- 📚 相关推荐文章
- 华侨大学vpn 推荐
- 天融信vpn 推荐
- 789vpn 推荐
天融信vpn
-
2023年3月17日发(作者:分度台)天融信IPSEC/SSLVPN综合安全网关
SJJ1209系列
产品说明
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-400-610-5119
+8610-800-810-5119
版权声明
本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,
未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形
式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,
天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,
有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印©1995-2012天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的
注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC®天融信
信息反馈
天融信SJJ1209系列产品说明
北京天融信公司i
1产品概述.......................................................................................................................................1
1.1产品定义....................................................................................................................................1
1.2产品简述....................................................................................................................................1
2产品特点.......................................................................................................................................3
2.1符合国密局《IPSECVPN技术规范》和《SSLVPN技术规范》........................................3
2.2全面支持IPSEC协议标准........................................................................................................3
2.3CLEANVPN.................................................................................................................................4
2.4完善的PKI体系提高用户网络安全等级................................................................................4
2.5支持全动态IP地址间建VPN隧道........................................................................................4
2.6NAT自动穿越...........................................................................................................................5
2.7隧道路由技术实现VPN灵活自动部署..................................................................................5
2.8完善的VPN网络集中管理功能..............................................................................................6
2.9支持组播穿越隧道....................................................................................................................6
2.10多机多线路负载均衡与备份................................................................................................6
2.11支持灵活的移动用户接入策略............................................................................................6
2.12丰富多样的认证与授权........................................................................................................7
2.13分级可信接入体系................................................................................................................7
2.14简单易用的无驱客户端........................................................................................................8
2.15集成功能强大的防火墙功能................................................................................................8
2.16集成强大的网络附加功能....................................................................................................8
3产品主要功能.............................................................................................................................10
4产品规格.....................................................................................................................................15
5典型应用.....................................................................................................................................16
5.1大中型企业VPN密码机解决方案........................................................................................16
目录
天融信SJJ1209系列产品说明
北京天融信公司-1-
1产品概述
1.1产品定义
SJJ1209系列是由北京天融信公司独立开发研制的,遵循国密局制定的《SSLVPN技术
规范》和《IPSECVPN技术规范》,经国家密码管理局审批鉴定的,具有完整商用密码产品
生产、销售资质和SM2商用密码产品型号资质的IPSEC/SSLVPN综合安全网关产品。通过
产品的多种VPN功能可以实现企业总部与各个分支机构、合作伙伴、移动办公人员之间的远
程接入等多种网络互联需求,同时对这些远程网络中传输的数据提供私密性、完整性等安全
防护手段。
1.2产品简述
在信息化高度发展,电子商务、电子政务开始被企业和政府等行业普遍应用的今天,不
同的分支机构之间、不同的信息系统之间有着非常迫切的网络互联需求,如我们常见的
ERP、CRM、OA、VOIP和网络视频等应用。对于企业来说,很多都具有多个分支机构,并
且随着企业规模的不断扩大和业务的不断扩充,企业跨地区、跨国发展成为一种必然的趋
势。同时企业移动办公人员的数量也在逐渐增多,企业之间的联系也日趋频繁、密切。政府
及事业单位一直是中国信息化的先行者,一些政府的网络基础建设已经比较完善。随着“电
子政务”的进一步深入,政府与各分支机构、合作单位网络的互连互通和信息交互就变得非
常必要。而且政府部门的相关局、处、办、所往往遍布于城市的各区县,也经常需要与所管
辖的事业单位交互信息。同时,政府人员的外出移动办公需求也日益迫切。
所有这些应用,无论是企业信息化应用,还是电子政务应用,都离不开一个基本前提:
要首先建立一个安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络,传统的
做法是采用电信运营商提供的专线,例如DDN、帧中继、MPLS等,或者早期很多用户采用
的电话拨号方式。一些特殊的行业,如金融、电力、铁路、政府等,他们对网络的可靠性、
安全性有非常高的要求,通常都是采用专线的方式来连接分支机构和不同地域的局域网络。
但是对于大部分企业和很多政府机构来讲,无论在建设成本上还是后期维护上,要建立一个
天融信SJJ1209系列产品说明
北京天融信公司-2-
物理专网都是比较困难的。而利用电话拨号的方式,由于网速慢、费用高,安全性、稳定性
差等原因,现在已经基本被淘汰。
随着Internet的迅速发展及VPN技术的出现,为企业、政府信息化应用提供了发展良机
和更好的选择。VPN(VirtualPrivateNetwork,虚拟专用网)是利用公共网络资源来构建的
虚拟专用网络,它是通过特殊设计的硬件或软件直接在共享网络中通过隧道、加密、认证等
技术来实现远程网络的互连互通和确保信息远程传输的安全。通过VPN能提供与专用网络一
样的安全性和功能保障,使得整个企业网络在逻辑上成为一个专用的透明内部网络,具有安
全性、可靠性和可管理性。
近几年,随着国内网络基础设施的不断完善和宽带互联网的快速发展,尤其是ADSL的
发展,使得互联网迅速普及到国内的各个角落,VPN技术和应用也获得了空前的发展。今
天,VPN虚拟专用网已经具备了与专线相近的稳定性和安全性。事实上,利用VPN技术来
组建自己的“专用网络”,已经成为今天大多数政府、企事业单位的首选组网解决方案。在
各种VPN技术中,基于IPSec的VPN技术经过多年的实践、发展和完善,以其方便性、安
全性、标准化等优势,在全球范围得到广泛应用,已成为实现企业网络跨地域安全互联的主
要技术手段。
天融信SJJ1209系列IPSec/SSLVPN综合安全网关就是在这样的应用背景下,基于天融
信公司自主知识产权的安全操作系统平台TOS进行开发的VPN产品。VPN综合安全网关既
可以作为独立的VPN网关产品形态提供给用户,也可以作为一个TOS安全引擎(SE),与
TOS上的其他安全引擎(如防火墙、IDS等)协同工作,为用户提供综合的集成化的安全网
关产品。
天融信SJJ1209系列产品说明
北京天融信公司-3-
2产品特点
2.1符合国密局《IPSecVPN技术规范》和《SSLVPN
技术规范》
天融信的IPSEC/SSLVPN综合安全网关全面支持国家密码管理局制定的《IPSecVPN技
术规范》和《SSLVPN技术规范》,支持多种国内自主研制的硬件密码算法,采用硬件密码
模块进行密码算法运算,支持国家密码管理局规定的SM1、SM2、SM3、SM4商用密码算法,
产品的安全性和合规性有充分的保障。天融信IPSecVPN安全网关可以与任何严格遵循
《IPSecVPN技术规范》实现的IPSec网关进行互联互通。
《IPSecVPN技术规范》对标准的IPSec协议进行了修正,以数字信封的认证方式替代了
预共享密钥和签名的认证方式,抛弃了DH密钥交换方式,采用了公钥加密的方式,杜绝了
中间人攻击的可能,同时,采用国家的商用密码算法替代公开的标准算法,为用户的数据提
供了最大限度的安全保护。
2.2全面支持IPSec协议标准
IPSec作为一个全球性的安全标准,要求所有IPSec的实现必须严格遵循其各种协议规
范,以便实现不同产品之间的互通。天融信IPSecVPN产品经过严格的互通性测试,与
Cisco、Juniper、MicroSoft等著名厂家的VPN产品可以实现互通。产品遵循RFC1828、RFC
1829、RFC1851、RFC1852、RFC2085、RFC2401-2412等一系列协议标准。
➢支持标准ESP、AH加密认证协议;
➢支持隧道模式、传输模式的协议封装格式;
➢支持IKEv1、IKEv2;
➢支持主模式、野蛮模式、快速模式多种协商模式;
➢支持证书认证和预共享密钥认识方式;
➢支持DES、3DES、AES等多种对称密钥算法;
➢支持MD5、SHA1等多种完整性验证算法;
➢支持RSA、DH等多种非对称密钥算法;
天融信SJJ1209系列产品说明
北京天融信公司-4-
➢支持扩展认证和模式配置。
2.3CleanVPN
天融信VPN产品是集VPN、防火墙、带宽管理、入侵防御等功能于一身的网络安全产
品,隧道策略、防火墙策略和防病毒策略可以组合使用。CleanVPN病毒扫描可以对所有的
VPN数据流进行扫描,从而阻止病毒和蠕虫通过VPN隧道传播,在总部、分支、远程用户
和合作伙伴之间建立纯净的VPN网络。
2.4完善的PKI体系提高用户网络安全等级
随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的
认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士多合一VPN产品
全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又
能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证,同时还能够通
过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体PKI功能包括:
➢支持标准X509.V3格式数字证书;
➢支持DER、PEM、PKCS12等多种证书编码格式;
➢支持通过内置CA模块为用户签发标准数字证书;
➢支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证;
➢支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证;
➢支持生成PKCS10格式的证书请求,可生成证书请求,由第三方CA签名;
➢支持CRL列表文件的导入和通过HTTP自动下载。
天融信与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的
合作,网络卫士VPN网关与这些厂商的CA系统均能够无缝集成。
2.5支持全动态IP地址间建VPN隧道
目前国内常用的因特网接入方案,包括电话拨号、ADSL宽带接入等,都是由ISP为接
入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网,
那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部
天融信SJJ1209系列产品说明
北京天融信公司-5-
分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为VPN网络的日常维护和
广泛应用带来很大困难。天融信SJJ1209系列IPSec/SSLVPN综合安全网关产品通过集中的
VPN策略管理方式和DDNS无缝结合技术成功解决了全动态IP之间自动建立VPN隧道的问
题。
2.6NAT自动穿越
NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用
的主流技术。NAT与IPSec协议在原理上存在一定的矛盾,所以在应用IPSec技术组建VPN
网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。而大多数的VPN设备
在配置隧道时,需要预先知道该条隧道是否存在NAT设备,而事实上,网络管理员很难准
确掌握整个路径中设备的NAT情况,而且NAT状态也可能经常变化。
天融信IPSecVPN全系列产品均支持最新的NATT协议标准,在隧道协商过程中动态的
计算是否存在NAT设备,动态的调整策略,无需管理员额外填写任何配置,具有非常好的
网络适应性。天融信的IPSecVPN产品还能通过隧道路由转发技术支持双向NAT穿越。
2.7隧道路由技术实现VPN灵活自动部署
在实际物理网络部署中,网络管理员首先通过物理线路(可能是光纤、双绞线、电话线
等)连接各个路由设备,然后通过在路由器上配置静态路由或者动态路由完成各种规模网络
的灵活部署。在IPSecVPN网络中,将每一条隧道视为连接两台VPN设备的虚拟网络线路,
隧道建立成功后,虚拟线路连接工作就完成了。基于这些虚拟线路,网络管理员可以在
IPSecVPN安全网关上采用同样的方法配置静态、动态路由协议,完成整个VPN网络的灵活
部署。这种隧道路由机制的优点在于:
➢网关的配置概念和方法与路由器类似,减少网络管理员对于部署VPN网络的学习
和熟悉过程;
➢通过隧道路由规则的配置,可以完成VPN数据流在VPN网关之间的灵活转发,从
而可以实现星型网络拓扑,并解决双向NAT穿越问题;
➢通过动态隧道路由协议的配置,可以实现整个VPN网络的自适应部署,VPN网络
拓扑的自动学习、自动寻径;
➢通过基于策略的隧道路由配置,可以实现VPN网关的冗余备份和负载均衡。
天融信SJJ1209系列产品说明
北京天融信公司-6-
2.8完善的VPN网络集中管理功能
利用基于互联网的VPN技术构建企业基础网络设施,低成本、高效率是其天然的优势,
但与此相伴的则是安全性和可管理性的潜在风险。尤其是对于分支机构、营业网点遍布全国
的大型企业来讲,其业务网络系统具有分布地域广泛、接入点多、网络结构复杂等特点。如
何确保企业内部网络的安全,有效地管理、维护遍布企业各个结点的VPN设备,保证网络的
稳定运行,是VPN产品供应商必须解决的问题。IPSecVPN在综合了大量的用户需求后,逐
步形成了“统一认证、集中监控、分级管理”的VPN网络管理方案。并成功运用于许多特大
型企业的VPN建设中。
2.9支持组播穿越隧道
普通的IPSECVPN不能支持组播协议,因为IPSEC只能将组播包路由到某一个特定的对
端。天融信VPN经过技术创新,能支持组播穿越,这样就可以在整个VPN网络内部利用组
播来开展视频会议等应用。同时,利用组播穿越VPN隧道,还可以轻松的实现隧道内的动态
路由。VPN设备可以将一端学习到的路由自动发布到另外一端,从而大大简化了网络的部
署,提升了网络的管理效率。
2.10多机多线路负载均衡与备份
天融信VPN网关支持多机与多线路的组合应用,可以在多台设备与多条链路之间实现隧
道内数据的负载均衡或备份。还能实现多线路自动选优,有效解决国内跨运营商线路的互通
问题。当某条线路发生故障时,系统能自动的将数据流切换到其它线路;当一台设备发生故
障时,系统能自动将数据流切换到其它网关设备,保证VPN网络的连通性。
2.11支持灵活的移动用户接入策略
VPN技术在远程移动办公领域的应用越来越广泛,因此支持安全灵活的移动用户接入策
略已经成为VPN产品竞争的焦点。IPSecVPN产品支持丰富的移动用户接入策略,为各种需
求的用户提供了完善的解决方案。
➢支持基于用户+口令的认证机制;
天融信SJJ1209系列产品说明
北京天融信公司-7-
➢支持基于数字证书的认证机制;
➢支持基于证书+口令的双因子认证机制;
➢支持RADIUS/TARCAS/LDAP/AD等用户认证协议;
➢支持USBKEY、动态口令卡等强身份认证机制;
➢支持基于服务的移动用户的访问授权;
➢支持基于时间的移动用户访问控制;
➢支持移动用户的硬件特征码绑定机制;
➢客户端版本支持中英文自动切换。
2.12丰富多样的认证与授权
天融信VPN产品内置有用户认证数据库,同时支持多种外部认证,如:RADIUS认证、
AD认证、LDAP认证等,并支持外部认证服务器对用户授
权与计费。通过外部认证,可以方便的与用户原有的认证系
统无缝的结合。
天融信的VPN网关支持用户名、口令、证书、
USBKEY、短信、硬件特征码、指纹、动态令牌、时间、IP
地址等多种认证方式以及它们的任意组合,为用户提供最强
的安全接入机制。
2.13分级可信接入体系
可信接入是指对远程接入的VPN客户端的主机安全性进行检查。天融信VPN网关可对
客户端的接入实行可信接入检查,包括操作系统、补丁、防病毒软件、防火墙软件、进程、
文件、注册表项等,对安全性检查不合格的客户端,可拒绝其接入内网。
天融信SJJ1209系列产品说明
北京天融信公司-8-
天融信VPN网关还可对客户端的可信接入安全性检查结果进行分级,不同的级别可以授
予不同的权限,对不满足安全要求的主机或终端,可以根据其缺陷程度分别实行隔离、修复
和限制访问。对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只授予
与其安全等级匹配的普通权限。这样既可以防止不安全的用户主机感染内部关键服务器,又
可以保留其浏览公司普通Web服务器的权限,实现桌面的安全等级与访问资源的安全级别相
匹配和访问权限的分级。
2.14简单易用的无驱客户端
目前一般的IPSecVPN客户端基本采用的是虚拟网卡和核心垫片技术,这些技术需要在
用户的设备上安装核心驱动程序,而核心驱动程序的安装是很不安全的,容易与用户设备上
的防火墙软件、防病毒软件等其它程序会发生冲突,并且程序员的任何一个疏忽都可能导致
蓝屏、死机等现象。
天融信的IPSecVPN客户端完全摒弃了这些弊端,采用Windows内置的MiniPort为基
石,无需安装任何核心驱动,不会与任何的防火墙、防病毒等其它核心程序发生冲突,安
全、稳定、简单、易用,能让用户用得放心。
2.15集成功能强大的防火墙功能
天融信VPN产品集成了天融信强大的防火墙产品功能,能为用户的VPN网络提供高等
级的边界安全防护与访问控制。
天融信VPN网关具有强大的内容过滤功能,支持URL分类过滤,分类库大于700万条;
支持挂马网站过滤;支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能,用户可以
轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等
即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如
禁止、限时、带宽控制等。
2.16集成强大的网络附加功能
天融信SJJ1209系列IPSec/SSLVPN综合安全网关为用户组网提供了强大的网络附加功
能,完全可以作为独立的相关网络设备进行配置使用,其主要功能如下:
天融信SJJ1209系列产品说明
北京天融信公司-9-
➢基于TOS安全操作系统的高可扩展性,可轻松的升级成集IPS、防病毒、内容过
滤、反垃圾邮件等功能于一体的安全网关;
➢集成强大的网络附加功能,支持交换、静态/动态路由、VLAN、带宽管理、DNS代
理、DHCP服务器、ARP代理、组播协议等。
天融信SJJ1209系列产品说明
北京天融信公司-10-
3产品主要功能
类别功能详细描述
网络
适应性
工作模式
支持透明、路由、混合模式
路由
支持静态路由、动态路由
支持基于源/目的地址、端口、协议及接口的策略路由
支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能
支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能
支持RIP、OSPF等路由协议
支持多线路捆绑和负载均衡
组播
支持IGMP、PIM组播协议
可有效地实现视频会议等多媒体应用
VLAN
支持Vlan、VlanTrunk
支持802.1Q,能进行封装和解封
支持ISL,能进行ISL的封装和解封
支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装
生成树
支持802.1D、PVST生成树协议
端口聚合
支持对物理接口的端口聚合,提高接口带宽
每个聚合组的端口数不做限制,提高了聚合组的配置灵活性
ARP
支持ARP代理、ARP学习,可设置静态ARP
可设置防ARP欺骗
DHCP
支持DHCPClient、DHCPRelay、DHCPServer
接入
支持以太网、光纤、ADSL、DHCP等多种接入方式
支持最多4路ADSL拨号接入,多路ADSL支持链路负载均衡或备份
其它
支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间
支持IPX、NetBEUI等非IP协议
PKI
证书格式
支持X.509V3数字证书
支持DER/PEM/PKCS12等多种证书编码
本地CA
支持内置CA,为其他设备或移动用户签发证书
支持证书废弃,支持生成标准CRL列表
支持证书请求的生成,由第三方CA进行签名
内置支持SM2算法的CA
第三方CA
支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户
进行身份认证,支持通过HTTP协议定时下载CRL列表
支持通过OCSP/LDAP等协议在线认证证书
IPSEC
VPN
协议
支持ESP/AH/IKE/NATT等标准IPSEC协议
支持隧道模式、传输模式
支持采用国密局标准IPSec协议互通
支持与第三方标准IPSecVPN产品互通
支持隧道压缩协议
天融信SJJ1209系列产品说明
北京天融信公司-11-
类别功能详细描述
算法
支持HMAC-MD5、HMAC-SHA1校验算法
支持DES、3DES、AES加密算法
支持DHGroup1/2/5,RSA1024/2048非对称算法
支持国家商密专用的SM1/SM2/SM3/SM4算法
IKE协商
第一阶段协商支持主模式、野蛮模式
第二阶段协商支持快速模式
第一阶段身份认证支持预共享密钥、数字证书方式
支持完全向前保密PFS
支持使用标准的X.509证书建立隧道
支持DPD协议探测隧道状态
支持隧道断线自动重建
PSK方式下支持用户自定义标识符
支持XAuth认证和模式配置
硬件加速
支持高速算法加速卡
数据压缩
支持高效数据流压缩算法
网络
适应性
支持网状、树型、星型等多种VPN网络拓扑
支持隧道的NAT穿越、双向NAT隧道建立
支持全动态IP地址间的VPN组网
支持隧道路由转发
支持组播穿越IPSec隧道
支持多机多隧道的负载均衡和备份
VPN
客户端
支持第三方标准IPSec客户端接入
支持苹果终端IPSECVPN客户端接入
支持为移动用户定义访问权限
支持基于时间的移动用户访问控制策略
支持两网分离
支持多线路自动检测
支持移动用户接入状态的监控和审计
支持中/英文界面和中/英文自动切换
用户授权用户授权
支持角色授权、支持独立用户授权和授权继承
支持基于时间的访问授权方式
支持本地授权、支持外部组映射授权、支持证书用户授权
支持基于证书中的字段属性组合授权
可信接入可信接入
支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、
操作系统及补丁、文件、网卡等
支持基于角色的可信接入
支持可信接入分级授权
DDNSDDNS
支持DDNS动态域名注册
支持使用域名进行隧道定义及协商
支持使用域名向TP进行集中认证
技术标准IPSecVPN
符合国密局制定的《IPSECVPN技术规范》
L2TPL2TP
支持远程用户通过L2TP接入,建立L2TP隧道访问内部网络
天融信SJJ1209系列产品说明
北京天融信公司-12-
类别功能详细描述
PPTPPPTP
支持远程用户通过PPTP接入,建立PPTP隧道访问内部网络
网络
安全性
*内容过滤
采用完全内容检测(CompleteContentInspection)技术
支持基于流、数据包、透明代理的过滤方式
支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤
支持web重定向,支持URL分类过滤
支持挂马网站过滤
支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤
支持对邮件的收发邮件地址、文件名、文件类型过滤
支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤
支持反垃圾邮件功能
支持Telnet、Ftp、RSH命令过滤
可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、
Telnet、HTTP)的BANNER信息
访问控制
基于状态检测的动态包过滤
基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问
控制
支持隧道内的访问控制
动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、
TFTP、PPTP
支持大数量级的策略匹配加速算法
支持对象的每秒新建连接数限制
基于域名对象的访问控制
可实现IP/MAC绑定,可防共享上网
NAT
支持双向NAT
支持动态地址转换和静态地址转换
支持多对一、一对多和一对一等多种方式的地址转换
支持虚拟服务器功能
*应用识别
支持近百种应用程序库的过滤,包括P2P、IM、炒股、网游等
支持MSN、QQ、Skype等InstantMessenger通信,并可以对于这些应用进
行登陆限制和帐号过滤
可限制BT、eMule、eDonkey、迅雷等P2P应用
支持基于应用的流量统计、排名
支持基于应用的历史流量趋势图
支持基于主机的应用流量统计
支持流量异常检测
深度流量过滤(DFI),针对P2P行为的识别控制
*防病毒
支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀
支持200万余种病毒的查杀,病毒库定期与及时更新
支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀
天融信SJJ1209系列产品说明
北京天融信公司-13-
类别功能详细描述
*防御攻击
非法报文攻击:land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、
teardrop、targa3、ipspoof
统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep
支持地址对象源目的最大连接数限制
端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置
SYN代理:对来自定义区域的SynFlood攻击行为进行阻断过滤
CC攻击:可通过设置端口和阀值阻断CC攻击
可记录攻击日志和报警
支持手动设置和根据IDS规则自动生成黑名单
安全管理
用户认证
支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等常
用的安全认证方式
支持口令复杂度设置,支持密码找回、首次登录修改口令功能
支持多点登录地点数设置,支持登录时间、登录地址范围控制
支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证
等安全认证方式
支持短信、动态令牌、硬件特征码认证
支持Session认证、HTTP会话认证
支持WEB认证和指纹认证
分级管理
可为用户管理员分配不同的权限,管理不同的用户信息
支持多达16级的分级管理
支持管理员的三权分立
日志
支持Welf、Syslog等多种日志格式的输出,支持日志分级
支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能
TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系
统和其他安全产品的日志进行联合分析
可对日志进行加密传输
监控
支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬
件系统、进程、进程内存、加密卡状况的监测
可根据配置文件进行错误恢复
报警
内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、
“容错”、“测试”等多种触发报警的事件类
支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式
流量统计
支持基于IP对session数的统计,并有阀值报警功能
支持基于IP对流量的统计
支持基于传输层端口进行流量、session数的统计
支持NETFLOW协议版本5,支持设置过滤条件
带宽管理
QoS
流量整形
根据IP、协议、网络接口、时间定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持DSCP和COS的设置
支持对p2p的带宽限制
优先级
支持8级优先级控制
天融信SJJ1209系列产品说明
北京天融信公司-14-
类别功能详细描述
高可用性
双机热备
支持双机热备(Active-Standby)模式
支持负载均衡(Active-Active)模式
支持连接保护(SessionProtect)模式
其它功能
支持基于IP探测的链路备份功能
支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、
源/目的地址HASH等多种负载均衡方式
支持双系统引导,支持Watchdog功能
配置管理
配置方式
支持WEB图形配置、命令行配置
支持基于SSH、HTTPS的安全配置
支持通过TP进行配置管理
命令行
支持配置命令分级保护,支持中英文
支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能
WEBUI
支持配置向导,支持中文联机帮助
支持HTTPS客户端证书认证方式
支持CPU、内存、连接数、接口流量的即时监控图和历史趋势图
支持应用识别、病毒、入侵防御统计数据的图形化显示
SNMP
支持SNMP的v1、v2、v2c、v3版本
支持SNMPMIB扩展
与当前通用的网络管理平台兼容,如HPOpenview等
系统升级
支持双系统升级
支持TFTP、Webui、Ftp升级
报文调试
提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试
和解决问题
支持发送虚拟报文
支持端口镜像功能,能够通过设置过滤条件选择性镜像报文
配置恢复
可以进行配置文件的备份、下载、删除、恢复和上载
可进行部分配置本地和异地的批量导出和导入
说明:SJJ1209系列默认不含SSLVPN功能,可选配SSLVPN模块增加此功能。
天融信SJJ1209系列产品说明
北京天融信公司-15-
4产品规格
PN号外观图样硬件说明
SJJ1209-61530
2U机架式结构;
最大配置为26个接口,包括3个扩展槽位和2个
10/100/1000BASE-T接口(作为HA口和管理口);
标配双电源
SJJ1209-61330
2U机架式结构;
最大配置为26个接口,包括3个扩展槽位和2个
10/100/1000BASE-T接口(作为HA口和管理口);
标配双电源
SJJ1209-61331
2U机架式结构;
最大配置为26个接口,包括3个扩展槽位和2个
10/100/1000BASE-T接口(作为HA口和管理口);
单电源,可扩展为双电源
SJJ1209-61030
1U机架式结构;
最大配置为26个接口,包括3个扩展槽和2个
10/100/1000BASE-T接口(作为HA口和管理口)
SJJ1209-61214
1U机架式结构;最大配置为12个接口,标配4个
10/100/1000Base-T接口,1个扩展槽
SJJ1209-41710
1U机架式结构;10个10/100/1000Base-T接口
SJJ1209-41604
1U机架式结构;
配置为4个10/100/1000BASE-T接口
SJJ1209-21604
桌面型结构;
4个10/100/1000MBase-T端口
天融信SJJ1209系列产品说明
北京天融信公司-16-
5典型应用
5.1大中型企业VPN密码机解决方案
许多大中型企业、政府单位等在全国各地都建有分支机构或者办事处,随着企业信息化
程度的不断提高,一般在企业总部会部署如OA系统、ERP系统等应用软件,将企业分布在
各地的分支机构、办事处,以及移动办公用户与企业总部互联,达到安全地共享数据和软件
资源的目的。同时,为了实现更高的数据安全性和网络可靠性,还需要采用VPN国密协议和
国产密码算法。
采用SJJ1209系列IPSec/SSLVPN综合安全网关的密码机解决方案如下图所示。
天融信SJJ1209系列产品说明
北京天融信公司-17-
1.产品部署方案
企业总部:总部一般来讲是企业信息存放、处理的中心,网络内部主机数量多、数据流
量大、安全性和实时性要求高,因此推荐部署VPN处理能力强、硬件可靠性高的高端IPSec
VPN安全网关,对于实时要求很高的企业用户,可以在总部采用VPN网关的双机热备份方
案,以提高企业VPN网络的容错性;对于规模比较大、分支机构较多的企业,应该在总部的
内部网络中部署天融信安全策略管理平台(TP),完成对整个网络中VPN设备的集中身份认
证,集中状态监控和对全网VPN安全策略的集中制定及下发。
分支机构:企业分支机构一般指分布在全国各地规模不等的分公司,公司内部建有规模
不等的局域网,同时通过当地ISP提供的宽带等各种方式接入因特网。在这种环境下推荐使
用中端IPSecVPN安全网关产品。VPN网关部署在企业内部网与因特网的接口处,可以直接
与ISP提供的接入设备相连。VPN网关可以完成自动接入因特网、代理内部主机访问因特网
信息、为内部主机提供功能完善的防火墙保护等功能。同时VPN网关自动向总部的安全策略
管理平台(TP)进行身份认证,认证通过之后自动从TP下载VPN隧道策略,建立VPN隧
道,实现与总部或与其他分支机构之间的网络互通。
办事处:一般指企业在全国各地建立的小型办事机构,通常仅有少量的工作人员和业务
处理主机。在这种环境下推荐使用体积小巧、功能灵活的低端桌面型IPSecVPN产品,其接
入方法和所完成的功能与其他型号IPSecVPN安全网关基本相同。
2.解决方案能够为企业提供的VPN服务
分支机构与总部、分支机构之间能够任意建立网状的VPN隧道,企业员工可以象访问局
域网一样访问远程的网络资源。例如:通过“网上邻居”共享数据文件,访问远程的企业资
源数据库,在公司内部建立自己的IP电话系统、视频会议系统,远程登录使用企业总部OA
系统等。
总部的网络管理员通过安全策略管理平台(TP),可以对整个VPN网络进行集中的状态
监控、集中的VPN策略制定和下发以及对IPSecVPN安全网关的远程管理配置,可以在各个
VPN节点设置动态的流量管理策略,为企业实时业务和多媒体数据流提供良好的带宽保证。
天融信SJJ1209系列产品说明
北京天融信公司-18-
声明:
1.本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不另行通知。
2.本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,此可能
产生的差异为正常现象,相关问题请咨询天融信客户服务中心400-610-5119或者800-810-5119。
3.本手册中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,如引起相
关纠纷应属于自行推测或误会,天融信对此没有任何立场。
4.本手册中提到的信息为正常公开的信息,若因本手册或其所提到的任何信息引起了他人直接或间接的
资料流失、利益损失,天融信及其员工不承担任何责任。