成都迅捷通讯公司vpn网络安全互连解决方案ren

成都迅捷通讯公司vpn网络安全互连解决方案ren内容摘要：

程接入 总部 内网，建立 VPN 加密隧道，安全访问总部内 网的各应用系统（包括 B/S 和 C/S 的应用），在访问过程 确保数据传输安全。 2） 总部边界处 部署“ 双机热备 ”系统 ，可以在 主网关发生 故障时 ， 热备 网关自动接管 进行无缝的切换 ，确保中心节点的高可靠性和不间断运行。 3） 在远 程 接入（移动用户） 的计算机上，只需要插入经过管理员授权的 Usb Key（强身份认证载体） 或使用“帐户 +口令”的方式，运行安全客户端软件或采用 IE 浏览器 ，即可与 VPN安全网关建立 VPN 隧道， 然后就可象在总部局域网内一样使用各种应用软件。 另外，如果需要提高安全性（由 VPN 设备管理员可在 VPN 网关上开启“主机绑定”功能，就可实现 USB KEY 和远程接入的 PC 机进行硬件绑定 ,这样这个 USB KEY 将只能在绑定的 PC 机上使用。 这样可以提高安全性，使管理员严格指定的 PC 才能接入总部，避免了下属单位用户从其他地方（如：家里）访问 成都迅捷通讯公司 的总部内网，避免了信息泄露的威胁。 也可以开启“双网隔离”功能，让远程接入的 PC 终端在使用 VPN 隧道时（即在和总部建立连网时），不能访问互联网中的其他地方（如： sina 等），进一步提高安全性。 4） 安全网关能够对 VPN 访问用户进行分类，分成不同的用户资源组，如：财务部、人事部、 IT 部等（如下图）。 分类的用户可 在网关上设定不同 VPN 组的访问控制策略，确保不同身份的用户接入到内网后，只能访问网管人员允许他能够访问的服务器 /应用 /指定的子网或 PC（如：只允许 XX 系 /部门的用户只能访问某些应用系统）。 10 5） 安达通 VPN移动接入加速系统由安达通 VPN网关和终端服务器组成。 移动用户登录 VPN后，通过 Web 资源展示页面，即可直接访问终端服务器。 在终端服务器上安装用户应用系统的客户端程序，移动用户通过 VPN 隧道远程控制在该终端服务器上的客户端的运行，在局域网内访问服务器。 由于只在终端服务器和 VPN 移动用户间的 VPN 隧道中传输键 盘、鼠标和显示画面等小数据量的信息，避免了 C/S 程序间的大量应用数据在 VPN 隧道中直接传输，所以应用软件的运行速度有了显著的提高。 再加上使用了数据压缩技术，使带宽的效率进一步得到提升。 可以将传统的“ Client— Site”的 VPN 远程接入速度提升 10 倍以上，使原来对带宽要求很高的 C/S应用软件，能在甚至 56Kmodem 拨号的方式下通过 VPN 隧道顺畅运行。 同时，使用该加速系统后，对客户端性能要求大大降低，同时免安装应用软件客户端，部署和管理异常方便。 6） SJW74 安全网关具有优良的 Qos 能力，可以为企业的关键应 用（如： ERP、 OA、视频会议系统等）保留带宽。 这样即使当网络拥挤时，也能够保障关键应用的畅通和尽量小的延时。 ADT 安全能够将访问控制策略与保留带宽绑定，并能为这些应用设定优先级，共有 8 个处理等级可以设置。 7） VPN 安全网关 对外网可以抵御黑客的入侵，并可和 Firewall 一起，构成两道网络防护屏障。 并可和 IDS 联动，为以后进一步加强总部内网的安全留下发展的空间。 VPN 安全网关具备优良的状态检测功能，可以防御外网对内部主机的端口扫描、各种 DoS/DDoS 攻击等恶意攻击行为。 SJW74C 安全网关采 用 X86 架构， 4 个网口均采用 10/100M 自适应接口。 SJW74B 安全网关采用嵌入式架构， 4 个网口均采用 10/100M 自适应接口。 11 经上海信息安全测评认证中心专业测评： 1） SJW74C 支持 800,000 个内网并发会话数， 5,000 个 VPN 并发 用户 ；在 高强度加密下 ， IPSec吞吐率为 100Mbps， 防火墙 吞吐率 为 100Mbps。 2） SJW74B 支持 600,000 个内网并发会话数， 1000 个 VPN 并发 用户 ；在 高强度加密下 ， IPSec吞吐率为 40Mbps， 防火墙 吞吐率 为 100Mbps。 3）远程 VPN 移动终 端的高加密速度高达 30Mbps，所以不会对通过 ADSL 上网的速度造成用户感觉得到的影响，而且加 /解密处理对各种应用软件透明。 4. 设备选型 和 选型 产品简介 设备 选型 对 VPN 产品进行选型，通常依据以下几方面原则： 1) 安全网关的加密吞吐率应当大于网络的出口带宽，以免在 VPN 安全网关上产生性能瓶颈； 2) 部署在中心节点的安全网关的并发数目应当大于互连的分支机构和移动用户总数； 3) 部署在各个节点的 VPN 安全网关的并发会话数，应当与本地局域网内的上网 PC 数目有个对照关系（参见“安达通安全网关性能索引表”中的相关参数 ）； 4) 考虑用户的预算。 基于 要求 和上述选型原则 ，本项目 VPN 平台中将会用到上海安达通信息安全技术有限公司研制生产的 如下产品： 选用设备型号 数量 部署位置 SJW74C 安全网关 2 台 成都迅捷通讯公司 网络边界 SJW74A 安全网关 4 台 分公司 出口处 移动用户端 License（配套 USB KEY） XX 个 远程移动 终端 上 . 选型产品简介 IPSec/SSL 二合一 SJW74 系列安全网关功能一览表 12 VPN 功能  产品设计完全遵守 IPSec 和 IKE 标准；可保护子网间、主机间、子网与主机间的安全通讯；支持传输和 隧道模式；  支持 DES、 3DES 及国产加密算法，支持基于“数字证书”和“预共享密钥”的 IKE，证书认证方式符合 证书格式，支持第三方 CA 认证；  支持基于 DDNS 服务器和专用地址服务器两种方式下的全动态 IP 地址的 VPN 组网方式；  支持 NAT 穿透（ NATT）功能，并能够实现 VPN 互连的“双向 NAT 穿透”；  支持“单臂连接”技术，即把安全网关当作一台服务器或主机只接一个口到交换机中，专门处理 VPN 报文的加解密 ,不需要修改用户网络物理拓扑；  支持“虚地址互连”，可以有效解决当 VPN 互联双方的 IP 地 址冲突情况下的 VPN 互联问题；  支持“线路均衡”技术，可以同时支持多条 ISP 线路接入，具备线路故障自动探测和路由自动切换功能；  支持以“透明”（桥模式）或“路由”模式接入网络，并支持各种模式下 VPN\设备的安全互联；  支持在 TRUNK 环境下部署 VPN 安全网关，即支持对 TRUNK 链路中某个 VLAN 的数据进行VPN 加密并转发；  可以独立为每个 VPN 加密隧道进行“状态检测”和独立带宽，确保高安全性和高度的灵活性；  支持“隧道保活”技术，能够确保设备间加密通道的时时连通；  基于时间和流量双重要素的动态 SA 管理，并支 持手工添加 /删除静态 SA；  支持移动客户使用安全客户端软件进行安全接入；支持在安全网关中，对 VPN 客户端的“硬件绑定”功能，绑定后的 USB KEY 只能在该主机上使用，并能够在网关中进行集中控制；  VPN 客户端支持“双网隔离”功能，即：走 VPN 隧道时，不能访问互联网。  SJW74C Pro 网关在对移动用户的接入上不需要安装安全客户端软件，使用 IE 浏览器，通过独创的 IPSec over HTTPS 协议接入 VPN 安全网关。 既有 SSL VPN 免客户端的方便，又兼备 IPSec VPN 的高性能，并可进行灵活的访问控制。  移动用户在和 SJW74C Pro 安全网关建立 VPN 连接后，通过 Web 页面展现出该用户可以使用的 BS 和 CS 程序。 防火墙功能  基于六元组的 IP 包过滤；端口、协议、地址和时间相结合的访问控制机制；  支持状态检测防火墙，能实现连接跟踪，实现基于方向的防火墙控制；可以独立为每个防火墙访问控制策略进行状态检测；  正反向网络地址映射功能，灵活支持： NAT、 NAPT 和地址池；  支持 URL 过滤，对 URL 过滤能支持黑名单和白名单两种工作模式，抵抗恶意脚本的攻击；  支持 IP 与 MAC 地址绑定；支持基于 HTTP 会话劫持的用户认证 功能； 13  抵抗多种 DoS,DDos 攻击；可自定义 TCP/UDP/ICMP 的 Flood 攻击检测策略；  支持和专业的 IDS 设备互动；  基于 Hash 表的快速转发功能，极大提高 Firewall 吞吐率； 管理功能  与 ADT 策略服务平台（ SureManager）、网关监控平台 (SureWatcher)和数字证书平台（ SureCA）无缝整合；集中管理全网安全网关，实现统一规划、统一部署和统一监控；  提供 GUI 网关配置软件（ SureConsole），可通过串口和网口进行本地和远程管理；通过网关监控平台，能够在中心点对全网 VPN 安全网关状态进行实时监控，并可生成相应统计报表；告警信息可以通过短信方式即时通知管理员；  管理员可以方便地选择“在线”或“离线”配置；即：可编辑配置文件，并可将设备的配置信息导出到本地或从本地导入设备；  基于预共享密码或数字证书的网络管理员身份认证和管理指令加密，充分确保远程管理的数据传输的安全性；  支持本地日志和 ADT 远程日志服务器，支持 Syslog 日志服务器，支持 和短信报警，能够对日志信息进行选择记录，并将日志信息导出保存； 负载均衡功能  4 个以上网络接口，可自定义 1~3 个 WAN 口，支持多条 ISP 接入线路；  可 根据带宽选路： 在不同的 接入线路 之间 根据带宽 分配 内网出口流量， 实现 上网 负载平衡 ；  支持策略路由；  支持多点 VPN 隧道接入：安全网关的几个 WAN 口都可作为 VPN 接入端点，实现 VPN 接入的负载均衡；另外，分支机构的安全网关可以手动或自动选择和总部网关的接入线路。 其他功能  支持双机热备份和配置同步功能；  支持 8 个级别的 Qos，并能为每个访问控制策略独立分配带宽；支持带宽的严格锁定和动态平衡方式；  支持 PPPoE 和 DHCP（ Server 和 Client）协议，支持： ADSL、 Cable Modem、 ISDN、 FTTB、DDN、 CDMA、 GPRS 等各种接入方式；  支持静态路由和多播转发；  支持本机 ARP 表清空、免费发送 ARP 广播、执行 Ping 命令和远程重启等功能；  支持对网口的工作方式的手动设定或自适应模式；  支持一个物理接口绑定多个 IP 地址；  在线代码升级，并支持升级代码签名，防止设备代码被非法篡改； 14 5. 售后 服务 上海安达通信息安全技术有限公司 (供货商 )对 销售的安达通 VPN 产品提供 壹 年 免费 保修期 ，终身保修。 用户遇到产品问题时， 联系对象：上海安达通信息安全技术有限公司产品售后服务 中心 电话支持： 400－ 880－ 1233 技术支持值班热线： 13341743079； 传真支持： 02168750782； Email 支持； 现场支持：遇到突发事件和重大技术问题 时 提供 该 服务 ADT 公司全国 范围内强大 的 ACNE（安达通认证工程师）支持体系为客户 在 设备生命周期内 提供以下服务 ： ◊ 安达通公司 对 本项目 产品 提供 壹 年的 免费保修期（或简称为：保修期），产品的保修期自设备发到用户现场之日起计算。 免费保修期内提供故障 产品免费维修服务和 7x24小时 技术支持服务。 ◊ 我公司客服中心设有技术支持热线 （见本章上方技术支持电话） ，为用户提供 7x24的技术咨询服务； ◊ 设备故障报修的响应时间：周一至周五 8： 30～ 18:00期间为 2小时。 若电话或远程网络支持无法解决，在和用户协商一致后，可在 48 小时内到达用户现场进行支持。 ◊ 如果产品故障在检修后仍无法排除，我公司保证在设备维修期间提供故障产品的 替代 产品供需方替换使用，直至故障产品修复；。