信安ca官网

信安ca官网

-

2023年3月19日发(作者：matlab除法)

网络卫士VPN系统

作为国内最早从事信息安全产品研发生产的专业安全厂商，天融信自2000年开始向国内

市场提供VPN产品，历经近十年的技术积累与市场考验，目前网络卫士VPN系统包括

IPSEC、VONE(IPSEC/SSLVPN多合一)两大系列，向用户提供成熟、完善的高性能VPN接

入方案；拥有包括政府、金融、能源、物流、连锁服务等行业在内的两万余名用户。国家部委

全球项目的实施、NPD产品开发流程及ISO9001质量体系的成功实践、海外市场的好评，验

证了天融信VPN产品凭借卓越的品质与技术进入了国际领先行列。自主知识产权的TOS

（TopsecOperatingSystem）系统平台，采用开放性系统架构及模块化设计，融合了数据加

密、身份认证、访问控制等安全手段，使网络卫士VPN产品具有安全、高效、易于管理和扩

展等特点。从2002年国内最早提出支持双边NAT穿越、第一个实现全动态组网；到2007年

国内首发千兆线速VPN、首创全面支持分级可信接入VPN产品，2008年又在权威机构横向

测评中,性能指标远远超越对手。长期以来，天融信VPN研发团队一直是VPN技术趋势的领

航者。在TNA2.0技术体系理论的指导下，天融信将致力于为远程分支、移动办公等客户应用

提供更加安全、便捷的接入服务。

CleanVPN

天融信VPN产品是集VPN功能、防火墙功能、路由功能、入侵检测功能等于一身的网络

安全产品，隧道策略、防火墙策略和防病毒策略可以组合使用。CleanVPN病毒扫描可以对所

有的VPN数据流进行扫描，从而阻止病毒和蠕虫通过VPN隧道传播，在总部、分支、远程用

户和合作伙伴之间建立干净的VPN网络。

多合一VPN

集成SSLVPN，IPSECVPN，PPTPVPN，L2TPVPN于一体，并可同时应用多种

VPN接入模式。

灵活的伸缩性

天融信VPN产品拥有完善的产品系列和多种产品形态，有支持核心网络的高端产品，也

有支持SOHO用户的桌面产品，可以根据用户的企业规模、资金投入和应用系统需求，为用

户量体裁衣，制定切实可行的VPN解决方案。

良好的可管理性

通过天融信的策略管理中心，实现了对整个VPN网络的“集中认证、统一监控、分级管

理”的管理模式，既充分保障了整个网络的安全性，同时有效减轻了相关人员的管理负担和部

署负担对技术力量比较薄弱的分支机构真正实现了设备的“零管理”。

广泛的适用性

适应各种应用需求，包括企业机构内部之间的数据通信、企业分支机构与企业总部之间的

数据通信、与合作伙伴之间的安全通信、远程移动办公人员与企业内部安全通信以及移动人员

之间的安全通信等等。同时，适应于各种接入方式，包括高速专线接入、ADSL接入、城域网

宽带接入、有线电视网宽带接入、小区宽带接入和电话拨号接入等等。

完善的PKI/CA支持

内置一个CA中心，可以为网关或客户端签发证书。支持包括WindowsCA、Linux

OpenCA、信安世纪CA、VeriSignCA、天威诚信CA、吉大正元等第三方CA系统，支持向

第三方CA在线认证。

多机多线路负载均衡与备份

天融信VPN产品可以在多台设备与多条链路之间实现隧道内数据负载均衡，如果某条线

路发生故障，系统能自动的将数据流切换到其它线路，如果某台设备发生故障，系统能自动的

将数据流切换到其它设备。

专有的隧道复用技术

天融信VPN产品支持隧道复用技术，可以方便的在一条隧道上承载多个子网之间的通

信，不需增加任何额外的资源，隧道复用技术，对于有多个子网的隧道数目可以呈几何级数下

降。

分级可信接入体系

天融信VPN产品对客户端的接入实行可信接入检查，对于检查结果进行分级，不同的级

别可以授予不同的权限，对不满足安全要求的主机，可以根据其缺陷程度分别实行隔离、修复

和有限访问。

即插即用的客户端

通过将VPN客户端软件内置到特定的USBKEY里，移动用户可方便的携带，使用时不

需要手工安装任何软件，亦不需做任何配置，当KEY插入时，客户端软件自动运行，只需输

入用户信息即可接入VPN网络，所有机密信息均不存储在计算机中，当KEY拨出时，客户端

软件自动退出。

移动用户两网分离

天融信VPN产品可以控制VPN客户端接入VPN网络时，实行VPN网络与因特网隔

离，不允许移动用户在使用VPN网络时访问因特网，以保证VPN网络的安全。

丰富多样的认证与授权

天融信VPN产品内置有用户认证数据库，同时支持多种外部认证，如：RADIUS认证、

AD认证、LDAP认证等，并支持外部认证服务器对用户授权与计费。通过外部认证，可以方

便的与用户原有的认证系统无缝的结合。

灵活的接入方式可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式

路由功能支持静态路由、动态路由。

支持基于源/目的地址、接口、Metric的策略路由。

支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。

支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。

支持RIP、OSPF等动态路由协议。

VLAN

可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路

由。

支持802.1Q，能进行封装和解封。

支持ISL，能进行ISL的封装和解封。

在同一个Vlan内能进行二层交换。

支持802.1D生成树协议

采用隧道技术IPSec、SSLVPN、L2TP、PPTP、动态VPN等

PKI证书格式：支持X.509V3数字证书，支持DER/PEM/PKCS12多种证书编码

本地CA：支持内置CA，为其他设备或移动用户签发证书；支持本地CA根

证书、根私钥的更新；支持证书废弃，支持生成标准CRL列表

第三方CA：支持同时导入多个第三方CA的根证书和CRL列表，对不同CA

证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表；支持通过

OCSP/LDAP等协议在线认证证书。

带宽管理QOS带宽管理。

根据IP、协议、网络接口、时间定义带宽分配策略。

支持最小保证带宽和最大限制带宽。

支持分层的带宽管理。

高可用性支持双机热备（Active-Active，与Active-Standby两种模式）。

支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复

正常情况时抢回主设备状态。

支持VPN网关的双机热备功能。

支持链路备份功能。

支持双系统引导。

支持Watchdog功能。

其他

支持ARP代理、ARP学习，可设置静态ARP。

支持DHCPClient、DHCPServer。

支持PPPOE拨号。

支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间。

安全算法支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择

协议类型支持SSL2.0/3.0TLS1.0

数据压缩支持高效流压缩算法

用户认证

支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证

支持X.509数字证书认证

支持数字证书＋UKEY+口令多因子认证

支持公共帐户登陆，支持临时禁止帐户登录

支持本地数据库认证

支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证

用户授权

支持分组授权、支持独立用户授权和授权继承

支持基于URL、访问路径、访问文件、访问动作的细粒度授权

支持基于时间的访问授权方式

支持本地授权、支持外部组映射授权、支持证书用户授权

应用支持

支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应

用

支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等

支持Windows/CIFS远程文件共享

实时监控

实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息

支持对使用公共帐户登录用户进行独立监控

支持主动中断在线用户的隧道连接

日志审计

详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息

支持多级审计日志，可以灵活配置审计级别

支持日志本地保存，支持将日志上传到外部日志服务器

支持专用的外置日志服务器，可以对日志内容进行深度分析和统计

端点安全

支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹

支持拔KEY隧道自动中断

支持用户超时自动退出，超时时间可以设置

协议支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式

算法

支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法

支持DHGROUP1/2/5，RSA1024/2048非对称算法

支持国家商密专用的SSP02/SSF33/SCB2算法

硬件加速支持高速算法加速卡

数据压缩支持高效数据流压缩算法

隧道认证支持预共享密钥、数字证书认证，支持扩展认证

网络适应性

支持网状、树型、星型等多种VPN网络拓扑

支持隧道的NAT穿越、双向NAT隧道建立

支持全动态IP地址间的VPN组网

支持隧道转发

支持多机多隧道的负载均衡和冗余备份方案

支持隧道内的访问控制

支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络

支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络

包过滤

基于状态检测的动态包过滤。

基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。

支持基于用户的PPTP的访问控制。

支持报文合法性检查。

动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、

RPC、TFTP、PPTP。

可实现IP/MAC绑定。

内容过滤

采用完全内容检测（CompleteContentInspection）技术。

支持基于流、数据包、透明代理的过滤方式。

支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。

支持URL过滤。

支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤。

支持对邮件的收发邮件地址、文件名、文件类型过滤。

支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过

滤。

支持MSN，QQ，Skype等InstantMessenger通信，并可以对于这些应用进

行登陆限制。

可限制BT，eMule，eDonkey等P2P应用。

可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、

POP3、telnet,HTTP）的BANNER信息。

防御攻击

非法报文攻击：land、Smurf、Pingofdeath、winnuke、tcp_sscan、

ip_option、teardrop、targa3、ipspoof。

统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。

Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效

率。

端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。

SYN代理：对来自定义区域的SynFlood攻击行为进行阻断过滤。

CC攻击：可通过设置端口和阀值阻断CC攻击。

可记录攻击日志和报警。

NAT

支持双向NAT。

支持动态地址转换和静态地址转换。

支持多对一、一对多和一对一等多种方式的地址转换。

支持虚拟服务器功能。

用户认证

支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以

及数字证书（CA）等常用的安全认证方式。

支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证

等安全认证方式。

支持Session认证、HTTP会话认证。

支持认证保活功能。

可将认证用户信息加密存放在本地数据库。

日志

支持Welf、Syslog等多种日志格式的输出。

支持通过第三方软件来查看日志。

支持日志分级。

支持对接收到的日志进行缓冲存储。

可对日志进行加密传输。

监控

支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬

件系统、进程、进程内存、加密卡状况的监测。

可根据配置文件进行错误恢复。

报警

内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬

件”、“容错”、“测试”等多种触发报警的事件类。

支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。

配置管理

支持WEB图形配置、命令行配置。

支持本地配置、远程配置。

支持基于SSH、SSL的安全配置。

支持SNMP的v1、v2、v2c、v3版本。

可以进行配置文件的备份、下载、删除、恢复和上载

支持远程维护和系统升级。

支持TFTP升级

提供强大的报文调试功能，可以帮助网络管理员或安全管理员发

现、调试和解决问题。

支持发送虚拟报文。

案例一：大中型企业VPN应用

案例二：移动用户接入

案例三：中小型企业VPN应用

案例四：多种VPN技术综合应用

主机订购信息

PN图片描述

TSM-TOPPOLICY

猎豹II型VPN，2U机架式结构，最大配置为12个

接口，其中4个千兆COMBO口（每个COMBO口

为两个互斥的千兆口--SFP口和100/1000电口可灵

活选择）；6个千兆SFP插槽；2个

10/100/1000BASE-T接口（1个专用HA接口，一个

管理口）；支持双电源（缺省为1个电源）；支持无

限隧道数，缺省含5个客户端IPSECVPN-VRC-

LICENCSE

TV-6830

TV-6730

TV-6630

2U机型，最大配置为26个接口，包括3个可插拨的

扩展槽和2个10/100/1000BASE-T接口（可作为HA

口和管理口）；支持双电源（缺省配置为1个），缺

省5个IPSECVPN的客户端许可.

TG-6530

1U机型，最大配置为26个接口，包括3个可插拨的

扩展槽和2个10/100/1000BASE-T接口（可作为HA

口和管理口）；支持双电源（缺省配置为1个），缺

省5个IPSECVPN的客户端许可

TV-6728

猎豹I型VPN，1U机架式结构，最大配置为12个接

口，其中2个千兆COMBO口（每个COMBO口为

两个互斥的千兆口--SFP口和100/1000电口可灵活

选择）；8个10/100/1000BASE-T接口，2个

10/100/1000BASE-T接口（只用于1个专用HA接

口，一个管理口）；支持无限隧道数，缺省含5个客

户端IPSECVPN-VRC-LICENCSE

TV-6708

猎豹I型VPN，1U机架式结构，最大配置为10个接

口，8个10/100/1000BASE-T接口，2个

10/100/1000BASE-T接口（只用于2个专用HA接

口，一个管理口）；支持无限隧道数，缺省含5个客

户端IPSECVPN-VRC-LICENCSE

TV-6430

最大配置为26个接口，包括3个可插拨的扩展槽和

2个10/100BASE-T接口（可作为HA口和管理

口）；另外具有专门的RJ45终端管理接口。支持无

限隧道数，缺省含5个客户端IPSECVPN-VRC-

LICENCSE

TV-6624

TV-6424

1U机架式结构；最大配置为8个接口，包括标配4

个10/100BASE-TX口，2个接口扩展插槽;支持无限

隧道数，缺省含5个客户端IPSECVPN-VRC-

LICENCSE

TV-6308

TV-6208

1U机架式结构；最大配置为8个接口.

TV-6303

TV-6203

猎豹I型防火墙，1U机架式结构，最大配置为12个

接口，10个10/100BASE-T接口，2个

10/100/1000BASE-T接口（只用于1个专用HA接

口，一个管理口）；

TV-6830-VONE

TV-6730-VONE

TV-6630-VONE

2U机型，最大配置为26个接口，包括3个可插拨的

扩展槽和2个10/100/1000BASE-T接口（可作为HA

口和管理口）；另外具有专门的RJ45终端管理接

口。.

TV-6614-VONE

2U机型，4个10/100/1000MBase-T端口，1个扩展

槽，可扩展不同子卡，最多可达12端口

TG-6530-VONE

1U机型，最大配置为26个接口，包括3个可插拨的

扩展槽和2个10/100/1000BASE-T接口（可作为HA

口和管理口）；另外具有专门的RJ45终端管理接

口。

TV-6514-VONE

1U机型，4个10/100/1000MBase-T端口，1个扩

展槽，可扩展不同子卡，最多可达12端口

TV-6414-VONE

1U机型，4个10/100/1000MBase-T端口，1个扩

展槽，可扩展不同子卡，最多可达12端口

IPSECVPN模块订购信息

产品型号描述备注

TOPSEC-PWR55-AC交流冗余电源模块TV-6864选配

TOPSEC-PWR45-AC交流冗余电源模块TV-6630

、

TV-6730

、

TV-6830

选配

TopSEC-CARD-8S8端口千兆SFP插槽接口卡

SFP模块需另配，TV-6630、TV-6730、TV-6830、

TV-6530选配

TopSEC-CARD-8A8个千兆自适应电口

无需另配模块TV-6630、TV-6730、TV-6830、TV-

6530选配

TopSEC-CARD-4S4A

4端口千兆SFP插槽接口卡+4

个千兆自适应电口

SFP模块需另配TV-6630、TV-6730、TV-6830、TV-

6530选配

TopSEC-CARD-2S2A

2端口千兆SFP插槽接口卡+2

个千兆自适应电口

SFP模块需另配TV-6630、TV-6730、TV-6830、TV-

6530选配

TopSEC-CARD-8A8个百兆自适应电口无需另配模块TV-6430选配

TopSEC-FWME-22个百兆自适应电口无需另配模块TV-6624选配

TopSEC-FWM-22个百兆自适应电口无需另配模块TV-6424选配

IPSECVPN-VRC-LICENCSEIPSECVPN并发客户端需要安装客户端

ANTIVIRUS-MODULE-2YAV病毒扩展模块

防病毒模块；AV与SSL不能同时购买，防病毒模块

的升级服务年限最多3年，到期后可再购买服务。

ANTIVIRUS-MODULE-3YAV病毒扩展模块

防病毒模块；AV与SSL不能同时购买，防病毒模块

的升级服务年限最多3年，到期后可再购买服务。

ANTIVIRUS-LIC-1YAV病毒库1年防病毒模块的1年升级服务

ANTIVIRUS-LIC-2YAV病毒库2年防病毒模块的2年升级服务

ANTIVIRUS-LIC-3YAV病毒库3年防病毒模块的3年升级服务

IPSECVPN-CARD-500VPN算法加速卡加密速度>400M

IPSECVPN-CARD-800VPN算法加速卡加密速度>600M

SJY-SCB2-CARD-BMVPN算法加速卡加解密速度>300M

SSLVPN/AV-RAM扩展内存

SSLVPN或AV的扩展闪存，TV-6728、TV-6708、

TV-6430、TV-6624、TV-6434、TV-6308、TV-6208

选配，购买sslvpn和av模块的时候必须先购买此模

块，否则需返厂

IPSECVPN-CARD-SJY

国密办加密卡，只适用于网

关到网关的IPSEC隧道

加密速度>55M，TV-6728、TV-6708、TV-6430、

TV-6624、TV-6434、TV-6308、TV-6208选配

SJY-SCB2-CARD-BVPN算法加速卡

加解密速度>90M，TV-6728、TV-6708、TV-6430、

TV-6624、TV-6434、TV-6308、TV-6208选配

SJY-SCB2-CARD-CVPN算法加速卡加解密速度>20M，TV-6303、TV-6203选配

VONE模块订购信息

产品型号描述备注

TOPSEC-PWR88-AC交流冗余电源模块

TV-6830-VONE

、

TV-6730-VONE

、

TV-6630-VONE

选配

TopSEC-CARD-8S8端口千兆SFP插槽接口卡SFP模块需另配

TopSEC-CARD-8A8个千兆自适应电口无需另配模块

TopSEC-CARD-4S4A4端口千兆SFP插槽接口卡+4SFP模块需另配

个千兆自适应电口

TopSEC-CARD-2S2A

2端口千兆SFP插槽接口卡+2

个千兆自适应电口

SFP模块需另配

SSLVPN-RAM-HSSLVPN的扩展内存1G内存，只用于SSLVPN扩展用，已购产品须返厂

IPSECVPN-VRC-LICENCSEIPSECVPN并发客户端需要安装客户端

SSLVPN-VRC-LICENSESSLVPN并发客户端不需要安装客户端

ANTIVIRUS-MODULE-2YAV病毒扩展模块

防病毒模块；AV与SSL不能同时购买，防病毒模块

的升级服务年限最多3年，到期后可再购买服务。

ANTIVIRUS-MODULE-3YAV病毒扩展模块

防病毒模块；AV与SSL不能同时购买，防病毒模块

的升级服务年限最多3年，到期后可再购买服务。

ANTIVIRUS-LIC-1YAV病毒库1年防病毒模块的1年升级服务

ANTIVIRUS-LIC-2YAV病毒库2年防病毒模块的2年升级服务

ANTIVIRUS-LIC-3YAV病毒库3年防病毒模块的3年升级服务

IPSECVPN-CARD-500VPN算法加速卡加密速度>400M

IPSECVPN-CARD-800VPN算法加速卡加密速度>600M

SJY-SCB2-CARD-BMVPN算法加速卡加解密速度>300M

IPSECVPN-CARD-SJYVPN算法加速卡加密速度>75M

◆公安部颁发的《计算机信息系统安全专用产品销售许可证》

◆中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》

◆国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

◆中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》