【正文】 務器免受攻擊 SSL加密認證，允許防火墻只開放443端口，設置容易，可以保護到一個文件 基于硬件的 SSL加速 CryptoSwift 加速所有 SSL加解密數(shù)據(jù) (無需配置) ，在5毫秒內處理1條1024位RSA加密操作 RSA, DSS, DH等算法 Apache,IIS,iPlanet 等多種服務器軟件 高級認證完善的代理服務器以及客戶端認證機制 安全代理服務器端： Radius, Active Directory和 LDAP兼容 ， 客戶端： iKey；通過iKey加PIN碼方式進行認證 　應用程序支持支持 B/S結構和C/S結構的應用程序 Web應用程序訪問 （ WebDav, SMB） 協(xié)議（IMAP, POP3,SMTP） 系統(tǒng)（OWA, Lotus Note） ，可安全訪問終端服務器和Citrix等C/S結構應用程序 　管理工具 內置 ACM軟件，集中控管能力，所有的用戶權限、證書管理、安全策略設置以及日志審計功能都可以通過ACM控制平臺完成 Web的配置工具、資源和 iKey管理工具　升級選項 　易于使用 VPN客戶端軟件，只要通過瀏覽器就能訪問內部應用程序，搭建 1000人訪問的VPN只需1天時間 VPX技術自由配置客戶服務器應用程序 iKey的優(yōu)點 iKey采用與智能卡相同的，提供訪問控制的文件系統(tǒng)。應用程序能使用它存儲個人信息、私鑰、密鑰、許可協(xié)議、識別特征、數(shù)字證書或其它數(shù)據(jù)。使用iKey具有以下四個優(yōu)點： 可靠性： 用戶將個人信息存儲在iKey上，可以保證即使發(fā)生系統(tǒng)故障仍然是安全的。彩虹公司采用符合ISO9000國際質量認證的設備，全球提供超過三百萬只iKey，產品具有同行業(yè)最低的故障率。 便攜性： iKey是連接在鑰匙圈上的，用戶永遠不會忘記攜帶而且?guī)缀醪粫G失，iKey是插入USB接口的，所以對核查在遠地區(qū)通過筆記本電腦撥入一個公司虛擬專有網絡(VPN)或進入Intranet的用戶來講是理想的。非常適合個人使用，可以完美地滿足網絡應用和異地工作的便攜要求。 安全性： 用戶逐漸意識并且擔心病毒和其它惡意軟件能夠訪問保存在硬盤上的記錄、控件、密碼和其它個人信息。使重要信息不必保存在硬盤上，實現(xiàn)了“機密隨身帶”。同時作為雙因素認證的解決方案，iKey提供了更加安全的保障形式。 不可仿制： 用戶不能復制iKey中的信息。 這意味著你可以使用它保存獲得Internet服務的接入授權，不用擔心被人盜用。換句話說，iKey沒有密碼普遍存在的共用問題。對iKey程序訪問是通過彩虹技術公司提供的應用程序編程界面（API）完成的。 iKey硬件電路中集成讀/寫功能，包含完成存儲功能的資源和高速加密引擎。它使用通用串行總行接口(USB)提供電源并且與計算機通訊。內置的掉電保護隨機訪問存儲器保存RAINBOW提供的出廠設置，以及用戶提供的與應用程序有關的數(shù)據(jù)。iKey分為兩個系列iKey1000和iKey2000。他們分別適用于不同的安全性級別之上，下面列出了兩系列產品的技術特性。 12MHz 微處理器 8K存貯單元（可擴展到32K） iKey1000內置有MD5算法芯片。iKey2000內置有RSA算法芯片 軟件控制狀態(tài)指示燈，可方便觀察和計算機的接通情況 64位全球唯一系列號 USB接口。支持帶電插拔，即插即用 隨機數(shù)生成器 iKey1000有兩級口令設置：PIN 和 SO PIN。并且可重試次數(shù)可設定，輸入PIN錯誤次數(shù)超過設定值則iKey鎖死。iKey2000只有一級PIN,并且PIN錯誤次數(shù)超過設定值則iKey所存數(shù)據(jù)銷毀 三級文件操作權限管理: 訪客模式(Guest)、用戶模式(User)、超級管理員模式(Administrator) 內置兩級目錄文件結構 支持全部Windows平臺(95/98/NT/2000), Apple Macintosh平臺。彩虹公司提供虛擬智能卡讀卡器的驅動程序。 API被放在iKey開發(fā)工具箱中，軟件開發(fā)工具包（SDK）包含了訪問iKey進行讀寫的功能，還可進行復雜的加解密工作 圖形化的讀寫編輯iKey硬件的工具，易于使用 ActiveX部件(nonscriptable和script safe) 其中script safe ActiveX可用于網絡瀏覽器環(huán)境； nonscriptable ActiveX可用于一般編程環(huán)境(如VB,Delphi等) 通過瀏覽器訪問iKey的Java插件 供C語言調用的庫 支持128位密碼長度的Microsoft CAPI 中間件(Middleware)：PKCS11（支持128位密碼長度）,CSP iKey內置有MD5算法芯片，以特有的挑戰(zhàn)—響應式方法來實現(xiàn)網絡身份認證。他的實現(xiàn)原理如下圖, 參與運算的數(shù)有兩個：一個可以是隨機數(shù)，另一個是事先預設的算法因子（分別存放在服務器的用戶數(shù)據(jù)庫和iKey硬件內部的存儲器）。MD5 Hash算法可以保證兩個運算數(shù)哪怕只發(fā)生一位數(shù)字的變化，運算結果也會變得完全不一樣。因為每次驗證運算的其中一個運算數(shù)是隨機數(shù)，所以每次的運算結果也是隨機變化的。由此保證運算結果在傳輸中不怕被截獲。 步驟： ，并將之發(fā)給對方。 。 。 。 如果一致，說明兩端的算法因子是一致的(因為隨機數(shù)是共用的，影響結果的只能是算法因子)。進而推出客戶端的算法因子是約定的數(shù)客戶是合法的用戶。 西南大學，是2005年7月經教育部批準，由原西南師范大學、原西南農業(yè)大學合并組建的教育部直屬重點綜合性大學，是國家“211”工程建設學校。學校已有百年辦學歷史，占地面積約9000畝，校舍面積近150萬平方米。學?，F(xiàn)有2個國家級重點學科、9個博士學位一級學科授權點、66個博士點、9個博士后科研流動站、22個碩士學位一級學科授權點、159個碩士學位授權點、5個專業(yè)碩士學位，97個本科專業(yè)，學科涵蓋11個學科門類，共42個一級學科。有35個省部（市）級重點學科、27個省部（市）級重點實驗室、1個教育部重點文科研究基地、6個重慶市重點文科研究基地。學校是重慶片“國家大學生文化素質教育基地”牽頭單位。學校擁有專任教師2650余人，專職科研人員300余人，全日制本科生及研究生50000余人。主持承擔“973”、“863”、國家自然科學基金、國家社科基金等各級各類科研項目1400多項。背景分析據(jù)原西南師范大學的需求反饋分析表明：近年來，該校教職工在校外居住比例的逐漸提高，外出進行學術研究、工作的人次的增多，身處校外而又有網上辦公和校內資源訪問的需求，和校園網資源由于安全的原因只能在校內認證訪問的矛盾逐漸突出。為此，校方網絡中心擬采用虛擬專用網來解決這一問題，為地處校外的教職工的工作和學習帶來方便。技術實現(xiàn)要求為了保證校內資源的安全和訪問者個人信息的安全，訪問的快捷，VPN設備必需滿足如下要求：身份驗證。由于該校已經有了自己的統(tǒng)一身份認證系統(tǒng)，故在VPN方案中，對用戶的身份認證必須使用已經存在的用戶信息數(shù)據(jù)，或是直接與該校統(tǒng)一身份認證系統(tǒng)對接進行認證。加密保護。要求能對VPN隧道建立和用戶通信都能進行加密，支持預共享密鑰、數(shù)字證書的身份認證，提供動態(tài)密鑰交換功能，支持IPSec ESP AH的隧道模式封裝和傳輸模式封裝，支持多種加密認證算法。加密速度快，能達到千兆通信，VPN轉發(fā)能達到200Mbps以上。方便安全的管理。要求在管理上能有多種方式。提供本地網絡管理、telnet管理，遠程管理等多種管理方式，在以上方式中能對VPN安全策略、訪問控制策略等進行調整。DHCP支持。要求能給每一個接入VPN的用戶動態(tài)分配一個校內IP地址，地址池能在2000個IP以上。并且可以該得到的地址與校內資源進行通訊。多種用戶環(huán)境支持。支持專線寬帶接入、小區(qū)寬帶接入、ADSL寬帶接入、CABLE MODEM寬帶接入、ISDN撥號接入、普通電話撥號接入、GPRS接入、CDMA接入等多種因特網接入方式。VPN星型互聯(lián)。由于我校有多個校區(qū)，且各校區(qū)可能有自己的VPN，（或者本校區(qū)建不止一個VPN），本次VPN建設中希望能將各VPN互聯(lián)，用戶可撥入一VPN而共享可控制訪問其它校區(qū)資源。本地網絡和VPN網絡智能判斷。能根據(jù)客戶端的訪問請求，自動選擇使用客戶本地連接還是使用VPN連接。同時，該校有部份資源實際放在校外，但必須以是該校IP地址才能訪問，本次VPN建設也要滿足這種需求。聯(lián)通性要求。VPN接入用戶之間、VPN接入用戶和遠程網絡中的用戶間都可以通過虛擬得到的IP地址互相通信。應用范圍廣?？稍赩PN用戶與遠程局域網之間應用多種業(yè)務。如：語音、圖像和數(shù)據(jù)庫、游戲等應用，也可通過共享等方式訪問其它計算機資源。由于學校擁有數(shù)萬名師生員工，因此對VPN設備的并發(fā)客戶端性能要求達到1萬個以上。1符全國家相關法律、標準和安全要求。各VPN設備必須符合我國的各項技術標準和安全標準。1系統(tǒng)可升級性。可以通過對VPN系統(tǒng)升級來適應新的網絡應用或是VPN上相關協(xié)議或標準的升級。系統(tǒng)組網針對以上提出的反饋需求，冰峰以其穩(wěn)健的市場優(yōu)勢和豐富的業(yè)內經驗為西南師大提供全面應對的解決方案。如上圖所示冰峰S系列安全設備以其優(yōu)越的兼容性能，在該網絡組圖中發(fā)揮了其與現(xiàn)有網絡構架無縫融合的特能。在不更改現(xiàn)有網絡的基礎上，良好地發(fā)揮了VPN設備的全部應用。首先跟據(jù)目前互聯(lián)網絡“南電北網”的互聯(lián)現(xiàn)狀，在保證廣大移動用戶群的前提下，將原有接入校園網的電信光纖與網通光纖線路分別接入VPN設備的兩個WAN口上，再將校園網附屬的教育網線路的另一WAN，使得三條線路互為并存，最后將原有校園網對外接入線路連上VPN設備的LAN口。這等于是將原有接入交換機的三條線路移到VPN設備上，實際上并沒有改變網絡的構架，但其功能上的實現(xiàn)卻不可同日而語。應用效果接入VPN設備，首要考慮的是用戶身份認證問題。冰峰S系列安全設備可以通過三層交換機與認證服務器互聯(lián)，并將設備中原有預留的認證接口與認證服務器對接，保證了原有第三方系統(tǒng)身份認證的正常使用。再者在VPN互聯(lián)的安全性上，通過SSL封裝以及網絡層傳輸?shù)乃淼朗絊SL VPN技術保證了數(shù)據(jù)在傳輸過程中的高強度加密性。在支持加密算法和認證算法上，冰峰支持的多種高強度加密算法與多種雙因子認證方式安全滿足西南師大的即定所需。千兆設備中的6500產品支持吞吐率可達890Mbps以上，并發(fā)數(shù)更可達到100萬個。在可控制管理上。不僅能提供本地網絡管理、telnet管理滿足西南師大的即定需求，還可以通過Web/SSH/console等方式進行遠程管理，方便管理員應對多種突發(fā)狀態(tài)。針對以上方式中提出的VPN安全策略、訪問控制策略等內容，冰峰VPN可以做到細化用戶控制，支持多種分組狀態(tài)與多種組策略控制并用，還可細化實時監(jiān)控與日志管理、故障定位等。冰峰S系列產品是以SSL技術為基礎，其兼容性不在體現(xiàn)在多接入方式上，同時還能兼容多種用戶環(huán)境，如多數(shù)據(jù)庫應用，多操作系統(tǒng)，多應用平臺等，完全支持教育行業(yè)的定向服務。除以上應用效果之外，冰峰S系列安全設備在針對教育行業(yè)還有其他特殊體現(xiàn)。如動態(tài)地址分配，源IP地址轉換，多線路智能應用等。動態(tài)地址分配，按照技術實現(xiàn)上來看，地址池的IP個數(shù)一般不會做技術上的任何限制，實際情況是根據(jù)設備性能和客戶的需求來取決的，如S5600產品的最大Web SSL并發(fā)數(shù)為5000個，客戶的實際需求若是也達到這個量，設備則會根據(jù)用戶的接入情況自動分配，保證每一個接入用戶都能動態(tài)分配到一個校內IP地址，再籍由這個地址進行校園內網資源訪問。若用戶的實際需求無法達到產品的最大并發(fā)數(shù)，冗余的IP地址仍會保留在地址池中，等待下一個用戶接入高峰。地址池的動態(tài)分配另一方面也可以減輕設備在不間斷工作下的負荷，提升設備的使用周期。源IP地址轉換，相當于動態(tài)地址分配的下一個進階，主要是通過隧道式SSL VPN的方式建立虛擬專用隧道，讓校外的移動用戶獲得校內IP地址進行相關資源訪問。例如移動用戶通過電信（網通）線路進入VPN設備上的相應端口，再通過VPN中轉訪問教育網的其他資源，甚至是在小于60毫秒下的“南電北通”之間的互聯(lián)訪問。目前該應用多體現(xiàn)于校外授權移動用戶通過冰峰VPN中轉訪問國外的數(shù)字圖書館，進行電子文獻查詢服務。多線路智能應用，有鑒于西南師大校園網絡的出口路由走的是電信、網通、教育網三條線路，在未加入冰峰VPN設備前，原有的數(shù)據(jù)中轉方式只能通過設于北京的公共網關進行數(shù)據(jù)中轉，在正常監(jiān)測下的延時損耗約在400毫秒以上，而加入冰峰VPN之后，其多線路智能分流與自適應智能選路模塊的結合應用，可以有效地保證數(shù)據(jù)中轉的通信延時減少到60毫秒以下，同時還能夠將