《上海安达通信息公司产品手册(DOC 19).docx》由会员分享,可在线阅读,更多相关《上海安达通信息公司产品手册(DOC 19).docx(19页珍藏版)》请在三一办公上搜索。
1、公 司 简 介上海安达通信息安全技术有限公司(简称:ADT公司)于2002年1月在上海浦东国家信息安全产业化基地成立,专门从事VPN安全网关、身份认证产品的研发、生产和销售,主要解决互联网和内联网的网络信息安全传输和接入身份认证等问题。公司是国家商用密码产品生产定点单位和销售定点单位。公司的主要发起人都是中国信息安全界的精英,对VPN(虚拟专用网)、Firewall、AAA、IDS、PKI等技术领域都有着多年的实践经验和独到见解。安达通安全网关产品凭借其领先的技术,能够实现任何IP网络环境下的VPN网络的互联和构建。目前公司拥有:融VPN和Firewall功能于一体的ADT安全网关SGW25系
2、列6个型号产品和负载均衡SJW74系列4个型号产品,覆盖从“SOHO级-企业级-电信级”的全系列安全网关设备;支持Windows各平台的安全客户端软件;SSL VPN网关系列;功能完善的ADT安全网管平台,其中包括:策略服务平台、网关监控平台、数字证书平台;动态口令卡等系列网络安全产品。经过多年来的奋斗,公司拥有一支由博士、硕士、学士组成的,层次合理、富有经验又极具开拓精神的队伍。用户更是遍布大江南北,在电子政务、电信、电力、金融、石化、企事业单位的用户数不胜数。安达通人始终以“为客户创造最大回报”为己任,孜孜不倦,全力解决好客户的每一个问题。您的满意,就是我们最大的幸福!产品简介l 安全网关
3、安达通安全网关是集“VPN、防火墙、IDS微引擎和病毒过滤引擎”于一体的网络边界安全防护和安全接入设备,它有效地实现了“主/被动安全防御”的完美结合。其特别强大的VPN功能和高安全性、高性价比的多功能集成,是当今网络安全技术发展的主流方向。安达通安全网关全部采用嵌入式硬件平台和实时操作系统,高性能,低功耗,高可靠。产品线覆盖从“SOHO级-企业级-运营商级”全系列产品;安全网关集中管理和监控平台支持各种规模的安全网关组建的VPN网络的集中管理和监控。安达通突破了各种技术障碍,能够提供针对任何IP网络环境下的VPN互连、入侵防护和病毒防御的一体化解决方案。安达通安全网关具有两大产品系列:1)支持
4、单线路接入的SGW25安全网关系列;2)支持多线路接入的SJW74负载均衡安全网关系列。 技术优势 严格遵守IPSec和IKE规范,能和Nescreen、CheckPoint、Cisco等多家VPN设备互通; 支持全动态IP VPN互联解决方案,适合中国企业互联特点; 支持Ipsec-NAT穿透(NATT),适合中国城域宽带网(采用“非真实IP地址”上网)特点; 支持完全透明的“网桥”模式和“半透明”模式(即路由和透明功能同时起作用),并能在网桥模式下建立VPN隧道,适合在银行、证券、电力、石化等专网中使用;可利用此特性与各种防火墙、网关设备灵活配合使用; 全状态检测Firewall引擎,完备
5、的NAT/NAPT功能和IDS微引擎,抵抗常见网络层攻击,并能和国产主流IDS设备互动; 支持动态IP接入下的DMZ服务功能(即:可利用动态域名解析,通过动态IP接入,对外提供Web、Mail等服务); 支持VLAN Trunk,并能够在VLAN环境下构建VPN连接; 独创的“线路故障检测和VPN链路切换” 技术,确保高效可靠地搭建VPN备份线路; SJW74系列支持多线路接入,支持均衡上网、统一带宽规划和多点VPN接入的“负载均衡”高级功能; 支持Windows移动客户端(Win98/Me/2000/XP)的远程接入,移动客户端也支持IPsec NATT; 支持基于“数字证书”的运营模式,适
6、合大规模VPN网络; 支持Qos、DHCP(Server和Client)和静态路由,PPPoE拨号,双机热备等; 完善的安全网关集中管理平台,本机/远程日志存储; 性能优异:100M设备3DES+SHA加密速率高达100Mbps,1000M设备3DES+SHA加密速率高达200Mbps;支持国密办批准的SSP02和SSF33算法; 基于PowerPC的嵌入式硬件平台,极低功耗,高稳定性,高可靠性;启动速度快; 产品功能 VPN功能l VPN的设计完全遵守IPSec和IKE标准;可保护子网间、主机间、子网与主机间的安全通讯;支持传输和隧道模式;l 支持基于数字证书和预共享密钥两种设备认证方式,并
7、能与ADT数字证书平台(Sure CA)无缝整合,也可应用符合X.509标准的第三方颁发的VPN设备数字证书;l 支持多种密码算法:DES、3DES、SHA、DH、RSA以及国家专控密码算法等,符合国家密码产品管理规范;l 支持NAT穿透(NAT-T),并能够实现VPN互连的“双向NAT穿透”;l 基于时间和流量双重要素的动态SA管理,并支持手工添加/删除静态SA;l 支持移动客户使用安全客户端软件进行安全接入;l 支持通过DDNS或ADT策略服务器进行动态IP地址间的VPN安全互连;l 独特的“隧道保活”技术,能够确保设备间加密通道的时时连通;l 可以独立为每个VPN加密隧道进行“状态检测”
8、和独立分配带宽,确保高安全性和高度的灵活性;l 支持透明模式(桥模式)下,VPN设备的安全互连;以及不同模式(路由模式和透明模式)下安全网关间的VPN互连;l 支持VLAN Trunk,并能支持在VLAN划分的情况下,跨交换机对VLAN子网进行VPN互连;l 支持PPPoE和DHCP(Server和Client)协议,支持:ADSL、Cable Modem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式; 防火墙功能l 基于六元组的IP包过滤;端口、协议、地址和时间相结合的访问控制机制;l 优秀的状态检测引擎,可以独立为每个防火墙访问控制策略进行状态检测;l DMZ区安全隔离内网
9、与对外提供服务的服务器;l 正反向网络地址映射功能,灵活支持:NAT、NAPT和地址池;l 支持URL过滤,抵抗恶意脚本的攻击;l 支持IP与MAC地址绑定;支持和IE无缝整合的用户访问认证;l 抵抗多种DoS,DDos攻击;可自定义TCP/UDP/ICMP的Flood攻击检测策略;l 基于Hash表的快速转发功能,极大提高Firewall吞吐率; 管理功能l 与ADT策略服务平台(SureManager)、网关监控平台(SureWatcher)和数字证书平台(SureCA)无缝整合;集中管理全网安全网关,实现统一规划、统一部署和统一监控;l 提供GUI网关配置软件(SureConsole),
10、可通过串口和网口进行本地和远程管理;l 管理员可以方便地选择“在线”或“离线”配置;l 基于预共享密码或数字证书的网络管理员身份认证和管理指令加密,充分确保远程管理的数据传输的安全性;l 支持本地日志和ADT远程日志服务器,支持Syslog日志服务器,支持email报警,能够对日志信息进行选择记录,并将日志信息导出保存; 负载均衡功能(SJW74系列)l 4个以上网络接口,可自定义13个WAN口,支持多条ISP接入线路;l 可根据带宽选路:在不同的接入线路之间根据带宽分配内网出口流量,实现上网负载平衡;l 可根据源地址选路;l 可根据服务级别选路:对于不同服务要求(如:传送速率、吞吐量以及可靠
11、性等)的数据,可根据网络的带宽状况指定不同的出口;l 支持策略路由和多点VPN隧道接入:安全网关的几个WAN口都可作为VPN接入端点,实现VPN接入的负载均衡和线路备份; 病毒扫描功能(可选)l 为 SMTP 、 POP3 和 FTP 流量提供实时病毒扫描,并允许为所有进入和外发流量设定执行措施;l 病毒库自动在线更新,确保具有最新的病毒防护能力; l 网关上对病毒感染的文件进行实时隔离或修复,并进行日志记录; l 自动病毒报警,以邮件方式将病毒及相关处理动作可靠地通报给网管人员,详细描述病毒内容、时间戳和解决信息; 其他功能l 支持双机热备份(SGW25B以上型号和SJW74各型号支持);l
12、 支持8个级别的Qos,并能为每个访问控制策略独立分配带宽;支持带宽的严格锁定和动态平衡方式;l 支持DHCP(网关可作为DHCP Server和DHCP Client);l 支持静态路由和多播转发;l 支持本机ARP表清空、免费发送ARP广播、执行Ping命令和远程重启等功能;l 支持对网口的工作方式的手动设定或自适应模式;l 支持一个物理接口绑定多个IP地址;l 在线代码升级,并支持升级代码签名,防止设备代码被非法篡改; 支持单线路接入(单WAN口)的SGW25系列索引表型号SGW25A LiteSGW25ASGW25BSGW25B ProSGW25CSGW25D以太网口2*10/100M
13、3*10/100M4*10/100M 4*10/100/1000M串口1*DB9 console port2*DB9 console portVPN高强度加密吞吐率(ESP模式,3DES+SHA算法)3Mbps6Mbps10Mbps40Mbps100 Mbps200 Mbps最大VPN并发隧道数501001501,0005,00010,000Firewall吞吐率80Mbps80 Mbps100 Mbps100 Mbps100 Mbps700Mbps最大内网并发会话数20,00020,00020,000150,000300,000500,000推荐內网同时上网PC数量70台120台200台50
14、0台1000台30000h40000h 支持多线路接入(多WAN口)的SJW74负载均衡系列索引表型号SJW74BSJW74B ProSJW74CSJW74D以太网口4*10/100M(支持13个WAN口)4*10/100/1000M(支持13个WAN口)RS232串口2*RJ41串口2*DB9串口VPN高强度加密吞吐率(ESP模式,3DES+SHA算法)10*3Mbps30*3Mbps100*3 Mbps200*3 Mbps最大VPN并发隧道数3001,0005,00010,000Firewall吞吐率100 Mbps100 Mbps100 Mbps700Mbps最大内网并发会话数50,00
15、0200,000300,000500,000推荐內网同时上网PC数量200台500台1000台40000hl 安全客户端安全客户端(SureClient)软件(以下简称:客户端)用于解决移动用户通过互联网接入内部私网的问题。客户端软件有Win98/2000/XP下的版本,结合SureID(主要用于“数字证书”和“本地私钥”的安全存储,密码运算,真随机数的产生等),可以构建“主机-主机”、“主机-安全网关”的VPN隧道(如下图),是移动用户安全接入安全网关保护的内网的理想的解决方案。客户端软件不依赖于网络接口,可以采用用电话拨号、ISDN、ADSL、FTTB、GPRS/CDMA无线上网等多种方式
16、上网。INTERNET在外地出差的员工需要及时安全地与公司交流信息安达通安全网关拨号当地ISP安全网关客户端公司总部加密隧道安全客户端使用示意图1安全客户端组成部分:(1)客户端软件支持Windows 98/Me/2000/XP的客户端软件,与计算机采用的网络接入方式无关,兼容拨号上网、ADSL、以太网等各种接入方式,使用极其简单。VPN功能启用后,完全对各种网络应用软件透明,并不影响用户访问Internet。内置防火墙功能,可以阻断外网连接和控制访问internet。(2)移动用户身份载体:SureID(见下图)一种USB接口的电子证书设备,用于存储移动用户的数字证书或预共享密钥,以及虚拟专
17、网的拓扑信息。SureID功能:* 支持有线、无线等各种网络接入方式,支持SOCKS5;* 支持硬件密码载体:SureID;* 支持IPSEC、IKE;支持预共享密钥认证和数字证书认证;* 支持DES,3DES,RSA,DH,SHA,MD5等多种密码算法;* 支持DDNS和ADT地址服务器,能够连接动态IP接入(如:adsl接入)的安全网关;* 支持建立多个VPN隧道(同多个网关同时建立VPN隧道);* 支持NAT穿透(NATT);* 支持VPN隧道保持;* 支持以SSL方式从安全网关动态下载VPN移动用户通讯策略;* 支持第三方CA系统;* 配置简单,易于操作,使用对用户透明;* 简单易用的
18、日志功能;* 支持SureID和计算机绑定(加强版);性能:* 开启VPN功能后, 在PentiumIII-866上Windows2000下测试,10Mbps的3DES+SHA(高强度)的运算速度,20Mbps的DES+SHA(中等强度)运算速度; 安全客户端界面2安全客户端管理系统(SureClientManager)移动用户的管理由安全客户端管理系统完成。该系统完成对安全网关客户端(移动用户)的管理:移动用户与安全网关间VPN策略设置;用户SureID制作、废除和补发等。通过该管理系统,安全网关的管理员能够方便地管理安全网关的所有移动客户端。 安全客户端管理系统(SureClientMan
19、ager)界面l ADT安全网管平台通过“ADT安全网管平台”可实现对ADT系列安全网关进行单机或集中管理、集中监控、集中发放数字证书等功能。由以下4部分组成: 1)安全网关单机配置软件(SureConsole); 2)策略服务平台(SureManager); 3)网关监控平台(SureWatcher); 4)数字证书平台(SureCA)。1. 安全网关单机配置软件(SureConsole)SureConsole是面向ADT安全网关的单机配置系统,可管理ADT各型号网关产品,随机赠送,是ADT系列安全网关的必备伴侣。它提供了丰富的功能和简便的操作界面,具有如下特点:集中管理集中分发网关配置与安
20、全策略,对网关进行集中监控,接收网关的日志与故障告警。基于拓扑的可视化策略制定和监控,显著提高了VPN部署与管理的自动化,大大降低了VPN部署和管理的成本。基于角色管理 网关内置根管理员、普通管理员、只读管理员三种缺省的管理角色,分别完成相应的管理功能。此外,用户还可以自行添加、删除管理员或自定义管理角色。设备自动告警网关支持在自诊断程序检测到设备状态异常时以EMAIL的形式告警或使用安全告警传输协议向告警服务器发送实时告警。安全告警传输协议可以防止假冒的告警或告警在传输中被篡改。外部日志存储网关支持以标准syslog(RFC3164)形式或以安全日志传输协议向日志服务器实时发送日志。安全日志
21、传输协议可以防止假冒的日志和日志在传输过程中被篡改。图形化配置界面提供功能强大的配置软件包,包括网关初始化、配置、管理与监控需要的所有工具。简单易用的界面,基于对象的配置方法,大大降低了设备配置与管理的复杂度。智能友好的配置向导更可以证没有经验的管理员进行各种设置和管理。安全的配置与管理网关支持管理员使用用户名/密码或数字证书的方式登录。基于SSL/TLS的技术保证远程管理安全可靠的通信,并提供管理员与设备之间的双向认证,从而避免了假冒行为。多种形式的配置网关的配置软件同时支持通过串口和网络进行设备管理,并且还支持离线和在线等多种配置方式。不同的通信和配置方式组合,提供丰富的配置方式,能够满足
22、各种管理需要。直接发放安全客户端可在网关配置软件上直接生成移动客户的SureID或license文件。SureConsole界面2策略服务平台(SureManager)SureManager是部署和管理大中规模VPN网络的必备工具,基于JAVA平台。它集中管理ADT系列安全网关以及VPN客户端。通过集中管理和可视化界面,直观描述VPN网络拓扑,自动生成和分发VPN通讯策略。可有效帮助工程实施人员以及网络管理员,提供对规划和部署VPN的支持,并对VPN组网之后实施有效管理和维护,最大限度的降低VPN的的运维成本,提高VPN的易用性。信息传输采用加密和签名处理,确保信息传输安全。SureManag
23、er主要具备以下功能:设备管理管理设备基本信息的管理,比如名字、IP、位置等基本信息。VPN策略管理 中国最大的资料库下载提供集中策略管理和自动生成/分发功能,能够根据用户的网络拓扑、安全要求和高级安全策略,集中定制VPN的配置数据,然后通过分发模块将配置分发到网关和客户端,达到自动组网的目的。这样大大简化了VPN的部署过程,也降低了错误配置带来安全隐患的几率。SureManager界面3网关监控平台(SureWatcher)实时监控全网安全网关运行状态,在线监控设备运行状态、网络流量以及VPN隧道信息,及时发现和诊断设备出现的故障,并提供多种告警手段。接收来自网关的日志信息,自动对这些海量日
24、志数据进行分类和处理,自动形成各种报表。SureWatcher基于JAVA平台,操作简便,是较大型VPN网络监控的必备软件。信息传输采用加密和签名处理,确保信息传输安全。 SureWatcher界面4数字证书平台(SureCA)“数字证书平台(Sure CA)”是专门为配合ADT安全网关、网关管理员、移动客户端发放/管理数字证书,以及为安全网关提供在线证书服务的企业CA系统。可实现于VPN安全网关的紧密无缝连接,也可用做其他数字证书应用系统的CA中心。SureCA具有以下特点:高度集成:系统高度集成,易部署,配置简单,即插即用。标准化支持:依据标准化设计,支持PKCS#、MS CSP、X.50
25、9,LDAP,PKCS#11,BSAFE,SSL等国际标准。扩展性:支持C/S、B/S两种结构体系。丰富的扩展服务,包括OCSP服务、LDAP服务、时间戳服务、数据公证服务、证书验证服务等,并通过提供API 接口函数为用户提供基于数字证书的二次开发手段。多运行模式支持:能够以单证书和双证书、双密钥、双中心两种模式运行。支持证书模板,支持Microsoft、NetScape证书扩展,可自定义证书扩展。产品形态:产品以软硬件一体化的形态提供给用户:SureCA Server外形图SureCA用户界面系统主要性能指标:证书容量支持2万以内的证书证书生成时间每张证书生产时间少于3秒证书查询时间单个OC
26、SP查询少于0.5秒,每秒并发大于500个l SSL VPN网关SJW74SSL VPN网关是安达通公司为当今复杂网络结构而设计的SSL VPN解决方案。它为企业网络提供一个安全的远程互联网接入解决方案。它适合移动用户安全远程接入公司网络,可以和企业的认证基础设施进行无缝结合,对远程接入的用户进行身份认证和授权。SJW74SSL VPN网关不需要额外的客户端软件,只要使用Web浏览器(如:IE、Netscape),移动用户即可快速、方便地建立和远端网关间的VPN加密隧道;而且不需配置,不受到网络接入环境的限制,只要能上网,就能享受随心的专线服务。 技术优势 用户端无需安装专用的VPN客户端软件
27、。使用标准的浏览器,如IE 和 Netscape即可接入SSL VPN访问内部系统。提供免客户端、任何地点的访问能力、增加的安全性,使得IT部门管理更容易,和IPSec VPN相比,终端用户使用更简化。 SJW74SSL VPN能为使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用从任何他人的计算机,甚至任何无线设备。SSL VPN可以成功地穿越防火墙,能处理网络地址转换(NAT)问题。 采用的是SSL PROXY技术。使用者根本没有和他们要访问的资源直接建立连接,并且隐藏了内部DNS解析空间,所以安全度是很高的。 用户接入内部系统是经过认证的。认
28、证方式可以采用设备自带的用户数据库,也可以和内部系统已有的认证系统结合起来,如AD、RADIUS等 用户接入内部系统是经过授权的。针对不同的用户或用户所属的组,SJW74SSL VPN可以按VPN系统预定义的规则和角色划分来对用户的访问权限进行设定。 用户接入内部系统是经过加密的。SJW74SSL VPN设备采用强加密算法,如:私钥算法:DES, 3DES,AES,公钥算法: RSA,消息认证: MD5, SHA-1。 用户使用方便。用户可以是NAT,或者是通过HTTP代理等灵活的方式,只需保持SSL通道畅通既可。 管理更加容易。SSL VPN能减少分发和管理客户端软件的麻烦。 同时,不需要改
29、变网络,不需要修改防火墙配置和修改终端用户的配置。 支持Cluster技术。为内部应用系统提供高可靠性 SJW74SSL VPN网关功能及特性表系统信息尺寸规格 1 u 机架通讯接口 2 *10 100M 以太网接口管理配置端口 串口电源状态显示LED并发用户数 根据型号而定用户认证用户名口令 支持双向证书认证 支持智能卡 Windows 兼容附加验证码 支持用户认证目录本地数据库 支持Radius 服务器 支持LDAP 支持Windows AD 支持加密和协议SSL V3 支持TLS V1 支持对称密钥 DES/3DES/AES非对称密钥 RSA ,D-H散列算法 SHA-1 ,MD5证书自
30、我签章证书 支持证书格式 X.509 v2/ v3 兼容证书导入格式 PFS /BER/DER/PEM证书注销列表格式 X.509 v2 兼容如何得到证书注销列表 导入使用文件第三方CA 支持客户端安全清除缓存 支持基于Web 浏览器的代理 支持自动下载客户端代理 支持自动下载代理策略 支持应用支持B/S 应用协议 HTML/DHTML/Active X/JavaScript Java Applet ,etc终端服务 支持网络邻居 支持Windows 通用网际文件系统 支持Unix 网络文件系统 支持FTP 主动模式和被动模式Telnet 支持SMTP ,POP3 支持多端口应用 支持动态端口
31、应用 FTP ,Oracle基于TCP 的C/S应用 支持基于UDP 的C/S应用 支持客户端软件映射 支持认证和访问控制基于用户角色的 基于资源的访问控制访问控制规则对于用户角色的资源 URL替代NTLM 支持管理管理员用户接口 Web UI终端用户接口 定义管理员登录端口管理员访问控制 本地管理员认证 支持日志和审计管理员登录日志和认证结果 支持管理员操作的日志 支持用户登录和退出日志 支持认证结果日志 支持资源访问日志 支持用户管理员连接超时日志 支持尺寸和电气特性电源输入 AC220v ,50Hz平均无故障时间 50000 小时操作温度0 50 非操作温度-20 70 湿度 10 %9
32、0% 产品规格型号并发用户数目特点SJW74SSL VPN-5010/25/50简单易用、功能丰富、支持多种客户端操作系统和浏览器SJW74SSL VPN-200100/200双机备份、硬件加速、支持集中网管SJW74SSL VPN-1000500/1000负载均衡、集群计算、高可用性、硬件加速、双电源备份l ADT网络安全服务上海安达通信息安全技术有限公司具有极富经验的网络安全专家,致力为用户提供最专业的网络安全服务。ADT安全服务的流程遵循了国际上标准的P2DR模型(Policy,Protection,Detection,Response),对信息系统提供一整套的管理策略、监测、防护和响应
33、措施,最大可能的降低组织的安全风险,以保障组织商务运作的连续性。安全服务的生命周期图安全服务的内容包括: 需求调研分析对组织的信息系统进行详细的需求调查和分析,确定需要保护的资产范围,制定安全目标等。 安全风险评估对组织需要保护的资产进行安全风险的评估,通过专业的评估工具和适当的评估方法以及专家经验来保证评估结果的科学性和适用性。 安全策略制定遵循国际标准,结合组织的实际情况对组织的整个安全管理体系进行审核,并相应的提供安全管理规范等策略文档。 系统修补、加固和优化以需求调研分析报告和安全风险评估报告为基础,对组织的重要信息系统进行修补、加固和优化工作,以降低或消除由于系统本身的漏洞或配置不当
34、而可能对系统的安全性造成严重后果的安全风险。 安全产品的安装和配置对组织所选用的安全产品(如:防火墙,VPN,IDS系统,病毒防护系统等)进行适当的安装和配置,以消除由于产品配置不当而可能造成的安全隐患。 安全产品的使用及培训针对组织内的技术管理人员进行安全产品(如:防火墙,VPN,IDS系统,病毒防护系统等)的使用培训工作。 安全教育培训服务对组织内的成员进行安全知识的培训,以提高组织成员的安全意识;对于组织内的技术人员进行安全管理和安全技术的培训。 定期安全检测对组织内所需要保护的重要资产进行定期的(每月、每季度等)回归性安全检测,以发现可能出现的新的安全问题并予以解决。 远程监控和远程管理为一些技术力量比较薄弱的组织提供对重要设备的远程管理和监控服务,为客户解决技术难题。 紧急事件响应服务当组织遇到某些紧急事件时(如安全故障、病毒爆发、黑客入侵等),为其提供58或724小时的紧急响应服务(30分钟内电话响应、上海市区2小时现场响应等),包括排除安全故障,系统恢复,查找事故原因等。 电话咨询&技术支持为组织提供58或724小时的电话咨询支持服务和现场技术支持服务