1 产品概述
1.1 安全接入的应用趋势
蔡晓伟
随着电子政务和电子商务信息化建设的快速推进和发展,越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统,从而使内部办公人员通过网络可以迅速地获取信息,使远程办公和移动办公模式得以逐步实现,同时使合作伙伴也能够访问到相应的信息资源。但是通过互联网接入来访问企业内部网络信息资源,会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的安全威胁。而且我们目前所使用的操作系统、网络协议和应用系统等,都不可避免地存在着安全漏洞。因此,在通过Internet构建企业网络应用系统时,必须要保证关键应用和数据信息在开放网络环境中的安全,同时还需尽量降低实施和维护的成本。 目前通过公用网络进行安全接入和组网一般采用VPN技术。常见的VPN接入技术有多种,它们所处的协议层次、解决的主要问题都不尽相同,而且每种技术都有其适用范围和优缺点,主流的VPN技术主要有以下三种:
1.L2TP/PPTP VPN
L2TP/PPTP VPN属于二层VPN技术。在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件,因此其无需安装任何客户端软件,部署和使用比较简单;但是由于协议自身的缺陷,没有高强度的加密和认证手段,安全性较低;同时这种VPN技术仅解决了移动用户的VPN访问需求,对于LAN-TO-LAN的VPN应用无法解决。 2.IPSEC VPN
IPSEC VPN属于三层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护措施;同时工作在网络协议的三层,对应用程序是透明的,能够无缝支持各种C/S、B/S应用;既能够支持移动用户的VPN应用,也能支持LAN-TO-LAN的VPN组网;组网方式灵活,支持多种网络拓扑结构。其缺点是网络协议比较复杂,配置和管理需要较多的专业知识;而且需要在移动用户的机器上安装单独的客户端软件。 3.SSL VPN
SSL VPN属于应用层VPN技术,其协议定义了完整的安全机制,对用户数据的完整性和私
密性都有完善的保护;由于在Windows等操作系统中的IE浏览器已经支持了完整的SSL协议,因此原理上对于B/S应用是无需安装客户端软件的,部署使用较为简单。其主要适用于移动用户的接入和访问B/S结构的应用系统,对于C/S应用的支持仍然需要安装客户端的插件。
以上几种VPN技术都各有其优缺点,而在用户的实际应用中,往往需要将这几种VPN技术进行综合应用,才能满足较为复杂的用户需求。
天融信将这几种VPN技术进行了有机的整合,实现了在一台设备中同时支持多种主流VPN组网技术,同时集成了天融信成熟领先的防火墙和身份认证系统,形成了一套完整的安全接入解决方案。
1.3 网络卫士VPN多合一产品简介
网络卫士VPN多合一网关是集天融信十几年研发经验,向用户提供的完整VPN接入解决方案(IPSec/SSL),是天融信研制推出的最新一代网络安全接入产品。该产品以天融信自主知识产权的TOS(Topsec Operating System)为系统平台,采用开放性的系统架构及模
块化的设计,融合了身份认证、访问控制等安全手段,具有安全、高效、易于管理和扩展等特点。
网络卫士VPN多合一网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务。产品的L2TP/PPTP/SSL功能无需安装任何客户端软件,也无需投入太多人力进行配置或长期的维护;产品完善的IPSEC VPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络。
其SSL VPN可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式,以适应不同的用户需求,同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能。
网络卫士VPN多合一网关包含完整的业界领先的专业防火墙功能,还具有内容过滤、入侵防御、带宽管理等功能,能为用户提供全面的网络边界安全防护解决方案。
ddm
2 产品特点
1) 麦克风门自主安全操作系统平台
采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
max232TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
2) 多种VPN技术有机融合
前面已经分析了目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围。在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。
网络卫士VPN多合一网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平
台强大的整合能力保障下,各种VPN模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台。
3) 安全接入与安全防护无缝结合
VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的。网络卫士IPSec/SSL VPN多合一网关构建在天融信强大的TOS系统平台基础上,集成了天融信业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护。
网络卫士VPN多合一网关支持完善的基于完全内容检测的访问控制。防火墙检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
网络卫士VPN多合一网关在MAC层提供基于的名字MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
4) 多种SSLVPN技术结合实现应用全覆盖
目前SSLVPN接入技术大致分为三类:WEB转发(WEB FORWARD),端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS或者称为IP TUNNEL)。这三种技术的技术特点和适用范围各不相同,在网络卫士VPN多合一网关中对这三种SSLVPN接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。
WEB转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强。网络卫士VPN多合一网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面
重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性。
端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好,但其要求在客户端安装一个ACTIVEX控件。网络卫士VPN多合一网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。
全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VPN多合一网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLIT TUNNEL即可以同时访问VPN和因特网)或完全隧道(FULL TUNNEL即只能访问VPN不能访问因特网)的方式接入VPN网络,大大提高了网络的整体安全性。
5) 完善的身份认证技术
网络卫士VPN多合一网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信,管理员可以配置简单的“用户名+口令”认证方式,从而达到简单易用的效果;为了防止线路窃听和重播攻击,管理员可以采用“用户名+口令+图形认证码”的方式对移动用户进行身份认证;对于需要强身份认证机制的用户,管理员可以采用“数字证书”的认证方式,通过强度非常高的密码运算来保证用户的用户的身份标识不会受到“字典攻击”等暴力攻击的威胁;当然,还可以通过“数字证书(USBKEY)+口令”的双因子认证方式来确保移动用户的证书不会被盗用,来进一步加强认证的安全性。
网络卫士VPN多合一网关还支持短信认证、图形码校验、硬件特征码校验。支持基于web协议的认证方式,可以和业务资源的帐号系统使用一套,避免了在VONE上再次建立帐号,能够统一管理帐号,增强了易用性。支持指纹认证,可以基于指纹信息进行认证。北京利国电子
网络卫士VPN多合一网关还支持通过RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级的认证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又可以充分利用用户已有的资源。
6) 多级用户授权机制提供灵活的用户授权组合
授权是对移动用户通过身份认证接入网关后,允许访问的内网资源权限进行控制,是保护内网资源安全的主要技术手段。网络卫士VPN多合一网关采用多级授权机制和用户授权继承的策略,满足各种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书的属性字段的授权,支持基于外部属性(LDAP或Radius下发的属性值)的授权,也支持多条授权策略的组合。
在用户授权的粒度上,网络卫士VPN多合一网关支持基于URL/目录/文件等访问内容的控制策略,支持用户行为动作的访问控制策略,支持基于访问时间的控制策略,能够充分满足管理员的各种用户授权需求。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议