产品中心
天融信 SSL VPN
发布时间:2018-02-22 发布者: 浏览量:3570
虚拟专网(VPN)
1. VONE系列产品 产品概述
· 作为国内最早从事信息安全产品研发生产的专业安全厂商,天融信自2000年开始推出VPN产品,历经了十多年的VPN技术的积累与市场考验。目前网络卫士VPN系统包括IPSEC VPN、VONE(IPSEC/SSL VPN多合一网关)两大系列,向用户提供成熟、完善的高性能VPN接入方案;拥有包括政府、金融、能源、电信、交通、军队、教育和企业等行业在内的两万余名用户。国内******VPN网络的运营,多个全球性VPN项目的实施,验证着天融信VPN产品凭借卓越的品质与技术进入了国际领先行列。
长期以来,天融信VPN研发团队一直是VPN技术趋势的领航者。在TNA2.0技术体系理论的指导下,天融信将更加致力于为远程分支互联、移动办公等客户应用提供更加安全、便捷的接入服务。
2.技术优势
·自主知识产权的TOS安全操作系统
天融信IPSec VPN网关采用具有完全自主知识产权的TOS(Topsec Operating System)安全操作系统,采用全模块化的设计,使用中间层的理念,减少了系统对硬件的依赖性,有效的保障了IPSecVPN、SSLVPN、防火墙、内容过滤、带宽管理、入侵防御等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限的可能。
·先进的多核并行技术
采用领先的AMP技术,动态的对各个Core进行任务分配,每个Core之间运行一个(或一些)完整的安全引擎实例,各个实例之间无干扰式的运转。当一个数据流达到VPN网关时,VPN网关的底层负载均衡模块会将其分配到合适的Core上,该Core上的多种安全引擎会采用流水线的方式对数据流进行处理。由于各个Core上运行的实例相互独立,从而极大的利用了多核的并行处理优势,能够充分发挥多核硬件的优异性能。
·独创的分级可信接入技术
天融信VPN网关不仅可以对接入的主机系统进行全面安全检测,拒绝不合格用户接入,而且还可实现对用户系统的安全等级评估,根据不同的安全等级,授予不同的访问权限。对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只授予与其安全等级匹配的普通权限。这样既可以防止不安全的用户主机感染内部关键服务器,又可以保留其浏览公司普通Web服务器的权限,实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级。
·VPN集群技术
天融信VPN采用基于TOS系统的智能集群技术。它的基本工作模式是多台VPN网关并行工作,都处于正常的数据转发状态,对外提供统一接入IP,多台VPN网关之间相互备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不间断。天融信VPN支持最多256台设备的集群和多种集群负载均衡策略;支持通过心跳口进行状态和Session同步,网关切换时无需用户二次认证。
·链路叠加与智能选路技术
天融信VPN网关可以提供多条链路接入,实现带宽叠加,同时为接入客户端提供智能选路功能,自动选择最优线路进行通信,其它线路作为备份。天融信VPN网关可将出口多条线路虚拟成一个逻辑线路,动态的探测出各线路的拥塞状况,将数据流负载到不同的线路上,实现真正的线路负载均衡,同时如果某条线路发生中断,VPN网关的智能负载算法会重新计算各线路的流量分配比例,从而达到线路备份的功能。通过多线路智能选路,还能有效的解决国内跨运营商线路互通的问题。
·多种移动终端接入技术
目前移动互联已成为新的应用趋势,天融信VONE针对移动终端提供了多种安全接入技术,能方便的实现通过智能终端移动办公。支持虚拟桌面和虚拟应用的虚拟化接入技术,具有终端与后台业务数据分离和应用无关性的技术特点,能很好的解决移动终端接入所面临的数据安全性和应用适应性问题。对于iOS、Android智能终端支持SSL VPN虚拟化方式接入,其中iOS还支持IPSEC“零安装”接入;对于Android、Windows Mobile系统的智能终端,还支持使用全网接入模式接入。
3.产品特点
·认证机制最丰富的VPN
支持用户多级管理,为总部管理员减负;本地用户分级分组管理,带来管理的便利;丰富多样的外部认证支持,能与用户原有认证系统无缝结合,保障业务延续性;内置短信认证模块,杜绝口令泄露;支持硬件特征码认证,保障使用身份;动态令牌认证,口令一次一变;支持各种认证随意组合,提供最强的安全认证机制;提供差异化的认证方式,给用户提供多种选择。
·证书管理最强的VPN
具备完善的PKI体系,提高用户网络的安全等级;支持第三方CA,与用户系统无缝结合;支持CA在线认证,保证身份有效的时效性;内置功能强大的CA中心,并全面支持SM2算法及其数字证书规范,能降低用户PKI建设成本;支持证书废弃,保障系统安全;支持生成证书请求,确保私钥不外泄。
·授权灵活又安全的VPN
天融信VONE支持多级授权机制和用户授权继承的策略,满足各种用户授权需求。支持整体授权、条件授权、属性授权;支持基于证书的属性字段的授权;支持基于外部属性(LDAP或Radius下发属性值)的授权;还支持多条授权策略的组合。在用户授权的粒度上,支持基于URL/目录/文件等访问内容的授权、用户行为动作的访问授权、基于访问时间的授权等,能够满足各种用户授权需求。
·高可靠的系统设计
采用双系统设计,升级安全放心,无需担心升级失败导致设备无法启动;支持VPN集群,提高了VPN的性能和可靠性,可根据VPN网络规模随时扩展设备,保护投资;支持多机多线路负载均衡与备份,能有效解决跨运营商线路互通问题,保障业务连续性;支持双机热备(AS)模式与负载均衡(AA)模式,保证网络不中断;支持应用负载均衡,切实提高业务系统的处理性能和可靠性。
·快速智能的VPN网络
采用先进的多核并行技术,能大大提高VPN系统的处理速度;内置高速压缩算法,可提高数据传输速度;多线路带宽叠加技术,能有效提高线路带宽和利用率;支持多线路自动选优,提升VPN的应用效果;支持应用QoS,保障VPN业务的带宽;支持WebCache加速,提高Web资源的访问速度;支持智能递推,可自动将该门户URL包含的子连接加入可访问的资源列表,降低管理配置工作量。
·简单易用的VPN系统
可高度集中管理的VPN,能实现“统一认证、集中监控、分级管理”;支持统一用户管理,对IPSEC与SSL使用同一套用户认证、管理系统,方便对用户的管理;支持多种单点登录方式,用户只需要一次认证即可访问所有授权业务资源;支持虚拟门户,企业各部门都可拥有独立的接入门户,定制不同登录界面、功能模块、认证方式等;支持开机登录与最小化、桌面图标、隐藏托盘等系统托盘增强功能;VPN虚拟化接入技术和iOS零安装技术,轻松实现iOS、Android智能终端通过3G/WiFi移动办公。
·附加值最高的VPN
集成了************的防火墙;基于TOS的高可扩展性,可轻松的升级成集IPS、防病毒、内容过滤、反垃圾邮件等功能于一体的专业UTM;集成强大的网络附加功能,支持交换、静态/动态路由、VLAN、带宽管理、DNS代理、DHCP服务器、ARP代理、组播协议等;内置PPTP/L2TP/GRE隧道接入功能。
产品功能
类别 | 功能 | 详细描述 |
网络 | 工作模式 | 1. 支持透明、路由、混合模式 |
端口聚合 | 1. 支持对物理接口的端口聚合,提高接口带宽 | |
接入 | 1. 支持以太网、光纤、ADSL、DHCP等多种接入方式 2. 支持最多4路ADSL拨号接入,多路ADSL支持链路负载均衡或备份 | |
其它 | 1. 支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间 2. 支持IPX、NetBEUI等非IP 协议 | |
PKI | 证书格式 | 1. 支持X.509 V3数字证书 2. 支持DER/PEM/PKCS12等多种证书编码 |
本地CA | 1. 支持内置CA,为其他设备或移动用户签发证书 2. 支持证书废弃,支持生成标准CRL列表 3. 支持证书请求的生成,由第三方CA进行签名 4. 内置支持SM2算法的CA | |
第三方CA | 1. 支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通过HTTP协议定时下载CRL列表 2. 支持通过OCSP/LDAP等协议在线认证证书 | |
SSL VPN | 安全算法 | 1. 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法 2. 支持国家商秘专用SP02/SSF33/SM1(SCB2)/SM1/SM2/SM3/SM4算法 |
数据压缩与加速 | 1. 支持高效流压缩算法 2. 支持智能压缩 3. 支持WebCache加速 | |
用户认证 | 1. 支持“用户名+口令”、“用户名+口令+图形认证码”认证 2. 支持X.509数字证书认证 3. 支持数字证书(USBKEY)+口令多因子认证 4. 支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证 5. 支持短信认证、图形码校验、硬件特征码校验 | |
用户授权 | 1. 支持角色授权、支持独立用户授权 2. 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 3. 支持本地授权、支持外部组映射授权、支持证书用户授权 4. 支持基于证书中的字段属性组合授权 | |
应用支持 | 1. 支持WEB转发、端口转发、全网接入模式 2. 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 3. 支持基于IP协议的各种C/S应用,如EMAIL,FTP,ERP,CRM,DB等 4. 支持Windows/CIFS远程文件共享 5. 支持FTP的WEB化访问 | |
实时监控 | 1. 实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种信息 2. 支持主动中断在线用户的隧道连接 | |
端点安全 | 1. 支持接入客户端痕迹清除,能够清楚cookie、缓存、历史记录等各种访问痕迹 2. 支持拔KEY隧道自动中断 | |
虚拟门户 | 1. 支持虚拟门户功能,每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等 | |
Portal页面隐藏 | 1. 在用户登录SSL VPN后不需要驻留Portal页面,可以隐藏,并在右下角缩成一个小图标,点击小图标还能恢复Portal页面 | |
客户端 | 1. 支持Windows Mobile PDA客户端 2. 支持iOS、Android系统的智能终端客户端 3. 支持WindowsXP、2003、2008、Vista、Win7、Win8、Linux系统 4. 支持独立客户端 5. 支持用户设定代理服务器信息 | |
单点登陆 | 1. 支持HTTP401认证单点登录 2. 支持用户修改单点登陆的账户信息 3. 支持WEB方式的单点登录 4. 支持密码助手方式的单点登录 | |
可信接入 | 可信接入 | 1. 支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 2. 支持可信接入分级授权 3. 支持检查策略:接入前检查、接入后检查、定时检查等 |
IPSEC VPN | 协议 | 1. 支持ESP/AH/IKE/NATT等标准IPSEC协议 2. 支持隧道模式、传输模式 |
算法 | 1. 支持DES/3DES/AES等标准加密算法,支持MD5/SHA1等标准HASH算法 2. 支持DH GROUP1/2/5,RSA 1024/2048非对称算法 3. 支持国家商秘专用SP02/SSF33/SM1(SCB2)/SM1/SM2/SM3/SM4算法 | |
硬件加速 | 1. 支持高速算法加速卡 | |
数据压缩 | 1. 支持高效数据流压缩算法 | |
隧道认证 | 1. 支持预共享密钥、数字证书认证,支持XAuth扩展认证 2. 支持使用标准的X.509证书建立隧道 | |
网络 | 1. 支持网状、树型、星型等多种VPN网络拓扑 2. 支持隧道的NAT穿越、双向NAT隧道建立 3. 支持全动态IP地址间的VPN组网 4. 支持隧道转发 5. 支持组播穿越IPSec隧道 6. 支持多机多隧道的负载均衡和备份 7. 支持多线路VPN隧道的智能选路 8. 支持虚拟路由技术,通过IPSEC将本地网络路由扩展到远程网络。 | |
VPN | 1. 支持第三方标准IPSec客户端接入 2. 支持苹果终端IPSEC VPN客户端接入 3. 支持为移动用户定义访问权限 4. 支持基于时间的移动用户访问控制策略 5. 支持两网分离 6. 支持多线路自动检测 7. 支持移动用户接入状态的监控和审计 8. VPN客户端支持DES、SCB2加密算法 | |
技术标准 | SSLVPN | 1. 符合国密局制定的《SSL VPN技术规范》 |
IPSecVPN | 1. 符合国密局制定的《IPSEC VPN技术规范》 | |
L2TP | L2TP | 1. 支持远程用户通过L2TP接入,建立L2TP隧道访问内部网络 |
PPTP | PPTP | 1. 支持远程用户通过PPTP接入,建立PPTP隧道访问内部网络 |
网络安全性 | 访问控制 | 1. 基于状态检测的动态包过滤 2. 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制 3. 支持隧道内的访问控制 4. 支持IPSec客户端与SSL全网模式与FW联动 5. 动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 6. 支持大数量级的策略匹配加速算法 |
NAT | 1. 支持双向NAT 2. 支持动态地址转换和静态地址转换 3. 支持多对一、一对多和一对一等多种方式的地址转换 4. 支持虚拟服务器功能 | |
安全管理 | 用户认证 | 1. 支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等常用的安全认证方式 2. 支持统一用户管理,IPSEC与SSL使用同一套用户认证、管理系统 3. 支持口令复杂度设置,支持密码找回、首次登录修改口令功能 4. 支持多点登录地点数设置,支持登录时间、登录地址范围控制 5. 支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 6. 支持短信、动态令牌、硬件特征码认证 7. 支持Session认证、HTTP会话认证 8. 支持WEB认证和指纹认证 |
分级管理 | 1. 支持多达16级的分级管理 2. 支持管理用户权限的自定义,可实现多权分立 | |
日志 | 1. 支持Welf、Syslog等多种日志格式的输出,支持日志分级 2. 支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能 3. TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析 4. 可对日志进行加密传输 | |
监控 | 1. 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测 2. 可根据配置文件进行错误恢复 | |
报警 | 1. 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 2. 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式 | |
流量统计 | 1. 支持基于IP对session数的统计,并有阀值报警功能 2. 支持NETFLOW协议版本5,支持设置过滤条件 3. 支持基于接口、地址、端口、连接数的流量统计 | |
高可用性 | 双机热备 | 1. 支持双机热备(Active-Standby)模式 2. 支持负载均衡(Active-Active)模式 3. 支持连接保护(Session Protect)模式 |
其它功能 | 1. 支持基于IP探测的链路备份功能 2. 支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式 3. 提供主、备双操作系统,提高设备自身可靠性和网络的可用性 4. 在WEB页面上具有调试功能,可支持PING、Traceroute、CLI界面操作 | |
配置管理 | 配置方式 | 1. 支持WEB图形配置、命令行配置 2. 支持基于SSH、HTTPS的安全配置 3. 支持通过TP进行配置管理 |
WEBUI | 1. 支持配置向导,支持中文联机帮助 2. 支持HTTPS客户端证书认证方式 3. 支持CPU、内存、连接数、接口流量的即时监控图和历史趋势图 4. 支持应用识别、病毒、入侵防御统计数据的图形化显示 | |
SNMP | 1. 支持SNMP 的v1 、v2 、v2c 、v3 版本 2. 支持SNMP MIB扩展 3. 与当前通用的网络管理平台兼容,如HP Openview 等 | |
系统升级 | 1. 支持双系统升级 2. 支持TFTP、Webui、Ftp升级 | |
报文调试 | 1. 提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题 2. 支持发送虚拟报文 3. 支持端口镜像功能,能够通过设置过滤条件选择性镜像报文 | |
配置恢复 | 1. 可以进行配置文件的备份、下载、删除、恢复和上载 |