VPN+准入控制解决方案

一、概述

您的企业在构建业务信息化平台时，需要异地机构互联吗？您的公司有在各地的远程移动办

公人员，需要访问总部内网的应用系统吗？对于接入您公司网络的计算机，尤其是试图访问服务器系统的计算机您是否审查过它的权限，是否确认了它是一个健康的计算机而不会感染您的数据服务器？如果您有这样的需求，那么安达通强化准入控制的VPN互联解决方案就是您最好的选择！

二、“VPN+准入控制”解决方案介绍VPN+准入控制准入控制”

技术，全新推出业界领先的“VPN+准入控制”解决方案。

作为长期致力于VPN行业的国内领

军厂商，上海安达通公司不断推陈出新，在VPN技术的基础上，有效融合“准入控制、主机管控”等

安达通强化准入控制的VPN互联解决方案功能实现主要依托于安达通VPN安全网关（硬件）

和主机引擎（软件，可选装）。将“本地局域网—远端局域网—移动接入节点”的资源和安全策略进行统一管理，一体化解决VPN网络互联、准入控制和内网安全的防护问题，确保用户的网络可信、可控、可管。

2.1VPN网络系统设计原则

兼容性”建设系统。

“VPN+准入控制”解决方案的总体设计思想是要体

现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全型、先进性、扩展性、易管理性、

2.2VPN网络系统部署介绍

安达通VPN安全网关融合了路由、防火墙、链路负

载均衡、主机行为管理（引擎）和VPN加解密功能模块。在部署方式上，安达通VPN安全网关支持网关（路由）模式、桥（透明）模式和旁路模式三种部署方式。可根据具体功能需求以及实际网络环境灵活部署VPN安全网关。

如下图，总部网络边界部署2台热备VPN安全网关，每个分支机构部署一台VPN安全网关，移

动办公用户采用C/S方式的主机引擎，或者通过IE浏览器方式接入VPN网络。

总部在边界位置部署2台互为热备的VPN安全网关，并接入2条运营线路，在部署完毕VPN安

全网关后，当内网用户的网络访问首次通过VPN安全网关时，内网主机将会自动从网关上下载一个ActiveX控件：主机威胁引擎（CTE）。该引擎将自动运行，接受VPN网关的指令和管理，强制进行主机的安全评估和身份认证等，确保主机以安全的方式接入网络。

分支机构可以结合各自的实际网络环境采用网关、透明或者旁路的方式部署VPN安全网关，

采用安达通特色VPN技术，建立LAN-LAN的VPN连接，给企业的各项应用，提供互联平台。

移动用户可使用IE等主流互联网浏览器访问需要接入的VPN安全网关，首次访问也会从安全

网关上下载主机威胁引擎（CTE），进而通过“帐户+口令”或USBKEY或短信动态密码等认证方式，和网关建立VPN隧道,并通过“准入控制”后接入内网。

2.3VPN+准入控制解决方案详解•

安全的VPN互联互通网络

在该VPN网络中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。

对企业而言，VPN可以替代传统租用线来连接计算机或局域网等。企业只需要租用本地的数据专线，连接上本地的公网，各地的机构就可以互相传递信息；使用VPN有节省成本、提供远程访问、扩展性

强、便于管理和实现全面控制等好处，是企业用户异地网络的安全互联的趋势。

安达通VPN安全网关支持AES、DES、3DES、MD5、RC4、RSA及SSP02，SSF33,SCB2等国密算

法，支持扩展安全算法模块。

•

适应各种复杂环境的VPN专利技术

安达通VPN系统具备IPSec/SSL二合一、移动加速、虚地址互联、自动路由，机器码绑定、

双网隔离、隧道接力等专有的VPN技术，充分分享安达通VPN领域的领先成就。有关安达通公司的各种VPN专有技术，详见“安达通VPN安全网关技术白皮书”。•双重保障的准入控制技术

VPN用户（包括分支机构和移动办公用户）通过VPN网络接入到总部后，首先需要通过总部

VPN安全网关的风险评估检查。如果接入用户的机器上运行有恶意程序（如：木马、病毒等）或没有达到管理员规定的安全级别（如：必须至少安装一种防火墙和杀毒软件），VPN网关会阻止该VPN用户的接入。只有达到VPN网络管理员规定的安全级别，VPN接入用户才能够顺利接入到总部，以确保各种威胁不会被VPN用户带进内网。

•完善的多线路负载均衡功能

安达通VPN安全网关支持多条ISP接入线路；支持策略路由和多点VPN隧道接入：

1份；11

针对跨网络运营商通信瓶颈，采用多运营商链路接入，分支机构和移动用户可手动在多条同一运营商线路的网络环境中，可实现上网带宽叠加，并可以通过不同线路或自动选择速度最快的线路进行VPN接入；

的链路权重进行带宽分配，还可静态的指定不同用户和业务使用不同的线路出口，灵活多样的实现上网负载均衡；1

在多条不同运营商线路的网络环境中，可根据访问IP地址所属运营商，智能地选择与之对应的运营商线路，避免跨运营商转发数据，更符合中国网络特点，实现最快速的上网负载平衡。

安全网关的几个WAN口都可作为VPN接入端点，实现VPN接入的负载均衡和线路备

•智能的网络带宽管理

为了防止有限的网络带宽资源被滥用，保证关键业务带宽，必须对上网用户进行合理的带宽

限制。VPN安全网关采用了动态流控、用户流控和策略流控共三种流控技术，合理配合使用，使管理员可以方便灵活地进行用户的带宽设置。

通过三种流控技术的合理搭配使用，可以是关键业务得到充足带宽，也不会因为个别P2P用

户对带宽的大量占用，导致其他用户正常网络访问需求被中断。采用智能流控技术可以非常人性化的解决企业的带宽管理问题。

•有效提高员工工作效率

对于解决员工工作效率的问题，VPN可以通过“程序控制功能”和“员工效率报功能”来解决：【程序管控】：VPN系统可以控制员工上班时间禁止使用明显与工作无关的程序或网络应用，如：MSN、QQ、上游戏网站、炒股、看电影、放映DVD等，从而提高员工的工作效率。

【工作效率报表】：VPN的“活动窗口统计功能”能够统计每个在线用户使用应用程序（最前面的窗口）的时间，据此可以分析用户每天的工作时间分布，形成“工作效率报表”，从而达到用户工作效率管理的功能。该报表可以提高给人力资源部门或相关管理机构，作为员工绩效考评的参考数据。

•提升企业内网安全性

1）实名认证——完善内网身份认证机制

本系统对接入用户的主机首先进行身份认证，确保合法用户才能接入内网，非法接入的用户会被立即发现并告警，并禁止非法接入PC访问认证过的用户PC和服务器。2）虚拟VLAN功能——管控内网用户非法越权访问

利用VPN独特的“虚拟VLAN”功能可以实现企业用户不同部门用户PC间的相互逻辑隔离，例如可以把财务、人事等重要单位的主机单独隔离到一个虚拟的VLAN中，同一部门的用户间可以访问，而不同部门之间不能互访，这样就避免了内部员工信息的非法访问。3）防ARP欺骗——内网ARP防护功能

ARP欺骗一般有伪造ARP请求，伪造ARP广播和伪造ARP应答三种机制，将会造成被骗主机无法上网或

者诱骗和截获通信数据的恶劣影响。VPN的防ARP欺骗功能，是在主机登陆TPN系统后，在可信域中发布该可信IP/MAC表，使所有主机的中间层驱动绑定真实的IP/MAC列表，使ARP欺骗无空可钻。4）洪流病毒爆发点定位和隔离——内网洪流病毒防控

红色代码、冲击波等洪流病毒的爆发，将会使中毒主机在短时间内发送大量数据包文，严重影响网络和其他主机的正常通信。VPN系统并不是针对某种病毒的代码特征进行阻断和分析，而是专门针对主机行为模式的流量异常检测和对网络洪流爆发的判断。

VPN产品功能介绍三、三、VPN

增强版系列，其功简单介绍如下：

安达通VPN安全网关采用实时的操作系统，专为通信系

统设计，内核精简，是集多功能合一的安全网关。按照功能区分分为2大系列：VPN标准版系列和VPN

3.1VPN标准版功能介绍•

IPSecoverHTTPS技术

“IPSecoverHTTPS技术”作为最新一代VPN技术，融合了IPSec和SSL协议的各自优势，使SSL的协商认证便利性和IPSec的高性能传输能力以及对IP应用的完全透明性得到了全面体现。

•

VPN移动加速系统

“VPN移动接入加速系统”融合了桌面终端控制技术和数据压缩技术，可以将传统的“Client——Site”的VPN远程接入速度提升10倍以上。

•

多线路负载均衡功能

安达通VPN安全网关支持多线路接入，并支持策略路由及链路的负载均衡。可以根据目的地址的线路属性选择对应运营商的线路作为出口线路。

•

多种VPN专有技术

安达通VPN系统经过多年的研发获得了虚地址互联、自动路由，机器码绑定、双网隔离、隧道接力等等专有的VPN技术。

有关安达通公司的各种VPN专有技术，详见“安达通VPN安全网关技术白皮书”。

•

多种加密算法及身份认证方式

11

支持各种国际标准算法和国家密码管理局认证的SCB2密码算法；

支持多种身份认证方式：多因素硬件绑定，数字证书，动态口令，手机认证，支持

WindowsAD、LDAP和Radius等第三方认证；

•

URL访问控制

VPN安全网关提供HTTP网址的URL过滤和异常URL检测功能。对于URL网址和关键词，TPN提供白名单和黑名单两种方式对HTTP数据进行过滤，并可根据用户不同区别灵活对待；对于有异常长度和包含异常代码的URL，VPN提供检测和过滤的功能。

3.2VPN增强版功能介绍安达通增强版VPN安全网关是在标准版VPN安全网关的基础上，

增加了对网络行为管理和主机行为管理2大功能，其具体功能介绍如下

•准入控制

基于“主机风险评估”的“准入控制技术”是安达通在增强版VPN安全网关中采用的先进技术。增强版VPN安全网关会对接入内网的主机（包含通过VPN隧道接入内网的主机）进行全面的主机安全评估，如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别（如：没有启用杀毒软件、防火墙、或者杀毒软件没有及时更新病毒库以及安装了禁止安装的应用程序等），则不允许该主机访问外网；通过该技术可以确保那些疏于防范的内网主机不能轻易上网，避免将Internet上的木马、病毒等风险带进内网；也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网，从而确保整个网络平台的安全可靠。

•

智能流量管理

为了防止有限的网络带宽被滥用，保证关键业务带宽，必须对上网用户进行合理的带宽限制。增强版VPN安全网关提供“动态流控”、“用户流控”和“策略流控”三种方式全面解决出口带宽分配问题。

•

网络行为审计

与增强版VPN行为审计系统服务器配套，VPN系统能报告和记录全网的所有日志，审计和分析全网行为（包括：网络和主机违反安全规则的行为），使网管员获得更直接和更清晰的网络状况，便于他制定更有针对性的策略。

•实名认证

安达通增强版VPN安全网关支持多种用户认证方式，包括：帐号/口令、数字证书、USBKEY等，并且能与WindowsAD、LDAP、Radius等第三方认证服务器联动，还能结合手机短信、主机特征码和动态令牌等方式验证。

•

虚拟VLAN

虚拟VLAN功能支持在局域网中划分逻辑VLAN，在不投入其他硬件设备（如：支持VLAN的交换机）的前提下，满足不同安全等级或不同组的用户进行逻辑隔离的需求。

•

非法外联

增强版VPN安全网关能够自动识别网络中PC的各种非法外联行为（如：私自ADSL、CDMA拨号等），并能够自动根据策略进行报警或封锁其网络访问，从而达到杜绝非法外联绕过边界防火墙或安全网关的行为。

•

防ARP欺骗

ARP欺骗是危害局域网安全的重大“顽疾”，中毒主机通过广播非法的arp报文，轻而易举地修改其他主机的arp表，轻则无法上网，重则可能导致用户名、密码被窃。ARP欺骗种类繁多，方式各异，还易传染，尤其令管理员头痛。

增强版VPN通过客户端、网关的联动体系，能全面防范各类ARP欺骗。

•隔离洪流病毒

增强版VPN安全网关可以对内网中感染洪流病毒（如冲击波病毒）的主机进行定位，对于有异常洪流（异常ICMP/TCP/UDP数据）的主机，VPN客户端发现后即时发出告警，当异常流量高于预先设定的阈值时，VPN客户端会自动禁用该主机的网络连接，以避免对内网造成更大的影响，确保内网的可用性。

•工作效率报表

增强版VPN的“活动窗口统计功能”能够统计每个在线用户使用每个应用程序（最前面的窗口）的时间，据此可以分析用户每天的工作时间分布，从而达到用户工作效率管理的功能。