一、连接分支、合作伙伴、移动客户后,怎样防止引入不安全因素?
二、网络接入与应用那么复杂,产品如何适应?
三、VPN网络越来越大,怎么监控与管理?
天融信公司从1995年开始研发防火墙时就开始了IPSEC VPN的开发,是国内VPN资质最全的厂商之一,天融信是国内最早也是最大的VPN厂商,使用其VPN产品的用户有20000户。针对需求的不断变化,天融信有一系列技术解决这些问题。
1、 接入安全技术: 防火墙策略远端推送、隧道查杀病毒、网络层与应用层访问控制、多种身份认证等技术
2、 互连技术: IPSEC、SSL、L2TP、PPTP
3、 稳定性技术: 隧道保活、HA、线路捆绑、EasyVPN
4、 可管理性技术: VRC自动部署、日志审计、拓扑定位、agent等技术
CleanVPN技术是结合了天融信成熟的防火墙/VPN技术和全球领先的防病毒厂商卡巴斯基防病毒技术。
CleanVPN技术确保VPN 隧道不会将威胁带入客户网络中,会扫描加密VPN隧道中的病毒和蠕虫,阻止家庭办公、移动用户、分支将病毒和蠕虫通过VPN传入总部。
CleanVPN技术同时在网关与客户端部署中可以把网关的防火墙策略远端推送到客户端;在网关对网关的VPN隧道中应用防火墙策略和入侵防御策略(IDS)。
通过CleanVPN技术彻底实现了既安全互通,又阻止了安全威胁的传播。例如xx集团,以前一直使用单纯的IPSEC VPN把总部网络和几个分支的网络完全连了起来,2006年9月总部的网络瘫痪了,导致结果是SQL SLAMMER蠕虫发作,用户进行了修补,并打了补丁,然而通过流量分析发现该病毒还在传播,进一步检查发现是从分支传来的,用户使用了天融信的支持CLEANVPN的产品后后,再没有出现过这种情况。
天融信最早开发的是IPSEC vpn网关,既有通过国密局鉴定的使用国家制定算法SFF28、SCB2等的网络密码机,也有使用DES/3DES算法的VPN网关,还有嵌入到我们防火墙和UTM中的VPN模块。2005年,天融信推出了SSL VPN,它免去了安装客户端,为用户提供了可在网吧等不可控上网环境可以进行细粒度资源控制的安全接入手段。2007年初天融信又推出了集成IPSEC/SSL/L2TP/PPTP等多种接入手段的VPN产品,这款产品同时集成了成熟的完整的防火墙功能,这是国内的第一家。作为VPN产品,往往需要一个完整的方案,天融信同时提供了,VRC、身份认证、日志分析等系统。
VPN产品不同于普通的IT设施, VPN的用处就是解决异地网络的互联互通, VPN产品可能会分布于不同的地域,VPN是一个跨地域、跨不同信任域、不同运营商的庞大系统,如何简化用户部署与管理,如何对整个VPN网络进行有效的管理、维护和监控,并能自主的管理至关重要的基础网络平台,是管理人员和相关领导非常重视的问题。为此天融信特别推出了完善的集中管理系统。下面重点介绍一下成功应用于众多国家部委的集中管理系统SCM:
![点击放大此图片]("http://searchsecurity.techtarget.com.cn/TLimages/picview/?/imagelist/2007/157/337rd70j49k2.gif")
集中管理系统SCM是安全设备集中管理和监控工具,使企业和服务提供商可以便捷的管理多个防火墙和VPN设备。可以最大程度的降低配置,管理,监控及维护设备的投入成本。它通过保持持续的安全定义和策略的应用提高系统的安全性,这些配置可以统一实施到VPN设备。通过防火墙设备的配置检查可以有效控制设备配置的版本变化。防范设备配置被非法修改,当配置变更引起网络故障时,支持快速回滚到最后有效配置,恢复网络运行。同时在中心可以统一监控系统的状态,日志信息及攻击行为。它有如下特性和优势:
VPN网络的统一策略管理,高效建立星型拓扑
移动用户的自动分发部署,统一下发移动用户策略,降低部署实施成本
定时配置变更检查,完善的配置版本控制,提高配置维护和故障排查效率
基于域的设备管理,基于角色的授权机制,契合国内客户的分级管理模式
拓扑图显示可以监控网络运行状态,基于动态仪表盘的设备监视统计信息的显示,可以快速实现故障排查。
系统内置CA中心,支持第三方CA,实现证书的签发和管理。
适应不同的网络环境,支持NAT和动态IP的设备管理。
通过双机热备实现系统的高可用性
天融信集中管理系统SCM可配置3000台设备,可配置30000个VPN远程用户,可实时监控3000台设备数。
这些产品,连同天融信的实践为用户提供了一个完整的安全互连解决方案。
