安全产品

基于多年的企业信息网络、政务信息网络等网络基础设施的建设和各种应用的开发,在企业、政府等单位可控网络内实现网络化办公已经是现实。伴随着移动通信网络的建设和发展,随时随地接入 Internet 开始逐步步入人们的生产、生活中,如何实现先进的移动通信网络与企业内部网络的安全的、高效的融合是当前企业、政府网络建设和发展的一个重要课题。网神新一代SSL VPN产品SecSSL 3600 网关就是一种实现这种融合的网关产品,它借助安全可靠的加密算法和协议来实现将移动计算终端安全地接入到企业、政府内部网络,既实现了移动办公,同时也有效地保障企业、政府内部网络的安全。


        网神新一代SecSSL 3600网关 是网神SSL VPN研发团队(团队多名核心研发人员具备近10年的SSL VPN研发经验,对SSL VPN具有深入的研究)经过近两年的封闭试验,研发出的一款面向企业、电信级用户网络核心应用的产品设备,有效解决用户安全接入需求。


        网神新一代SECSSL 3600是一款多功能VPN网关,其提供基于SSL 协议的VPN服务,基于IPsec协议的VPN服务和网络防火墙服务。基于网神新一代SECSSL 3600的解决方案基于SSL协议实现数据传输保护,采用自主知识产权的应用层协议实现用户应用客户端与应用业务的跨地域、跨网络互连,实现VPN功能,采用多种认证协议实现对用户的身份的全面认证,并通过详细的日志信息提供全面、翔实的审计服务。


        网神新一代SECSSL 3600采用SSL协议在远端用户与网关之间建立VPN连接,保证数据在传输过程中不被窃听、重放、窜扰等,针对每一个用户的接入,VPN采用认证技术确保用户的身份为可信的。VPN网关可以与LDAP/AD/Radius/证书认证服务器互动,提供了灵活多样的认证解决方案。


         网神新一代SECSSL 3600,无需预先安装客户端软件,家庭办公用户、移动办公用户和合作伙伴等即可轻松安全地访问企业内部网。网神新一代SECSSL 3600不仅能保护Web应用,而且支持广泛的基于TCP/UDP的多种应用,如FTP 、TFTP、Telnet、终端服务器、VNC、文件共享、SSH、HTTPS、Oracle、Exchange/Outlook、Lotus Notes和、MySQL以及企业自定义多端口应用等。为了提高远程接入的使用范围,网神新一代SECSSL 3600提供网络连接模式,它允许远程接入的客户访问企业内部网络的任意IP资源,也可以实现两个局域网络之间的互联。
网神新一代SECSSL 3600网关内置IPsec协议功能模块,网络防火墙功能模块和网络入侵检测已经应用防火墙功能模块,在为用户提供SSL-VPN服务基础之上,能够为用户提供全面的网络安全防护解决方案。


         作为远程接入门户,网神新一代SECSSL 3600提供全面的日志、审计和监控功能,管理员可以查看用户使用系统的历史纪录、当前系统的运行状态和当前在线用户的实时信息。


         网神应用安全旗舰产品SSL VPN将注重关注客户应用需求的变化,产品开发将紧贴用户实际应用的需求,以客户应用需求为导向,不断提升产品性能、不断优化产品功能,努力为各行业客户持续提供最专业的SSL VPN产品及最优质的产品服务。

         网神SECSSL 3600安全接入网关系统V5.0是我司统一系统版本, X10000-tz22-fzh为具体的硬件型号,所使用的系统均为V5.0,属于网神SecSSL 3600安全接入网关SJJ1014SSL VPN安全网关系列之一,具有国家密码管理局颁发的《商用密码产品型号证书》。

           

All in One VPN技术,实现各种终端安全接入;
         集成SSL-VPN与IPsec VPN,同时支持windows, Linux, Mac, iOS, Android的全网络接入;使用更灵活,业务支持更全面。

用户桌面远程唤醒功能,实现随时随地办公与节能减排的最佳平衡
         管理员可以为用户注册用户的桌面电脑,这样用户在登录系统后可以通过远程唤醒的方式启动办公的桌面电脑,实现远程访问自己的办公主机;

多链路智能选路技术,实现对远程用户接入的快速响应;
         支持多条链路接入,即满足不同运营商的带宽差别,又能实现冗余备份;

领先的虚拟安全桌面技术,确保业务数据远端不落地;
         虚拟安全桌面使得用户的桌面数据都在虚拟安全桌面里面,业务数据不会泄漏,满足客户当前形势下的防数据泄漏要求。

灵活组合的认证模式,确保用户身份安全;
         支持多种认证方式组合;支持用户终端的绑定,确保用户身份的安全和仿冒;

支持动态短信授权,确保关键业务访问可控,满足审计要求;
         用户访问关键业务的时候,可以设置短信临时授权,这种功能对于外包业务人员访问企业业务数据具有满足企业IT系统合规性的作用。

具备应用审计,能够对应用业务命令进行审计;
        对远程接入用户的http, telnet应用,可以记录用户的命令,并展现日志报表,从而使得远程接入部分满足对外包接入人员的安全审计合规性要求。

多种业务接入模式,满足用户不同部署要求;
         支持代理、网络连接、虚拟服务、Fileshare、虚拟安全桌面,满足不同的业务安全要求;

灵活的安全策略管理,满足企业安全策略的落实;
         客户端安全检查策略可以灵活定义,帮助企业实现对远程接入用户的安全端点的检查,避免无保护的远程接入主机进入系统。这样减少了系统业务数据

 

 

单机模式组网示例

单机模式为最简便的部署方式,适用于不需要区分多ISP的组网。一个典型的单机模式组网示例,如下图所示。
 

单机模式组网示例图

多ISP组网示例

多ISP组网模式适用于需要区分多ISP的组网,以便解决跨运营商访问SecSSL 3600可能出现的低速和不稳定的问题。

在企业网络中,如果跨运营商直接对SecSSL 3600访问,可能会出现网络质量不稳定的情况。尽管SecSSL 3600的客户端智能可以在低速和不稳定的链路上保持连接畅通,但是有些应用因为对网络环境的要求比较苛刻,可能会导致不能使用。

为解决该问题,在SecSSL 3600上可以配置多个WAN接口,每一个接口连接一个ISP,再结合SecSSL 3600客户端的智能选路功能,从而保障了从不同ISP接入的客户,都能够得到良好的网络应用体验。

一个典型的多出口模式组网示例,如下图所示。

 

多ISP模式组网示例图

HA模式组网示例

HA模式适用于需要提供高可用性的组网,可最大程度地保证系统可靠性,确保远程用户可随时远程接入内部网络。

当按HA模式部署两台SecSSL 3600设备时,系统支持以AA模式和AP模式运行。如果两台设备以AA模式运行,则还可获得负载均衡后的性能提升。

一个典型的HA模式组网示例,如下图所示。

HA模式组网示例图

Site-Site模式组网示例

Site-Site模式用于提供对两个分支机构之间的VPN连接和资源共享,使得用户只需要SecSSL 3600就可以构建完整的VPN网络。

SecSSL 3600 Site-Site模式支持网状或者星型组网模式,而且无需考虑地址冲突和地址转换的问题。

Site-Site模式组网示例图

 

(1) 将SSL的处理流程划分为若干功能块,每个功能由单独的程序模块处理,以此来保证流程清晰、维护便利、系统的整体稳定。


         (2) 数据转发模块引入状态机的概念,对每个连接在应用层建立相应的状态,除首包外的数据包均匹配已有状态来实现数据的快速转发,保证数据处理的高效性。


         (3) 灵活使用动态库技术,将十余种认证方式的处理函数封装到动态库中,并提供统一的接口函数,方便认证模块调用,快捷、高效。


         (4) 专门的内存分配机制,保证内存的合理使用和及时回收,力争做到内存零泄漏。


         (5) 采用定时机制,按一定的周期更新需要的信息,如:检查网关证书的有效期,自动更新LDAP用户组、AD用户组,自动获取主机域名的IP地址,定期对系统运行状况采样,等等。


         (6) 完备的进程监控机制,对所有功能性的进程都实时监控,及时发现异常,并自动解决大部分异常,力争做到设备零死机。


         (7) 专业的UI设计,采用PHP技术,向大家展现一个全新的界面:实时的系统状态统计图、最新的业务统计等。


         (8) L2TP技术与IPSec技术完美结合,实现移动终端的安全接入。


         (9) 符合RFC标准的IPSec实现,可顺利实现与其它厂家的互联互通。


         (10) 专业的内核处理流程设计,确保防火墙功能的高效,以及与SSL功能的兼容。
           被远程接入主机上的恶意程序窃取、破坏的几率。因为远程接入主机如果是满足企业安全策略的,那么对应的被攻击的可能性就降到最低。