天融信VPN组网解决方案模板

天融信VRCVPN客户端支持操作系统平台win/XP//VISTA/WIN7/WIN8等功能描述接入方式支持100/1000兆网卡、无线网卡等支持普通Modem拨号方式支持各种ADSL连接方式（PPPOE）支持2G/3G、WLAN等各种无线接入方式支持全网隧道访问能够对远程用户提供一种内部网的访问服务，使用户无论处于何种位置，都能够象在局域网内部一样方便的访问内部网络，真正实现3A保障（Anytime，Anywhere，Anyone）IPsec标准支持主模式和野蛮模式协商支持ESP标准支持标准NAT穿越支持3DES,MD5，SHA1标准加密和认证算法支持采用硬件加密卡对数据进行认证、加密，最大限度保证用户通信的安全证书格式支持标准X.509格式的证书，支持Base64、DER编码方式支持WindowsCSP标准，能够读取多种第三方厂商USB-KeyDNS支持内部DNS。移动用户与总部的VPN建立隧道后，能够经过总部的内部DNS服务器直接使用域名访问内部的各个应用服务器（如Http、Ftp服务器等）WINS支持内部WINS。移动用户与总部的VPN建立隧道后，能够经过主机名访问内部的服务器和主机客户端IP地址动态分配客户端能够经过网关动态分配到虚拟IP地址，实现全网IP地址的动态管理客户端访问控制支持用户硬件特征码绑定，防止账号被盗用支持按角色分配访问权限，不同用户能访问不同的网络资源访问权限能够设置到端口隧道配置与管理支持多隧道管理，方便用户配置自定义的隧道支持隧道断线重拨。若因为网络不稳定造成隧道断开，可自动重新建立隧道，省去用户手工重启隧道的麻烦支持隧道监控。经过GUI界面，用户能够实时查看隧道的状态，隧道数据流量，隧道是否启动/停止等支持隧道配置保存和导入支持用户配置文件的保存和恢复客户端自动功能用户能够选择客户端的自动功能，比如打开客户端软件后自动运行默认连接和自动重新认证等等天融信VPN安全策略管理平台天融信安全设备与策略管理平台TP系统（也称为TopPolicy系统）由TP管理器、TopPolicy服务器和TopPolicy数据库三部分组成。其中，TopPolicy数据库是TP系统的基础组件，它主要用于存储整个网络中网络安全设备的信息及VPN安全策略。TopPolicy服务器是TP系统的核心组件，它是一个服务器程序，一般需要在网络运行过程中实时在线。它主要完成认证设备、维护设备、维护VPN隧道、维护VRC信息等工作。TP系统结构天融信VPN安全策略管理平台（TP）作为安全设备与策略管理系统，能够实现对网络的全面监管，支持对天融信全系列产品的管理，如对UTM、IPSec/SSLVPN、SJW11、VRC客户端等设备的集中监控和管理。TP管理员能够对网络中的设备运行状态进行集中监控和管理，而且在TP服务器中对所有本机和下级服务器进行设备管理、VRC管理、隧道管理、防火墙策略管理。管理员经过集中定制IPS策略，集中定制防火墙的包过滤策略、访问控制策略、NAT策略、深度过滤策略、VPN通讯策略，进而下发到各个管理设备，避免各个设备独立定制策略的随意性，便于从安全策略角度实现全网的安全策略统一管理。与业务管理对应的分级管理体系在现实应用环境中，网络环境具有庞大、分级、分支机构多、遍布全国的特点，TopPolicy对安全设备的管理与部署能够完全适应这种管理模式。首先本系统支持4级的域管理，这样，用户能够方便的把一个全国的项目分级与分域管理，在统一策略下对责任进行分担；经过分级与分域管理，本系统能够支持到3000台安全设备和30000个VPN客户端。其次，本系统能够对安全设备和策略实现完全的集中管理，也能够实现由下级管理中心或设备来管理日常的管理工作，而上级中心仅负责监控与分析统计工作。策略的有序可控管理在实际的工作环境中，可能有大量的UTM和VPN设备（例如：300个VPN，1000条隧道）在运行。如果全部在端到端方式或端到网关方式下各自建立联接，一则手工配置很容易导致配置文件不一致，而且人力成本很高；二则由于管理员不能随时监控VPN设备之间的连接，导致VPN设备之间可能存在着不应有的连接，网络安全存在隐患。因此在VPN大规模应用的情况下，需要对这些VPN进行统一管理。TopPolicy让管理员能够经过对所管理的VPN设备的行为进行监控，审计员能够对管理员的行为进行监控；而且经过对加密算法、采用的安全策略以及网络异常处理策略进行统一的协调，使VPN设备在管理上是有序的；同时在VPN设备登录时自动下发统一配置的安全信息，无需对每个VPN设备进行配置，从而减低了分散管理可能带来的不一致和复杂性。VPN客户端自动部署VPN客户端软件（VRC）的分发、配置以及设备证书的生成和分发这些软件部署工作，在VPN产品大规模使用的时候，将成为一项非常繁琐和复杂的工作，系统管理员的工作量极大增加，同时也给整个VPN系统带来了不必要的安全隐患。为了降低系统管理员的工作复杂度和保证系统的安全，天融信公司在TopPolicy中实现了VRC的自动部署功能。TopPolicy内含的自动部署系统（AutomaticDistributionSystem：ADS）是中国第一套自行研制开发的为整个VPN系统提供VPN客户端软件安全部署服务的软件。它能够对VPN客户端软件进行集中部署和必要的证书管理，而且为每个VPN客户端软件的部署提供必要的安全服务。它基于Windows操作平台、IE浏览器和IISHTTP服务器，界面友好，使用简便。TopPolicy自动部署系统能够实现对企业内部所有VRC的全面部署和证书、密钥的统一管理，管理员能够在任何网络环境中实现VRC的自动部署，根据企业的实际需求制定全局VRC部署策略，从而使繁重的VRC部署工作变得简单有序。管理员用户能够在异地对自动部署系统的服务器进行操作，提高了自动部署的机动性和灵活性。完善的PKI体系支持TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系，则无需外部证书发放机构的签发证书，企业自己就能够构建自己的证书发放机构(CA)。对这种用户TopPolicy提供了简单实用的PKICA系统，能够为管理员、设备、VRC生成、更新、发放证书，同时提供证书验证与CRL文件管理等功能。对于已经建有CA系统的用户，TopPolicy完全支持第三方的PKI系统，能够为设备和VRC导入/更新第三方CA生成的证书，不但支持在TP本地使用第三方CA的根证书验证设备以及VRC身份，还支持经过OCSP协议实时在线验证设备和VRC身份。支持经过HTTP、LDAP协议自动下载CRL列表等等。集中的配置管理和丰富的设备管理功能针对不同的设备，能够经过手动立即获取配置或经过任务自动获取配置。能够为每个设备保存最多100个配置备份。能够经过调用各种管理组件如ping、telnet、SSH、Traceroute、远程管理等，实现对设备的配置和管理。多视角的可视化管理TopPolicy能经过拓扑图等多种方式，实现对设备、隧道等进行各种管理，进而实现对设备性能信息的监视，包括CPU信息、内存信息、接口信息和连接信息等。另外，对于具有VPN功能的设备还提供了隧道监控和VPN监控功能。适用于不同的网络环境在TopPolicy构建的系统中，每一个VPN设备都使用设备名称作为系统内唯一确定的ID标识，经过ID来管理和访问这些VPN设备。这样就抛弃了传统的基于IP的管理方法，使TopPolicy不但能够让系统中的设备以固定IP方式、固定IP和动态IP方式互联，而且从根本上解决了VPN设备互联时地址被地址转换（NAT）的问题和动态IP接入网络的问题。而且不论VPN设备的网络环境（IP地址）怎么改变，只要ID不变，TopPolicy服务器就为它保持原来的安全配置。系统高安全性作为安全管理产品，TopPolicy自身具有很高的安全性。系统各功能模块间的通信均可采用加密的方式进行；在TopPolicy构建的系统内采用证书进行身份认证；系统能够抵御一定强度的DOS攻击。经过这些安全措施，有效地防止了由于网络监听或帐号滥用造成的一系列安全问题。多语言支持支持动态简体中文和英文切换。使用灵活简便TopPolicy的使用方式十分灵活，TopPolicy系统分成三个部分：TopPolicyServer，TopPolicyManager和被管理设备，每个部分都能够在广域网的不同物理位置独立运行。TopPolicy界面友好，操作起来相当简便，克服了相关VPN产品操作复杂、对用户的技术门槛要求高的特点，配置十分的简便。天融信TP产品功能功能大类子功能描述设备管理多级安全域管理能够将设备按照管理范围划分为多个域；域之间能够有上下级关系，最多支持4级域，能够为管理员指定可管理的域范围。设备注册及认证被管理设备自动完成注册与认证设备远程管理在设备管理列表中选择设备，经过调用浏览器登录远程设备进行管理、在拓扑图上选择设备进行远程管理调用、提供管理工具：Ping/SSH/telnet/Traceroute。设备配置集中保存和更新能够查询、接收并保存设备配置信息，并为设备提供配置更新服务。能够为一个设备保存多个配置，并在更新时由管理员进行选择；设备配置应用后需要提示保存；支持天融信设备配置保存；可定期检查设备配置是否被私自修改；可显示配置变化状态。设备操作开启服务、设备重启、时钟设置、设置ROOT管理员口令等；设备主动注册支持动态IP的VPN设备管理；设备发现设备自动发现；支持第三方设备；设备批量增加；设备批量升级能够按域或按设备制定升级计划，在有可用的升级包时在指定时间自动升级拓扑管理拓扑图维护显示和编辑拓扑图；放大缩小等功能。根据安全域、设备列表以及隧道列表，生成拓扑图；显示设备摘要信息：设备名称、IP、隧道名。经过子域结点，进入下级域的拓扑显示拓扑图显示支持位置手工和自动排列基于拓扑图状态管理基于拓扑图的设备与隧道监控图形化编辑手动图形化增加、移除设备、安全域、隧道；显示方式显示设备中服务列表；当前图节点变化时自动刷新；拓扑未变化不需提示存盘；显示子域报警；显示中转设备；显示子域设备总数；开关控制是否显示隧道名称；支持拓扑图打印；导出拓扑；图标排列操作；拓扑查找（名称、IP、类型为条件）；防火墙策略全局对象管理包括地址、区域、服务、时间和内容过滤对象等；对象分发防火墙策略管理支持包过滤策略、访问控制策略、NAT策略、内容过滤策略；防火墙参数的统一配置；支持策略分组。策略集中定义和下发以从手工创立策略；策略按域制定；可将策略下发并应用到所选设备（可多台）或域；设备监视设备监视在线状态的监视，及详细信息的监视（系统资源、接口流量等）；在子域结点中显示该域内所有下级设备的活跃数；批量监视经过分析设备健康记录判断设备运行状态；同时监控多台设备的接口信息；在监控时能够做批量“拆除连接”操作；支持监视数据存储、回放TOPN支持对监控的设备进行“TOPN”排序隧道监视动态隧道状态的监视（禁用、活跃、停止、协商）；拓扑图上显示隧道的状态，包括禁用、启用状态；VRC用户在线状态监视查看所有VRC用户的状态；在拓扑图中选择设备查看登录在该设备所有在线VRC用户；显示VRC活跃数VPN策略基本策略管理为一台网关批量添加到多台网关的隧道能够修改中间设备（可选）以及隧道封装模式、数据保护方式、算法、指定隧道接口；等。隧道的建立/删除/启用/禁用，能够批量操作增强策略管理支持NAT设备与非NAT设备建立隧道支持NAT设备与NAT设备建立隧道支持动态IP设备之间隧道建立隧道增强参数隧道参数增加第一阶段协商算法；VRC管理VRC用户信息维护增加、删除、修改VRC组单个或批量增加、删除、修改VRC用户VRC用户的启用和禁用地址池的维护；指实现增加地址段、删除地址段、自动分配IP、分配指定的IP。VRC权限管理基于VRC组对VRC用户进行权限定义指定VRC组能够登录哪些网关或安全域。为登录VPN网关时指定权限：访问权限、协议、目的IP或IP范围、目的端口范围。为VRC用户指定登录时间，每周哪些天能够登录。VRC软件自动分发为VRC生成证书、配置、临时下载口令，然后进行分发。用户安装后不需配置即可连通VPN网络。CA管理本地CA功能为设备生成、更新、发放证书。为VRC生成、更新、发放证书。为管理员生成、更新、发放证书。证书验证与CRL文件管理第三方CA功能为设备导入/更新第三方CA生成的证书验证设备和VRC身份。支持经过OCSP协议验证设备和VRC身份。支持第三方根证书和CRL导入。支持经过HTTP、LDAP协议自动下载CRL。日志管理日志接收及存储支持设备日志的接收和存储，以及系统日志的存储和转发。日志查询对日志进行详细的按关键字查询报警报警功能根据定义的报警条件，产生报警；报警条件有VRC用户上下线，设备上下线信息，隧道连通断线信息等等。报警信息浏览根据关键字查询和浏览历史报警信息报警方式包括邮件、WINPOP、SNMP、管理器铃声、管理器显示短信等阀职报警CPU、MEM超限报警软件升级设备及VRC软件升级对设备和VRC的升级补丁进行管理；可直接为设备进行升级；也为VRC提供下载升级服务。断点续传断点续传升级方式升级检测TP根据设备的版本号判断是否有设备需要升级，如果有需要升级的设备，则提示用户。用户管理管理员管理基于角色的权限划分和管理。统计分析统计报表输出提供统计功能，并能够打印统计报表。能够针对单台或多台网关进行统计，还可按安全域统计，也能够针对整个网络信息进行统计。统计的信息应该包括设备日志、系统日志、监控信息等。系统运行报表能够统计网关上线下线时间、在线时长、VPN隧道异常情况、网关VRC认证情况报表形式报表支持饼图、柱状图、曲线图等多种图形方式显示高可靠性服务器配置备份和恢复可实现服务器配置备份。可实现配置恢复。服务器级联支持服务器分布式部署，下级上传关键数据双机冗余备份服务器能够双机备份双线路冗余备份服务器支持双线路，能够在一条线路出现故障时自动切换到另一条线路。TP运行环境与标准可运行在安装有WindowsServer以及WindowsServer平台的PC或服务器上。天融信VPN产品的主要特点支持国密局《IPSecVPN技术规范》天融信的IPSecVPN网关全面支持国家密码管理局制定的《IPSecVPN技术规范》，支持多种国内自主研制的硬件密码算法，采用硬件密码模块进行密码算法运算，支持国家密码管理局规定的SM1、SM2、SM3、SM4商用密码算法，产品的安全性和合规性有充分的保障。天融信IPSecVPN安全网关能够与任何严格遵循《IPSecVPN技术规范》实现的IPSec网关进行互联互通。《IPSecVPN技术规范》对标准的IPSec协议进行了修正，以数字信封的认证方式替代了预共享密钥和签名的认证方式，抛弃了DH密钥交换方式，采用了公钥加密的方式，杜绝了中间人攻击的可能，同时，采用国家的商用密码算法替代公开的标准算法，为用户的数据提供了最大限度的安全保护。全面支持IPSec协议标准IPSec作为一个全球性的安全标准，要求所有IPSec的实现必须严格遵循其各种协议规范，以便实现不同产品之间的互通。天融信IPSecVPN产品经过严格的互通性测试，与Cisco、Juniper、MicroSoft等著名厂家的VPN产品能够实现互通。产品遵循RFC1828、RFC1829、RFC1851、RFC1852、RFC2085、RFC2401-2412等一系列协议标准。支持标准ESP、AH加密认证协议；支持隧道模式、传输模式的协议封装格式；支持IKEv1、IKEv2；支持主模式、野蛮模式、快速模式多种协商模式；支持证书认证和预共享密钥认识方式；支持DES、3DES、AES等多种对称密钥算法；支持MD5、SHA1等多种完整性验证算法；支持RSA、DH等多种非对称密钥算法；支持扩展认证和模式配置。CleanVPN天融信VPN产品是集VPN、防火墙、带宽管理、入侵防御等功能于一身的网络安全产品，隧道策略、防火墙策略和防病毒策略能够组合使用。CleanVPN病毒扫描能够对所有的VPN数据流进行扫描，从而阻止病毒和蠕虫经过VPN隧道传播，在总部、分支、远程用户和合作伙伴之间建立纯净的VPN网络。完善的PKI体系提高用户网络安全等级随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品全面支持标准PKI体系结构，既能够经过内置的CA模块独立为移动用户签发数字证书，又能够经过导入CA根证书＋CRL列表方式对第三方CA签发的证书进行认证，同时还能够经过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体PKI功能包括：支持标准X509.V3格式数字证书；支持DER、PEM、PKCS12等多种证书编码格式；支持经过内置CA模块为用户签发标准数字证书；支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证；支持经过OCSP/LDAP等标准协议向第三方CA进行在线证书认证；支持生成PKCS10格式的证书请求，可生成证书请求，由第三方CA签名；支持CRL列表文件的导入和经过HTTP自动下载。天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作，网络卫士VPN网关与这些厂商的CA系统均能够无缝集成。支持全动态IP地址间建VPN隧道当前国内常见的因特网接入方案，包括电话拨号、ADSL宽带接入等，都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网，那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整，这一过程对当前市场大部分的VPN产品（包括国内产品和国外产品）都无法自动完成，这为VPN网络的日常维护和广泛应用带来很大困难。天融信IPSecVPN网关产品经过集中的VPN策略管理方式和DDNS无缝结合技术成功解决了全动态IP之间自动建立VPN隧道的问题。NAT自动穿越NAT技术是当前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术。NAT与IPSec协议在原理上存在一定的矛盾，因此在应用IPSec技术组建VPN网络时，一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。而大多数的VPN设备在配置隧道时，需要预先知道该条隧道是否存在NAT设备，而事实上，网络管理员很难准确掌握整个路径中设备的NAT情况，而且NAT状态也可能经常变化。天融信IPSecVPN全系列产品均支持最新的NATT协议标准，在隧道协商过程中动态的计算是否存在NAT设备，动态的调整策略，无需管理员额外填写任何配置，具有非常好的网络适应性。天融信的IPSecVPN产品还能经过隧道路由转发技术支持双向NAT穿越。隧道路由技术实现VPN灵活自动部署在实际物理网络部署中，网络管理员首先经过物理线路（可能是光纤、双绞线、电话线等）连接各个路由设备，然后经过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSecVPN网络中，将每一条隧道视为连接两台VPN设备的虚拟网络线路，隧道建立成功后，虚拟线路连接工作就完成了。基于这些虚拟线路，网络管理员能够在IPSecVPN网关上采用同样的方法配置静态、动态路由协议，完成整个VPN网络的灵活部署。这种隧道路由机制的优点在于：网关的配置概念和方法与路由器类似，减少网络管理员对于部署VPN网络的学习和熟悉过程；经过隧道路由规则的配置，能够完成VPN数据流在VPN网关之间的灵活转发，从而能够实现星型网络拓扑，并解决双向NAT穿越问题；经过动态隧道路由协议的配置，能够实现整个VPN网络的自适应部署，VPN网络拓扑的自动学习、自动寻径；经过基于策略的隧道路由配置，能够实现VPN网关的冗余备份和负载均衡。完善的VPN网络集中管理功能利用基于互联网的VPN技术构建企业基础网络设施，低成本、高效率是其天然的优势，但与此相伴的则是安全性和可管理性的潜在风险。特别是对于分支机构、营业网点遍布全国的大型企业来讲，其业务网络系统具有分布地域广泛、接入点多、网络结构复杂等特点。如何确保企业内部网络的安全，有效地管理、维护遍布企业各个结点的VPN设备，保证网络的稳定运行，是VPN产品供应商必须解决的问题。IPSecVPN在综合了大量的用户需求后，逐步形成了“统一认证、集中监控、分级管理”的VPN网络管理方案。并成功运用于许多特大型企业的VPN建设中。支持组播穿越隧道普通的IPSECVPN不能支持组播协议，因为IPSEC只能将组播包路由到某一个特定的对端。天融信VPN经过技术创新，能支持组播穿越，这样就能够在整个VPN网络内部利用组播来开展视频会议等应用。同时，利用组播穿越VPN隧道，还能够轻松的实现隧道内的动态路由。VPN设备能够将一端学习到的路由自动发布到另外一端，从而大大简化了网络的部署，提升了网络的管理效率。多机多线路负载均衡与备份天融信VPN网关支持多机与多线路的组合应用，能够在多台设备与多条链路之间实现隧道内数据的负载均衡或备份。还能实现多线路自动选优，有效解决国内跨运营商线路的互通问题。当某条线路发生故障时，系统能自动的将数据流切换到其它线路；当一台设备发生故障时，系统能自动将数据流切换到其它网关设备，保证VPN网络的连通性。支持灵活的移动用户接入策略VPN技术在远程移动办公领域的应用越来越广泛，因此支持安全灵活的移动用户接入策略已经成为VPN产品竞争的焦点。IPSecVPN产品支持丰富的移动用户接入策略，为各种需求的用户提供了完善的解决方案。支持基于用户＋口令的认证机制；支持基于数字证书的认证机制；支持基于证书＋口令的双因子认证机制；支持RADIUS/TARCAS/LDAP/AD等用户认证协议；支持USBKEY、动态口令卡等强身份认证机制；支持基于服务的移动用户的访问授权；支持基于时间的移动用户访问控制；支持移动用户的硬件特征码绑定机制；客户端版本支持中英文自动切换。丰富多样的认证与授权天融信VPN产品内置有用户认证数据库，同时支持多种外部认证，如：RADIUS认证、AD认证、LDAP认证等，并支持外部认证服务器对用户授权与计费。经过外部认证，能够方便的与用户原有的认证系统无缝的结合。天融信的VPN网关支持用户名、口令、证书、USBKEY、短信、硬件特征码、指纹、动态令牌、时间、IP地址等多种认证方式以及它们的任意组合，为用户提供最强的安全接入机制。分级可信接入体系可信接入是指对远程接入的VPN客户端的主机安全性进行检查。天融信VPN网关可对客户端的接入实行可信接入检查，包括操作系统、补丁、防病毒软件、防火墙软件、进程、文件、注册表项等，对安全性检查不合格的客户端，可拒绝其接入内网。天融信VPN网关还可对客户端的可信接入安全性检查结果进行分级，不同的级别能够授予不同的权限，对不满足安全要求的主机或终端，能够根据其缺陷程度分别实行隔离、修复和限制访问。对于要求访问敏感信息服务器的用户，如果没有达到较高安全等级，可只授予与其安全等级匹配的普通权限。这样既能够防止不安全的用户主机感染内部关键服务器，又能够保留其浏览公司普通Web服务器的权限，实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级。简单易用的无驱客户端当前一般的IPSecVPN客户端基本采用的是虚拟网卡和核心垫片技术，这些技术需要在用户的设备上安装核心驱动程序，而核心驱动程序的安装是很不安全的，容易与用户设备上的防火墙软件、防病毒软件等其它程序会发生冲突，而且程序员的任何一个疏忽都可能导致蓝屏、死机等现象。天融信的IPSecVPN客户端完全摒弃了这些弊端，采用Windows内置的MiniPort为基石，无需安装任何核心驱动，不会与任何的防火墙、防病毒等其它核心程序发生冲突，安全、稳定、简单、易用，能让用户用得放心。iOS零安装当前移动互联已成为新的应用趋势，经过智能终端即可方便的实现远程办公，其中，苹果的iPhone、iPad是最常见的终端之一。一般的VPN需要在苹果终端上安装软件才能接入，这样既不方便，又容易导致系统的不稳定。天融信的iOS解决方案是采用零安装方式，不需安装任何软件，直接使用iOS上内置的IPSec客户端与VPN网关进行安全互联，IPSec客户端与VPN网关采用改进的IPSec密钥协商协议IKE+XAuth进行隧道协商，既能实现用户认证授权，又能达到数据加密的效果，同时不用担心iOS上客户端的不稳定性，具有使用方便、简单、安全等特点。集成功能强大的防火墙功能天融信VPN产品集成了天融信强大的防火墙产品功能，能为用户的VPN网络提供高等级的边界安全防护与访问控制。天融信VPN网关具有强大的内容过滤功能，支持URL分类过滤，分类库大于700万条；支持挂马网站过滤；支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能，用户能够轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、带宽控制等。集成强大的网络附加功能天融信IPSecVPN网关为用户组网提供了强大的网络附加功能，完全能够作为独立的相关网络设备进行配置使用，其主要功能如下：基于TOS安全操作系统的高可扩展性，可轻松的升级成集IPS、防病毒、内容过滤、反垃圾邮件等功能于一体的安全网关；集成强大的网络附加功能，支持交换、静态/动态路由、VLAN、带宽管理、DNS代理、DHCP服务器、ARP代理、组播协议等。XXXX网络系统互联VPN解决方案根据XXXX网络互联的实际情况，我们采用天融信VPN系列产品提供整体网络互联VPN安全解决方案，解决其所面临的网络互访、传输保密、节点认证、增值服务、网络访问控制等问题。VPN解决方案各分支机构经过Internet接入中心，在采用天融信VPN设备实现互联的情况下，其配置情况如下所述：在总部中心Internet接入口处安装一台“天融信千兆高端VPN网关”作为VPN中心网关。中心网关是整个VPN网络的中心部件，它负责维护和各个分支机构及移动用户之间的隧道和安全策略，中心网关兼有功能强大的防火墙功能，工作方式支持桥、路由和混杂方式，还具有入侵防御、内容过滤、带宽管理、日志报警等多种功能；在总部部署一台服务器作为“安全策略管理平台（TP）”，负责本企业整个VPN网络中VPN设备的证书生成、发放，而且制定VPN设备之间的通信策略，使得全网的VPN设备能够以数字证书方式进行身份认证和隧道的建立，并对使用的天融信VPN设备进行管理，以简化中心和所有分支机构VPN设备的策略配置工作。天融信TP还具有拓扑图自动生成、日志审计、报表、实时监控、报警等多种功能。各分支机构根据网络规模在Internet接口处安装一台天融信XX网关作为硬件网关。分支网关首先能够作为各分支机构的上网访问设备和防火墙设备，在连入互联网的同时自动向中心VPN网关进行身份认证和VPN隧道协商。分支网关也兼有功能完善的防火墙功能，可抵抗多种攻击方式，保护分支机构内网的安全；各移动用户在PC或移动终端上安装天融信VPN客户端“VRC”，天融信VRC支持“证书”认证、“用户名＋