产品说明(SJJ1209系列)_天融信VPN综合安全网关_20130326

综合安全网关系统TopGate产品概述网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。

集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。

TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。

TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。

除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。

在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。

TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。

它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

典型应用产品特点多功能与高性能的完美结合TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。

真正实现了一机多用，管理简单，节省大量成本。

TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。

网络卫士VPN系统VPN远程客户端产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 1995-2008天融信公司商标声明本安装手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1产品概述 (1)2产品特点 (1)3产品主要功能 (3)4运行环境与标准 (4)5产品规格 (4)6典型应用 (4)6.1小型用户移动办公应用 (5)6.2大型用户集中管理应用 (6)6.3与用户原有认证系统结合应用 (7)1产品概述VPN（Virtual Private Network）是政府、企业网络进行安全通讯的一种高性价比的解决方案。

为了适应现代企业对网络通讯的安全性、灵活性的要求，端到端的VPN解决方案应运而生。

端到端VPN是解决现代政府、企事业的跨区、跨国甚至跨洲的地域性分布，各分布点人员相对偏少，同时又要求安全可靠的内部通讯之间矛盾的一个较好的方案。

随着Internet的发展，移动办公MO（Mobile Office）要求安全通信提供更大的灵活性，解决移动用户的安全通信问题迫在眉睫。

VRC（VPN Remote Client）是天融信网络卫士VPN产品系列中的VPN远程客户端，是针对上述需求而设计的个人虚拟专用网系统。

它能为用户提供有效的身份认证、高强度的数据加密和细粒度的访问控制。

VRC的整个IPsec模块运行在Windows应用层，与其它桌面软件的兼容性极佳，其运行过程对用户表现为全透明，即：用户的应用系统无需作任何调整，其网络配置也不必作任何改动。

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

天清汉马VPN安全网关系统V3、0天清汉马VPN安全网关系统V3、0就是启明星辰新一代VPN安全网关产品，就是集VPDN、IPSEC、SSLVPN于一身，兼具用户认证、访问控制、NAT. SAML众多功能的综合性VP\安全网关,具有稳定强、易用强、网络环境适应性强,性能高的特点;可为各种规模的企业、政府机构、军队、团体提供网络数据加解密服务, 最大限度的保护用户网络传输的数据安全。

启明星辰新一代VP\产品支持多种新技术，包括异步高并发流水线技术，服务端配置推送技术，在线用户高速缓存技术，历史记录统讣技术等,而且具有定制方便，安全易用的特点，H前已在税务、公安、政府、能源、交通、电信、金融、制造等行业中部署，并受到用户一致好评。

一、天清汉马VPN产品特点1.客户端二合一，服务端推送配置将IPSec VPN与SSL VPN客户端二合一，配置全部在服务端实现，用户不必再做复杂的安装，只需登入Web输入用户名密码，客户端的安装与启动自动进行。

配置由服务端推送，免除了客户冗长繁琐的配置。

新VPNII «W9・I iSTM ・f^MMU■vmac: tw wae」I •VTJKtB i»：nn2.全面支持移动设备接入近年随着移动设备办公的迅猛发展，移动设备的传输安全问题也日益突出。

启明星辰VPN产品为了保证移动客户端的安全接入与数据安全，全面提供对IOS 及Android系统移动设备的接入保护。

启明星辰YP\产品支持移动客户端的三种主流接入方式，包括移动设备自带VPX远程应用发布、SDK封装APP三种方式。

移动设备自带VPN功能为客户提供完全免安装的VPN接入解决方案，同时支持I0S与Android系统；二合一客户端••• •nti V * tO疋牙0 4宮胳总円划0个人砒XW > Q VPN0 i&Xfi 中眄诒>@ MICQ楡“中心0勿奶KM O Q昼示与题□V v t<^l»WNVW‘祝VPN ①^MJVFNKB...••• ♦E»・O ♦V < t<VPN »ttftHVPNAfi iPSecH述事&C4WN1.1.1.1第户g««X 4f口焰各修远程应用发布方式,为客户提供移动设备快速访问传统PC 业务系统的解决方 案，为用户没有将传统PC 应用转化为移动APP 的情况下，提供移动访问解决方案。

网络卫士脆弱性扫描与管理系统TopScanner系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 2011 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1产品概述 (2)2产品特点 (3)2.1产品特性简介 (3)2.2先进的扫描技术 (4)2.2.1高扫描速度 (4)2.2.2高准确率 (4)2.2.3强大的漏洞库 (5)2.3灵活的部署方式 (5)2.4完善的检测报表 (5)2.4.1丰富的报表格式与样式 (6)2.4.2扫描目标的漏洞概要信息 (6)2.4.3漏洞类别概要信息 (6)2.4.4详细的漏洞描述与解决方案 (7)2.5自身高安全性 (7)2.6完善的三级服务体系 (7)3产品功能 (8)4产品规格 (10)5典型应用 (11)5.1独立式部署 (11)5.2分布式部署 (12)6产品资质 (13)7系统应用介绍 (15)7.1应用领域 (15)7.2安全应用场景 (16)8技术支持 (17)9申明 (18)1产品概述天融信网络卫士脆弱性扫描与管理系统简称TopScanner，是北京天融信公司基于多年网络安全产品研发经验推出的包括应用检测、漏洞扫描、弱点识别、风险分析、综合评估的脆弱性扫描与管理评估产品。

TopScanner不但可分析和指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。

VPN密码机-VPN安全网关系统解决方案目录VPN/密码机•产品简介•功能特点•技术优势•典型应用•用户价值产品简介产品简介天清汉马VPN安全网关系统产品是启明星辰集团依靠雄厚的技术优势，依靠多年信息安全产品研发的积累，严格遵照国家有关主管部门的设计规范要求，具有完全自主知识产权的SSL/IPSec 二合一VPN安全网关系统，为用户提供安全的传输链路加密服务。

功能特点•自主可控：产品严格遵照GM/T 0022-2014 《IPSec VPN技术规范》和 GM/T 0024-2014 《SSLVPN技术规范》进行设计。

产品支持国家商用密码算法SM1-SM4，产品具备国家商用密码产品型号证书。

•集中管理：集中管理系统可以对大规模部署的VPN项目进行统一的策略下发、状态监控、批量升级、审计告警、和报表审计等。

•行为审计：VPN可以对访用户登录、退出信息，以及访问的站点等情况进行详细记录，并可汇总到集中管理系统，进行追溯。

•终端安全检查：VPN在终端接入前可以对终端的操作系统补丁、系统进程、注册表等进行检查，并可以退出时指定清楚cookie和表单历史记录等。

•多种接入方式：启明星辰VPN可以同时实现Windows、MAC、Linux、Android、iOS等操作系统的接入，并可以通过应用虚拟化方式实现跨平台的快速接入，保证用户随时随地，随心随行快速接入企业内网处理业务。

•多因素认证：产品支持静态口令、UKEY证书、动态令牌、短信、RADIUS、LDAP、AD等多种认证方式，并可进行多种认证方式的组合，同时可以实现对指定账号和硬件设备的特征绑定，从而实现安全接入。

•IPSEC VPN：可以提供端到站和站到站的的网络层加密，实现与内网访问一样的用户体验。

同时通过启明星辰的动态多点VPN技术可以实现IPSEC的大规模高效组网。

•SSL VPN：提供端到站的应用层链路加密，无需安装任何客户端插件，同时具备URL级别的访问控制，做到权限最小化，实现对指定web应用的快速安全防护。

天融信网络安全产品大全目录1产品功能描述 (5)1.1防火墙 (5)1.1.1系统概述 (5)1.1.2功能描述 (5)1.2入侵防御系统 (6)1.2.1系统概述 (6)1.2.2功能描述 (6)1.3WEB应用防火墙 (7)1.3.1系统概述 (7)1.3.2功能描述 (8)1.4漏扫扫描系统 (11)1.4.1系统概述 (11)1.4.2功能描述 (11)1.5数据库审计系统 (13)1.5.1系统概述 (13)1.5.2功能描述 (14)1.6负载均衡系统 (15)1.6.1系统概述 (15)1.6.2功能描述 (16)2安全产品硬件规格及性能参数 (17)2.1防火墙品目一：TG-62242 (17)2.2防火墙品目二：TG-42218 (19)2.3入侵防御：TI-51628 (20)2.4WAF :TWF-72138 (21)2.5漏扫：TSC-71528 (22)2.6数据库审计:TA-11801-NET/DB (24)2.7负载均衡：TopApp-81238-NLB-R (25)2.8相关应答： (26)3产品测试方案 (29)3.1负载均衡系统测试方案 (29)3.1.1测试目的 (29)3.1.2测试内容 (29)3.1.3测试环境 (29)3.1.4测试用例设计 (30)3.1.5测试结论 (46)3.2防火墙测试方案 (46)3.2.1测试说明 (46)3.2.2功能要求及测试方式 (48)3.2.3测试结果记录 (64)3.3入侵防御系统测试方案 (66)3.3.1测试说明 (66)3.3.2测试环境 (66)3.3.3攻击测试内容和方法 (69)3.3.4WEB过滤测试内容和方法 (76)3.3.5应用监控测试和方法 (77)3.3.6防病毒测试内容和方法 (78)3.3.7防火墙联动 (79)3.3.8事件审计 (79)3.3.9测试结果 (81)3.4WEB应用防火墙测试方案 (82)3.4.1测试环境 (82)3.4.2防护能力测试 (83)3.5漏洞扫描系统测试方案 (116)3.5.1测试目的 (116)3.5.2测试环境 (116)3.5.3功能测试 (117)3.5.4专项测试 (140)3.5.5漏洞测试 (145)3.5.6压力测试 (163)3.5.7测试结论 (165)3.6数据库审计系统测试方案 (165)3.6.1测试目的 (165)3.6.2数据库审计基本功能 (166)1 产品功能描述1.1 防火墙1.1.1 系统概述网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

网络卫士网站防护系统产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-400-610-5119+8610-800-810-5119目录1 产品简介.............................................................................................................................. - 3 -1.1 产品概述..................................................................................................................... - 3 -1.2 产品组成..................................................................................................................... - 4 -2 产品特点.............................................................................................................................. - 5 -2.1 恶意代码主动防御..................................................................................................... - 5 -2.2 可保护动态网页不被篡改........................................................................................... - 5 -2.3 先进的主动防护体系................................................................................................. - 6 -2.4 防止SQL注入 ........................................................................................................... - 6 -2.5 防跨站攻击................................................................................................................. - 7 -2.6 采用内核级安全加固技术........................................................................................... - 7 -2.7 自身抗网络攻击能力................................................................................................... - 7 -3 产品功能.............................................................................................................................. - 7 -4 运行环境.............................................................................................................................. - 8 -5 产品型号.............................................................................................................................. - 9 -6 产品典型应用.......................................................................................................................... - 9 -1产品简介随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。

配置天融信VPN一．初始登录二．天融信VPN用户和子接口升级三．创建子接口逻辑属性并与相应子接口绑定四．物理接口配置五．子接口划分及IP配置六．安全区域划分及默认权限的配置七．针对安全区域开放相应管理服务八．DHCP地址池的划分九．创建用户角色十．创建VRC用户管理并添加到相应角色十一．策略路由的配置十二．VRC配置十三． 0SPF配置定义1初始登录一．初始登录VPN安全网关在浏览器地址栏内键入管理地址，如下图所示：二．管理地址形如：https://192.168.1.254:8080三．默认用户名：superman四．默认口令：talent五．本地链接IP配置IP：192.168.1.1 掩码255.255.255.0 网关指向192.168.1.254。

六．用网线链接到天融信VPN Eth0口,0口也是它的管理口。

七．用户名口令更改后一定要劳记，天融信安全设备遗失用户名口令需要返厂清除。

2天融信VPN用户和子接口升级一．给用户升级，IPsec-VPN和SSL-VPN用户要升级。

默认是IPsec和SSL各5个用户。

州上设备升级完是IPsec和SSL都是1000个用户。

县上的是500用户。

二．升级一定要看好产品的序列号。

如：序列号K1107080136 这个就是产品序列号。

三．把设备序列号和vpn升级用户包里的序列号一一对应，在Web里找到→系统管理→维护→系统升级→网页升级。

四．浏览到VPN升级包现在有设备序列号升级就好了，IPsec和SSL都要升级。

五．原有子接口是31个子接口，现在要升级到255个子接口。

升级方法也是在网页升级。

3创建子接口逻辑属性并与相应子接口绑定一．天融信VPN安全网关子接口创建完毕后，尚不能正常启用。

主要表现为VPN可以PING通对端数通设备的相应子拉口，但对端设备却无法正常PING通VPN相应的子接口。

这是因为相应区域的子接口没有开通权限造成的。

需要在CLI下为相应子接口添加属性，并将所添加的属性与子接口做一对一的绑定即可。

综合安全网关综合安全网关（Unified Security Gateway，USG）是一种集成了多种安全功能的网络设备，旨在为企业提供全面的网络安全保护。

它可以同时实现防火墙、入侵检测与防御系统（IDS/IPS）、虚拟专用网络（VPN）、反病毒、内容过滤、应用程序控制等多种安全功能，为企业网络的安全提供了全方位的保障。

首先，综合安全网关作为企业网络的边界防护，承担着防火墙的功能。

它可以对网络流量进行深度检测和过滤，阻止恶意流量的进入，保护企业内部网络不受外部攻击的侵害。

同时，它还可以对出站流量进行检测，防止内部网络向外部传播恶意软件，保护企业的声誉和隐私。

其次，综合安全网关还可以集成入侵检测与防御系统（IDS/IPS），实现对网络流量的实时监控和分析。

一旦发现异常流量或潜在的攻击行为，它可以立即做出相应的阻断和应对措施，确保企业网络的安全和稳定。

此外，综合安全网关还可以为企业提供虚拟专用网络（VPN）功能，实现远程办公人员和分支机构之间的安全通信。

通过加密技术和隧道协议，它可以确保远程通信的安全性和私密性，有效防止敏感数据在传输过程中被窃取或篡改。

除了以上功能外，综合安全网关还可以集成反病毒、内容过滤和应用程序控制等功能。

它可以对网络中的恶意软件进行及时识别和清除，过滤非法或有害内容，限制员工在工作中使用某些特定的应用程序，从而有效管理和保护企业的网络资源和信息资产。

总的来说，综合安全网关作为企业网络安全的重要组成部分，具有多种安全功能的集成和协同作用。

它可以帮助企业建立起一道坚固的网络安全防线，保护企业的网络不受外部威胁和内部风险的侵害，为企业的稳定运行和发展提供可靠的保障。

在当前信息化快速发展的时代，综合安全网关的作用愈发重要，它将成为企业网络安全的重要利器，也是企业信息化建设的必备设备之一。