SSL VPN 4.3 产品招标参数
一、SANGFOR VPN 招标参数
分类
功能
详细指标
SSL VPN
性能参数
SSL VPN 加密速度(RC4 128bits)
并发SSL用户数
每秒新用户s parameter
防火墙
性能参数
防火墙吞吐量(双向 256 bits包)
最大并发会话数目
IPSec VPN
性能参数
IPSec VPN 加密速度(AES 128bits
IPSec VPN隧道数
并发IPSec客户端数
网络接口
局域网接口
广域网接口
功能
操作易用性
*IPSEC、SSL VPN二合一网关,同时支持IPSec VPN和SSLVPN两种VPN协议;IPSEC VPN必须符合中国国家IPSEC VPN标准;用户可以自行选择采用IPSec或SSL方式移动接入;
SSLVPN功能支持对基于IP(TCP、UDP、ICMP)的所有B/S、C/S应用系统的支持,例如视频、语音、Ping等服务
*提供页面定制功能,用户自行可定义页面标题、上传LOGO、用户公告信息;可选择3套不同的登录页面模板;支持高级完全页面定制,管理员可手动上传单个页面,或者以zip格式打包上传。
*产品支持内部B/S、C/S应用系统的单点登录功能(SSO)
*支持针对B/S应用支持通过参数调用可自动构建单点登录访问方式,构建访问参数的单点登录支持通过调用JavaScript函数来进行加密,保证安全;
*可以针对不同的访问资源实现设定不同的SSO用户名和密码,并支持用户自行修改SSO账号。(提供界面证明)
支持拨号、ADSL、CDMA、GPRS等各种网络接入方式
支持socks、http代理穿透,支持NAT穿透
采用标准SSL 协议,只对外开放443端口
必须为真正的SSLVPN(而非将IPSec VPN封装到443端口实现,如有必要可进行抓包检验)
支持用户、用户组、各种资源的查询和排行功能
*支持默认服务页面,通过认证后直接跳转到用户资源应用页面,无需出现资源列表(提供界面证明)
*支持系统托盘,关闭IE时,将IE最小化到系统托盘。支持系统托盘跳转至SSO配置、资源服务页面、个人配置等;支持状态查询,可查看实时流量、接入时长、已发送、已接收、总流量
*支持用户名密码和数字证书方式的开机自登陆SSL VPN,支持SSL VPN断线重连;支持在桌面创建快捷方式,并可自定义桌面快捷图标
支持在Vista系统中以User权限登录正常使用SSL VPN,无需不停切换用户身份
*支持自定义资源组,并根据需要调整登录资源显示界面,并能自定义每个资源图标(提供界面支持)
*支持DHCP、LDAP、Radius分配虚拟IP,支持基于用户、用户组分配不同的虚拟IP
支持ISA代理环境下的无缝SSL VPN接入
*支持16级用户分级,下层用户组可以选择继承上级用户组的角,资源及认证方式等属性,支持用户的树形结构管理,并支持与LDAP的分组结构同步
支持按照用户认证方式进行查询,并记录用户最后一次登录时间
*支持基于用户和用户组的流量管理和会话限制
*支持全局会话限制
*支持全局超时时间设置,并可基于用户和用户组配置单独超时时间
支持手工选择默认登陆方式,如用户名密码、数字证书、Dkey登录
*支持通过域服务器下发控件,在只有user权限的机器上安装SSL控件,实现打包整体下发控件
支持资源导入导出,支持csv格式导出
*支持智能递推技术,动态嗅探页面内的链接,真正防止资源漏访
高安全性
*支持用户登陆前和登陆后定时安全性检测,检测范围包括:用户接入IP、接入时间、接入线路IP、接入终端、进程、文件、注册表、操作系统,根据以上基本规则可构建“与或”组合规则。
*支持客户端安全策略库,并支持自动升级,可动态选择升级服务器,并支持策略库回滚功能,支持手动上传客户端安全策略
*支持客户端的准入和授权策略,根据不同的客户端安全程度来判断是否可以接入SSL VPN;根据用户不同的客户端安全级别设定不同的访问资源权限,并支持动态检查
*支持客户端主机硬件特征码认证,通过自动获取而非手动输入客户端的硬件信息生成HARDCA证书,实现HARDCA证书和用户账户的绑定,支持硬件特征码与身份的多对多关系,即一个用户可拥有多个硬件特征码,同时一个硬件特征码也可以归属多个用户(提供界面证明)
*支持在访问端显示硬件特征码信息;并支持硬件特征码的批量导入导出;支持硬件特征码的自动动态匹配审批,优化处理流程;并支持用户硬件特征码的分级管理
*产品具有基于用户的VPN专线功能,而非整体隧道分割,移动用户在接入VPN内网的同时断开与Internet其他连接的功能,并支持vista下的VPN专线功能
*支持安全桌面功能,在安全桌面内默认禁止外网和本地局域网通讯,禁止和本机默认桌面的通信,禁止使用包括USB口设备、刻录机、打印机、CD-RW光盘刻录等外设的使用。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹,保证重要应用使用的安全性。
安全桌面根据用户需要自行配置按用户组、单独用户启用;可配置安全桌面下可访问的指定网段;可配置允许使用COM端口、允许使用打印机、允许与切换到默认桌面、允许本地通信。(提供界面证明)
产品应具有细粒度的权限分配功能:可以针对被访问资源的IP地址,端口,提供的服务,URL地址等进行权限控制。针对不同的用户和用户组,基于角的权限控制功能;
产品应支持主流的商业加密算法,包括:AES,DES,3DES,MD5,SHA,DH,RSA等,并支持加载扩展其他安全算法模块
产品应具备基于状态监测技术的防火墙功能,能够抵抗常见的网络攻击,能够进行包过滤或ACL控制(访问控制)。对防火墙的过滤规则能够进行虚拟测试,避免人为配置错误;支持防DOS攻击,并提供页面证明
*客户端安全配置权限控制,可以允许或禁止私有用户客户端配置私人密码、手机号码、用户端描述信息
认证丰富性
产品支持Local DB ,LDAP(MS/OPEN/SUN)/AD ,Radius、CA等第三方认证
*支持与LDAP自动同步,并能够读取LDAP中的分组权限、手机号码、虚拟IP、内置的资源,必须能做到只需维护LDAP即可实现稳定SSL VPN访问
*支持自动将AD域控指定OU/安全组读入设备树形用户组织结构中,并与AD定期自动同步;
*能够读取Radius分组权限、手机号码、虚拟IP属性;
*支持USB Key双因素认证(SSL VPN自建和第三方CA都支持)/Secure ID(动态令牌认证)
*支持短信认证(用户可自己更改绑定的小灵通或者手机号码),并支持短信重发功能
*支持移动和联通短信网关发送手机短信进行认证,并可根据需要进行扩展
*支持对于上面提供的多种身份认证方式的“与或”组合,必须实现5因素捆绑认证(用户名密码、数字证书、短信、硬件特征码、动态令牌的捆绑认证),实现更高的安全级别(提供界面证明)
内置CA认证中心,能够颁发基于用户的数字证书;支持自建CA证书的默认配置,并可修改证书过期时间;并支持基于PKI体系的第三方CA认证,支持手动导入CRL和自动同步CRL ,并支持OCSP服务器验证;
第三方CA支持不同的证书格式:der、base64编码的crt、cer、p7b、p12、pfx方式;(提供界面证明)
*采用PDA,SmartPhone等移动终端接入时,支持用户名密码、数字证书以及图形码验证功能(提供界面证明),并支持B/S应用的单点登录
*支持主从认证账号绑定,必须实现SSL VPN账号与应用系统账号的唯一绑定,加强身份认证,防止登录SSL VPN后冒名登录应用系统
支持匿名登录,即只提供SSL加密隧道传输
*支持动态验证码(数字字母组合)和软键盘认证(数字和密码随机变换)
*手动限定密码长度至少多少位密码不能包含用户名;新密码不能与旧密码一样密码必须包括:数字,字母,特殊字符(shift+数字)每隔几天必须修改密码,密码过期前几天开始提示用户修改密码首次登陆必须修改密码
支持基于用户、IP的防暴力破解功能,并支持手动解锁
支持开放SSL VPN部分数据库信息给第三方进行二次开发;支持与其他第三方的认证系统如Oracle、MySQL、MSSQL、Access(前面未提到的认证系统)结合认证。
高速性
内置LZO流压缩算法,提高数据传输率;在采用CDMA,GRPS等移动网络时,使用SSLVPN访问速度可以提升两倍以上;采用普通网络接入方式,使用SSLVPN访问速度平均提升130%
*针对不同的应用类型选用不同的压缩策略,并能够根据应用内容以及负载情况动态压缩
*支持对于无线接入环境(如CDMA、GPRS、WIFI环境下)或者恶劣环境(高丢包高延时)接入速度优化,并提供相关的证明材料
*产品支持至少4条公网线路叠加,扩展带宽的同时,能够实现多线路之间流量的负载均衡(提供自主知识产权证明)
*产品支持基于web的线路自动优选技术:对于采用不同运营商接入的移动用户,无插件的自动优选最快的线路接入VPN网络(提供自主知识产权证明)
*支持单臂模式下的多线路自动选路,进一步提高用户访问速度。(提供界面证明)
*支持PDA,SmartPhone等手持设备基于web的线路自动优选技术
*支持Webcache技术,选择性动态缓存Web页面,提高Web页面响应速度
*针对PDA和PC环境下,通过采用图片过滤、缩小图片、模糊化图片策略,提高Web页面访问速度;支持黑白名单,选择性优化URL页面
*支持IP Tunnel加速技术,优化IP Tunnel数据传输速度,提高客户端访问速度
*支持资源负载均衡,根据不同的权值实现负载接入,提高接入效率
管理易用性
*设备的配置和管理,支持完全通过web图形化方式完成,无需安装任何客户端软件;也支持Telnet方式进行管理设备
*支持16级分级管理,管理员支持从Admin派生出下层管理员,各级管理员均可以配置其可管理的模块,资源,用户及角,下级管理员可继承上级的权限,但其权限只能是上级管理员的权限子集。
*设备各功能模块支持授予不同管理员查看/配置权限
*支持资源垂直提升功能,上级管理员可将资源配置权限按照分级级别垂直提升
*强制下级组继承上级组的认证属性,强制下级组继承上级组配置的流量管理以及会话限制
*可选择继承上级组关联的角属性,以及上级组的组属性(认证属性、过期时间、有效时间、VPN专线、系统托盘、默认资源页面)
通过产品web图形化的管理配置界面,可实时监控系统运行状况、用户接入情况,并能在线中断指定用户
*对于管理员登录IP限制,提高管理员安全性
*产品支持第三方独立的日志和审计功能中心,提供完整的系统日志、设备运行日志、管理员日志、用户日志,方便管理员进行查看和管理,实现各种日志的海量存储;提供基于用户、用户组、流量、资源多因素的柱状图、曲线图等多种显示方式,为管理员提供更贴切的表达方式;
提供统计报表功能,并支持自定义报表(用户、资源、流量),提供多种报表模板供用户选择,并可通过邮件发送报表
*支持将多台SSL VPN设备同步到一个数据中心,支持数据中心的分级查看和管理
具有备份功能,支持本地和远程备份及恢复,支持SSL VPN配置的单独备份
支持Syslog和SNMP
支持网关、单臂接入方式
可选硬件加速卡,加快数据处理速度,提升设备性能
高可用性
产品支持双机热备方式
公网线路支持多线路互为备份,带宽叠加和智能选路技术(提供自主知识产权证明)
*产品支持不依赖于第三方的动态IP寻址系统和动态IP组网支持(非DDNS,提供自主知识产权证明)
产品支持普通拨号、ADSL拨号等连接方式,并具备自动拨号、代理上网等功能,其中自动拨号能够在Internet线路中断的情况下自动进行重拨,无需人为干预
*支持253个站点的集功能,支持路由部署模式和单臂模式下的集功能;并支持不同型号设备之间的集;也支持低端型号设备集;具有邮件告警功能
IPSEC功能
*IPSEC用户认证支持LocalDB、LDAP、Radius认证,对于移动客户端支持USBDkey,支持基于移动个客户端和硬件网关的硬件特征码的绑定认证
*支持对于IPSEC访问的双向访问权限控制,细致到某一个IP和端口
*支持组播技术,实现视频、语音等数据的组播转发,降低带宽占用
*支持VPN隧道内流量控制,为每个接入分支和移动用户的上下行带宽限制
*支持VPN隧道内NAT,实现相同网段的分支和总部建立VPN隧道
*支持多线路多对多分配策略,即总部和分支或移动用户都有多线路的情况下可选择主备、叠加、平均分配等策略,并且支持单臂下的多线路选路策略
*IPSec功能需支持LZO等加速技术,另外对跨运营商等丢包环境需提供畅联等技术提升访问速度
记录用户最后一次接入和断开时间,提高用户端访问安全性
*支持与第三方国际IPSEC VPN进行对接

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。