国富安VPN[安全链路接入网关系统V3.0 ipass3000] 2015-11-03 12:10
国富安VPN[安全链路接入网关系统V3.0 ipass3000]是北京国富安电子商务安全认证有限公司为了解决网络社会的信息安全问题而自主研发的一款高科技产品。是国密局检验通过的第一例国家级VPN。
GFA iPass 3000产品是国富安经过多年在VPN技术领域的深入研究,推出的基于SSL技术的安全网关GFA iPass 3000产品。该产品是一款高性能多功能的安全接入网关产品,2008年通过国家密码管理局商用密码产品型号鉴定,是国内首款将SM3商用密码算法实际应用于通讯功能中的产品。 GFA iPass 3000产品是独立的安全系统,具备加密通信、访问控制、身份认证、统一门户等功能,支持灵活的部署方式,可以为广泛应用中缺少加密和安全认证的应用服务器提供身份认证、传输加密和访问控制等安全服务,保障业务应用系统的安全。GFA iPass 3000产品可以有效解决远程办公环境下企业内网安全问题,并可以帮助企业方便的灵活的控制以及内部应用集成,有助于企业提高生产力,改善企业用户远程办公和应用使用体验。
GFA iPass 3000产品可以有效解决远程办公环境下企业内网安全问题,并可以帮助企业方便的灵活的控制以及内部应用集成,有助于企业提高生产力,改善企业用户远程办公和应用使用体验。
GFA iPass 3000 V3.0产品性能较第一代和第二代产品有了显著提升,并面向不同类型企业需求,建立了丰富的产品体系,其产品家族信息如下表。
| 产品系列 |
产品型号 |
处理及扩展能力 |
产品说明 |
| AS100系列 |
AS100_50 |
最高处理能力:50用户并发 |
1.AS100系列产品是iPass 3000的低端产品,具备远程安全接入,单点登录以及细粒度的访问授权控制能力,支持多通信协议,并提供了完善的管理和审计功能; |
| AS100_200 |
最高处理能力:200用户并发 |
||
| AS100_500 |
最高处理能力:500用户并发 |
||
| AS100_1000 |
最高处理能力:1000用户并发 |
||
| AS100_2000 |
最高处理能力:2000用户并发 |
||
| AS200系列 |
AS200_50 |
最高处理能力:50用户并发 |
1.AS200系列产品是AS100系列产品的升级型产品系列,在继承AS100系列产品的特点和优势的同时,采用更高性能硬件; |
| AS200_200 |
最高处理能力:200用户并发 |
||
| AS200_500 |
最高处理能力:500用户并发 |
||
| AS200_1000 |
最高处理能力:1000用户并发 |
||
| AS200_2000 |
最高处理能力:2000用户并发 |
||
| AS200_3000 |
最高处理能力:3000用户并发 |
||
| AS200_5000 |
最高处理能力:5000用户并发 |
||
| AS500系列 |
AS500_5000 |
最高处理能力:5000用户并发 |
1.AS500系列产品是iPass 3000的高端产品,在继承前两个系列产品的特点和优势的同时,采用更高性能硬件,在产品性能和硬件服务和扩展能力方面均优于前面两个系列; |
| AS500_10000 |
最高处理能力:10000用户并发 |
||
| AS500_20000 |
最高处理能力:20000用户并发 |
||
| AS500_30000 |
最高处理能力:30000用户并发 |
||
| AS500_50000 |
最高处理能力:50000用户并发 |
||
| AS500_60000 |
最高处理能力:58000用户并发 |
1.1 产品架构及服务
企业用户可以通过GFA iPass 3000产品远程访问公司企业的各种应用服务或私网内的任何机器。
GFA iPass 3000可为企业提供如下四种主要的远程访问应用服务:
- Web应用服务
在GFA iPass 3000提供的Web应用服务下,可控制开放公司内网指定的某些Web应用服务(诸如Intranet,CVS,ERP,Email等),企业用户在该服务下看不到未开放或授权访问的任何其他资源。
通过Web 应用服务,企业可以安全地将Intranet内的资源向远程访问的员工、合作伙伴开放共享,对任意访问Intranet的请求提供唯一的可控制的访问入口。
- 非Web应用服务
针对传统的C/S服务(诸如Telnet,FTP,财务软件、SSH、POP 、SMTP等)的远程访问可以使用非Web应用服务,弥补了Web应用只能访问Web服务的限制。与Web应用服务类似,该应用服务可选择性开放企业内部应用系统。企业内网的任何未开放的资源对移动用户都不可达。
- 安全隧道与应用服务
如果企业用户需要访问企业内网的某些应用(如语音电话、视频传输等),可以使用安全隧道传输服务,通过建立安全隧道直接连到公司的内网,就好像客户端机器在企业内部工作一样。
- “文件共享”
如果移动用户需要访问的是企业内部的文件服务器或FTP服务器,企业可以使用GFA iPass 3000提供的文件共享服务。
文件共享服务与文件服务器的权限设定相结合,通过通用浏览器安全接入内部文件系统,所有文件传输采用SSL加密,接入需要认证。iPass 3000支持Windows 和Unix的操作环境:UNIX (NFS) 文件、Windows (SMB) 文件,通过Web浏览器接口浏览目录、下载和上传内部机密文件。
1 GFA iPass3000产品优势
1.1 性能的领跑者
iPass 3000产品采用了软硬件结合的嵌入式架构技术,能够极大的提升系统整体性能,具有自主裁剪的安全操作系统GFA OS,优化数据包处理流程,减少数据包处理时间。内置硬件SSL加速卡,支持高性能引擎硬件多核处理,批量加密和密钥交换,能应需要提高系统的吞吐能力。
- 高速协议栈技术
国富安公司自主研发的高速协议栈技术是iPass 3000产品获得高性能的核心。该技术优化了数据包处理流程,减少了数据包处理时间。产品独具TCP/IP协议栈,指针化的数据处理,使得对于TCP/IP的包处理更加快速。内置HTTP分析器和反向代理引擎,使iPass 3000在应用处理能力更加出众。
- 连接复用技术
iPass 3000将许多客户端单独的HTTPS请求根据负载分担算法被分配到相对较少的服务器的TCP连接中,而不用采用一对一的方式把每一个HTTPS/TCPS连接从客户端传递到服务器。服务器不需花费更多的时间处理TCP连接建立和拆除工作,不需要耗费更多的资源保持多个客户端连接,显著地减少了后台服务器需要处理的用户端连接数,改善了服务器的性能
- SSL硬件加速
iPass 3000内置了SSL硬件加速卡,将需要计算程度较高的加密/解密流程从CPU中分离出来,SSL硬件加速完全在内核中实现,提高了产品的性能。
iPass 3000产品更多的用来保护用户的Web资源,如一些基于Web的OA系统,ERP系统,业务处理系统等。因此针对这类七层网络应用的HTTP协议研究了高速数据缓存技术,通过这一技术可以自动将用户的Web系统中对性能影响较大的数据(图片,动画,更新较少的静态页面等)“抓取”到产品中来进行缓存,当大量并发用户进行访问时,用户请求命令从系统缓存数据后,直接响应本系统中的缓存数据。
缓存的管理更新不需要人为配置干预,全部智能化,自动化。
1.1 随时随地的接入和应用访问
用户无需安装客户端专用软件,使用标准的浏览器即可接入SSL VPN访问内部系统。借助SSL 协议本身的优势,GFA iPass 3000的访问不受制于人和网络环境,避免了网络兼容性的麻烦,真正做到随时随地的安全互联。
- 提供多种应用支持:Web应用支持、非Web应用支持、安全隧道传输、文件共享,以增强远程访问的可控性。
- 多种网络应用环境支持:ADSL、VPDN、GPRS、无线环境等。
- Web应用支持:支持 Html/Dhtml、Jsp、Asp、Java applet、 Activx、 Cookies等各种Web技术;支持FTP、Email的Web访问。
- C/S应用支持:支持基于IP层以上的各种TCP/IP协议的应用,包括:http、Email、Ftp、网上邻居、Notes、Outlook、Oracle、SQL等各种动态和静态的C/S应用;支持内网DNS、支持对应用的透明访问。
1.2 无缝的应用结合能力
传统安全接入网关产品在代理访问Web应用系统时,通常是接收一条客户端请求,就立即将该请求向内部Web应用服务器转发。转发过程中,接入网关需要和Web应用服务器建立一条新的TCP连接,一旦获取到服务器响应后就立即切断该TCP连接,再将响应内容发送回客户端。
HTTP协议通常是短连接,当大量HTTP请求经安全接入产品转发给Web应用服务器时,Web应用服务器需要在TCP连接建立与撤销的操作中消耗大量的系统资源,从而导致系统性能降低。同时,系统延迟也造成了用户累积等待时间不断增长。
iPass3000具备与后台应用系统无缝结合的能力,采用了先进的连接复用技术和高速缓存技术解决以上问题,减少Web应用系统TCP连接的维护,降低了资源的重复获取,减轻了系统的压力,减小了系统时延,提升了Web应用系统的性能。同时,也减少了用户等待时间。
1.3 更安全的SSL设计
iPass 3000采用自主的SSL技术实现,不依赖于任何开源SSL实现,避免了开源SSL软件所存在的可能技术隐患,符合国家密码政策。
采用安全自主操作系统GFA OS,能够减少系统自身漏洞,保护服务器免遭网络攻击,确保应用资源得到安全保障。
1.4 统一精细的访问控制
iPass 3000采用统一的Portal界面,根据策略只显示给“受信任用户”可访问的资源。既简化了管理,又提高了安全性、可视性。
同时,iPass 3000提供多种认证手段和细粒度的授权访问策略来保障SSL VPN的可控性和安全性。认证方式可以采用设备内部的用户数据,也可以和内部系统已有的认证系统结合起来,如AD、Radius、LDAP等。
数字证书双端认证、动态令牌认证、智能密码钥匙+口令的双因子认证等多重认证方式,使得企业可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度地保证了接入用户的合法性。
GFA iPass 3000提供多种访问控制手段,包括:
2 GFA iPass3000产品指标
2.1 功能指标
GFA iPass3000产品功能指标如下表所述。
| 序号 |
产品功能 |
详细指标 |
| 1. |
接入认证 |
支持用户名/口令认证 支持LocalDB认证 支持动态令牌认证 支持USB Key+口令的双因子认证 支持客户端数字证书认证 支持Radius、LDAP、AD等第三方服务器认证 |
| 2. |
单点登录 |
支持NTLM、Basic HTTP authentication、HTTP x-forwarder-for、HTTP Post多种方式的单点登录 |
| 3. |
访问控制 |
支持用户、角色等管理方式,对服务、IP等各种资源进行高细粒度的接入控制和管理。 基于角色的管理、细致的访问权限划分,有效控制iPass 3000接入用户访问权限。 支持ACL规则,能够实现4-7层的访问控制 支持Web内容过滤, 能够页面定制多种过滤策略。 支持基于URL的Web访问控制,能够对URL关键字进行过滤。 支持3层访问控制,能够控制用户访问指定范围的IP地址。 |
| 4. |
安全加密传输 |
支持DES、3DES、RC4、AES、RSA、MD5、SHA-1等多种算法的通信加密 支持对通信内容的完整性校验 |
| 5. |
提供基于源和目的地址/端口的线速防火墙 集成的应用层过滤,包括HTTP、FTP以及Telnet的安全访问控制 具有DDoS防护功能 |
|
| 6. |
用户和资源管理 |
用户管理:对本地的密码用户和证书用户进行管理 角色管理:基于角色的授权模型 资源管理:对应用服务、主机和网络资源进行分类管理 |
| 7. |
设备管理 |
支持多种管理模式,可以依据安全级别采用SSH,WebUI 和Telnet等方式进行设备管理 提供图形化的设备监控界面 可对配置进行备份、上传、下载以及恢复 升级回滚:iPass 3000具有完备的升级功能,并可方便的进行回滚切换 |
| 8. |
日志审计 |
支持WELF标准日志格式 提供时间戳可选,支持记录用户访问日志 划分8个日志记录级别,用户可按不同详细程度记录日志 支持本地和远程存储日志,支持TCP或UDP远程存储日志服务器 支持记录HTTP日志,用户可选多种格式 提供邮件报警功能,可基于关键字或正则表达式定义报警条件 |
| 9. |
虚拟门户 |
虚拟站点具有独立的网站地址、用户群体、应用资源、访问控制策略,支持自定义虚拟站点门户页面 最多支持256个虚拟门户站点 还具有灵活的定制化功能,满足用户不同组织机构的应用要求 |
| 10. |
安全算法 |
支持非对称算法:支持RSA(512 位-1024 位)、DSS/DH 支持对称算法:支持DES、3DES、SM1 (56 位-128位) 支持散列算法: SHA1;SM3 支持消息完整性算法:支持HMAC |
| 11. |
通信协议 |
支持SSLv2.0 SSLv3.0 和TLSv1.0 |
| 12. |
Web 应用支持 |
支持 Html/Dhtml, Jsp, Asp,Java applet, ActivX, Cookies 等各种Web 技术 用户使用标准网络浏览器,不需要安装任何客户端插件或控件 |
| 13. |
C/S 应用支持 |
支持Ftp、Telnet、SMTP、POP3、SSH、远程桌面、数据库等基于TCP 端口数据转发的C/S应用 免客户端安装配置,使用WEB安全通信控件 |
| 14. |
支持通过隧道传输模式,让客户端得到企业内网的IP,访问公司内网的各种复杂的业务应用的功能 支持与企业自有DHCP服务集成 支持网络驱动功能(可通过网络驱动器自动映射到客户机的虚拟磁盘) 可提供文件共享服务 |
|
| 15. |
部署方式 |
支持单臂旁路方式接入 支持双臂串联方式接入 |
| 16. |
系统冗余管理 |
支持HA双机热备功能 支持集群,提供1+1和N+1的冗余配置模式,支持 Active/Standby或Active/Active工作方式 |
2.2 性能指标
GFA iPass3000产品性能指标如下表所述。
| 性能指标 |
AS100 |
AS200 |
AS500 |
| 最大并发用户数 |
50~2000 |
50~5000 |
5000~58000 |
| 每秒新建用户数 |
200 |
500 |
1100 |
| 每秒SSL新建 |
1000 |
3000 |
9500 |
| 最大吞吐量 |
200Mbps |
750Mbps |
985Mbps |
| 最小响应时间 |
<1ms |
<1ms |
<1ms |
注:上述所有规格及参数若有变动恕不另行通知,请以厂家提供的最终配置为准。
2.3 设备规格
GFA iPass3000产品设备规格指标如下表所述。
| 设备规格 |
AS100 |
AS200 |
AS500 |
| 设备高度 |
1U |
1U |
2U |
| 外观尺寸(W×D×H, 单位:mm) |
426*356*43 |
426*356*43 |
450*437*89 |
| 通讯接口 |
2×1000Mbps电口 |
2×1000Mbps电口 |
2×1000Mbps电口 可扩展光口 |
| 电源个数 |
1 |
1 |
2 |
| 电源功率 |
260W |
260W |
700W |
| 工作环境(温度) |
运行时+10°C 至+35°C,非运行时–40°C 至+70°C |
||
| 工作环境(湿度) |
非运行时5- 95%,于25°C 至30°C 温度下不凝结。 |
||
注:上述所有规格及参数若有变动恕不另行通知,请以厂家提供的最终配置为准。
1.1 客户端运行环境
与GFA iPass 3000产品连接的客户端推荐配置如下:
- 操作系统:Windows2000 及其以上版本,支持Vista,Win7系统, 三层客户端可支持Linux系统,七层客户端支持手机,PDA等平台。
- 浏览器:七层应用支持所有浏览器。四层、三层应用支持能够安装Activex插件的浏览器,例如:0以上以及一切IE内核的浏览器、Firefox(需要安装支持ActiveX的插件)主流浏览器。
2 GFA iPass3000产品部署模式
GFA iPass 3000产品可以工作在单臂和双臂的模式下,通过统一的访问入口来保护企业的应用资源。产品同时具备双机热备功能。
2.1 单臂部署
单臂应用模式中,iPass 3000设备与用户受保护的设备部署在同一网络中。iPass 3000设备在部署时,只使用一个网络接口来完成设备接入。
将iPass3000部署在路由器之后,与应用服务器处于并列的位置,代理用户端对后台应用服务器的访问请求。单臂工作模式的优点在于无需改变已有的网络结构,接入和配置较为简单。
2.2 双臂部署
在双臂模式中, iPass3000设备作为各种受保护资源服务器(WEB Server、Telnet Server、FTP Server、流媒体Server)网关,设备通过内网接口连接内部资源网络,通过外网接口连接外部网络。
将iPass 3000部署在防火墙之后、应用服务器之前,代理用户端对后台应用服务器的访问请求。
2.3 双机热备部署
iPass 3000支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。该模式需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服务,当主机发生异常时系统自动切换到备机进行服务,并保证网络的正常使用。
1 GFA iPass3000产品资质
- 本产品通过了“国家密码管理局”的安全审查并颁发国家商用密码产品型号。
- 本产品具有公安部颁发的计算机信息系统安全专用产品销售许可证。
- 本产品已取得北京科学技术委员会办法的软件产品登记证书和国家版权局颁发的软件著作权登记证书。
- 本产品09年获得北京市科学技术委员会以及北京市发展和改革委员会等单位联合颁发的北京市自主创新产品证书。
- 本产品09年获得北京市火炬计划办公室颁发的北京市火炬计划项目证书。
- 本产品符合《SSL VPN技术规范》,并通过国家密码管理局商用密码检测中心的SSL VPN密码检测平台检测。
本产品安全性与各项性能指标均通过公安部信息安全产品检测中心检测。