啓明(míng)星辰

天清漢馬VPN安全網關

天清漢馬VPN安全網關系統V3.0是啓明(míng)星辰新一代VPN安全網關産品,是集VPDN、IPSEC、SSL VPN于一身,兼具用戶認證、訪問控制(zhì)、NAT、SAML衆多(duō)功能的綜合性VPN安全網關,具有(yǒu)穩定強、易用強、網絡環境适應性強,性能高(gāo)的特點;可(kě)為(wèi)各種規模的企業、政府機構、軍隊、團體(tǐ)提供網絡數(shù)據加解密服務,最大(dà)限度的保護用戶網絡傳輸的數(shù)據安全。


啓明(míng)星辰天清漢馬VPN産品支持多(duō)種新技(jì)術(shù),包括異步高(gāo)并發流水(shuǐ)線技(jì)術(shù),服務端配置推送技(jì)術(shù),在線用戶高(gāo)速緩存技(jì)術(shù),曆史記錄統計(jì)技(jì)術(shù)等,而且具有(yǒu)定制(zhì)方便,安全易用的特點,目前已在稅務、公安、政府、能源、交通(tōng)、電(diàn)信、金融、制(zhì)造等行(xíng)業中部署,并受到用戶一緻好評。

 

1.客戶端二合一,服務端推送配置
将IPSecVPN和(hé)SSLVPN客戶端二合一,配置全部在服務端實現,用戶不必再做(zuò)複雜的安裝,隻需登入Web輸入用戶名密碼,客戶端的安裝和(hé)啓動自動進行(xíng)。配置由服務端推送,免除了客戶冗長繁瑣的配置。

 

 

                   

2.全面支持移動設備接入
近年随着移動設備辦公的迅猛發展,移動設備的傳輸安全問題也日益突出。啓明(míng)星辰VPN産品為(wèi)了保證移動客戶端的安全接入和(hé)數(shù)據安全,全面提供對IOS及Android系統移動設備的接入保護。啓明(míng)星辰VPN産品支持移動客戶端的三種主流接入方式,包括移動設備自帶VPN、遠程應用發布、SDK封裝APP三種方式。
移動設備自帶VPN功能為(wèi)客戶提供完全免安裝的VPN接入解決方案,同時(shí)支持IOS和(hé)Android系統;

 

               


遠程應用發布方式,為(wèi)客戶提供移動設備快速訪問傳統PC業務系統的解決方案,為(wèi)用戶沒有(yǒu)将傳統PC應用轉化為(wèi)移動APP的情況下,提供移動訪問解決方案。

 

                         


SDK封裝方式,針對特定APP提供VPN接入開(kāi)發接口,通(tōng)過對接方式實現用戶指定APP無痕接入VPN解決方案;
SDK衍生(shēng)客戶端方式,提供用戶APP方100%無開(kāi)發量接入VPN的解決方案,達到為(wèi)用戶指定的單個(gè)或多(duō)個(gè)APP數(shù)據提供VPN加密保護的效果。

 

                                

3.獨特的SAML跨域認證技(jì)術(shù)
啓明(míng)星辰VPN是一款可(kě)以提供SAML跨域單點登錄高(gāo)性能解決方案的産品。SAML協議是OASIS組織提出的标準協議,VPN産品支持該協議可(kě)以滿足用戶使用不同認證域的情況下,實現單次認證、單點登陸等需求場(chǎng)景。啓明(míng)星辰VPN産品将SSL VPN、用戶認證、單點登陸(SSO)、http代理(lǐ)、日志(zhì)審計(jì)、域名服務器(qì)等多(duō)種技(jì)術(shù)與SAML相結合,為(wèi)用戶提供便捷、安全的接入VPN接入體(tǐ)驗。

 

     


4.支持動态多(duō)點VPN技(jì)術(shù)(DMVPN)
傳統VPN部署星形拓撲中,每接入一個(gè)分支節點都需要修改中心節點的配置,而DMVPN技(jì)術(shù)就是針對此進行(xíng)的修改,每接入一個(gè)節點,隻需要修改接入節點的置,無需修改中心節點及其它分支節點的配置,即可(kě)完成組網。DMVPN技(jì)術(shù)夠增加産品組網的靈活性,極大(dà)程度的降低(dī)更改網絡拓撲的成本投入。

 

                                   


5.支持強大(dà)的鏈路冗餘及高(gāo)可(kě)用性功能
啓明(míng)星辰VPN産品支持強大(dà)的鏈路冗餘,一條隧道(dào)因故斷開(kāi)後,可(kě)無縫切換到備用隧道(dào),切換時(shí)間(jiān)為(wèi)毫秒(miǎo)級,用戶根本察覺不到隧道(dào)已經切換。
啓明(míng)星辰同時(shí)支持強大(dà)的HA功能,支持實時(shí)配置同步和(hé)TCP會(huì)話(huà)實時(shí)備份,以保證系統最大(dà)的無故障率。

 

6.VPN功能性能更強大(dà)
SSL并發用戶數(shù)達到5W,新建用戶數(shù)2W/s,吞吐達2G,IPSec并發隧道(dào)數(shù)2W,吞吐達1.5G,全面支持NC功能,支持全通(tōng),倒連等各種場(chǎng)景。支持IPSecVPN和(hé)SSLVPN及防火(huǒ)牆功能結合應用,支持多(duō)級複雜部署,支持統一用戶認證,支持強大(dà)的第三方證書(shū)和(hé)第三方認證/授權服務器(qì)。支持與OA系統快捷互聯,支持便捷定制(zhì),支持細粒度的授權機制(zhì)。 

 

 7、VPN産品接口及性能

  

技(jì)術(shù)指标

指标內(nèi)容

網絡接口

标配6個(gè)10/100/1000MBASE-T端口,8個(gè)SFP光纖接口

硬件參數(shù)

标準2U機箱,并含2個(gè)高(gāo)速USB2.0接口,支持

    

整機吞吐率:≥ 10Gbps

最大(dà)并發連接數(shù):≥ 320萬

每秒(miǎo)新建連接數(shù):≥ 8萬

IPSec加密吞吐率:≥ 800M

IPSec VPN隧道(dào)數(shù):≥ 9000條

SSL VPN并發用戶數(shù):≥ 1萬

SSL VPN每秒(miǎo)新建用戶:≥ 2500

SSL VPN加密吞吐:≥ 800M

 

 

 8、VPN産品功能及認證資質

 

技(jì)術(shù)指标

指标內(nèi)容

操作(zuò)系統

要求具備自主研發的安全操作(zuò)系統,并提供該安全操作(zuò)系統的軟件著作(zuò)權及彩頁作(zuò)為(wèi)證明(míng)

要求支持多(duō)系統引導,并可(kě)在WEB界面上(shàng)直接配置啓動順序,至少(shǎo)三個(gè)操作(zuò)系統,WEB界面操作(zuò)雙系統和(hé)備份系統,用戶可(kě)自由選擇當前啓動系統

支持多(duō)個(gè)系統配置文件,可(kě)導入導出恢複配置

支持三權分立式的管理(lǐ)方式,包括系統管理(lǐ)員,安全管理(lǐ)員,審計(jì)管理(lǐ)員

IPSEC VPN功能

支持标準IPSEC協議,能夠與CISCO、JUNIPER等知名廠商的VPN設備互聯互通(tōng)

IPSEC VPN支持網關、單臂部署模式

IPSec VPN支持透明(míng)、路由、混合等網絡環節的接入,具有(yǒu)極強适應性

支持KMC與GDOI模式組網,支持密鑰管理(lǐ)中心統一管理(lǐ)下發密鑰及策略,隻需使用基礎的IP路由結構,無影(yǐng)響原路由部署

支持DMVPN動态組網功能,網絡擴展時(shí)僅需修改新增節點配置,即可(kě)擴展VPN網絡

支持DMVPN路由優先級設置

支持多(duō)出口VPN,且支持雙向NAT穿越(一邊SNAT,對端DNAT),可(kě)配置本地和(hé)對端ID

支持隧道(dào)接力,并可(kě)通(tōng)過隧道(dào)接力實現分級的樹(shù)狀VPN結構部署

支持IPSEC VPN隧道(dào)熱備份

支持隧道(dào)入口流量管控,可(kě)以通(tōng)過地址、端口、協議等維度管控進入隧道(dào)的流量

支持預共享密鑰(明(míng)文及密文均支持)、證書(shū)等認證方式

支持AES128/256、DES、3DES、GCM、CCM等多(duō)種加密算(suàn)法;"1"系列支持SM1~SM4國家(jiā)密碼算(suàn)法

支持AH和(hé)ESP封裝模式以及MD5、SHA1、SHA2_256/384/512等通(tōng)用摘要算(suàn)法

支持DH1、DH2、DH5、DH14等DH組;RSA1024等非對稱加密算(suàn)法

支持IPSec手動密鑰協商


支持可(kě)視(shì)化VPN配置,支持VPN狀态監控,包括資源狀态、在線用戶等

支持GRE OVER IPSEC,支持PPTP 、L2TP等VPN連接

GRE接口支持域名

IPSec VPN支持DDNS應用場(chǎng)景,支持使用域名進行(xíng)隧道(dào)定義及協商

 

SSL VPN


支持虛拟門(mén)戶,可(kě)以為(wèi)多(duō)個(gè)不同區(qū)域用戶個(gè)性化定制(zhì)多(duō)個(gè)登錄界面,實現不同區(qū)域用戶可(kě)通(tōng)過不同門(mén)戶登陸系統

支持VPN用戶口令的防暴力破解

1”系列支持國密辦加密算(suàn)法SM1/SM4/SM3/SM4

支持單點登錄(B/S,C/S模式),至少(shǎo)支持3種單點登陸方式選擇

單點登錄支持證書(shū)主題屬性選擇,支持根據讀取屬性分配用戶權限

支持符合SAML框架規範的單點登錄功能;支持對象屬性認證和(hé)資源權限調用,實現用戶應用的密碼不需進行(xíng)傳遞,實現用戶密碼安全

單點登錄支持證書(shū)屬性代填;支持應用的用戶及密碼智能代填,可(kě)不需要預設置用戶及密碼代填列表。

支持三層隧道(dào)模式,可(kě)使用SSL VPN實現三層隧道(dào)的加密傳輸

支持虛拟IP與口令用戶或證書(shū)用戶進行(xíng)綁定

支持虛拟IP分配,并支持SSL VPN模式下基于IP的流量分流,可(kě)根據用戶虛拟IP指定路由路徑

支持WEB應用免客戶端、免控件,零客戶端。隻要WEB浏覽器(qì)支持HTTPS協議就可(kě)訪問,對終端的主機操作(zuò)系統及浏覽器(qì)版本沒有(yǒu)要求;支持無客戶端認證方式實現隧道(dào)安全連接。

支持B/S和(hé)C/S資源發布;支持資源負載及其權值配置;支持NC資源配置發布;支持WEB及TCP資源映射

支持共享/别名虛拟門(mén)戶配置,可(kě)基于别名門(mén)戶配置接口、端口、協議、算(suàn)法等實現多(duō)門(mén)戶訪問

支持個(gè)性門(mén)戶(PORTAL)定制(zhì)化處理(lǐ),可(kě)替換圖片、文本等對資源進行(xíng)自定義說明(míng)

可(kě)以為(wèi)PORTAL界面發布的資源(B/S,C/S模式),支持多(duō)種的認證方式、多(duō)種顯示屬性的設定,不同的加密強度選擇

支持WEB資源自定義替換規則,滿足複雜WEB資源的安全訪問

支持B/S業務子資源的快捷訪問設置,支持常用資源的便捷訪問

支持TCP/UDP應用資源配置域名

支持FTP應用WEB化,支持使用标準WEB浏覽器(qì)訪問FTP應用

支持隧道(dào)內(nèi)客戶網段、端口控制(zhì);支持通(tōng)過單條策略配置全網段地址流量進入隧道(dào)

支持動态端口訪問,如FTP等

用戶認證

支持全IPSEC、SSL 、VPDN的統一用戶認證,實現用戶列表一次性配置即可(kě)适用于全部VPN類型的接

支持用戶組及用戶的分級樹(shù),支持用戶組及用戶的上(shàng)下級繼承關系配置

支持用戶組并發數(shù)限制(zhì)

支持從賬号集中管理(lǐ),實現主從賬号的關聯綁定,并為(wèi)單點登錄提供代填憑證

支持用戶與手機号碼、PC硬件特征碼、IP、MAC等硬件信息的綁定

支持本地認證、口令認證、動态令牌、短(duǎn)信認證等多(duō)種認證方式,靈活的多(duō)認證因子的同時(shí)使用

支持口令安全策略,包括首次登陸修改密碼,口令組成策略,防暴力破解(包含鎖定與解鎖策略)等策略。

支持設備注冊與審批功能,可(kě)通(tōng)過配置實現系統自動審批或管理(lǐ)員手動審批,實現資産審查與管控。

支持CRL及OCSP證書(shū)驗證方式;支持CRL基于LDAP協議的增量更新

本地證書(shū)簽發,支持密鑰長度配置包括1024/2048/4096以及簽名算(suàn)法選擇

支持RADIUS、LDAP、WINDOWS AD域等方式,支持基于RADIUS動态令牌的雙因子認證;

支持內(nèi)部動态令牌認證,無需購置第三方令牌服務器(qì)。

短(duǎn)信認證,支持短(duǎn)信貓、移動短(duǎn)信網關CMPPv2.0/3.0協議及聯通(tōng)短(duǎn)信網關SGIPv1.2協議。

可(kě)通(tōng)過WEB界面操作(zuò)對RADIUS服務器(qì)連通(tōng)性測試

支持LDAP用戶信息直接導入本地,不需經過文檔格式轉換後的二次導入;導入過程可(kě)以支持用戶組選擇,支持與本地用戶列表的重複性判斷配置

支持認證服務器(qì)組設置,允許同時(shí)使用多(duō)種認證服務器(qì)對用戶身份進行(xíng)認證,對認證服務器(qì)的優先順序進行(xíng)靈活指定

支持HTTP匿名登陸,同時(shí)支持口令、證書(shū)等方式

支持PKCS12/X.509格式證書(shū),支持證書(shū)導入、屬性編輯

授權管理(lǐ)

支持基于角色及用戶組的權限管理(lǐ)

支持基于角色的資源授權,包含BS、CS、NC以及資源映射等資源。

支持基于角色及用戶組的策略控制(zhì),包括歸屬于該角色的用戶認證策略、準入策略、客戶端策略等

支持本地組與第三方屬性映射實現快速授權,包括支持Radius、LDAP/AD、證書(shū)屬性字段等直接映射到本地

安全策略

支持口令配置安全策略,含用戶修改口令、口令構成策略等;

支持口令認證安全策略,含配置啓用軟鍵盤、附加碼等;安全認證防護策略,含防暴力破解、短(duǎn)信防惡意發送等

支持用戶準入策略,包括:操作(zuò)系統、浏覽器(qì)、系統進程、系統服務、網絡端口、硬盤文件、注冊表項等;接入IP限制(zhì);認證因素組合策略以及終端審批等認證中驗證策略。

支持角色準入策略,包括:操作(zuò)系統、浏覽器(qì)、系統進程、系統服務、網絡端口、硬盤文件、注冊表項等;接入IP限制(zhì);認證因素組合策略以及終端審批策略等認證後驗證策略。

支持用戶登錄後安全策略,包括:禁止訪問外網及超時(shí)限制(zhì)等會(huì)話(huà)策略

支持登錄後定期檢測安全策略,動态驗證保障用戶環境安全。

支持用戶安全登出策略配置,包括:退出清除緩存、cookie、表單、曆史記錄等登出策略;

客戶端

支持IPSEC、SSL VPN統一客戶端,實現多(duō)種僅需安裝一種托盤程序;并且支持接入方式智能識别,無需客戶進行(xíng)任何選擇操作(zuò)

設備支持客戶端接入策略設置,可(kě)針對操作(zuò)系統、浏覽器(qì)、進程、服務、端口、文件、注冊表進行(xíng)登錄前檢查

支持配置啓用客戶端後可(kě)否訪問外網等策略

支持客戶端零配置,能夠根據不同用戶身份定向推送用戶配置,實際用戶不需任何配置操作(zuò)

客戶端支持MICROSOFT WINDOWS XP、WIN7、WIN8、WIN10等及Linux操作(zuò)系統

支持浏覽器(qì)自動啓動客戶端,包含IE、Firefox、Chrome等

支持客戶端信息定制(zhì),包含LOGO及相關廠商信息,可(kě)和(hé)虛拟門(mén)戶關聯。

移動接入

支持提供IOS、ANDROID系統的移動終端接入APP應用

支持移動APP遠程應用發布功能,VPN網關提供資源聯動,實現通(tōng)過VPN網關策略為(wèi)APP用戶分配訪問資源的權限, 能夠适應IOS及ANDROID系統

遠程應用發布APP訪問支持數(shù)據不落地傳輸,保證遠程訪問的文件安全

移動終端自有(yǒu)應用加密保護APP,可(kě)提供SDK軟件開(kāi)發工具包

可(kě)提供APP軟件為(wèi)多(duō)個(gè)手機自用應用同時(shí)提供加密防護,VPN網關提供資源及權限管理(lǐ)

支持IOS/Android手機自帶VPN功能接入VPN設備,無需安裝任何客戶端

 

 

訪問控制(zhì)

基于源/目的IP地址、MAC地址、域名、端口或協議、服務、網口、時(shí)間(jiān)、用戶的訪問控制(zhì)

實現IP/MAC地址綁定,且支持IP/MAC地址對的自動探測和(hé)唯一性檢查

各種工作(zuò)模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、XDMCP等多(duō)種動态協議

支持會(huì)話(huà)的超時(shí)設置、删除、查詢等操作(zuò)、支持連接排名,可(kě)實時(shí)按端口統計(jì)流量

可(kě)支持多(duō)出口路由情況下的默認路由備份

網絡特性

支持DHCP CLIENT、DHCP RELAY、DHCP SERVER

支持PPPOE接入,并具備自動斷線重連技(jì)術(shù)

支持靜态路由,VLAN間(jiān)路由,單臂路由等,支持基于源/目的地址、接口、METRIC、服務的策略路由

支持OSPF動态路由配置

支持基本帶寬管理(lǐ),支持基于接口的帶寬上(shàng)限及下限管理(lǐ)。

支持多(duō)出口路由負載均衡,能夠通(tōng)過多(duō)個(gè)IP地址判斷路由有(yǒu)效性

內(nèi)置ISP地址列表,可(kě)輕松完成基于ISP的策略路由;支持聯通(tōng)、電(diàn)信等ISP服務商地址列表,列表可(kě)導出及導入,可(kě)通(tōng)過WEB界面選擇不同的ISP服務商實現快速切換

支持路由優先級,路由權值等多(duō)種路由選擇算(suàn)法

支持雙向NAT、動态地址轉換和(hé)靜态地址轉換,并支持多(duō)對多(duō)的地址轉換模式

支持802.1Q和(hé)ISL VLAN封裝協議,支持兩種封裝的互換,支持VLAN TRUNK

管理(lǐ)配置

支持遠程SSH、TELNET和(hé)串口命令行(xíng)配置

支持數(shù)字證書(shū)和(hé)電(diàn)子鑰匙兩種管理(lǐ)員認證方式,支持管理(lǐ)員權限分級

支持SNMP協議,與當前通(tōng)用的網絡管理(lǐ)平台兼容;可(kě)提供mib庫

支持基于WEB界面的CLI命令行(xíng)功能

可(kě)進行(xíng)配置文件的備份、下載、恢複和(hé)上(shàng)傳,可(kě)導出可(kě)讀的配置文件并進行(xíng)打印存檔

支持設備內(nèi)置存儲、設備外置存儲、支持日志(zhì)信息對外部存儲設備的導入,支持日志(zhì)已滿的郵件報警

支持對CPU、內(nèi)存、磁盤、接口狀态、網絡實時(shí)流量、用戶在線狀态、路由表等信息的監控

支持中文日志(zhì),提高(gāo)日志(zhì)可(kě)讀性

高(gāo)可(kě)用性

支持多(duō)重冗餘協議(MRP),實現鏈路備份、端口冗餘

支持基于802.3AD标準的多(duō)端口聚合,實現零成本擴展帶寬

支持熱備和(hé)負載均衡,支持接口探測及鏈路探測功能,在檢測到異常後能自動将本地集群切換為(wèi)故障狀态,保障通(tōng)訊數(shù)據不被轉發至異常網絡線路中

NAT、路由、透明(míng)模式下支持A-A,A-S模式,且切換時(shí)間(jiān)小(xiǎo)于3秒(miǎo),并支持防火(huǒ)牆相關狀态同步技(jì)術(shù)

可(kě)在熱備和(hé)集群工作(zuò)模式下支持多(duō)台設備的配置手動、自動實時(shí)同步

支持熱備和(hé)負載均衡的實時(shí)狀态監控

産品資質

具備公安部頒發的《計(jì)算(suàn)機信息系統安全專用産品銷售許可(kě)證》(VPN行(xíng)标三級),要求出具公安部檢測報告

具備國家(jiā)版權局頒發的《計(jì)算(suàn)機軟件著作(zuò)權登記證書(shū)》

具備國家(jiā)密碼管理(lǐ)局頒發的《商用密碼産品生(shēng)産定點單位證書(shū)》

具備國家(jiā)密碼管理(lǐ)局頒發的《商用密碼産品銷售許可(kě)證》

具備國家(jiā)密碼管理(lǐ)局頒發的《商用密碼産品型号證書(shū)》

權威組織認證

要求加入微軟安全響應中心(MICROSOFT SECURITY RESPONSE CENTER)發起的MAPP(MICROSOFT ACTIVE PROTECTION PROGRAM)計(jì)劃,作(zuò)為(wèi)該計(jì)劃成員,可(kě)在微軟發布每月安全公告之前獲得(de)微軟産品的詳細漏洞信息,為(wèi)用戶提供更及時(shí)的安全防護。

設備制(zhì)造廠商應具備自己發現主流操作(zuò)系統或應用系統新漏洞的能力,并提供兩個(gè)以上(shàng)2010年以後發現的新漏洞及國內(nèi)外相關權威機構(如:國家(jiā)漏洞庫和(hé)CVE)的證明(míng)。

廠商資質

具備信息産業部頒發的《計(jì)算(suàn)機信息系統集成資質證書(shū)》(壹級)

具備中國信息安全産品測評中心頒發的《國家(jiā)信息安全認證信息安全服務資質證書(shū)》(安全工程類二級)

具備國家(jiā)保密局頒發的《涉及國家(jiā)秘密的計(jì)算(suàn)機信息系統集成資質證書(shū)》(甲級)

投标人(rén)必須具有(yǒu)原廠商對該項目的支持授權

某大(dà)型企業要部署一個(gè)三級VPN網絡,要求出差人(rén)員和(hé)公司內(nèi)部人(rén)員都可(kě)以訪問,就可(kě)以做(zuò)如下的設置:

 

    

                                                    圖1 SSL與IPSec結合使用拓撲圖


一級核心網通(tōng)過VPN網關的IPSEC隧道(dào)與二級機構相連,二級機構的出差人(rén)員通(tōng)過SSL接入到不同的二級機構,數(shù)據再通(tōng)過IPSec隧道(dào)傳輸至一級核心網的服務器(qì)。

啓明(míng)星辰天清漢馬VPN産品自出道(dào)以來(lái),迅速以全面的功能、穩定的表現,強勁的性能迅速的打開(kāi)市場(chǎng),并在短(duǎn)短(duǎn)一年時(shí)間(jiān)內(nèi)迅速攀升至IDC排名第二的位置。市場(chǎng)的認可(kě)是對天清漢馬VPN産品質量的最大(dà)認可(kě),客戶的認可(kě)也給予了VPN研發團隊的極大(dà)鼓舞,啓明(míng)星辰VPN産品将立足于市場(chǎng)需求,抓住客戶體(tǐ)驗,對産品進行(xíng)持續不斷的改進,成為(wèi)客戶最為(wèi)認可(kě)的VPN産品是我們永遠追求的目标!