天清汉马vpn安全网关系统v3.0是启明星辰新一代vpn安全网关产品,是集vpdn、ipsec、ssl vpn于一身,兼具用户认证、访问控制、nat、saml众多功能的综合性vpn安全网关,具有稳定强、易用强、网络环境适应性强,性能高的特点;可为各种规模的企业、政府机构、军队、团体提供网络数据加解密服务,最大限度的保护用户网络传输的数据安全。
启明星辰天清汉马vpn产品支持多种新技术,包括异步高并发流水线技术,服务端配置推送技术,在线用户高速缓存技术,历史记录统计技术等,而且具有定制方便,安全易用的特点,目前已在税务、公安、政府、能源、交通、电信、金融、制造等行业中部署,并受到用户一致好评。
1.客户端二合一,服务端推送配置
将ipsecvpn和sslvpn客户端二合一,配置全部在服务端实现,用户不必再做复杂的安装,只需登入web输入用户名密码,客户端的安装和启动自动进行。配置由服务端推送,免除了客户冗长繁琐的配置。
2.全面支持移动设备接入
近年随着移动设备办公的迅猛发展,移动设备的传输安全问题也日益突出。启明星辰vpn产品为了保证移动客户端的安全接入和数据安全,全面提供对ios及android系统移动设备的接入保护。启明星辰vpn产品支持移动客户端的三种主流接入方式,包括移动设备自带vpn、远程应用发布、sdk封装app三种方式。
移动设备自带vpn功能为客户提供完全免安装的vpn接入1929cc威尼斯的解决方案,同时支持ios和android系统;
远程应用发布方式,为客户提供移动设备快速访问传统pc业务系统的1929cc威尼斯的解决方案,为用户没有将传统pc应用转化为移动app的情况下,提供移动访问1929cc威尼斯的解决方案。
sdk封装方式,针对特定app提供vpn接入开发接口,通过对接方式实现用户指定app无痕接入vpn1929cc威尼斯的解决方案;
sdk衍生客户端方式,提供用户app方100%无开发量接入vpn的1929cc威尼斯的解决方案,达到为用户指定的单个或多个app数据提供vpn加密保护的效果。
3.独特的saml跨域认证技术
启明星辰vpn是一款可以提供saml跨域单点登录高性能1929cc威尼斯的解决方案的产品。saml协议是oasis组织提出的标准协议,vpn产品支持该协议可以满足用户使用不同认证域的情况下,实现单次认证、单点登陆等需求场景。启明星辰vpn产品将ssl vpn、用户认证、单点登陆(sso)、http代理、日志审计、域名服务器等多种技术与saml相结合,为用户提供便捷、安全的接入vpn接入体验。
4.支持动态多点vpn技术(dmvpn)
传统vpn部署星形拓扑中,每接入一个分支节点都需要修改中心节点的配置,而dmvpn技术就是针对此进行的修改,每接入一个节点,只需要修改接入节点的置,无需修改中心节点及其它分支节点的配置,即可完成组网。dmvpn技术够增加产品组网的灵活性,极大程度的降低更改网络拓扑的成本投入。
5.支持强大的链路冗余及高可用性功能
启明星辰vpn产品支持强大的链路冗余,一条隧道因故断开后,可无缝切换到备用隧道,切换时间为毫秒级,用户根本察觉不到隧道已经切换。
启明星辰同时支持强大的ha功能,支持实时配置同步和tcp会话实时备份,以保证系统最大的无故障率。
6.vpn功能性能更强大
ssl并发用户数达到5w,新建用户数2w/s,吞吐达2g,ipsec并发隧道数2w,吞吐达1.5g,全面支持nc功能,支持全通,倒连等各种场景。支持ipsecvpn和sslvpn及防火墙功能结合应用,支持多级复杂部署,支持统一用户认证,支持强大的第三方证书和第三方认证/授权服务器。支持与oa系统快捷互联,支持便捷定制,支持细粒度的授权机制。
7、vpn产品接口及性能
技术指标 | 指标内容 |
网络接口 | 标配6个10/100/1000mbase-t端口,8个sfp光纤接口 |
硬件参数 | 标准2u机箱,并含2个高速usb2.0接口,支持 |
性 能 | 整机吞吐率:≥ 10gbps |
最大并发连接数:≥ 320万 | |
每秒新建连接数:≥ 8万 | |
ipsec加密吞吐率:≥ 800m | |
ipsec vpn隧道数:≥ 9000条 | |
ssl vpn并发用户数:≥ 1万 | |
ssl vpn每秒新建用户:≥ 2500 | |
ssl vpn加密吞吐:≥ 800m |
8、vpn产品功能及认证资质
技术指标 | 指标内容 |
操作系统 | 要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权及彩页作为证明 |
要求支持多系统引导,并可在web界面上直接配置启动顺序,至少三个操作系统,web界面操作双系统和备份系统,用户可自由选择当前启动系统 | |
支持多个系统配置文件,可导入导出恢复配置 | |
支持三权分立式的管理方式,包括系统管理员,安全管理员,审计管理员 | |
ipsec vpn功能 | 支持标准ipsec协议,能够与cisco、juniper等知名厂商的vpn设备互联互通 |
ipsec vpn支持网关、单臂部署模式 | |
ipsec vpn支持透明、路由、混合等网络环节的接入,具有极强适应性 | |
支持kmc与gdoi模式组网,支持密钥管理中心统一管理下发密钥及策略,只需使用基础的ip路由结构,无影响原路由部署 | |
支持dmvpn动态组网功能,网络扩展时仅需修改新增节点配置,即可扩展vpn网络 | |
支持dmvpn路由优先级设置 | |
支持多出口vpn,且支持双向nat穿越(一边snat,对端dnat),可配置本地和对端id | |
支持隧道接力,并可通过隧道接力实现分级的树状vpn结构部署 | |
支持ipsec vpn隧道热备份 | |
支持隧道入口流量管控,可以通过地址、端口、协议等维度管控进入隧道的流量 | |
支持预共享密钥(明文及密文均支持)、证书等认证方式 | |
支持aes128/256、des、3des、gcm、ccm等多种加密算法;"1"系列支持sm1~sm4国家密码算法 | |
支持ah和esp封装模式以及md5、sha1、sha2_256/384/512等通用摘要算法 | |
支持dh1、dh2、dh5、dh14等dh组;rsa1024等非对称加密算法 | |
支持ipsec手动密钥协商 | |
支持可视化vpn配置,支持vpn状态监控,包括资源状态、在线用户等 | |
支持gre over ipsec,支持pptp 、l2tp等vpn连接 | |
gre接口支持域名 | |
ipsec vpn支持ddns应用场景,支持使用域名进行隧道定义及协商 | |
ssl vpn | |
支持虚拟门户,可以为多个不同区域用户个性化定制多个登录界面,实现不同区域用户可通过不同门户登陆系统 | |
支持vpn用户口令的防暴力破解 | |
“1”系列支持国密办加密算法sm1/sm4/sm3/sm4 | |
支持单点登录(b/s,c/s模式),至少支持3种单点登陆方式选择 | |
单点登录支持证书主题属性选择,支持根据读取属性分配用户权限 | |
支持符合saml框架规范的单点登录功能;支持对象属性认证和资源权限调用,实现用户应用的密码不需进行传递,实现用户密码安全 | |
单点登录支持证书属性代填;支持应用的用户及密码智能代填,可不需要预设置用户及密码代填列表。 | |
支持三层隧道模式,可使用ssl vpn实现三层隧道的加密传输 | |
支持虚拟ip与口令用户或证书用户进行绑定 | |
支持虚拟ip分配,并支持ssl vpn模式下基于ip的流量分流,可根据用户虚拟ip指定路由路径 | |
支持web应用免客户端、免控件,零客户端。只要web浏览器支持https协议就可访问,对终端的主机操作系统及浏览器版本没有要求;支持无客户端认证方式实现隧道安全连接。 | |
支持b/s和c/s资源发布;支持资源负载及其权值配置;支持nc资源配置发布;支持web及tcp资源映射 | |
支持共享/别名虚拟门户配置,可基于别名门户配置接口、端口、协议、算法等实现多门户访问 | |
支持个性门户(portal)定制化处理,可替换图片、文本等对资源进行自定义说明 | |
可以为portal界面发布的资源(b/s,c/s模式),支持多种的认证方式、多种显示属性的设定,不同的加密强度选择 | |
支持web资源自定义替换规则,满足复杂web资源的安全访问 | |
支持b/s业务子资源的快捷访问设置,支持常用资源的便捷访问 | |
支持tcp/udp应用资源配置域名 | |
支持ftp应用web化,支持使用标准web浏览器访问ftp应用 | |
支持隧道内客户网段、端口控制;支持通过单条策略配置全网段地址流量进入隧道 | |
支持动态端口访问,如ftp等 | |
用户认证 | 支持全ipsec、ssl 、vpdn的统一用户认证,实现用户列表一次性配置即可适用于全部vpn类型的接 |
支持用户组及用户的分级树,支持用户组及用户的上下级继承关系配置 | |
支持用户组并发数限制 | |
支持从账号集中管理,实现主从账号的关联绑定,并为单点登录提供代填凭证 | |
支持用户与手机号码、pc硬件特征码、ip、mac等硬件信息的绑定 | |
支持本地认证、口令认证、动态令牌、短信认证等多种认证方式,灵活的多认证因子的同时使用 | |
支持口令安全策略,包括首次登陆修改密码,口令组成策略,防暴力破解(包含锁定与解锁策略)等策略。 | |
支持设备注册与审批功能,可通过配置实现系统自动审批或管理员手动审批,实现资产审查与管控。 | |
支持crl及ocsp证书验证方式;支持crl基于ldap协议的增量更新 | |
本地证书签发,支持密钥长度配置包括1024/2048/4096以及签名算法选择 | |
支持radius、ldap、windows ad域等方式,支持基于radius动态令牌的双因子认证; | |
支持内部动态令牌认证,无需购置第三方令牌服务器。 | |
短信认证,支持短信猫、移动短信网关cmppv2.0/3.0协议及联通短信网关sgipv1.2协议。 | |
可通过web界面操作对radius服务器连通性测试 | |
支持ldap用户信息直接导入本地,不需经过文档格式转换后的二次导入;导入过程可以支持用户组选择,支持与本地用户列表的重复性判断配置 | |
支持认证服务器组设置,允许同时使用多种认证服务器对用户身份进行认证,对认证服务器的优先顺序进行灵活指定 | |
支持http匿名登陆,同时支持口令、证书等方式 | |
支持pkcs12/x.509格式证书,支持证书导入、属性编辑 | |
授权管理 | 支持基于角色及用户组的权限管理 |
支持基于角色的资源授权,包含bs、cs、nc以及资源映射等资源。 | |
支持基于角色及用户组的策略控制,包括归属于该角色的用户认证策略、准入策略、客户端策略等 | |
支持本地组与第三方属性映射实现快速授权,包括支持radius、ldap/ad、证书属性字段等直接映射到本地 | |
安全策略 | 支持口令配置安全策略,含用户修改口令、口令构成策略等; |
支持口令认证安全策略,含配置启用软键盘、附加码等;安全认证防护策略,含防暴力破解、短信防恶意发送等 | |
支持用户准入策略,包括:操作系统、浏览器、系统进程、系统服务、网络端口、硬盘文件、注册表项等;接入ip限制;认证因素组合策略以及终端审批等认证中验证策略。 | |
支持角色准入策略,包括:操作系统、浏览器、系统进程、系统服务、网络端口、硬盘文件、注册表项等;接入ip限制;认证因素组合策略以及终端审批策略等认证后验证策略。 | |
支持用户登录后安全策略,包括:禁止访问外网及超时限制等会话策略 | |
支持登录后定期检测安全策略,动态验证保障用户环境安全。 | |
支持用户安全登出策略配置,包括:退出清除缓存、cookie、表单、历史记录等登出策略; | |
客户端 | 支持ipsec、ssl vpn统一客户端,实现多种仅需安装一种托盘程序;并且支持接入方式智能识别,无需客户进行任何选择操作 |
设备支持客户端接入策略设置,可针对操作系统、浏览器、进程、服务、端口、文件、注册表进行登录前检查 | |
支持配置启用客户端后可否访问外网等策略 | |
支持客户端零配置,能够根据不同用户身份定向推送用户配置,实际用户不需任何配置操作 | |
客户端支持microsoft windows xp、win7、win8、win10等及linux操作系统 | |
支持浏览器自动启动客户端,包含ie、firefox、chrome等 | |
支持客户端信息定制,包含logo及相关厂商信息,可和虚拟门户关联。 | |
移动接入 | 支持提供ios、android系统的移动终端接入app应用 |
支持移动app远程应用发布功能,vpn网关提供资源联动,实现通过vpn网关策略为app用户分配访问资源的权限, 能够适应ios及android系统 | |
远程应用发布app访问支持数据不落地传输,保证远程访问的文件安全 | |
移动终端自有应用加密保护app,可提供sdk软件开发工具包 | |
可提供app软件为多个手机自用应用同时提供加密防护,vpn网关提供资源及权限管理 | |
支持ios/android手机自带vpn功能接入vpn设备,无需安装任何客户端 | |
访问控制 | 基于源/目的ip地址、mac地址、域名、端口或协议、服务、网口、时间、用户的访问控制 |
实现ip/mac地址绑定,且支持ip/mac地址对的自动探测和唯一性检查 | |
各种工作模式下均支持h.323(h.323 gk)、sip、ftp、mms、rtsp、xdmcp等多种动态协议 | |
支持会话的超时设置、删除、查询等操作、支持连接排名,可实时按端口统计流量 | |
可支持多出口路由情况下的默认路由备份 | |
网络特性 | 支持dhcp client、dhcp relay、dhcp server |
支持pppoe接入,并具备自动断线重连技术 | |
支持静态路由,vlan间路由,单臂路由等,支持基于源/目的地址、接口、metric、服务的策略路由 | |
支持ospf动态路由配置 | |
支持基本带宽管理,支持基于接口的带宽上限及下限管理。 | |
支持多出口路由负载均衡,能够通过多个ip地址判断路由有效性 | |
内置isp地址列表,可轻松完成基于isp的策略路由;支持联通、电信等isp服务商地址列表,列表可导出及导入,可通过web界面选择不同的isp服务商实现快速切换 | |
支持路由优先级,路由权值等多种路由选择算法 | |
支持双向nat、动态地址转换和静态地址转换,并支持多对多的地址转换模式 | |
支持802.1q和isl vlan封装协议,支持两种封装的互换,支持vlan trunk | |
管理配置 | 支持远程ssh、telnet和串口命令行配置 |
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级 | |
支持snmp协议,与当前通用的网络管理平台兼容;可提供mib库 | |
支持基于web界面的cli命令行功能 | |
可进行配置文件的备份、下载、恢复和上传,可导出可读的配置文件并进行打印存档 | |
支持设备内置存储、设备外置存储、支持日志信息对外部存储设备的导入,支持日志已满的邮件报警 | |
支持对cpu、内存、磁盘、接口状态、网络实时流量、用户在线状态、路由表等信息的监控 | |
支持中文日志,提高日志可读性 | |
高可用性 | 支持多重冗余协议(mrp),实现链路备份、端口冗余 |
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽 | |
支持热备和负载均衡,支持接口探测及链路探测功能,在检测到异常后能自动将本地集群切换为故障状态,保障通讯数据不被转发至异常网络线路中 | |
在nat、路由、透明模式下支持a-a,a-s模式,且切换时间小于3秒,并支持防火墙相关状态同步技术 | |
可在热备和集群工作模式下支持多台设备的配置手动、自动实时同步 | |
支持热备和负载均衡的实时状态监控 | |
产品资质 | 具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(vpn行标三级),要求出具公安部检测报告 |
具备国家37000dcm威尼斯的版权局颁发的《计算机软件著作权登记证书》 | |
具备国家密码管理局颁发的《商用密码产品生产定点单位证书》 | |
具备国家密码管理局颁发的《商用密码产品销售许可证》 | |
具备国家密码管理局颁发的《商用密码产品型号证书》 | |
权威组织认证 | 要求加入微软安全响应中心(microsoft security response center)发起的mapp(microsoft active protection program)计划,作为该计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。 |
设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并提供两个以上2010年以后发现的新漏洞及国内外相关权威机构(如:国家漏洞库和cve)的证明。 | |
厂商资质 | 具备信息产业部颁发的《计算机信息系统集成资质证书》(壹级) |
具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》(安全工程类二级) | |
具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级) | |
投标人必须具有原厂商对该项目的支持授权 |
某大型企业要部署一个三级vpn网络,要求出差人员和公司内部人员都可以访问,就可以做如下的设置:
图1 ssl与ipsec结合使用拓扑图
一级核心网通过vpn网关的ipsec隧道与二级机构相连,二级机构的出差人员通过ssl接入到不同的二级机构,数据再通过ipsec隧道传输至一级核心网的服务器。
启明星辰天清汉马vpn产品自出道以来,迅速以全面的功能、稳定的表现,强劲的性能迅速的打开市场,并在短短一年时间内迅速攀升至idc排名第二的位置。市场的认可是对天清汉马vpn产品质量的最大认可,客户的认可也给予了vpn研发团队的极大鼓舞,启明星辰vpn产品将立足于市场需求,抓住客户体验,对产品进行持续不断的改进,成为客户最为认可的vpn产品是我们永远追求的目标!