内网安全建设方案

201×年×月

目录

第一章概述 (2)

第二章实施原则 (3)

第三章安全需求 (3)

3.1 防火墙需求 (3)

3.2 入侵防御系统需求 (4)

3.3 防病毒网关需求 (4)

3.4 上网行为管理系统需求 (4)

3.5 VPN需求 (5)

第四章设计目标 (5)

第五章安全方案设计 (5)

5.1 安全设备部署 (5)

5.2 防火墙部署 (5)

5.3 入侵防御系统 (6)

5.4 上网行为管理系统 (7)

5.5 防病毒网关 (7)

5.6 VPN系统 (9)

第六章安全产品介绍 (10)

6.1 天融信防火墙的说明 (10)

6.2 天融信入侵防御系统说明 (14)

6.3 天融信VPN系统说明 (16)

6.4 天融信防病毒网关说明 (23)

6.5 天融信上网行为管理系统说明 (26)

第七章设备清单................... 错误！未定义书签。

信息网络技术的应用正日益普及和广泛，信息获取能力和信息安全保障能力是当今世界各国奋力抢占的制高点。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

第二章实施原则

设计本着整体防护、分步实施的原则，采用先进技术，优先国内安全产品，符合相关标准、易于系统扩充，强调总体安全，避免因某个环节的不安全因素导致总体安全性能的下降整体原则为：

安全性原则：充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

经济性原则：在满足用户需求的基础上，在充分保证系统的安全性和可靠性前提下，尽量选用经济的方案和产品。

可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。

先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。

可推广性原则：方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。

可扩展性原则：IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。

兼容性原则：系统的标准化程度很高，可以做到不同应用系统间的完全兼容；同时，也可以根据特殊的要求给出不兼容的设计。

可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。

第三章安全需求

3.1 防火墙需求

防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或内网与不信任域之间的隔离与访问控制。据有关数据统计，防火墙的加设会使整个网络的安全风险降低90%。

防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、流量等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能，可

以对您所要求的策略来记录所有不安全的访问行为。

网络安全是整体的概念，不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以为确保网络更加安全必须配备其他相关的安全产品。

3.2 入侵防御系统需求

随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P 下载、IM 即时通讯、网游）等极大地困扰着用户，尤其是混合威胁的风险，给我们的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各级政府网络所面临的问题。

面对这些问题，传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。建议部署一台入侵防御系统，以实现对进入内网数据的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为网络提供完整的立体式网络安全防护。

3.3 防病毒网关需求

在互联网入口处部署病毒网关过滤系统，网络防病毒网关是为了阻止病毒从外网向内部网传播，因此最适合于部署在最主要的病毒传播出口，就是核心交换机出口上，这样，防病毒网关防止了主要的病毒传播途径，防止病毒代码从设备穿过渗透到内部网络，同时防止蠕虫攻击，以及垃圾邮件对正常办公的干扰。

3.4 上网行为管理系统需求

随着对互联网的使用越来越普及，互联网给我们带来许多方便的同时，也带来了许多风险和挑战。公司需对上网进行合理的控制，而网管无法找到一个可以实现该功能的专用工具。因为现有的网络设备，网管软件都不能灵活分配员工可获得的上网资源，透视员工的上网行为。政府和企事业单位内部人员通过网络泄漏敏感资料的事件时有报道，员工因私上网影响工作的问题日益明显，网管对限制办公人员私自下载危险文档的需求越来越

迫切。因此，非常有必要在互联网出口处通过串接的方式部署一套上网行为管理系统对内部网络连接到互联网（Internet）的数据流进行采集、分析、识别、审计和控制。3.5 VPN需求

VPN系统采用开放性的系统架构及模块化的设计，融合了身份认证、访问控制等安全手段，具有安全、高效、易于管理和扩展等特点，使内部办公人员通过网络可以迅速地获取信息，使“在家办公”、“异地办公”、“移动办公”等多种远程办公模式得以逐步实现，同时使合作第三方人员也能够访问到相应的信息资源。

第四章设计目标

总体目标是在不影响××股份有限公司信息系统当前业务的前提下，实现对××股份有限公司网络全面安全技术改造和提升。安全总体方案设计将在保证物理安全和网络运行安全的基础上，确保信息的产生、存储、传递和处理过程中保密、完整、可用和抗抵赖。第五章安全方案设计

5.1 安全设备部署

××股份有限公司信息安全建设是业务的持续性发展的关键，因此必须保证网络和数据足够的稳定和安全。遵循网络安全设计原则并结合安全需求，通过对××股份有限公司网络现状分析，结合××股份有限公司系统扩展需求，我们建议××股份有限公司部署拓扑图中的标记红色字体的安全设备。

5.2 防火墙部署

在互联网出口部署一台防火墙系统，防火墙可以防范来自内网的数据流中存在被黑客利用的恶意数据，确保进行数据交互时的安全性。

设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击，防火墙的主要功能包括以下几个方面：

（1）防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性，降低受攻击的风险。

（2）防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件（如口令、加密、认证、审计等），比分散管理更经济。

（3）防火墙强化安全认证和监控审计。因为所有进出网络的数据流都通过防火墙，使防

火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。

（4）防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器，即能防外，又能防止内部未经授权用户对互联网的访问。

5.3 入侵防御系统

随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P 下载、IM 即时通讯、网游）等极大地困扰着用户，尤其是混合威胁的风险，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题。

面对这些问题，传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。建议在××股份有限公司互联网区部署1套入侵防御系统，以实现对进入公司内网数据的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为××股份有限公司网络提供完整的立体式网络安全防护。

在互联网入口处部署入侵防御系统设备，以实现对服务器区的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为网络提供完整的立体式网络安全防护。

TopIDP入侵防御系统的体系架构包括三个主要组件：控制台、网络引擎、在线更新服务器，支持各种网络环境的灵活部署和管理。

控制台(Manage System)

控制台是提供引擎控制与制定安全策略等管理功能的集中管理中心。控制台系统监控网络引擎状态、管理引擎和相关日志。控制台可以同时管理多个引擎。

网络引擎(IDP System)

网络引擎用于检测网络中数据的合法性，是TopIDP入侵防护系统的核心组件。应当以嵌入模式安装于要保护的网络中。网络引擎内置违反安全事件数据库，用于存储收集的安全事件信息。

存储最新的病毒特征和入侵检测特征，用于病毒库和入侵特征数据库的在线更新。

入侵防御系统是在线部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应用防护。

入侵防御系统通过加载不同的攻击规则库对流经它的网络流量进行分析过滤，来判断是否为异常数据流量或可疑数据流量，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够完全阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源。并提供了网络架构防护、网络性能保护、核心应用防护，通过使用入侵防御系统可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：蠕虫、拒绝服务攻击、病毒以及非法的入侵和访问，为网络提供“虚拟补丁”的保护作用。

5.4 上网行为管理系统

在网络出口处串联一台天融信网络行为管理系统，所有上网的数据流量全部经过控制网关实现监控。提供强大的网页过滤功能，屏蔽办公人员对非法网站的访问；提供基于时间、用户、应用的精细管理控制策略，控制办公人员在上班时间玩网络游戏、炒股、观看在线视频，以及无节制地网络聊天，从而保障工作效率，确保企业的核心业务带宽得以保障；提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免公司机密信息泄露。

5.5 防病毒网关

计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。随着业务应用和数据交换越来越依赖于网络，病毒的危害也越来越普遍。往往是整个网络中只要有一台机器（哪怕是远程的）感染了某种可怕的病毒，很快抱怨声就会从网络的各个角落传出来，文件被破坏，系统被摧毁，数据丢失，结果所带来的侵害不仅对于个人，而且对于整个机构都可能是致命的。对几乎每个

企业来说，电子邮件均是企业沟通的重要工具，电子邮件病毒也已变成企业宕机的最大原因之一。蠕虫病毒和特洛伊木马是邮件病毒的主要传播方式。

蠕虫病毒是一种独立程序，可将自己进行复制到其它系统中。蠕虫病毒的唯一目的是复制并扩散至新的区域，通常同时会造成一些损害。蠕虫病毒通常以邮件附件的方式进行传播。

电子邮件是恶意蠕虫病毒的最理想传播工具，因为所有的邮件都有同等地位。邮件作为信息传播工具是平等的，它们使用同样的协议，而不论来自于最卑微的企业还是世界上最大的公司。

特洛伊木马通常被认为是恶意蠕虫病毒进行扩散的工具—但更准确的定义应该是：特洛伊木马仅仅是一个隐蔽的程序，它执行发起人计划的行为，而此行为不是接收人所希望的。

在当今环境中，更实际的定义应该是：特洛伊木马是一种有吸引力的内容，可吸引人将它打开。邮件的最终接收者通常是网络的头号安全威胁：个人。

打开这一内容是释放蠕虫病毒的第一步。一旦打开这一可执行的附件，蠕虫病毒就与一个本地应用程序进行互动，剩下的就都成为历史。

一旦蠕虫病毒进入系统，蠕虫病毒的应用程序接口（API）即与微软Outlook接口（MAPI）互动，以打开地址簿并将自己发送给其中的所有地址，循环再次开始。

如蠕虫病毒或病毒进入系统中，则它们可造成的损坏就没有限制。阻断这一循环并预防其传播的最现实解决方法是大家经常听到的“不要打开来自不明地址的邮件附件”。只有在严格遵守这一规定时，此方法才有效。因为是人在接收电子邮件，所以特洛伊木马的吸引力有时无法拒绝。

很明显，不允许病毒达到最终接收者是一个重要的战略，而使用边缘病毒防御便是针对该目标的一个可异常轻松执行的方式。

网关防毒系统所达到的效果：

阻止99％以上的病毒传播

据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。

病毒过滤网关作为一个专门的硬件防病毒设备，安装在湘潭市公安局网的因特网网关处，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕

虫，木马和垃圾邮件的干扰。病毒过滤网关可处理以下协议：SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤，对进出网关的Web访问、FTP访问行全面防毒扫描，彻底阻断因特网病毒的传播途径。

●弥补网络版防病毒产品的不足

网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而且需要投入较多的管理精力，往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。

病毒过滤网关作为一个专门的硬件防病毒设备，只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部的服务器和工作站设备，同时对用户是完全透明的。

●自动在线升级

病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器，升级最新的病毒库，保证网络得到最有效的防病毒保护。

建议在互联网入口处部署一台天融信防病毒网关产品，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰。

5.6 VPN系统

移动要求越来越强、移动接入的目的日益多样性，多种安全接入手段要求日益多样。随着电子商务信息化建设的快速推进和发展，越来越多的政府、企事业部门已经或即将构建网上办公系统和业务应用系统，使内部办公人员通过网络可以迅速地获取信息，使“在家办公”、“异地办公”、“移动办公”等多种远程办公模式得以逐步实现，同时使合作伙伴人员也能够访问到相应的信息资源。可是要享受通过互联网访问企业内部的信息资源的便利，就面临着非法访问、信息窃取和数据篡改等越来越多的来自外部和内部的安全威胁。而我们目前所使用的操作系统、网络协议和应用系统不可避免地存在着不少的安全漏洞。因此，在构建和应用这些应用系统时，必须要保障关键应用在开放网络环境中的安全，同时还需尽量降低实施和维护成本。

SSL VPN属于应用层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护；由于在windows等操作系统中的IE浏览器已经支持了完整的SSL

用与移动用户接入并访问B/S结构的应用系统，对于C/S应用的支持仍然需要安装客户端的插件。

各种VPN技术都有其优点和缺点，而在用户的实际应用中，往往需要将这几种技术进行综合应用，才能满足较为复杂的用户需求。天融信将这几种VPN技术有机的进行了整合，实现了在一台设备中同时支持上述几种主流的VPN组网技术,同时集成了天融信成熟领先的防火墙和身份认证系统，形成了一个完整的安全接入解决方案。

第六章安全产品介绍

6.1 天融信防火墙的说明

NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS（Topsec Operating System），并采用模块化结构设计，既提高了产品性能，又提高了产品的灵活性、高效性

和安全性。通过简单的license控制，NGFW4000-UF可以集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等众多功能，是高性能的综合性的网关产品。

NGFW4000-UF系列是网络卫士系列防火墙产品，是集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等多功能的综合性网关产品，具有高性能、高可靠性、高安全性的特点，普遍适用于银行、电信、教育等大型网络系统，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

防火墙功能说明：

6.2 天融信入侵防御系统说明

网络卫士入侵防御系统TopIDP是在硬件加速（ASIC+NPU）基础上开发的新一代网络入侵防御系统，它通过加载不同的攻击规则库对流经TopIDP的网络流量进行分析过滤，来判断是否为异常数据流量或可疑数据流量，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。TopIDP能够完全阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源。

IPS的基本功能是对所有有害流量进行检测、阻断。卓越的IPS产品要同时具备高性能、高检测阻断能力。为了对有害流量检测/阻断而设置很多的策略时，如果使网络性能下降、稳定性降低，IPS产品就发挥不出应有的价值。TopIDP是基于ASIC+NPU进行开发的硬件加速IPS产品，拥有通用CPU、ASIC和NPU产品的优点。在不对包产生影响的前提下，可以保障网络100%的性能，就算同时设置100,000个策略，性能也不会产生任何问题。在履行自动化防御的基础上，还能提供千兆级小包线速的能力。

TopIDP是集访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备，为用户提供完整的立体式网络安全防护。与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。

TopIDP可以提供网络架构防护、网络性能保护、核心应用防护，通过使用TopIDP可

病毒以及非法的入侵和访问，为企业网络提供“虚拟补丁”的保护作用。

TopIDP产品功能

TopIDP在分析/跟踪流量信息的基础上，对报文进行2—7层信息的深度检测，可以实现如下功能：

强大的抗DOS/DDOS攻击能力；

准确的蠕虫、木马、后门、漏洞、间谍软件防御能力；

繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力；

智能的VIDP功能：针对不同的网络环境和安全需求，制定不同的防御规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防御；

优异的产品性能：可以提供64字节的小包线速性能，可以支持高达4GB网络环境；

人性化的UI管理系统：提供快捷方便的本地管理、分布式管理功能；支持上百台设备的集中管理；

专业的芯片级硬件高可靠性保证体系——ByPass、HA，保证用户业务的正常运行；

丰富的报表分析统计功能：提供多种攻击检测、阻断、报警等信息的报表统计功能； 多样的可选功能模块：邮件病毒、垃圾邮件、URL过虑功能；

入侵防御系统产品功能：

6.3 天融信VPN系统说明

6.3.1 产品功能

VPN网关产品：

支持CleanVPN技术，可清除VPN隧道病毒和蠕虫

采用隧道技术：IPSec、L2TP、PPTP、天融信动态VPN

采用标准IPSEC和IKE协议，支持IP报文加解密、IP报文完整性认证和数据源认证

支持完全的天融信的防火墙功能和防病毒功能（参见天融信防火墙功能列表），支持隧道内访问控制等组合策略

支持TCP/IP、UDP、ICMP、IKE、NAT/NAPT、DHCP等协议

支持SNMP，提供IPSec MIB

支持与CISCO、NETSCREEN、CHECKPOINT、WINDOWS等产品互通

支持网络与用户状态监控功能

支持全动态IP网关组建VPN网络、支持网关都在NAT设备之后组建VPN网络

支持路由模式、透明模式、混合模式

支持网状、树状、星状VPN部署，支持隧道接力、嵌套、路由等

支持DDNS部署模式

支持网关双机热备份，支持链路备份

支持预共享密钥、PKI /X.509证书认证功能；支持与RSA SecurID动态口令认证结合；支持USB Key方式存储数字证书、配置信息以及用户名密码；支持与Radius、LDAP服务器配合，实施对接入用户的验证、授权和计费，支持本地数据库认证

支持DES、3DES、RC4、AES标准加密算法和国家密码管理委员会批准专用算法（SSF28和SCB2）

安全集中管理SCM：

支持集中的网关、客户端、用户的管理和监控

支持集中的隧道管理和监控

支持统一的证书管理

支持全网状态监控与全网日志审计

支持客户端自动部署

支持管理中心双机热备

支持多级管理中心

客户端VRC：

可实现与客户端、网关建立安全通信

可在与网关建立的隧道中与网关内部的主机建立二次隧道

支持远端内网内部DNS和WINS服务器

支持自动或人工从远端内网获取私有地址的功能

支持与USB设备绑定、支持与客户端物理特征绑定功能

支持预共享密钥、X.509证书、RADIUS、LDAP等身份认证方式

支持DES、3DES、RC4、AES标准算法和专用算法（SSF33和SCB2）

支持纯密、明密结合、端点检查等多种应用模式

VPN客户端支持无线、DHCP、802.1x、ADSL、PSTN、CDMA、GPRS、CABLE、小区宽带等各种接入方式

支持客户端日志管理和状态监测

支持客户端系统的自动统一部署

支持隧道数据压缩

支持多种操作系统

支持PPTP、L2TP接入

6.3.2 产品特点

●全面支持IPSec协议标准

本产品遵循RFC 1829、RFC 1828、RFC 1851、RFC 1852、RFC 2085、RFC 2401-12等一系列标准协议。天融信VPN产品经过严格的互通性测试，与CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通。

支持标准ESP、AH加密认证协议

支持隧道模式、传输模式的协议封装格式

支持IKE标准密钥协商协议

支持主模式、野蛮模式、快速模式多种协商模式

支持证书认证和预共享密钥认识方式

支持DES、3DES、AES等多种对称密钥算法

支持MD5、SHA1等多种完整性验证算法

●CleanVPN服务

企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

天融信VPN网关同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

●支持全动态IP地址间建立VPN隧道

目前国内常用的因特网接入方案，包括电话拨号、ISDN拨号、ADSL宽带接入等，都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP 地址方式接入因特网，那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整，这一过程对目前市场大部分的VPN产品（包括国内产品和国外产品）都无法自动完成。天融信VPN网关产品通过集中的VPN策略管理和DDNS无缝结合技术成功解决了双动态IP之间自动建立VPN隧道的问题。

●支持最新的NA T穿越（NA TT）协议

NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术。NAT与IPSec协议在原理上存在一定的矛盾，天融信VPN全系列产品均支持最新的NATT协议标准，也支持双向NAT穿越，具有非常好的网络适应性。

●通过隧道路由技术实现VPN网络的灵活自动部署

在实际物理网络部署中，网络管理员首先通过物理线路（可能是光纤、双绞线、电话线等）连接各个路由设备，然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSec VPN网络中，将每一条隧道视为连接两台VPN设备的虚拟网络线路，隧道建立成功后，虚拟线路连接工作就完成了。基于这些虚拟线路，网络管理员可以在IPSec VPN网关上采用同样的方法配置静态、动态路由协议，完成整个VPN网络的灵活部署。这种隧道路由机制的优点在于：

网关的配置概念和方法与路由器类似，减少网络管理员对于部署VPN网络的学习和熟悉过程；

通过隧道路由规则的配置，可以完成VPN数据流在VPN网关之间的灵活转发，从而可以实现星型网络拓扑，并解决双向NAT穿越问题；

通过动态隧道路由协议的配置，可以实现整个VPN网络的自适应部署，VPN 网络拓扑的自动学习、自动寻径；

通过基于策略的隧道路由配置，可以实现VPN网关的冗余备份和负载均衡。

●完善的VPN网络集中管理功能

对于分支机构、营业网点遍布全国的大型企业或政府类垂直行业来讲，其业务网络系统具有分布地域广泛、接入点多、网络结构复杂等特点。如何确保企业内部网络的安全，有效地管理、维护遍布企业各个结点的VPN设备，保证网络的稳定运行，是VPN 产品供应商必须解决的问题。天融信VPN解决方案在综合了大量的用户需求后，逐步形成了“统一认证、集中监控、分级管理”的VPN网络管理方案。并成功运用于许多特大型企业的VPN建设中。

●支持标准的PKI体系

随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。天融信IPSec VPN产品全面支持标准PKI体系结构：

支持标准X509.V3格式数字证书；

支持DER、PEM、PKCS12等多种证书编码格式；

支持通过LDAP等标准协议向第三方CA进行在线认证；

支持CRL列表文件的导入和通过HTTP自动下载CRL列表；

支持生成PKCS10格式的证书请求；

支持采用第三方CA证书进行隧道协商认证。