的整合,为用户提供一个统一完整的VPN接入平台。
? 安全接入与安全防护无缝结合
VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的。网络卫士IPSec/SSL VPN多合一网关构建在天融信强大的TOS系统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护。
网络卫士VPN多合一网关支持完善的基于内容检测的网络访问控制。内容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
网络卫士VPN多合一网关在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
网络卫士VPN多合一网关提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
网络卫士VPN多合一网关还拥有强大的地址转换能力。同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。
网络卫士VPN多合一网关集成了天融信高级的Intelligent Guard技术提供了
长沙天融信网络安全技术有限公司 第 21 页 共 42 页
强大的入侵防护功能,能抵御常见的各种攻击,包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击。
? 多种SSLVPN技术结合实现应用系统全覆盖
目前SSLVPN接入技术大致分为三类:WEB转发(WEB FORWARD),端口转发(PORT FORWARD或者称为APP PROXY)和全网接入(NETWORK ACCESS或者称为IP TUNNEL)。这三种技术的技术特点和适用范围各不相同,在网络卫士VPN多合一网关中对这三种SSLVPN接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。
WEB转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强。网络卫士VPN多合一网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性。
端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好,但其要求在客户端安装一个ACTIVEX控件。网络卫士VPN多合一网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。
全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VPN多合一网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLIT TUNNEL即可以同时访问VPN和因特网)或完全隧道(FULL TUNNEL即只能访问VPN不能访问因特网)的方式接入VPN网络,大大提高了网络的整体安全性。
长沙天融信网络安全技术有限公司 第 22 页 共 42 页
? 完善的身份认证技术确保内部资源安全
VPN的接入用户都具有远程访问部分企业内部资源的权限,而这些移动用户的接入地点是非常分散的,如果在接入时没有对用户身份进行严格的认证和授权,将会给企业内网带来很严重的安全因患。
网络卫士VPN多合一网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以采用“用户名+口令+图形认证码”的方式对移动用户进行身份认证;对于需要强身份认证机制的用户,管理员可以采用“数字证书”的认证方式,通过强度非常高的密码运算来保证用户的用户的身份标识不会受到“字典攻击”等暴力攻击的威胁;当然,还可以通过“数字证书+UKEY+口令”的双因子认证方式来确保移动用户的证书不会被盗用,来进一步加强认证的安全性。
网络卫士VPN多合一网关除了能够在本地对用户进行身份认证,还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又可以充分利用用户已有的资源,避免管理员大量重复的体力劳动。
为了便于管理员的管理配置,同时也方便企业的合作伙伴能够及时方便地与其进行信息共享,有时需要建立一个级别较低共用帐户,满足众多移动用户的快速接入。网络卫士VPN多合一网关支持配置多个不同权限的公共帐户,并且能够实时监控每个采用公共帐户登录的用户的行为,对于存在异常访问行为的用户可以强制其下线,而不会影响其他使用该帐户的合法用户的正常访问。
? 多级用户授权机制提供灵活的用户授权组合
授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制,是保护内网资源安全的主要技术手段。管理员对用户授权的需求往往是复杂多样的,最简单直接的需求是能够根据用户的身份划分多个组,每个组享有不同的资源访问权限;有时某个用户可能具有多重身份,分属于多个用户组,享有
长沙天融信网络安全技术有限公司 第 23 页 共 42 页
多个组的访问权限;有时在同一个用户组下面,可能某一个或某几个用户在具备用户组访问权限的同时,还有部分特权能够访问更高安全级别的资源,等等。网络卫士VPN多合一网关采用多级授权机制和用户授权继承的策略,完全满足上述的各种用户授权需求。
在用户授权的粒度上,网络卫士VPN多合一网关支持基于URL/目录/文件等访问内容的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分满足管理员的各种用户授权需求。
? 完善的PKI体系提高用户网络的安全等级
随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证,同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体PKI功能包括:
支持标准X509.V3格式数字证书;
支持DER、PEM、PKCS12等多种证书编码格式; 支持通过内置CA模块为用户签发标准数字证书;
支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证; 支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证; 支持CRL列表文件的导入和通过HTTP自动下载;
天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作,网络卫士VPN多合一网关与这些厂商的CA系统均能够无缝集成。
? 卓越的网络及应用环境适应能力
网络卫士VPN多合一网关构建于强大的TOS系统平台之上,天融信在网络与信息安全领域多年的技术积累和庞大的用户群为其提供了卓越的网络及应用环
长沙天融信网络安全技术有限公司 第 24 页 共 42 页
境适应能力。其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等,适用网络的范围非常广泛,充分保证了用户的网络的可用性。
同时,针对国内用户动态IP地址较多的现状,网络卫士多合一网关整合了天融信公司独立维护的EZVPN动态域名系统,为天融信的VPN用户提供专用的动态地址域名解析服务,从而很好地解决了动态地址的VPN接入问题。
7.2. 天融信入侵防御系统产品介绍
网络卫士入侵防御系统TopIDP 是在硬件加速(ASIC+NPU)基础上开发的新一代网络入侵防御系统,它通过加载不同的攻击规则库对流经TopIDP 的网络流量进行分析过滤,来判断是否为异常数据流量或可疑数据流量,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT 资源的安全保护。TopIDP 能够完全阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS 攻击等,安全地保护内部IT 资源。
IPS 的基本功能是对所有有害流量进行检测、阻断。卓越的IPS 产品要同时具备高性能、高检测阻断能力。为了对有害流量检测/阻断而设置很多的策略时,如果使网络性能下降、稳定性降低,IPS 产品就发挥不出应有的价值。TopIDP 是基于ASIC+NPU 进行开发的硬件加速IPS 产品,拥有通用CPU、ASIC 和NPU 产品的优点。在不对包产生影响的前提下,可以保障网络100%的性能,就算同时设置100,000 个策略,性能也不会产生任何问题。在履行自动化防御的基础上,还能提供千兆级小包线速的能力。
TopIDP 是集访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备,为用户提供完整的立体式网络安全防护。与现在市场上的入侵防御系统相比,TopIDP 系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。
TopIDP 可以提供网络架构防护、网络性能保护、核心应用防护,通过使用
长沙天融信网络安全技术有限公司 第 25 页 共 42 页