当前位置:首页 >> 信息与通信 >>

TOPSEC VPN网关白皮书vpnjs


网络卫士 VPN 系统

SSL VPN 网关系列 产品说明

天融信 TOPSEC? 北京市海淀区上地东路 1 号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 http://www.topsec.com.cn

版权声明

r />本手册中的所有内容及格式的版权属于北京天融信公司所有。 未经北京天融信公司许可,任何人不得复制、拷贝、转译或任意引 用。 版权所有 不得翻印? 2007 天融信公司

商标声明
本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他 公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC@天融信公司

信息反馈
http://www.topsec.com.cn

网络卫士 SSL VPN 网关系统产品说明


1 2 3 4 4.1 4.2 4.3



产品概述 ..........................................................................................................................................2 产品特点 ..........................................................................................................................................3 产品功能 ..........................................................................................................................................6 典型部署模式 ..................................................................................................................................9 远程接入旁路部署模式...............................................................................................................9 多个 ISP 连接部署模式 ...............................................................................................................9 高可用性(HA)部署模式 .......................................................................................................10

服务热线:8008105119

i

网络卫士 SSL VPN 网关系统产品说明

1 产品概述
如今, 随着宽带网络接入和移动办公模式的兴起, 越来越多的员工会在公司外部处理 业务, 因此需要让移动员工随时随地的能够访问企业内部网络。 并且需要提供高效、 快捷、 完全的接入访问,为此天融信推出了新一代网络卫士 SSL VPN 产品,很好的为用户实现 了移动办公远程接入解决方案,同时更好的实现了用户端的安全控制及节约整体项目成 本。 网络卫士 SSL VPN 网关是满足不同用户需求而推出的最新一代网络安全产品。该产 品基于 SSL 安全通信协议,采用开放性的系统架构及模块化的设计,支持 PKI 证书认证 和数字签名机制,为业务应用系统提供强身份认证、应用授权和访问控制、数据加密和完 整性保护、 抗否认等安全服务。 通过特殊优化的体系结构和高性能的密码运算硬件加速设 备, 在保证业务应用处理性能和提供安全性保护之间建立了完美的平衡, 实现了易用性和 安全性的统一,构建的一个安全、高效、易于管理和稳定的网络安全产品。 该产品采用基于 SSL 和智能应用封装技术,为企业提供了一个经济高效的基于 SSL 浏览器的接入方式,使员工和合作伙伴能够接入企业电子邮件和应用。在 SSL VPN 网关 的帮助下,企业可以根据用户、所用的设备、在某个时间段设备的安全性来控制接入哪些 信息,将信息存储在本地,并上载到网络上。网络卫士 SSL VPN 网关实现了随时随地通 过任一接入设备开展业务的自由梦想,同时还可保证网络的完整性和安全性,网络卫士 SSL VPN 产品为用户提供安全接入的整体解决方案。

服务热线:8008105119

2

网络卫士 SSL VPN 网关系统产品说明

2 产品特点
随时随地,安全接入企业应用。
1)应用简捷,无需安装任何软件,不改变原有网络结构,不改变用户使用习惯。 2)智能化访问方式,用户在访问内部 Web 资源时,如果用户通过认证之后,直接就 可以连接到 WEB 资源界面,不需要用户启动服务再访问,简化重复操作。

丰富的应用支持,满足基于 IP 协议的任意应用。
网络卫士 SSL VPN 产品目前支持所有 TCP/IP 的协议,包括 TCP、UDP 和 ICMP, 并支持企业内部所有 B/S、C/S、文件共享等的应用,如 ERP、Microsoft Outlook,OA, SAP,Oracle,Citrix 等;并且可在网络卫士 SSL VPN 上可运行 VOIP 应用,如 H.323、 SIP 等;利用虚拟通道技术,远程用户通过网络卫士 SSL VPN 访问到企业内部网络时, 管理员可对远程接入的计算机进行远程维护、管理。

提供丰富的用户访问方式。
企业的远程接入解决方案面对的是不同要求的客户, 比如需要给自己内部的员工提供 对一些关键应用的访问服务,需要让 IT 人员能够通过其进行网络管理,需要为合作伙伴 开放某一个专门的受 SSL 保护的 Web 服务等。因此,为了满足不同的远程访问要求,网 络卫士 SSL VPN 系统为远程用户提供四种接入模式,包括: 1)目的地址映射(DNAT); 2)虚拟服务(Virtual Service); 3)代理服务(Proxy); 4)网络连接(Network Connector)。

完善的终端安全保护措施。
SSL VPN 作为远程接入设备延伸了企业网络的边界,使得远程接入的用户可以访问 内部的应用或者整个网络。 远程用户的计算机的安全要求就必须符合企业的安全策略, 以 避免因为远程计算机上的安全漏洞导致整个内部网络受到攻击。 确保远程接入到企业内部

服务热线:8008105119

3

网络卫士 SSL VPN 网关系统产品说明

网络的用户终端上的安全措施满足企业的安全策略要求, 成为确保企业整体系统安全的一 个重要措施。 网络卫士 SSL VPN 系统支持基于用户的终端安全检查和缓存清除,可以根据管理员 的设定检查远程计算机上是否安装了合适的防病毒软件、是否存在 spyware、是否开启了 不该开启的网络应用等。 还可以根据管理员的定义清除指定的文件夹。 这种灵活的终端安 全措施可以帮助企业实施自己的终端安全策略,确保企业信息系统的安全。

高稳定性保障,支持多线路 ISP 接入。
远程用户可能从不同的 ISP 接入到 Internet,需要 SSL VPN 设备能提供连接多个 ISP 的功能。但是远程客户往往不能判断自己应该使用哪一个 IP 地址,因此 SSL VPN 需要能 够根据客户的接入情况智能的选择其接入的 IP 地址。 网络卫士 SSL VPN 系统支持多个 ISP 接入的功能可以解决这个问题。网络卫士 SSL VPN 系统的客户端组件能够从网络卫士 SSL VPN 系统获取有多少个 IP 地址是可以使用 的,并根据各个 IP 地址不同的连通性情况来决定使用哪一个 IP 地址作为连接的地址,从 而保证远程用户能够得到较好的使用体验。

高可用性,支持双机备份和负载均衡。
SSL VPN 作为提供远程接入解决方案的门户,必须提供高可用的服务。 网络卫士 SSL VPN 系统支持双机热备,可以提供主从,主主两种业务模式,网络卫 士 SSL VPN 系统的 HA 功能可以在不同的型号之间实现 HA,只要软件版本相同即可, 这样就可以使得用户既可以提供高可用性,也可以节约用户的投资。

个性化的自定义页面,提供公告栏。
作为企业远程接入解决方案的一个门户,SSL VPN 需要能够让远程接入的客户非常 容易的识别。SSL VPN 提供了方便的自定义功能,可以让管理员自己定义登录页面的色 彩,欢迎词,图片等,便于企业统一公司形象。网络卫士 SSL VPN 系统的消息发布功能 使得企业可在网络卫士 SSL VPN 系统上发布一些公司消息,便于远程接入的用户了解公 司的最新动态。

服务热线:8008105119

4

网络卫士 SSL VPN 网关系统产品说明

强大的网络接入应用
SSL VPN 之间可以实现星型或者网状的网络互联,实现端对端的网络互连,提供 全面的应用部署接入方案。

智能客户端提供应用关联。
网络卫士 SSL VPN 系统通过在 Web 页面中嵌入智能客户端组件的方式实现了无需安 装维护客户端软件和高级智能之间的平衡, 可以让用户设置一些关联应用, 便于用户使用。 网络卫士 SSL VPN 系统的自动选路, 自动重连等功能可以帮助用户选择最有链路的路径, 提高用户体验和满意度。

丰富的日志报表审计功能。
作为企业网络的一个边界门户, 网络卫士 SSL VPN 除了能够对用户进行认证、 授权、 控制之外,还能够记录用户经过 SSL VPN 的行为,为系统审计提供数据基础。 网络卫士 SSL VPN 系统为管理员提供详细的 Log 纪录, 包括终端用户的登录、 退出、 认证、资源访问等,管理员对系统的设置信息等。同时提供基于用户和服务的 TOP N 信 息的统计和导出,从而方便管理员了解应用使用情况。还支持对 Log 的定期导出,可以 根据管理员的设置定期地将符合条件的 Log 形成文件传递到 ftp 服务器上去,便于数据的 长期保存。支持实时地通过 Syslog 把数据传递到外不得日志服务,便于企业对信息系统 的 Log 进行统一的管理。

服务热线:8008105119

5

网络卫士 SSL VPN 网关系统产品说明

3 产品功能
无需安装客户端软件,直接通过浏览器访问。 提供灵活的基于角色访问控制。 支持静态口令、动态口令和 PKI/CA 身份鉴别。 支持丰富的 TCP/UDP 应用服务。 支持各种动态多媒体应用服务。 支持 Web 方式的 CIFS/NFS 的文件共享。 提供第三方 RADIUS、AD、LDAP、Windows NT Domain 认证机制 支持 PKI、RSA、SecurID、iKey 、附加码用户认证。 支持 Web 应用的单点登陆(SSO)。 提供单键式启动的安全关联应用。 有效记录用户的连接活动。 接入网页可以个性化设计。 支持双机热备和负载均衡。 支持客户端安全扫描。 提供丰富的日志查询功能。 支持多语言界面。 实现端对端的网络互连

网络卫士 SSLVPN 功能清单:
功能分类 功能描述 用户名口令 双向证书认证 用户认证方式 双因子认证 动态密码验证 附加码验证 支持多种认证方式 子功能详细描述 支持 支持 Smart Card、USB Key (品牌:握奇、明华、飞天诚 信、ikey)、 Token 支持 提高安全的认证,每次登录附加码自动产生。 本地数据库、CA 证书中心、RADIUS 服务器、 Windows Active Directory、Windows NT Domain

服务热线:8008105119

6

网络卫士 SSL VPN 网关系统产品说明

签发自签名证书 证书格式 双向证书认证 证书导入格式 证书注销列表格式(CRL) CRL 取得方式 第三方 CA 协议支持 加密和协议 对称式加解密 非对称式加解密 认证算法 (Hash) 操作系统检查 个人防火墙检查 客户端安全机 制 防毒软件检查 检查内容 缓存清除(Cache Clean) 自动下载代理策略 Policy

支持 X.509 v2/v3 兼容 PFS、 BER、 DER、PEM、 P7C、P7B、P12、PKCS10 X.509 v2 兼容 自动/手动 完善的 PKI 体系,完全支持第三方 CA。 SSL v2, v3、TLS v1 DES/3DES/AES RSA、DH SHA-1、MD5 登录前全面的安全检查 支持、如诺顿(Norton)、天网等个人防火墙 支持、如 McAfee、Symantec 等防毒软件检查 Registry、 Process、Service Port、*.dll、 Folder and File、MAC address 检查、登录时间检查 清除所有在会话中生成 cookies,浏览记录,缓存, 临时文件以及所有 ActiveX 对象;清空垃圾箱。 支持 HTML、 DHTML、 Active X、 Java、 Java Script、 Java Applet、ASP 等 RDP (Terminal Service)、RDP、VNC、Citrix Meta Frame Windows CIFS、UNIX NFS FTP (主动/被动模式)、TFTP Exchange、Notes、SMTP、POP3、IMAP 可以定制一对多端口或多对一端口应用 Multi-Media Service 基于 TCP/UDP 的固定、浮动端口,以及端口范围 的服务。 MSSQL Server、Citrix ICA、MSN; 管理员集中设定 可做到 URL 级别的访问控制 URL 替代 FTP CLI、HTTP CLI 每周、每日 支持

Web 应用 终端服务 文件共享 应用支持 文件传输 邮件传输 定制多端口应用 动态端口应用 客户可自定义端口 其他 C/S 服务支持 客户端程序关联 认证和访问控 制 基于用户/角色的访问控制 对于用户/角色的资源 内容过滤 用户登录时间限制 应用服务分组

服务热线:8008105119

7

网络卫士 SSL VPN 网关系统产品说明

应用服务显示/隐藏

支持 支持系统管理员可以自由调整登录 Web 页面的外 观 支持高安全的隧道访问, 认证通过可以屏蔽访问外 网 工业强度的压缩算法:GZIP、LZO 支持目的、源地址转换 采用单点登录技术, 可实现用户认证后直接访问内 部 Web 资源 英文、简体中文 Web UI、CLI、SSH 本地 密码,证书及高级附加码技术。 支持标准的 Syslog 输出,可以备份到日志服务器。 可以查看管理员登入/登出记录、认证机制、认证 结果记录、使用时间记录、管理员操作记录。 可以查看用户登入/登出记录、认证机制、认证结 果记录、使用时间记录、使用服务的时间记录。 可以根据流量和访问时间进行 TOP 查询,直观的 分析前几名访问的网络情况信息。

UI 自定义 通道分割控制 压缩功能 DNAT、SNAT 单点登录(NTLM)

附加个性功能

操作界面语系 管理方式 管理员用户接口 管理员访问控制 管理员认证 Syslog 管理员日志 日志和审计 用户日志 Top 排名、MRTG

服务热线:8008105119

8

网络卫士 SSL VPN 网关系统产品说明

4 典型部署模式
4.1 远程接入旁路部署模式
网络卫士 SSL VPN 系统为企业提供远程接入解决方案,移动用户可以通过任意方式 接入到 Internet, 然后经过网络卫士 SSL VPN 系统的 SSL 隧道保护安全的接入到企业内部 网络。 网络卫士 SSL VPN 系统支持各种认证服务器, 比如: Radius、 Windows AD 和 LDAP 等,可以方便地同企业现有的认证系统结合在一起,便于企业部署远程接入解决方案。具 体的网络环境示意图如下所示。

4.2 多个 ISP 连接部署模式
利用网络卫士 SSL VPN 系统为企业提供远程接入方案可以方便移动办公用户随心所 欲地访问企业内部网络,但是因为移动用户接入 Internet 的条件不同,导致不同的用户可 能从不同的运营商接入到 Internet。在这种环境下,跨运营商实现对网络卫士 SSL VPN 系 统的访问会出现网络质量不稳定的情况,尽管网络卫士 SSL VPN 系统的客户端智能可以 在低速和不稳定的链路上保持连接畅通,但是有些应用因为对网络环境的要求比较苛刻, 可能会导致不能使用。 为了解决这个问题,网络卫士 SSL VPN 系统上可以配置多个 WAN 接口,每一个接 口连接一个 ISP,再结合网络卫士 SSL VPN 系统的客户端的智能选路功能,就可以保障
服务热线:8008105119 9

网络卫士 SSL VPN 网关系统产品说明

从不同 ISP 接入的客户都能够得到良好的网络应用体验。具体的网络环境示意图如下所 示。

4.3 高可用性(HA)部署模式
移动办公解决方案的目的是保证移动用户随时可以接入到企业内部网络。 这就要求网 络卫士 SSL VPN 系统提供高可靠性,同时需要能够对物理网络环境可能出现的故障提供 足够的容错措施。网络卫士 SSL VPN 系统的 HA 特性即可解决这个问题。两台网络卫士 SSL VPN 系统可以以双机备份模式部署。两台网络卫士 SSL VPN 系统可以是主动-主动 (AA)模式,也可以是主动-被动(AP)模式。 在 HA 模式下,两台网络卫士 SSL VPN 系统可以自动地实现配置的同步,并可以依 据网络的可用性,自身的状态等条件实现状态的切换和恢复。在 AA 模式下,结合客户端 智能还可以实现负载的均衡。因此网络卫士 SSL VPN 系统的 HA 模式使得企业的远程接 入方案具备了良好的高可用性, 从而保障移动用户随时访问企业内部网络资源。 具体的网 络环境示意图如下所示。

服务热线: 8008105119

10

网络卫士 SSL VPN 网关系统产品说明

服务热线: 8008105119

11


相关文章:
移动VPN接入网关技术白皮书 V2.0
移动VPN接入网关技术白皮书 V2.0_专业资料。rt移动VPN 接入网关 技术白皮书 V2.0 公安部第三研究所 二○○八年六月 目录 1 产品简介 ......
VPN技术白皮书
VPN 产品白皮书 文档密级:公开 第3章 SANGFOR SSL VPN 网关技术作为中国市场...JS/VBS、Applet/ActiveX/Flash 等多种网页技术实现重构; 应用包括:包括:网上...
关于购置VPN网关请示报告
关于购置VPN网关请示报告_经济学_高等教育_教育专区。需求 网络与信息技术中心 关于购置 VPN 网关的请示报告尊敬的资产处领导: 校园网上数字资源特别是数字图书馆资源...
vpn技术白皮书doc
VPN技术白皮书 VPN技术白皮书 摘要 本文详细介绍了 Quidway 系列路由器在 VPN ...出 差员工利用当地 ISP 提供的 VPN 服务就可以和公司的 VPN 网关建立私有的...
高性能企业智能VPN网关用户手册
41 企业VPN网关 3 300M无线 企业VPN 网关 第 1章 产品简介感谢您使用本公司高性能VPN企业网关。 M810是为中小企业,行业连锁定制的一款高性能VPN企业网关。 M810...
网关到网关的VPN配置
网关网关VPN配置_IT/计算机_专业资料。网关网关的隧道 VPN 一、 网络拓扑例图: 二、 配置防火墙左,左边的防火墙为 F3 1. 定义防火墙接口 fe1 和 fe2: ...
NetshareVPN安全网关系列用户手册
NetshareVPN安全网关系列用户手册_计算机硬件及网络_IT/计算机_专业资料。NetshareVPN安全网关系列用户手册NetshareVPN 安全网关系列 用户手册 (适用于 NS-DV3100 NS...
SSL VPN技术白皮书
SSL VPN技术白皮书_IT/计算机_专业资料。网络技术白皮书配图说明 技术白皮书 DHCP...远程主机和 SSL VPN 网关之间 建立 SSL 连接,通过 SSL 对 SSL VPN 网关和远程...
深信服VPN产品介绍(白皮书)
深信服VPN产品介绍(白皮书)_计算机硬件及网络_IT/计算机_专业资料。深信服VPN产品...支持 USB KEY、硬件特征码、 短信认证(短信猫和短信网关)、动态令牌卡等加强...
天融信VPN安全网关用户手册ver5.2
134 北京天融信网络安全技术有限公司 010-82776666 天融信 VPN 网关用户手册 6 第一章 概 述 Internet 技术正日益改变着人们的工作和生活方式,基于Internet构建信息 ...
更多相关标签:
topsec vpn | vpn网关 | 连接vpn网关失败 | vpn网关设备 | vpn 使用远程默认网关 | 天行vpn网关无法访问 | pptp vpn没有默认网关 | openvpn 网关 |