新一代VPN综合网关技术白皮书-V1.1.docx

天清汉马新一代VPN综合网关技术白皮书二零一五年目录1引言12产品简介32.1产品定位32.2工作原理33产品架构73.1硬件架构73.2软件架构74产品优势94.1全面符合国家规范，算法支持全面94.2综合多种VPN接入技术，适应各种应用场景94.3灵活的多因素认证组合，身份验证更安全104.4支持多种单点登录技术，提升用户体验114.4.1多样化的单点登录技术114.5统一用户管理，简化配置集中管理114.5.1账号统一管理114.5.2主从账号绑定114.6多重因素的动态权限管理，适应各类授权模型124.7SAML技术引入，实现跨域单点登录124.8自动路径选择，适应中国国情134.9智能隧道隔离，全面终端安全134.10完善的访问控制和应用防御，提供综合防护134.11灵活的定制能力，满足个性化需求145核心技术155.1基于多核多进程异步流水线处理的高性能技术155.2二合一傻瓜式客户端，一站式接入技术165.3动态多点配置同步的灵活组网技术165.4基于应用发布的移动接入技术165.5支持状态同步的高可靠线性集群技术175.6SSL/IPSec高度耦合技术176基本功能187典型部署20引言随着计算机技术的飞速发展以及Internet的逐渐普及，随着移动通信技术的不断进步以及终端便携设备的不断升级，传统企业的工作模式正在发生着巨大的改变，越来越多的公司基于计算机技术和网络技术开展业务。随着企业信息化的发展，越来越多的应用系统开始基于网络处理企业的各项业务，如何将公司总部的各项应用系统安全地推广到各个分支结构、办事处和移动办公人员，实现应用系统安全实时统一管理，成为当前众多企业所面临的问题。传统的专网可以很好的解决上述问题，但由于其昂贵的成本和长期的使用费用，导致很多企业无法承受。现今，网络基建迅速发展，带宽及通信质量大幅提升，资费较之以前大幅下降。等等因素加速了VPN技术的诞生和高速发展。对于拥有诸多分布办公地点的企业来说，IPSec VPN是很好的解决方案。但IPSec VPN最初是为了解决Lan To Lan的安全问题而制定的协议，其在处理与日俱增的End To Lan应用的情况下已力不从心，主要表现在以下几点：必需安装客户端且需要较复杂配置，难以维护；常需开放非常用端口，网络适应性差；客户机接入私网，安全问题难以控制；移动终端接入，WEB化应用仍需安装客户端，配置复杂，使用不便。面对上述问题，SSL VPN无疑是更好的解决方案。但SSL VPN并不能完全取代IPSec VPN，这两种技术目前应用在不同的领域，是可以互补的。SSL VPN应用在单点接入网络，应用在End To Lan的接入模式；而IPSec VPN更多是应用在Lan To Lan场景下，保护站到站之间的通信。而在实际应用中，上述两种场景长期共存，因此，研发一款集成多种VPN技术的产品势在必行。我司是国内领先的VPN及网络安全厂商，长期专注于VPN和网络安全领域产品的研发。最新推出的VPN综合网关主要解决上述两大类问题，一类是站到站（Lan To Lan）的通信安全问题，由此对应产生了IPsec技术/解决方案；另一类是端到站（End To Lan）的通信安全问题，由此对应产生了SSL技术/解决方案。第二类方案中还有二层拨号的VPDN解决方案。VPN综合网关除包含上述功能外，还支持完备的防火墙功能，完善的用户管理、身份认证、授权控制、访问控制等功能，保障了站到站和端到站的通信安全。其中VPN对应多种产品型号，除了满足用户的基本需求和国家及行业内相关政策和标准，更在性能和易用性，扩展性和可定制性进行了全面升级与改进，能够为用户带来更大的价值。产品简介我司VPN综合网关是依靠多年信息安全产品研发的积累，严格遵照国家有关主管部门的设计规范要求，具有完全自主知识产权的安全网关系统。该产品主要包括如下几大功能：身份认证/角色授权，SSL VPN及应用代理，IPSec VPN，VPDN，防火墙，并包含基本访问控制功能。性能强大，扩展性好，易于管理。产品定位VPN产品正经历一个从特殊领域的特殊产品到大众领域的一般产品过渡的过程，不但大的组织在使用，中小规模的组织应用的也越来越多。出于此种考虑，我司VPN产品同时兼顾专业化和综合化的特点，既可适用于大型组织如政府、军队、行业、和大企业部门，也可适用于小型组织，如小企业，小业主，多个单位共用一台网关。因此，其主要应用定位包括：作为SSLVPN网关，既可主路部署，也可旁路部署，既可作为大型组网中的专用SSLVPN设备，也可作为小型组网中的综合VPN设备。作为IPSecVPN网关，中心节点，分支节点皆可适用。还可作为远程接入IPSec网关。作为身份认证网关，既可主路部署，也可旁路部署，可以作为内网4A设备之前的门户，也可