产品白皮书 |
网神SecSSL 3600安全接入网关 |
|
本文档解释权归网御神州科技(北京)有限公司安全网关中心产品部所有。 |
|
网御神州科技(北京)有限公司 www.legendsec |
2011年3月 |
|
科技与创新●版权声明
Copyright © 2006-2011 网御神州科技(北京)有限公司 (“网御神州”) 版权所有,侵权必究。
未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息
文档名称 | 网神SecSSL 3600安全接入网关产品白皮书 |
扩散范围 | | 文档版本号 | V6.3.1 |
作者 | 陈蛟 | 日期 | 2011/04/06 |
初审人 | 宋伟 | 复审人 | 王思登 |
| | | |
●版本变更记录
1产品概述
网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN
安全网关采用国家密码管理局指定的加密算法,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。
网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州
加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,网神SSL VPN 的基于代理主机的,它通过终止网络边缘的连接而提供一个附加的安全层。这就意味着只有经过授权的用户才被获准接入,而非法远程用户绝不会直接连接到你的网络。这降低了恶意的或意外的病毒攻击。网神SSL VPN产品,对访问者进行了强制的安全检查,也可以在其使用特殊的安全应用时隔离其和外部网络的联系,从而保护应用的高安全性。
网神SSL VPN严格制度管理控制技术能够使你明确而容易地定义资源安全中国听书网的发布,细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。全范围身份认证方法的支持:网神SSL VPN支持广泛范围的鉴别系统,包括用户名/密码、数字认证、LDAP、RADIUS、RSA SecurID 标记和其它通用的双因素等认证系统。网神SSL VPN提供了额外的安全性功能特性,以适应各种接入的设备。例如,若从公共网吧改进安全性,SSL提供一个“话路终止”功能部件。能够使用户阻挡认证形式的自动完成,所以,避免了用户粗心地将密码信息留在一个网吧所造成的安全隐患。网神SSL VPN 产品让用户轻松而安全地实现远程访问,让公司的网络应用部署更灵活,同时,网神SSL VPN 还可以为企业最大化地节约成本,而且,网神SSL VPN 会为企业用户提供最好的整体解决。 网神SSL VPN通过結合 SSL 和代理技术来减少风险终端控制技术检测、保护使用者环境,从而授权使用者的访问级別,策略执行不仅基于使用者名称,还能检测使用者环境的信任级別,可以针对那些需要特殊环境的使用者,提供最好的解決方案。
网神SSL VPN提供了用户自己定义界面的功能 ,用户可以根据自己的个性,定制入口界面,用户还可以把登录的LOGO换成自己公司的,并且,可以让不同的用户定制属于自己的界面,让用户真正体验网御神州产品的感受。
2产品特点
●安全性
多种安全认证,支持指纹认证、短信认证、USB KEY认证、U-KEY认证;国密办认证体系、动态令牌认证、X.509数字证书认证、LDAP,Radius等第三方服务器认证、E-MAIL账户认证,MAC地址绑定认证、VIP用户认证,并提供多种混合模式认证;点对点全程加密,客户对资源的每一次操作都需要经过安全的身份验证和加密,确保点到点的远程访问安全。因为是直接开启应用系统,并没在网络层上连接,攻击机会相对就减少。网神SSL VPN还保护不同协议间的通信,增强安全性。
●经济性
使用网神SSL VPN,只需要在总部放置一台硬件设备,就可以实现所有用户的远程安全访问、快速接入服务,支持LAN-TO-LAN互访。
●可扩展性
网神SSL VPN支持单臂双臂模式,支持多站点及多站点分级管理,可以满足企业多部门分级管理的需求,可部署在网络中任一节点处,可以随时根据需要,添加需要发布的服务器资源,因此无需影响原有网络结构。
●访问控制
网神SSL VPN可以根据用户的不同身份,给予不同的访问权限,提供VIP用户来符合企业特殊要求,细致的用户锁定策略,支持时段锁定和管理员解锁两种方式,还可以对每个访问人员进行数字签名,保证每笔数据的不可否认性,为事后追踪提供了依据。
●松籽油部署与管理成本
网神SSL VPN 部署容易、维护方便、发布快捷、使用简单,降低了部署客户软件的复杂性,缩减了客户的人力管理成本。
●低带宽特性
通过网神SSL VPN 平台,即便使用CDMA和GPRS上网方式 也可以流畅的运行您广域网络上的应用,即使是大型的C/S软件也仅仅需要20K的带宽。
●高级管理
支持CA中心,可以申请/颁发/吊销证书,支持自签名证书和第三方证书导入,支持PKI体系;支持数据库认证(SQL、ORACLE、SYBASE),支持第三方用户导入(文本、数据库)。
3产品功能
功能 | 描述 |
接入方式 |
网络接入 | 支持PPTP方式和SSL Client, IPSEC Client |
门户接入 | 多个应用统一交付,Web方式接入 |
应用接入 | 应用发布 |
手机接入 | 支持iPad, iPhone, Android 1.6 2.1 2.2, windows mobile 所有版本的手机接入 |
VPN |
SSL VPN | 支持路由、桥接、Nat模式 |
IPSEC VPN | 支持Lan-Lan的连接方式 |
PPTP VPN | 支持PPTP用户组,PPTP用户绑定登录IP和绑定分配IP, 发起端ping检测机制,连续5次ping超时则本端发起重连,该机制只对发起端有效。 |
防火墙/路由 |
基本配置 | 中国电镀信息网外网端口ping配置,内网包转发设置 |
端口映射 | 支持NAT,支持虚拟服务器 | 塞勒姆
协议穿透 | 支持 |
自定义规则 | 支持用户自定义防火墙iptables规则 |
动态域名 | 内建支持DDNS(动态域名解析),内建动态域名解析服务功能,只需在动态域名提供服务商处免费申请即可使用目前支持希尔和花生壳网站的域名绑定 |
静态路由 | 支持 |
代理上网 | PPPOE方式 |
教师是园丁 拨号 | 支持chap和pap两种认证方式,显示拨号日志 |
应用发布 |
| |