SSL_VPN网关产品方案.doc

数盾SSL VPN网关解决方案 V3.0 北京数盾信息科技有限公司 2007年8月 保密说明 本文档包含北京数盾信息科技有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向XXX公司承担保密责任： 1 ) 接受方在接收该文档前，已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方，以无附加保密要求方式获得的信息。 目 录 1 概述 1 1.1 背景 1 1.2 名词解释 2 2 产品简述 3 3 为什么选择DS VPN 网关 4 3.1 PKI的全面支持 4 3.2 对用户的一致性认证、单点登录 4 3.3 对应用的加速 5 3.4 业内首创进程认证技术 5 3.5 率先提供完整的二次应用开发接口 6 3.6其他特性 6 4 产品主要功能 7 5 产品部署 8 5.1 串联部署 8 5.2 并联部署 9 5.3 双机热备部署 10 5.4 负载均衡部署 12 6 技术原理 14 6.1 SSL-VPN工作结构设计 14 6.2 虚拟服务代理 15 6.3 服务器架构设计 17 7 选购指南 18 8 客户端运行环境 20 9 产品支持联系方式 20 名词解释 SSL：Secure Socket Layer，安全套接层协议层，它是网景（Netscape）公司提出的基于WEB应用的安全协议。Light Weight Directory Access Protocol) 是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。本文中专指用于CA发布证书及黑名单的服务。 黑名单：通常所说的CRL（Certificate Revoke List ），因时间或者安全原因被废除的证书列表，一般发布在LDAP上。 产品简述 图表 1型网关外观（1U硬件） 图表 2 型网关外观（2U硬件） （以上产品外观图仅做参考，具体外观及接口以实物为准） DS SSL VPN 网关（以下简称DS SSL网关）是北京数盾信息科技有限公司自主研发的网络安全应用产品，为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户终端软件就可以安全访问公司的任何资源。为网络应用提供以下安全服务： 基于USB数字证书、OTP以及SecureID在内的多因素高强度身份认证。 实现客户端远程透明安全访问内网，并通过全新的SNA架构实现区域安全访问。 业内第一家实现基于客户端进程绑定功能实现进程认证，全面保护VPN通道免受来自客户端木马、病毒的安全威胁，实现最可靠的客户端端点安全。 提供强大的加密性能和可伸缩性，透过基于ASIC硬件加速引擎提供最大超过3.2Gbps的吞吐量性能。 首创VPN二次开发接口，为用户提供完整的覆盖LINUX和Windows平台的应用程序开发接口，实现VPN、安全认证功能与应用的无缝集成，提高应用安全性和加密效率。 无论是通过互联网还是通过内部网访问应用，都能够提供良好的安全性（保密性及访问控制）。 单双向认证选择功能 系统可以设置是否需要用户提交用户证书 动态黑名单功能 系统可以自动更新黑名单、动态更新，不需要重新启动服务 多服务功能 系统可以创建多个SSL服务，保护不同的应用服务 多站点证书功能 系统可以拥有多个站点证书，不同的服务可以拥有不同的站点证书 多证书链功能 一个SSL服务中可同时配置多条证书链，验证不同CA的用户证书 支持标准SSL客户端 支持IE、Firefox等主流浏览器的https连接，支持标准CSP连接 多种证书支持功能 支持DS、CFCA、SHECA及多数省级CA中心数字证书 支持多种web服务器 系统兼容IIS、Websphere、Weblogic、apache、tomcat等主流Web服务器 支持应用重定向功能 能够正常访问有重定向的网站 防火墙访问控制 系统支持基于端口、IP地址等防火墙访问控制功能 端点安全 系统支持基于应用进程的绑定认证功能，全面防御各类病毒木马，包括未知病毒、木马的防御功能 支持透明内网访问功能 透明支持对内网的各类应用，无需修改任何客户端配置 支持OTP身份认证功能 支持基于OTP令牌的一次性口令认证功能 系统备份恢复功能 系统可以备份当前SSL的所有配置，保证系统瘫痪时的快速恢复 日志发送功能 系统将日志以SYSLOG的方式发送到指定服务器。 第三方对称加密算法的替换功能 系统支持加密算法的替换 支持SSL2.0 SSL3.0 TLS1.0 高兼容性 双机热备功能 高可靠