1、 新疆建设兵团商务局 VPN 解决方案新疆西线 新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 1目 录一、 需求概述 21. 新疆兵团背景介绍 22. 客户具体需求分析 3二、解决方案 51. VPN 技术在兵团商务局的应用分析 .52. 兵团商务局对 VPN 技术的特殊要求 63. 兵团商务局 VPN 组网具体布署 7三、方案优点及给客户带来的价值 81. 高效的 IPSec VPN 82. 对 IPSec VPN 的多设备支持 .83. 小型机构使用 SSLVPN 接入,不需安装、容易部署 .94. 多种认证方式、高安全性 95. 更细致的访问控制功能、完善的用户和资源管理
2、 106. 多线路智能选择,解决跨运营商网络互联问题 107. 集成的防火墙保护 118. 支持动态 IP、方便易用 .119. 其他应用支持 11四、方案选型 111、设备选型及介绍 112.1 部署 SINFOR VPN 设备 .172.2 移动接入用户应用 18五、实施与售后服务 201. 安装和实施 202. 技术服务支持 203. 使用培训 22六、典型客户 231、 相关案例介绍 232、 其他部分用户名单 25新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 2兵团商务局 VPN 解决方案 一、需求概述1. 新疆兵团背景介绍新疆生产建设兵团 (简称新疆兵团)。新疆兵团
3、分布在新疆维吾尔自治区 14 个地州,100 个县市境内。新疆维吾尔自治区位于中国西北部,地处东经 7340-9623,北纬 3425-4910之间,面积 166.49 万平方公里,占中国国土面积的六分之一。新疆兵团总人口 256.98 万人,其中,城市人口 67.34 万人;农牧团场人口 189.64 万人,分别占总人口 26.2和 73.8。新疆兵团是一个多民族聚集的地方,有汉、维吾尔、哈萨克族、回、蒙古、锡伯、塔吉克、俄罗斯、乌孜别克、塔塔尔、满等 38 个民族。2005 年末,新疆兵团汉族人口 225.73 万人,维吾尔族人口 17.87 万人,哈萨克族人口 4.31 万人,回族人口
4、6.52 万人,蒙古族人口 0.65 万人,其他民族人口 1.89 万人。新疆现有民用机场 12 个,航线 127 条,新疆铁路营业里程已达 2,925 公里,铁路运输能力大幅度提高。通车里程 8.95 万公里(新疆兵团 3.17 万公里),已形成以乌鲁木齐为中心的吐乌大高等级公路、乌奎高速公路等。电讯、互联网 数据通信网、多媒体通信网发展迅速,相继建成了覆盖全疆,各地州、师、市的 ATM 宽带网,并开展了 IP 宽带网、城域网的建设,初步形成了程控交换、光纤通信、数字微波、卫星通信、移动通信等完整的现代化通讯体系。2005 年末,全区固定电话数达到 612.2 万户,移动电话用户达到 531
5、.30 万户。互联网用户 105.78 万户。新疆兵团商务局与国家商务部机电司、贸发局自 2002 年以来连续在哈萨克斯坦共同承办了中国机电产品展览会、中国商品展览会。亚洲商品展览会是中西亚国家规模最大的贸易与投资洽谈会。展会的成功举办,在中亚地区影响较大,已成为中国与哈萨克斯坦以及周边中亚国家企业开展经贸合作和交流的重要平台。 目前兵团商务局在全疆也部署了一些业务系统,包括 OA 办公,视频会议,财务,商情,产业预警,市场监测,下属的一些各师级商务局和企业都需要接入到兵团商务局总部来实现机构之间的互联互通,企业用户也需要接入到信息平台来实现远程移动办公,针对上述新疆建设兵团商务局-VPN 解
6、决方案新疆西线网络有限责任公司 3需求,兵团商务局也在考虑远程接入这种方式带来的安全,快捷,效率,易用性等多方面的问题,具体表现在以下几个方面。1, 对于总部各师商务局级互联,可以采用 VPN 技术来达到互联的要求,并且在采用专线技术时,同样需要考虑到在专线中断情况下对专线线路的备份需要。另外在考虑到专线线路费用高昂问题时,就需要使用 VPN 技术来满足经济性的要求。2, 对于各师级各企业的互联,因为企业分支机构数量众多,采用专线不管是从经济性方面还是实际实施中遇到的各种条件限制,专线方式都是不可取的,对于本类连接更多的应该考虑使用专线以外的技术,比如 SSL-VPN 技术。3, 机构的网络互
7、连后,怎样保证数据传输的安全性,机密性?若系统直接放在公网上以供下级单位访问使用,安全性和机密性毫无保障,所以这就需要一种对信息传输机密性有保障的技术给予解决。4, 下级单位访问上级单位的数据资源等信息,必须能够做到权限的控制和划分,不同的接入用户具有不同的访问权限,并且对接入用户的访问操作必须有日志记录,以便日后审计。5, 如何鉴别访问省级数据中心的人员是内部可靠的人员,而不是第三方或黑客轻易地访问到内部系统。从上面提到的几个问题,我们得出结论,为了更好的达到“兵团商务局-VPN”工程的目标,在分支节点网络互连方面需要考虑全面,从连通方式上看,要因地制宜,而不应单单局限于专线方式;从数据传输
8、的安全性方面,需要得以保证,以免数据泄露或遭到篡改;从访问权限方面看,要给不同的接入用户分配合适的访问权限;最后对接入用户访问行为的审计方面,要做到所有访问行为要有日志记录。2. 客户具体需求分析兵团商务局 VPN 系统详细需求分析目前就是 14 个师级分支机构需要统一接入到兵团商务局,还有一些企业用户(包括外贸企业,内贸企业,生产企业)共计 1000 家左右。这些机构都要随时随地与兵团商务局进行远程互联,进行业务数据的有效传输。新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 4通过在兵团商务局普遍存在的问题,我们看到信息化建设在以下几个方面存在的不足需要解决: 数据传输的安全性
9、需要得以保证因为该互联线路所传输的数据是关乎公民切身利益的信息,这些数据绝对不允许篡改甚至是窃取,数据传输的安全性需要着重考虑。 接入用户访问权限控制和行为记录与审计不管是下级机构接入访问上级机构的数据等资源,还是其他访问行为,都需要针对不同的接入用户分配不同的访问权限;用户访问操作行为需要有日志记录,以便日后进行审计。 接入机构本地网络和上级机构网络带宽瓶颈问题下级接入机构的本地公网接入所采用的运营商可能与上级机构本地公网接入所采用的运营商不同,比如下级机构使用中国电信接入本地公网,而上级机构使用中国网通接入本地公网,电信和网通之间的带宽瓶颈问题将导致下级机构访问上级机构也遭遇同样的带宽瓶颈
10、问题,为使这些下级机构访问上级机构的带宽和访问速度得到保证,需要上级机构的网络支持多运营商线路接入。 访问速度和易用性的问题机构的互联不管采用何种方式,用户的访问速度必须得到保证。另外,社区居委会用户的 IT 水平参差不齐,系统的使用需要简单方便,易用性方面需要着重考虑。根据以上需求,我们深信服科技认为 VPN 技术是一种理想的解决方式。采用 IPSec VPN 可以经济安全的将市级机构到省级机构互联,并且完成区县级机构到市级机构的互联,同时也可以作为已有专线线路的备份线路,在保证线路的高可用性的同时,可以对业务数据进行分流;采用 SSLVPN 作为社区居委会到区县级机构的互联方式,SSLVP
11、N 经济安全的满足了互联的要求,并且凭借 SSLVPN 的易用性,便于各层次人员的使用。凭借深信服科技在 VPN 方面长期的投入和研发,深信服科技的 VPN 解决方案不管是访问速度,安全性,可靠性,权限划分,用户访问行为记录和审计等方面都能满足用户的需求。新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 5二、解决方案 1. VPN 技术在兵团商务局的应用分析VPN 是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠 ISP(Internet Service Provider 服务提供商)和其它NSP(Network Service p
12、rovider 网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。VPN 技术经过多年的发展,截至目前看,业界使用最多的两种 VPN 技术即:IPSec VPN和 SSLVPN。IPSec VPN 是目前 VPN 的主流技术之一,IPSEC 协议最初是为了解决 site to site 的安全问题而制定的,因此 IPSec VPN 在解决网对网互联,比如分支机构和总部机构进行互联的需求时,是最合适的 VPN 技术,但是在出现远程移动用户需要通过 VPN 接入机构内部
13、网络时,IPSec VPN 虽然也能解决该问题,但是其中遇到的一些问题,却不能尽如人意,因此在面临 end to site 应用情况下已经力不从心。首先是客户端配置问题:在每个远程接入的终端都需要安装相应的 IPSec VPN 客户端软件,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了 IPSec VPN 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端软件的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。其次是 IPSec VPN 自身安全问题:往往传统的 I
14、PSec VPN 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的 VPN 厂商已经着手改进这些问题并取得了相应的成绩) 。然后是对网络的支持问题:传统的 IPSec VPN 在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于 IPSec VPN 对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口) ,因此客户端的网络适应性还是不能做到百分之百完美。最后是移动设备支持问题:随着未来通讯技术的发展,移动终端
15、的种类将会越来越多,IPSec VPN 客户端软件需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 6这几乎是不可能的。因此,SSL VPN 技术应运而生。SSL VPN 的突出优势在于 Web 安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSLVPN 在 Web 的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN 公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的 SSL 协议就行;第三个好处是兼容性好,可以
16、适用于任何的终端及操作系统。所有的远程用户只需要打开 IE 浏览器(也可以是 Netscape,Mozilla,Firefox 等浏览器)访问总部机构的 Internet IP 即可成功接入总部机构内部网络。但 SSL VPN 并不能取代 IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN 考虑的是应用软件的安全性,更多应用在移动用户和远程用户的远程安全接入方面,用于解决 end to site 的互联问题;而 IPSec VPN 是在两个局域网之间通过 Internet 建立的安全连接,保护的是网对网之间的通信,用于解决 site to site 的互联问题,并且,IP
17、Sec VPN工作于网络层。IPSec VPN 构建了局域网之间的虚拟专用网络。通过两种 VPN 技术的对比,显然可见 IPSec VPN 适用于远程分支机构和总部机构的网对网的互联情况;SSLVPN 适用于远程移动接入用户访问总部机构的内部网络。那么,如何使用这两种 VPN 技术来解决最低生活保障机构的节点互联问题呢?2. 兵团商务局对 VPN 技术的特殊要求我们知道,为了满足众多的企业级的分支节点能够访问上级机构的应用数据资源,并且企业级的机构一般人员较少,IT 水平参差不齐,并且对该机构发起的对上层机构的访问需要做到严格的授权访问,我需要提供一种技术手段来解决以下几个问题,1, 因为企业
18、级节点数量多,提供的接入方式必须经济。2, 由于接入人员的 IT 水平有限,所提供的接入方式必须简单好用,且不易出现问题。3, 为了实现严格的授权访问,该技术必须做到给合适的用户授予合适的权限。因此,我们建议机构在解决对于总部各师商务局级互联访问上层机构时使用 IPSEC VPN 技术加以解决。首先使用 IPSEC VPN 只需要接入用户能够接入本地 Internet 即可,常用的 ADSL 技术即能满足该需求;SSLVPN 因为不需要在客户端安装任何客户端软件,操作新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 7使用简单,适应多种接入设备,且不易发生问题,正好适合了 IT 水
19、平有限这样一种实际情况;另外 SSLVPN 对接入用户的访问权限可以控制到 URL 地址级别,做到严格授权。由此我们推荐兵团商务局,总部各师商务局时采用深信服的 IPSec VPN 技术进行互联,对从各师商务局到企业机构的互联,采用深信服的 SSLVPN 技术加以解决。这两种 VPN技术都可以使用一台深信服的 IPSec/SSLVPN 二合一设备就可以满足,节省了用户的投资成本,同时为日后的进一步扩展也提供了技术和功能的保证。3. 兵团商务局 VPN 组网具体布署VPN 组网方案:新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 8三、方案优点及给客户带来的价值通过深信服科技使用
20、IPSec/SSL 一体化的 SINFOR SSL M5100(型号)的具体实施给客户带来以下优点:1. 高效的 IPSec VPN传统的 IPSec VPN 因为在对原始 IP 数据包进行加密重封装后,增加了冗余数据,导致传统的 IPSec VPN 在传输数据时的效率只有明文传输效率的 70%-80%,这样就降低了带宽的使用效率。但是在使用深信服科技的 IPSec/SSLVPN 二合一网关设备后,借助于深信服科技独有的数据压缩和封包技术,深信服已经将 IPSec VPN 传输的数据效率提高到 130%以上,比采用明文传输速度还要快,充分利用率带宽资源,尤其是在传输 word 文档,bmp文件
21、时,传输效率甚至能达到明文传输的 5 倍以上,提升带宽利用率,给互联用户更快的网络访问享受。另外传统的 IPSec VPN 面临着对 NAT 环境的兼容性问题,虽然业界已经推出相关技术加以解决,但是实际情况并不如人意,尤其不能适应中国这种公网 IP 地址匮乏,普遍采用 NAT 技术的网络环境,深信服科技凭借在 VPN 领域多年的长期投入和潜心研发,采用了先进的封包技术,保证了深信服科技的 IPSec VPN 数据包能够适应各种 NAT 环境,提升了深信服 IPSecSSLVPN 二合一设备的网络适应性。2. 对 IPSec VPN 的多设备支持深信服科技从 2001 年进入 VPN 领域,凭借
22、对研发的高投入,迅速成为业界 VPN 领域的领导厂商,申请了十余项专利。深信服科技在业界率先推出了 IPSec/SSLVPN 二合一设备,使得用户购买一台设备,即可得到两种 VPN 技术的支持。针对 IPSec VPN,深信服科技亦提供有单独的 IPSec VPN 硬件网关设备,或者软件网关和二合一设备,所有以上这些设备和软件都可以进行 IPSec VPN 互联。给用户多种选择,针对不同的应用环境和需求,使用不同的方案加以解决。深信服的 IPSec VPN 技术同样可以应用于移动用户的接入或者超小型分支机构人员的接入,只需要每个接入用户的客户端安装深信服的 IPSec VPN 客户端软件。新疆
23、建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 93. 小型机构使用 SSLVPN 接入,不需安装、容易部署 针对企业用户,该机构接入人员一般较少,如果使用 IPSec VPN 网对网互联的解决方案,需要该机构购买单独的 IPSec 设备,经济性不佳,且该设备需要专业配置,一旦出现问题,维护管理都不方便。所以,将该小型机构人员作为远程移动用户,采用移动接入方式将简化部署,使用方便。传统的 IPSec VPN 在部署解决移动接入时,往往需要这些小型机构的用户安装相应的IPSec VPN 客户端软件,并需要做复杂的配置。由于 IPSec VPN 客户端软件在部署过程中需要进行配置,这严重
24、影响了整个 VPN 系统在乡镇街道等小型机构互联应用中的使用,对于大量乡镇街道等小型机构的用户来说,如果需要其掌握专业的技术才能应用,必将极大影响整个应用的部署。另一方面如果乡镇街道等小型机构远程接入和移动办公数量增多,系统的维护成本将会成线性增加。而 SINFOR M5X00-S VPN 提供的 SSLVPN 功能,最大的好处之一就是不需要安装客户端软件程序,乡镇街道等小型机构用户可以随时随地从任何浏览器上安全的接入到上级网络,安全地访问应用数据资源,无需安装或设定客户端软件。降低了维护成本。而且由于只使用 443 端口传输数据,避免了在上级机构的防火墙上作过多的部署。使用 SSL 协议和标
25、准的浏览器可以轻易穿越防火墙,而且不管乡镇街道等小型机构的用户采用何种 Internet 接入方式,都可以方便接入 VPN 网络,避免了网络兼容性的麻烦。 因而,SSLVPN 在解决乡镇街道等小型机构接入上级区县级机构的需求上有着突出的优势。 4. 多种认证方式、高安全性 由于兵团商务局保存的数据和每个公民的切身利益密切相关,使得数据传输的安全性必须得到高度的重视。采用深信服的 IPSec VPN 解决方案来完成两级机构网对网互联时,采用美国国防部使用的 128-bit AES 算法,保证数据加密的快速和机密性。在双方的IPSec VPN 通道建立前,除采用传统的预共享用户名密码方式,还提供深
26、信服的专利:硬件鉴权技术,使得只有指定的硬件设备才能和对端进行 IPSec VPN 连接。SINFOR M5X00S 二合一设备中 SSL VPN 采用 SSL 协议加密建立安全的专用加密通道,除了使用 1024 位的非对称密钥加强安全性,还使用 DKEY(一种 USB 的身份认证设备)进行双因素身份认证,并使用 PIN 码保护 DKEY 的安全。SINFOR M5X00S 支持 USB-Key,动态令牌卡,短信认证等多种安全认证方式,设备内置 CA 中心用以完成数字证书方式的认证。可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户新疆建设兵团商务局-VPN 解决方案新
27、疆西线网络有限责任公司 10的合法性。同时,由于在隧道连接过程中,SINFOR SSL VPN 仅仅使用 443 端口传输数据,大大降低了病毒从远程客户端入侵 VPN 网络的可能。 5. 更细致的访问控制功能、完善的用户和资源管理 兵团商务局存储有关系公民的切身利益的数据,所以不仅数据传输的安全性需要得到保障,下级机构对上级机构数据资源访问的权限控制也需要格外关注。深信服科技的IPSec VPN 技术应用到网对网互联时,针对下级机构对上级机构的访问权限控制,可以根据被访问资源的 IP 地址,端口和所提供的服务等进行严格限制,保证只给下级机构分配合适的访问权限。使用 SINFOR M5X00S
28、的 SSLVPN 技术,针对移动用户和社区居委会用户访问上级机构资源的权限控制方面,提供了细致到针对被访问资源的 IP 地址,端口,服务甚至是URL 地址和时间段的不同应用权限划分,以适合各种复杂的组织结构和权限划分需求。基于角色的访问限制为最低生活保障机构提供了更强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。SINFOR M5X00-S 内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入。SINFOR M5X00-S 支持与用户网络中现有的 LDAP,AD,RADIUS 等第三方认证服务器无缝配合使用,可以根据组、公用帐号、私有帐号等多种方式对用户进行
29、管理。同时,SINFOR M5X00-S 集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式,保证了用户合理地使用 VPN 资源。并且,在 SINFOR M5X00-S 直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个 VPN 系统的运行状况。6. 多线路智能选择,解决跨运营商网络互联问题 不同的机构可能使用不同的网络运营商提供的线路接入 Internet,典型的电信线路和网通线路之间互访存在带宽瓶颈问题,导致延迟大,有丢包情况,严重影响了 VPN 应用系统的可用性。而使用 SINFOR M5X00-S VPN 设备将根据机构的接入源地址,
30、引导机构接入相应的线路端口,访问目的资源,体现了自适应智能选路功能。比如地市级机构的 SINFOR VPN二合一设备同时连接了多条电信和网通的线路,下辖机构采用了网通的线路作为此机构连接 Internet 的出口,该下辖机构在访问上级机构时肯定需要使用网通线路接入上级机构网络,数据回包时,同样通过上级机构的网通线路进行回包,如此提高了数据的传输速度。新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 117. 集成的防火墙保护 和其他多数厂商提供的 VPN 解决方案不同,SINFOR M5X00-S 集成了高性能的基于状态检测的企业级防火墙,能够对进出设备的数据进行严格过滤,能有效保
31、护内部服务器免受来自 Internet 的各种攻击,包括对开放端口的 DOS 攻击。8. 支持动态 IP、方便易用 由于宽带的普及,和乡镇街道类分支机构的数量众多,该类机构很多是采用 ADSL 拨号方式来连接 Internet 的,因此该类机构获得的是动态的 IP 地址。SINFOR M5X00-S 集成了深信服科技的专利技术:基于 webagent 的动态 IP 寻址技术,使得 SINFOR M5X00-S 在部署的时候无需固定 IP,完全支持动态 IP。9. 其他应用支持 IPSec VPN 工作在网络层,对上层应用透明,所以对内部网络中部署的各种 IT 应用都具有良好的支持;SSLVPN
32、 技术起初只是为解决基于 B/S 架构应用通过 SSLVPN 技术进行扩展,但是深信服科技凭借强大的技术研发实力,已经做到可以将内部网络中所有基于 TCP/UDP/ICMP 的应用扩展到您的 SSLVPN 网络中,包括 VoIP 和视频等应用。四、方案选型1、设备选型及介绍根据对用户的需求的分析,本方案推荐使用深信服科技的 SINFOR M5X00-S 一体化网关分别布署在 14 个师级单位,它是国内第一款 IPSEC/SSL 一体化设备,隶属于 M5X00产品系列。M5X00-S 系列设备是中高端 VPN 产品中的典范,丰富的功能特性和 优秀的性能使得它荣膺 05 年度计算机世界“年度产品奖
33、”及“编辑推荐选择奖”。正如前面的方案分析中我们所得到的结论,SINFOR M5X00-S 一体化网关在这个项目上是十分合适的,以下是此设备的基本性能参数(根据具体设备更改参照 SSL 性能参数Excel 表):SINFOR M5100-S 设备参数:分类 功能 详细指标IPSec VPN性能参数IPSec VPN 加密速度(AES 128bits) 98 Mbps新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 12IPSec VPN 隧道数 2300 条IPSec VPN 转发时延 0.3-0.5 ms并发 IPSec 客户端数 2300SSL VPN 加密速度(RC4 128
34、bits) 130 MbpsSSL VPN 并发会话数 6000SSL VPN 转发时延 0.3-0.5 ms并发 SSL 用户数 400SSL VPN性能参数每秒新建会话数 400防火墙吞吐量(双向 256 bits 包) 300 Mbps最大并发会话数目 500,000最大防火墙规则数目 65535最大 URL 匹配数目 1024最大时间规则数目 1024防火墙性能参数最大 QOS 规则数目 1024局域网接口 100BASE-T (RJ-45) * 2广域网接口 100BASE-T (RJ-45) * 2可扩展接口 无网络接口串口 RS232 * 1电源 180-240V冗余电源 无使用
35、环境温度 -10 50 使用环境湿度 590%, 非冷凝尺寸(cm) 42.7(W)32.9(D)4.45(H) 电气特性重量 4.5Kg 功能特性:集成 IPSec 和 SSL 两套 VPN 系统 SINFOR M5100-S 系列产品集成了 IPSec VPN、SSL VPN、和防火墙功能,为企业提供了最佳的网络互连解决方案。 特性 优势IPSec VPN功能采用 Webagent 动态 IP 寻址技术支持动态 IP 组网; 多线路复用技术实现 VPN 的带宽叠加和线路备份功能; 基于硬件的 HARD CA 身份认证、USB Key 的 VPN 客户端、以及 VPN 内细致的权限控制,保证
36、只有指定的用户,使用指定的计算机才可以接入 VPN 访问指定的资源; NAT 穿透功能使得用户在部署 IPSec VPN 时无需更改网络结构; QOS 流量控制,保证 VPN 内重要业务数据优先传送;SSL VPN 功能支持域名、Webagent、固定 IP 等寻址方式; 支持网络层以上的所有B/S 和 C/S 应用; 提供基于角色的管理,可根据用户、用户组提供细致的访问权限控制,为不同的接入用户分配不同的权限; 支持客户端安全检查功能,可定制客户端登陆界面; 独特的短信认证、USB Key 认证等功能,保证 SSL VPN 安全接入;防火墙功能 企业级的包过滤状态检测防火墙; 防 DOS 功
37、能不仅有效防止外部的 DOS新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 13攻击,而且对于内部发起的攻击也可以有效防范;高安全性SINFOR M5100-S 系列产品提供了多种安全机制,有效保证了用户接入、数据传输和访问的安全性。 特性 优势隧道加密IPSec VPN 采用 AES 128bits 加密算法保证数据安装传输,可扩展第三方加密;SSL VPN 使用标准浏览器内置的安全套接层(SSL 协议)保证数据安全;加密算法支持主流的商业加密算法,包括:AES、DES、3DES、MD5、SHA、DH、RSA 等,并可支持加载扩展其他安全算法模块;捆绑认证平台 一次性口令短信认
38、证、动态令牌认证,内置 CA 中心;支持多种认证机制支持 Local DB,LDAP/AD,Radius 等第三方认证; 基于硬件的 HARD CA 身份认证、USB Key 双因素认证等安全认证更有效地实现 VPN 用户的安全接入; 支持第三方 CA 认证和 PKI 体系;客户端安全客户端安全检测,检查远程用户登录设备完整性; 注销后自动清除所有缓存和临时文件,实现“零痕迹”访问; 不活动检测引擎,超时退出,防止信息遗留;提供 VPN 专线功能,接入 VPN 后断开与 Internet 的连接;防火墙功能支持包过滤、URL 过滤、访问监控、上网控制、用户认证、流量控制、Qos、DHCP 服务
39、等; 独有的防火墙规则虚拟在线测试技术可避免人为设置错误产生安全隐患; 防 DOS 攻击功能不仅能够防止来自外部的 DOS 攻击(如 SYN Flood 攻击),对于内部发起的 DOS 攻击也可进行有效防御;访问资源权限控制SINFOR M5100-S 系列产品内置了多种对象管理方式,为用户接入提供了细粒度的权限控制,并可自定义多种策略。 特性 优势多种对象管理支持用户、组等管理方式,对 URL、服务、IP 等各项资源进行高细粒度的接入控制和管理;细致的权限控制基于角色的管理、细致的访问权限划分,有效控制 VPN 接入用户访问权限;统一授权 权限设定和域服务器/LDAP 服务器保持同步高速特性
40、SINFOR M5100-S 系列产品集成了多路复用技术、多线路智能选路功能以及高效的压缩算法和性能加速卡,为 VPN 接入提供了更快的应用体验。 新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 14特性 优势多线路复用技术可支持多达 2 条 Internet 线路的带宽叠加和备份,实现上网线路的互为备份和负载均衡,增加 VPN 网络稳定性;线路智能选路 自动选择最优线路,解决不同运营商网络之间访问 VPN 资源时存在的延迟和速度问题;基于硬件的SSL 加速 可选高速的 SSL VPN 硬件加速卡,提高 SSL VPN 吞吐性能内置 LZO 压缩算法 提高 VPN 传输速度,实现
41、更快的应用性能;高可用性SINFOR M5100-S 系列产品为用户提供了访问丰富应用资源的基础平台。基于 Web 的单点登陆,有效提高用户工作效率。 特性 优势支持所有应用 无论 IPSec VPN 还是 SSL VPN,均可实现所有基于IP(TCP、UDP、ICMP)协议之上的各种 C/S、B/S 应用;基于 Web 的单点登陆减少用户在使用基于 Web 或其他应用时,重复输入账号或口令等工作;手持终端接入 支持 Pocket PC、PDA、SmartPhone、Palm、智能手机等移动设备的接入;多种工作方式 支持网关模式、单臂模式可扩展性SINFOR M5100-S 系列产品提供了灵活
42、的授权策略和扩展特性,并可通过升级获得新的功能特性。 特性 优势灵活的授权策略 通过升级序列号可获得更多的接入授权;通过升级 OS 获得新特性支持本地和远程升级 Sinfor OS 和 Sinfor SSL VPN 模块,获得新特性支持升级至 SC 集中管理平台可升级至 SINFOR SC 版本实现集中管理和实时监控,并实现策略的自动更新、离线配置和智能升级;通过升级至 UTM版本,实现更多安全功能可升级至 SINFOR UTM 多功能网关平台,集成更多的安全功能如:网关杀毒、IPS、上网行为管理、反垃圾邮件和上网行为管理等;支持所有 SINFOR 产品互连 所有 SINFOR VPN 产品都
43、可互连互通,按需构建整体 VPN 网络;高稳定性SINFOR M5100-S 系列产品独创的多线路技术,为用户提供了稳定线路备份新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 15和冗余。同时,双机双系统备份、隧道自愈等功能,为用户提供了一个稳定高效的 VPN 基础平台。 特性 优势多线路备份和负载均衡 支持多达 2 条 Internet 线路的线路备份和负载均衡;多种工作方式 支持路由模式、透明模式,部署灵活隧道自愈 一旦线路恢复,隧道将自行愈合,无需人工干预;双机热备 支持双机热备,自动同步配置信息,一旦出现故障,设备将自动切换,保证 VPN 正常运行;平均无故障时间 400
44、00 小时简化的可管理性SINFOR M5100-S 系列产品提供了人性化的管理界面、丰富的日志中心以及集中管理功能,用户仅仅通过简单的几步即可完成 VPN 部署和管理。 特性 优势Web 管理界面支持 SSL 加密的 WEB 图形化界面进行设备配置和管理,支持中文/英文界面,可采用配置向导进行快速配置、CLI 高级配置和远程管理,提供人性化的配置向导,可在三十分钟内部署完毕;可定制的客户端登陆界面 为不同角色的用户提供个性化的登陆界面,从而改进用户体验;SNMP 通过以标准方式集成第三方管理系统,实现更强大的监控功能;备份功能 支持本地和远程备份及恢复,日志以文件方式备份集中管理 可升级至
45、SINFOR SC 版本可实现统一的日志统计和报表功能;丰富的日志中心提供细粒度的审计和日志功能,记录所有成功或不成功的访问内容请求,用户访问的时间、访问地址、所访问的资源、会话持续时间等信息,提供详细的系统信息,支持独立的第三方日志服务器;降低总体拥有成本除了拥有更高的安全优势、更快的应用以及更好管理的 VPN 特性外,SINFOR M5100-S 还提供多种特性降低企业的总体拥有成本。 特性 优势集成多种安全功能单台设备同时提供 IPSec 和 SSL VPN 功能,并集成企业级防火墙,性价比高;所有标准浏览器均支持的SSL VPNSSL VPN 降低部署和维护客户端成本自由分配 VPN
46、用户可自主分配 IPSec 和 SSL VPN 的客户端授权数新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 16授权数新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 172.1 部署 SINFOR VPN 设备机构部署 SINFOR VPN 网关设备,部署位置可与现有防火墙并行:采用这种接法时,SINFOR VPN 设备的 WAN 口从路由器获得公网 IP,LAN 口接内网交换机,此时 SINFOR VPN 设备作为独立网关,其自带防火墙将充分发挥防御作用,与现有防火墙一起保护内网安全。SINFOR VPN 设备也支持单臂接法,WAN 口空出不接,仅将 LAN 口
47、接入内网交换机。如下图:采用这种接法时,需要在现有防火墙上开放至 VPN 设备 LAN 口 IP 的 80 端口(可选) 、443 端口和 IPSec VPN 用到的 TCP/UDP 500 端口,4009 端口和协议号为 50 和 51 的防火墙新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 18策略。由于 WAN 口没有接,此时 SINFOR VPN 设备的自带防火墙将不发挥作用。2.2 移动接入用户应用由于 SSL 协议的特殊性,接入用户的客户端事先并不需要安装任何程序,只要在 IE浏览器(或 Netscape,Mozilla,Firefox 等浏览器)中输入 SINFOR
48、 VPN 设备对应的公网IP 地址(在动态 IP 环境下访问 WebAgent 或动态域名)。初次登录时系统会提示您安装ProxyIE 控件,此后每次登录,只需进行相应的身份认证即可。对于采用 USB KEY 作严格身份认证的用户,登录全过程如下: 确保本机接入 Internet 将 DKEY 插入电脑中的 USB 口,在 IE 浏览器中输入 SINFOR VPN 设备对应的链接地址 在出现的如下对话框中输入 PIN 码 接入成功,开始访问资源其它未使用 DKEY 的用户可以使用简单的用户名/ 密码登录,也可以在 IE 中导入机构分配给自己的软证书进行登录。登录成功后的统一界面如下:新疆建设兵
49、团商务局-VPN 解决方案新疆西线网络有限责任公司 19因为深信服的移动授权是按照单个计费,所以用户可以根据自己的需要采购,可以按照接入用户的需求数量向深信服采购准确的移动客户端,避免了资金投入的浪费,也节省了管理成本。机构也可以通过把移动客户端租赁给下级分支机构达到收回成本的目的(租赁带 KEY的和直接租赁授权两种)新疆建设兵团商务局-VPN 解决方案新疆西线网络有限责任公司 20五、实施与售后服务新疆西线将在提供产品的同时向提供从安装实施到售后技术支持的一系列服务,具体内容包括:1. 安装和实施 西线网络与深信服商定实施工期、制定实施计划和验收标准。 组织实施人员进行 VPN 设备的安装、调试、调优工作,建立合理的项目建设机制,保证工程的安装服务质量。 实施结束后,如果日 XX 机构验收不合格,则由西线网络负责找出原因并改进,直至验收合格。 验收完毕后提供完整的技术文档,内容包括:系统的信息记录、操作维护、调试的方法以及常见故障处理等等。2. 技术服务支持 一年免费电话支持服务:免费技术支持热线:800-830-6430深信服公司提供以上技术支持热线的 724 小时技术支持服务西线网络公司提供 7*24 小时技术服务,服务电话:099
