SSLVPN解决专项方案

XXX企业

VPN系统处理方案

提议书

北京天融信企业

2021年4月

目录

第一章XXX企业网络现实状况及需求分析..........

1.1网络现实状况............................................

1.2需求分析....................................................

第二章VPN技术及天融信VONE产品....................

2.1VPN产品概述................................................

2.1.1安全接入应用趋势....................................

2.1.2安全接入技术趋势...................................

2.1.3天融信VONE产品介绍................................

2.2天融信VONE网关产品特点...................................

2.3大融信VONE产品关遴功效...................................

2.4天融信VONE产品规格........................................

第三章XXX企业SSLVPN接入处理方案................

3.1VPN处理方案...............................................

3.2本处理方案关犍特点........................................

第一章XXX企业网络现实状况及需求分析

1.1网络现实状况

xxx企业企业业务网络系统由企业总部和远程挪移用户组成。其中总部局域网络是整

个网络系统关键，为企业各类服务器所在地，同时也是网络管理中心.各挪移用户现在期望

经过Internet和总部进行安全通信，具体需求以下：

企业现在有一个内部业务应用系统（基于B/S或者C/S架构），因为业务扩展，有不少

业务人员在外办公，现在大约有1000名挪移用户，为了能合理利用网络及内部资源，需

提供一个简单可行远程接入方案，把挪移用户接入到内网，同时对这些用户能有效进行管

理。

1.2需求分析

依据XXX企业现有网络情况和业务情况，现在需求分析以下：

•内网业务系统基于B/S结构，业务模式简单；

•挪移办公人员众多，使用水平参差不齐；

•对挪移办公人员身份要求进行严格认证和监控；

•数据在Internet上传输时应确保足够安全；

,该系统扩展性好，为以后扩充更多用户做好准备；

•有良好日志系统；

•整个接入系统安装方便、快捷，便于维护和管理。

基于以上分析，这是一个经典VPN接入需求。天融信企业能提供基于IPSec和SSL

两种VPN处理方案，在本案中，用户业务模式简单（仅基于B/S模式），用户数量众多，在

此推荐采取SSL处理方案。以下我们将具体叙述天融信SSLVPN处理方案。

第二章VPN技术及天融信VONE产品

2.1VPN产品概述

2.1.1安全接入应用趋势

伴有电子政务和电子商务信息化建设快速推进和发展，越来越多政府、企事业部门已经

或者即将构建网上办公系统和业务应用系统，使内部办公人员经过网络能够快速地获取信

息、，使挪移办公等多个远程办公模式得以逐步实现，同时使合作火伴人员也能够访问到对

应信息资源。可是要享受经过互联网访问企业内部信息资源便利，就面临着非法访问、信

息窃取等越来越多来自外部和内部安全威胁。而我们现在所使用操作系统、网络协议和应

用系统不可避免地存在着不少安全漏洞。所以，在构建和应用这些应用系统时，必需要保

障关键应用在开放网络环境中安全，同时还需尽可能降低实施和维护成本。

2.1.2安全接入技术趋势

现在安全接入组网技术有多个，每种技术全部有其合用范围和优点，同时也有一定缺点。

主流VPN技术关键有以下三种：

1.L2TP/PPTPVPN

L2TP/PPTPVPN属于二层VPN技术。在windows主流操作系统中全部集成L2TP/PPTP

VPN拨号用户端软件：无非因为协议本身缺点，没有高强度加密和认证手段，安全性较低：

同时这种技术仅处理了挪移用户VPN访问需求，对于LAN-TO-LANVPN应用无法处理；

2.IPSecVPN

IPSecVPN属于三层VPN技术，协议定义了完整安全机制，对用户数据完整性和私密

性全部有完善保护方法；司时工作在网络协议三层，对应用程序是透明，能够无缝支持多种

应用；既能够支持挪移用户VPN应用，也能支持LAN-TO-LANVPN组网；支持多个网络拓

扑结构。其缺点是网络协议比较复杂，正确配置VPN隧道需要较多专业知识：而且需要在移

动用户机器上安装单独用户端软件。

3.SSLVPN

SSLVPN属于应用层VPN技术，协议定义了完整安全机制，对用户数据完整性和私密性

全部有完善保护；因为在windows等操作系统中IE浏览器已经支持了完整SSL协议，所以原

理上将对于B/S应用是无需安装用户端软件，布署使用较为简单。关键合用和挪移用户接入

并访问B/S结构应用系统，对于C/S应用支持仍然需要安装用户端插件。

多种VPN技术全部有其优点和缺点，用户实际应用中，往往需要将这多个技术进行综合

应用，才干满足较为复杂用户需求。天融信将这多个VPN技术有机进行了整合，实现了在一

台设备中同时支持上述多个主流VPN组网技术，同时集成为了业内成熟率先防火墙和身份认

证系统，形成为了一个完整安全接入处理方案。

2.1.3天融信VONE产品介绍

网络卫士VONE系列(IPSEC/SSLVPN多合一网关)是集天融信十几年研发经验，向用

户提供完整VPN接入处埋方案，是天融信推出最新一代网络安全接入产品。该产品以天融信

自主知以产权TOS(TopsecOperatingSystem)为系统平台，采取开放性系统架构及模块化

设计，融合了身份认证、访问控制等安全手段，含有安全、高效、易于管理和扩展等特点。

网络卫士VONE网关可为分支机构、挪移办公职员、业务合作火伴及用户提供各自所需

应用和资源安全便捷接入服务。产品L2TP/PPTP/SSL功效无需安装任何用户端软件，也无需

投入太多人力进行配置或者长久维护；产品完善IPSECVPN功效能够方便构筑和分支机构之

间LAN-TO-LAN互联VPN网络。

SSLVPN在外部网络和内部网络之间，利用安全套接层(SSL)来提供安全传输功效，而

SSL在全部标准Web浏览器中全部含有。SSLVPN构建在经过强化软硬件平台上，实现用户

和资源绑定。

天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多个接入方法，

以适应不一样用户需求，同时还含有强大访问控制权限管理、细粒度审计和日志统计等功效。

网络卫士VONE网关包含完整业界率先专业防火墙功效，还含有内容过滤、入侵谨防、

带宽管理等功效，能为用户提供全方面网络边界安全防手处理方案。

2.2天融信VONE网关产品特点

1)自主安全操作系统平台

采取自主知识产权安全操作系统一TOS(TopsecOperatingSystem),TOS拥有

优异模块化设计架构，有效保障了防火墙、VPN.自容过滤、抗攻击、流量整形等模块

优异性能，其良好扩展性为未来快速扩展更多特征提供了无限可能。TOS含有高安全性、

高可靠性、高实时性、高扩展性及多体系结构平台适应性特点。

2)多个VPN技术有机融合

前面已经分析了现在主流多种VPN技术优缺点，这些技术有其不一样合用范围。在

实际用户网络中，不一样用户需求往往需要多个VPN技术综合应用，在这种情况下往往

需要用户购置多台不一样VPN设备来满足需求，这既浪费资源又带来用户管理维护工作

量，同时网络环境变得愈加复杂，网络运行稳定性和安全性全部见面临新挑战。

网络卫士VONE网关是天融信企业在多年多种独立VPN产品研发和销售基础上，推

出一款融合lPSEC/SSL/m?/L2TP等多个VPN技术综合安全网关产品。在TOS平台强大

整合能力保障下，多种VPN模块进行了有机整合，为用户提供一个统一完整VPN接入平

台。

3)安全接入和安全防护无缝结合

VPN网关作为网络边界设备，除了完成远端网络或者挪移用户远程接入功效外，对

用户网络边界安全也是至关关键。网络卫士VONE网关是构建在天融信强大TOS系统

平台基础上，集成为了天融信业内率先防火墙功效模块，能够为用户VPN网络提供高

等级边界安全防护和访问控制。

天融信VPN网关含有强大内容过滤功效，支持LTL分类过滤，分类库大于700万条；

支持挂马网站过滤；支持邮件过滤和反垃圾邮件功效。还具完善应用识别功效，用户能

够轻松针对部份经典网络应用，如MSN,QQ.Skypo,新浪UC,阿里旺旺.谷歌Talk

等即时通信应用,和BT、Edon通y、Emule、讯雷等p2p应用实施灵便访问控制策略,如

严禁、限时、带宽控制等。

网络卫士V0NE网关支持完善基于彻底内容检测访问控制技术。防火墙检测技术发

展至今，大致经历了三个阶段，从早期状态检测(StatusInspection)到以后深度包

检测(DeepPacketInspection),现在已经发展到了最新彻底内容检测(CCLComplete

ContentInspection）o状态检测只检验数据包包头，深度包检测可对数据包内容进行

检验，而CCI则可实时将网络层数据还原为完整应用层对象（如文件、网页、邮件等），

并对这些完整内容进行全方面检验，实现根本内容防护。

网络卫士VONE网关在MAC层提供基于MAC地址过滤控制能力，同时支持对多种二

层协议过滤功效；在网络层和传输层提供基于状态检测分组过滤，能够依据网络地址、

网络协议和TCP、UDP端口进行过滤，并进行完整协议状态分析；在应用层经过深度内

容检测机制，能够对高层应用协议命令、访问路径、内容、访问文件资源、关键字、移

动代码等实现内容安全控制；从而形成为了立体、全方面访问控制机制，实现了全方位

安全控制。

4）多个SSLVPN技术结合实现应用全覆盖

现在SSLVEN接入技术大致分为三类:WEB转发（WEBHJKWAKD）,端口转发（PUKT

FORWARD）和全网接入（NETWORKACCESS或者称为TPTUNNEL）o这三种技术技术特点

和合用范围各不相同，在网络卫士VONE网关中对这三种SSLVPN接入技术全部做了很

好支持，用户能够依据本身应用系统特点选择使用一个或者多个接入方法。

WEB转发模式能够实现用户彻底无用户端接入，支持多种操作系统和用户浏览器平

台。但其缺点是仅支持B/S模式应用系统，而且对用户应用系统依靠性较强.网络卫士

VONE网关经过在WEB转发模式中应用独创智能URL重定向技术和自动分布式页面重构技

术大大提升了对用户B/S系统支持率和处理性能。同时经过开放页面替换规则框架，支

持为用户个性化业务系统自定义特殊URL替换规则，深入提升了系统适应性。

端口转发模式经过用户端当地代理技术实现对用户访问请求SSL协议封装和转发。

这种模式适应性比WEB转发要好，但其要求在用户端安装一个ACTIVEX控件。网络卫士

VONE网关实现了用户瑞透明代理，用户不需要修改当地任何配置即能完成代理控件安装

和使用，大大简化了用户操作步骤。

全网接入模式经过SSL隧道转发用户端全部IP请求报文，其适应性最好，能够支

持基于IP协议全部B/S和C/S业务系统，其一样要求在用户端系统上安装一个ACTIVEX

控件。网络卫士VONE网关经过全网接入模式能够实现挪移用户虚拟IP地址分配，实现

多种访问控制策略下发，支持挪移用户以分离隧道（SPLITTUNNEL即能够同时访巨VPN

和因特网）或者彻底隧道（FULLTUNNEL即只能访问VPN不能访问因特网）方法接入

VPN网络，大大提升了远程接入安全性和灵便性。

5）支持虚拟桌面/虚拟应用

天融信企业TopConnect用户端产品，即支持虚拟桌面模式，也支持虚拟应用模式。

经过这两种不一样使用模式，企业用户能够限制不一样用户使用不一样模式，即确保用

户敏感数据安全，又能降低网络管理维护量，降低企业内部应用维护人力物力成本。

针对业务应用丰富，使用环境单一用户，或者需要对智能挪移终端进行管理和维护

人员，可使用虚拟桌面模式。在这种模式下，服务器直接将服务器端个性化桌面展现

给用户。和传统PC机相比较，除显示器幕面积外，其它使用和操作没有任何差异。

而对于业务应用单一，使用环境复杂，或者不能开辟较多权限用户，可使用虚拟应

用模式。在这种模式卜，服务器只将特定应用界面推送给用户。除授权使用应用外，

用户无法使用其它任何应用，更无法对服务器进行修改和配置。

6）完善身份认证技术

网络卫士V0NE网关为经过SSL隧道接入用户提供了完整身份认证手段。假如挪移

用户接入环境比较简单、可信，管理员能够配置简单”用户名+口令”认证方法，从而

达成简单易用效果；为了预防路线窃听和重播攻击，管理员能够采取“用户名+口令+

图形认证码”方法对挪移用户进行身份认证；对于需要强身份认证机制用户，管理员能

够采取“数字证书”认证方法，经过高强度密码运算来确保用户身份标识不会受到“字

典攻击”等暴力攻击威胁；还能够经过“数字证书（USBKEY）+口令”双因子认证方法

来确保挪移用户证书不会被盗用，深入加强认证安全性。

网络卫士VONE网关还支持短信认证，图形码校验，硬件特征码校验v支持基于web

协议认证方法，能够和业务资源帐号系统使用一套，避免了在V0NE上再次建立帐号，

能够统一管理帐号，增强了易用性。支持指纹认证，能够基于指纹信息进行认证。V0NE

网关还支持多个认证方法任意组合，为用户提供最强安全接入机制。

网络卫士V0NE网关还支持经过RADIUS/TARCAS/LDAP等标准协议和外部专用用户身

份认证管理系统进行互动，从而能够实现动态口令认证、域认证等高级认证方法。这既

能够和用户其它应用系统和安全产品共用用户认证数据库，实现用户集中管理和认证，

乂能够充足利用用户已经有资源。

7）多级用户授权机制和授权组合

授权是对挪移用户经过身份认证接入网关后，许可访问内网资源权限进行控制，是

保护内网资源安全关键技术手段。网络卫士VONE网关采取多级授权机制和用户授权继

承策略，满足多种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书

属性字段授权，支持基于外部属性（LDAP或者Radius卜.发属性值）授权，也支持多条

授权策略组合。

在用户授权粒度上，网络卫士VONE网关支持基于URL/目录/文件等访问内容控制策

略，支持用户行为动作访问控制策略，支持基于访问时间控制策略，能够充足满足管理

员多种用户授权需求。

8）完善PKI体系提升用户网络安全等级

伴有VPN技术在政府、金融等高安全性要求领域应用不停深入，用户对VPN网络认

证功效和其原有PKI体系进行无缝结合需求也越来越强烈。网络卫士多合一VPN产品全

方面支持标准PKI体系结构，既能够经过内置CA模块独立为挪移用户签发数字证书，

又能够经过导入CA根证书+CRL列表方法对第三方CA签发证书进行认证，同时还能够

经过OCSP/LDAP等标准协议向第三方CA提交在线证书认证请求。具体PKI功效包含：

»支持标准X509.V3格式数字证书：

>支持DER、PEM、PKCS12等多个证书编码格式；

»支持经过内置CA模块为用户签发标准数字证书：

a支持同时导入多个CA根证书和CRL列表,对不一样CA签发证书进行认证：

a支持经过OCSP/LDAP等标准协议向第三方CA进行在线证书认证；

A支持生成PKCS10格式证书请求，可生成证书请求，由笫三方CA署名；

>支持CRL列表文件导入和经过HTTP自动下载。

天融信和吉大正元、上海格尔、天威诚信、江南计算所等中国关键CA厂商有着长

久合作，网络卫士VONE网关和这些厂商CA系统均能够无缝集成。

9）卓越网络及应用环境适应能力

网络卫士VONE网关构建于强大TOS系统平台之上，天融信在网络和信息安全领域

多年技术积累和庞大用户群为其提供了卓越网络及应用环境适应能力。其支持众多网络

通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.IQ、SpanningTree、H.323、MMS、

RTSP、ORACLESQL*NET.MSRPC等等，合用网络范围很广泛,充足确保了用户网络可用

性。

同时，针对中国用户动态IP地址较多现实状况，网络卫士VPN网关整合了天融信

企业独立维护EZVPN动态域名系统，为天融信VPN用户提供专用动态地址域名解析服务，

从而很好地处理了动态地址VPN接入问题。

10）分级可信接入体系

天融信VPN网关还可对可信接入安全性检验结果进行分级，不一样等级能够授予不

一样权限，对不满足安全要求主机或者终端，能够依据其缺点程度分别实施隔离、修复

和限制访问。对于要求访问敏感信息服务器用户，假如没有达成较高安全等级，可只

授予和其安全等级匹配普通权限。这么既能够预防不安全用户主机感染内部关键服务

器，乂能够保留其浏览企业普通Mb服务器权限，实现桌面安全等级和访问资源安全

等级相匹配和访问权限分级。

11）支持虚拟门户功效

SSLVPN提供了虚拟门户功效，从而使得企业及部门全部可拥有自己独立远程接入

门户。每一个虚拟门户全部能够定制不一样登录界面、定制是否使用控件、定制使用哪

些功效模块、定制不一样认证方法、定制不一样公告信息等。

12）分级管理和三权分立

天融信VPN网关支持将管理员进行分级分组，一级管理员能够创建若干二级管理员，

并给其进行授权，分配二级管理员能够管理用户组，能够使用资源组，能够使用角色，

是否能够创建卜.级管理员等。二级管理员在其权限许可范围内行使其权限，如添加、修

改、删除用户，在权限范围内给用户授权，创建三级管理员，给三级管理员授权等。天

融信VPN网关最多能够支持16级管理员分级管理，便;大型组织用户将管理权限下放，

并能够依据需要授予不一样管理员不一样权限。支持管理员三权分立，可分别授予不一

样类型管理员不•样权限。

13）支持多个单点登录方法

支持多个单点登录方法，支持HTTP401方法、密码助手、WEB方法单点登录，用户

只需要进行一次认证即可访问全部授权业务资源，大大提升了系统易用性。

14）和企业门户无缝融合

不少大型企业已经拥有了自己企业门户，我们SSLVPN能够和用户企业门户无缝融

合，只需要简单替换一下企业门户中登录URL即可妾现。不少企业已经布署了单点登录

服务器，我们SSLVPN也能够很好融合。用户经过企业门户登录SSLVPN后，SSLVPN能

够自动跳转Portal页面到企业单点登录服务器页面，显示该用户资源列表，同时在右

下角显示一个SSLVPN小图标。

15）适应多个终端和系统平台

现在挪移互联已成为新应用趋势，天融信VONE针对挪移终端提供了多个安全接入

技术，能方便实现经过智能终端挪移办公。支持虚拟桌面和虚拟应用虚拟化接入技术，

含有终端和后台业务数据分离和应用无关性技术特点，能很好处理挪移终端接入所面临

数据安全性和应用适应性问题。

天融信TopConncct用户端是专门为智能挪移终端提供安全接入SSL用户端产品，

不仅支持传统Windowg/Linux操作系统，还支持iOS.Android等挪移操作系统，未来

还将支持WP8o丰富操作系统平台支持，意味着用户能够自由选择终端产品，无需受限

于某个特定应用范围。

对于iOS、Andriod智能终端支持SSL虚拟桌面接入，其中iOS还支持IPSEC“零

安装”接入；对于Android.WindowsMobile系统智能终端，还支持使用全网接入模式

接入；对于PC系统，支持Windows、XP、、、Vista、Win7、Linux系统接入。

16)智能递推

天融信VONE产品支持智能递推功效，只需要配置一个门户url,采取智能递推技术，

即可自动将该门户url包含子连接加入能够访问资源列表，降低了管理配置工作量。

17)智能压缩

支持数据智能压缩功效，能够智能依据目前传输数据压缩比决定是否启用压缩，大

大提升了传输效率和应用访问速度。

18)VPN集群功效

支持集群功效，能够使用多台VONE网关组成一个集群系统，大大提升了VPN网关

整体性能和可靠性，能够满足大并发用户数需求。

天融信VPN采取基于TOS系统智能集群技术。它基础工作模式是多台VPN网关并行

工作，全部处于正常数据转发状态，对外提供统一接入IP,多台VPN网关之间相互备份，

一旦某台设备故障时，其它设备能够即将接替其工作，确保用户业务数据不间断。天融

信VPN支持最多256台设备集群和多个集群负载均衡策略；支持经过心跳口进行状态和

Session同时，网关切换时无需用户二次认证。

19)符合国密局《SSLVPN技术规范》和《IPSECVPN技术规范》

天融信SSLVPN是严格根据国家密码管理局制订《SSLVPN技术规范》和《IPSECVPN

技术规范》进行开辟，并经过了国家密码管理局商用密码检测中心检测，支持国家密码

管理局要求SMI(SCB2)>SM2、SM3商用密码算法。

2.3天融信VONE产品关键功效

类别功效具体描述

网络工作模式支持透明、路由、混合模式

类别功效具体描述

适应性今支持静态路由、动态路由

今支持基于源/目标地址、接口、Metric策略路由

今支持单臂路由，可经过单臂模式接入网络，并提供路由转发功效

路由今支持Vian路由，能够在不一样VLAN虚接口间实现路由功效

今支持RIP、OSPF等路由协议

今支持多路线源路返回智能选路

今支持多路线捆绑和负载均衡

今支持IGMP组播协议

组播今支持IGMPSNOOPING

今可有效地实现视频会议等多媒体应用

今支持VianTrunk

今支持802.1Q,能进行封装和解封

VLAN今支持ISL,能进行ISL封装和解封

今在同一个Vian内能进行二层交换

今支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装

生成树今支持802.1D生成树协议

今支持ARP代理、ARP学习

ARP

今可设置静态ARP

DHCP今支持DHCPClient.DHCPRelay.DHCPServer

接入今支持以太网、光纤、ADSL、CHCP等多个接入方法

今支持网络时钟协议SNTP,可自动依据NTP服务器时钟调整本机时间

其它

今支持IPX、NetBEUI等非IP协议

证书格式今支持X.509V3数字证出

今支持DER/PEM/PKCS12等多个证书编码

今支持内置CA,为其它设备或者挪移用户签发证书

今可生成、吊销、删除证书

今支持当地CA根证书、根私钥更新

当地CA

PKI今支持证书废弃，支持生成标准ORL列表

今支持证书请求生成，由第三方CA进行著名

今支持证书链管理

今内置支持SM2算法CA

今支持同时导入多个第三方CA根证书和CRL列表，对不一样CA证书用

第三方CA户进行身份认证，支持经过HTTP协议定时卜载CRL列表

今支持经过OCSP/LDAP等协议在线认证证书

安全算法今支持AES、DES,3DES、RC4、MD5、SHA1、RSA等多个算法

SSLVPN今支持国家商密专用SM1(SCB2),SM2、SM3算法

协议类型今支持SSL2.0/3.0TLS1.0

类别功效具体描述

数据压缩今支持高效流压缩算法

今支持智能压缩

和加速

今支持WebCache加速

今支持“用户名+口令”、“用户名+口令+图形认证码”认证

今支持X.509数字证书认证

今支持数字证书(USBKEY)+口令多因子认证

用户认证今支持公共帐户登陆，支持暂时严禁帐户登录

今支持当地数据库认证

今支持基于LDAP/RADIUS/TACAS等协议外部服务器认证

今支持短信认证、图形码校验、便件特征码校验

今支持角色授权、支持独立用户授权

今支持基于URL、访问路径、访问文件、访问动作细粒度授权

用户授权今支持基于时间访问授权方法

今支持当地授权、支持外部组映射授权、支持证书用户授权

今支持基于证书中字段属性组合授权

今支持WEB转发、端口转发、全网接入模式

今支持HTML、JAP、ASP、JAVAAPPLET,ACTIVE.Cookies等多种Web

应用

今支持基于IP协议多种C/S应用，如EMAIL,FTP,ERP,CRM,DB等

应用支持今支持Windows/CIFS远程文件共享

今支持FTPWEB化访问

今支持资源自动打开

今支持资源连接隐藏

今支持资源和特定应用程序关联

实时监控今实时监控在线用户登录时间、在线时间、访问流量，认证方法等多个信息

今支持主动中止在线用户隧道连接

今具体审计用户登录认证过程、多种认证授权错误、内网资源访问情况等信

息

日志审计今支持多级审计日志，能够灵便配置审计等级

今支持日志当地保留，支持将日志卜.传到外部日志服务解

今支持天融信专用TA-LH志服务器，能够对H忐内容进行深度分析和统计

今支持接入用户端痕迹清除，能够清晰cookie、缓存、历史统计等多种访问

痕迹

端点安全

今支持拔KEY隧道自动中止

今支持用户超时自动退出，超时时间能够设置

今支持虚拟门户功效，每一个虚拟门户全部能够定制不一样登录界面、定制

虚拟门户是否使用控件、定制使用哪些功效模块、定制不一样认证方法、定制不一样

公告信息等

类别功效具体描述

和企业门

今能够和企业门户无缝融合，即用户能够经过企业门户登录

户无缝融SSLVPNSSL

而且能够自动跳转页面到企业某个网站

合VPN,SSLVPNPortal

集群今支持集群功效

Portal页面今在用户登录SSLVPN后不需要驻留Portal页面，能够隐藏，并在右下角

隐藏缩成一个小图标，点击小图标还能恢复Portal页面

今支持WindowsMobilePDA用户端

今支持安卓系统智能终端

用户端今支持Linux系统PC机

今支持Windows、XP、、、Vista、Win7系统PC

今支持独立用户端

今支持用户设定代理服务器信息

今支持TCP协议

端口转发

今支持UDP协议

今支持智能递推

今支持HTTP401认证单点登录

单点登陆今支持用户修改单点登陆账户信息

今支持WEB方法单点登录

今支持密码助手方•法单点登录

今支持接入主机信息检验，包含安装软件、进程、端口、服务、注册表、操

作系统及补丁、文件、网卡等

可信接入可信接入

今支持可信接入分级授权

今支持检脸策略：接入前检验、接入后检验、定时检验等

今支持中、英文界面

国际化语言支持今支持中、英文自动切换

今支持中、英文手动切换

今支持DDNS动态域名注册

DDNSDDNS今支持使用域名进行隧道定义及商议

今支持使用域名向TP进行集中认证

协议今支持ESP/AH/IKE/NATT等标准IPSEC协议

今支持隧道模式、传输模式

今支持DE&3DES/AES等标准力口密算法，支持MD5SHA1等标准HASH算

法

IPSEC算法

VPN今支持DHGROUP1⑵5,RSA1024/2048非对称算法

今支持国家商密专用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法

硬件加速今支持高速算法加速卡

数据压缩今支持高效数据流压缩算法

类别功效具体描述

隧道认证今支持预共享密钥、数字证书认证，支持XAuth扩展认证

今支持使用标准X.509证书建立隧道

今支持网状、树型、星型等多个VPN网络拓扑

今支持隧道NAT穿越、双向NAT隧道建立

网络今支持全动态IP地址间VPN组网

今支持隧道转发

适应性

今支持GREoverlPsec方法

今支持组播穿越IPSec隧道

今支持多机多隧道负载均衡和备份

今支持第三方标准IPSec用户端接入

今支持苹果终端IPSECVPN用户端接入

今支持为挪移用户自动分配内部IP地址、DNSAMNS服务器地址

今支持为挪移用户定义访问权限

VPN今支持基于时间挪移用户访问控制策略

用户端今支持两网分离

今支持多路线自动检测

今支持用户在线修改口令

今支持挪移用户接入状态监控和审计

今支持中/英文界面和中/英文自动切换

SSLVPN

技术标准今符合国密同制订WSSLVPN技术规范》

IPSecVPN今符合国密局制订《IPSECVPN技术规范》

L2TPL2TP今支持远程用户经过12Tp接入，建立L2Tp隧道访问内部网络

PPTPPPTP今支持远程用户经过PPTP接入，建立PPTP隧道访问内部网络

今彻底内容检测(CompleteContentInspection)技术

今支持基于流、数据包、透明代理过滤方法

今支持对HTTP、SMTP、POP3.IMAP,FTP等协议深度内容过滤

今支持DNS过滤、DNS中继

今支持web重.定向

今支持URL分类过滤，分类库大于700万

网络

今支持挂马网站过滤

•内容过滤

女全性

今支持对■挪移代码如Javaapplet、Active-X,VBScript、Javascript过滤

今支持对邮件收发邮件地址、文件名、文件类型过滤

今支持对邮件专题、正文、收发件人、附件名、附件内容等关键字匹配过滤

今支持反垃圾邮件功效

今支持Telnet.Ftp、RSH命令过滤

今可屏蔽受保护主力U服务器系统信息，如替换服务器(FTP、SMTP、POP3、

Telnet.HTTP)BANNER信息

类别功效具体描述

今基于状态检测动态包过滤

今基于源/目标IP地址、MAC地址、端口和协议、时间、用户、角色访问

控制

今支持基于用户PPTP访问控制

今支持隧道内访问控制

今支持IPSec用户端和SSL全网模式和FW联动

今支持报文正当性检验

访问控制

今动态端口支持协议：H.323、SIP、FTP、RTSP,SCVNET、MMS,RPC、

TFTP、PPTP

今访问控制策略分组管理

今支持大数量级策略匹配加速算法

今支持对•象每秒新建连接数限制

今基于域名对象访问控制

今可实现IP/MAC绑定

今支持双向NAT

今支持动态地址转换和静态地址转换

NAT

今支持多对一、一对多和一对一等多个方法地址转换

今支持虚拟限务器功效

今支持近百种应用程序库过滤，包含P2P、IM、炒股、网游等

今支持MSN、QQ、Skype等InstantMessenger通信，并能够对于这些应用

进行登陆限制和帐号过漉

今支持MSN在线用户显示

今可限制BT、eMule、eDonkey,迅雷等P2P应用

“应用识别今支持基于应用流量统计

今支持基于应用流量排名

今支持基于应用历史流量趋势图

今支持基于主机应用流量统计

今支持流量异常检测

今深度流量过滤(DFI),针对P2P行为识别控制

今支持HTTP,FTP,POP3,SMTP,IMAP协议病毒查杀

“防病毒今支持100万余种病毒查杀，病毒库定时和即将更新

今支持木马病毒、蠕虫病毒、宏病毒、脚本病毒查杀

类别功效具体描述

今非法报文攻击：land、Smurf.Pingofdeath,winnuke、tcp_sscan、ip_option、

teardrop、targa3、ipspoof

今统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan,ipsv/eep

今支持地址对象源目标最大连接数限制

今Topsec联动：可和支持TOPSEC协议IDS设备联动，以提升入侵检测效

率

.谨防攻击今端口阻断：能够依据数据包起源和数据包特征进行阻断设置

今SYN代理：对来自定义区域SynFlood攻击行为进行阻断过滤

今CC攻击：可经过设置端口和阀值阻断CC攻击

今可统计攻击日志和报警

今支持手动设置和依据IDS规则自动生成黑名单

今支持手动设置和依据可信连接达成•定规模后升级为白名单用户

今支持使用一次性口令认证（OTP）、当地认证、数字证书（CA）认证等

常见安全认证方法

今支持统一用户管理，IPSEC和SSL使用同一套用户认证、管理系统

今支持口令曳杂度设置

今支持多点登录地点数设置

今支持登录时间、登录地址范围控制

今支持密码找回功效

用户认证今支持首次登录修改口令

今支持使用第三方认证，如RADIUS.TACACS/TACACS+,LDAP、域认

证等安全认证方法

安全管理

今支持短信、动态令牌、硬件特征码认证

今支持Session认证、HTTP会话认证

今支持WEB认证和指纹认证

今支持认证保活功效

今可将认证用户信息加密存放