VPN组网方案建议书
2.2 天融信VONE网关产品特点 1) 自主安全操作系统平台
采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
2) 多种VPN技术有机融合
前面已经分析了目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围。在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。
网络卫士VONE网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下,各种VPN模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台。
3) 安全接入与安全防护无缝结合
VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的。网络卫士VONE网关是构建在天融信强大的TOS系统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护与访问控制。
天融信VPN网关具有强大的内容过滤功能,支持URL分类过滤,分类库大于700万条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能,用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、带宽控制等。
4
VPN组网方案建议书
网络卫士VONE网关支持完善的基于完全内容检测的访问控制技术。防火墙检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
网络卫士VONE网关在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
4) 多种SSLVPN技术结合实现应用全覆盖
目前SSLVPN接入技术大致分为三类:WEB转发(WEB FORWARD),端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS或者称为IP TUNNEL)。这三种技术的技术特点和适用范围各不相同,在网络卫士VONE网关中对这三种SSLVPN接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。
WEB转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强。网络卫士VONE网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性。
端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好,但其要求在客户端安装一个ACTIVEX控件。网络卫士VONE网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。
5
VPN组网方案建议书
全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VONE网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLIT TUNNEL即可以同时访问VPN和因特网)或完全隧道(FULL TUNNEL即只能访问VPN不能访问因特网)的方式接入VPN网络,大大提高了远程接入的安全性和灵活性。
5) 支持虚拟桌面/虚拟应用
天融信公司的TopConnect客户端产品,即支持虚拟桌面模式,也支持虚拟应用模式。通过这两种不同的使用模式,企业用户可以限制不同的用户使用不同的模式,即保证用户敏感数据的安全,又能减少网络管理的维护量,降低企业内部应用维护的人力物力成本。
针对业务应用丰富,使用环境单一的用户,或需要对智能移动终端进行管理和维护人员,可使用虚拟桌面模式。在这种模式下,服务器直接将服务器端的个性化桌面展现给用户。与传统的PC机相比较,除显示屏幕面积外,其余使用和操作没有任何差异。
而对于业务应用单一,使用环境复杂,或不能开发较多权限的用户,可使用虚拟应用模式。在这种模式下,服务器只将特定的应用界面推送给用户。除授权使用的应用外,用户无法使用其它任何应用,更无法对服务器进行修改和配置。
6) 完善的身份认证技术
网络卫士VONE网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以采用“用户名+口令+图形认证码”的方式对移动用户进行身份认证;对于需要强身份认证机制的用户,管理员可以采用“数字证书”的认证方式,通过高强度的密码运算来保证用户身份标识不会受到“字典攻击”等暴力攻击的威胁;还可以通过“数字证书(USBKEY)+口令”的双因子认证方式来确保移动用户的证书不会被盗用,进一步加强认证的安全性。
网络卫士VONE网关还支持短信认证、图形码校验、硬件特征码校验。支持基于web协议的认证方式,可以和业务资源的帐号系统使用一套,避免了在VONE上再次建立帐
6
VPN组网方案建议书
号,能够统一管理帐号,增强了易用性。支持指纹认证,可以基于指纹信息进行认证。VONE网关还支持多种认证方式的任意组合,为用户提供最强的安全接入机制。
网络卫士VONE网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又可以充分利用用户已有的资源。
7) 多级用户授权机制和授权组合
授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制,是保护内网资源安全的主要技术手段。网络卫士VONE网关采用多级授权机制和用户授权继承的策略,满足各种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书的属性字段的授权,支持基于外部属性(LDAP或Radius下发的属性值)的授权,也支持多条授权策略的组合。
在用户授权的粒度上,网络卫士VONE网关支持基于URL/目录/文件等访问内容的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分满足管理员的各种用户授权需求。
8) 完善的PKI体系提高用户网络的安全等级
随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证,同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认证请求。具体的PKI功能包括: ? ? ? ? ?
支持标准X509.V3格式数字证书;
支持DER、PEM、PKCS12等多种证书编码格式; 支持通过内置CA模块为用户签发标准数字证书;
支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证; 支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证;
7
VPN组网方案建议书
? ?
支持生成PKCS10格式的证书请求,可生成证书请求,由第三方CA签名; 支持CRL列表文件的导入和通过HTTP自动下载。
天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长
期的合作,网络卫士VONE网关与这些厂商的CA系统均能够无缝集成。
9) 卓越的网络及应用环境适应能力
网络卫士VONE网关构建于强大的TOS系统平台之上,天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环境适应能力。其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等,适用网络的范围非常广泛,充分保证了用户的网络的可用性。
同时,针对国内用户动态IP地址较多的现状,网络卫士VPN网关整合了天融信公司独立维护的EZVPN动态域名系统,为天融信VPN用户提供专用的动态地址域名解析服务,从而很好地解决了动态地址的VPN接入问题。
10) 分级可信接入体系
天融信VPN网关还可对可信接入安全性检查结果进行分级,不同的级别可以授予不同的权限,对不满足安全要求的主机或终端,可以根据其缺陷程度分别实行隔离、修复和限制访问。对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只授予与其安全等级匹配的普通权限。这样既可以防止不安全的用户主机感染内部关键服务器,又可以保留其浏览公司普通Web服务器的权限,实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级。
11) 支持虚拟门户功能
SSL VPN提供了虚拟门户功能,从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。
12) 分级管理和三权分立
8