【VPN组网解决方案】

　 

　 XXXX VPN系统解决方案

　 目

　录 第一章 XXXX网络现状及需求分析 3 1.1 网络现状 3 1.2 现有组网方式的缺陷 3 1.2.1 访问没有保护 3 1.2.2 无法运行内部管理软件 3 1.2.3 增值服务无法实施 3 1.2.4 网络管理混乱 3 1.3 需求分析 4 第二章 VPN技术及天融信VPN产品 5 2.1 VPN基本概念 5 2.2 VPN的基本技术 5 2.3 一般VPN解决方案所面临的几个问题 7 2.4 天融信VPN产品及其典型解决方案 9 2.4.1 天融信VPN硬件安全网关 9 2.4.2 天融信VPN客户端 15 2.4.3 天融信VPN安全策略管理平台 17 2.5 天融信VPN产品的主要特点 22 2.5.1 支持国密局《IPSec VPN技术规范》 22 2.5.2 全面支持IPSec协议标准 23 2.5.3 CleanVPN 23 2.5.4 完善的PKI体系提高用户网络安全等级 23 2.5.5 支持全动态IP地址间建VPN隧道 24 2.5.6 NAT自动穿越 24 2.5.7 隧道路由技术实现VPN灵活自动部署 24 2.5.8 完善的VPN网络集中管理功能 25 2.5.9 支持组播穿越隧道 25 2.5.10 多机多线路负载均衡与备份 26 2.5.11 支持灵活的移动用户接入策略 26 2.5.12 丰富多样的认证与授权 26 2.5.13 分级可信接入体系 27 2.5.14 简单易用的无驱客户端 27 2.5.15 iOS零安装 27 2.5.16 集成功能强大的防火墙功能 28 2.5.17 集成强大的网络附加功能 28 第三章 XXXX网络系统互联VPN解决方案 29 3.1 VPN解决方案 29 3.2 配置及功能说明 31 3.2.1 天融信安全策略管理平台 31 3.2.2 天融信VPN硬件安全网关 31 3.2.3 天融信VPN客户端 31 3.3 通信过程分析 31 3.4 安全性分析 31 3.5 密钥管理 32 3.6 本解决方案的主要特点 32

　 第一章 XXXX网络现状及需求分析 1.1 网络现状 XXXX业务网络系统由总部和100个左右分支机构组成。各分支机构均为规模不等的局域网络所组成，其中总部局域网络是整个网络系统的核心，为企业各类业务服务器所在地，同时也是网络管理中心。各分支机构和移动办公用户通过Internet与总部通信。 1.2 现有组网方式的缺陷 1.2.1 访问没有保护 在现有的方式下，各分支机构通过因特网与总部联系(一般是E-mail或者各种即时通讯工具)，由于这种联系方式都是通过公网进行明文互动，毫无保密性可言，商业机密数据有可能被竞争对手得到，从而引起业务损失。而且使用E-mail方式实效性不高，双方的通讯存在时间差，不利于企业内部沟通。 1.2.2 无法运行内部管理软件 因为总部内网和分支机构局域网之间不能互通，一些基于IP的业务软件不能运行，如无法实施OA、ERP等管理软件，影响企业管理效率，不利于整体策略性管理。 1.2.3 增值服务无法实施 诸如视频电视、电话会议、IP电话之类的增值服务在这个网络上很难展开甚至无法展开，为了能使用这些方便的功能，还要另外在线路上进行改造，增加了企业负担。 1.2.4 网络管理混乱 随着企业规模的扩大和分支机构的增多，各分支机构局域网的管理人员素质参差不齐，分别按照各自的习惯进行局域网建设，没有统一的标准进行有效管理，开展增值服务时反而变成企业业务发展的障碍。 1.3 需求分析 根据XXXX现有的网络状况和业务情况，希望改建之后的网络达成如下目标： l 能够保证各分支机构和移动办公用户安全快捷地访问总部局域网内业务服务器； l 数据在Internet上传输时应保证足够的安全； l 能在全网实施OA、ERP等各种业务软件，提高企业管理效率； l 能随时在网络上开展各种网络服务，如IP电话、视频会议等； l 能对全网进行统一规划，统一管理。 基于以上的需求，当今较为完善的解决方案是实施基于IPSEC 的VPN组网方式，以下将详细论述VPN的基本原理及天融信VPN的解决方案。 第二章 VPN技术及天融信VPN产品 2.1 VPN基本概念 VPN（Virtual Private Network：虚拟专用网）是一种以公用网络，尤其是Internet为基础通道，综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途（租用）专线连接和远程拨号连接；但同时由于VPN需要借道公用网络，就必须解决因此而带来的网络安全问题。因此，VPN技术概括地说就是：实现低成本的安全互连。 有许多可以实现VPN的技术途径，区别主要看该技术是在OSI参考模型的哪一层实现，如在应用层实现的SSL，在会话层实现的Socket5，在网络层实现的IPSec和在数据链层实现的PPTP/L2TP等。VPN技术的多样性和似乎高深的专业术语很容易使一般用户不知所措，天融信建议：如果你需要安全地访问互联网上的某个站点，那么SSL VPN是一种不错的选择；如果你想将通过互联网访问公司内网中的某个服务器，或需要将两个处于不同地域的局域网基于互联网安全通连，那么IPSec 几乎就是一种必然的选择。 2.2 VPN的基本技术 目前，VPN的实现主要采用四项技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 l 隧道技术（Tunneling）：类似于点对点技术，它在公用网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。 由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接通过Internet传输的， 而必须代之以合法的IP地址。有多种方法可以完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，对于VPN而言，数据包封装（隧道）是最常用的技术。数据包封装发生在VPN的发送节点，此时需将原数据包打包，添加合法的外层IP包头，这个包可通过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术，下图为IPSec VPN隧道模式下对数据包的封装过程： 隧道封装后的数据包 原数据包 IP头 Data 新IP头 AH Data IP头 ESP

　l 加解密技术（Encryption & Decryption）：对明文进行足够强的加密后送到目的地进行解密,从而达到保护远程数据传输过程中的安全。 l 密钥管理技术（Key Management）：主要任务就是保证密钥在公网上能够安全的传输而不被窃取,如被窃取也有相应的手段进行二次防护。 l 使用者与设备身份认证技术（Authentication）：正确分辨哪些设备是与本身相关且需要相互流通，并且让非法用户无法进入系统，多以电子证书的形式进行。 一个VPN和“虚拟隧道”模型的实例如图3.1所示： 图 3.1 VPN和虚拟隧道模型

　图 2-1 VPN和虚拟隧道模型

　2.3 一般VPN解决方案所面临的几个问题 l 管理配置复杂 　　由于VPN技术上的专业性，配置时需要专业人员进行指导，一般用户很难理解和正确使用。 l 客户端软件问题 　　客户端软件提供的VPN往往不是基于标准IPSEC的解决方案，同时由于客户端软件和操作系统内的个人防火墙及防病毒软件工作在网络模型的同一层，很容易产生软件冲突，引起操作系统故障，使用上存在很多局限性。 l 动态IP的网状联通性 　　大部分的VPN产品即使支持子公司采用动态拨号的方式接入，但不能实现两个动态拨号接入的子公司相互通信。 l NAT穿越 　　由于合法IP地址的有限性，现在有很多地方的上网方式是以城域网的方式接入，也就是说ISP分配给用户的IP地址不是因特网的合法地址，而是一个私网地址，由ISP做一层NAT接入。而IPSEC协议与NAT具有不兼容性。 l 与第三方厂商产品兼容性问题 　　当不同的VPN厂商产品进行互联时，由于各自对于IPSEC这个协议实现程度不同，各个厂商的产品很有可能不能进行通讯，当用户使用某一非标准IPSEC的产品后，如想进行VPN网络扩充就不能选择其他产品，用户对产品的使用受到了限制，只有完全遵循IPSEC标准开发的产品才能实现不同产品的互联。 l VPN网关自身的问题

　 由于VPN产品可以分为硬件网关产品和软件网关产品两种类型，但由于其对安全问题关注的侧重点不同会产生较大差异。软件网关产品由于过分关注易用性，导致其自身的安全性极度依赖于安装网关的操作系统，而流行的Windows操作系统由于漏洞百出，非常容易出现系统故障，甚至可能由于病毒或者一些硬件故障导致系统崩溃，无法保障VPN网关的底层安全，所以其适用场合也比较有限；硬件网关由于其使用专用硬件，自身的安全性较之软件网关有非常大的提高，而且性能也比软件网关高效和稳定，但使用上比软件网关要求更高，更专业。 天融信公司依靠自身的强大技术实力和长期实践，已完全解决以上问题，其特点如下： l 管理配置 　　提供基于本地串口和远程两种登录管理方式。用户使用远程管理方式可以选择SSH（加密通讯）和Telnet（不加密通讯）对设备进行配置，该方式适用于有网络管理经验的管理员；对不熟悉网络管理的用户，天融信还提供基于windows的GUI管理控制界面，管理员可以不用记忆复杂的配置命令，而仅通过点击鼠标就可完成全部配置工作。 l 客户端软件问题 　　作为完整的企业VPN解决方案，支持移动办公用户远程访问企业内网的VPN客户端软件包是必不可少的。但现在绝大多数的VPN客户端软件都需要在操作系统内核中嵌入一个庞大的垫片，经常导致与个人防火墙、防病毒等软件的冲突。天融信VPN客户端软件则采用独有的非核心层IPSec实现方案，与其它桌面软件的兼容性极佳。 　　天融信VPN客户端软件不但提供完整的IPSec协议实现，而且为移动用户提供基于用户名/口令、证书、动态令牌卡等多种认证方式，支持与MAC地址等硬件特征码绑定的安全措施，安装配置简单，其操作过程类似配置windows的拨号网络，只需输入接入网关地址、用户名、口令即可。 l 动态IP的网状联通性 　　通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略管理平台（TP）”进行注册和身份认证，然后从TP下载自己的VPN策略；同时TP负责当策略参数发生改变时，实时通知在线的网关产品更新策略，从而确保所有的网关都能够获得最新的策略参数变化情况。 l NAT穿越 　　为了解决这个问题，IETF专门为IPSec制定了“NAT穿越（NATT）”协议草案。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装，这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动；在目的主机处再把外层的IP/UDP封装去掉，就可以获得完整的IPSec数据包。 　　由于NATT协议标准制定的时间还比较短，大多数国内厂商还没有完全对该标准进行支持，而国外厂商也只有少数几家的产品针对新标准进行了升级。天融信的全系列产品都支持最新的NATT标准。由于NAT技术在国内的广泛应用，所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。 l 与第三方厂商的产品兼容性问题 　　由于天融信公司的VPN产品完全遵循IPSEC协议标准进行开发，所以不存在该问题，可以顺利的和国内外任何完全遵从IPSEC标准的产品进行互联互通。 2.4 天融信VPN产品及其典型解决方案 天融信VPN系列产品包括VONE系列（IPSEC/SSL VPN多合一网关）、IPSEC VPN系列网关（包括3G VPN网关）、VPN客户端软件以及天融信VPN统一安全策略管理平台（TP）。 2.4.1 天融信VPN硬件安全网关 天融信VPN硬件网关由高可靠性的工控标准主板、硬件密码模块和电子盘等构成，内置专用安全嵌入式操作系统和VPN软件模块。根据设备处理能力和提供的功能，天融信VPN硬件网关分为多个型号，分别面向大、中、小型企业及其分支机构。各类型号产品在性能上呈阶梯排列，同类产品则在功能和性能作了进一步的细分，以满足不同用户的需求。 以下是天融信VPN硬件网关的主要功能： 类别 功能 详细描述 网络 适应性 工作模式 ² 支持透明、路由、混合模式 路由 ² 支持静态路由、动态路由 ² 支持基于源/目的地址、端口、协议及接口的策略路由 ² 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能 ² 支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能 ² 支持RIP、OSPF等路由协议 ² 支持多线路捆绑和负载均衡 组播 ² 支持IGMP、PIM组播协议 ² 可有效地实现视频会议等多媒体应用 VLAN ² 支持Vlan、Vlan Trunk ² 支持802.1Q，能进行封装和解封 ² 支持ISL，能进行ISL的封装和解封 ² 支持QinQ技术（vlan-vpn），对报文进行二次基于802.1Q封装 生成树 ² 支持802.1D、PVST生成树协议 端口聚合 ² 支持对物理接口的端口聚合，提高接口带宽 ARP ² 支持ARP代理、ARP学习，可设置静态ARP ² 可设置防ARP欺骗 DHCP ² 支持DHCP Client、DHCP Relay、DHCP Server 接入 ² 支持以太网、光纤、ADSL、3G、DHCP等多种接入方式 ² 支持最多4路ADSL拨号接入，多路ADSL支持链路负载均衡或备份 其它 ² 支持网络时钟协议SNTP，可自动根据NTP服务器的时钟调整本机时间 ² 支持IPX、NetBEUI等非IP 协议 PKI 证书格式 ² 支持X.509 V3数字证书 ² 支持DER/PEM/PKCS12等多种证书编码 本地CA ² 支持内置CA，为其他设备或移动用户签发证书 ² 支持证书废弃，支持生成标准CRL列表 ² 支持证书请求的生成，由第三方CA进行签名 ² 内置支持SM2算法的CA 第三方CA ² 支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通过HTTP协议定时下载CRL列表 ² 支持通过OCSP/LDAP等协议在线认证证书 IPSEC VPN 协议 ² 支持ESP/AH/IKE/NATT等标准IPSEC协议 ² 支持隧道模式、传输模式 算法 ² 支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法 ² 支持DH GROUP1/2/5，RSA 1024/2048非对称算法 ² 支持国家商密专用SM1/SM2/SM3/SM4算法 硬件加速 ² 支持高速算法加速卡 数据压缩 ² 支持高效数据流压缩算法 隧道认证 ² 支持预共享密钥、数字证书认证，支持XAuth扩展认证 ² 支持使用标准的X.509证书建立隧道 网络 适应性 ² 支持网状、树型、星型等多种VPN网络拓扑 ² 支持隧道的NAT穿越、双向NAT隧道建立 ² 支持全动态IP地址间的VPN组网 ² 支持隧道转发 ² 支持组播穿越IPSec隧道 ² 支持多机多隧道的负载均衡和备份 VPN 客户端 ² 支持第三方标准IPSec客户端接入 ² 支持苹果终端IPSEC VPN客户端接入 ² 支持为移动用户定义访问权限 ² 支持基于时间的移动用户访问控制策略 ² 支持两网分离 ² 支持多线路自动检测 ² 支持移动用户接入状态的监控和审计 ² 支持中/英文界面和中/英文自动切换 *SSL VPN （可选配） 安全算法 ² 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法 ² 支持国家商密专用的SM1、SM2、SM3、SM4算法 数据压缩与加速 ² 支持高效流压缩算法 ² 支持智能压缩 ² 支持WebCache加速 用户认证 ² 支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证 ² 支持X.509数字证书认证 ² 支持数字证书（USBKEY）+口令多因子认证 ² 支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证 ² 支持短信认证、图形码校验、硬件特征码校验 用户授权 ² 支持角色授权、支持独立用户授权 ² 支持基于URL、访问路径、访问文件、访问动作的细粒度授权 ² 支持本地授权、支持外部组映射授权、支持证书用户授权 ² 支持基于证书中的字段属性组合授权 应用支持 ² 支持WEB转发、端口转发、全网接入模式 ² 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用 ² 支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等 ² 支持Windows/CIFS远程文件共享 ² 支持FTP的WEB化访问 实时监控 ² 实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息 ² 支持主动中断在线用户的隧道连接 日志审计 ² 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息 ² 支持多级审计日志，可以灵活配置审计级别 ² 支持日志本地保存，支持将日志上传到外部日志服务器 ² 支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统计 端点安全 ² 支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹 ² 支持拔KEY隧道自动中断 ² 支持用户超时自动退出，超时时间可以设置 虚拟门户 ² 支持虚拟门户功能，每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等 与企业门户无缝融合 ² SSL VPN可以与企业门户无缝融合，即用户可以通过企业门户登录SSL VPN，并且SSL VPN能够自动跳转Portal页面到企业的某个网站 集群 ² 支持集群和分布式集群功能 Portal页面隐藏 ² 在用户登录SSL VPN后不需要驻留Portal页面，可以隐藏，并在右下角缩成一个小图标，点击小图标还能恢复Portal页面 客户端 ² 支持Windows Mobile PDA客户端 ² 支持iOS、Android系统的智能终端客户端 ² 支持WindowsXP、2003、2008、Vista、Win7、Win8、Linux系统 ² 支持独立客户端 ² 支持用户设定代理服务器信息 端口转发 ² 支持TCP协议 ² 支持UDP协议 ² 支持智能递推 单点登陆 ² 支持HTTP401认证单点登录 ² 支持用户修改单点登陆的账户信息 ² 支持WEB方式的单点登录 ² 支持密码助手方式的单点登录 可信接入 可信接入 ² 支持接入主机的信息检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 ² 支持可信接入分级授权 ² 支持检查策略：接入前检查、接入后检查、定时检查等 国际化 语言支持 ² 支持中、英文界面 ² 支持中、英文自动切换 DDNS DDNS ² 支持DDNS动态域名注册 ² 支持使用域名进行隧道定义及协商 ² 支持使用域名向TP进行集中认证 技术标准 SSLVPN ² 符合国密局制定的《SSL VPN技术规范》 IPSecVPN ² 符合国密局制定的《IPSEC VPN技术规范》 L2TP L2TP ² 支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络 PPTP PPTP ² 支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络 网络 安全性 *内容过滤 ² 采用完全内容检测（Complete Content Inspection）技术 ² 支持基于流、数据包、透明代理的过滤方式 ² 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤 ² 支持web重定向，支持URL分类过滤 ² 支持挂马网站过滤 ² 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤 ² 支持对邮件的收发邮件地址、文件名、文件类型过滤 ² 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 ² 支持反垃圾邮件功能

　² 支持Telnet、Ftp、RSH命令过滤 ² 可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、Telnet、HTTP）的BANNER信息 访问控制 ² 基于状态检测的动态包过滤 ² 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制 ² 支持隧道内的访问控制 ² 支持IPSec客户端与SSL全网模式与FW联动 ² 动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP ² 支持大数量级的策略匹配加速算法 ² 支持对象的每秒新建连接数限制 ² 基于域名对象的访问控制 ² 可实现IP/MAC绑定，可防共享上网 NAT ² 支持双向NAT ² 支持动态地址转换和静态地址转换 ² 支持多对一、一对多和一对一等多种方式的地址转换 ² 支持虚拟服务器功能 *应用识别 ² 支持近百种应用程序库的过滤，包括P2P、IM、炒股、网游等 ² 支持MSN、QQ、Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制和帐号过滤 ² 可限制BT、eMule、eDonkey、迅雷等P2P应用 ² 支持基于应用的流量统计、排名 ² 支持基于应用的历史流量趋势图 ² 支持基于主机的应用流量统计 ² 支持流量异常检测 ² 深度流量过滤（DFI），针对P2P行为的识别控制 *防病毒 ² 支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀 ² 支持200万余种病毒的查杀，病毒库定期与及时更新 ² 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀 *防御攻击 ² 非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof ² 统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep ² 支持地址对象源目的最大连接数限制 ² 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置 ² SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤 ² CC攻击：可通过设置端口和阀值阻断CC攻击 ² 可记录攻击日志和报警 ² 支持手动设置和根据IDS规则自动生成黑名单 安全管理 用户认证 ² 支持使用一次性口令认证（OTP）、本地认证、数字证书（CA）认证等常用的安全认证方式 ² 支持统一用户管理，IPSEC与SSL使用同一套用户认证、管理系统 ² 支持口令复杂度设置，支持密码找回、首次登录修改口令功能 ² 支持多点登录地点数设置，支持登录时间、登录地址范围控制 ² 支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 ² 支持短信、动态令牌、硬件特征码认证 ² 支持Session认证、HTTP会话认证 ² 支持WEB认证和指纹认证 分级管理 ² 可为用户管理员分配不同的权限，管理不同的用户信息 ² 支持多达16级的分级管理 ² 支持管理员的三权分立 日志 ² 支持Welf、Syslog等多种日志格式的输出，支持日志分级 ² 支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能 ² TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析 ² 可对日志进行加密传输 监控 ² 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测 ² 可根据配置文件进行错误恢复 报警 ² 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 ² 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式 流量统计 ² 支持基于IP对session数的统计，并有阀值报警功能 ² 支持基于IP对流量的统计 ² 支持基于传输层端口进行流量、session数的统计 ² 支持NETFLOW协议版本5，支持设置过滤条件 带宽管理 QoS 流量整形 ² 根据IP、协议、网络接口、时间定义带宽分配策略 ² 支持最小保证带宽和最大限制带宽 ² 支持DSCP和COS的设置 ² 支持对p2p的带宽限制 优先级 ² 支持8级优先级控制 高可用性 双机热备 ² 支持双机热备（Active-Standby）模式 ² 支持负载均衡（Active-Active）模式 ² 支持连接保护（Session Protect）模式 其它功能 ² 支持基于IP探测的链路备份功能 ² 支持服务器的负载均衡，提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式 ² 支持双系统引导，支持Watchdog功能 配置管理 配置方式 ² 支持WEB图形配置、命令行配置 ² 支持基于SSH、HTTPS的安全配置 ² 支持通过TP进行配置管理 命令行 ² 支持配置命令分级保护，支持中英文 ² 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 WEBUI ² 支持配置向导，支持中文联机帮助 ² 支持HTTPS客户端证书认证方式 ² 支持CPU、内存、连接数、接口流量的即时监控图和历史趋势图 ² 支持应用识别、病毒、入侵防御统计数据的图形化显示 SNMP ² 支持SNMP 的v1 、v2 、v2c 、v3 版本 ² 支持SNMP MIB扩展 ² 与当前通用的网络管理平台兼容，如HP Openview 等 系统升级 ² 支持双系统升级 ² 支持TFTP、Webui、Ftp升级 报文调试 ² 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题 ² 支持发送虚拟报文 ² 支持端口镜像功能，能够通过设置过滤条件选择性镜像报文 配置恢复 ² 可以进行配置文件的备份、下载、删除、恢复和上载 ² 可进行部分配置本地和异地的批量导出和导入

　2.4.2 天融信VPN客户端 天融信IPSecVPN客户端是一款面向移动用户或单机的软件产品，可安装运行在移动设备或企业局域网内的任何一台客户机中，使这台设备具有远程接入企业VPN的功能。 天融信VPN客户端既可以与天融信VPN硬件/软件网关配套使用，也可以在多个VPN客户端之间建立安全隧道，构成虚拟专网，从而实现客户端—网关（硬件/软件）、网关（硬件/软件）—网关（硬件/软件）之间的信息安全传输。 天融信VPN客户端软件采用天融信公司独创的非核心层IPSec实现方案，整个VPN模块运行在应用层，与其它桌面软件的兼容性极佳，其运行过程对用户表现为全透明，即：用户的应用系统无需作任何适应性调整，其网络配置也不必作任何改动。

　 天融信VRC VPN客户端 支持操作系统平台 win2000/XP/2003/VISTA/WIN7/WIN8等 功

　能 描

　述 接入方式 ² 支持100/1000兆网卡、无线网卡等 ² 支持普通Modem拨号方式 ² 支持各种ADSL连接方式（PPPOE） ² 支持2G/3G、WLAN等各种无线接入方式 支持全网隧道访问 ² 可以对远程用户提供一种内部网的访问服务，使用户无论处于何种位置，都可以象在局域网内部一样方便的访问内部网络，真正实现3A保障（Anytime，Anywhere，Anyone） IPsec标准 ² 支持主模式和野蛮模式协商 ² 支持ESP标准 ² 支持标准NAT穿越 ² 支持3DES,MD5，SHA1标准加密和认证算法 ² 支持采用硬件加密卡对数据进行认证、加密，最大限度保证用户通信的安全 证书格式 ² 支持标准X.509格式的证书，支持Base64、DER编码方式 ² 支持Windows CSP标准，可以读取多种第三方厂商USB-Key DNS ² 支持内部DNS。移动用户与总部的VPN建立隧道后，可以通过总部的内部DNS服务器直接使用域名访问内部的各个应用服务器（如Http、Ftp服务器等） WINS ² 支持内部WINS。移动用户与总部的VPN建立隧道后，可以通过主机名访问内部的服务器和主机 客户端IP地址动态分配 ² 客户端可以通过网关动态分配到虚拟IP地址，实现全网IP地址的动态管理 客户端访问控制 ² 支持用户硬件特征码绑定，防止账号被盗用 ² 支持按角色分配访问权限，不同用户能访问不同的网络资源 ² 访问权限可以设置到端口 隧道配置与管理 ² 支持多隧道管理，方便用户配置自定义的隧道 ² 支持隧道断线重拨。若因为网络不稳定造成隧道断开，可自动重新建立隧道，省去用户手工重启隧道的麻烦 ² 支持隧道监控。通过GUI界面，用户可以实时查看隧道的状态，隧道数据流量，隧道是否启动/停止等 ² 支持隧道配置保存和导入 ² 支持用户配置文件的保存和恢复 客户端自动功能 ² 用户可以选择客户端的自动功能，比如打开客户端软件后自动运行默认连接和自动重新认证等等

　2.4.3 天融信VPN安全策略管理平台 天融信安全设备与策略管理平台TP系统（也称为TopPolicy系统）由TP管理器、TopPolicy服务器和TopPolicy数据库三部分组成。其中，TopPolicy数据库是TP系统的基础组件，它主要用于存储整个网络中网络安全设备的信息及VPN安全策略。 TopPolicy服务器是TP系统的核心组件，它是一个服务器程序，一般需要在网络运行过程中实时在线。它主要完成认证设备、维护设备、维护VPN隧道、维护VRC信息等工作。

　 TP系统结构 天融信VPN安全策略管理平台（TP）作为安全设备与策略管理系统，能够实现对网络的全面监管，支持对天融信全系列产品的管理，如对UTM、IPSec/SSL VPN、SJW11、VRC客户端等设备的集中监控和管理。TP管理员可以对网络中的设备运行状态进行集中监控和管理，并且在TP服务器中对所有本机和下级服务器进行设备管理、VRC管理、隧道管理、防火墙策略管理。管理员通过集中定制IPS策略，集中定制防火墙的包过滤策略、访问控制策略、NAT策略、深度过滤策略、VPN通讯策略，进而下发到各个管理设备，避免各个设备独立定制策略的随意性，便于从安全策略角度实现全网的安全策略统一管理。 l 与业务管理对应的分级管理体系 在现实应用环境中，网络环境具有庞大、分级、分支机构多、遍布全国的特点， TopPolicy对安全设备的管理与部署能够完全适应这种管理模式。 首先本系统支持4级的域管理，这样，用户可以方便的把一个全国的项目分级与分域管理，在统一策略下对责任进行分担；通过分级与分域管理，本系统可以支持到3000台安全设备和30000个VPN客户端。 其次，本系统可以对安全设备和策略实现完全的集中管理，也可以实现由下级管理中心或设备来管理日常的管理工作，而上级中心仅负责监控与分析统计工作。 l 策略的有序可控管理 在实际的工作环境中，可能有大量的UTM和VPN设备（例如：300个VPN，1000条隧道）在运行。如果全部在端到端方式或端到网关方式下各自建立联接，一则手工配置很容易导致配置文件不一致，而且人力成本很高；二则由于管理员不能随时监控VPN设备之间的连接，导致VPN设备之间可能存在着不应有的连接，网络安全存在隐患。因此在VPN大规模应用的情况下，需要对这些VPN进行统一管理。 TopPolicy让管理员可以通过对所管理的VPN设备的行为进行监控，审计员可以对管理员的行为进行监控；并且通过对加密算法、采用的安全策略以及网络异常处理策略进行统一的协调，使VPN设备在管理上是有序的；同时在VPN设备登录时自动下发统一配置的安全信息，无需对每个VPN设备进行配置，从而减低了分散管理可能带来的不一致和复杂性。 l VPN客户端自动部署 VPN客户端软件（VRC）的分发、配置以及设备证书的生成和分发这些软件部署工作，在VPN产品大规模使用的时候，将成为一项非常繁琐和复杂的工作，系统管理员的工作量极大增加，同时也给整个VPN系统带来了不必要的安全隐患。为了降低系统管理员的工作复杂度和保证系统的安全，天融信公司在TopPolicy中实现了VRC的自动部署功能。 TopPolicy内含的自动部署系统（Automatic Distribution System：ADS）是我国第一套自行研制开发的为整个VPN系统提供VPN客户端软件安全部署服务的软件。它能够对VPN客户端软件进行集中部署和必要的证书管理，并且为每个VPN客户端软件的部署提供必要的安全服务。它基于Windows 操作平台、IE浏览器和IIS HTTP服务器，界面友好，使用简便。TopPolicy自动部署系统能够实现对企业内部所有VRC的全面部署和证书、密钥的统一管理，管理员可以在任何网络环境中实现VRC的自动部署，根据企业的实际需求制定全局VRC部署策略，从而使繁重的VRC部署工作变得简单有序。管理员用户可以在异地对自动部署系统的服务器进行操作，提高了自动部署的机动性和灵活性。 l 完善的PKI体系支持 TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系，则无需外部证书发放机构的签发证书，企业自己就可以构建自己的证书发放机构(CA)。对这种用户TopPolicy提供了简单实用的PKI CA系统，可以为管理员、设备、VRC生成、更新、发放证书，同时提供证书验证与CRL文件管理等功能。 对于已经建有CA系统的用户，TopPolicy完全支持第三方的PKI系统，可以为设备和VRC导入/更新第三方CA生成的证书，不仅支持在TP本地使用第三方CA的根证书验证设备以及VRC身份，还支持通过OCSP协议实时在线验证设备和VRC身份。支持通过HTTP、LDAP协议自动下载CRL列表等等。

　l 集中的配置管理和丰富的设备管理功能 针对不同的设备，可以通过手动立即获取配置或通过任务自动获取配置。可以为每个设备保存最多100个配置备份。 可以通过调用各种管理组件如ping、telnet、SSH、Traceroute、远程管理等，实现对设备的配置和管理。 l 多视角的可视化管理 TopPolicy能通过拓扑图等多种方式，实现对设备、隧道等进行各种管理，进而实现对设备性能信息的监视，包括CPU信息、内存信息、接口信息和连接信息等。另外，对于具有VPN功能的设备还提供了隧道监控和VPN监控功能。 l 适用于不同的网络环境

　在TopPolicy构建的系统中，每一个VPN设备都使用设备名称作为系统内唯一确定的ID标识，通过ID来管理和访问这些VPN设备。这样就抛弃了传统的基于IP的管理方法，使TopPolicy不仅可以让系统中的设备以固定IP方式、固定IP和动态IP方式互联，而且从根本上解决了VPN设备互联时地址被地址转换（NAT）的问题和动态IP接入网络的问题。并且不论VPN设备的网络环境（IP地址）怎么改变，只要ID不变，TopPolicy服务器就为它保持原来的安全配置。 l 系统高安全性 作为安全管理产品，TopPolicy自身具有很高的安全性。系统各功能模块间的通信均可采用加密的方式进行；在TopPolicy构建的系统内采用证书进行身份认证；系统可以抵御一定强度的DOS攻击。通过这些安全措施，有效地防止了由于网络监听或帐号滥用造成的一系列安全问题。 l 多语言支持 支持动态简体中文和英文切换。 l 使用灵活简便

　TopPolicy的使用方式十分灵活， TopPolicy系统分成三个部分：TopPolicy Server，TopPolicy Manager和被管理设备，每个部分都可以在广域网的不同物理位置独立运行。TopPolicy界面友好，操作起来相当简便，克服了相关VPN产品操作复杂、对用户的技术门槛要求高的特点，配置十分的简便。 l 天融信TP产品功能 功能大类 子功能 描述 设备管理 多级安全域管理 可以将设备按照管理范围划分为多个域；域之间可以有上下级关系，最多支持4级域，可以为管理员指定可管理的域范围。 设备注册及认证 被管理设备自动完成注册与认证 设备远程管理 在设备管理列表中选择设备，通过调用浏览器登录远程设备进行管理、在拓扑图上选择设备进行远程管理调用、提供管理工具： Ping/SSH/telnet/Traceroute。 设备配置集中保存和更新 能够查询、接收并保存设备配置信息，并为设备提供配置更新服务。可以为一个设备保存多个配置，并在更新时由管理员进行选择；设备配置应用后需要提示保存；支持天融信设备配置保存；可定期检查设备配置是否被私自修改；可显示配置变化状态。 设备操作 开启服务、设备重启、时钟设置、设置ROOT管理员口令等； 设备主动注册 支持动态IP的VPN设备管理； 设备发现 设备自动发现；支持第三方设备；设备批量增加； 设备批量升级 可以按域或按设备制定升级计划，在有可用的升级包时在指定时间自动升级 拓扑管理 拓扑图维护 显示和编辑拓扑图；放大缩小等功能。 根据安全域、设备列表以及隧道列表，生成拓扑图； 显示设备摘要信息：设备名称、IP、隧道名。 通过子域结点，进入下级域的拓扑显示 拓扑图显示支持位置手工和自动排列 基于拓扑图状态管理 基于拓扑图的设备与隧道监控 图形化编辑 手动图形化增加、移除设备、安全域、隧道；

　显示方式 显示设备中服务列表；当前图节点变化时自动刷新；拓扑未变化不需提示存盘；显示子域报警；显示中转设备；显示子域设备总数；开关控制是否显示隧道名称；支持拓扑图打印；导出拓扑；图标排列操作；拓扑查找（名称、IP、类型为条件）； 防火墙 策略 全局对象管理 包括地址、区域、服务、时间和内容过滤对象等；对象分发 防火墙策略管理 支持包过滤策略、访问控制策略、NAT策略、内容过滤策略；防火墙参数的统一配置；支持策略分组。 策略集中定义和下发 以从手工创建策略；策略按域制定；可将策略下发并应用到所选设备（可多台）或域； 设备监视 设备监视 在线状态的监视，及详细信息的监视（系统资源、接口流量等）； 在子域结点中显示该域内所有下级设备的活跃数；

　批量监视 通过分析设备健康记录判断设备运行状态；同时监控多台设备的接口信息；在监控时可以做批量“拆除连接”操作；支持监视数据存储、回放 TOP N 支持对监控的设备进行“TOP N”排序 隧道监视 动态隧道状态的监视（禁用、活跃、停止、协商）； 拓扑图上显示隧道的状态，包括禁用、启用状态； VRC用户在线状态监视 查看所有VRC用户的状态； 在拓扑图中选择设备查看登录在该设备所有在线VRC用户；显示VRC活跃数 VPN策略 基本策略管理 为一台网关批量添加到多台网关的隧道 可以修改中间设备（可选）以及隧道封装模式、数据保护方式、算法、指定隧道接口；等。 隧道的建立/删除/启用/禁用，可以批量操作 增强策略管理 支持NAT设备与非NAT设备建立隧道 支持NAT设备与NAT设备建立隧道 支持动态IP设备之间隧道建立 隧道增强参数 隧道参数增加第一阶段协商算法； VRC管理 VRC用户信息维护 增加、删除、修改VRC组 单个或批量增加、删除、修改VRC用户 VRC用户的启用和禁用 地址池的维护；指实现增加地址段、删除地址段、自动分配IP、分配指定的IP。 VRC权限管理 基于VRC组对VRC用户进行权限定义 指定VRC组可以登录哪些网关或安全域。 为登录VPN网关时指定权限：访问权限、协议、目的IP或IP范围、目的端口范围。 为VRC用户指定登录时间，每周哪些天可以登录。 VRC软件自动分发 为VRC生成证书、配置、临时下载口令，然后进行分发。用户安装后不需配置即可连通VPN网络。 CA管理 本地CA功能 为设备生成、更新、发放证书。 为VRC生成、更新、发放证书。 为管理员生成、更新、发放证书。 证书验证与CRL文件管理 第三方CA功能 为设备导入/更新第三方CA生成的证书 验证设备和VRC身份。 支持通过OCSP协议验证设备和VRC身份。 支持第三方根证书和CRL导入。 支持通过HTTP、LDAP协议自动下载CRL。 日志管理 日志接收及存储 支持设备日志的接收和存储，以及系统日志的存储和转发。 日志查询 对日志进行详细的按关键字查询 报警 报警功能 根据定义的报警条件，产生报警；

　报警条件有VRC用户上下线，设备上下线信息，隧道连通断线信息等等。 报警信息浏览 根据关键字查询和浏览历史报警信息 报警方式 包括邮件、WINPOP、SNMP、管理器铃声、管理器显示短信等 阀职报警 CPU、MEM超限报警 软件升级 设备及VRC软件升级 对设备和VRC的升级补丁进行管理；可直接为设备进行升级；也为VRC提供下载升级服务。 断点续传 断点续传升级方式 升级检测 TP根据设备的版本号判断是否有设备需要升级，如果有需要升级的设备，则提示用户。 用户管理 管理员管理 基于角色的权限划分和管理。 统计分析 统计报表输出 提供统计功能，并可以打印统计报表。 可以针对单台或多台网关进行统计，还可按安全域统计，也可以针对整个网络信息进行统计。 统计的信息应该包括设备日志、系统日志、监控信息等。 系统运行报表 可以统计网关上线下线时间、在线时长、VPN隧道异常情况、网关VRC认证情况 报表形式 报表支持饼图、柱状图、曲线图等多种图形方式显示 高可靠性 服务器配置备份和恢复 可实现服务器配置备份。 可实现配置恢复。 服务器级联 支持服务器分布式部署，下级上传关键数据 双机冗余备份 服务器可以双机备份 双线路冗余备份 服务器支持双线路，可以在一条线路出现故障时自动切换到另一条线路。 l TP运行环境与标准 可运行在安装有Windows 2003 Server以及Windows 2008 Server平台的PC或服务器上。 2.5 天融信VPN产品的主要特点 2.5.1 支持国密局《IPSec VPN技术规范》 天融信的IPSec VPN网关全面支持国家密码管理局制定的《IPSec VPN技术规范》，支持多种国内自主研制的硬件密码算法，采用硬件密码模块进行密码算法运算，支持国家密码管理局规定的SM1、SM2、SM3、SM4商用密码算法，产品的安全性和合规性有充分的保障。天融信IPSec VPN安全网关可以与任何严格遵循《IPSec VPN技术规范》实现的IPSec网关进行互联互通。 《IPSec VPN技术规范》对标准的IPSec协议进行了修正，以数字信封的认证方式替代了预共享密钥和签名的认证方式，抛弃了DH密钥交换方式，采用了公钥加密的方式，杜绝了中间人攻击的可能，同时，采用国家的商用密码算法替代公开的标准算法，为用户的数据提供了最大限度的安全保护。 2.5.2 全面支持IPSec协议标准 IPSec作为一个全球性的安全标准，要求所有IPSec的实现必须严格遵循其各种协议规范，以便实现不同产品之间的互通。天融信IPSec VPN产品经过严格的互通性测试，与Cisco、Juniper、MicroSoft等著名厂家的VPN产品可以实现互通。产品遵循RFC 1828、RFC 1829、RFC 1851、RFC 1852、RFC 2085、RFC 2401-2412等一系列协议标准。 Ø 支持标准ESP、AH加密认证协议； Ø 支持隧道模式、传输模式的协议封装格式； Ø 支持IKEv1、IKEv2； Ø 支持主模式、野蛮模式、快速模式多种协商模式； Ø 支持证书认证和预共享密钥认识方式； Ø 支持DES、3DES、AES等多种对称密钥算法； Ø 支持MD5、SHA1等多种完整性验证算法； Ø 支持RSA、DH等多种非对称密钥算法； Ø 支持扩展认证和模式配置。 2.5.3 CleanVPN 天融信VPN产品是集VPN、防火墙、带宽管理、入侵防御等功能于一身的网络安全产品，隧道策略、防火墙策略和防病毒策略可以组合使用。CleanVPN病毒扫描可以对所有的VPN数据流进行扫描，从而阻止病毒和蠕虫通过VPN隧道传播，在总部、分支、远程用户和合作伙伴之间建立纯净的VPN网络。 2.5.4 完善的PKI体系提高用户网络安全等级 随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品全面支持标准PKI体系结构，既能够通过内置的CA模块独立为移动用户签发数字证书，又能够通过导入CA根证书＋CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体PKI功能包括： Ø 支持标准X509.V3格式数字证书； Ø 支持DER、PEM、PKCS12等多种证书编码格式； Ø 支持通过内置CA模块为用户签发标准数字证书； Ø 支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证； Ø 支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证； Ø 支持生成PKCS10格式的证书请求，可生成证书请求，由第三方CA签名； Ø 支持CRL列表文件的导入和通过HTTP自动下载。 天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作，网络卫士VPN网关与这些厂商的CA系统均能够无缝集成。 2.5.5 支持全动态IP地址间建VPN隧道 目前国内常用的因特网接入方案，包括电话拨号、ADSL宽带接入等，都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网，那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整，这一过程对目前市场大部分的VPN产品（包括国内产品和国外产品）都无法自动完成，这为VPN网络的日常维护和广泛应用带来很大困难。天融信IPSec VPN网关产品通过集中的VPN策略管理方式和DDNS无缝结合技术成功解决了全动态IP之间自动建立VPN隧道的问题。 2.5.6 NAT自动穿越 NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术。NAT与IPSec协议在原理上存在一定的矛盾，所以在应用IPSec技术组建VPN网络时，一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。而大多数的VPN设备在配置隧道时，需要预先知道该条隧道是否存在NAT设备，而事实上，网络管理员很难准确掌握整个路径中设备的NAT情况，而且NAT状态也可能经常变化。 天融信IPSec VPN全系列产品均支持最新的NATT协议标准，在隧道协商过程中动态的计算是否存在NAT设备，动态的调整策略，无需管理员额外填写任何配置，具有非常好的网络适应性。天融信的IPSec VPN产品还能通过隧道路由转发技术支持双向NAT穿越。 2.5.7 隧道路由技术实现VPN灵活自动部署 在实际物理网络部署中，网络管理员首先通过物理线路（可能是光纤、双绞线、电话线等）连接各个路由设备，然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSec VPN网络中，将每一条隧道视为连接两台VPN设备的虚拟网络线路，隧道建立成功后，虚拟线路连接工作就完成了。基于这些虚拟线路，网络管理员可以在IPSec VPN网关上采用同样的方法配置静态、动态路由协议，完成整个VPN网络的灵活部署。这种隧道路由机制的优点在于： Ø 网关的配置概念和方法与路由器类似，减少网络管理员对于部署VPN网络的学习和熟悉过程； Ø 通过隧道路由规则的配置，可以完成VPN数据流在VPN网关之间的灵活转发，从而可以实现星型网络拓扑，并解决双向NAT穿越问题； Ø 通过动态隧道路由协议的配置，可以实现整个VPN网络的自适应部署，VPN网络拓扑的自动学习、自动寻径； Ø 通过基于策略的隧道路由配置，可以实现VPN网关的冗余备份和负载均衡。 2.5.8 完善的VPN网络集中管理功能 利用基于互联网的VPN技术构建企业基础网络设施，低成本、高效率是其天然的优势，但与此相伴的则是安全性和可管理性的潜在风险。尤其是对于分支机构、营业网点遍布全国的大型企业来讲，其业务网络系统具有分布地域广泛、接入点多、网络结构复杂等特点。如何确保企业内部网络的安全，有效地管理、维护遍布企业各个结点的VPN设备，保证网络的稳定运行，是VPN产品供应商必须解决的问题。IPSec VPN在综合了大量的用户需求后，逐步形成了“统一认证、集中监控、分级管理”的VPN网络管理方案。并成功运用于许多特大型企业的VPN建设中。 2.5.9 支持组播穿越隧道 普通的IPSEC VPN不能支持组播协议，因为IPSEC只能将组播包路由到某一个特定的对端。天融信VPN经过技术创新，能支持组播穿越，这样就可以在整个VPN网络内部利用组播来开展视频会议等应用。同时，利用组播穿越VPN隧道，还可以轻松的实现隧道内的动态路由。VPN设备可以将一端学习到的路由自动发布到另外一端，从而大大简化了网络的部署，提升了网络的管理效率。 2.5.10 多机多线路负载均衡与备份 天融信VPN网关支持多机与多线路的组合应用，可以在多台设备与多条链路之间实现隧道内数据的负载均衡或备份。还能实现多线路自动选优，有效解决国内跨运营商线路的互通问题。当某条线路发生故障时，系统能自动的将数据流切换到其它线路；当一台设备发生故障时，系统能自动将数据流切换到其它网关设备，保证VPN网络的连通性。 2.5.11 支持灵活的移动用户接入策略 VPN技术在远程移动办公领域的应用越来越广泛，因此支持安全灵活的移动用户接入策略已经成为VPN产品竞争的焦点。IPSec VPN产品支持丰富的移动用户接入策略，为各种需求的用户提供了完善的解决方案。 Ø 支持基于用户＋口令的认证机制； Ø 支持基于数字证书的认证机制； Ø 支持基于证书＋口令的双因子认证机制； Ø 支持RADIUS/TARCAS/LDAP/AD等用户认证协议； Ø 支持USB KEY、动态口令卡等强身份认证机制； Ø 支持基于服务的移动用户的访问授权；

　Ø 支持基于时间的移动用户访问控制； Ø 支持移动用户的硬件特征码绑定机制； Ø 客户端版本支持中英文自动切换。 2.5.12 丰富多样的认证与授权 天融信VPN产品内置有用户认证数据库，同时支持多种外部认证，如：RADIUS认证、AD认证、LDAP认证等，并支持外部认证服务器对用户授权与计费。通过外部认证，可以方便的与用户原有的认证系统无缝的结合。 天融信的VPN网关支持用户名、口令、证书、USBKEY、短信、硬件特征码、指纹、动态令牌、时间、IP地址等多种认证方式以及它们的任意组合，为用户提供最强的安全接入机制。 2.5.13 分级可信接入体系 可信接入是指对远程接入的VPN客户端的主机安全性进行检查。天融信VPN网关可对客户端的接入实行可信接入检查，包括操作系统、补丁、防病毒软件、防火墙软件、进程、文件、注册表项等，对安全性检查不合格的客户端，可拒绝其接入内网。 天融信VPN网关还可对客户端的可信接入安全性检查结果进行分级，不同的级别可以授予不同的权限，对不满足安全要求的主机或终端，可以根据其缺陷程度分别实行隔离、修复和限制访问。对于要求访问敏感信息服务器的用户，如果没有达到较高安全等级，可只授予与其安全等级匹配的普通权限。这样既可以防止不安全的用户主机感染内部关键服务器，又可以保留其浏览公司普通Web服务器的权限，实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级。 2.5.14 简单易用的无驱客户端 目前一般的IPSec VPN客户端基本采用的是虚拟网卡和核心垫片技术，这些技术需要在用户的设备上安装核心驱动程序，而核心驱动程序的安装是很不安全的，容易与用户设备上的防火墙软件、防病毒软件等其它程序会发生冲突，并且程序员的任何一个疏忽都可能导致蓝屏、死机等现象。 天融信的IPSec VPN客户端完全摒弃了这些弊端，采用Windows内置的MiniPort为基石，无需安装任何核心驱动，不会与任何的防火墙、防病毒等其它核心程序发生冲突，安全、稳定、简单、易用，能让用户用得放心。 2.5.15 iOS零安装 目前移动互联已成为新的应用趋势，通过智能终端即可方便的实现远程办公，其中，苹果的iPhone、iPad是最常见的终端之一。一般的VPN需要在苹果终端上安装软件才能接入，这样既不方便，又容易导致系统的不稳定。 天融信的iOS解决方案是采用零安装方式，不需安装任何软件，直接使用iOS上内置的IPSec客户端与VPN网关进行安全互联，IPSec客户端与VPN网关采用改进的IPSec密钥协商协议IKE+XAuth进行隧道协商，既能实现用户认证授权，又能达到数据加密的效果，同时不用担心iOS上客户端的不稳定性，具有使用方便、简单、安全等特点。 2.5.16 集成功能强大的防火墙功能 天融信VPN产品集成了天融信强大的防火墙产品功能，能为用户的VPN网络提供高等级的边界安全防护与访问控制。 天融信VPN网关具有强大的内容过滤功能，支持URL分类过滤，分类库大于700万条；支持挂马网站过滤；支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能，用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、带宽控制等。 2.5.17 集成强大的网络附加功能 天融信IPSec VPN网关为用户组网提供了强大的网络附加功能，完全可以作为独立的相关网络设备进行配置使用，其主要功能如下： Ø 基于TOS安全操作系统的高可扩展性，可轻松的升级成集IPS、防病毒、内容过滤、反垃圾邮件等功能于一体的安全网关； Ø 集成强大的网络附加功能，支持交换、静态/动态路由、VLAN、带宽管理、DNS代理、DHCP服务器、ARP代理、组播协议等。

　第三章 XXXX网络系统互联VPN解决方案 根据XXXX网络互联的实际情况，我们采用天融信VPN系列产品提供整体网络互联VPN安全解决方案，解决其所面临的网络互访、传输保密、节点认证、增值服务、网络访问控制等问题。 3.1 VPN解决方案 各分支机构通过Internet接入中心，在采用天融信VPN设备实现互联的情况下，其配置情况如下所述： 1． 在总部中心Internet接入口处安装一台“天融信千兆高端VPN网关”作为VPN中心网关。中心网关是整个VPN网络的中心部件，它负责维护和各个分支机构及移动用户之间的隧道和安全策略，中心网关兼有功能强大的防火墙功能，工作方式支持桥、路由和混杂方式，还具有入侵防御、内容过滤、带宽管理、日志报警等多种功能； 2． 在总部部署一台服务器作为“安全策略管理平台（TP）”，负责本企业整个VPN网络中VPN设备的证书生成、发放，并且制定VPN设备之间的通信策略，使得全网的VPN设备能够以数字证书方式进行身份认证和隧道的建立，并对使用的天融信VPN设备进行管理，以简化中心和所有分支机构VPN设备的策略配置工作。天融信TP还具有拓扑图自动生成、日志审计、报表、实时监控、报警等多种功能。 3． 各分支机构根据网络规模在Internet接口处安装一台天融信XX网关作为硬件网关。分支网关首先可以作为各分支机构的上网访问设备和防火墙设备，在连入互联网的同时自动向中心VPN网关进行身份认证和VPN隧道协商。分支网关也兼有功能完善的防火墙功能，可抵抗多种攻击方式，保护分支机构内网的安全； 4． 各移动用户在PC或移动终端上安装天融信VPN客户端“VRC”，天融信VRC支持“证书”认证、“用户名＋口令”认证及“证书＋用户名口令” 认证的多种认证方式。天融信VRC支持当前各种主流接入方式，只需简单配置一下，即可和中心硬件网关建立隧道，进行安全通讯； 5． 对于各地Internet的接入方式，中心端要求线路较稳定，出口带宽较宽并最好能具有静态公网IP地址，其它分支可采用ADSL或其它常用线路接入。 利用天融信VPN系列产品组成的XXXXVPN网络如下图所示：

　图4.1 VPN网络结构图

　在天融信VPN系列产品的帮助下， XXXX总部局域网络与各分支机构依托Internet构建成一个虚拟的专有网络系统，其感觉就象专用网络一样，单位可以统一地规划每个主机的IP地址（如：10.X.X.X），分支机构与总部网络互访时，就像同在一个专用网络内一样的方便。 3.2 配置及功能说明 3.2.1 天融信安全策略管理平台 l 生成、签发、管理、废弃数字证书。 l VPN设备在线管理 l 制定通讯策略 l 支持第三方CA认证 3.2.2 天融信VPN硬件安全网关 l 导入证书 l 配置IP地址。 l 指定TP的地址 l 配置本机上网信息和保护子网 l 下载通信策略 3.2.3 天融信VPN客户端 l 导入证书。 l 指定认证网关 l 配置相应认证方式 3.3 通信过程分析 l 分支机构和移动用户的上网方式不变。 l 各服务器被访问的方式不变。 l 总部内部和移动用户及分支机构可通过网上邻居根据机器名称互访(与WINS配合)，亦可通过私有IP地址访问。 3.4 安全性分析 l 以证书作身份认证。 l VPN在接入Internet之后向安全策略服务器进行身份认证。可以防范身份假冒。 l 高强度的机密性：数据内容在因特网中以密文传输，加密算法可协商，因此可防止窃听、篡改、分析。保证了数据的机密性。 l 保证了数据的完整性：采用了认证算法对原始数据进行了摘要运算法。 l 隐藏了内部网络的IP地址。 l 可采用隧道嵌套技术实现端到端的安全，从而可以防止内部员工的破坏。 3.5 密钥管理 l 支持标准IKE自动密钥协商。 l 采用 l 标准X.509证书认证。

　3.6 本解决方案的主要特点 1. 健壮性：VPN设备内置安全操作系统，具有良好的自身安全性； 2. 透明性：现有业务系统和网络结构无须做任何调整或只需做少量改动； 3. 适应性：能很好适应系统网络结构的调整和发展； 4. 扩展性：与采用国际标准Ipsec的设备可实现互通互联； 5. 可实施性：安装、维护简单快速，可随时进行而不影响正常业务； 6. 整体性：可同时提供网络安全访问控制、传输加密、节点认证、用户认证及安全审计功能，并且可以配合企业已有的多少认证方式； 7. 低成本：可帮助企业以Internet为骨干网组建自己的私有网络，降低运营成本； 8. 高速率：现有的宽带接入和ADSL上网提供的上网速率一般都有几兆以上，远远大于DDN和MODEM的速度。天融信VPN设备的加密速率最高可达400兆以上。 9. 安全性高：采用证书认证及1024位非对称加密的方式保护密钥的交换，对称加密算法可选的灵活性高，有国密办审批的各种硬件加密算法，亦有168位的3DES加密算法可以选择； 10. 支持全动态IP地址组网，并且可实现网状通信； 11. 无缝的支持NAT穿越（NATT）和双向NAT穿越 12. 支持多线路捆绑，实现动态负载均衡和带宽管理 13. 天融信VPN设备支持集中或分级方式管理方案，可适应不同用户的需求。

　14.