《分支机构VPN建设方案.doc》由会员分享,可在线阅读,更多相关《分支机构VPN建设方案.doc(24页珍藏版)》请在三一办公上搜索。
1、 雪花啤酒各分支机构VPN接入解决方案雪花啤酒目 录1项目概述32VPN技术简介42.1IPSec VPN技术52.2设计原则53VPN解决方案63.1需求分析63.2产品选型83.3产品部署84VPN产品功能及特点104.1支持IPsec协议标准104.2支持最新的NAT穿越协议104.3支持双动态IP地址间隧道104.4支持动态域名解析114.5完善的VPN网络集中管理功能114.6具备丰富的冗余备份方案124.7具备功能强大的VPN软件包134.8具备易用的管理配置界面134.9具备丰富的VPN网关附加功能144.10VPN产品功能列表145产品报价171 项目概述雪花啤酒,如何提高办公
2、网各个业务系统的数据传输的安全性已经成为雪花啤酒当前急需解决的问题。2 VPN技术简介虚拟专用网(VPN)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,包括和该技术相关的多种安全管理机制。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是:实现低成本的互通和安全。总部及各个分支机构通过公网实现跨地域的系统互
3、联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。需要强
4、调指出的是:网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。2.1 IPSec VPN技术IPSec VPN是基于IPSec协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议:“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) 。AH为数据流提供数据完整性认证的服务。ESP为所传输数据提供加密和数据完整性认证的服务。 IPSec协议通过AH和ESP协议对传输的数
5、据提供完整性认证和加密的安全服务。在密钥的获取方面,IPSec提供了IKE协议,使通讯的双方能够通过安全的自动协商获得相同的密钥。 Transport Mode 将原IP包中的数据部分进行封装,从而提供了端对端的安全连接。Tunnel Mode 封装整个IP 包 ,从而建立网关到网关间的安全的虚拟的一跳(hop)。利用Tunnel Mode建立跨越Internet区域的连接两个网关的隧道,从而组成传统方式的VPN。 传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSec VPN, 这种形式的VPN被广泛地使用在企业中,用于安全连接位于异地的企业计算机资源。2.2 设计原则我们在对I
6、PSEC VPN系统建设时遵循以下原则:开放性IPSEC VPN系统应当符合开放性规范,方便今后对网络进行扩展和功能扩充,接入不同厂商多种硬件设备、软件系统和网络产品。扩展性IPSEC VPN系统设计应当考虑未来的拓扑结构、功能模块、处理能力和网上负载的扩展,应当易于增加新设备、新的应用系统(如新ERP系统),随企业各部门信息化的逐步实现能不断延伸和扩充,充分保护现有投资利益。可靠性IPSEC VPN系统应当具备高容错和容灾能力,具有抵御外界环境和人为操作失误的能力,并且能够在最短时间内进行故障排除和恢复,IPSEC VPN系统具有充分的容错设计,使系统的单点故障不影响网络正常运行。标准化IP
7、SEC VPN系统使用的通信协议、管理协议和硬件接口必须符合国际标准,并应是现在和将来网络技术发展的主流。安全性IPSEC VPN系统对于受控资源必须建立一套安全机制防止非授权用户和假冒用户的访问。在VPN设备和客户端之间使用双向认证,确保用户的合法性,充分保证信息系统的安全,同时不增加用户使用的复杂性。实用性IPSEC VPN系统选用的硬件设备和软件系统应当具有良好的性能价格比,设备的日常管理和维护简单方便,经济实用。易升级IPSEC VPN系统选用的网络设备和软件系统应当能够按照实际需要方便的升级。可管理IPSEC VPN系统为达到便于管理的目的,所有网络设备使用基于标准的管理协议,能够进
8、行远程监视、控制和管理,支持客户机/服务器和WEB体系结构,符合计算机技术发展的方向。3 VPN解决方案3.1 需求分析针对当前办公网OA、ERP等业务系统的应用现状及面临的问题。根据安全风险分析可以看出雪花啤酒及各个接入单位中存在大量的业务数据需要在广域网上传输,这些敏感的内部数据信息在互联网上十分容易被非法窃取、篡改或删除数据在传输中的机密性、完整性和可用性必须得到保障。但是标准的TCP/IP协议对网络中数据没有进行加密处理,如常见的TELNET、FTP、HTTP、POP3等服务应用均以明文传输,这样网络窃听可以非常容易得手。针对明文网络传输的弱点,我们建议组建基于IPSec的加密隧道来进
9、行数据或报文的传递,即搭建一套VPN系统,在发送数据和接收数据的两端建立加密和解密的措施,当数据在网络中被传递时,数据经过VPN设备进行加密处理,然后以密文的形式在互联网上传递,这样即使数据被窃取,也因为数据是密文而无法得知数据的内容。此外,VPN设备还提供了数据完整性校验功能,如果数据在传递过程中被篡改,导致部分数据失真,接收端可以检测出此变化,并且通知发送端重新进行发送。业务安全性保障重点加强对数据传输过程中的安全建设,保证数据在传输过程中的保密性、完整性、可靠性。重点加强对分支机构用户的权限管理。对访问系统的识别、认证、授权、审计。保证只有授权的用户可以访问授权的资源,并且对整个访问过程
10、进行实时监控,同时,可以对历史访问行为进行审计分析。通过信息安全建设,消除和减小现有的安全风险,将安全风险减小到可接受的程度,并且保持这种程度。强化业务流程,通过对业务流程的强化,减少人工管理成本。业务敏捷性保障由于雪花啤酒下属分支机构众多,信息安全建设,要求做到灵活和快速的部署,在尽量不影响现有网络结构和设备配置的情况下,迅速的部署信息安全设备。减小设备的部署成本和部署周期。法规符合性 对于信息安全建设,要遵守国家相关法律法规、行业相关标准。本次信息安全建设,还需要考虑投资回报率的问题,保证用最少的投资,取得最好的建设效果。3.2 产品选型根据以上需求分析,从便于维护和隧道建立的稳定性等方面
11、考虑,我们建议选择网御Power V6000-F1160来实现远程安全数据的传输。Power V6000-F1160主要参数如下表所示:项目参数网络接口6个10/100M Base-TX;2个USB接口,1个Concole接口吞吐量600M并发会话数120万每秒新建连接数1万IPSec VPN隧道数4000条加密吞吐量80M3.3 产品部署根据对需求分析,需要的是加强省台与分支机构之间以及远程移动用户访问单位内部资源时的数据传输安全。针对当前的网络特点即数据流量,总部采用网御Power V-3626安全网关网关,分支机构采用网御Power V6000-F1160 网关,在广域网上搭建雪花啤酒自
12、己的私有隧道,给各个分支业务数据提供安全保障。以下提出具体解决方案。产品部署网络拓扑图如下:产品部署说明:在VPN组网方式上,通常可选择网状组网方式和星形组网方式。本次项目建设采用网状组网方式,网状组网是传统的VPN组网方式,是在所有需要进行加密数据传输的各个子网前部署VPN网关,即每个接入机构前部署VPN网关,每个VPN网关需要同所有需要进行数据交换的远程子网前的VPN设备建立静态IPSEC隧道,通过两端子网前的VPN网关共同组成VPN网络,保障接入机构可以安全的访问办公网业务系统。产品部署说明部署产品部署位置部署作用VPN网关部署在各个分支单位出口1、具备防火墙功能,可部署在互联网边界,实
13、现对分支机构所有流经防火墙的数据进行过滤和严格的访问控制,屏蔽非法和不合规的数据包;2、与雪花啤酒部署网御Power V-3626建立IPSec VPN隧道,在广域网上搭建VPN设备与各个分机构建立私有IPSEC VPN隧道,保障数据在互联网上加密安全传输4 VPN产品功能及特点部署在雪花啤酒的VPN产品是网御星云在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,面向企业用户推出的拥有完全知识产权的系列VPN产品。网御VPN要达到的目标是:采用网御VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数
14、据。4.1 支持IPsec协议标准IPsec作为一个全球性的安全标准,要求所有IPsec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。网御VPN产品经过严格的互通性测试,和CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通(采用标准算法)。4.2 支持最新的NAT穿越协议NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NAT与IPsec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPsec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。网御VPN的全系列产
15、品均支持最新的NATT协议标准,具有非常好的网络适应性。4.3 支持双动态IP地址间隧道目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“
16、安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况。4.4 支持动态域名解析网御VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址动态IP地址以及全动态IP地址的方式接入因特网。对于企业内部全动态IP地址接入的情况,部署在企业总部的VPN网关(内置安全策略服务器)可以启动内置的动态域名解析功能(DDNS),从而使各个分支网关能够通过中心网关的域名来下载安全策略。对于国内大量没有条件申请专线和静态IP地址的企业用户,网御VPN产品无
17、疑是一个最佳的选择。4.5 完善的VPN网络集中管理功能企业内部网络上一般都会运行OA和业务数据传输系统,系统中的数据直接关系到企业的商业秘密和经济利益,具有较高的安全性要求,因此对接入企业VPN网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司或者营业网点的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个VPN网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺
18、利运行;同时,对于分支机构、营业网点遍布全国的大型企业来讲,其业务网络系统具有分布地域广泛、接入网点较多、网络结构复杂等特点,如果全部的管理工作都集中在公司总部完成,必然会给总部的网络管理人员带来繁重的日常维护管理工作,降低对接入、连通需求的反映速度,因此对VPN网络的管理在统一认证、集中监控的前提下,还应该充分发挥各个分公司网络管理人员的作用,将日常的管理维护工作分级化,提高整个网络的运行效率。综合以上分析的企业VPN网络管理需求,网御VPN系列产品采用了“统一认证、集中监控、分级管理”的VPN网络管理方案:l 统一认证:网御VPN全系列产品(包括网关和软件包)均支持目前最安全的身份认证方式
19、数字电子证书认证,采用1024bits密钥的RSA算法进行数字证书签名,数字证书的发放、认证过程由“网御安全管理中心(SMC)”软件完成;在企业的总部部署“网御安全管理中心”,负责对全国VPN网络的入网设备发放数字证书,只有拥有合法数字证书并通过中心SMC认证的网关或安全包才能接入企业的VPN网络。l 集中监控:通过“网御安全管理中心(SMC)”软件,可以对整个VPN网络中部署的网御VPN产品(包括网关和软件包)完成实时在线状态监控,可以及时、清楚的获取当前在线VPN设备的各种状态参数;同时VPN网关产品均具有安全的远程管理的功能,无论该设备以何种方式接入企业虚拟网,都可以对其进行远程配置,因
20、此当通过状态查看发现某个网关设备工作不正常时,中心管理员可以及时远程修改该设备的各种配置参数,以保证整个VPN系统的运转正常。l 分级管理:通过“证书托管中心(CMC)”和“安全管理控制台”等软件,分公司的网络管理员可以在总部中心授权的前提下,负责对其所管辖的企业部门进行VPN隧道信息配置;在这种管理模式下,大大减轻了总部网络管理人员的工作强度,提高整个VPN网络的可伸缩性。4.6 具备丰富的冗余备份方案VPN网关提供两种冗余备份解决方案,为保证企业VPN网络的稳定性提供了强有力的工具。具体方案如下:双机单线路主从备份在这种方案中,正常情况下仅有工作机进行工作,备份机处于热等待状态,并使用心跳
21、信号实时侦听工作机的运转状态;当工作机出现故障时,备份机自动接替工作机的工作,完成VPN隧道的加解密和数据隧道封装工作;当工作机恢复正常后,备份重新进入热等待状态。双机双线路镜像备份在这种方案中两台VPN设备均为工作状态,而且各种配置信息完全自动镜像,数据流选择主线路还是备份线路是由路由器的HSRP备份协议自动协商完成的。4.7 具备功能强大的VPN软件包作为完整的企业VPN解决方案,提供支持移动办公用户远程访问VPN系统的客户端软件包是必不可少的。网御VPN软件包不但提供完整的IPsec协议实现,支持移动用户的VPN接入需求,而且内置完善的软件防火墙功能、支持PPPoE拨号协议、支持动态VP
22、N策略下载、支持开机自动建立隧道、支持同时激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大的安全功能,所以其可以作为软件VPN网关安装在企业局域网的代理服务器上,作为硬件网关的备份或补充。4.8 具备易用的管理配置界面VPN网关提供基于串口超级终端和远程telnet两种登录管理方式,管理员可以使用命令行的方式对设备进行配置;同时提供基于windows的GUI管理控制界面,管理员可以不用记忆复杂的配置命令,而仅通过点击鼠标就可完成全部配置工作。另外,由于网御VPN设备支持从安全策略服务器自动进行策略下载的集中管理配置工作模式,所以对于分支网关的安装人员来讲只需要配置网关的网络地址信
23、息和中心策略服务器的地址信息,就完成了全部配置工作。如果在分支网关安装之前,由中心的管理人员将这两项信息预先配置完成,则分支网关的安装过程可以做到真正的“零配置”。4.9 具备丰富的VPN网关附加功能VPN网关不仅能够提供组建企业VPN网络的基本功能,而且作为网关设备具有许多对用户十分实用的附加功能,真正做到一机多能,节省用户投资。具体功能包括:l 内置DHCP服务器和客户端;l 内置远程拨号服务器功能;l 支持静态路由协议;l 支持RIP、OSPF动态路由协议;l 支持内部多子网划分;4.10 VPN产品功能列表Power-v3226功能类别功能描述性能网络处理能力5G,并发连接数220万,
24、每秒新建连接数2.6万,IPSec隧道数5500端口标配6个SFP插槽,6个10/100/1000BASE-T端口,同时可用端口总数不少于12个,且每个端口均可连接独立的安全域操作系统基于通用安全平台(V.S.P),具备高效、智能、安全、健壮、易扩展等特点网络适应性支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server支持PPPoE接入,并具备自动断线重连技术支持纯透明桥接功能支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等支持基于源/目的地址、接口的策略路由支持多出口路由负载均衡支持双向NAT、动态地址转换和
25、静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换支持802.1Q和ISL VLAN封装协议,支持两种封装的互换以及Vlan Trunk基于IP地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理在各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议绿色上网识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件识别和控制QQ、MSN等常用IM软件,一键式阻断IM软件机密文件传输识别
26、和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制支持50多种分类库,800万级网址智能特征库支持URL独立特征库,支持增量升级管理 采用高速辨认技术,缩短匹配时间,不影响产品整体性能访问控制基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带
27、宽控制可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查VPN支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多出口VPN,且支持NAT穿
28、越支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署支持GRE、PPTP 、L2TP等VPN连接支持SSL VPN和IPSec VPN同时使用采用无客户端认证方式实现隧道安全连接能进行个性门户(portal)定制化处理,可替换图片、文字等IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通支持基于USB Key的证书认证方式入侵检测与防御集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则遵循关联安全标准(CSC)实现与IDS的联动采用基于摘要索引的内容加速算法(DCA算法)进行蠕虫病毒过滤采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒
29、的异常主机进行定位实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击完全内容过滤支持对网页关键字和Java、JavaScript、ActiveX进行过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤支持对中转垃圾邮件进行识别和过滤支持对FTP上传和下载文件的控制支持对网页关键字和J
30、ava、JavaScript、ActiveX进行过滤关联安全应用支持关联安全标准(CSC)可实现与IDS等设备的联动可实现与内网安全管理系统(ISM)的联动安全管理支持友好的Web图形界面配置支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级支持SNMP管理,与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控支持设备内存储和专用事件分析服务器两种日志管理方式支持分级报警,支持SNMP Trap和邮件等报警方式可通过专用的集中管理系统实
31、现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙高可靠性支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等支持防火墙多WAN口备份和负载均衡支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽通过状态同步技术实现232台防火墙的多机集群在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒可在热备和集群工作模式下支持多台防火墙的配置自动
32、同步类别指标项详细描述操作系统具备自主研发的安全操作系统产品规格硬件规格产品形态网络接口串口、USB接口、电源最大无故障时间(MTBF)性能参数吞吐率(bps)最大并发连接数每秒新建连接数IPSec VPN隧道数SSL VPN并发用户数加密速率(bps)IPSec VPN互联互通支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通认证方式支持预共享密钥、证书等认证方式且支持X扩展认证支持多因子认证方式支持主模式、野蛮模式认证方式加密算法支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024
33、、DH2048、RSA1024、RSA2048等非对称加密算法支持SM1(SCB2)国密办专用算法支持专用硬件加密卡网络支持支持多出口VPN,且支持NAT穿越支持最新的NAT穿越(NATT)协议支持双动态IP地址间建立VPN隧道VPN应用支持视频会议、视频点播等应用数据在隧道中的传输支持DPD隧道状态探测功能PKI体系支持X.509 V3标准格式的数字证书隧道保障支持链路和VPN隧道的自动恢复支持隧道的实时监控支持VPN动态带宽管理功能支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署GRE/PPTP/L2TP多种协议支持GRE、PPTP 、L2TP等VPN连接SSL VPN协议兼容支
34、持SSL VPN和IPSec VPN同时使用零客户端采用无客户端认证方式实现隧道安全连接门户定制能进行个性门户(portal)定制化处理,可替换图片、文字等智能选路 支持智能选路功能,维护运营商地址库特征码绑定支持用户特征码验证,绑定客户端用户,提高安全性隧道保活支持自动重连技术,保障隧道稳定软件下载能提供快捷方便的证书链、定制软件、定制驱动下载链接VPN客户端VRC(VPN客户端)IPSec VPN客户端可与所有支持标准IPSec 协议的VPN网关互联互通支持基于USB Key的证书认证方式支持电子钥匙(USB Key),能够保存认证数据与策略支持USB Key即插即用模式,智能探测所连接的
35、VPN网关支持开机自动建立隧道,便于无人值守业务的数据传输支持DHCP over IPSec VPNIPSec VPN客户端支持Microsoft Windows 2000/XP、Vista等操作系统访问控制状态检测基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网透明代理实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤IP/MAC绑定实现IP/MAC地址绑定,且支持IP/MA
36、C地址对的自动探测和唯一性检查用户认证支持基于客户端的本地认证、无客户端软件的WEB认证,并支持Radius等第三方认证网络适应性接入模式支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server支持PPPoE接入,并具备自动断线重连技术支持纯透明桥接功能路由支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等支持基于源/目的地址、接口的策略路由支持多出口路由负载均衡NAT支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换VLAN支持802.1Q和ISL VLAN封装协议,支持
37、两种封装的互换以及Vlan Trunk带宽管理基于IP地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理动态协议在各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议内容过滤网页过滤支持对网页关键字和Java、JavaScript、ActiveX进行过滤邮件过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤支持对中转垃圾邮件进行识别和过滤FTP过滤支持对FTP上传和下载文件的控制关联安全应用关联安全支持关联安全标准(CSC)可实现与IDS等设备的联动可实现与内网安
38、全管理系统(ISM)的联动管理配置系统管理支持友好的Web图形界面配置支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级支持SNMP管理,与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传系统监控支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控日志报警支持设备内存储和专用事件分析服务器两种日志管理方式支持分级报警,支持SNMP Trap和邮件等报警方式集中管理可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及VPN安全网关部分策略的分发等功能可通过专用的
39、集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放可提供专用的软件实现对VPN安全网关接入用户认证的集中管理,至少可同时管理2048台VPN安全网关VPN高可用性负载均衡支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等支持VPN安全网关多WAN口备份和负载均衡支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽通过状态同步技术实现232台VPN安全网关的多机集群双机热备在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒可在热备和集群工作模式下支持多台VPN安全网关的配置自动同步5 产品报价序产品产品规格选型数
40、量 价格备注1VPN网关标配6个SFP插槽,6个10/100/1000BASE-T端口,同时可用端口总数不少于12个,且每个端口均可连接独立的安全域,网络处理能力5G,并发连接数220万,每秒新建连接数2.6万,IPSec隧道数5500网御星云Power V3226176000总部1VPN网关1U标准机架式机箱,标配单电源;6个10/100M自适应电口;2个USB接口和1个Console口,整机吞吐量600M,最大并发120W,每秒新建1W,VPN IPSec 隧道数4000条,VPN AES加密吞吐量(bps)80M。可通过购买授权方式开启病毒防护,入侵防护,上网行为管理等功能。网御星云Power V6000-F1160118000每个接入单位分别部署一台
