VPN组网方案建议书
天融信的VPN网关支持将管理员进行分级分组,一级管理员可以创建若干二级管理员,并给其进行授权,分配二级管理员可以管理的用户组,可以使用的资源组,可以使用的角色,是否可以创建下级管理员等。二级管理员在其权限允许的范围内行使其权限,如添加、修改、删除用户,在权限范围内给用户授权,创建三级管理员,给三级管理员授权等。天融信VPN网关最多可以支持16级的管理员分级管理,便于大型组织客户将管理权限下放,并可以根据需要授予不同的管理员不同权限。支持管理员的三权分立,可分别授予不同类型的管理员不同的权限。
13) 支持多种单点登录方式
支持多种单点登录方式,支持HTTP401方式、密码助手、WEB方式的单点登录,用户只需要进行一次认证即可访问所有授权的业务资源,大大提高了系统的易用性。
14) 与企业门户无缝融合
许多大型企业已经拥有了自己的企业门户,我们的SSL VPN可以与用户的企业门户无缝融合,只需要简单替换一下企业门户中的登录URL即可实现。许多企业已经部署了单点登录服务器,我们的SSL VPN也能够很好融合。用户通过企业门户登录SSLVPN后,SSLVPN能够自动跳转Portal页面到企业的单点登录服务器页面,显示该用户的资源列表,同时在右下角显示一个SSLVPN小图标。
15) 适应多种终端和系统平台
目前移动互联已成为新的应用趋势,天融信VONE针对移动终端提供了多种安全接入技术,能方便的实现通过智能终端移动办公。支持虚拟桌面和虚拟应用的虚拟化接入技术,具有终端与后台业务数据分离和应用无关性的技术特点,能很好的解决移动终端接入所面临的数据安全性和应用适应性问题。
天融信TopConnect客户端是专门为智能移动终端提供安全接入的SSL客户端产品,不但支持传统的Windows/Linux操作系统,还支持iOS、Android等移动操作系统,未来还将支持WP8。丰富的操作系统平台支持,意味着用户可以自由的选择终端产品,无需受限于某个特定的应用范围。
9
VPN组网方案建议书
对于iOS、Andriod智能终端支持SSL的虚拟桌面接入,其中iOS还支持IPSEC“零安装”接入;对于Android、Windows Mobile系统的智能终端,还支持使用全网接入模式接入;对于PC系统,支持Windows 2000、XP、2003、2008、Vista、Win7、Linux系统的接入。
16) 智能递推
天融信VONE产品支持智能递推功能,只需要配置一个门户url,采用智能递推技术,即可自动将该门户url包含的子连接加入可以访问的资源列表,降低了管理配置工作量。
17) 智能压缩
支持数据智能压缩功能,能够智能的根据当前传输数据的压缩比决定是否启用压缩,大大提高了传输的效率和应用的访问速度。
18) VPN集群功能
支持集群功能,能够使用多台VONE网关组成一个集群系统,大大提高了VPN网关的整体性能和可靠性,能够满足大并发用户数的需求。
天融信VPN采用基于TOS系统的智能集群技术。它的基本工作模式是多台VPN网关并行工作,都处于正常的数据转发状态,对外提供统一接入IP,多台VPN网关之间相互备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不间断。天融信VPN支持最多256台设备的集群和多种集群负载均衡策略;支持通过心跳口进行状态和Session同步,网关切换时无需用户二次认证。
19) 符合国密局《SSL VPN技术规范》和《IPSEC VPN技术规范》
天融信SSLVPN是严格按照国家密码管理局制定的《SSL VPN技术规范》和《IPSECVPN技术规范》进行开发的,并通过了国家密码管理局商用密码检测中心的检测,支持国家密码管理局规定的SM1(SCB2)、SM2、SM3商用密码算法。
10
VPN组网方案建议书
2.3 天融信VONE产品主要功能
类别 功能 工作模式 ? ? ? ? 路由 ? ? ? ? ? 组播 ? ? ? ? VLAN ? ? ? 生成树 ARP DHCP 接入 其它 ? ? ? ? ? ? ? 支持透明、路由、混合模式 支持静态路由、动态路由 支持基于源/目的地址、接口、Metric的策略路由 支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能 支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能 支持RIP、OSPF等路由协议 支持多线路源路返回的智能选路 支持多线路捆绑和负载均衡 支持IGMP组播协议 支持IGMP SNOOPING 可有效地实现视频会议等多媒体应用 支持Vlan Trunk 支持802.1Q,能进行封装和解封 支持ISL,能进行ISL的封装和解封 在同一个Vlan内能进行二层交换 支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装 支持802.1D生成树协议 支持ARP代理、ARP学习 可设置静态ARP 支持DHCP Client、DHCP Relay、DHCP Server 支持以太网、光纤、ADSL、DHCP等多种接入方式 支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间 支持IPX、NetBEUI等非IP 协议 支持X.509 V3数字证书 支持DER/PEM/PKCS12等多种证书编码 支持内置CA,为其他设备或移动用户签发证书 可生成、吊销、删除证书 支持本地CA根证书、根私钥的更新 支持证书废弃,支持生成标准CRL列表 支持证书请求的生成,由第三方CA进行签名 支持证书链管理 内置支持SM2算法的CA 详细描述 网络 适应性 证书格式 ? ? ? ? ? PKI 本地CA ? ? ? ? ? 支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用第三方CA 户进行身份认证,支持通过HTTP协议定时下载CRL列表 ? 支持通过OCSP/LDAP等协议在线认证证书 11
VPN组网方案建议书
类别 功能 安全算法 协议类型 数据压缩与加速 ? ? ? ? ? ? ? ? ? 详细描述 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法 支持国家商密专用的SM1(SCB2)、SM2、SM3算法 支持SSL 2.0/3.0 TLS 1.0 支持高效流压缩算法 支持智能压缩 支持WebCache加速 支持“用户名+口令”、“用户名+口令+图形认证码”认证 支持X.509数字证书认证 支持数字证书(USBKEY)+口令多因子认证 支持公共帐户登陆,支持临时禁止帐户登录 支持本地数据库认证 支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证 支持短信认证、图形码校验、硬件特征码校验 支持角色授权、支持独立用户授权 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中的字段属性组合授权 支持WEB转发、端口转发、全网接入模式 用户认证 ? ? ? ? ? ? 用户授权 SSL VPN ? ? ? ? ? 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 ? 支持基于IP协议的各种C/S应用,如EMAIL,FTP,ERP,CRM,DB等 支持Windows/CIFS远程文件共享 支持FTP的WEB化访问 支持资源自动打开 支持资源连接隐藏 支持资源和特定应用程序关联 实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种信支持主动中断在线用户的隧道连接 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信支持多级审计日志,可以灵活配置审计级别 支持日志本地保存,支持将日志上传到外部日志服务器 支持天融信专用的TA-L日志服务器,可以对日志内容进行深度分析和统应用支持 ? ? ? ? ? 实时监控 ? 息 ? ? 息 日志审计 ? ? ? 计 12
VPN组网方案建议书
类别 功能 详细描述 ? 支持接入客户端痕迹清除,能够清楚cookie、缓存、历史记录等各种访问痕迹 ? ? 支持拔KEY隧道自动中断 支持用户超时自动退出,超时时间可以设置 端点安全 虚拟门户 与企业门户无缝融合 集群 Portal页面隐藏 ? 支持虚拟门户功能,每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等 ? SSL VPN可以与企业门户无缝融合,即用户可以通过企业门户登录SSL VPN,并且SSL VPN能够自动跳转Portal页面到企业的某个网站 ? 支持集群功能 ? 在用户登录SSL VPN后不需要驻留Portal页面,可以隐藏,并在右下角缩成一个小图标,点击小图标还能恢复Portal页面 ? ? 支持Windows Mobile PDA客户端 支持安卓系统的智能终端 支持Linux系统的PC机 支持Windows 2000、XP、2003、2008、Vista、Win7系统PC 支持独立客户端 支持用户设定代理服务器信息 支持TCP协议 支持UDP协议 支持智能递推 支持HTTP401认证单点登录 支持用户修改单点登陆的账户信息 支持WEB方式的单点登录 支持密码助手方式的单点登录 客户端 ? ? ? ? ? 端口转发 ? ? ? 单点登陆 ? ? ? 可信接入 可信接入 ? 支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 ? ? ? 支持可信接入分级授权 支持检查策略:接入前检查、接入后检查、定时检查等 支持中、英文界面 支持中、英文自动切换 支持中、英文手动切换 支持DDNS动态域名注册 支持使用域名进行隧道定义及协商 支持使用域名向TP进行集中认证 支持ESP/AH/IKE/NATT等标准IPSEC协议 支持隧道模式、传输模式 国际化 语言支持 ? ? ? DDNS DDNS ? ? IPSEC 协议 ? ? 13