产品彩页_天融信网络卫士VPN系统TopVPN(VONE系列).doc

1、 北京天融信公司天融信网络卫士 VPN 系统 TOPVPNVONE(IPSEC/SSL VPN 多合一网关)系列产品概述作为国内最早从事信息安全产品研发生产的专业安全厂商，天融信自 2000年开始向国内市场提供 VPN产品，历经十余年的技术积累与市场考验，目前网络卫士 VPN系统包括IPSEC VPN、VONE(IPSEC/SSL VPN多合一网关)两大系列，向用户提供成熟、完善的高性能VPN接入方案；拥有包括政府、金融、能源、物流、连锁服务等行业在内的两万余名用户。国家部委全球项目的实施、NPD 产品开发流程及 ISO9001质量体系的成功实践，验证着天融信 VPN产品凭借卓越的品质与技术进

2、入了国际领先行列。自主知识产权的 TOS（Topsec Operating System）系统平台，采用开放性系统架构及模块化设计，融合了数据加密、身份认证、访问控制等安全手段，使网络卫士 VPN产品具有安全、高效、易于管理和扩展等特点。从 2002年国内最早提出支持双边 NAT穿越、第一个实现全动态组网；到 2007年国内首发千兆线速 VPN、首创全面支持分级可信接入 VPN产品，2008 年又在权威机构横向测评中,性能指标远远超越对手。长期以来，天融信 VPN研发团队一直是 VPN技术趋势的领航者。在 TNA2.0技术体系理论的指导下，天融信将致力于为远程分支、移动办公等客户应用提供更加安

3、全、便捷的接入服务。产品特点 Product Feature VONE（多合一 VPN）天融信 VONE系列产品集成 SSL VPN ，IPSEC VPN，PPTP VPN，L2TP VPN于一体，并可同时应用多种 VPN接入模式。 自主安全操作系统平台天融信 VONE系列产品采用自主知识产权的安全操作系统 TOS（Topsec Operating System） ，TOS 拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性

4、的特点。 强大的防火墙功能天融信 VONE系列产品集成了天融信强大的防火墙产品功能，为用户的 VPN网络提供高等级的边界安全防护。网络卫士防火墙产品所具有的防火墙功能在 VPN产品中都具有，具体功能请参见网络卫士系列防火墙的产品说明。 安全接入与安全防护无缝结合天融信 VONE系列产品具有强大的安全防护功能，除了上述的防火墙功能外，还支持完善的基于内容检测的网络访问控制、MAC 地址的过滤控制、各种网络应用控制、地址转换、入侵保护等安全功能。 多种 SSLVPN 技术结合实现应用系统全覆盖北京天融信公司天融信 VONE系列产品支持 WEB转发、端口转发、全网接入三种 SSL VPN接入技术，用

5、户可以根据自身应用系统的特点选择使用一种或多种接入方式。 智能应用封装天融信 VONE系列产品智能应用封装技术使远端工作或漫游工作等远程客户能够对企业网络进行 IP接入，能够在应用层提供与应用无关的智能封装，解决了 WEB应用以外的透明接入。 简便易用天融信 VONE系列产品支持各种接入模式，不改变现有网络配置及后方服务器，部署简便。系统简单易用，无需太多配置。可满足各种业务系统的应用需求。 支持广泛应用天融信 VONE系列产品不仅支持通常的 B/S应用，也支持 C/S应用，是一个适合各种应用的安全接入平台。 卓越的网络及应用环境适应能力天融信 VONE系列产品支持众多网络通信协议和应用协议，

6、如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等，适用网络的范围非常广泛，充分保证了用户的网络的可用性。同时，针对国内用户动态 IP地址较多的现状，同时产品整合了天融信公司独立维护的 EZVPN动态域名系统，为天融信的 VPN用户提供专用的动态地址域名解析服务，从而很好地解决了动态地址的 VPN接入问题。 资源访问控制灵活天融信 VONE系列产品不仅支持基于用户、组和角色的访问策略，还支持基于 URL/目录/文件等访问内容的控制策略，支持用户行为动作的访问控制策略，支持基于访问时间的控制

7、策略，给用户提供方便的访问控制管理；合理地保护公司内部信息，提高信息的交流效率。 完善的 PKI/CA 支持内置一个 CA中心，既能够通过内置的 CA模块独立为移动用户签发数字证书，又能够通过导入 CA根证书CRL 列表方式对第三方 CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方 CA提交在线证书认真请求。天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要 CA厂商有着长期的合作，网络卫士 VPN多合一网关与这些厂商的 CA系统均能够无缝集成。 完善的身份认证技术确保内部资源安全天融信 VONE系列产品为通过 SSL隧道接入的用户提供了完整的身份认证手段。除

8、了支持 “用户名口令” 、 “用户名口令图形认证码” 、 “数字证书” 、 “数字证书UKEY口令”等多种身份认证机制外，还支持通过 RADIUS/TARCAS/LDAP等标准协议与外部专用的用户身份认证管理系统进行互动，从而能够实现动态口令认证、域认证等高级的认证方式。 链路叠加及智能选路天融信 VONE系列产品可以提供多条链路接入，实现带宽叠加，同时为接入客户端提供智能选路功能，自动选择最优线路进行通信，其它线路做为备份。 分级可信接入体系天融信 VONE系列对客户端的接入实行可信接入检查，对于检查结果进行分级，不同的级别可以授予不同的权限，对不满足安全要求的主机，可以根据其缺陷程度分别实

9、行隔离、修复和有限访问。 移动用户两网分离天融信 VONE系列可以控制 VPN客户端接入 VPN网络时，实行 VPN网络与因特网隔离，北京天融信公司不允许移动用户在使用 VPN网络时访问因特网，以保证 VPN网络的安全。 支持虚拟门户功能天融信 VONE系列提供了虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。 与企业门户无缝融合天融信 VONE系列产品可以与用户的企业门户无缝融合，只需要简单替换一下企业门户中的登录 URL即可实现。 支持多种单点登录方式支持

10、 HTTP401方式、密码助手、WEB 方式的单点登录，用户只需要进行一次认证即可访问所有业务资源。 端口转发支持 UDP协议端口转发模块除了支持 TCP协议外，还支持 UDP协议，大大扩展了业务适应性。 丰富多样的授权策略支持整体授权、条件授权、属性授权。支持基于证书的属性字段的授权，支持基于外部属性（LDAP 或 Radius下发的属性值）的授权，支持多条授权策略的组合。 支持安卓、Mobile 和苹果 IOS系统支持安卓系统的智能终端使用全网接入模式和 web转发模式访问 VONE。支持苹果 IOS系统的智能终端使用 VRC模式和 web转发模式访问 VONE。支持 Windows Mo

11、bile系统的智能终端使用全网接入模式和 web转发模式访问 VONE。 支持多种 PC平台系统支持 Windows 2000、XP、2003、2008、Vista、Win7、Win8 系统的 PC机访问 VONE。支持 Linux系统的 PC机访问 VONE。 管理员分级管理和三元分立支持多达 16级的管理员分级管理，便于大型组织客户将管理权限下放，并可以根据需要授予不同权限。支持管理员的三元分立，不同的管理员具有不同的权限。 支持 WEB认证和指纹认证支持基于 web协议的认证方式，可以和业务资源的帐号系统使用一套，避免了在 VONE上再次建立帐号，能够统一管理帐号，增强了易用性。支持指纹

12、认证，可以基于指纹信息进行认证。 智能递推只需要配置一个门户 url，采用智能递推技术，即可自动将该门户 url包含的子连接加入可以访问的资源列表，便于管理员管理使用。 智能压缩天融信 VONE 产品支持智能压缩功能，能够智能的根据当前数据的压缩比决定是否压缩，大大提高了应用的访问速度。 集群功能支持集群功能，能够多台 VONE网关组成一个集群，大大提高了整体的性能，能够满足大并发用户的需求。 符合国密局SSL VPN 技术规范和IPSEC VPN 技术规范天融信 VONE系列产品是严格按照国家密码管理局制定的SSL VPN技术规范进行开发的，并通过了国家密码管理局商用密码检测中心的检测。天融

13、信 IPSEC VPN产品是严格北京天融信公司按照国家密码管理局制定的IPSEC VPN技术规范进行开发的，并通过了国家密码管理局商用密码检测中心的检测。天融信 VPN产品支持国家密码管理局规定的商用密码算法SM1(SCB2)/SM3。产品功能 Product Functions类别 功能 详细描述工作模式 工作模式 支持透明、路由、混合模式路由 支持静态路由、动态路由 支持基于源/目的地址、接口、Metric 的策略路由 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能 支持 Vlan 路由，能够在不同的 VLAN 虚接口间实现路由功能 支持 RIP、OSPF 等路由协议组播 支持

14、IGMP 组播协议 支持 IGMP SNOOPING 可有效地实现视频会议等多媒体应用VLAN 可与交换机的 Trunk 接口对接，并且能够实现 Vlan 间通过安全设备传播路由 支持 802.1Q，能进行封装和解封 支持 ISL，能进行 ISL 的封装和解封 在同一个 Vlan 内能进行二层交换生成树 支持 802.1D 生成树协议ARP 支持 ARP 代理、 ARP 学习 可设置静态 ARPDHCP 支持 DHCP Client、DHCP Server接入 支持 ADSL 等宽带接入 支持 PPPOE 拨号接入网络适应性其它 支持网络时钟协议 SNTP，可以自动根据 NTP 服务器的时钟调

15、整本机时间 支持 IPX、NetBEUI 等非 IP 协议证书格式 支持 X.509 V3 数字证书，支持 DER/PEM/PKCS12 多种证书编码本地 CA 支持内置 CA，为其他设备或移动用户签发证书 支持本地 CA 根证书、根私钥的更新 支持证书废弃，支持生成标准 CRL 列表 支持证书请求的生成，由第三方 CA 进行签名PKI第三方CA 支持同时导入多个第三方 CA 的根证书和 CRL 列表，对不同 CA 证书用户进行身份认证，支持通告 HTTP 协议定时下载 CRL 列表 支持通过 OCSP/LDAP 等协议在线认证证书安全算法 支持 AES、DES、3DES、RC4、MD5 、S

16、HA1、RSA 等多种算法选择 支持国家商密专用的 SM1(SCB2)/SM3 算法SSL VPN协议类型 支持 SSL 2.0/3.0 TLS 1.0北京天融信公司类别 功能 详细描述数据压缩 支持高效流压缩算法 支持智能压缩用户认证 支持“用户名口令”、“用户名口令图形认证码”认证 支持 X.509 数字证书认证 支持数字证书（USBKEY）+口令多因子认证 支持公共帐户登陆，支持临时禁止帐户登录 支持本地数据库认证 支持基于 LDAP/RADIUS/TACAS 等协议的外部服务器认证 支持短信认证、图形码校验、硬件特征码校验用户授权 支持角色授权、支持独立用户授权 支持基于 URL、访问

17、路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权 支持基于证书中的字段属性组合授权应用支持 支持 HTML、JAP、ASP、JAVA APPLET、ACTIVE 、Cookies 等各种Web 应用 支持基于 IP 协议的各种 C/S 应用，如 EMAIL,FTP,ERP,CRM,DB 等 支持 Windows/CIFS 远程文件共享 支持 FTP 的 WEB 化访问 支持 UDP 协议的端口转发 支持资源自动打开 支持资源连接隐藏 支持资源和特定应用程序关联实时监控 实时监控在线用户的登录时间、在线时间、访问流量，认证方式等

18、多种信息 支持主动中断在线用户的隧道连接日志审计 详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息 支持多级审计日志，可以灵活配置审计级别 支持日志本地保存，支持将日志上传到外部日志服务器 支持天融信专用的 TA-L 日志服务器，可以对日志内容进行深度分析和统计端点安全 支持接入客户端痕迹清除，能够清楚 cookie、缓存、历史记录等各种访问痕迹 支持拔 KEY 隧道自动中断 支持用户超时自动退出，超时时间可以设置集群 支持集群功能虚拟门户 支持虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些

19、功能模块、定制不同的认证方式、定制不同的公告信息等北京天融信公司类别 功能 详细描述与企业门户无缝融合 SSL VPN 可以与企业门户无缝融合，即用户可以通过企业门户登录SSL VPN，并且 SSL VPN 能够自动跳转 Portal 页面到企业的某个网站Portal 页面隐藏 在用户登录 SSL VPN 后不需要驻留 Portal 页面，可以隐藏，并在右下角缩成一个小图标，点击小图标还能恢复 Portal 页面客户端 支持 Windows Mobile PDA 客户端 支持安卓系统的智能终端 支持 Linux 系统的 PC 机 支持 Windows 2000、XP、2003、2008、Vis

20、ta、Win7、Win8 系统的PC 机 支持独立客户端 支持用户设定代理服务器信息端口转发 支持 TCP 协议 支持 UDP 协议 支持智能递推单点登陆 支持 HTTP401 认证单点登录 支持用户修改单点登陆的账户信息 支持 WEB 方式的单点登录 支持密码助手方式的单点登录可信接入 可信接入 支持检查接入主机的信息：安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 支持可信接入分级授权 支持检查策略：接入前检查、接入后检查、定时检查等国际化 语言支持 支持中、英文界面 支持中、英文自动切换 支持中、英文手动切换DDNS DDNS 支持 DDNS 动态域名注册 支持使用域

21、名进行隧道定义及协商 支持使用域名向 TP 进行集中认证协议 支持 ESP/AH/IKE/NATT 等标准 IPSEC 协议，支持隧道模式、传输模式算法 支持 DES/3DES/AES 等标准加密算法，支持 MD5/SHA1 等标准HASH 算法 支持 DH GROUP1/2/5，RSA 1024/2048 非对称算法 支持国家商密专用的 SSP02/SSF33/SM1(SCB2)/SM3 算法硬件加速 支持高速算法加速卡数据压缩 支持高效数据流压缩算法IPSEC VPN隧道认证 支持预共享密钥、数字证书认证，支持扩展认证北京天融信公司类别 功能 详细描述网络适应性 支持网状、树型、星型等多种

22、 VPN 网络拓扑 支持隧道的 NAT 穿越、双向 NAT 隧道建立 支持全动态 IP 地址间的 VPN 组网 支持隧道转发 支持多机多隧道的负载均衡和冗余备份方案 支持隧道内的访问控制L2TP VPN L2TP 支持远程用户通过 L2TP 接入，建立 L2TP 隧道访问内部网络PPTP VPN PPTP 支持远程用户通过 PPTP 接入，建立 PPTP 隧道访问内部网络内容过滤 支持 URL 过滤包过滤 基于状态检测的动态包过滤 基于源/目的 IP 地址、MAC 地址、端口和协议、时间、用户的访问控制 支持基于用户的 PPTP 的访问控制 支持报文合法性检查 动态端口支持协议：H.323、S

23、IP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 可实现 IP/MAC 绑定防火墙NAT 支持双向 NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能技术标准 SSLVPN 符合国密局制定的SSL VPN 技术规范用户认证 支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID ）以及数字证书（CA）等常用的安全认证方式 支持使用第三方认证，如 RADIUS、TACACS/TACACS+ 、LDAP、域认证等安全认证方式 支持 Session 认证、 HTTP 会话认证 支持 WEB 认证和指纹认

24、证 支持认证保活功能 可将认证用户信息加密存放在本地数据库。安全管理分级管理 可为用户管理员分配不同的权限，管理不同的用户信息 用户管理员没有系统配置的权限，保证了系统的安全性 不同的用户管理员之间不交叉 支持多大 16 级的分级管理 支持管理员的三元分立北京天融信公司类别 功能 详细描述日志 支持 Welf、Syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 支持安全审计系统（TA-L ），获得更详尽的日志分析和审计功能 TA-L 除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析 可对日志

25、进行加密传输监控 支持网络接口、CPU 利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测 可根据配置文件进行错误恢复报警 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式QoS流量整形 QOS 带宽管理 根据 IP、协议、网络接口、时间定义带宽分配策略。 支持最小保证带宽和最大限制带宽 支持分层的带宽管理带宽管理优先级 支持 8 级优先级控制双机热备 支持双机热备（Active-Active ，与 Active-Standby 两种

26、模式） 支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复正常情况时抢回主设备状态 支持 VPN 网关的双机热备功能高可用性其它功能 支持链路备份功能 支持双系统引导 支持 Watchdog 功能配置方式 支持 WEB 图形配置、命令行配置 支持本地配置、远程配置 支持基于 SSH、SSL 的安全配置命令行 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能SNMP 支持 SNMP 的 v1 、v2 、v2c 、v3 版本 与当前通用的网络管理平台兼容，如 HP Openview 等系统升级 支持双系统升级 支持远程维护和系统升级

27、 支持 TFTP 升级报文调试 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题 支持发送虚拟报文配置管理配置恢复 可以进行配置文件的备份、下载、删除、恢复和上载北京天融信公司类别 功能 详细描述时钟调整 支持网络时钟协议 NTP，可自动根据 NTP 服务器时钟调整本机时间产品规格 Product Specification产品型号 PN 说明TopVPN 6000 TV-6830-VONETopVPN 6000 TV-6730-VONETopVPN 6000 TV-6630-VONE2U 机架式结构；最大配置为 26 个接口， 默认包括 3 个扩展槽位和 2 个 1

28、0/100/1000BASE-T 接口（作为 HA 口和管理口）；支持双电源（默认配置为 1 个）TopVPN 6000 TV-6530-VONE 1U 机架式结构；最大配置为 26 个接口， 默认包括 3 个扩展槽位和 2 个 10/100/1000BASE-T 接口（作为 HA 口和管理口）；TopVPN 6000 TV-6614-VONE 2U 机型，最大配置为 12 个接口, 默认包括 4 个10/100/1000BASE-T 端口，1 个扩展槽TopVPN 6000 TV-6514-VONE 1U 机型，最大配置为 12 个接口, 默认包括 4 个10/100/1000BASE-T

29、端口，1 个扩展槽TopVPN 6000 TV-6414-VONE 1U 机型，最大配置为 12 个接口, 默认包括 4 个10/100/1000BASE-T 端口，1 个扩展槽TopVPN 6000 TV-6314-VONE 1U 机架式结构；最大配置为 12 个端口， 默认包括 4 个10/100/1000BASE-T 口，1 个扩展插槽TopVPN 6000 TV-630A-VONE 1U 机架式结构； 默认包括 10 个 10/100/1000BASE-T 口典型应用 Typical ApplicationXX 邮政的多种 VPN 技术综合应用XX省邮政系统以前各支局独立建立了办公网，

30、现在整个邮政系统要上一套办公系统，要求整个各分支形成统一的虚拟专用网同时一些领导要能够移动办公。天融信公司分析了用户的需求，在省局安装了天融信 VONE系列网关，在分局安装了IPSEC网关，这样整个邮政系统组成了一个完整的虚拟专用网，分局通过 IPSEC VPN访问省局的 OA服务器，领导通过 SSL VPN进行网上办公，同时以前有些系统中原有的 L2TP用户则平滑地移到了天融信 VONE系列网关的 L2TP上。方案如下图所示。北京天融信公司产品资质 Product Certification 公安部颁发的计算机信息系统安全专用产品销售许可证 中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书 国家密码管理局颁发的商用密码产品型号证书 国家密码管理局颁发的商用密码销售许可证 国家密码管理局颁发的商用密码定点销售单位证书 国家版权局颁发的软件著作权登记证书 北京市科学技术委员会等颁发的北京市自主创新产品证书VONE 网关