【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】(1)-精品文档整理-精品文档资料.docx

《【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】(1)-精品文档整理-精品文档资料.docx》由会员分享，可在线阅读，更多相关《【17、SSL VPN】网神SecSSL 3600安全接入网关系统-技术白皮书【1951】(1)-精品文档整理-精品文档资料.docx（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网神SecSSL 3600安全接入网关系统技术白皮书密级：公开日期：2019/5/1l 版权信息版权所有 2006-2019 网神信息技术（北京）股份有限公司，保留所有权利。l 版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联

2、公司均保留追究法律责任的权利。l 修订记录日期文档版本号修订内容修订人2018.4.1V1.0编写白皮书程铖2019.5.119.5.1更新白皮书程铖目录1.产品概述12.产品特色32.1业务连续性&安全性42.1.1全面防止中间人攻击42.1.2多种业务访问模式42.1.3业务平滑对接62.1.4双机互备&负载均衡72.1.5满足基于IP协议的需求82.1.6WSDP协议优化82.1.7移动应用单点登录82.1.8良好的网络适应性92.2数据保密性&完整性92.2.1安全桌面实现数据终端无痕92.2.2虚拟工作区102.2.3移动终端数据安全112.2.4国密算法112.2.5协同办公（与蓝

3、信配合）112.3终端安全&适用性112.3.1移动终端接入访问112.3.2硬件绑定122.3.3多系统支持122.3.4智能终端杀毒122.3.5移动应用检测132.3.6移动应用安全加固132.3.7移动应用封装132.3.8移动应用商店142.3.9智能准入控制142.3.10情景感知授权142.3.11移动终端管理142.3.12客户端安全检查152.4接入&认证多样性152.4.1多因素身份认证152.4.2多认证方式任意组合162.4.3独创二维码/动态口令二合一172.4.4云端无缝接入182.4.5IPv6远程接入182.4.6适应不同类型客户使用环境192.4.7多ISP接

4、入支持192.4.8L2tp over IPSec的接入方式202.4.9PPTP的接入方式202.4.10Trustconnect APP的接入方式202.4.11自助注册管理212.4.12二维码/推送免密登录212.5设备易管理&自安全222.5.1SSL/IPSec VPN二合一222.5.2集成企业级防火墙222.5.3CA管理中心232.5.4二维码扫描下载232.5.5系统监控及日志功能232.5.6Mini网关管理242.5.7多维度授权机制242.5.8灵活、安全的应用服务252.5.9虚拟站点隔离262.5.10系统三权分立263.技术优势273.1自主知识产权的SecOS

5、安全操作系统273.2业界独创二维码/动态码认证，便捷无缝接入273.3应用安全加固技术，拒绝反编译273.4全面支持IPv6网络IPv6283.5先进的多核并行技术283.6多链路智能选路技术293.7稳定的安全桌面技术293.8多种移动终端接入技术293.9TCP协议优化、数据流压缩技术303.10领先的移动端杀毒功能，确保移动办公终端环境安全。303.11前沿的虚拟工作区技术，为业务数据提供安全隔离加密防护。301. 产品概述本公司作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关系统系列产品。该系列VPN安全网关采用国

6、家密码管理局指定的加密算法，遵循国家密码管理局的SSL VPN技术规范，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。网神SecSSL 3600安全接入网关系统是以国际标准SSL/TLS协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SecSSL 3600安全接入网关系统全面支持IPv6安全接入，满足下一代互联网安全接入需求，为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让

7、用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX、MAC等系统的商业文件和应用程序，系统可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户访问不同安全级别的应用系统。网神SecSSL 3600安全接入网关系统精细化访问控制技术能够使你明确而容易地定义资源安全的发布，细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。全范围身份认证方法的支持：系统支持广泛范围的身份认证技术，包括用户名/密码、数字认证、LDAP、RADIUS、AD、数据库认证以及其它通用的多因素等认证系统。网

8、神SecSSL 3600安全接入网关系统产品让用户轻松而安全地实现远程访问，让公司的网络应用布署更灵活，同时，系统还可以为企业最大化地节约成本为企业用户提供最好的整体解决方案。网神SecSSL 3600安全接入网关系统通过結合 SSL/TLS和代理技术來减少风险终端控制技术检测、保护使用者环境，从而授权使用者的访问级別，策略执行不仅基于使用者名称，还能检测使用者环境的信任级別，可以针对那些需要特殊环境的使用者，提供最好的解決方案。系统提供了用户自己定义界面的功能 ，用户可以根据自己的个性，定制入口界面，用户还可以把登录的LOGO换成自己公司的，并且，可以让不同的用户定制属于自己的VPN界面。随

9、着移动互联网的发展，网神SecSSL 3600安全接入网关系统在移动端融合了EMM产品基础功能，实现了基于应用APP的安全封装技术，并且通过搭建企业内网的应用商店，定向推送安全封装以后的APP进行到指定的用户及用户组下载安装。移动端融合安全杀毒技术，保障用户在移动办公的设备环境安全。2. 产品特色网神SecSSL 3600安全接入网关系统为一款安全远程接入VPN的解决方案。它在允许远程访问的同时，实现了如上所述的种种安全功能，包括：l 对PC移动用户进行统一的身份进行认证管理。l 根据管理员定义的安全策略和客户端的安全状况，对用户进行授权。l 检测远端用户接入设备的安全状态。l 保证远端用户同

10、内部网络的通信安全。l 实时监控远程接入的安全连接。l 云端接入解决方案保证云端通信安全。l 软Token保证认证信息不被泄露。l 移动终端管控，实现MAM、MDM、MCM三合一，保证数据l 移动端APP安全封装技术，无需企业二次开发快速集成VPN功能。l 移动端企业内部安全应用商店，保障合法白名单的应用定向推送用户。l 移动端安卓设备安全杀毒功能，保障终端安全办公环境。与此同时，考虑到网神SecSSL 3600安全接入网关系统作为一个网络安全设备在网络中部署的便利性，对各种不同的网络环境的适应性以及用户使用的安全便利性，系统提供了双机备份、多ISP接入、客户端智能选路等网络适应能力。同时，为

11、了便于管理和审计，系统提供了灵活的用户管理方式和方便的日志管理功能。2.1 业务连续性&安全性2.1.1 全面防止中间人攻击中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。为了防止用户在登录业务系统时遭到中间人攻击，网神SecSSL 3600安全接入网关系统采用二维码认证/动态口令认证等方式。该认证方式采用

12、独立app（天鉴ID）、硬件设备（ITS）进行认证。认证过程中，通过手机获取二维码信息/动态口令信息，该信息直接发送到ITS中，ITS与网神SecSSL 3600安全接入网关系统直接在企业内网进行交互、确认，认证通过后，用户才可访问业务系统。该方式对认证信息进行了二次验证和确认，且认证信息采用独有编码方式进行加密，做到一人一机，黑客即使拦截到认证信息，也无法进行身份仿冒、信息截取和嗅探。2.1.2 多种业务访问模式企业的远程接入解决方案面对的是不同要求的客户，例如：需要给自己内部的员工提供对一些关键应用的访问服务，需要让IT人员能够通过其进行网络管理，需要为合作伙伴开放某一个专门的受SSL保护

13、的Web服务等。因此，为了满足不同的远程访问要求，网神SecSSL 3600安全接入网关系统为远程用户提供如下六种接入模式：代理服务（Proxy）代理服务（端口转发模式）可以帮助企业，实现任意基于TCP的应用延伸到Internet可以到达的地方，从而实现移动办公。网络连接（Network Connection）网络连接（虚拟网卡模式）方式可以使远程访问用户，访问企业内部网络的任意资源，可以帮助IT人员对企业网络实现远程维护或者部署一些VoIP服务。安全桌面（VSD）系统为用户提供了一种安全的桌面服务，能够保证用户在远程接入环境下使用时其访问的应用数据在PC端的安全加密的存储空间运行，确保终端数

14、据防泄漏。远程业务发布（WSDP）系统具有远程应用发布功能，实现快速将C/S 模式的资源B/S 化。远程应用接入采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登录服务器操作，输入输出内容（键盘输入、鼠标移动、运行结果在屏幕上的显示输出）则通过网络传输到客户端。安卓、IOS操作系统的智能终端只需要安装云桌面客户端，即可满足用户移动办公的需求。目的地址映射（DNAT）顾名思义，DNAT可以为企业提供网络层的服务映射，使得企业可以通过网神SecSSL 3600安全接入网关系统对外提供一些开放的服务。虚拟服务（Virtual Ser

15、vice）虚拟服务可以在系统上，为用户提供基于SSL加密的服务代理，这种应用模式可以保护企业的一些公开访问服务。2.1.3 业务平滑对接适用于windows操作系统的业务系统，无缝迁移到移动端（安卓和IOS），并且不需要客户二次开发。并且某些C/S 的系统架构在互联网中应用，面临最大的问题就是兼容性和响应效率问题。不少C/S 模式的系统，对安装移动终端的系统环境有着特定的要求；而在系统运作过程，客户机和服务器之间也需要反复传输数据和指令，这在互联网上容易被带宽以及线路的稳定性所影响。网神SecSSL 3600安全接入网关系统具有远程应用发布功能，实现快速将C/S 模式的资源B/S 化。远程应用

16、接入采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登录服务器操作，输入输出内容（键盘输入、鼠标移动、运行结果在屏幕上的显示输出）则通过网络传输到客户端。这样模式的好处：a) 软件的客户端也是安装运行在服务器上的，因此对客户端的运行环境就没有相关的要求限制，可以不用满足原来客户端要求的特定环境，也可以不要求客户端拥有比较高的硬件配置要求；b) 由于传输内容不包括应用数据，因此可大大降低网络数据传输量；c) 的远程应用发布技术与VPN 技术集成后，可为远程应用接入提供一个更加安全、更加完备的远程应用发布解决方案。2.1.4 双机

17、互备&负载均衡网神SecSSL 3600安全接入网关系统作为提供远程接入解决方案的门户，必须提供高可用的服务。系统支持双机热备，可以提供主从、主主两种业务模式。系统的HA功能，可以在不同的型号之间实现HA，只要软件版本相同即可，这样可以使用户既可以提供高可用性，也可以节约用户的投资。在主从模式下，两台网神SecSSL 3600安全接入网关系统构成一个HA对，其中只有主设备会对远程用户提供服务。两台设备上的接口可以对应形成一组，每一组接口可以使用一个浮动IP地址（Float IP），该浮动IP地址即为远程用户的访问地址，管理员可以通过浮动IP地址，也可以通过接口地址来访问系统进行管理。两台设备中

18、只有主设备拥有浮动IP地址，即如果访问浮动IP地址就是访问了主设备。在HA的主从模式下，管理员可以在任意一台设备上进行管理，其管理动作的结果将同时作用在两台设备上，从而实现设备间配置的同步。对从设备的管理只能使用接口地址。在主主模式下，构成HA的两台设备都会对远程用户提供服务。同样可以为每组接口提供一个浮动的IP地址，用户可以通过这个浮动IP访问系统，客户端能够根据两台设备的负载情况，自动地选择其中一台作为服务。并能够根据链路质量的变化和设备的负载情况动态切换。当系统是经过防火墙/NAT设备映射访问时，则客户端不能访问设备的接口IP地址，而是智能地访问映射地址。这就是在主主模式下，可以选择为系

19、统配置MAP IP的原因。2.1.5 满足基于IP协议的需求企业内部有时需要部署一些诸如VoIP的业务系统。这些应用需要使用一些动态的端口，而且需要任意两个端点之间可以通信。这就要求通过远程接入的用户需要能够被动地被他人访问，这是一般的网神SecSSL 3600安全接入网关系统的代理方式和Web转换方式无法满足的。针对这种情况，网神SecSSL 3600安全接入网关系统提供了网络连接访问方式。客户端登录系统之后，实现了客户端同Intranet之间网络层面的互连，客户端可以从服务器上获取Intranet的IP地址。从逻辑上看，远程客户就好像是在企业内部网络一样，因此网络连接访问方式可以承载任何基

20、于IP的应用。同时，系统可以实现在网络连接基础上的细粒度的访问控制，可以根据角色来实现对不同用户访问不同服务的控制。在精细控制的基础上，系统还可以允许通过网络连接登录用户之间的相互访问，使得系统真正为远程用户提供了局域网应用体验。2.1.6 WSDP协议优化智能终端用户通过WSDP实现内部各种应用系统业务交付。WSDP协议是通过优化RDP协议而来，其传输速度是RDP的2倍以上，其压缩率达到60-70%。2.1.7 移动应用单点登录 网神SecSSL 3600安全接入网关系统预留可扩展的移动应用单点登录模块, 在移动办公系统逐渐增多、各个系统间用户名/密码不同的情况下,为用户提供企业应用一键单点

21、登录的功能,免除用户 反复多次输入繁琐的用户名密码的麻烦,提高用户对单位 IT 部门的满意度。 2.1.8 良好的网络适应性网神SecSSL 3600安全接入网关系统在网络部署上具有高度的灵活性和适应性，不会影响用户的网络部署，不需要改变用户的网络配置，特别是支持代理穿越和域名解析功能。系统服务的配置和客户端的访问均可以支持域名方式，方便用户服务理解和管理。即使用户没有部署域名服务器，也可以通过系统内置的域名解析功能，手工添加或者导入用户定义的域名、IP地址对。2.2 数据保密性&完整性2.2.1 安全桌面实现数据终端无痕网神SecSSL 3600安全接入网关系统安全桌面功能采用沙箱技术来实现

22、。A、启用安全桌面认证结束后，在计算机终端自动开启一个虚拟的办公环境，对于终端客户来说是呈现出一个新的桌面，称之为安全桌面。在这个安全桌面内，操作性和原本的默认桌面是一致的，所以用户可以在安全桌面内保持其原有的操作习惯。在安全桌面中访问业务系统，并且其它相关的办公软件，如office、CAD等办公软件采用沙箱技术来实现都可以正常使用。B、数据安全规范安全桌面内所有客户端信息只能放在安全桌面中进行编辑、查看等操作、无法把各种业务数据拷贝到默认桌面，无法使用各种外设进行拷贝，并无法通过截屏、录屏等方式获取业务系统中的资料。C、访问记录在安全桌面内进行的访问在严格的监管和监控之下，独立的数据中心记录

23、用户访问的时间、访问资源等信息。D、安全桌面退出，自动清除所有遗留文件业务系统访问完毕之后，退出安全桌面，安全桌面内遗留的业务文件，将会被自动清除，留在原有硬盘文件中的系统信息，也会被自动清除。2.2.2 虚拟工作区同一移动终端设备上既有个人应用,又有企业数据和应用,个人应用可以随意访问、存取企业数据,企业应用同样也会触及到个人数据。为此防止工作区的数据遗落到个人数据区，所以采用虚拟工作区进行数据分离。个人数据与企业数据进行隔离，落地数据加密，第三方应用或转发到其它设备当中无法打开查看。 启用虚拟工作区之后，终端数据落地加密，数据采用AES256或者SM4加密算法，防止终端数据被拷贝出去而造成

24、数据泄密。当Trustconnect被卸载（或Trustconnect设备管理器服务被禁用）、设备进行了Root或者设备超过一定时间不能连接上网关的情况下，移动终端数据可以远程擦除，防止数据泄密。移动终端隧道控制策略，实现移动终端连接VPN以后，移动终端数据只能走VPN，不能访问互联网，从而实现防止数据泄密。2.2.3 移动终端数据安全移动终端数据落地加密，移动终端落地数据采用AES256加密算法，防止终端数据被拷贝出去而造成数据泄密。移动终端数据远程擦除，当移动终端丢失后，可对移动终端进行远程数据擦除，防止数据泄密。移动终端隧道控制策略，实现移动终端连接VPN以后，移动终端数据只能走VPN，

25、不能访问互联网，从而实现防止数据泄密。2.2.4 国密算法为了满足“国产”信息安全的需要，网神SecSSL 3600安全接入网关系统完整支持国密办算法，包括 SM1、SM2、SM3、SM4。2.2.5 协同办公（与蓝信配合）网神SecSSL 3600安全接入网关系统具有即时沟通功能：垂直沟通更快捷，横向沟通更流畅；企业信息实时推送，任意时间、任意地点、安全可靠随时办公（发起电话 会议、视频会议、访问OA系统等）。2.3 终端安全&适用性2.3.1 移动终端接入访问对IOS、Android等系统移动智能终端设备提供完美的支持，提供相应的VPN接入APP，并且会根据终端设备的类型调整登录界面，为用

26、户提供最好的显示效果。2.3.2 硬件绑定远程接入用户可以通过能够使用的任意主机，尝试接入企业内部网络，这些主机可能是用户公司所配置的，也可能是由机场或饭店等机构提供的公共主机。由于公司私有主机一般比公共主机配置了更加完备的安全策略，因此，用户使用已知的可信主机接入企业，是保证网络安全的更好选择。网神SecSSL 3600安全接入网关系统支持硬件绑定功能，强制用户只能从指定主机接入企业内网才能够成功。接入主机的高可信度提高了远程接入的安全性，同时，在确认该主机安全的情况下，也绝对防止了非法用户盗用用户账号后，从其他主机访问企业的非法行为。系统还将硬件绑定细分为三种模式，在不同模式下，用户拥有不

27、同的取消绑定或重绑定能力，从而满足了企业不同安全级别的需求。2.3.3 多系统支持支持国产化中标麒麟操作系统，提供专门针对该系统的客户端软件，在Linux系统平台下不依赖火狐浏览器，具备独立的SSL VPN客户端。支持MAC OS操作系统，并采用安装网神SecSSL 3600安全接入网关系统专业客户端Trustconnect安全访问业务系统，提升客户的易用性。2.3.4 智能终端杀毒集成移动终端杀毒引擎，保障移动终端免受病毒木马侵扰，避免移动终端被攻击者利用成为渗透企业内网的跳板。拥有完善的病毒防护体系，不但查杀能力出色，对于新生病毒和恶意软件也能够第一时间进行防御，为用户的移动设备提供严密保

28、护。2.3.5 移动应用检测移动终端的不断发展，移动应用越来越广泛，移动应用安全成为焦点。网神SecSSL 3600安全接入网关系统可对移动应用在封装和分发到移动终端之前进行安全监测，以保障移动应用安全。2.3.6 移动应用安全加固由于Android操作系统的开源特性，导致Android应用程序极大可能被他人反编译、恶意篡改、二次打包等，不仅给开发者带来名誉和金钱上的损失，还可能成为恶意程序的传播载体，使应用的用户遭受恶意广告骚扰，隐私信息被窃取甚至资金被窃取。为了保护APP应用不被非法篡改和二次打包，确保其自身代码的安全，我们与企业级移动应用加固服务进行强强联合，基于核心加密技术，给安卓应用

29、进行加密、加壳保护的安全技术产品，可保护应用远离恶意破解、反编译、二次打包，内存抓取等威胁，同时给应用提供数据加密、签名校验、防内存修改、完整性校验、应用安全检测等保护。2.3.7 移动应用封装应用APP成为市场的主流，为了保障应用的安全及不改变客户的使用习惯，减少客户的工作量和提升工作效率，网神实现应用封装功能，把应用APP与网神APP进行封装，展现出来的体验是应用的体验，完美的解决了客户的需求。2.3.8 移动应用商店应用封装完成新的APP如何展现在客户的智能终端上？客户的应用APP有很多，如何根据不同的人员属性来开放应用APP？应用商店解决了这样的问题。通过应用商店，可以根据不同的人员属

30、性来推送不同应用APP，包括封装好的APP。2.3.9 智能准入控制智能终端准入控制是根据终端杀毒扫描结果、终端是否root/越狱结果来决定是否允许登录。2.3.10 情景感知授权情景感知授权是根据终端杀毒扫描结果、终端是否root/越狱结果来决定给予不同用户组及用户访问不同资源的权限。2.3.11 移动终端管理 移动终端外设管理为了保障数据安全性，需要对移动终端的外设进行控制管理，如摄像头，防止在某些环境下造成数据的泄露。 移动终端密码策略管理为了保障移动终端安全，防范因为密码简单而造成的损失，需要对移动终端的密码强度进行管理，加强密码复杂度和难度。2.3.12 客户端安全检查网神SecSS

31、L 3600安全接入网关系统作为远程接入设备延伸了企业网络的边界，使得远程接入的用户可以访问内部的应用或者整个网络。因此，远程用户的计算机的安全要求必须符合企业的安全策略，以避免因为远程计算机上的安全漏洞导致整个内部网络受到攻击。因此，确保远程接入到企业内部网络的用户终端上的安全措施，能够满足企业的安全策略要求，成为了确保企业整体系统安全的一个重要环节。系统支持基于用户的终端安全检查和缓存清除，可以根据管理员的设定，检查远程计算机上是否安装了合适的防病毒软件、是否存在间谍软件、是否开启了不该开启的网络应用等。系统还可以根据管理员的定义清除指定的文件夹。这种灵活的终端安全措施，可以帮助企业实施自

32、己的终端安全策略，确保企业信息系统的安全。2.4 接入&认证多样性2.4.1 多因素身份认证网神SecSSL 3600安全接入网关系统支持多种认证方式的多因素组合认证，除了支持用户名密码方式的本地认证外，还支持证书认证、LDAP认证、AD认证、Radius认证、POP3认证、SMTP认证、IMAP认证、HTTP认证、数据库认证、OCSP认证、天鉴ID认证、二维码认证、短信验证码认证、Radius动态口令、邮箱验证码、蓝信认证和多因素认证共18中认证方式。并且可以将其中任意4种方式组合启用，并且配合硬件特征码绑定策略组合使用，满足客户特定应用场景的强身份认证需求。2.4.2 多认证方式任意组合网

33、神SecSSL 3600安全接入网关系统作为远程接入解决方案，可以把用户局域网络的边界延伸到Internet可以到达的地方。那么接入终端用户的安全性，将可能影响到整个企业网络的安全性。因此，保护用户登录口令的安全将至关重要。为保障用户口令的安全，系统提供如下多种措施：支持本地用户名/密码认证提供基本的身份认证方式，可利用此方式为基石与其他认证方式结合。支持数字证书认证并提供安全接入平台系统设备自建CA中心功能提供自建CA，可极大的降低企业使用成本并可与第三方CA体系进行结合。提供基于安全接入平台系统接入终端的硬件鉴权，支持自动审批，并支持多对多绑定策略，有效防止非法终端接入。支持短信网关认证可

34、帮助企业轻松实现双因素认证，提高身份认证安全级别。与第三方认证体系的无缝集成可与LDAP，Microsoft AD，RADIUS等第三方认证体系进行无缝集成，便于接入人员身份的统一管理。支持动态令牌认证进一步提升身份认证安全性。多种认证方式可实现多种认证方式组合，为企业提供最安全的组合认证手段。帐号绑定实现了安全接入平台系统帐号与访问资源帐户对应绑定，增强了认证强度。LDAP认证加密在LDAP认证中，保证用户敏感信息不泄漏。提供软键盘和图形码验证功能可以有效的避免安全接入平台系统设备受到恶意软件的骚扰。用户密码保护功能首次登陆强行修改密码，限定密码位数并进行密码过期前提示，多少天后强行修改密码

35、，有效降低密码被破解风险。网神SecSSL 3600安全接入网关系统的多种用户口令保护措施，有效地保护了远程用户的口令的安全，从而保障了企业的远程接入的安全性。2.4.3 独创二维码/动态口令二合一为了省去客户单独购买硬件Token、Token认证服务器的成本，网神SecSSL 3600安全接入网关系统独创天鉴ID（软token）。天鉴ID以软件app形式部署在移动终端产品中，并通过模块化的license控制植入在硬件VPN中。天鉴ID可适用于Android、iOS系统，通过app安装方式部署在手机、平板等移动设备中。天鉴ID中动态口令/二维码采用“时间+密码”的校验方式，保证动态口令/二维码

36、的时效性和准确性，防止数据被窃取、窃听、篡改，保障数据安全。2.4.4 IPv6远程接入为了满足客户IPv6网络远程用户接入的需求，网神SecSSL 3600安全接入网关系统已经完全满足并做到以下特点：产品自身支持基于IPV6的网络配置和管理，可以无缝的部署在IPV6网络中；产品支持IPV4和IPV6客户端的代理和NC模式实现网络安全接入，支持双栈工作和IPV4 和V6之间的协议转换；产品可以同时发布工作在IPV6和IPV4协议之上的应用服务；产品可以与工作在IPV6协议上的认证服务器和日志服务器配合工作。2.4.5 适应不同类型客户使用环境网神SecSSL 3600安全接入网关系统提供的远程

37、接入解决方案，能够让用户从各种不同的计算终端上访问企业内部网络，不仅包括Windows XP/Win7/win8/win10等通用的Windows平台，同时支持各种通用的Linux平台、MAC平台。系统支持移动终端用户采用Trustconnect app /L2TP over IPsec/PPTP等模式安全接入到VPN中，实现了智能手机、Pad的安全远程接入。系统的这种跨平台特性，为用户提供了方便的访问特性，极大地满足了用户的移动性需要。2.4.6 多ISP接入支持远程用户可能从不同的ISP接入到Internet，因此，如果网神SecSSL 3600安全接入网关系统设备不能提供连接多个ISP的

38、功能，那么就可能使得从不同运营商接入的客户具有不同的系统连接体验，甚至出现不能访问系统的情况。为了解决这个问题，就要求网神SecSSL 3600安全接入网关系统设备能够同时连接多个ISP，为客户提供多个可以连接的IP地址。但是远程客户往往不能判断自己应该使用哪一个IP地址，因此，网神SecSSL 3600安全接入网关系统需要能够根据客户的接入情况，智能地选择接入IP地址。系统支持多ISP接入的功能，可以解决该问题。系统的每一个接口，可以标注为Internal接口或者External接口。如果为External接口，那么就可以为该接口指定默认网关。如果有多个External接口有默认网关，那么就

39、可以实现连接多个ISP。同时，网神SecSSL 3600安全接入网关系统的客户端组件，能够从系统获取有多少个IP地址是可以使用的，并根据各个IP地址不同的连通性情况来决定使用哪一个IP地址作为连接地址，从而保证远程用户能够得到很好的使用体验。2.4.7 L2tp over IPSec的接入方式网神SecSSL 3600安全接入网关系统通过L2TP over IPsec的模式接入IOS和Android客户端。这种接入方式主要应用于客户的业务系统专门针对于IOS和Android开发客户端，通过智能终端与系统建立隧道，然后通过业务客户端访问业务系统。2.4.8 PPTP的接入方式 网神SecSSL

40、3600安全接入网关系统通过PPTP的模式接入IOS和Android客户端。这种接入方式主要应用于客户的业务系统专门针对于IOS和Android开发客户端，通过智能终端与系统建立隧道，然后通过业务客户端访问业务系统。2.4.9 Trustconnect APP的接入方式网神SecSSL 3600安全接入网关系统对于智能终端用户，支持安装安卓、IOS的Trustconnect APP，实现安卓手机、安卓PAD、IOS手机、IOS PAD的移动办公。这种方式可以避免用户安装各种应用系统的移动客户端，减少用户开发投资以及降低移动办公的复杂度。网神Trustconnect APP支持五种方式：第一种：

41、虚拟化WSDP协议来实现，通过传输客户端图像和坐标来实现数据的传输，这种方式需要远程应用发布服务器一起来实现。第二种：通过NC方式来实现，Trustconnect APP使得智能终端和网关之间建立一个加密通道，然后应用APP访问应用服务器实现业务访问。第三种：通过代理方式来实现，客户的应用是纯WEB的登陆方式，Trustconnect APP内置浏览器可对业务进行安全访问。第四种：提供Trustconnect APP SDK包给应用APP厂商，让应用APP厂商把Trustconnect APP SDK结合进去，实现二者无缝结合从而实现应用访问。第五种：提供应用APP安全封装功能，管理员只需要3

42、分钟即可自助完成APP集成网神Trustconnect APP SDK的功能，不改变用户使用体验。2.4.10 自助注册管理部署网关接入网关系统需要为每一个使用者分配用户账号和访问密码，这对于管理员而言是一个重复、繁琐的工作，网神SecSSL 3600安全接入网关系统创新的为用户提供一种用户自注册服务，实现了用户按需注册，指定人员审批的用户添加模式。在大型企业采用这种方式部署安全接入平台系统能够最大化的降低管理员的管理符合，提高产品的部署效率。2.4.11 二维码/推送免密登录网神SecSSL 3600安全接入网关系统配合天鉴ID智能终端，为客户提供了二维码扫码和推送的免密登录方式，避免了用户

43、密码的使用和泄露，在大幅度改善用户体验的同时，也极大的提高了接入VPN的安全性。免密登录可以使用VPN内置的天鉴ID服务，也可以配合外部天鉴ID安全网关一起运行。免密方式支持的客户端形态包括Web，Windows，MacOS（表现为扫码和推送），也支持Android，iOS（表现为一键登录）。2.5 设备易管理&自安全2.5.1 SSL/IPSec VPN二合一网神SecSSL 3600安全接入网关系统结合了IPSec和SSL 两套主流的VPN技术，实现了在一台安全网关设备上稳定高效运行两套VPN系统。对于企业分公司，可以使用IPSec VPN实现安全互连，而对于内部员工、合作伙伴、移动人员可

44、利用SSL VPN的易用性实现安全接入。最大限度地发挥了SSL / IPSec VPN给企业带来的效益，节约了企业大量的管理成本和投入成本，真正做到一台设备的投资，两种设备的功能 。2.5.2 集成企业级防火墙作为HTTPS服务器，所有SSL VPN都同样面临着DOS的威胁。所以大多数SSL VPN设备都需要前置防火墙保护其安全。而网神SecSSL 3600安全接入网关自身集成了企业级防火墙，具备防御DOS攻击、URL过滤、QOS限速、用户认证、应用过滤、计费查询等防御功能。2.5.3 CA管理中心网神SecSSL 3600安全接入网关系统提供基本的证书管理系统，可以作为一个可信CA为用户提供

45、证书签发管理服务。通过CA管理中心，企业可自建CA，避免单独购买CA的额外投资，减少投入成本。网神SecSSL 3600安全接入网关系统也可无缝支持已有的第三方CA认证。管理员可以从其他可信第三方CA为SSL-VPN申请了一个签名用的证书，可以在此处将其导入系统，作为SSL-VPN为用户签发证书使用的CA证书。2.5.4 二维码扫描下载支持Android系统APP提供二维码扫描下载，可以把生成的二维码提供给相应用户使用，扫描即可下载安装APP。2.5.5 系统监控及日志功能作为企业网络的一个边界门户，网神SecSSL 3600安全接入网关系统除了能够对用户进行认证/授权/控制之外，还需要能够记

46、录用户经过系统的行为，为系统审计提供数据基础。网神SecSSL 3600安全接入网关系统为管理员提供详细的Log记录，包括终端用户的登入、登出、认证、资源访问等，管理员对系统的设置信息等。同时，系统提供基于用户和服务的Top N信息的统计和导出，从而方便管理员了解应用使用情况。通过Top N信息，管理员可以知道哪些用户使用远程接入的时间最多，哪些用户登录次数最多，哪些用户利用传递的数据最大，哪些应用被使用得最多等信息。网神SecSSL 3600安全接入网关系统还支持对Log的定期导出，系统可以根据管理员的设置定期地将符合条件的Log形成文件，并传递到指定FTP服务器上，便于数据的长期保存。系统

47、也支持实时地通过Syslog，将数据传递到外部的日志服务器，便于企业对信息系统的Log进行统一管理。为方便管理员的审计活动，系统支持log session管理，将用户一次登录过程中的所有活动按照时间先后顺序整理到一个会话中，方便管理员查询、检索和分析。同时，网神SecSSL 3600安全接入网关系统还支持用户通过系统访问业务后的详细日志记录，如用户访问业务后的所采取的POST、GET等，以及访问业务各种URL地址，为用户管理事后溯源和追查起到积极作用。2.5.6 Mini网关管理网神SecSSL 3600安全接入网关系统能够对Mini网关进行管理，统一固件推送，在线Mini网关管理，并能进行策略推送实现portal认证。2.5.7 多维度授权机制网神SecSSL 3600安全接入网关系统授权机制以多个安全策略纬度为中心。用户登录时，会根据用户的属性查询用户的相关安全策略的分配情况，以决定授予用