●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSSL 3600安全接入网关产品白皮书文档版本号V6.3.1扩散范围销售/售前/客服/渠道商/用户作者陈蛟日期2011/04/06初审人宋伟复审人王思登●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3产品功能 (5)4产品型号与指标 (10)5产品形态 (11)6产品资质 (14)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，网神SSL VPN 的基于代理主机的，它通过终止网络边缘的连接而提供一个附加的安全层。

这就意味着只有经过授权的用户才被获准接入，而非法远程用户绝不会直接连接到你的网络。

这降低了恶意的或意外的病毒攻击。

网神SSL VPN产品，对访问者进行了强制的安全检查，也可以在其使用特殊的安全应用时隔离其和外部网络的联系，从而保护应用的高安全性。

网神SSL VPN严格制度管理控制技术能够使你明确而容易地定义资源安全的发布，细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。

全范围身份认证方法的支持：网神SSL VPN支持广泛范围的鉴别系统，包括用户名/密码、数字认证、LDAP、RADIUS、RSA SecurID 标记和其它通用的双因素等认证系统。

网神SSL VPN提供了额外的安全性功能特性，以适应各种接入的设备。

例如，若从公共网吧改进安全性，SSL提供一个“话路终止”功能部件。

能够使用户阻挡认证形式的自动完成，所以，避免了用户粗心地将密码信息留在一个网吧所造成的安全隐患。

网神SSL VPN 产品让用户轻松而安全地实现远程访问，让公司的网络应用部署更灵活，同时，网神SSL VPN 还可以为企业最大化地节约成本，而且，网神SSL VPN 会为企业用户提供最好的整体解决。

网神SSL VPN通过結合 SSL 和代理技术来减少风险终端控制技术检测、保护使用者环境，从而授权使用者的访问级別，策略执行不仅基于使用者名称，还能检测使用者环境的信任级別，可以针对那些需要特殊环境的使用者，提供最好的解決方案。

网神SSL VPN提供了用户自己定义界面的功能，用户可以根据自己的个性，定制入口界面，用户还可以把登录的LOGO换成自己公司的，并且，可以让不同的用户定制属于自己的界面，让用户真正体验网御神州产品的感受。

2产品特点安全性多种安全认证，支持指纹认证、短信认证、USB KEY认证、U-KEY认证；国密办认证体系、动态令牌认证、X.509数字证书认证、LDAP，Radius等第三方服务器认证、E-MAIL账户认证，MAC地址绑定认证、VIP用户认证，并提供多种混合模式认证；点对点全程加密，客户对资源的每一次操作都需要经过安全的身份验证和加密，确保点到点的远程访问安全。

因为是直接开启应用系统，并没在网络层上连接，攻击机会相对就减少。

网神SSL VPN还保护不同协议间的通信，增强安全性。

●经济性使用网神SSL VPN，只需要在总部放置一台硬件设备，就可以实现所有用户的远程安全访问、快速接入服务，支持LAN-TO-LAN互访。

●可扩展性网神SSL VPN支持单臂双臂模式，支持多站点及多站点分级管理，可以满足企业多部门分级管理的需求，可部署在网络中任一节点处，可以随时根据需要，添加需要发布的服务器资源，因此无需影响原有网络结构。

●访问控制网神SSL VPN可以根据用户的不同身份，给予不同的访问权限，提供VIP用户来符合企业特殊要求，细致的用户锁定策略，支持时段锁定和管理员解锁两种方式，还可以对每个访问人员进行数字签名，保证每笔数据的不可否认性，为事后追踪提供了依据。

●部署与管理成本网神SSL VPN 部署容易、维护方便、发布快捷、使用简单，降低了部署客户软件的复杂性，缩减了客户的人力管理成本。

●低带宽特性通过网神SSL VPN 平台，即便使用CDMA和GPRS上网方式也可以流畅的运行您广域网络上的应用，即使是大型的C/S软件也仅仅需要20K的带宽。

●高级管理支持CA中心，可以申请/颁发/吊销证书，支持自签名证书和第三方证书导入，支持PKI体系；支持数据库认证(SQL、ORACLE、SYBASE)，支持第三方用户导入(文本、数据库)。

3产品功能功能描述接入方式网络接入支持PPTP方式和SSL Client, IPSEC Client门户接入多个应用统一交付，Web方式接入应用接入应用发布手机接入支持iPad, iPhone, Android 1.6 2.1 2.2, windows mobile 所有版本的手机接入VPNSSL VPN支持路由、桥接、Nat模式IPSEC VPN支持Lan-Lan的连接方式PPTP VPN 支持PPTP用户组，PPTP用户绑定登录IP和绑定分配IP, 发起端ping 检测机制，连续5次ping超时则本端发起重连，该机制只对发起端有效。

防火墙/路由基本配置外网端口ping配置，内网包转发设置端口映射支持NAT，支持虚拟服务器协议穿透支持自定义规则支持用户自定义防火墙iptables规则动态域名内建支持DDNS（动态域名解析），内建动态域名解析服务功能，只需在动态域名提供服务商处免费申请即可使用目前支持希尔和花生壳网站的域名绑定静态路由支持代理上网PPPOE方式拨号支持chap和pap两种认证方式，显示拨号日志应用发布CAB应用发布C/S转B/S, 基于Java的C/S应用提速功能和基于微软终端服务的C/S 应用Web应用发布B/S应用端口发布支持单个端口，端口区间、端口序列的发布TCP、IP隧道发布FTP资源支持IP或域名含用户名和密码格式，usr:pwd@addr IP隧道支持全隧道模式图标管理支持图标管理单点登录单点登录支持模板配置和助手配置，用户关联SSO资源认证账户（外部数据库），单点助手支持自定义字符串鼠标焦点输出，支持telnet用户认证B/S单点登录可与第三方认证结合使用（如数据库，LDAP，RADUIS等）C/S单点登录可与第三方认证结合使用（如数据库，LDAP，RADUIS等）单点登录增强型功能可自动将登录SSL的用户名密码直接用于单点登录资源用户管理针对数据库的用户导入支持针对LDAP组的用户导入用户可选择导入特定的LDAP组里的用户第三方认证服务器的用户导入支持用户批量导入支持文本格式和数据库导入（Mysql、Oracle，sybase）用户批量导出支持用户批量更新功能可批量更新账户的某个字段组用户管理支持用户tcp资源流量总量的限制支持按日周月设置用户登录策略可使用图片附加码认证，强制使用证书，手动设置用户虚拟IP 用户搜索支持用户的便捷查找，用户列表显示所属组及其真实姓名针对组的登录用户限制支持针对组的登录时间限制支持针对用户的登录时间限制支持用户行为管理查看用户行为完全记录，提供查询、排序、过滤等功能；可进行用户信息批量导入及各种数据库第三方导入。

用户认证短信认证用户初步认证确认身份后，发送短信密码到用户绑定的手机，用户填写对应短信密码才能登录认证指纹认证用户通过自己的指纹,进入到应用系统邮箱认证支持用户的邮箱认证,用户通过自己常用的邮箱进入应用系统动态密码认证支持令牌认证支持证书认证仅证书认证第三方数据库认证支持密码和证书认证不但需要用户名和密码进行验证，还需要带上能通过SSL系统里的CA根证验证的用户证书，该用户才可以进入系统。

注：该证书只要CA能认到，就可以，不需要绑定在用户配置里。

密码和证书绑定认证不但需要用户名和密码进行验证，还需要带上给他绑定的证书进入系统。

注：该用户名密码和该证书绑定认证，缺一不可。

密码或证书认证既可以使用他的用户名和密码进入后台，也可以使用给他绑定的证书进入后台。

LDAP\Radius\Windows域认证可设置过滤条件，只有符合过滤条件的用户才能通过认证LDAP\第三方数据库用户与证书绑定认证支持CAB资源账户绑定功能提前给各用户绑定不同的CAB账户，访问CAB资源时，不需要输入账户直接登录应用SSL本地账号认证SSL本地用户名密码认证匿名用户认证可设置匿名账户，匿名登录访问的资源匿名访问资源支持发布不需要认证即可匿名登录访问的资源Patron认证服务Patron用户组辅助认证策略Ukey 认证，短信验证码认证，令牌认证证书中心自建CA支持用户证书生成支持第三方证书导入支持证书签发支持证书请求支持证书吊销支持在线证书状态服务显示在线证书状态信息根证书、服务器证书信息显示支持SSL根证书自动导入客户端IE 用户在第一次访问可将SSL设备中的CA根证书自动导入到用户的IE可信任根证区域页面定制消息公告模块支持Logo及页面定制支持用户界面风格定制支持列表视图、图标视图页面标题定制可自定义浏览器上显示的页面标题前台资源图标定制可由用户自定义每个资源的前台显示图标日志审计登录人数按年、月、日、时对用户登录时间进行审计登录时间按年、月、日、时对用户登录时间进行审计访问次数按年、月、日、时对各资源的访问次数进行审计上次登录的IP及时间的显示支持日志分类汇总显示支持日志服务器支持管理员在线显示支持在线用户信息显示及管理支持用户登录记录汇总查看可查看用户登录记录系统日志查看支持系统管理服务端口可配置默认后台端口是4433,前台端口是443前台http 跳转https用户在输入http 登录的时候，系统自动跳转到与其对应的https 站点支持界面重启/关机SSL系统支持界面恢复出厂设置支持支持系统自动升级支持补丁包上传功能支持前台用户超时时间默认是90s, 后台可以配置许可无效提醒管理员登录后台，如果许可无效会显示相应提醒安全性客户端安全策略支持检测客户端的防火墙和杀毒软件，如没有安装，禁止远程接入, 客户端退出SSL后，自动清除cache客户端环境的检测脚本环境、浏览器版本、控件版本的检测判定客户端虚拟IP绑定支持上网隔离支持附加码校验防止暴力破解软件盘支持防止木马窃取用户密码用户密码策略密码不可与用户名相同、密码必须包含大小写字母、新用户第一次登录需要更改初始密码等公有账户/私有账户私有账户只允许一个账户同一时间一个人使用时间策略限定账号的登录时间，支持站点、用户组、和用户三种登录时间策略。