天融信VPN组网解决方案模板.doc

《天融信VPN组网解决方案模板.doc》由会员分享，可在线阅读，更多相关《天融信VPN组网解决方案模板.doc（48页珍藏版）》请在咨信网上搜索。

天融信VPN组网解决方案 46 2020年4月19日 文档仅供参考 XXXX VPN系统解决方案 北京天融信科技有限公司 2024年9月 目 录 第一章 XXXX网络现状及需求分析 3 1.1 网络现状 3 1.2 现有组网方式的缺陷 3 1.2.1 访问没有保护 3 1.2.2 无法运行内部管理软件 3 1.2.3 增值服务无法实施 3 1.2.4 网络管理混乱 3 1.3 需求分析 4 第二章 VPN技术及天融信VPN产品 5 2.1 VPN基本概念 5 2.2 VPN的基本技术 5 2.3 一般VPN解决方案所面临的几个问题 7 2.4 天融信VPN产品及其典型解决方案 9 2.4.1 天融信VPN硬件安全网关 9 2.4.2 天融信VPN客户端 15 2.4.3 天融信VPN安全策略管理平台 17 2.5 天融信VPN产品的主要特点 22 2.5.1 支持国密局《IPSec VPN技术规范》 22 2.5.2 全面支持IPSec协议标准 23 2.5.3 CleanVPN 23 2.5.4 完善的PKI体系提高用户网络安全等级 23 2.5.5 支持全动态IP地址间建VPN隧道 24 2.5.6 NAT自动穿越 24 2.5.7 隧道路由技术实现VPN灵活自动部署 24 2.5.8 完善的VPN网络集中管理功能 25 2.5.9 支持组播穿越隧道 25 2.5.10 多机多线路负载均衡与备份 26 2.5.11 支持灵活的移动用户接入策略 26 2.5.12 丰富多样的认证与授权 26 2.5.13 分级可信接入体系 27 2.5.14 简单易用的无驱客户端 27 2.5.15 iOS零安装 27 2.5.16 集成功能强大的防火墙功能 28 2.5.17 集成强大的网络附加功能 28 第三章 XXXX网络系统互联VPN解决方案 29 3.1 VPN解决方案 29 3.2 配置及功能说明 31 3.2.1 天融信安全策略管理平台 31 3.2.2 天融信VPN硬件安全网关 31 3.2.3 天融信VPN客户端 31 3.3 通信过程分析 31 3.4 安全性分析 31 3.5 密钥管理 32 3.6 本解决方案的主要特点 32 第一章 XXXX网络现状及需求分析 1.1 网络现状 XXXX业务网络系统由总部和100个左右分支机构组成。各分支机构均为规模不等的局域网络所组成，其中总部局域网络是整个网络系统的核心，为企业各类业务服务器所在地，同时也是网络管理中心。各分支机构和移动办公用户经过Internet与总部通信。 1.2 现有组网方式的缺陷 1.2.1 访问没有保护 在现有的方式下，各分支机构经过因特网与总部联系(一般是E-mail或者各种即时通讯工具)，由于这种联系方式都是经过公网进行明文互动，毫无保密性可言，商业机密数据有可能被竞争对手得到，从而引起业务损失。而且使用E-mail方式实效性不高，双方的通讯存在时间差，不利于企业内部沟通。 1.2.2 无法运行内部管理软件 因为总部内网和分支机构局域网之间不能互通，一些基于IP的业务软件不能运行，如无法实施OA、ERP等管理软件，影响企业管理效率，不利于整体策略性管理。 1.2.3 增值服务无法实施 诸如视频电视、电话会议、IP电话之类的增值服务在这个网络上很难展开甚至无法展开，为了能使用这些方便的功能，还要另外在线路上进行改造，增加了企业负担。 1.2.4 网络管理混乱 随着企业规模的扩大和分支机构的增多，各分支机构局域网的管理人员素质参差不齐，分别按照各自的习惯进行局域网建设，没有统一的标准进行有效管理，开展增值服务时反而变成企业业务发展的障碍。 1.3 需求分析 根据XXXX现有的网络状况和业务情况，希望改建之后的网络达成如下目标： l 能够保证各分支机构和移动办公用户安全快捷地访问总部局域网内业务服务器； l 数据在Internet上传输时应保证足够的安全； l 能在全网实施OA、ERP等各种业务软件，提高企业管理效率； l 能随时在网络上开展各种网络服务，如IP电话、视频会议等； l 能对全网进行统一规划，统一管理。 基于以上的需求，当今较为完善的解决方案是实施基于IPSEC 的VPN组网方式，以下将详细论述VPN的基本原理及天融信VPN的解决方案。 第二章 VPN技术及天融信VPN产品 2.1 VPN基本概念 VPN（Virtual Private Network：虚拟专用网）是一种以公用网络，特别是Internet为基础通道，综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途（租用）专线连接和远程拨号连接；但同时由于VPN需要借道公用网络，就必须解决因此而带来的网络安全问题。因此，VPN技术概括地说就是：实现低成本的安全互连。 有许多能够实现VPN的技术途径，区别主要看该技术是在OSI参考模型的哪一层实现，如在应用层实现的SSL，在会话层实现的Socket5，在网络层实现的IPSec和在数据链层实现的PPTP/L2TP等。VPN技术的多样性和似乎高深的专业术语很容易使一般用户不知所措，天融信建议：如果你需要安全地访问互联网上的某个站点，那么SSL VPN是一种不错的选择；如果你想将经过互联网访问公司内网中的某个服务器，或需要将两个处于不同地域的局域网基于互联网安全通连，那么IPSec 几乎就是一种必然的选择。 2.2 VPN的基本技术 当前，VPN的实现主要采用四项技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 l 隧道技术（Tunneling）：类似于点对点技术，它在公用网络上建立一条数据通道（隧道），让数据包经过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。 由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接经过Internet传输的， 而必须代之以合法的IP地址。有多种方法能够完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，对于VPN而言，数据包封装（隧道）是最常见的技术。数据包封装发生在VPN的发送节点，此时需将原数据包打包，添加合法的外层IP包头，这个包可经过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术，下图为IPSec VPN隧道模式下对数据包的封装过程： 隧道封装后的数据包 原数据包 IP头 Data 新IP头 AH Data IP头 ESP l 加解密技术（Encryption & Decryption）：对明文进行足够强的加密后送到目的地进行解密,从而达到保护远程数据传输过程中的安全。 l 密钥管理技术（Key Management）：主要任务就是保证密钥在公网上能够安全的传输而不被窃取,如被窃取也有相应的手段进行二次防护。 l 使用者与设备身份认证技术（Authentication）：正确分辨哪些设备是与本身相关且需要相互流通，而且让非法用户无法进入系统，多以电子证书的形式进行。 一个VPN和“虚拟隧道”模型的实例如图3.1所示： 图 3.1 VPN和虚拟隧道模型 图 2-1 VPN和虚拟隧道模型 2.3 一般VPN解决方案所面临的几个问题 l 管理配置复杂 　　由于VPN技术上的专业性，配置时需要专业人员进行指导，一般用户很难理解和正确使用。 l 客户端软件问题 　　客户端软件提供的VPN往往不是基于标准IPSEC的解决方案，同时由于客户端软件和操作系统内的个人防火墙及防病毒软件工作在网络模型的同一层，很容易产生软件冲突，引起操作系统故障，使用上存在很多局限性。 l 动态IP的网状联通性 　　大部分的VPN产品即使支持子公司采用动态拨号的方式接入，但不能实现两个动态拨号接入的子公司相互通信。 l NAT穿越 　　由于合法IP地址的有限性，现在有很多地方的上网方式是以城域网的方式接入，也就是说ISP分配给用户的IP地址不是因特网的合法地址，而是一个私网地址，由ISP做一层NAT接入。而IPSEC协议与NAT具有不兼容性。 l 与第三方厂商产品兼容性问题 　　当不同的VPN厂商产品进行互联时，由于各自对于IPSEC这个协议实现程度不同，各个厂商的产品很有可能不能进行通讯，当用户使用某一非标准IPSEC的产品后，如想进行VPN网络扩充就不能选择其它产品，用户对产品的使用受到了限制，只有完全遵循IPSEC标准开发的产品才能实现不同产品的互联。 l VPN网关自身的问题 由于VPN产品能够分为硬件网关产品和软件网关产品两种类型，但由于其对安全问题关注的侧重点不同会产生较大差异。软件网关产品由于过分关注易用性，导致其自身的安全性极度依赖于安装网关的操作系统，而流行的Windows操作系统由于漏洞百出，非常容易出现系统故障，甚至可能由于病毒或者一些硬件故障导致系统崩溃，无法保障VPN网关的底层安全，因此其适用场合也比较有限；硬件网关由于其使用专用硬件，自身的安全性较之软件网关有非常大的提高，而且性能也比软件网关高效和稳定，但使用上比软件网关要求更高，更专业。 天融信公司依靠自身的强大技术实力和长期实践，已完全解决以上问题，其特点如下： l 管理配置 　　提供基于本地串口和远程两种登录管理方式。用户使用远程管理方式能够选择SSH（加密通讯）和Telnet（不加密通讯）对设备进行配置，该方式适用于有网络管理经验的管理员；对不熟悉网络管理的用户，天融信还提供基于windows的GUI管理控制界面，管理员能够不用记忆复杂的配置命令，而仅经过点击鼠标就可完成全部配置工作。 l 客户端软件问题 　　作为完整的企业VPN解决方案，支持移动办公用户远程访问企业内网的VPN客户端软件包是必不可少的。但现在绝大多数的VPN客户端软件都需要在操作系统内核中嵌入一个庞大的垫片，经常导致与个人防火墙、防病毒等软件的冲突。天融信VPN客户端软件则采用独有的非核心层IPSec实现方案，与其它桌面软件的兼容性极佳。 　　天融信VPN客户端软件不但提供完整的IPSec协议实现，而且为移动用户提供基于用户名/口令、证书、动态令牌卡等多种认证方式，支持与MAC地址等硬件特征码绑定的安全措施，安装配置简单，其操作过程类似配置windows的拨号网络，只需输入接入网关地址、用户名、口令即可。 l 动态IP的网状联通性 　　经过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略管理平台（TP）”进行注册和身份认证，然后从TP下载自己的VPN策略；同时TP负责当策略参数发生改变时，实时通知在线的网关产品更新策略，从而确保所有的网关都能够获得最新的策略参数变化情况。 l NAT穿越 　　为了解决这个问题，IETF专门为IPSec制定了“NAT穿越（NATT）”协议草案。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装，这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动；在目的主机处再把外层的IP/UDP封装去掉，就能够获得完整的IPSec数据包。 　　由于NATT协议标准制定的时间还比较短，大多数国内厂商还没有完全对该标准进行支持，而国外厂商也只有少数几家的产品针对新标准进行了升级。天融信的全系列产品都支持最新的NATT标准。由于NAT技术在国内的广泛应用，因此用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。 l 与第三方厂商的产品兼容性问题 　　由于天融信公司的VPN产品完全遵循IPSEC协议标准进行开发，因此不存在该问题，能够顺利的和国内外任何完全遵从IPSEC标准的产品进行互联互通。 2.4 天融信VPN产品及其典型解决方案 天融信VPN系列产品包括VONE系列（IPSEC/SSL VPN多合一网关）、IPSEC VPN系列网关（包括3G VPN网关）、VPN客户端软件以及天融信VPN统一安全策略管理平台（TP）。 2.4.1 天融信VPN硬件安全网关 天融信VPN硬件网关由高可靠性的工控标准主板、硬件密码模块和电子盘等构成，内置专用安全嵌入式操作系统和VPN软件模块。根据设备处理能力和提供的功能，天融信VPN硬件网关分为多个型号，分别面向大、中、小型企业及其分支机构。各类型号产品在性能上呈阶梯排列，同类产品则在功能和性能作了进一步的细分，以满足不同用户的需求。 以下是天融信VPN硬件网关的主要功能： 类别 功能 详细描述 网络 适应性 工作模式 ² 支持透明、路由、混合模式 路由 ² 支持静态路由、动态路由 ² 支持基于源/目的地址、端口、协议及接口的策略路由 ² 支持单臂路由，可经过单臂模式接入网络，并提供路由转发功能 ² 支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能 ² 支持RIP、OSPF等路由协议 ² 支持多线路捆绑和负载均衡 组播 ² 支持IGMP、PIM组播协议 ² 可有效地实现视频会议等多媒体应用 VLAN ² 支持Vlan、Vlan Trunk ² 支持802.1Q，能进行封装和解封 ² 支持ISL，能进行ISL的封装和解封 ² 支持QinQ技术（vlan-vpn），对报文进行二次基于802.1Q封装 生成树 ² 支持802.1D、PVST生成树协议 端口聚合 ² 支持对物理接口的端口聚合，提高接口带宽 ARP ² 支持ARP代理、ARP学习，可设置静态ARP ² 可设置防ARP欺骗 DHCP ² 支持DHCP Client、DHCP Relay、DHCP Server 接入 ² 支持以太网、光纤、ADSL、3G、DHCP等多种接入方式 ² 支持最多4路ADSL拨号接入，多路ADSL支持链路负载均衡或备份 其它 ² 支持网络时钟协议SNTP，可自动根据NTP服务器的时钟调整本机时间 ² 支持IPX、NetBEUI等非IP 协议 PKI 证书格式 ² 支持X.509 V3数字证书 ² 支持DER/PEM/PKCS12等多种证书编码 本地CA ² 支持内置CA，为其它设备或移动用户签发证书 ² 支持证书废弃，支持生成标准CRL列表 ² 支持证书请求的生成，由第三方CA进行签名 ² 内置支持SM2算法的CA 第三方CA ² 支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持经过HTTP协议定时下载CRL列表 ² 支持经过OCSP/LDAP等协议在线认证证书 IPSEC VPN 协议 ² 支持ESP/AH/IKE/NATT等标准IPSEC协议 ² 支持隧道模式、传输模式 算法 ² 支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法 ² 支持DH GROUP1/2/5，RSA 1024/2048非对称算法 ² 支持国家商密专用SM1/SM2/SM3/SM4算法 硬件加速 ² 支持高速算法加速卡 数据压缩 ² 支持高效数据流压缩算法 隧道认证 ² 支持预共享密钥、数字证书认证，支持XAuth扩展认证 ² 支持使用标准的X.509证书建立隧道 网络 适应性 ² 支持网状、树型、星型等多种VPN网络拓扑 ² 支持隧道的NAT穿越、双向NAT隧道建立 ² 支持全动态IP地址间的VPN组网 ² 支持隧道转发 ² 支持组播穿越IPSec隧道 ² 支持多机多隧道的负载均衡和备份 VPN 客户端 ² 支持第三方标准IPSec客户端接入 ² 支持苹果终端IPSEC VPN客户端接入 ² 支持为移动用户定义访问权限 ² 支持基于时间的移动用户访问控制策略 ² 支持两网分离 ² 支持多线路自动检测 ² 支持移动用户接入状态的监控和审计 ² 支持中/英文界面和中/英文自动切换 *SSL VPN （可选配） 安全算法 ² 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法 ² 支持国家商密专用的SM1、SM2、SM3、SM4算法 数据压缩与加速 ² 支持高效流压缩算法 ² 支持智能压缩 ² 支持WebCache加速 用户认证 ² 支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证 ² 支持X.509数字证书认证 ² 支持数字证书（USBKEY）+口令多因子认证 ² 支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证 ² 支持短信认证、图形码校验、硬件特征码校验 用户授权 ² 支持角色授权、支持独立用户授权 ² 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 ² 支持本地授权、支持外部组映射授权、支持证书用户授权 ² 支持基于证书中的字段属性组合授权 应用支持 ² 支持WEB转发、端口转发、全网接入模式 ² 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 ² 支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等 ² 支持Windows/CIFS远程文件共享 ² 支持FTP的WEB化访问 实时监控 ² 实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息 ² 支持主动中断在线用户的隧道连接 日志审计 ² 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息 ² 支持多级审计日志，能够灵活配置审计级别 ² 支持日志本地保存，支持将日志上传到外部日志服务器 ² 支持天融信专用的TA-L日志服务器，能够对日志内容进行深度分析和统计 端点安全 ² 支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹 ² 支持拔KEY隧道自动中断 ² 支持用户超时自动退出，超时时间能够设置 虚拟门户 ² 支持虚拟门户功能，每个虚拟门户都能够定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等 与企业门户无缝融合 ² SSL VPN能够与企业门户无缝融合，即用户能够经过企业门户登录SSL VPN，而且SSL VPN能够自动跳转Portal页面到企业的某个网站 集群 ² 支持集群和分布式集群功能 Portal页面隐藏 ² 在用户登录SSL VPN后不需要驻留Portal页面，能够隐藏，并在右下角缩成一个小图标，点击小图标还能恢复Portal页面 客户端 ² 支持Windows Mobile PDA客户端 ² 支持iOS、Android系统的智能终端客户端 ² 支持WindowsXP、 、 、Vista、Win7、Win8、Linux系统 ² 支持独立客户端 ² 支持用户设定代理服务器信息 端口转发 ² 支持TCP协议 ² 支持UDP协议 ² 支持智能递推 单点登陆 ² 支持HTTP401认证单点登录 ² 支持用户修改单点登陆的账户信息 ² 支持WEB方式的单点登录 ² 支持密码助手方式的单点登录 可信接入 可信接入 ² 支持接入主机的信息检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 ² 支持可信接入分级授权 ² 支持检查策略：接入前检查、接入后检查、定时检查等 国际化 语言支持 ² 支持中、英文界面 ² 支持中、英文自动切换 DDNS DDNS ² 支持DDNS动态域名注册 ² 支持使用域名进行隧道定义及协商 ² 支持使用域名向TP进行集中认证 技术标准 SSLVPN ² 符合国密局制定的《SSL VPN技术规范》 IPSecVPN ² 符合国密局制定的《IPSEC VPN技术规范》 L2TP L2TP ² 支持远程用户经过L2TP接入，建立L2TP隧道访问内部网络 PPTP PPTP ² 支持远程用户经过PPTP接入，建立PPTP隧道访问内部网络 网络 安全性 *内容过滤 ² 采用完全内容检测（Complete Content Inspection）技术 ² 支持基于流、数据包、透明代理的过滤方式 ² 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤 ² 支持web重定向，支持URL分类过滤 ² 支持挂马网站过滤 ² 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤 ² 支持对邮件的收发邮件地址、文件名、文件类型过滤 ² 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 ² 支持反垃圾邮件功能 ² 支持Telnet、Ftp、RSH命令过滤 ² 可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、Telnet、HTTP）的BANNER信息 访问控制 ² 基于状态检测的动态包过滤 ² 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制 ² 支持隧道内的访问控制 ² 支持IPSec客户端与SSL全网模式与FW联动 ² 动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP ² 支持大数量级的策略匹配加速算法 ² 支持对象的每秒新建连接数限制 ² 基于域名对象的访问控制 ² 可实现IP/MAC绑定，可防共享上网 NAT ² 支持双向NAT ² 支持动态地址转换和静态地址转换 ² 支持多对一、一对多和一对一等多种方式的地址转换 ² 支持虚拟服务器功能 *应用识别 ² 支持近百种应用程序库的过滤，包括P2P、IM、炒股、网游等 ² 支持MSN、QQ、Skype等Instant Messenger通信，并能够对于这些应用进行登陆限制和帐号过滤 ² 可限制BT、eMule、eDonkey、迅雷等P2P应用 ² 支持基于应用的流量统计、排名 ² 支持基于应用的历史流量趋势图 ² 支持基于主机的应用流量统计 ² 支持流量异常检测 ² 深度流量过滤（DFI），针对P2P行为的识别控制 *防病毒 ² 支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀 ² 支持200万余种病毒的查杀，病毒库定期与及时更新 ² 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀 *防御攻击 ² 非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof ² 统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep ² 支持地址对象源目的最大连接数限制 ² 端口阻断：能够根据数据包的来源和数据包的特征进行阻断设置 ² SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤 ² CC攻击：可经过设置端口和阀值阻断CC攻击 ² 可记录攻击日志和报警 ² 支持手动设置和根据IDS规则自动生成黑名单 安全管理 用户认证 ² 支持使用一次性口令认证（OTP）、本地认证、数字证书（CA）认证等常见的安全认证方式 ² 支持统一用户管理，IPSEC与SSL使用同一套用户认证、管理系统 ² 支持口令复杂度设置，支持密码找回、首次登录修改口令功能 ² 支持多点登录地点数设置，支持登录时间、登录地址范围控制 ² 支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 ² 支持短信、动态令牌、硬件特征码认证 ² 支持Session认证、HTTP会话认证 ² 支持WEB认证和指纹认证 分级管理 ² 可为用户管理员分配不同的权限，管理不同的用户信息 ² 支持多达16级的分级管理 ² 支持管理员的三权分立 日志 ² 支持Welf、Syslog等多种日志格式的输出，支持日志分级 ² 支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能 ² TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其它安全产品的日志进行联合分析 ² 可对日志进行加密传输 监控 ² 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测 ² 可根据配置文件进行错误恢复 报警 ² 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 ² 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式 流量统计 ² 支持基于IP对session数的统计，并有阀值报警功能 ² 支持基于IP对流量的统计 ² 支持基于传输层端口进行流量、session数的统计 ² 支持NETFLOW协议版本5，支持设置过滤条件 带宽管理 QoS 流量整形 ² 根据IP、协议、网络接口、时间定义带宽分配策略 ² 支持最小保证带宽和最大限制带宽 ² 支持DSCP和COS的设置 ² 支持对p2p的带宽限制 优先级 ² 支持8级优先级控制 高可用性 双机热备 ² 支持双机热备（Active-Standby）模式 ² 支持负载均衡（Active-Active）模式 ² 支持连接保护（Session Protect）模式 其它功能 ² 支持基于IP探测的链路备份功能 ² 支持服务器的负载均衡，提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式 ² 支持双系统引导，支持Watchdog功能 配置管理 配置方式 ² 支持WEB图形配置、命令行配置 ² 支持基于SSH、HTTPS的安全配置 ² 支持经过TP进行配置管理 命令行 ² 支持配置命令分级保护，支持中英文 ² 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 WEBUI ² 支持配置向导，支持中文联机帮助 ² 支持HTTPS客户端证书认证方式 ² 支持CPU、内存、连接数、接口流量的即时监控图和历史趋势图 ² 支持应用识别、病毒、入侵防御统计数据的图形化显示 SNMP ² 支持SNMP 的v1 、v2 、v2c 、v3 版本 ² 支持SNMP MIB扩展 ² 与当前通用的网络管理平台兼容，如HP Openview 等 系统升级 ² 支持双系统升级 ² 支持TFTP、Webui、Ftp升级 报文调试 ² 提供强大的报文调试功能，能够帮助网络管理员或安全管理员发现、调试和解决问题 ² 支持发送虚拟报文 ² 支持端口镜像功能，能够经过设置过滤条件选择性镜像报文 配置恢复 ² 能够进行配置文件的备份、下载、删除、恢复和上载 ² 可进行部分配置本地和异地的批量导出和导入 2.4.2 天融信VPN客户端 天融信IPSecVPN客户端是一款面向移动用户或单机的软件产品，可安装运行在移动设备或企业局域网内的任何一台客户机中，使这台设备具有远程接入企业VPN的功能。 天融信VPN客户端既能够与天融信VPN硬件/软件网关配套使用，也能够在多个VPN客户端之间建立安全隧道，构成虚拟专网，从而实现客户端—网关（硬件/软件）、网关（硬件/软件）—网关（硬件/软件）之间的信息安全传输。 天融信VPN客户端软件采用天融信公司独创的非核心层IPSec实现方案，整个VPN模块运行在应用层，与其它桌面软件的兼容性极佳，其运行过程对用户表现为全透明，即：用户的应用系统无需作任何适应性调整，其网络配置也不必作任何改动。 天融信VRC VPN客户端 支持操作系统平台 win /XP/ /VISTA/WIN7/WIN8等 功 能 描 述 接入方式 ² 支持100/1000兆网卡、无线网卡等 ² 支持普通Modem拨号方式 ² 支持各种ADSL连接方式（PPPOE） ² 支持2G/3G、WLAN等各种无线接入方式 支持全网隧道访问 ² 能够对远程用户提供一种内部网的访问服务，使用户无论处于何种位置，都能够象在局域网内部一样方便的访问内部网络，真正实现3A保障（Anytime，Anywhere，Anyone） IPsec标准 ² 支持主模式和野蛮模式协商 ² 支持ESP标准 ² 支持标准NAT穿越 ² 支持3DES,MD5，SHA1标准加密和认证算法 ² 支持采用硬件加密卡对数据进行认证、加密，最大限度保证用户通信的安全 证书格式 ² 支持标准X.509格式的证书，支持Base64、DER编码方式 ² 支持Windows CSP标准，能够读取多种第三方厂商USB-Key DNS ² 支持内部DNS。移动用户与总部的VPN建立隧道后，能够经过总部的内部DNS服务器直接使用域名访问内部的各个应用服务器（如Http、Ftp服务器等） WINS ² 支持内部WINS。移动用户与总部的VPN建立隧道后，能够经过主机名访问内部的服务器和主机 客户端IP地址动态分配 ² 客户端能够经过网关动态分配到虚拟IP地址，实现全网IP地址的动态管理 客户端访问控制 ² 支持用户硬件特征码绑定，防止账号被盗用 ² 支持按角色分配访问权限，不同用户能访问不同的网络资源 ² 访问权限能够设置到端口 隧道配置与管理 ² 支持多隧道管理，方便用户配置自定义的隧道 ² 支持隧道断线重拨。若因为网络不稳定造成隧道断开，可自动重新建立隧道，省去用户手工重启隧道的麻烦 ² 支持隧道监控。经过GUI界面，用户能够实时查看隧道的状态，隧道数据流量，隧道是否启动/停止等 ² 支持隧道配置保存和导入 ² 支持用户配置文件的保存和恢复 客户端自动功能 ² 用户能够选择客户端的自动功能，比如打开客户端软件后自动运行默认连接和自动重新认证等等 2.4.3 天融信VPN安全策略管理平台 天融信安全设备与策略管理平台TP系统（也称为TopPolicy系统）由TP管理器、TopPolicy服务器和TopPolicy数据库三部分组成。其中，TopPolicy数据库是TP系统的基础组件，它主要用于存储整个网络中网络安全设备的信息及VPN安全策略。 TopPolicy服务器是TP系统的核心组件，它是一个服务器程序，一般需要在网络运行过程中实时在线。它主要完成认证设备、维护设备、维护VPN隧道、维护VRC信息等工作。 TP系统结构 天融信VPN安全策略管理平台（TP）作为安全设备与策略管理系统，能够实现对网络的全面监管，支持对天融信全系列产品的管理，如对UTM、IPSec/SSL VPN、SJW11、VRC客户端等设备的集中监控和管理。TP管理员能够对网络中的设备运行状态进行集中监控和管理，而且在TP服务器中对所有本机和下级服务器进行设备管理、VRC管理、隧道管理、防火墙策略管理。管理员经过集中定制IPS策略，集中定制防火墙的包过滤策略、访问控制策略、NAT策略、深度过滤策略、VPN通讯策略，进而下发到各个管理设备，避免各个设备独立定制策略的随意性，便于从安全策略角度实现全网的安全策略统一管理。 l 与业务管理对应的分级管理体系 在现实应用环境中，网络环境具有庞大、分级、分支机构多、遍布全国的特点， TopPolicy对安全设备的管理与部署能够完全适应这种管理模式。 首先本系统支持4级的域管理，这样，用户能够方便的把一个全国的项目分级与分域管理，在统一策略下对责任进行分担；经过分级与分域管理，本系统能够支持到3000台安全设备和30000个VPN客户端。 其次，本系统能够对安全设备和策略实现完全的集中管理，也能够实现由下级管理中心或设备来管理日常的管理工作，而上级中心仅负责监控与分析统计工作。 l 策略的有序可控管理 在实际的工作环境中，可能有大量的UTM和VPN设备（例如：300个VPN，1000条隧道）在运行。如果全部在端到端方式或端到网关方式下各自建立联接，一则手工配置很容易导致配置文件不一致，而且人力成本很高；二则由于管理员不能随时监控VPN设备之间的连接，导致VPN设备之间可能存在着不应有的连接，网络安全存在隐患。因此在VPN大规模应用的情况下，需要对这些VPN进行统一管理。 TopPolicy让管理员能够经过对所管理的VPN设备的行为进行监控，审计员能够对管理员的行为进行监控；而且经过对加密算法、采用的安全策略以及网络异常处理策略进行统一的协调，使VPN设备在管理上是有序的；同时在VPN设备登录时自动下发统一配置的安全信息，无需对每个VPN设备进行配置，从而减低了分散管理可能带来的不一致和复杂性。 l VPN客户端自动部署 VPN客户端软件（VRC）的分发、配置以及设备证书的生成和分发这些软件部署工作，在VPN产品大规模使用的时候，将成为一项非常繁琐和复杂的工作，系统管理员的工作量极大增加，同时也给整个VPN系统带来了不必要的安全隐患。为了降低系统管理员的工作复杂度和保证系统的安全，天融信公司在TopPolicy中实现了VRC的自动部署功能。 TopPolicy内含的自动部署系统（Automatic Distribution System：ADS）是中国第一套自行研制开发的为整个VPN系统提供VPN客户端软件安全部署服务的软件。它能够对VPN客户端软件进行集中部署和必要的证书管理，而且为每个VPN客户端软件的部署提供必要的安全服务。它基于Windows 操作平台、IE浏览器和IIS HTTP服务器，界面友好，使用简便。TopPolicy自动部署系统能够实现对企业内部所有VRC的全面部署和证书、密钥的统一管理，管理员能够在任何网络环境中实现VRC的自动部署，根据企业的实际需求制定全局VRC部署策略，从而使繁重的VRC部署工作变得简单有序。管理员用户能够在异地对自动部署系统的服务器进行操作，提高了自动部署的机动性和灵活性。 l 完善的PKI体系支持 TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系，则无需外部证书发放机构的签发证书，企业自己就能够构建自己的证书发放机构(CA)。对这种用户TopPolicy提供了简单实用的PKI CA系统，能够为管理员、设备、VRC生成、更新、发放证书，同时提供证书验证与CRL文件管理等功能。 对于已经建有CA系统的用户，TopPolicy完全支持第三方的PKI系统，能够为设备和VRC导入/更新第三方CA生成的证书，不但支持在TP本地使用第三方CA的根证书验证设备以及VRC身份，还支持经过OCSP协议实时在线验证设备和VRC身份。支持经过HTTP、LDAP协议自动下载CRL列表等等。 l 集中的配置管理和丰富的设备管理功能 针对不同的设备，能够经过手动立即获取配置或经过任务自动获取配置。能够为每个设备保存最多100个配置备份。 能够经过调用各种管理组件如ping、telnet、SSH、Traceroute、远程管理等，实现对设备的配置和管理。 l