【文章內(nèi)容簡介】 N 安全客戶端 )網(wǎng)絡示意圖在網(wǎng)絡的邊界處，部署 SGW25A Pro型安全網(wǎng)關，網(wǎng)關的 WAN口接 inter出口，LAN 口接醫(yī)院內(nèi)網(wǎng)核心交換機。外地門診部的 PC終端上安裝“VPN 安全客戶端”軟件，即可通過“帳戶+口令”或 USB KEY硬件認證的方式，和網(wǎng)關建立 VPN加密隧道，接入內(nèi)網(wǎng)，進而為各種 IP應用提供透明傳輸平臺。下面主要從功能、性能和網(wǎng)管三方面來對系統(tǒng)作全方面闡述。如上部署網(wǎng)絡安全設備： VPN 可以實現(xiàn)以下幾方面功能：1） 實現(xiàn)在外地門診終端或者移動用戶通過互聯(lián)網(wǎng)遠程接入醫(yī)院內(nèi)網(wǎng)，通過建立 VPN加密隧道，安全訪問醫(yī)院內(nèi)網(wǎng)的各應用系統(tǒng)（包括 B/S和 C/S的應用） ，在訪問過程確保數(shù)據(jù)傳輸安全。2） 在遠程接入（外地門診和移動辦公用戶）的計算機上，只需要插入經(jīng)過管理員授權的 Usb Key（強身份認證載體）或使用“帳戶+口令”的方式，并運行安全客戶端軟件，即可與VPN安全網(wǎng)關建立 VPN隧道，然后就可象在總院局域網(wǎng)內(nèi)一樣使用各種應用軟件。3） 如果需要的話（完全由 VPN設備管理員控制） ，可以實現(xiàn) USB KEY和遠程接入的 PC12機進行硬件綁定,這樣這個 USB KEY將只能在綁定的 PC機上使用。這樣可以提高安全性，使管理員嚴格指定的 PC才能接入總部，避免了門診部人員從其他地方（如：他家里）訪問醫(yī)院的內(nèi)網(wǎng)，避免了信息泄露的威脅。4） 如果需要的話（完全由 VPN設備管理員控制） ，可以讓門診接入的 PC終端在使用 VPN隧道時（即：和總院建立連網(wǎng)時） ，不能訪問互聯(lián)網(wǎng)中的其他地方（如：sina） ，進一步提高安全性。5） VPN安全網(wǎng)關能夠?qū)σ苿佑脩暨M行分類，分成不同的移動用戶組，如：財務部、人事部、IT 部等（如下圖） 。分類的移動用戶擁有不同的移動用戶 IP地址段，并可在網(wǎng)關上設定不同移動用戶組的 VPN訪問控制策略，確保不同身份的移動用戶接入到內(nèi)網(wǎng)后，只能訪問網(wǎng)管人員允許他能夠訪問的服務器/應用/指定的子網(wǎng)或 PC（如：只允許 XX系/部門的移動用戶只能訪問某些應用系統(tǒng)） 。6） VPN安全網(wǎng)關對外網(wǎng)可以抵御黑客的入侵，并可和 Firewall一起，構成兩道網(wǎng)絡防護屏障。并可和 IDS聯(lián)動，為以后進一步加強總部內(nèi)網(wǎng)的安全留下發(fā)展的空間。VPN 安全網(wǎng)關具備優(yōu)良的狀態(tài)檢測功能，可以防御外網(wǎng)對內(nèi)部主機的端口掃描、各種 DoS/DDoS攻擊等惡意攻擊行為。SGW25A Pro安全網(wǎng)關采用工控機架構，2 個網(wǎng)口均采用 10/100M自適應接口。經(jīng)上海信息安全測評認證中心專業(yè)測評：1） SGW25A Pro支持 50，000 個內(nèi)網(wǎng)并發(fā)會話數(shù)，150 個 VPN并發(fā)用戶；在高強度加密下，IPSec吞吐率為 10Mbps，防火墻吞吐率為 100Mbps 。132）遠程 PC上運行的安全客戶端加密速度高達 30Mbps，所以不會對通過 ADSL上網(wǎng)的速度造成用戶感覺得到的影響，軟件的加/解密處理對各種應用軟件透明。144. 設備選型和選型產(chǎn)品簡介對 VPN產(chǎn)品進行選型，通常依據(jù)以下幾方面原則：1) 安全網(wǎng)關的加密吞吐率應當大于網(wǎng)絡的出口帶寬，以免在 VPN安全網(wǎng)關上產(chǎn)生性能瓶頸；2) 部署在中心節(jié)點的安全網(wǎng)關的并發(fā)數(shù)目應當大于互連的分支機構和移動用戶總數(shù)；3) 部署在各個節(jié)點的 VPN安全網(wǎng)關的并發(fā)會話數(shù)，應當與本地局域網(wǎng)內(nèi)的上網(wǎng) PC數(shù)目有個對照關系（參見“安達通安全網(wǎng)關性能索引表”中的相關參數(shù)） ；4) 考慮用戶的預算。基于要求和上述選型原則，本項目 VPN平臺中將會用到上海安達通信息安全技術有限公司研制生產(chǎn)的如下產(chǎn)品：選用設備型號 數(shù)量 部署位置安全網(wǎng)關 XXXXX（） 2臺 總部網(wǎng)絡邊界安全網(wǎng)關 XXXXX X臺 分支機構網(wǎng)絡邊界安全客戶端軟件（配套 USB KEY） XX個 遠程移動終端上. 安全網(wǎng)關安達通安全網(wǎng)關是集“VPN、防火墻、IDS 微引擎”于一體的網(wǎng)絡邊界安全防護和安全接入設備，它有效地實現(xiàn)了“主/被動安全防御”的完美結(jié)合。其特別強大的 VPN功能和高安全性、高性價比的多功能集成，是當今網(wǎng)絡安全技術發(fā)展的主流方向。安達通安全網(wǎng)關全部采用嵌入式硬件平臺和實時操作系統(tǒng)，高性能，低功耗，高可靠。產(chǎn)品線覆蓋從“SOHO 級企業(yè)級運營商級”全系列產(chǎn)品；安全網(wǎng)關集中管理和監(jiān)控平臺支持各種規(guī)模的安全網(wǎng)關組建的 VPN網(wǎng)絡的集中管理和監(jiān)控。安達通突破了各種技術障礙，能夠提供針對任何 IP網(wǎng)絡環(huán)境下的 VPN互連、入侵防護和病毒防御的一體化解決方案。安達通安全網(wǎng)關具有兩大產(chǎn)品系列：1）支持單線路接入的 SGW25安全網(wǎng)關系列；2）支持多線15路負載均衡，IPSec 和 SSL合一的 SJW74 NC（No Client）安全網(wǎng)關系列。? 技術優(yōu)勢? 嚴格遵守 IPSec和 IKE規(guī)范，能和 Netscreen、CheckPoint、Cisco 等多家 VPN設備互通；? 支持 全動態(tài) IP VPN互聯(lián)解決方案，適合中國企業(yè)互聯(lián)特點；? 支持 IpsecNAT穿透(NATT)，適合中國城域?qū)拵ЬW(wǎng)(采用“非真實 IP地址”上網(wǎng))特點；? 支持完全透明的“網(wǎng)橋”模式和“半透明”模式（即路由和透明功能同時起作用），并能在網(wǎng)橋模式下建立 VPN隧道，適合在銀行、證券、電力、石化等專網(wǎng)中使用；可利用此特性與各種防火墻、網(wǎng)關設備靈活配合使用；? 全狀態(tài)檢測 Firewall引擎，完備的 NAT/NAPT功能和 IDS微引擎，抵抗常見網(wǎng)絡層攻擊，并能和國產(chǎn)主流 IDS設備互動；? 支持動態(tài) IP接入下的 DMZ服務功能（即：可利用動態(tài)域名解析，通過動態(tài) IP接入，對外提供 Web、Mail 等服務）；? 支持 VLAN Trunk，并能夠在 VLAN環(huán)境下構建 VPN連接；? 獨創(chuàng)的“線路故障檢測和 VPN鏈路切換” 技術，確保高效可靠地搭建 VPN備份線路；? 支持 Windows移動客戶端（Win98/Me/2022/XP/2022）的遠程接入，移動客戶端也支持IPsec NATT；? SJW74 NC（免客戶端）系列網(wǎng)關支持多線路接入，支持均衡上網(wǎng)、統(tǒng)一帶寬規(guī)劃和多點 VPN接入的“負載均衡”高級功能；? SJW74 NC系列網(wǎng)關產(chǎn)品，在 IPSec的基礎上整合了 SSL協(xié)議，使移動用戶無須手動安裝客戶端，通過 IE瀏覽器即可實現(xiàn)和遠端安全網(wǎng)關的 VPN隧道連接。SJW74 NC系列網(wǎng)關支持和 ADT各型號安全網(wǎng)關互聯(lián)，也支持和安全客戶端系統(tǒng)進行 VPN互聯(lián)。? 支持基于“數(shù)字證書”的運營模式，適合大規(guī)模 VPN網(wǎng)絡；? 支持 Qos、DHCP（Server 和 Client）和靜態(tài)路由，PPPoE 撥號，雙機熱備等；? 完善的安全網(wǎng)關集中管理平臺，本機/遠程日志存儲；? 性能優(yōu)異：100M 設備 3DES+SHA加密速率高達 100Mbps，1000M 設備 3DES+SHA加密速率高達 200Mbps；支持國密辦批準的 SSP02和 SSF33算法；? 基于 PowerPC的嵌入式硬件平臺，極低功耗，高穩(wěn)定性，高可靠性；啟動速度快；16? 產(chǎn)品功能? VPN功能? VPN的設計完全遵守 IPSec和 IKE標準；可保護子網(wǎng)間、主機間、子網(wǎng)與主機間的安全通訊；支持傳輸和隧道模式；? 支持 DES、3DES 及國產(chǎn)加密算法，支持基于“數(shù)字證書”和“預共享密鑰”的IKE，證書認證方式符合 證書格式，支持第三方 CA認證；? 支持基于 DDNS服務器和專用地址服務器兩種方式下的全動態(tài) IP地址的 VPN組網(wǎng)方式；? 支持 NAT 穿透（NATT）功能，并能夠?qū)崿F(xiàn) VPN互連的“雙向 NAT穿透” ； ? 支持“單臂連接”技術，即把安全網(wǎng)關當作一臺服務器或主機只接一個口到交換機中，專門處理 VPN報文的加解密,不需要修改用戶網(wǎng)絡物理拓撲； ? 支持“虛地址互連”，可以有效解決當 VPN互聯(lián)雙方的 IP地址沖突情況下的 VPN互聯(lián)問題；? 支持“線路均衡”技術，可以同時支持多條 ISP線路接入，具備線路故障自動探測和路由自動切換功能；? 支持以“透明” （橋模式）或“路由”模式接入網(wǎng)絡，并支持各種模式下 VPN\設備的安全互聯(lián)；? 支持在 TRUNK環(huán)境下部署 VPN安全網(wǎng)關，即支持對 TRUNK鏈路中某個 VLAN的數(shù)據(jù)進行 VPN加密并轉(zhuǎn)發(fā)；? 可以獨立為每個 VPN加密隧道進行“狀態(tài)檢測”和獨立帶寬，確保高安全性和高度的靈活性；? 支持“隧道?；睢奔夹g，能夠確保設備間加密通道的時時連通；? 基于時間和流量雙重要素的動態(tài) SA管理，并支持手工添加/刪除靜態(tài) SA；? 支持移動客戶使用安全客戶端軟件進行安全接入；支持在安全網(wǎng)關中，對 VPN客戶端的“硬件綁定”功能，綁定后的 USB KEY只能在該主機上使用，并能夠在網(wǎng)關中進行集中控制；? VPN客戶端支持“雙網(wǎng)隔離”功能，即：走 VPN隧道時，不能訪問互聯(lián)網(wǎng)。? SJW74 NC 系列網(wǎng)關在對移動用戶的接入上不需要安裝安全客戶端軟件，使用 IE瀏覽器，通過 SSL+IPSec 的改進協(xié)議接入 VPN 安全網(wǎng)關。既有 SSL VPN 免客戶端的方便，又兼?zhèn)?IPSec VPN 的高性能，并可進行靈活的訪問控制。17? 移動用戶在和 SJW74 NC安全網(wǎng)關建立 VPN連接后，通過 Web頁面展現(xiàn)出該用戶可以使用的 BS和 CS程序。? 防火墻功能? 基于六元組的 IP包過濾；端口、協(xié)議、地址和時間相結(jié)合的訪問控制機制；? 支持狀態(tài)檢測防火墻，能實現(xiàn)連接跟蹤，實現(xiàn)基于方向的防火墻控制；可以獨立為每個防火墻訪問控制策略進行狀態(tài)檢測；? 正反向網(wǎng)絡地址映射功能，靈活支持：NAT、NAPT 和地址池；? 支持 URL過濾，對 URL過濾能支持黑名單和白名單兩種工作模式，抵抗惡意腳本的攻擊；? 支持 IP與 MAC地址綁定；支持基于 HTTP會話劫持的用戶認證功能；? 抵抗多種 DoS,DDos攻擊；可自定義 TCP/UDP/ICMP的 Flood攻擊檢測策略；? 支持和專業(yè)的 IDS設備互動；? 基于 Hash表的快速轉(zhuǎn)發(fā)功能，極大提高 Firewall吞吐率；? 管理功能? 與 ADT策略服務平臺（SureManager） 、網(wǎng)關監(jiān)控平臺(SureWatcher)和數(shù)字證書平臺（SureCA）無縫整合；集中管理全網(wǎng)安全網(wǎng)關，實現(xiàn)統(tǒng)一規(guī)劃、統(tǒng)一部署和統(tǒng)一監(jiān)控；? 提供 GUI網(wǎng)關配置軟件（SureConsole） ，可通過串口和網(wǎng)口進行本地和遠程管理；通過網(wǎng)關監(jiān)控平臺，能夠在中心點對全網(wǎng) VPN安全網(wǎng)關狀態(tài)進行實時監(jiān)控，并可生成相應統(tǒng)計報表；告警信息可以通過短信方式即時通知管理員；? 管理員可以方便地選擇“在線”或“離線”配置；即：可編輯配置文件，并可將設備的配置信息導出到本地或從本地導入設備；? 基于預共享密碼或數(shù)字證書的網(wǎng)絡管理員身份認證和管理指令加密，充分確保遠程管理的數(shù)據(jù)傳輸?shù)陌踩裕? 支持本地日志和 ADT遠程日志服務器，支持 Syslog日志服務器，支持 和短信報警，能夠?qū)θ罩拘畔⑦M行選擇記錄，并將日志信息導出保存；? 負載均衡功能（SJW74 系列）18? 4 個以上網(wǎng)絡接口，可自定義 1~3 個 WAN 口，支持多條 ISP 接入線路；? 可根據(jù)帶寬選路：在不同的接入線路之間根據(jù)帶寬分配內(nèi)網(wǎng)出口流量，實現(xiàn)上網(wǎng)負載平衡；? 支持策略路由；? 支持多點 VPN 隧道接入：安全網(wǎng)關的幾個 WAN 口都可作為 VPN 接入端點，實現(xiàn) VPN 接入的負載均衡；另外，分支機構的安全網(wǎng)關可以手動或自動選擇和總部網(wǎng)關的接入線路。? 其他功能? 支持雙機熱備份和配置同步功能（SGW25B 以上型號和 SJW74各型號支持） ；? 支持 8個級別的 Qos，并能為每個訪問控制策略獨立分配帶寬；支持帶寬的嚴格鎖定和動態(tài)平衡方式；? 支持 PPPoE和 DHCP（Server 和 Client）協(xié)議，支持：ADSL、Cable Modem、ISDN、FTTB、DDN、CDMA、GPRS 等各種接入方式；? 支持靜態(tài)路由和多播轉(zhuǎn)發(fā)；? 支持本機 ARP表清空、免費發(fā)送 ARP廣播、執(zhí)行 Ping命令和遠程重啟等功能；? 支持對網(wǎng)口的工作方式的手動設定或自適應模式；? 支持一個物理接口綁定多個 IP地址；? 在線代碼升級，并支持升級代碼簽名，防止設備代碼被非法篡改；. 安全客戶端安全客戶端（SureClient）軟件（以下簡稱：客戶端）用于解決移動用戶通過互聯(lián)網(wǎng)接入內(nèi)部私網(wǎng)的問題?？蛻舳塑浖?Win98/2022/XP下的版本，結(jié)合 SureID（主要用于“數(shù)字證書”和“本地私鑰”的安全存儲，密碼運算，真隨機數(shù)的產(chǎn)生等） ，可以構建 “主機主機” 、 “主機安全網(wǎng)關”的 VPN隧道（如下圖） ，是移動用戶安全接入安全網(wǎng)關保護的內(nèi)網(wǎng)的理想的解決方案?？蛻舳塑浖灰蕾囉诰W(wǎng)絡接口，可以采用用電話撥號、ISDN、ADSL、FTTB、GPRS/CDMA 無線上網(wǎng)等多種方式上網(wǎng)。19INTERNET在外地出差的員工需要及時安全地與公司交流信息安達通安全網(wǎng)關撥號當?shù)豂SP安全網(wǎng)關客戶端公司總部加密隧道安全客戶端使用示意圖1．安全客戶端組成部分：（1）客戶端軟件支持 Windows 98/Me/2022/XP/2022 的客戶端軟件，與計算機采