IPSec/SSL VPN综合接入网关_产品中心

产品概述

IPSec/SSL VPN综合接入网关

东进IPSec/SSL VPN综合接入网关是以现代密码技术为核心的传输安全设备，是一个具有物理安全保护措施的硬件设备，具有自主密钥管理机制，能将密码运算过程封装在其内部完成，为系统用户提供了完善的内部网络或应用程序的安全远程接入服务以及企业各分支机构局域网之间的端对端数据安全传输和安全访问。保证业务数据传输、接收到处理整个过程的安全性、有效性、完整性和不可抵赖性。

东进IPSec/SSL VPN综合接入网关全面支持国产密码算法SM1、SM2、SM3、SM4，可广泛应用于金融、社保、能源、交通等行业。

下载

技术论坛

技术特点

高可靠性,高安全性的计算机网络设备。符合国家密码硬件的相关规范
支持SSL代理模式以及隧道模式，支持IPSEC隧道和传输模式
支持简单防火墙访问控制，可根据客户端IP/服务端IP、端口、URL地址以及应用进行连接有效性控制
支持数字证书双向身份鉴别，可扩展其他鉴别手段或者与其他鉴别系统集成（Radius、LADP、ActiveDirectory、动态令牌等）。并支持多个服务证书应用
具备数据路由、负载均衡功能，支持数据传输加密，支持国密算法
支持用户基于角色的权限分级管理
支持信息审计功能，能够对用户对系统的访问进行详细的记录和审计
支持B/S架构进行WEB配置
提供安全、方便、易用的维护监控系统，大大降低设备的维护成本
高可靠性，支持双机热备
具有数据自我销毁技术，当设备被非法异常打开时，其内部会启动数据销毁程序，将存储在设备内部的密钥和其他与安全相关的数据进行销毁，防止数据被非法读取

主要功能

1、安全接入

支持智能终端、应用APP、PC、手机等设备接入
支持多种认证方式(账号+口令、USBkey、数字证书等)
支持用户终端安全检查(通过操作系统版本、IE 浏览器版本、进程、开放端口、杀毒软件和安全补丁安装等情况进行检查，对于不符合要求的终端禁止接入网关)
支持硬件特殊码提取，系统自动提取终端硬件信息指纹，注册信息被授权后进入可信设备列表，支持终端和用户绑定

2、数据加密

支持标准SSL安全协议
支持标准IPSEC安全协议
支持国密SM1/SM2/SM3/SM4算法
支持DES、3DES、IDEA、AES对称算法
支持MD5、SHA-1、SHA-256散列算法
支持1024位和2048位RSA非对称算法
对称算法支持ECB、CBC多种算法模式
采用安全处理器芯片作为密钥存储部件，保证密钥的安全存储
具有随机数产生功能，使用硬件产生随机数，产生的随机数符合国家密码管理局颁布的《随机数检测规范》
支持4路物理噪声源芯片生成，支持使用强素数

3、资源权限管理

支持角色管理，提供细粒度控制，到同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构
支持应用服务管理，可直接添加详细的应用列表，通过应用与用户角色二元素设定用户的访问权限，远程用户经身份验证后，即可在其角色权限范围内直接访问相关应用资源
支持用户管理
支持终端管理

4、高可靠性功能

支持负载均衡，集群管理
支持双机热备，当主设备出现故障时，从设备自动接管主设备的工作
支持硬件级别的双机热备，当主设备断电，可毫秒级切换到从设备
主设备和从设备配置自动同步
支持双电源输入
支持网口冗余

5、可维护性功能

支持WEB配置，兼容主流浏览器配置
支持配置的导入导出和自动备份，便于设备维护
支持SysLog日志输出和SNMP协议
支持系统运行日志、操作日志、告警日志的下载以及输出，并支持日志清除规则自定义
在线日志的浏览、查询以及手动清除日志，对于浏览以及查询支持多种条件组合（如：日期、操作人员、日志级别、日志类型等）

6、设备监控功能

支持设备实时状态的显示，包括：整机运行时间、上次启动时间、呼叫次数、呼损次数、呼损率、设备各个模块运行状态、核心资源的消耗状态（CPU/内存/存储介质）、设备物理状态（ETH/设备温度等），显示的形式为图形以及报表的结合
支持网络链路状态的实时查询，包括网络带宽的的使用率，当前的连接数，收发包数等
支持负载均衡链路监控和实时统计
支持SNMP 协议，支持告警级别的日志的自动Trap，对于所有配置项支持基于SNMP的Get/Set
故障告警，包括链路断开、网络断开、设备无心跳等故障状态的告警
交易记录的实时图表显示

7、数据统计功能

统计网络链路各个时期的带宽占用率，收发包数等，用图表显示
统计历史交易的数量以及交易的失败原因分析统计
统计历史日志的记录和预警的分析统计

产品部署

东进IpSec/SSL VPN综合接入网关的典型应用场景如下：

ipsec综合接入网关部署图.png

说明：

东进IpSec/SSL VPN综合接入网关作为网络的入口设备，承接远端用户的统一访问和认证，总部和各个分部之间建立安全隧道，完成身份认证以及协议转换工作。

应用场景

1、反向代理应用场景

反向代理模式下，东进IpSec/SSL VPN网关接受客户端的连接请求，然后网关将请求转发给内部的web服务器，并将从web服务器上得到的结果返回给客户端。其中，客户端计算机是和网关建立TCP连接，而网关则和内部的web服务器建立TCP连接。

客户端计算机上不需要安装任何控件或程序，客户端只需要将网关当做一个标准的Web服务器直接访问即可。客户端可以支持多种认证模式，例如使用证书对用户进行认证，使用用户密码进行认证，还可以多种认证进行组合。

反向代理模式具有隐藏内部服务器 IP 地址的优点，而且能够提供负载均衡服务。并且，对内部服务器也屏蔽了访问终端的 IP 地址来源信息。

2、透明模式应用场景(SSL VPN隧道)

透明模式下，东进IpSec/SSL VPN网关将使用SSL协议来承载所有的IP数据，因此只要IP网络在路由上可达，终端用户就可以经过网关访问内部网络的资源。

远程用户能够通过网关安全地接入到内部网络，并保证内部网络的安全，网关能够控制用户的访问权限，即能够通过SEW网关限制用户访问的IP服务类型。网关是通过配置其内部的用户，用户组信息，资源信息，并通过角色将用户和资源绑定，从而对进出的数据进行访问控制的。

3、NC模式应用场景(IPSEC VPN隧道)

NC 模式应用场景，东进IpSec/SSL VPN网关主要实现对等网关部署，适用于两（多）个机构/部门和两（多）个单位之间的安全互联。被保护的服务器不需要做任何修改，网关和网关之间建立安全隧道，采用IPSEC 协议进行传输加密

标准规范

符合《GM/T 0002-2012 SM4分组密码算法》

符合《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》

符合《GM/T 0004-2012 SM3密码杂凑算法》

符合《GM/T 0005 随机性检测规范》

符合《GM/T 0014 数字证书认证系统密码协议规范》

符合《GMT0028-2014 密码模块安全技术要求》

符合《GM/T 0024-2014 SSL VPN技术规范》

符合《GM/T 0025-2014 SSL VPN 网关产品规范》

符合《GM/T 0022-2014IPSec VPN技术规范》

符合《RFC 3948 UDP Encapsulation of IPSec ESP Packets January 2005》