和第三方IPSeｃ厂商VPN对连；支持传输和隧道模式协议支持支持各种标准协议，包括ＩＰv4,ＩPv6，ＶLAN标记，路由,ＮAT／NAPT,组播,OSＰF，IＧMP，DｉffSeｒv，ＩPＳｅｃ,ＩＫＥ,VLＡNＴrunk，PPTP穿透，GＲE,H．３２3，HＴＴＰ，SＳL３．０,ＴSＬ1。０,FTP,POP３，ＳMＴＰ等多种应用层协议加密技术支持AＥS、ＤES、3DES、MＤ5、RC4、RSA及ＳＳＰ02,SSＦ3３,ＳCB2等国密算法，支持扩展平安算法模块数字证书支持安达通专有数字证书和第三方CA服务器，全面兼容标准X．5０9标准网络支持支持网到网的IntraｎetVPＮ，支持单机接入的RｅmoteAｃcesｓVPＮ,支持与合作伙伴和客户连接的ＥxtraＶPＮVLAN支持支持VLAＮＴrunｋ，并能够在VLＡN环境下构建VＰN连接NAT—TＶPN内支持NAＴ穿透(ＮAT-T）功能,并能够实现VＰＮ互连的“双向NAT穿透”网桥模式支持在网桥模式(透明模式)下ＶPN通信SA管理支持基于时间和流量双重要素的动态SＡ管理，并支持手动配置的静态ＳA全动态地址组网支持安达通专有地址服务器和DDNＳ两种方式的全动态IP组网用户权限掌握供应基于角色权限的VＰN内部掌握隧道保活定时检测和发起ＶPＮ通信，确保设备间加密通道的时时连通带宽细分对每个ＶPＮ隧道进行“状态检测"和独立带宽细分广播／组播包支持支持任意广播/组播包跨网复制,支持扫瞄网上邻居虚地址互连支持在IP地址冲突情况下的VPN互连，而不需要ＩＰ地址冲突的一方大量更改局域网内ＰC或其他设备的ＩP地址单臂连接平安网关当作一台主机,单口接入网络,无需修改用户物理网络拓扑自动路由支持动态ＩP和分支机构接入时无需修改总部路由器路由向前兼容全面兼容安达通原ＳGW25系列网关互通SSLＶＰNIＰSecoveｒHｔtpｓ/Http支持采纳“IPＳｅｃoverHｔtps/Httｐ”技术替代传统的SSＬ技术，适应各种网络环境扫瞄器/平台支持支持Ｗin9８/20００/ＸP/2００3等平台，支持IE５,ＩE6,Nｅtscapｅnａｖiｇａtｏｒｖ4.ｘ-７．x等互联网扫瞄器Ｗeb应用支持支持Hｔｍｌ/Ｄhtml，Jsｐ，Aｓｐ,Javaaｐpｌeｔ,Ａｃtｉvx,Cookｉeｓ及其其他全部WEB技术的访问Ｃ/S应用支持支持ＴCP／ＩＰ等全部C／S应用服务移动用户终端平安移动用户终端无缓存和Cｏoｋiｅ，避开了在公共环境（如：网吧)使用VPN，遗留的痕迹带来的平安隐患;支持数字证书等多种认证方式用户权限管理基于“角色”管理用户权限实时监控支持实时监控和管理,可实时阻断远程接入用户,对其行为进行记录IＰSec客户端兼容性兼容纯IＰSec的平安客户端接入隧道保持移动用户终端会自动检测隧道断开的情况，并和中心节点重建VＰＮ隧道数字证书支持数字证书认证,并兼容第三方CA系统密码修改移动用户终端登陆有ＰＩN码保护，该密码可以由移动用户自主修改动态下载策略访问资源信息每次VPＮ接入时自动下载，保证访问资源的灵敏性和易管理性多样认证方式支持手机短信认证和动态口令卡认证,并可外挂WindｏwsＡＤ和ＬDAP多因素硬件绑定支持ＵSＢKEＹ和用户的硬盘、CPU和网卡等计算机信息绑定,且该功能的开启是在VＰN网关上集中进行掌握双网隔离一旦启动该功能，移动用户PＣ将只能访问VＰＮ资源而不能访问互联网的任何其他资源IPSｅｃ客户端兼容性兼容纯IＰSeｃ的平安客户端接入链路均衡线路叠加备份支持1～3条出口线路叠加、备份和自动切换服务级别选路依据服务（网络速率、吞吐量、牢靠性）级别进行自动选路跨运营商选路自动选择最优路径访问相应运营商网络线路均衡支持多条ISＰ线路接入,具备线路故障自动探测和路由自动切换功能VＰＮ隧道备份均衡VPＮ隧道的备份和自动愈合策略路由支持多出口的路由选址，也支持基于源和目的地址选址ＶＰＮ加速系统ＶＰN移动接入加速系统（Cｌienｔ-Ｓite加速）融合了桌面终端掌握技术和数据压缩技术,将传统的“Clｉeｎt——Ｓite"的VＰN远程接入速度大幅提高网间加速（Ｓｉte—Siｔe加速）通过Cａｃhe技术、数据压缩技术和多线路隧道负载均衡技术的综合运用，大幅提高“Sｉte--Sitｅ”的VPN网络互联速度防火墙六元组包过滤基于端口、协议、地址和时间相结合的包过滤访问掌握状态检测实现连接跟踪,实现基于方向的防火墙掌握;可独立为每个访问掌握策略进行状态检测内容过滤UＲL检测支持对URＬ检测和过滤，支持黑名单和白名单,并可依据VPN隧道和访问者灵敏定义生效与否ＨTＴＰ会话劫持支持基于HTTP会话劫持的用户认证功能ＱQ封锁支持对QＱ进行基于内容过滤的全方位封锁NAT功能支持静态、动态NAＴ,端口NAT，虚拟服务，分时分段NAT等ＩP/MAC绑定支持IＰ/MAＣ地址绑定，并可和登陆用户名密码结合绑定快速转发基于ＨASH表进行快速转发,极大提高了防火墙速率ＱOＳ支持使用差分业务模型供应的ＱOS,使用随机早期检测ＲＥD丢弃算法供应流量掌握,支持８个等级的ＱOS抗Dｏｓ/DDOS攻击可抵挡扫描探测、DｏＳ、DDｏs等入侵攻击，并可自定义TＣＰ/ＵＤP／ＩＣＭP的Flｏoｄ攻击检测策略抗设备攻击快速过滤模块能显示入侵者信息并立即阻断,可成功抵挡对设备的攻击兼容IDS支持和专业的IDS设备互动，自动阻断IＤS供应的攻击和病毒可靠性嵌入式硬件平台基于PowｅrPC的嵌入式平台，极低功耗,高稳定性，高牢靠性，启动速度快实时操作系统采纳实时操作系统,远高于Lｉnux的系统平安性；内核精简，通信效率极高集群技术支持ＶPN集群,做多系统备份和负载均衡自动恢复供应断线自动恢复功能、隧道自愈功能平均无故障时间〉４000０Ｈ管理功能管理方式支持软件掌握台，WEB集中管理实时监控实时监控网关,修改配置后立即生效,不需重启设备管理级别支持对管理员分级管理管理员登陆可通过串口或者网口进行本地和远程管理管理员认证支持基于口令码或数字证书的身份认证和管理指令通过SSL协议加密离线配置支持可编辑配置文件，并可将设备的配置信息导出到本地或从本地导入设备策略集中分发通过VＰN集中管理平台，自动生成配置信息,自动颁发VＰN策略流量报表图形化流量监控和报表日志容量支持外挂日志服务器和较大容量的内置日志日志种类支持系统、告警、错误、调试等日志,支持日志查找和定位功能主动告警支持声音,短信，email和日志服务器等告警方式，第一时间通知网管员在线升级本地远程升级和序列号授权,并支持升级代码签名,防止设备代码被非法篡改其他功能接入方式支持ＰPＰoE和DＨＣＰ（Ｓervｅｒ和Cｌｉｅnt）协议，支持：ADSL、CablｅMｏdｅm、ISＤN、FTTB、DDＮ、CＤMA、ＧPRＳ等各种接入方式AＲP表项支持ＡRP表清空和FREEＡRP广播广播／多播转发支持广播/多播转发，并限制广播/多播回路网口工作方式支持全/半双工,10/100/10００M自适应等手动和自动配置网口绑定IＰ支持网口绑定多个IＰ地址平安网关性能表产品型号网口数量防火墙吞吐率（并发会话数)高强度加密性能（３ＤES+ＳＨＡ）并发隧道数(含客户端数）负载均衡双机热备外型SＪW74ＡＰrｏ3个百兆以太网口(ＲJ45标准）100Mbps(３0０，0０0)20Mbps400支持支持１Ｕ机架式SＪW74Ｂ4个百兆以太网口(ＲＪ45标准)10０Mbｐs（60０，000）40Mbps1，０00支持支持1U机架式移动认证终端SｕreＩD移动认证终端SuｒeID移动认证终端SｕreＩD移动认证终端SuｒeIDUＳB接口N/A３０Mbps（与主机速度有关）N/ＡN／AＮ/AN／Ａ售后服务上海安达通信息平安技术有限公司（供货商）对销售的安达通VＰN产品供应壹年免费保修期，终身保修。用户遇到产品问题时，联系对象：上海安达通信息平安技术有限公司产品售后服务中心电话支持:40０－８80-1２33技术支持值班热线:13３41７430７９；传真支持：０２１-6875０782;Email支持；tｅch＠adｔseｃ.com现场支持:遇到突发大事和重大技术问题时供应该服务ＡDＴ公司全国范围内强大的ＡCＮＥ(安达通认证工程师）支持体系为客户在设备生命周期内供应以下服务：售后服务承诺安达通公司对本项目产品供应壹年的免费保修期(或简称为：保修期）,产品的保修期自设备发到用户现场之日起计算.免费保修期内供应故障产品免费维修服务和7x2４小时技术支持服务。我公司客服中心设有技术支持热线(见本章上方技术支持电话)，为用户供应7x24的技术询问服务;设备故障报修的响应时间:周一至周五8：３０～18：00期间为２小时。若电话或远程网络支持无法解决，在和用户协商全都后，可在４8小时内到达用户现场进行支持。如果产品故障在检修后仍无法排解，我公司保证在设备维修期间供应故障产品的替代产品供需方替换使用，直至故障产品修复；保修期内，应用户要求，我公司每个季度可免费为用户进行免费产品检测一次，为用户的维护、管理和升级工作供应理由充分的参考依据；保修期内，我公司负责对其供应的产品整套进行维修或升级.免费保修期内售后服务内容免费返厂维修服务当VPN设备消灭硬软件故障时，厂商对有故障的设备进行免费维修。凡因用户方使用不当或不行抗力（如：雷击，未使用规定的电源等)而造成的损坏,不属于保修范围,需要依据厂商相关规定，支付对应的维修费用。设备从客户处发到安达通公司的运费由客户方担当,设备从安达通公司返回客户处运费由安达通公司担当;返修设备应该外观完整，无缺损、凹陷，设备内部主要部件应无物理缺损和人为损坏痕迹,否则安达通公司将酌情提高维修费用；维修时间依据不怜悯况通常在１5个工作日以内。为填补设备维修期间的空缺,用户可以购买“备机替换服务”,这样在维修期间厂商供应故障设备的替换设备。免费询问服务免费为用户供应技术询问等支持服务。包括系统管理的技术指导，协助客户做好备份计划，完善工作日志、机房制度,订立操作守则等。免费补丁通知及推举我公司的服务包括向用户通知适用于他们系统上的补丁并提出简略建议.这样将使用户系统不断得到性能和功能上的改善。免费软件升级服务我公司供应免费保修期间的VＰＮ系统免费软件版本升级及软件功能更新服务。将用户使用的安达通公司产品版本升级到目前硬件平台所能支持的最高版本，并供应今后同一硬件平台下的免费升级。免费产品常规检测服务应用户要求,在设备免费保修期间，我公司可供应每季度一次的VPＮ系统平安检测.发现VＰＮ系统上有关平安性、可管理性以及性能等的潜在问题，并推举解决方法。我公司硬件系统检测对用户运行系统完全没有干扰和影响，并供应一份可读性很强的报表形式呈现于用户面前,为用户的维护工作供应理由充分的参考依据。备件替换服务我公司结合在国内的备件中心，为用户供应故障设备的备件替换服务。对购买了“备件替换服务”的用户，我公司在48小时内供应替换设备供用户在产品故障期间使用，直至故障设备修复，全力削减用户业务的故障中断时间，保证用户业务系统的正常运行。免费保修期后售后服务内容我公司供应设备的终身维护服务，免费保修期后如有设备损坏，依据损坏情况依据公司规定收取相应的维修费用。以下介绍的各项保修期后的售后服务，均需要依据厂商当年相关报价体系,收取相应的服务费用.软件升级服务将用户使用的安达通公司产品版本升级到目前硬件平台所能支持的最高版本，并供应今后同一硬件平台下的免费升级。以旧换新服务“以旧换新”服务针对使用年满１年以上的全部安达通最终用户。用户可以依据自身情况,,以“以旧换新”价格,购买同级或更高级的ADT产品；安达通公司担当将“以旧换新”的新设备运送到客户所在地的运费;用户需要将更换下来的旧设备归还安达通公司,并担当相应运费;如有需要，在上海市范围内实行免费上门更换；上海市范围以外按现场平安服务的收费标准收取服务费用；“以旧换新”后的新设备的保修期为一年；返厂维修服务针对已经过保修期，消灭设备硬件故障的情况，客户可依据自身情况在“以旧换新"和“返厂维修"之间选择一种方式；设备从客户处发到安达通公司运费由客户担当,设备从安达通公司返回客户处运费由安达通公司担当;返修设备应该外观完整，无缺损、凹陷,设备内部主要部件应无物理缺损，否则安达通公司将酌情提高维修费用;维修时间依据不怜悯况通常在15个工作日以内.为填补设备维修期间的空缺，用户可以购买“备机替换服务",这样在维修期间厂商供应故障设备的替换设备；“返厂维修”后修复的设备，保修期为三个月;产品的保修期自设备发到用户现场之日起计算.备件替换服务我公司结合在国内的备件中心,为用户供应故障设备的备件替换服务。对购买了“备件替换服务"的用户，我公司在4８小时内供应替换设备供用户在产品故障期间使用，直至故障设备修复,全力削减用户业务的故障中断时间，保证用户业务系统的正常运行。备机租赁服务安达通用户可享受备机租赁服务，并签署相应的“备机租赁合同”；设备用途：备机用于客户原有系统的设备备份，客户不得销售、转借、出租备机设备,并且只能作为备机使用;备机全部权归安达通公司全部,客户有自收到备机之日起一年的使用权，一年过后客户应将备机准时归还安达通公司；备机的租赁期到后，如需连续租赁,需续签备机租赁合同；备机设备自备机租赁合同签订之日起，免费保修一年。保修期内凡因产品质量造成的损坏应由安达通公司免费修理或更换零部件,维修期间安达通公司保证最终用户网络能正常工作。凡因使用方使用不当而造成的损坏，不属于保修范围。技术支持：对供应的备机产品实行7*2４小时热线询问服务及7＊２4小时故障响应服务,确保故障能准时排解。对于通过电话无法解决的问题，安达通公司将派出工程师到现场解决问题.现场响应时间为4８小时，现场服务的简略费用由双方另行商定.售后服务方式热线服务400—8８0－１２３3客户可以通过热线电话、传真、电子邮件得到我公司的技术服务。热线电话周一至周日全天24小时有效，值班工程师可以实时对客户恳求进行处理，需要持续跟踪解决的问题将在客户服务呼叫中心的电脑申开一个Cａｓe,记录下来，并跟踪处理直至问题圆满解决。技术支持部将对处理完毕的案例进行客户电话回访,以便对服务情况进行监督。网络远程服务我公司供应由工程师通过网络远程支持的服务方式,远程登录到客户网关或主机进行在线诊断.现场服务若用户系统消灭重大故障（包括全部选购设备）,我公司技术支持工程师或ACＮＥ（安达通认证网络工程师)将在和用户协商确认后的48小时内到达用户现场进行处理。其他服务除以上服务方式外,我公司还协助客户做好备份计划,完善工作日志、机房制度,订立操作守则,并在技术服务后提交完整的技术文档。用户培训用户在购买产品后，我公司将为用户供应为期1天的免费现场培训或集中培训。现场培训在安装现场进行,由安装工程师在安装的同时为用户技术人员讲解.集中培训我公司将为用户供应以下培训课程,培训时间、人数、地点和用户商议后确定.培训的内容主要为：本项目使用的安达通产品的原理、特点、产品各项功能、简略设置方法，分析各种设备报告和报表,设备常见故障现象、诊断及解决方法,软硬件的安装、使用及维护,相关的网络平安基础知识等。厂商将派出具有相应专业资格和实际工作阅历的老师进行培训，主要的培训教员均获得相应的资格认证并且具有多年的实际教学阅历。培训使用的语言和教材均为中文.另外,如用户要求我们可以向客户免费供应1～2个ＡＣNＥ免费参训名额，参加安达通公司进行的ＡCNＥ认证培训班.ＡCNE培训大纲如下:第１章ﻩ网络平安技术基础 １．１ 网络平安简介ﻩ1．2ﻩ防火墙原理ﻩ1．3ﻩVPN原理ﻩ1。4 PＫI/CＡ 1．5ﻩ密码技术 第2章ﻩ平安网关原理与实现ﻩ2。１ﻩ网关模块结构ﻩ２．２ 防火墙原理和实现ﻩ2.3ﻩVＰN原理和实现 第3章ﻩＶPＮ系列产品介绍3.1ﻩ平安网关ﻩ3.2ﻩ平安客户端 3。3 平安管理平台 第４章ﻩ实际案例配置 4。１ﻩ网关静态对静态（带客户端接入） 4.2ﻩ网关动态对静态（带客户端接入）ﻩ4。3ﻩ网关动态对动态（带客户端接入）ﻩ4.4ﻩ与防火墙、路由器的协作使用ﻩ４．５ﻩVPＮ后ＮAT技术ﻩ第5章ﻩ常见问题解答ﻩ５。1ﻩ平安网关使用常见问题问答ﻩ5。2ﻩ平安客户端常见问题及分析解决ﻩ第6章 实践与实验ﻩ附件——公司简介及成功客户公司简介上海安达通信息平安技术有限公司（简称：安达通)于200２年１月在上海浦东国家信息平安产业化基地成立，专门从事ＶPN平安网关、VPＮ网管平台、身份认证产品和网络行为管理系统的研发、生产和销售,主要解决网络信息的平安传输、接入身份认证和全网行为平安管理等问题。公司是国家商用密码产品生产定点单位和销售定点单位,上海市高新技术企业和上海市软件企业，通过ＩＳO9001质量管理体系认证。安达通公司始终以“创新”作为企业的立足之本.依靠由博士、硕士、学士组成的层次合理、富有阅历又极具开拓精神的研发团队，凭借对用户需求的潜心讨论,不断推陈出新，在5年多的时间里，先后推出了拥有自主知识产权的三大类主流VPN产品：IＰSecVPＮ平安网关（ＳＧW25系列，已停产）和平安客户端、SＳLVPN平安网关（已停产）、IPＳec和SSL合一的最新型ＶPN平安网关(SJＷ７4系列），并配套有功能强大的平安网管服务器（SureＭanaｇｅｒ）和数字证书服务器(ＳｕreＣＡ）等网管产品。ＳGW2５、SJＷ7４系列VＰN产品先后获得公安部，国家密码管理局,中国信息平安测评认证中心,计算机世界等政府和民间ＩT测评机构的多项认证和大奖,获得宽阔用户的全都好评。安达通平安网关集“VPN、防火墙、网络层入侵检测”功能于一体,多功能、高平安、高性价,引领当今VＰN技术进展的主流方向。平安网关采纳嵌入式硬件平台和实时操作系统软件平台，高性能,低功耗，高牢靠。产品线掩盖从“SOＨO－企业－电信”各级用户,并凭借独创的一系列ＶＰN专有技术,能够适应各种简洁网络环境，在对用户影响最小的前提下快速部署，真正做到“无处不联”。于０７年初上市的“可信专用网络TPＮ(TｒｕsｔedPｒivatｅＮｅtｗork）系统”更是前所未有的将VPN技术、内网行为管理及主机掌握技术融为一体，借助网关和主机的联动体系,将“本地局域网—远地局域网—移动接入节点”的资源和平安策略进行统一管理,一体化解决边界威胁、内网威胁和主机威胁。赢得市场，安达通不仅依靠专业的技术和完善的营销网络,更依靠无微不至的贴心服务!依靠以安达通上海总公司、北京公司、广州公司为核心,全国各省会办事处、区域技术支持中心和上百家授权经销商为骨干，组成的“安达天下”服务联盟，可为您供应全年无休7＊2４小时的标准化服务。一个电话，经过安达通专业认证的工程师就将飞快来到您的身旁,为您排忧解难！更有为客户细心筹备的一系列别具特色的增值服务：以旧换新、备机租赁、续保服务、备件替换、网络巡检等,确保您对安达通的每一分投入,都物超所值，获益终身！如今,安达通VPN产品和解决方案的用户遍布大江南北,拥有政府及部委办局单位、电力、金融、石化、电信、卫生、教育、企事业单位等三千多家成功用户和数十个大型成功案例(单个案例使用ＶPN网关数量超过１００台)。截止０6年底，有近2万台各型安达通ＶPN平安网关和６万多VＰN移动终端正在为宽阔用户供应平安、稳定、迅捷的网络传输平台。展望将来，安达通将连续以ＶPＮ领域为基点,不断创新，锐意进取,将您可信赖的网络传输平台,从外部不断延长到内部，从边界不断扩展到桌面。您身边的VＰN通讯专家，将为您搭建更平安、更自由、更完善的幸福生活舞台!安达通公司机构情况上海安达通信息平安技术有限公司上海浦东乳山路2３3号国林大厦5楼５01室电话：0２1—6８7505６2/6３/６９，40０—880－123３传真站:ＨＹＰEＲLINK”http:／/wwｗ。adtsec．com”httｐ：／/ｗwｗ。ａｄｔseｃ.com外地分公司、办事处、技术支持中心地址详见公司网站。安达通公司和ＶPN产品资质及荣誉上海安达通公司获得了诸多国家有关部门的认证，如下：国家商用密码产品生产定点单位证书；商用密码产品销售许可证书;高新技术企业认定证书；上海市软件企业证书；高新技术企业信用等级A级证书；国家质量管理体系（ＩＳO90０１:2０00）认证证书;国家科技部中小企业创新基金证书安达通公司VPＮ产品资质和荣誉证书：国家商用密码产品技术鉴定证书；国家信息平安认证产品型号证书；公安部销售许可证书；２005年中国计算机报—-编辑选择奖；２006年中国计算机报VPN产品横评——技术创新奖；软件产品登记证书（平安网关，平安客户端);２0０5年江西省网络与信息平安优秀产品;安达通公司部分大中型VＰN成功案例安达通VPＮ产品和解决方案的用户遍布大江南北，拥有政府及部委办局单位、电力、金融、石化、电信、卫生、教育、企事业单位等三千多家成功用户和数十个大型成功案例（单个案例使用VPＮ网关数量超过１０0台）。截止０６年底，有近2万台各型安达通VPN平安网关和6万多VPN移动终端正在为宽阔用户供应平安、稳定、迅捷的网络传输平台。用户单位项目简介河南省农电MIS系统ＶPN专网河南省农村电网ＭＩＳ系统VＰＮ专网，1０多个市农村电网VPN专网建设,共约３00台安达通ＶPN各型平安网关互联河南省电力医保VＰN专网河南省电力公司(ＳＧW２５C)和全省各市５０多家电力医保定点医院（使用SGW25Ｂ／25Ａ／２５ALiｔe）平安互联，建立全省电力医保专网山西晋中电力公司市局（ＳGＷ2５C）和下属13个县局(使用ＳGW２5ＢPrｏ)在电力专网内部建立财务和用电业务专网河南省电力公司－财务FMＩS专网全省电力财务FMIS专网互联，涉及全省和全部地市电力公司，全省1０几个地市的电力公司和电厂通过硬件平安网关,几百个移动办公点通过平安客户端,和省公司财务机房的FＭIS财务服务器互连,在电力网中构建财务ＶPＮ子网,共涉及70多台各型网关和数百客户端浙江省中石化加油站浙江省石油加油站IC卡加油项目，全省14００余加油站（使用ＳGW2５ALｉte）和本市中心节点互连，构建全省石油加油站VPN网络江西省中石化加油站江西省石油加油站IC卡加油项目,全省700余加油站和本市中心节点互连，构建全省石油加油站VＰN网络山西省中石化加油站山西省石油加油站IC卡加油项目，全省7０0余加油站和本市中心节点互连,构建全省石油加油站VＰN网络陕西省统计局全省统计系统省—地/市-县构建３级统计VPN网络,130多个县(使用SGＷ２5A)和１０几个地市(SGW２5B)和省厅(SＧW25C）互联陕西省民政局陕西省各地市民政局和下属区/县民政局（SGW２5AＬite）互联，构建市—区/县民政VPN专网，共使用了上百台VPN平安网关安徽省民政系统安徽省省民政局（SＪW７4C）和下属各地市民政局（ＳGW25Ｂ）互联，构建省－市民政VＰN专网河南省社保河南省社保局和全省各单位ＶPＮ外联，进行社保的网上申报，其中10０多家大型企事业单位采纳中高端平安网关和省社保局(使用SJW7４CＰro）平安互联上海市社保局上海市局和区县几十个社保单位VPN互联,同时进行远程移动办公山东省统计系统山东省统计系统部分地市（如：济南)采纳安达通VPＮ平安网关构建市-县统计VPN专网,截止0６年底已有近２0０台安达通网关用于该专网山东省农