新一代VPN综合网关技术白皮书.docx

目录1引言12产品简介22.1产品定位22.2工作原理22.3产品架构52.3.1硬件架构52.3.2软件架构53产品优势63.1全面符合国家规范，算法支持全面63.2综合多种VPN接入技术，适应各种应用场景73.3灵活的多因素认证组合，全面支持第三方接口73.4支持多种单点登录技术，提升用户体验83.5多重因素的动态权限管理，适应各类授权模型83.6自动路径选择，适应中国国情93.7智能隧道隔离，全面终端安全93.8完善的访问控制和应用防御，提供综合防护103.9灵活的定制能力，满足个性化需求104核心技术104.1基于多核多进程异步流水线处理的高性能技术104.2二合一傻瓜式客户端，一站式接入技术114.3动态多点配置同步的灵活组网技术124.4基于应用发布的移动接入技术124.5支持状态同步的高可靠线性集群技术124.6SSL/IPSec紧耦合技术125基本功能136典型部署15引言在当代，互联网安全问题已经成为一个引起全世界深刻关注，并上升到国家安全层面的重大问题。互联网安全问题中的重要一种，是非法数据从外网侵入内网。这个问题有这样的隐含假设，即只有内网是安全的，外界（外部互联网）是有危险的。为此诞生了基于报文过滤的防火墙技术/解决方案和基于网络隔离的网闸技术/解决方案。但这样的应用不能够解决所有的安全问题。打个比方，防火墙技术和网闸技术类似于一个闭关锁国的政策，如果一个国家（内网）能够解决自己所有的需求（信息交流），那么这样一种政策（解决方案），通过实行严格的海关检查（报文过滤）甚至海禁（网络隔离）来保证国家（内网）安全。国家（内网）处于自给自足的状态时，这个解决方案可以很好的解决问题。不过随着国家（互联网）的发展，开放的动力越来越强，尤其是面临着类似于国家间的通商（网络到网络的通信需求），甚至海外殖民地管理（跨国公司组建内网）的问题时，闭关锁国政策就面临不足，迫切需要新的解决方案。VPN技术和对应的产品由此应运而生。VPN技术主要解决两大类问题，一类是站到站（网络到网络）的通信安全问题，由此对应产生了IPsec技术/解决方案，另一类是端到站（远程用户到网络）的通信安全问题，由此对应产生了SSL技术/解决方案，第二类方案中还有二层拨号的VPDN解决方案。而VPN产品除上述之外，还需要满足用户管理，身份认证，授权控制，访问控制等方面的需求，才能完全保证站到站和端到站的通信安全。我司的VPN产品是国内一流的VPN产品，除了满足用户的基本需求和国家及行业内相关政策和标准，更在性能和易用性，扩展性和可定制性上下了大功夫，能够为用户带来最大的价值。产品简介我司VPN产品包括如下几大功能，身份认证/角色授权，SSL及应用代理，IPSec，VPDN，并包含基本访问控制功能，性能强大，扩展性好，易于管理。产品定位VPN产品正经历一个从特殊领域的特殊产品到大众领域的一般产品过渡的过程，不但大的组织在使用，中小规模的组织应用的也越来越多。出于此种考虑，我司VPN产品同时兼顾专业化和综合化的特点，既可适用于大型组织如政府、军队、行业、和大企业部门，也可适用于小型组织，如小企业，小业主，多个单位共用一台网关。因此，其主要应用定位包括：可作为SSLVPN网关，既可主路部署，也可旁路部署，既可作为大型组网中的专用SSLVPN设备，也可作为小型组网中的综合VPN设备。可作为IPSecVPN网关，中心节点，分支节点皆可适用。还可作为远程接入IPSec网关。可作为身份认证网关，既可主路部署，也可旁路部署，可以作为内网4A设备之前的门户，也可作为单独的认证网关，还可作为4A网络中的认证源。可作为拨号接入网关。既可作为分支节点向中心节点拨号接入，也可作为中心节点接受拨号连接，还可作为LNS设备接受LNC的连接。可作为带三层访问控制的综合接入/通信安全设备，适用于小型组织，可以同时提供SSL/IPSec/VPDN/身份认证/访问控制功能，一台设备完成多种功能。工作原理VPN产品是以隧道技术，密码技术，AAA技术作为三大核心技术，以代理技术，访问控制技术作为两大支撑技术的网络安全产品。它的目的很简单，就是确保只有被允许的主体在受控制的链路上，访问被允许的客体；也就是接入，传输，应用三环节均受控，任何主体，客体，第三方都难以越界，难以破坏。因此，VPN产品对于用户的价值并非在于直接提供服务，而在于不失便利性的前提下，确保安全。VPN产品第一要保证被允许的主体才能接入，这一部分的安全问题称之为接入安全。接入安全通过AAA技术中的第一个“A”即认证技术，还有密码技术及接入安全策略控制技术来保证。接入安全要确保三点，即接入主体要可信，接入过程要可靠，接入方式要可行。接入主体（通常为用户的客户端）可信是通过认证技术保证的，具体来讲，用户登录时，无论是口令也好，证书也好