VPN解决方案说课讲解.doc

Good is good, but better carries it.精益求精，善益求善。VPN解决方案-新疆建设兵团商务局VPN解决方案新疆西线目录一、需求概述21.新疆兵团背景介绍22.客户具体需求分析3二、解决方案51.VPN技术在兵团商务局的应用分析52.兵团商务局对VPN技术的特殊要求63.兵团商务局VPN组网具体布署7三、方案优点及给客户带来的价值81.高效的IPSecVPN82.对IPSecVPN的多设备支持83.小型机构使用SSLVPN接入，不需安装、容易部署94.多种认证方式、高安全性95.更细致的访问控制功能、完善的用户和资源管理106.多线路智能选择，解决跨运营商网络互联问题107.集成的防火墙保护118.支持动态IP、方便易用119.其他应用支持11四、方案选型111、设备选型及介绍112.1部署SINFORVPN设备172.2移动接入用户应用18五、实施与售后服务201.安装和实施202.技术服务支持203.使用培训22六、典型客户231、相关案例介绍232、其他部分用户名单25兵团商务局VPN解决方案一、 需求概述1. 新疆兵团背景介绍新疆生产建设兵团(简称新疆兵团)。新疆兵团分布在新疆维吾尔自治区14个地州，100个县市境内。新疆维吾尔自治区位于中国西北部，地处东经73°40-96°23，北纬34°25-49°10之间，面积166.49万平方公里，占中国国土面积的六分之一。新疆兵团总人口256.98万人，其中，城市人口67.34万人；农牧团场人口189.64万人，分别占总人口26.2和73.8。新疆兵团是一个多民族聚集的地方，有汉、维吾尔、哈萨克族、回、蒙古、锡伯、塔吉克、俄罗斯、乌孜别克、塔塔尔、满等38个民族。2005年末，新疆兵团汉族人口225.73万人，维吾尔族人口17.87万人，哈萨克族人口4.31万人，回族人口6.52万人，蒙古族人口0.65万人，其他民族人口1.89万人。新疆现有民用机场12个，航线127条，新疆铁路营业里程已达2,925公里，铁路运输能力大幅度提高。通车里程8.95万公里(新疆兵团3.17万公里)，已形成以乌鲁木齐为中心的吐乌大高等级公路、乌奎高速公路等。电讯、互联网数据通信网、多媒体通信网发展迅速，相继建成了覆盖全疆，各地州、师、市的ATM宽带网，并开展了IP宽带网、城域网的建设，初步形成了程控交换、光纤通信、数字微波、卫星通信、移动通信等完整的现代化通讯体系。2005年末，全区固定电话数达到612.2万户，移动电话用户达到531.30万户。互联网用户105.78万户。新疆兵团商务局与国家商务部机电司、贸发局自2002年以来连续在哈萨克斯坦共同承办了中国机电产品展览会、中国商品展览会。亚洲商品展览会是中西亚国家规模最大的贸易与投资洽谈会。展会的成功举办，在中亚地区影响较大，已成为中国与哈萨克斯坦以及周边中亚国家企业开展经贸合作和交流的重要平台。目前兵团商务局在全疆也部署了一些业务系统，包括OA办公，视频会议，财务，商情，产业预警，市场监测，下属的一些各师级商务局和企业都需要接入到兵团商务局总部来实现机构之间的互联互通，企业用户也需要接入到信息平台来实现远程移动办公，针对上述需求，兵团商务局也在考虑远程接入这种方式带来的安全，快捷，效率，易用性等多方面的问题，具体表现在以下几个方面。1， 对于总部<->各师商务局级互联，可以采用VPN技术来达到互联的要求，并且在采用专线技术时，同样需要考虑到在专线中断情况下对专线线路的备份需要。另外在考虑到专线线路费用高昂问题时，就需要使用VPN技术来满足经济性的要求。2， 对于各师级<->各企业的互联，因为企业分支机构数量众多，采用专线不管是从经济性方面还是实际实施中遇到的各种条件限制，专线方式都是不可取的，对于本类连接更多的应该考虑使用专线以外的技术，比如SSL-VPN技术。3， 机构的网络互连后，怎样保证数据传输的安全性，机密性？若系统直接放在公网上以供下级单位访问使用，安全性和机密性毫无保障，所以这就需要一种对信息传输机密性有保障的技术给予解决。4， 下级单位访问上级单位的数据资源等信息，必须能够做到权限的控制和划分，不同的接入用户具有不同的访问权限，并且对接入用户的访问操作必须有日志记录，以便日后审计。5， 如何鉴别访问省级数据中心的人员是内部可靠的人员，而不是第三方或黑客轻易地访问到内部系统。2. 从上面提到的几个问题，我们得出结论，为了更好的达到“兵团商务局-VPN”工程的目标，在分支节点网络互连方面需要考虑全面，从连通方式上看，要因地制宜，而不应单单局限于专线方式；从数据传输的安全性方面，需要得以保证，以免数据泄露或遭到篡改；从访问权限方面看，要给不同的接入用户分配合适的访问权限；最后对接入用户访问行为的审计方面，要做到所有访问行为要有日志记录。客户具体需求分析兵团商务局VPN系统详细需求分析目前就是14个师级分支机构需要统一接入到兵团商务局，还有一些企业用户（包括外贸企业，内贸企业，生产企业）共计1000家左右。这些机构都要随时随地与兵团商务局进行远程互联，进行业务数据的有效传输。通过在兵团商务局普遍存在的问题，我们看到信息化建设在以下几个方面存在的不足需要解决：Ø 数据传输的安全性需要得以保证因为该互联线路所传输的数据是关乎公民切身利益的信息，这些数据绝对不允许篡改甚至是窃取，数据传输的安全性需要着重考虑。Ø 接入用户访问权限控制和行为记录与审计不管是下级机构接入访问上级机构的数据等资源，还是其他访问行为，都需要针对不同的接入用户分配不同的访问权限；用户访问操作行为需要有日志记录，以便日后进行审计。Ø 接入机构本地网络和上级机构网络带宽瓶颈问题下级接入机构的本地公网接入所采用的运营商可能与上级机构本地公网接入所采用的运营商不同，比如下级机构使用中国电信接入本地公网，而上级机构使用中国网通接入本地公网，电信和网通之间的带宽瓶颈问题将导致下级机构访问上级机构也遭遇同样的带宽瓶颈问题，为使这些下级机构访问上级机构的带宽和访问速度得到保证，需要上级机构的网络支持多运营商线路接入。Ø 访问速度和易用性的问题机构的互联不管采用何种方式，用户的访问速度必须得到保证。另外，社区居委会用户的IT水平参差不齐，系统的使用需要简单方便，易用性方面需要着重考虑。根据以上需求，我们深信服科技认为VPN技术是一种理想的解决方式。采用IPSecVPN可以经济安全的将市级机构到省级机构互联，并且完成区县级机构到市级机构的互联，同时也可以作为已有专线线路的备份线路，在保证线路的高可用性的同时，可以对业务数据进行分流；采用SSLVPN作为社区居委会到区县级机构的互联方式，SSLVPN经济安全的满足了互联的要求，并且凭借SSLVPN的易用性，便于各层次人员的使用。凭借深信服科技在VPN方面长期的投入和研发，深信服科技的VPN解决方案不管是访问速度，安全性，可靠性，权限划分，用户访问行为记录和审计等方面都能满足用户的需求。二、解决方案1. VPN技术在兵团商务局的应用分析VPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（InternetServiceProvider服务提供商）和其它NSP（NetworkServiceprovider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。VPN技术经过多年的发展，截至目前看，业界使用最多的两种VPN技术即：IPSecVPN和SSLVPN。IPSecVPN是目前VPN的主流技术之一，IPSEC协议最初是为了解决sitetosite的安全问题而制定的，因此IPSecVPN在解决网对网互联，比如分支机构和总部机构进行互联的需求时，是最合适的VPN技术，但是在出现远程移动用户需要通过VPN接入机构内部网络时，IPSecVPN虽然也能解决该问题，但是其中遇到的一些问题，却不能尽如人意，因此在面临endtosite应用情况下已经力不从心。首先是客户端配置问题：在每个远程接入的终端都需要安装相应的IPSecVPN客户端软件，并且需要做复杂的配置，随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSecVPN客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端软件的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。其次是IPSecVPN自身安全问题：往往传统的IPSecVPN解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径，并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷（随着技术的发展，新兴的VPN厂商已经着手改进这些问题并取得了相应的成绩）。然后是对网络的支持问题：传统的IPSecVPN在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于IPSecVPN对防火墙的安全策略的配置较为复杂（往往要开放一些非常用端口），因此客户端的网络适应性还是不能做到百分之百完美。最后是移动设备支持问题：随着未来通讯技术的发展，移动终端的种类将会越来越多，IPSecVPN客户端软件需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。因此，SSLVPN技术应运而生。SSLVPN的突出优势在于Web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。SSLVPN在Web的易用性和安全性方面架起了一座桥梁。目前，对SSLVPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。所有的远程用户只需要打开IE浏览器（也可以是Netscape，Mozilla,Firefox等浏览器）访问总部机构的InternetIP即可成功接入总部机构内部网络。但SSLVPN并不能取代IPSecVPN。因为，这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性，更多应用在移动用户和远程用户的远程安全接入方面，用于解决endtosite的互联问题；而IPSecVPN是在两个局域网之间通过Internet建立的安全连接，保护的是网对网之间的通信，用于解决sitetosite的互联问题，并且，IPSecVPN工作于网络层。IPSecVPN构建了局域网之间的虚拟专用网络。2. 通过两种VPN技术的对比，显然可见IPSecVPN适用于远程分支机构和总部机构的网对网的互联情况；SSLVPN适用于远程移动接入用户访问总部机构的内部网络。那么，如何使用这两种VPN技术来解决最低生活保障机构的节点互联问题呢？兵团商务局对VPN技术的特殊要求我们知道，为了满足众多的企业级的分支节点能够访问上级机构的应用数据资源，并且企业级的机构一般人员较少，IT水平参差不齐，并且对该机构发起的对上层机构的访问需要做到严格的授权访问，我需要提供一种技术手段来解决以下几个问题，1， 因为企业级节点数量多，提供的接入方式必须经济。2， 由于接入人员的IT水平有限，所提供的接入方式必须简单好用，且不易出现问题。3， 为了实现严格的授权访问，该技术必须做到给合适的用户授予合适的权限。因此，我们建议机构在解决对于总部<->各师商务局级互联访问上层机构时使用IPSECVPN技术加以解决。首先使用IPSECVPN只需要接入用户能够接入本地Internet即可，常用的ADSL技术即能满足该需求；SSLVPN因为不需要在客户端安装任何客户端软件，操作使用简单，适应多种接入设备，且不易发生问题，正好适合了IT水平有限这样一种实际情况；另外SSLVPN对接入用户的访问权限可以控制到URL地址级别，做到严格授权。由此我们推荐兵团商务局，总部<->各师商务局时采用深信服的IPSecVPN技术进行互联，对从各师商务局到企业机构的互联，采用深信服的SSLVPN技术加以解决。这两种VPN技术都可以使用一台深信服的IPSec/SSLVPN二合一设备就可以满足，节省了用户的投资成本，同时为日后的进一步扩展也提供了技术和功能的保证。3. 兵团商务局VPN组网具体布署VPN组网方案：三、方案优点及给客户带来的价值通过深信服科技使用IPSec/SSL一体化的SINFORSSLM5100（型号）的具体实施给客户带来以下优点：1. 高效的IPSecVPN传统的IPSecVPN因为在对原始IP数据包进行加密重封装后，增加了冗余数据，导致传统的IPSecVPN在传输数据时的效率只有明文传输效率的70%-80%，这样就降低了带宽的使用效率。但是在使用深信服科技的IPSec/SSLVPN二合一网关设备后，借助于深信服科技独有的数据压缩和封包技术，深信服已经将IPSecVPN传输的数据效率提高到130%以上，比采用明文传输速度还要快，充分利用率带宽资源，尤其是在传输word文档，bmp文件时，传输效率甚至能达到明文传输的5倍以上，提升带宽利用率，给互联用户更快的网络访问享受。另外传统的IPSecVPN面临着对NAT环境的兼容性问题，虽然业界已经推出相关技术加以解决，但是实际情况并不如人意，尤其不能适应中国这种公网IP地址匮乏，普遍采用NAT技术的网络环境，深信服科技凭借在VPN领域多年的长期投入和潜心研发，采用了先进的封包技术，保证了深信服科技的IPSecVPN数据包能够适应各种NAT环境，提升了深信服IPSecSSLVPN二合一设备的网络适应性。2. 对IPSecVPN的多设备支持深信服科技从2001年进入VPN领域，凭借对研发的高投入，迅速成为业界VPN领域的领导厂商，申请了十余项专利。深信服科技在业界率先推出了IPSec/SSLVPN二合一设备，使得用户购买一台设备，即可得到两种VPN技术的支持。针对IPSecVPN，深信服科技亦提供有单独的IPSecVPN硬件网关设备，或者软件网关和二合一设备，所有以上这些设备和软件都可以进行IPSecVPN互联。给用户多种选择，针对不同的应用环境和需求，使用不同的方案加以解决。深信服的IPSecVPN技术同样可以应用于移动用户的接入或者超小型分支机构人员的接入，只需要每个接入用户的客户端安装深信服的IPSecVPN客户端软件。3. 小型机构使用SSLVPN接入，不需安装、容易部署针对企业用户，该机构接入人员一般较少，如果使用IPSecVPN网对网互联的解决方案，需要该机构购买单独的IPSec设备，经济性不佳，且该设备需要专业配置，一旦出现问题，维护管理都不方便。所以，将该小型机构人员作为远程移动用户，采用移动接入方式将简化部署，使用方便。传统的IPSecVPN在部署解决移动接入时，往往需要这些小型机构的用户安装相应的IPSecVPN客户端软件，并需要做复杂的配置。由于IPSecVPN客户端软件在部署过程中需要进行配置，这严重影响了整个VPN系统在乡镇街道等小型机构互联应用中的使用，对于大量乡镇街道等小型机构的用户来说，如果需要其掌握专业的技术才能应用，必将极大影响整个应用的部署。另一方面如果乡镇街道等小型机构远程接入和移动办公数量增多，系统的维护成本将会成线性增加。而SINFORM5X00-SVPN提供的SSLVPN功能，最大的好处之一就是不需要安装客户端软件程序，乡镇街道等小型机构用户可以随时随地从任何浏览器上安全的接入到上级网络，安全地访问应用数据资源，无需安装或设定客户端软件。降低了维护成本。而且由于只使用443端口传输数据，避免了在上级机构的防火墙上作过多的部署。使用SSL协议和标准的浏览器可以轻易穿越防火墙，而且不管乡镇街道等小型机构的用户采用何种Internet接入方式，都可以方便接入VPN网络，避免了网络兼容性的麻烦。因而，SSLVPN在解决乡镇街道等小型机构接入上级区县级机构的需求上有着突出的优势。4. 多种认证方式、高安全性由于兵团商务局保存的数据和每个公民的切身利益密切相关，使得数据传输的安全性必须得到高度的重视。采用深信服的IPSecVPN解决方案来完成两级机构网对网互联时，采用美国国防部使用的128-bitAES算法，保证数据加密的快速和机密性。在双方的IPSecVPN通道建立前，除采用传统的预共享用户名密码方式，还提供深信服的专利：硬件鉴权技术，使得只有指定的硬件设备才能和对端进行IPSecVPN连接。SINFORM5X00S二合一设备中SSLVPN采用SSL协议加密建立安全的专用加密通道，除了使用1024位的非对称密钥加强安全性，还使用DKEY(一种USB的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。SINFORM5X00S支持USB-Key，动态令牌卡，短信认证等多种安全认证方式，设备内置CA中心用以完成数字证书方式的认证。可以根据相应的安全级别，对客户端组合几种认证方式，最大限度地保证了接入用户的合法性。同时，由于在隧道连接过程中，SINFORSSLVPN仅仅使用443端口传输数据，大大降低了病毒从远程客户端入侵VPN网络的可能。5. 更细致的访问控制功能、完善的用户和资源管理兵团商务局存储有关系公民的切身利益的数据，所以不仅数据传输的安全性需要得到保障，下级机构对上级机构数据资源访问的权限控制也需要格外关注。深信服科技的IPSecVPN技术应用到网对网互联时，针对下级机构对上级机构的访问权限控制，可以根据被访问资源的IP地址，端口和所提供的服务等进行严格限制，保证只给下级机构分配合适的访问权限。使用SINFORM5X00S的SSLVPN技术，针对移动用户和社区居委会用户访问上级机构资源的权限控制方面，提供了细致到针对被访问资源的IP地址，端口，服务甚至是URL地址和时间段的不同应用权限划分，以适合各种复杂的组织结构和权限划分需求。基于角色的访问限制为最低生活保障机构提供了更强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。SINFORM5X00-S内置有多种用户和资源管理方式，可以自建用户，也可以从第三方导入。SINFORM5X00-S支持与用户网络中现有的LDAP，AD，RADIUS等第三方认证服务器无缝配合使用，可以根据组、公用帐号、私有帐号等多种方式对用户进行管理。同时，SINFORM5X00-S集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式，保证了用户合理地使用VPN资源。并且，在SINFORM5X00-S直观式管理图形用户界面（GUI）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个VPN系统的运行状况。6. 多线路智能选择，解决跨运营商网络互联问题不同的机构可能使用不同的网络运营商提供的线路接入Internet，典型的电信线路和网通线路之间互访存在带宽瓶颈问题，导致延迟大，有丢包情况，严重影响了VPN应用系统的可用性。而使用SINFORM5X00-SVPN设备将根据机构的接入源地址，引导机构接入相应的线路端口，访问目的资源，体现了自适应智能选路功能。比如地市级机构的SINFORVPN二合一设备同时连接了多条电信和网通的线路，下辖机构采用了网通的线路作为此机构连接Internet的出口，该下辖机构在访问上级机构时肯定需要使用网通线路接入上级机构网络，数据回包时，同样通过上级机构的网通线路进行回包，如此提高了数据的传输速度。7. 集成的防火墙保护和其他多数厂商提供的VPN解决方案不同，SINFORM5X00-S集成了高性能的基于状态检测的企业级防火墙，能够对进出设备的数据进行严格过滤，能有效保护内部服务器免受来自Internet的各种攻击，包括对开放端口的DOS攻击。8. 支持动态IP、方便易用由于宽带的普及，和乡镇街道类分支机构的数量众多，该类机构很多是采用ADSL拨号方式来连接Internet的，因此该类机构获得的是动态的IP地址。SINFORM5X00-S集成了深信服科技的专利技术：基于webagent的动态IP寻址技术，使得SINFORM5X00-S在部署的时候无需固定IP，完全支持动态IP。9. 其他应用支持IPSecVPN工作在网络层，对上层应用透明，所以对内部网络中部署的各种IT应用都具有良好的支持；SSLVPN技术起初只是为解决基于B/S架构应用通过SSLVPN技术进行扩展，但是深信服科技凭借强大的技术研发实力，已经做到可以将内部网络中所有基于TCP/UDP/ICMP的应用扩展到您的SSLVPN网络中，包括VoIP和视频等应用。四、方案选型1、设备选型及介绍根据对用户的需求的分析，本方案推荐使用深信服科技的SINFORM5X00-S一体化网关分别布署在14个师级单位，它是国内第一款IPSEC/SSL一体化设备，隶属于M5X00产品系列。M5X00-S系列设备是中高端VPN产品中的典范，丰富的功能特性和优秀的性能使得它荣膺05年度计算机世界“年度产品奖”及“编辑推荐选择奖”。正如前面的方案分析中我们所得到的结论，SINFORM5X00-S一体化网关在这个项目上是十分合适的，以下是此设备的基本性能参数（根据具体设备更改参照SSL性能参数Excel表）：SINFORM5100-S设备参数：分类功能详细指标IPSecVPN性能参数IPSecVPN加密速度（AES128bits）98MbpsIPSecVPN隧道数2300条IPSecVPN转发时延0.3-0.5ms并发IPSec客户端数2300SSLVPN性能参数SSLVPN加密速度（RC4128bits）130MbpsSSLVPN并发会话数6000SSLVPN转发时延0.3-0.5ms并发SSL用户数400每秒新建会话数400防火墙性能参数防火墙吞吐量（双向256bits包）300Mbps最大并发会话数目500,000最大防火墙规则数目65535最大URL匹配数目1024最大时间规则数目1024最大QOS规则数目1024网络接口局域网接口100BASE-T(RJ-45)*2广域网接口100BASE-T(RJ-45)*2可扩展接口无串口RS232*1电气特性电源180-240V冗余电源无使用环境温度-1050使用环境湿度590%，非冷凝尺寸(cm)42.7(W)×32.9(D)×4.45(H)重量4.5Kg功能特性：集成IPSec和SSL两套VPN系统SINFORM5100-S系列产品集成了IPSecVPN、SSLVPN、和防火墙功能，为企业提供了最佳的网络互连解决方案。特性优势IPSecVPN功能采用Webagent动态IP寻址技术支持动态IP组网；多线路复用技术实现VPN的带宽叠加和线路备份功能；基于硬件的HARDCA身份认证、USBKey的VPN客户端、以及VPN内细致的权限控制，保证只有指定的用户，使用指定的计算机才可以接入VPN访问指定的资源；NAT穿透功能使得用户在部署IPSecVPN时无需更改网络结构；QOS流量控制，保证VPN内重要业务数据优先传送；SSLVPN功能支持域名、Webagent、固定IP等寻址方式；支持网络层以上的所有B/S和C/S应用；提供基于角色的管理，可根据用户、用户组提供细致的访问权限控制，为不同的接入用户分配不同的权限；支持客户端安全检查功能，可定制客户端登陆界面；独特的短信认证、USBKey认证等功能，保证SSLVPN安全接入；防火墙功能企业级的包过滤状态检测防火墙；防DOS功能不仅有效防止外部的DOS攻击，而且对于内部发起的攻击也可以有效防范；高安全性SINFORM5100-S系列产品提供了多种安全机制，有效保证了用户接入、数据传输和访问的安全性。特性优势隧道加密IPSecVPN采用AES128bits加密算法保证数据安装传输，可扩展第三方加密；SSLVPN使用标准浏览器内置的安全套接层（SSL协议）保证数据安全；加密算法支持主流的商业加密算法，包括：AES、DES、3DES、MD5、SHA、DH、RSA等，并可支持加载扩展其他安全算法模块；捆绑认证平台一次性口令短信认证、动态令牌认证，内置CA中心；支持多种认证机制支持LocalDB，LDAP/AD，Radius等第三方认证；基于硬件的HARDCA身份认证、USBKey双因素认证等安全认证更有效地实现VPN用户的安全接入；支持第三方CA认证和PKI体系；客户端安全客户端安全检测，检查远程用户登录设备完整性；注销后自动清除所有缓存和临时文件，实现“零痕迹”访问；不活动检测引擎，超时退出，防止信息遗留；提供VPN专线功能，接入VPN后断开与Internet的连接；防火墙功能支持包过滤、URL过滤、访问监控、上网控制、用户认证、流量控制、Qos、DHCP服务等；独有的防火墙规则虚拟在线测试技术可避免人为设置错误产生安全隐患；防DOS攻击功能不仅能够防止来自外部的DOS攻击（如SYNFlood攻击），对于内部发起的DOS攻击也可进行有效防御；访问资源权限控制SINFORM5100-S系列产品内置了多种对象管理方式，为用户接入提供了细粒度的权限控制，并可自定义多种策略。特性优势多种对象管理支持用户、组等管理方式，对URL、服务、IP等各项资源进行高细粒度的接入控制和管理；细致的权限控制基于角色的管理、细致的访问权限划分，有效控制VPN接入用户访问权限；统一授权权限设定和域服务器/LDAP服务器保持同步高速特性SINFORM5100-S系列产品集成了多路复用技术、多线路智能选路功能以及高效的压缩算法和性能加速卡，为VPN接入提供了更快的应用体验。特性优势多线路复用技术可支持多达2条Internet线路的带宽叠加和备份，实现上网线路的互为备份和负载均衡，增加VPN网络稳定性；线路智能选路自动选择最优线路，解决不同运营商网络之间访问VPN资源时存在的延迟和速度问题；基于硬件的SSL加速可选高速的SSLVPN硬件加速卡，提高SSLVPN吞吐性能内置LZO压缩算法提高VPN传输速度，实现更快的应用性能；高可用性SINFORM5100-S系列产品为用户提供了访问丰富应用资源的基础平台。基于Web的单点登陆，有效提高用户工作效率。特性优势支持所有应用无论IPSecVPN还是SSLVPN，均可实现所有基于IP（TCP、UDP、ICMP）协议之上的各种C/S、B/S应用；基于Web的单点登陆减少用户在使用基于Web或其他应用时，重复输入账号或口令等工作；手持终端接入支持PocketPC、PDA、SmartPhone、Palm、智能手机等移动设备的接入；多种工作方式支持网关模式、单臂模式可扩展性SINFORM5100-S系列产品提供了灵活的授权策略和扩展特性，并可通过升级获得新的功能特性。特性优势灵活的授权策略通过升级序列号可获得更多的接入授权；通过升级OS获得新特性支持本地和远程升级SinforOS和SinforSSLVPN模块，获得新特性支持升级至SC集中管理平台可升级至SINFORSC版本实现集中管理和实时监控，并实现策略的自动更新、离线配置和智能升级；通过升级至UTM版本，实现更多安全功能可升级至SINFORUTM多功能网关平台，集成更多的安全功能如：网关杀毒、IPS、上网行为管理、反垃圾邮件和上网行为管理等；支持所有SINFOR产品互连所有SINFORVPN产品都可互连互通，按需构建整体VPN网络；高稳定性SINFORM5100-S系列产品独创的多线路技术，为用户提供了稳定线路备份和冗余。同时，双机双系统备份、隧道自愈等功能，为用户提供了一个稳定高效的VPN基础平台。特性优势多线路备份和负载均衡支持多达2条Internet线路的线路备份和负载均衡；多种工作方式支持路由模式、透明模式，部署灵活隧道自愈一旦线路恢复，隧道将自行愈合，无需人工干预；双机热备支持双机热备，自动同步配置信息，一旦出现故障，设备将自动切换，保证VPN正常运行；平均无故障时间40000小时简化的可管理性SINFORM5100-S系列产品提供了人性化的管理界面、丰富的日志中心以及集中管理功能，用户仅仅通过简单的几步即可完成VPN部署和管理。特性优势Web管理界面支持SSL加密的WEB图形化界面进行设备配置和管理，支持中文/英文界面，可采用配置向导进行快速配置、CLI高级配置和远程管理，提供人性化的配置向导，可在三十分钟内部署完毕；可定制的客户端登陆界面为不同角色的用户提供个性化的登陆界面，从而改进用户体验；SNMP通过以标准方式集成第三方管理系统，实现更强大的监控功能；备份功能支持本地和远程备份及恢复，日志以文件方式备份集中管理可升级至SINFORSC版本可实现统一的日志统计和报表功能；丰富的日志中心提供细粒度的审计和日志功能，记录所有成功或不成功的访问内容请求，用户访问的时间、访问地址、所访问的资源、会话持续时间等信息，提供详细的系统信息，支持独立的第三方日志服务器；降低总体拥有成本除了拥有更高的安全优势、更快的应用以及更好管理的VPN特性外，SINFORM5100-S还提供多种特性降低企业的总体拥有成本。特性优势集成多种安全功能单台设备同时提供IPSec和SSLVPN功能，并集成企业级防火墙，性价比高；所有标准浏览器均支持的SSLVPNSSLVPN降低部署和维护客户端成本自由分配VPN授权数用户可自主分配IPSec和SSLVPN的客户端授权数2.1部署SINFORVPN设备机构部署SINFORVPN网关设备，部署位置可与现有防火墙并行：采用这种接法时，SINFORVPN设备的WAN口从路由器获得公网IP，LAN口接内网交换机，此时SINFORVPN设备作为独立网关，其自带防火墙将充分发挥防御作用，与现有防火墙一起保护内网安全。SINFORVPN设备也支持单臂接法，WAN口空出不接，仅将LAN口接入内网交换机。如下图：采用这种接法时，需要在现有防火墙上开放至VPN设备LAN口IP的80端口（可选）、443端口和IPSecVPN用到的TCP/UDP500端口，4009端口和协议号为50和51的防火墙策略。由于WAN口没有接，此时SINFORVPN设备的自带防火墙将不发挥作用。2.2移动接入用户应用由于SSL协议的特殊性，接入用户的客户端事先并不需要安装任何程序，只要在IE浏览器（或Netscape，Mozilla，Firefox等浏览器）中输入SINFORVPN设备对应的公网IP地址（在动态IP环境下访问WebAgent或动态域名）。初次登录时系统会提示您安装ProxyIE控件，此后每次登录，只需进行相应的身份认证即可。对于采用USBKEY作严格身份认证的用户，登录全过程如下：确保本机接入Internet将DKEY插入电脑中的USB口，在IE浏览器中输入SINFORVPN设备对应的链接地址在出现的如下对话框中输入PIN码接入成功，开始访问资源其它未使用DKEY的用户可以使用简单的用户名/密码登录，也可以在IE中导入机构分配给自己的软证书进行登录。登录成功后的统一界面如下：因为深信服的移动授权是按照单个计费，所以用户可以根据自己的需要采购，可以按照接入用户的需求数量向深信服采购准确的移动客户端，避免了资金投入的浪费，也节省了管理成本。机构也可以通过把移动客户端租赁给下级分支机构达到收回成本的目的（租赁带KEY的和直接租赁授权两种）五、实施与售后服务新疆西线将在提供产品的同时向提供从安装实施到售后技术支持的一系列服务，具体内容包括：1. 安装和实施Ø 西线网络与深信服商定实施工期、制定实施计划和验收标准。Ø 组织实施人员进行VPN设备的安装、调试、调优工作，建立合理的项目建设机制，保证工程的安装服务质量。Ø 实施结束后，如果××日XX机构验收不合格，则由西线网络负责找出原因并改进，直至验收合格。2. 验收完毕后提供完整的技术文档，内容包括：系统的信息记录、操作维护、调试的方法以及常见故障处理等等。技术服务支持Ø 一年免费电话支持服务：免费技术支持热线：800-830-6430深信服公司提供以上技术支持热线的7×24小时技术支持服务西线网络公司提供7*24小时技术服务，服务电话：0991-5566369Ø 远程技术支持服务验收合格1年内，西线网络免费提供远程技术支持服务，即：出现网络故障，通过电话支持无法解决的情况下，可通过远程调试技术支持服务予以协助解决。Ø 提供时间：星期一到星期五：每天10:3021:00星期六：11:0013:00设备更换验收合格1年内，由非人为因素造成的设备损坏，西线网络负责予以免费更换及现场安装调试；由人为因素造成的设备损坏，西线网络负责提供备件予以更换，并提供现场安装调试服务，备件价格可向西线网络索取。设备升级1年质保期内，如同型号VPN设备有任何升级动作，西线网络将在第一时间告知并建议升级。所有升级工作将由西线网络工程师完成。上门服务（限有办事机构地区）（厂家提供服务）验收合格1年内，深信服公司提供5次上门维护。在出现网络故障，电话支持、远程协助等方式无法解决的情况下，SINFOR工程师会在您提出上门要求后，2小时内予以响应并赶赴现场，帮助解决相关的故障。以下是目前能提供上门服务的区域分布图：如果上述区域之外的客户要求提供上门服务，需支付深信服工程师相应的差旅、住宿费用。Ø 如果一年内深信服上门服务次数已达5次，客户还要求继续提供上门服务时，深信服将按照500元/人·天的标准收取服务费用。质保期后服务承诺一年质保期后西线网络继续提供免费电话支持服务。需求方并可和西线网络签订维护保障合同，服务内容同上，金额按本次合同金额的15计算。3. 使用培训Ø 西线网络负责对用户进行客户端操作使用培训Ø 西线网络负责对系统管理员进行培训，使其掌握设备配置、日常维护的方法和技巧，并可独立进行操作、纠错处理，保证网络开通后的正常安全运行。六、典型客户1、 相关案例介绍SINFORVPN应用于广州市劳动保障局广州市劳动保障局是广州市政府主管全市最低生活保障工作的政府工作部门。其贯彻执行国家和省最低生活保障工作的法律、法规和方针