1
产品概述
6.1 产品定义
天融信IPSecVPN网关符合国家密码管理局最新制定的《IPSECVPN技术规范》,是为用户基于因特网构建安全的虚拟专用网络而设计的系列产品形态。通过IPSecVPN产品可以实现企业总部与各个分支机构、合作伙伴、移动办公人员之间的远程接入等多种网络互联需求,同时对这些远程网络中传输的数据提供私密性、完整性等安全防护手段。
6.2 产品简述
在信息化高度发展,电子商务、电子政务开始被企业和政府等行业普遍应用的今天,不同的分支机构之间、不同的信息系统之间有着非常迫切的网络互联需求,如我们常见的ERP、CRM、OA、VOIP和网络视频等应用。对于企业来说,很多都具有多个分支机构,并且随着企业规模的不断扩大和业务的不断扩充,企业跨地区、跨国发展成为一种必然的趋势。同时企业移动办公人员的数量也在逐渐增多,企业之间的联系也日趋频繁、密切。政府及事业单位一直是中国信息化的先行者,一些政府的网络基础建设已经比较完善。随着“电子政务”的进一步深入,政府与各分支机构、合作单位网络的互连互通和信息交互就变得非常必要。而且政府部门的相关局、处、办、所往往遍布于城市的各区县,也经常需要与所管辖的事业单位交互信息。同时,政府人员的外出移动办公需求也日益迫切。
所有这些应用,无论是企业信息化应用,还是电子政务应用,都离不开一个基本前提:要首先建立一个安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络,传统的做法是采用电信运营商提供的专线,例如DDN、帧中继、MPLS等,或者早期很多用户采用的电话拨号方式。一些特殊的行业,如金融、电力、铁路、政府等,他们对网络的可靠性、安全性有非常高的要求,通常都是采用专线的方式来连接分支机构和不同地域的
局域网络。但是对于大部分企业和很多政府机构来讲,无论在建设成本上还是后期维护上,要建立一个物理专网都是比较困难的。而利用电话拨号的方式,由于网速慢、费用高,安全性、稳定性差等原因,现在已经基本被淘汰。
随着Internet的迅速发展及VPN技术的出现,为企业、政府信息化应用提供了发展良机和更好的选择。VPN(VirtualPrivateNetwork,虚拟专用网)是利用公共网络资源来构建的虚拟专用网络,它是通过特殊设计的硬件或软件直接在共享网络中通过隧道、加密、认证等技术来实现远程网络的互连互通和确保信息远程传输的安全。通过VPN能提供与专用网络一样的安全性和功能保障,使得整个企业网络在逻辑上成为一个专用的透明内部网络,具有安全性、可靠性和可管理性。
近几年,随着国内网络基础设施的不断完善和宽带互联网的快速发展,尤其是ADSL的发展,使得互联网迅速普及到国内的各个角落,VPN技术和应用也获得了空前的发展。今天,VPN虚拟专用网已经具备了与专线相近的稳定性和安全性。事实上,利用VPN技术来组建自己的“专用网络”,已经成为今天大多数政府、企事业单位的首选组网解决方案。在各种VPN技术中,基于IPSec的VPN技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势,在全球范围得到广泛应用,已成为实现企业网络跨地域安全互联的主要技术手段。
天融信IPSecVPN网关就是在这样的应用背景下,基于天融信公司自主知识产权的安全操作系统平台TOS进行开发的VPN产品。IPSecVPN既可以作为独立的VPN网关产品形态提供给用户,也可以作为一个TOS安全引擎(SE),与TOS上的其他安全引擎(如防火墙SE、IDSSE等)协同工作,为用户提供综合的集成化的安全网关产品。
7 产品特点
1) 全面支持IPSec协议标准
IPSec作为一个全球性的安全标准,要求所有IPSec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。天融信IPSecVPN产品经过严格的互通性测试,与Cisco、Juniper、MicroSoft等著名厂家的VPN产品可以实现互通。产品遵循RFC1828、RFC1829、RFC1851、RFC1852、RFC2085、RFC2401-2412等一系列协议标准。
? 支持标准ESP、AH加密认证协议; ? 支持隧道模式、传输模式的协议封装格式; ? 支持IKEv1、IKEv2;
? 支持主模式、野蛮模式、快速模式多种协商模式; ? 支持证书认证和预共享密钥认识方式; ? 支持DES、3DES、AES等多种对称密钥算法; ? 支持MD5、SHA1等多种完整性验证算法; ? 支持RSA、DH等多种非对称密钥算法; ? 支持扩展认证和模式配置。
2) CleanVPN
天融信VPN产品是集VPN功能、防火墙功能、路由功能、入侵检测功能等于一身的网络安全产品,隧道策略、防火墙策略和防病毒策略可以组合使用。CleanVPN病毒扫描可以对所有的VPN数据流进行扫描,从而阻止病毒和蠕虫通过VPN隧道传播,在总部、分支、远程用户和合作伙伴之间建立干净的VPN网络。
3) 支持全动态IP地址间建立VPN隧道
目前国内常用的因特网接入方案,包括电话拨号、ADSL宽带接入等,都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为VPN网络