X XX 市國家稅務(wù)局
網(wǎng)上發(fā)票系統 安全接入 解決方案
深信服科技 股份 有限公司
2013 3 年
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有
www.sangfor.com.cn 目錄
一����、
需求分析 ........................................................................................................................... 1
二�、
網(wǎng)絡(luò )拓撲結構設計 ............................................................................................................ 1
2.1
部署模式
............................................................................................................................... 2
2.2
擴展性設計
........................................................................................................................... 2
2.3
智能終端的接入
................................................................................................................... 3
三��、
SSL-VPN 解決方案 ............................................................................................................. 3
3.1
便捷的訪(fǎng)問(wèn)
........................................................................................................................... 3
3.2
安全的訪(fǎng)問(wèn)
........................................................................................................................... 4
3.2.1
與 Raduis 結合 ................................................................................................................. 5
3.3
快速的訪(fǎng)問(wèn)
........................................................................................................................... 5
3.4
智能終端的接入
................................................................................................................... 7
3.5
方便的管理
........................................................................................................................... 8
3.6
穩定的訪(fǎng)問(wèn)
........................................................................................................................... 8
3.6.1
多線(xiàn)路技術(shù)實(shí)現線(xiàn)路備份����,保證 VPN 線(xiàn)路穩定 .......................................................... 8
3.6.2
會(huì )話(huà)自動(dòng)恢復����,提高網(wǎng)絡(luò )適應能力 .............................................................................. 9
3.6.3
非對稱(chēng)集群功能��,滿(mǎn)足大并發(fā)接入 .............................................................................. 9
四���、
方案特點(diǎn) ......................................................................................................................... 10
五��、
產(chǎn)品選型 ......................................................................................................................... 11
六�����、
方案價(jià)值 ......................................................................................................................... 16
6.1
安全��、穩定的業(yè)務(wù)發(fā)布
..................................................................................................... 16
6.2
快速訪(fǎng)問(wèn)提升工作效率
..................................................................................................... 17
6.3
便捷的用戶(hù)使用體驗��,降低管理工作量
......................................................................... 17
6.4
高性?xún)r(jià)比組網(wǎng)���、擴容方便
................................................................................................. 17
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
1 一���、
需求分析
2012 年 2 月發(fā)改委�、財政部���、商務(wù)部��、稅務(wù)總局聯(lián)合發(fā)布《關(guān)于促進(jìn)電子商務(wù)健康快速發(fā)展有關(guān)工作的通知》�����,京津滬等 22 個(gè)省市開(kāi)展網(wǎng)絡(luò )發(fā)票應用試點(diǎn)�����,XX 也是試點(diǎn)城市之一��。2013 年 國家稅務(wù)總局公布了網(wǎng)絡(luò )發(fā)票管理辦法�����,從今年 4月 1 號開(kāi)始施行�,屆時(shí)將全國范圍開(kāi)始推廣網(wǎng)絡(luò )發(fā)票�。
目前 XX 國稅開(kāi)發(fā)并部署了一套網(wǎng)絡(luò )(電子)在線(xiàn)發(fā)票系統�,該系統是基于納稅人開(kāi)具發(fā)票這個(gè)業(yè)務(wù)所開(kāi)發(fā)的系統����,提高納稅效率����,拓展電商稅收等�����。目前在線(xiàn)發(fā)票系統主要功能包括納稅人發(fā)票開(kāi)具�、用戶(hù)權限管理�����、客戶(hù)管理���、工程項目管理��、發(fā)票信息監控管理等�����;主要接入對象是各地納稅人(單位)�,稅務(wù)機關(guān)工作人員��,以及第三方如工商�、財政�、商務(wù)���、銀行等����?���?偨尤肴藬殿A估會(huì ) 30 萬(wàn)���,同時(shí)并發(fā)在線(xiàn)的用戶(hù)叔預估為 10 萬(wàn)人����。
而要開(kāi)展在線(xiàn)發(fā)票業(yè)務(wù)����,至少需要考慮以下幾點(diǎn):
首先�,納稅人開(kāi)具打印是其企業(yè)經(jīng)營(yíng)的重要組成部分��,在線(xiàn)發(fā)票業(yè)務(wù)系統需要首先考慮納稅人能夠通過(guò)互聯(lián)網(wǎng)以及各種類(lèi)型的網(wǎng)絡(luò )(ADSL�����,3G)正常接入�����。
其次��,納稅人的的賬號以及發(fā)票信息屬于其財務(wù)機密�����,必須保障其賬號安全和數據機密性�����。
再次��,在餐飲�、超市等大批量小額發(fā)票使用點(diǎn)中���,發(fā)票打印速度和穩定性直接影響企業(yè)業(yè)務(wù)正常開(kāi)展���,因此還必須保障系統的高速度和高可用性���。
然后����,隨著(zhù)藍牙無(wú)線(xiàn)打印機和智能手機�、PDA 的興起�,還需要考慮藍牙無(wú)線(xiàn)打印機和智能手機�、PDA 的接入兼容性����。
最后�����,在線(xiàn)發(fā)票還在推廣階段�,預計接入人數還會(huì )有較大增長(cháng)���,也需要考慮后期擴容����、以及大并發(fā)的穩定性�����。
二�����、
網(wǎng)絡(luò )拓撲結構設計
目前 XX 市國家稅務(wù)局根據目前的情況拓撲設計如下:
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
2
圖:SSL-VPN 集群部署示意圖 2.1 部署模式
部署方式采用旁路方式部署�����,采用 4 臺深信服 VPN-8150 設備進(jìn)行集群方式�����,部署的模式設置為主主模式�。每臺設備可支持 2.5W 的并發(fā)��,從而通過(guò) 4 臺設備可以達到 10W 的并非用戶(hù)數���。從而保障系統的訪(fǎng)問(wèn)不會(huì )出現中斷���,提高客戶(hù)的滿(mǎn)意度及實(shí)時(shí)服務(wù)能力����,因此可以滿(mǎn)足目前的用戶(hù)數的并發(fā)使用情況�。
2.2 擴展性設計
在后續當用戶(hù)數繼續增加的情況下���,我們通過(guò)擴容 VPN 設備�����,通過(guò)分布式集群部署方式配合專(zhuān)業(yè)的負載設備針對每個(gè) VPN 集群組進(jìn)行轉發(fā)����,可以讓用戶(hù)數達到 50W 或 100W 的數量級��,提高系統的訪(fǎng)問(wèn)速度和穩定性�。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
3 2.3 智能終端的接入
由于目前的智能終端多采用蘋(píng)果和安卓操作系統����,而這兩個(gè)操作系統屬于新興的輕量級操作系統��,傳統的 Windows 應用并不能運行在蘋(píng)果和安卓操作系統中�,且蘋(píng)果和安卓操作系統的硬件架構��、開(kāi)發(fā)語(yǔ)音和編譯環(huán)境導致傳統的 VPN客戶(hù)端也不能直接運行�����。因此���,深信服提出 EasyApp 解決方案��,即利用深信服自主研發(fā)的低耦合�、高兼容性的 VPN-SDK(第三方軟件開(kāi)發(fā)包)與手機在線(xiàn)發(fā)票打印 APP 直接集成開(kāi)發(fā)�。實(shí)現手機 APP 安全的接入 VPN 網(wǎng)絡(luò )���。
三��、
SSL- -N VPN 解決方案
3.1 便捷的訪(fǎng)問(wèn)
SANGFOR SSL VPN�,是利用瀏覽器中內嵌的 SSL 協(xié)議��,在移動(dòng)客戶(hù)端與運營(yíng)商的 SSL VPN 中建立一條 SSL VPN 通道�����。公眾納稅人只需要打開(kāi)瀏覽器登錄相應的 SSL VPN 頁(yè)面并通過(guò)認證�����,即可通過(guò) SSL VPN 訪(fǎng)問(wèn)內網(wǎng)資源�,不需要在終端上安裝任何客戶(hù)端軟件��。
SANGFOR SSL VPN 支持 B/S 和 C/S 應用的單點(diǎn)登錄功能���,實(shí)現只需要通過(guò) SSL VPN 認證�����,無(wú)需反復輸入各種系統的帳號密碼就可以直接使用所有的遠程應用����。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
4 啟動(dòng)了單點(diǎn)登錄功能在成功登陸SSL VPN頁(yè)面直接跳轉到對應用的資源列表頁(yè)面����,對于 B/S 資源直接點(diǎn)擊就可以進(jìn)入�,對于 C/S 資源���,通過(guò)啟用該應用的客戶(hù)端軟件就可以直接使用�����,大大提高了訪(fǎng)問(wèn)應用的易用性��。
3.2 安全的訪(fǎng)問(wèn)
SANGFOR VPN 對于安全方面的定義分為接入的安全���、傳輸的安全����、資源的安全�����、斷開(kāi)的安全四個(gè)方面進(jìn)行全面的保障�����。
1.:
接入的安全:?jiǎn)渭兊膸ぬ柮艽a認證容易遭到密碼丟失����、密碼遭到破解等威脅���,SANGFOR SSL VPN 支持多種認證方式���,提供比網(wǎng)銀還安全的認證�,包括短信認證��、動(dòng)態(tài)令牌卡認證���、USBKey 認證����、CA 認證等方式的“與”���、“或”組合�����。支持與企業(yè)原有 LDAP�、RADIUS 認證的無(wú)縫結合���。
支持硬件特征碼的終端綁定功能�,并可通過(guò)客戶(hù)端安全檢查全面檢測終端的應用系統��、殺毒軟件����、防火墻�、注冊表����、文件等信息�����,將 SSL VPN 的安全范圍擴大到終端�����,避免由于終端的安全短板給內網(wǎng)資源帶來(lái)的威脅���。
2. 傳輸的安全:SANGFOR VPN 通過(guò) DES/3DES/AES/RC4 等多種國際主流加密算法保證數據傳輸的安全��。支持 VPN 專(zhuān)線(xiàn)功能����,對于重要的如網(wǎng)上發(fā)票系統等應用�����,可設定特定用戶(hù)接入 VPN 后自動(dòng)斷開(kāi)其他一切的互聯(lián)網(wǎng)連接��,避免出現黑客以接入終端作為攻擊內網(wǎng)的跳板的隱患�����。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
5 3. 資源的安全:SANGFOR VPN 支持對特定用戶(hù)���、用戶(hù)組進(jìn)行資源的權限的劃分�,防止應用出現越權訪(fǎng)問(wèn)的情況����。支持安全桌面功能(沙盒技術(shù))���,將通過(guò)SSL VPN 訪(fǎng)問(wèn)的應用置于該安全桌面中訪(fǎng)問(wèn)����,訪(fǎng)問(wèn)時(shí)通過(guò)斷絕本機����、網(wǎng)絡(luò )��、外設通信保證應用訪(fǎng)問(wèn)過(guò)程中的數據不可拷貝到本機���。當用戶(hù)退出 SSL VPN 后�����,所有安全桌面內訪(fǎng)問(wèn)的應用數據將一并銷(xiāo)毀�,防止重要資源數據在終端的泄漏����。
4. 斷開(kāi)的安全:SANGFOR SSL VPN 在用戶(hù)結束訪(fǎng)問(wèn)并注銷(xiāo)后���,在終端同時(shí)會(huì )自動(dòng)清除 IE 中的 Cookie�����,臨時(shí)文件等遺留在客戶(hù)端計算機上的信息��,實(shí)現“零痕跡”訪(fǎng)問(wèn)�,避免安全隱患����。
3.2.1 與 與 s Raduis 結合
由于本次納稅系統的使用人員非常多�����,因此采用統一的認證系統進(jìn)行認證���,當 VPN 用戶(hù)登錄 SSL 建立連接時(shí)�����,統一通過(guò) Radius 系統進(jìn)行認證�����。從而保障了用戶(hù)相關(guān)的信息的安全����,統一管理的要求���。
3.3 快速的訪(fǎng)問(wèn)
SANGFOR SSL VPN融合了多種廣域網(wǎng)加速技術(shù)�����,速度性遠超普通的VPN����,提供了網(wǎng)絡(luò )的高速和高可用性��。在速度方面深信服科技的 VPN 產(chǎn)品可以遠超其它品牌的 VPN 產(chǎn)品���,通過(guò)配置可選的加速模塊甚至能讓廣域網(wǎng)的傳輸速度接近局域網(wǎng)的效果��。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
6 首先是平均傳輸效率為 130%的 LZO 壓縮和 GZIP 壓縮�,SANGFOR SSL VPN 內置了數據壓縮算法��,對所有的傳輸數據進(jìn)行壓縮之后����、再傳輸���,這就在無(wú)形中極大的提高了帶寬�����。
SANGFOR SSL VPN 還支持多項加速技術(shù)��,如 IP 資源提速����、無(wú)線(xiàn)優(yōu)化技術(shù)��、資源負載均衡�、動(dòng)態(tài)壓縮�����、Web 優(yōu)化����、WebCache 等多項技術(shù)���,全面改善網(wǎng)絡(luò )傳輸����,讓速度得到質(zhì)的飛躍��。
其次是深信服 TCP 單邊加速技術(shù)����,可以再 200ms 以上延遲�����,5%以上的丟包網(wǎng)絡(luò )環(huán)境下��,加速網(wǎng)絡(luò )應用至少 20%��,且網(wǎng)絡(luò )延遲越大速度越快��。
3Mbps 專(zhuān)線(xiàn)發(fā)送 10MB 大小文件
時(shí)延(ms)
丟包(%)
正常速率(KB/s)
加速后(KB/s)
正常耗時(shí)(秒)
加速后(秒)
加速比 比
本地網(wǎng)絡(luò ) 20
0.1
364
369
28
26.82
1.04
異地網(wǎng)絡(luò ) 250
2
44.367
115.33
234.66
89.66
2.62
異地較差網(wǎng)絡(luò )
250
5
24.13
87.23
426.67
117.67
3.63
10Mbps 專(zhuān)線(xiàn)發(fā)送 10MB 大小文件
時(shí)延(ms)
丟包(%)
正常速率(KB/s)
加速后(KB/s)
正常耗時(shí)(秒)
加速后(秒)
加速比 比
本地網(wǎng)絡(luò ) 20
0.1
1218.56
1225.32
8.4
7.9
1.06
異地網(wǎng)絡(luò ) 250
2
43.17
111.67
237.67
92
2.58
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
7 異地較差網(wǎng)絡(luò )
250
5
24.87
86.23
385
119
3.24
3.4 智能終端的接入
由于操作系統本身和技術(shù)的限制�,智能終端 APP 安全性�、開(kāi)發(fā)難度和網(wǎng)絡(luò )接入易用性都較差���。雖然業(yè)內也有一些 VPN-SDK 方案���,但是傳統 SDK 開(kāi)發(fā)量大�����,兼容性較低����,僅具備接入功能但未對數據做任何保護����。
深信服 EasyApp 解決方案�����,是深信服自主研發(fā)的集成 SDK����,不僅含有傳統VPN 的接入和鏈路加密功能�����,還具有數據隔離����、單點(diǎn)登錄等模塊�����。且工作量極少�����,一般情況下�,只需要一個(gè)熟練程序員加入 20 行 SDK 代碼����,僅工作兩天左右的工作量即可集成編譯好 APP 程序����。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
8 3.5 方便的管理
SANGFOR VPN 系統采用 GUI 圖形界面管理��,維護簡(jiǎn)便��。并提供了完善的日志服務(wù)���、故障診斷等工具�,方便總部管理員對系統的維護和管理���。
SSL VPN 的數據中心詳細的記錄了用戶(hù)登錄��、訪(fǎng)問(wèn)資源����、流量�����、設備告警等各項詳細日志�,并支持報表生成功能�,便于管理員對內網(wǎng)和應用形成一個(gè)直觀(guān)的感受�,為網(wǎng)絡(luò )的管理和優(yōu)化提供參考����。
SANGFOR SSL VPN 提供管理員的分級管理功能�,內設管理權限最高的系統管理員��。系統管理員之下可以根據公司的組織架構��、網(wǎng)絡(luò )和服務(wù)器的管理等方面的綜合考慮設置分級管理員���,管理 SANGFOR SSL VPN 系統模塊設置�、資源權限��、角色�、用戶(hù)等方面的內容�。
對于移動(dòng)接入的人員�,可根據用戶(hù)��、用戶(hù)組進(jìn)行上下行帶寬�����、會(huì )話(huà)數量的限制或保證���,保證了客戶(hù)端訪(fǎng)問(wèn)效果�����,防止惡意占用帶寬��。
3.6 穩定的訪(fǎng)問(wèn)
3.6.1 多線(xiàn)路技術(shù)實(shí)現線(xiàn)路備份����,保證 N VPN 線(xiàn)路穩定
SANGFOR SSL VPN 支持多達 6 條線(xiàn)路的線(xiàn)路備份和負載均衡�,大大提高了VPN 網(wǎng)絡(luò )的穩定性�。由于 VPN 的穩定性是依賴(lài)于線(xiàn)路本身的穩定性��,若采用單條線(xiàn)路����,一旦中斷����,將造成整個(gè) VPN 系統陷入癱瘓����。通過(guò)多線(xiàn)路帶寬迭加及復
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
9 用技術(shù)(專(zhuān)利號:CN200310112006X)��,將多條線(xiàn)路����、不同方式接入方式的上網(wǎng)線(xiàn)路實(shí)現帶寬迭加和互為備份����,保證了整個(gè)系統的持續可靠運行�����。若任何一條線(xiàn)路出現故障��,SANGFOR SSL VPN 可以將數據無(wú)縫切換到其他正常線(xiàn)路��,不會(huì )影響 SSL VPN 用戶(hù)的接入和訪(fǎng)問(wèn)����。并且若故障線(xiàn)路恢復正常�����,VPN 的連接隧道將自動(dòng)愈合�����。這一切都是系統自動(dòng)進(jìn)行����,無(wú)需人工干預����,保證了用戶(hù)的重要應用持續����、不間斷地穩定運行��。
同時(shí)����,SANGFOR SSL VPN 安全網(wǎng)關(guān)還進(jìn)一步實(shí)現了多條 Internet 線(xiàn)路的QOS 功能�,根據不同線(xiàn)路的帶寬情況智能分配負載����,最大限度的提高帶寬利用率����。
3.6.2 會(huì )話(huà)自動(dòng)恢復����,提 高網(wǎng)絡(luò )適應能力
SANGFOR SSL VPN 提供了看門(mén)狗提供自動(dòng)恢復功能和配置備份功能����,支持ADSL 斷線(xiàn)重撥功能�。若由于線(xiàn)路中斷而造成的 VPN 隧道中斷����,一旦線(xiàn)路恢復�,SANGFOR SSL VPN 隨即將自動(dòng)恢復����,無(wú)需人工干預�。
3.6.3 非對稱(chēng)集群功能����,滿(mǎn)足大并發(fā)接入
面對大并發(fā)的用戶(hù)量�����,單個(gè)設備所能承受的并發(fā)數畢竟有限��。為了更好的支持大并發(fā)的用戶(hù)���,深信服可以通過(guò)多設備的集群功能實(shí)現接入的負載均衡�����,根據單臺設備的性能將所有的 SSL VPN 連接動(dòng)態(tài)的負載到所有設備上面���,從而實(shí)現更大并發(fā)的用戶(hù)接入����。
深信服科技的多臺集群之間實(shí)現了完美的 Session 同步��,多臺設備即時(shí)同時(shí)更新用戶(hù)信息���,在其中一臺設備出現故障之后���,該設備服務(wù)中的用戶(hù)會(huì )被無(wú)縫遷移到其它設備����,設備的意外事故將不會(huì )給用戶(hù)的業(yè)務(wù)訪(fǎng)問(wèn)帶來(lái)任何負面影響�。
深信服 SSL VPN 創(chuàng )新地推出了非對稱(chēng)的跨型號集群功能�,能支持不同型號的多臺設備組建集群��,這樣企業(yè)就可以根據實(shí)際的需要情況�����,選擇當前所需要購買(mǎi)的對應型號�,給予企業(yè)信息化更為自主的規劃空間��。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
10
四�����、
方案特點(diǎn)
1. 高安全性:通過(guò) SANGFOR SSL VPN 的多種認證方式�、多重安全機制保障了內部重要應用既實(shí)現了信息平臺的共享���,又實(shí)現了從應用發(fā)布����、用戶(hù)認證��、用戶(hù)接入乃至斷開(kāi)連接的一整套的高安全性��。消除了企業(yè)信息平臺共享的安全風(fēng)險�。
2. 高穩定性:SANGFOR SSL VPN 經(jīng)過(guò)了公安部和國家保密局的嚴格測試���,是國家 VPN 標準的制定者�����,并與國際領(lǐng)先的測試方案提供商思博倫(Spirent)合作����,進(jìn)行設備的高強度全面測試以保證設備穩定性����。全國 5000 多家客戶(hù)����、上萬(wàn)個(gè)網(wǎng)絡(luò )的大容量成功實(shí)際使用也證明了深信服 SSL VPN 的高穩定性�。
3. 高速接入體驗:速度性遠超普通的 VPN�,提供了網(wǎng)絡(luò )的高速和高可用性��。在速度方面深信服科技的 VPN 產(chǎn)品可以遠超其它品牌的 VPN 產(chǎn)品�����,具有特有的多線(xiàn)路復用技術(shù)���、跨運行商智能選路技術(shù)�、暢聯(lián)技術(shù)�、動(dòng)態(tài)壓縮技術(shù)等廣域網(wǎng)加速技術(shù)的應用��,通過(guò)配置可選的加速模塊甚至能讓廣域網(wǎng)的傳輸速度接近局域網(wǎng)的效果����,從而保證了快速接入���。
4. 應用的統一管理:通過(guò) SSL VPN 對公司應用進(jìn)行統一發(fā)布����,實(shí)現對用戶(hù)的應用使用權限劃分���、接入流量限制等等管理措施�,保證各個(gè)用戶(hù)的訪(fǎng)問(wèn)在授權范圍內�����,不會(huì )對主要的系統造成影響和破壞����。并支持日志數據中心�����,詳細的記錄了各個(gè)用戶(hù)的訪(fǎng)問(wèn)日志和應用資源的使用情況����,為以后的業(yè)務(wù)審計和網(wǎng)絡(luò )規劃提供了參考依據�。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
11 5. 移動(dòng)用戶(hù)接入的 易用 性:采用 SANGFOR SSL VPN 系列產(chǎn)品可實(shí)現遠程接入的速度�,公眾用戶(hù)不需要安裝客戶(hù)端即可使用�,配置簡(jiǎn)單�����,操作也很簡(jiǎn)單���,針對公眾重裝操作系統之后的配置也非常簡(jiǎn)單���。
6. 運維管理簡(jiǎn)單:不需要投入很多的精力來(lái)做運維�,在客戶(hù)端的配置�、操作都非常簡(jiǎn)單�����。
五��、
產(chǎn)品選型
根據對 XX 國稅局網(wǎng)上發(fā)票系統的需求分析�����,本方案推薦使用 4 臺深信服科技 VPN-8150 設備進(jìn)行集群�����。VPN-8150 設備是中端型號��,是安全防范意識強����、穩定性高的一款設備��,目前已經(jīng)成功運行在政府�����、教育科研����、電信��、金融證券�����、電網(wǎng)電力��、石油石化�����、制造等行業(yè)��。
VPN-8150 設備相關(guān)參數如下表:
分類(lèi) 功能 詳細指標 SSL VPN 性能參數 SSL VPN 加密速度(RC4 128bits)
680 Mbps 并發(fā) SSL 用戶(hù)數 25000 每秒新用戶(hù)數 1100 智能終端接入 EasyApp_AppDirectConnect -APP 直連 SDK 完整代碼包 網(wǎng)絡(luò )接口 局域網(wǎng)接口 2 個(gè)千兆電口 廣域網(wǎng)接口 2 個(gè)千兆電口�,4 個(gè)千兆光口 功能 操作易用性
提供頁(yè)面定制功能���,用戶(hù)自行可定義頁(yè)面標題�����、上傳 LOGO�����、用戶(hù)公告信息��;可選擇 3 套不同的登錄頁(yè)面模板�;支持高級完全頁(yè)面定制��,管理員可手動(dòng)上傳單個(gè)頁(yè)面�����,或者以 zip 格式打包上傳���。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
12 產(chǎn)品支持內部 B/S����、C/S 應用系統的單點(diǎn)登錄功能(SSO),支持 NTLM 方式單點(diǎn)登錄����。
可以針對不同的訪(fǎng)問(wèn)資源實(shí)現設定不同的 SSO用戶(hù)名和密碼����,并支持用戶(hù)自行修改 SSO 賬號���。
支持撥號��、ADSL��、CDMA�����、GPRS 等各種網(wǎng)絡(luò )接入方式 支持 socks�����、http 代理穿透�����,支持 NAT 穿透 支持用戶(hù)��、用戶(hù)組���、各種資源的查詢(xún)和排行功能 支持默認服務(wù)頁(yè)面����,通過(guò)認證后直接跳轉到用戶(hù)資源應用頁(yè)面��,無(wú)需出現資源列表 支持自定義資源組�����,并根據需要調整登錄資源顯示界面�����,并能自定義每個(gè)資源圖標 支持 DHCP���、LDAP���、Radius 分配虛擬 IP����,支持基于用戶(hù)����、用戶(hù)組分配不同的虛擬 IP 支持全局超時(shí)時(shí)間設置�����,并可基于用戶(hù)和用戶(hù)組配置單獨超時(shí)時(shí)間 支持智能遞推技術(shù)���,動(dòng)態(tài)嗅探頁(yè)面內的鏈接���,真正防止資源漏訪(fǎng) 高安全性
支持用戶(hù)登陸前和登陸后定時(shí)安全性檢測��,檢測范圍包括:用戶(hù)接入 IP��、接入時(shí)間����、接入線(xiàn)路 IP�、接入終端�����、進(jìn)程����、文件����、注冊表���、操作系統��,根據以上基本規則可構建“與或”組合規則���。
支持客戶(hù)端的準入和授權策略�����,根據不同的客戶(hù)端安全程度來(lái)判斷是否可以接入 SSL VPN�;根據用戶(hù)不同的客戶(hù)端安全級別設定不同的訪(fǎng)
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
13 問(wèn)資源權限���,并支持動(dòng)態(tài)檢查 支持客戶(hù)端主機硬件特征碼認證���,通過(guò)自動(dòng)獲取而非手動(dòng)輸入客戶(hù)端的硬件信息生成HARDCA 證書(shū)�,實(shí)現 HARDCA 證書(shū)和用戶(hù)賬戶(hù)的綁定����,支持硬件特征碼與身份的多對多關(guān)系�����,即一個(gè)用戶(hù)可擁有多個(gè)硬件特征碼�����,同時(shí)一個(gè)硬件特征碼也可以歸屬多個(gè)用戶(hù) 產(chǎn)品具有基于用戶(hù)的 VPN 專(zhuān)線(xiàn)功能��,而非整體隧道分割���,移動(dòng)用戶(hù)在接入 VPN 內網(wǎng)的同時(shí)斷開(kāi)與 Internet 其他連接的功能�����,并支持 vista 下的 VPN 專(zhuān)線(xiàn)功能 支持安全桌面功能��,在安全桌面內默認禁止外網(wǎng)和本地局域網(wǎng)通訊�,禁止和本機默認桌面的通信��,禁止使用包括USB口設備�、刻錄機����、打印機��、CD-RW光盤(pán)刻錄等外設的使用����。退出安全桌面后清除安全桌面內一切操作和遺留的痕跡��,保證重要應用使用的安全性�����。
安全桌面根據用戶(hù)需要自行配置按用戶(hù)組�、單獨用戶(hù)啟用�����;可配置安全桌面下可訪(fǎng)問(wèn)的指定網(wǎng)段����;可配置允許使用COM端口�、允許使用打印機���、允許與切換到默認桌面�����、允許本地通信��。
產(chǎn)品應具有細粒度的權限分配功能:可以針對被訪(fǎng)問(wèn)資源的 IP 地址��,端口���,提供的服務(wù)���,URL地址等進(jìn)行權限控制��。針對不同的用戶(hù)和用戶(hù)組����,基于角色的權限控制功能�;
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
14 產(chǎn)品應支持主流的商業(yè)加密算法���,包括:AES,DES,3DES,MD5,SHA,DH,RSA 等�,并支持加載擴展其他安全算法模塊 產(chǎn)品應具備基于狀態(tài)監測技術(shù)的防火墻功能��,能夠抵抗常見(jiàn)的網(wǎng)絡(luò )攻擊�����,能夠進(jìn)行包過(guò)濾或ACL 控制(訪(fǎng)問(wèn)控制)���。對防火墻的過(guò)濾規則能夠進(jìn)行虛擬測試�,避免人為配置錯誤�;支持防 DOS 攻擊 認證豐富性
產(chǎn)品支持 Local DB ����,LDAP(MS/OPEN/SUN)/AD ����,Radius���、CA 等第三方認證 支持與 LDAP 自動(dòng)同步�,并能夠讀取 LDAP 中的分組權限�����、手機號碼��、虛擬 IP���、內置的資源����,必須能做到只需維護 LDAP 即可實(shí)現穩定 SSL VPN 訪(fǎng)問(wèn) 支持 USB Key 雙因素認證(SSL VPN 自建和第三方 CA 都支持)/Secure ID(動(dòng)態(tài)令牌認證) 支持短信認證(用戶(hù)可自己更改綁定的小靈通或者手機號碼)��,并支持短信重發(fā)功能 支持對于上面提供的多種身份認證方式的“與或”組合�����,必須實(shí)現 5 因素捆綁認證(用戶(hù)名密碼�、數字證書(shū)���、短信���、硬件特征碼��、動(dòng)態(tài)令牌的捆綁認證)�����,實(shí)現更高的安全級別 內置 CA 認證中心�,能夠頒發(fā)基于用戶(hù)的數字證書(shū)�;支持自建 CA 證書(shū)的默認配置����,并可修改證書(shū)過(guò)期時(shí)間�;并支持基于 PKI 體系的第三方 CA 認證���,支持手動(dòng)導入 CRL 和自動(dòng)同步CRL ����,并支持 OCSP 服務(wù)器驗證�����;
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
15 第三方 CA 支持不同的證書(shū)格式:der��、base64編碼的 crt����、cer��、p7b��、p12��、pfx 方式�����; 采用 PDA����,SmartPhone 等移動(dòng)終端接入時(shí)����,支持用戶(hù)名密碼����、數字證書(shū)以及圖形碼驗證功能���,并支持 B/S 應用的單點(diǎn)登錄 支持主從認證賬號綁定��,必須實(shí)現 SSL VPN 賬號與應用系統賬號的唯一綁定���,加強身份認證�����,防止登錄 SSL VPN 后冒名登錄應用系統 支持匿名登錄��,即只提供 SSL 加密隧道傳輸 高速性
內置 LZO 流壓縮算法��,提高數據傳輸率���;在采用 CDMA�����,GRPS 等移動(dòng)網(wǎng)絡(luò )時(shí)����,使用 SSLVPN訪(fǎng)問(wèn)速度可以提升兩倍以上�;采用普通網(wǎng)絡(luò )接入方式��,使用 SSLVPN 訪(fǎng)問(wèn)速度平均提升 130% 針對不同的應用類(lèi)型選用不同的壓縮策略�,并能夠根據應用內容以及負載情況動(dòng)態(tài)壓縮 產(chǎn)品支持至少 4 條公網(wǎng)線(xiàn)路疊加��,擴展帶寬的同時(shí)�,能夠實(shí)現多線(xiàn)路之間流量的負載均衡 產(chǎn)品支持基于 web 的線(xiàn)路自動(dòng)優(yōu)選技術(shù):對于采用不同運營(yíng)商接入的移動(dòng)用戶(hù)���,無(wú)插件的自動(dòng)優(yōu)選最快的線(xiàn)路接入 VPN 網(wǎng)絡(luò ) 管理易用性
設備的配置和管理����,支持完全通過(guò) web 圖形化方式完成���,無(wú)需安裝任何客戶(hù)端軟件�;也支持Telnet 方式進(jìn)行管理設備 通過(guò)產(chǎn)品 web 圖形化的管理配置界面����,可實(shí)時(shí)監控系統運行狀況�、用戶(hù)接入情況����,并能在線(xiàn)中斷指定用戶(hù) 對于管理員登錄 IP 限制����,提高管理員安全性
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
16 提供統計報表功能�,并支持自定義報表(用戶(hù)���、資源����、流量)���,提供多種報表模板供用戶(hù)選擇����,并可通過(guò)郵件發(fā)送報表 支持將多臺 SSL VPN 設備同步到一個(gè)數據中心�,支持數據中心的分級查看和管理 高可用性
產(chǎn)品支持雙機熱備方式 公網(wǎng)線(xiàn)路支持多線(xiàn)路互為備份��,帶寬疊加和智能選路技術(shù) 產(chǎn)品支持不依賴(lài)于第三方的動(dòng)態(tài) IP 尋址系統和動(dòng)態(tài) IP 組網(wǎng)支持 產(chǎn)品支持普通撥號��、ADSL 撥號等連接方式���,并具備自動(dòng)撥號���、代理上網(wǎng)等功能�,其中自動(dòng)撥號能夠在Internet線(xiàn)路中斷的情況下自動(dòng)進(jìn)行重撥����,無(wú)需人為干預 支持 253 個(gè)站點(diǎn)的集群功能���,支持路由部署模式和單臂模式下的集群功能��;并支持不同型號設備之間的集群�����;也支持低端型號設備集群�;具有郵件告警功能 六�����、
方案價(jià)值
6.1 安全����、穩定的業(yè)務(wù)發(fā)布
采用 SANGFOR SSL VPN 對內部應用平臺的統一發(fā)布�����,全面的保障了應用的安全性����。結合 SSL VPN 身份認證安全機制��、終端安全控制機制����、高強度加密機制���、細粒度授權機制��,保證應用僅可由指定用戶(hù)�����、使用指定安全級別的終端��、訪(fǎng)問(wèn)到指定應用的強控制��。SSL VPN 支撐了整個(gè)應用平臺安全的延伸到各個(gè)分支���、各個(gè)移動(dòng)用戶(hù)�����,組建靈活的應用發(fā)布網(wǎng)絡(luò )���。
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
17 整個(gè)業(yè)務(wù)發(fā)布平臺的整體穩定性都基于 SSL VPN 的穩定性��,SANGFOR SSL VPN 從高穩定硬件平臺�、多線(xiàn)路技術(shù)�、集群技術(shù)等多個(gè)方面保證支撐平臺的高穩定性��,免去了 IT 管理人員的后顧之憂(yōu)����。
6.2 快速訪(fǎng)問(wèn)提升工作效率
在面對高丟包高延時(shí)�����、跨運營(yíng)商訪(fǎng)問(wèn)�、無(wú)線(xiàn)訪(fǎng)問(wèn)等惡劣網(wǎng)絡(luò )環(huán)境情況下��,結合 SANGFOR SSL VPN 多重加速技術(shù)���,可大幅提升用戶(hù)的訪(fǎng)問(wèn)速度�。SSL VPN訪(fǎng)問(wèn)速度的提升��,內部應用訪(fǎng)問(wèn)速度的加快�,直接提升了用戶(hù)的工作效率�����。無(wú)須再為網(wǎng)絡(luò )的磕磕絆絆�����、移動(dòng)辦公的緩慢速度困擾網(wǎng)絡(luò )辦公的進(jìn)度�����,在越短的時(shí)間內能處理越多的事情�,為組織創(chuàng )造更多的價(jià)值���。
6.3 便捷的用戶(hù)使用體驗�,降低管理工作量
SSL VPN 的建立僅依托于瀏覽器中內置的 SSL 協(xié)議�����,無(wú)須在終端主機上安裝任何客戶(hù)端軟件���,十分適合移動(dòng)用戶(hù)的使用�。接入方式非常貼合用戶(hù)登錄網(wǎng)銀�、電子郵箱等日常網(wǎng)絡(luò )行為����,對于用戶(hù)而言易用性高�、上手快��。同時(shí)結合 SANGFOR SSL VPN 提供的系統托盤(pán)���、默認服務(wù)頁(yè)面等多種易用性功能�,進(jìn)一步提高用戶(hù)的使用體驗�����。
同時(shí)��,無(wú)須安裝終端軟件�����、貼合日常使用的訪(fǎng)問(wèn)方式�����,將大大降低管理員對整套 VPN 系統的管理和維護工作量�����,也更易于整套遠程辦公平臺的推廣�。
6.4 高性?xún)r(jià)比組網(wǎng)��、擴容方便
SSL VPN 的建設僅需要基于普通的互聯(lián)網(wǎng)鏈路���,只需要在總部部署一臺 SSL VPN 設備即可提供安全的接入服務(wù)���。無(wú)須支付如同專(zhuān)線(xiàn)每月高昂的租用費用�,即可完成高性?xún)r(jià)比的組網(wǎng)��。尤其是多分支���、小分支�����、專(zhuān)線(xiàn)無(wú)法涉及的區域的接入服務(wù)��,SSL VPN 的性?xún)r(jià)比優(yōu)勢尤為凸顯���。
SSL VPN 擴容方便��,當有新分支����、新用戶(hù)需要使用 SSL VPN��,在設備本身的性能范圍內僅需要增開(kāi)移動(dòng)用戶(hù)授權即可����。若新增的用戶(hù)數已超過(guò)設備本身的
XX 市國家稅務(wù)局網(wǎng)上發(fā)票系統安全接入解決方案 深信服科技版權所有 www.sangfor.com.cn
18 性能��,僅需要根據新增的用戶(hù)數購置一臺新 SSL VPN 設備�����,通過(guò)集群技術(shù)共同提供 SSL VPN 接入服務(wù)�����,在保證了客戶(hù)原有投資的同時(shí)實(shí)現性能的平滑擴充����。
