上海安达通XX单位VPN网络安全互联解决方案.doc

《上海安达通XX单位VPN网络安全互联解决方案.doc》由会员分享，可在线阅读，更多相关《上海安达通XX单位VPN网络安全互联解决方案.doc（35页珍藏版）》请在三一办公上搜索。

1、XX单位VPN网络安全互联解决方案上海安达通信息安全技术股份有限公司目录1.网络现状和用户需求11.1.网络现状11.2.现有组网方式的问题11.3.用户需求22.VPN网络设计原则43.系统设计53.1.VPN系统部署53.1.1.总部网络VPN系统部署53.1.2.分支机构VPN系统部署63.1.3.移动办公网点VPN系统部署73.1.4.全网VPN系统部署示意图和系统功能阐述73.2.功能分析103.3.性能分析113.4.VOIP和视频会议增值解决方案124.设备选型和选型产品简介134.1.选型原则和设备选型134.2.选型产品简介144.2.1.VPN安全网关功能一览表144.2.

2、2.安全客户端软件184.2.3.ADT安全网管平台185.售后服务195.1.售后服务承诺195.2.免费保修期内售后服务内容205.2.1.免费返厂维修服务205.2.2.免费咨询服务205.2.3.免费补丁通知及推荐205.2.4.免费软件升级服务205.2.5.免费产品常规检测服务205.2.6.备件替换服务215.3.免费保修期后售后服务内容215.3.1.软件升级服务215.3.2.以旧换新服务215.3.3.返厂维修服务225.3.4.备件替换服务225.3.5.备机租赁服务225.4.售后服务方式235.4.1.热线服务400-880-1233235.4.2.网络远程服务235

3、.4.3.现场服务235.4.4.其他服务236.用户培训247.附件公司简介及成功客户267.1.公司简介267.2.安达通公司机构情况277.3.安达通公司和VPN产品资质及荣誉277.4.安达通公司部分大中型VPN成功案例291. 网络现状和用户需求1.1. 网络现状XX单位信息中心（以下简称：总部）出口带宽为XX Mbps。XX单位局域网通过单一的防火墙(Firewall)接入互联网，对本地局域网进行保护，对需要提供给分支机构和移动用户使用的应用系统（如：OA服务器）通过Firewal直接映射到互联网上。XX单位所属单位XX个，各单位目前内网PC数量3-6台，通过普通ADSL方式连入互

4、联网 。还有一些移动用户通过本地的宽带网络接入Internet，在没有什么安全防护措施（如：本地没有部署Firewall，和总部的通讯也是明文传输等）的情况下，直接与总部的应用服务器进行通信。其典型结构如下图所示：XX单位现有的网络概况1.2. 现有组网方式的问题1）安全没有保障如上图示意，在现有的方式下，XX单位远程移动用户和分支机构通过因特网与总部联系（例如：使用OA软件、E-Mail、FTP等)，由于这种联系方式都是通过公网进行明文传输，毫无保密性可言，商业机密数据有可能被黑客或竞争对手截获，引起巨大的业务损失。另外，总部的应用软件服务器通过Firewall映射或直接暴露在互联网上，黑客

5、可以利用简单的攻击工具对总部的应用服务器发起DOS和DDOS攻击，使其无法正常使用。2）无法运行内部管理软件因为总部内网和分支机构的局域网之间不能安全互通，一些内部的应用软件系统不能基于互联网运行，无法实施OA、公文流转、联网财务软件等，已经不能满足用户单位的目前发展需求了。3）增值服务无法实施诸如视频电视、电话会议、IP电话之类的增值服务在这个网络上很难开展甚至无法开展。4）网络管理混乱随着规模的扩大和分支机构的增多，各分支局域网的管理人员素质参差不齐，分别按照各自的习惯进行局域网建设，没有统一的标准进行有效管理和规划，为各分支机构的互连互通和内部应用信息化普及带来了很大的障碍。1.3. 用

6、户需求XX单位VPN联网系统总体建设目标是：建立网络互联、信息共享、安全可靠的远程接入VPN网络。在完成了本项目的VPN网络建设后，将为XX单位和其分支机构实施各种网络应用系统提供统一、安全、高速、可靠的网络传输平台，具体能够实现以下目标：1）异地网络互连互通能够实现总部和外地分支机构、移动用户间，通过互联网安全可靠互连，各地机构可通过VPN网络顺利访问总部的各个应用软件系统，就象在局域网内使用这些应用软件系统一样。2）对各种应用系统透明能够根据用户的需要有选择地对需要的应用系统数据进行加密，不需要加密的数据和普通Internet接入业务（如：访问163、sina等）不受到影响。而且目前各种网

7、络应用均能够在VPN专网上使用，不需要改变用户的使用习惯。3）高安全性通过构建VPN网络，能够解决单位内部信息系统数据传输的安全性、保密性、完整性和不可抵赖性。安达通的VPN网关采用通过国家密码管理局认证的加密算法或者国际标准加密算法进行密钥通信和加密封装，能够保证您的业务系统安全、可靠的运行而不会被外部人员恶意窃取和窜改。VPN安全网关可以对访问者资源和权限进行分类，普通业务只有访问特定服务器的特定权限（例如只能查看财务资源），不能实行其他任何操作，避免了从业务单位外部发生的恶意入侵和攻击的发生；而高级用户才能对总部内网进行敏感业务的操作。VPN安全网关可对本地局域网实施边界防护。VPN安全

8、网关融合了防火墙、VPN、入侵检测微引擎，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。我公司VPN安全网关其内置防火墙其抗攻击能力优异。4）高可靠性我公司VPN系统性能稳定可靠，其高达40000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。并可通过双机热备、多线路负载均衡系统实现中心节点的网络不间断运行。5）高性能此次网络建设根据用户需求和网络带宽，所选用的设备具有较高的加密速率，不仅能满足当前用户数量下的需求，也为将来的扩展留有充分空间。不会因为VPN设备的部署影响上网的速度，并且应当满足应用软件运行的带宽需求。6）高性价比VPN系统价格

9、便宜，而且基于普通宽带线路，接入费用低廉，所以本方案具有极高的性能价格比和投资回报率。7）易于扩展系统VPN网络的扩展非常容易，同时又不会带来安全隐患。如：需要增加移动用户数量，只需升级设备License；需要增加分支机构，只需购买新增分支的设备，不更换原有设备。本项目实施后不但解决了很高的信息数据传输安全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。2. VPN网络设计原则对本次VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全性、先进性、扩展性、易管理性、兼容性”建设系统。具体我们遵循了以下原则：安全性原则我公司坚持以高

10、度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。可靠性原则这套网络安全系统是用户众多，大量移动用户依赖它在获取重要信息。它的稳定可靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作，将给用户带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定可靠性和不间断运行。先进性原则在系统建设方案，具有相当的先进性，并能够通过对VPN设备和软件的不断升级，确保系统的技术领先性和持续发展性。实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面

11、，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。可扩展性原则系统建设应该是统一规划、分步实施、逐步完善的过程。我公司在该方案的设计中充分考虑它的可扩展性，使系统能够方便的扩展。易管理性原则网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。兼容性原则VPN系统是网络层安全设备，对各种网络应用透明；我公司的VPN安全网关遵循标准的SSL、IPSec和IKE协议，在网络层对IP数据包进行加密、访问控制，

12、因此，对于应用系统是完全透明的。同时依靠我公司强大的研发能力，能够为用户提供特殊的定制性需求。3. 系统设计3.1. VPN系统部署XX单位当前采用1条XX Mbps宽带线路连接到互联网。如图部署1台SJW74C型安全网关。分支机构和移动用户均通过互联网远程接入总部内网，通过建立的VPN加密隧道，安全访问总部网内的各应用系统（包括B/S和C/S的应用），如：OA等。3.1.1. 总部网络VPN系统部署XX单位如下部署VPN安全网关分为下面两种情况：1）用户单位原来没有部署Firewall；2）用户单位原来已经部署了Firewall。1）用户单位原来没有部署Firewall在这种情况下，用户完全

13、没有必要再部署Firewall，可以如上图部署ADT安全网关SJW74C。安达通安全网关是集“VPN、防火墙、IDS微引擎”于一体的网络边界安全防护和安全接入设备，它有效地实现了“主/被动安全防御”的完美结合。其特别强大的VPN功能和高安全性、高性价比的多功能集成，是当今网络安全技术发展的主流方向。SJW74C型安全网关是安达通IPSec和SSL合一的最新VPN成果，移动用户只需要使用IE等主流互联网浏览器，通过“帐户+口令”或USB KEY等认证方式，即可和网关建立VPN隧道（使用SSL+IPSec方式），接入内网，进而为各种IP应用提供透明传输平台。同时，SJW74C网关也支持传统的使用“

14、安全客户端”软件（即：IPSec客户端）和网关建立VPN隧道。2）用户单位原来已经部署了Firewall以“单臂连接”方式部署XX单位已经部署了Firewall系统，那么我们采用安达通独特的“单臂连接”技术来部署VPN安全网关，如上图所示。只要将SJW74C安全网关的LAN口接到用户内网的交换机上即可。传统VPN设备在部署时，遇到与防火墙、路由器配合使用时，通常采用“串联”（即：接在防火墙/路由器与内网交换机之间）或“并联”方式（即：与防火墙或路由器并列部署）接入原有网络。“串连”方式增加单点故障，并容易造成性能上的瓶颈；“并联”方式需要多个公网IP地址，并在客观上造成多个公网出口，带来安全隐

15、患。针对这两种传统的VPN设备部署方式，安达通VPN安全网关则可采用一种非同寻常的部署方式：“单臂连接”。采用此种部署模式，能够在对用户环境最小改动的前提下部署VPN，极大提高了VPN设备对网络环境的适应能力。所谓“单臂连接”指的是安全网关只接一个口到内网交换机中，另外一个口不接线，即把安全网关设备当作一台服务器或主机，专门处理VPN报文的加解密。从实现技术上而言，单臂连接结合了上述串行连接和并行连接两者的特点，需要在防火墙（路由器）上为安全网关做静态端口映射（静态NAPT），同时也需要在防火墙（路由器）上添加静态路由来解决要通过VPN的数据包正确流向的问题。单臂连接方式能在对用户环境最小改动

16、的前提下部署VPN，大大增加了VPN设备对网络环境的适应能力。采用“单臂连接”技术部署安达通VPN安全网关，不用改动用户原有的网络拓扑，实施过程对用户无任何影响；而且没有在用户主干线路上串接设备，不会造成额外的单点故障，而降低线路可靠性；也不会影响主干网络的性能。3.1.2. 分支机构VPN系统部署对于局域网有一定规模的分支机构，采用SJW74A安全网关部署在网络的边界，和总部的VPN安全网关建立VPN连接，同时充当防火墙保护本地局域网。ADT各型号的安全网关功能相同，只是性能不同，所以总部安全网关的各种功能，分支机构部署的安全网关同样具备，本处不再赘述。如下图：3.1.3. 移动办公网点VP

17、N系统部署对于一些小型的分支机构及移动用户，由于分支机构使用的PC数量不多（通常为67台），只需要在需要远程接入的PC上或代理上网的PC上（所谓“代理上网”指由该PC进行ADSL拨号或用其他接入方式接入，局域网内的其他PC通过该机器运行的代理软件或NAT共享接入Internet），安装安达通安全客户端软件（使用IPSec协议）或采用IE浏览器（不用安装专门的VPN客户端软件，使用SSL协议），即可和总部的VPN安全网关建立安全连接。移动用户可以使用“帐户+口令”作为身份认证方式接入；也可以和SureID(安达通USB KEY) 配套使用，提高安全性保证身份不可仿冒。如下图： 3.1.4. 全网

18、VPN系统部署示意图和系统功能阐述VPN部署示意图如下所示：网络示意图（原来没有Firewall）网络示意图（原来已经有Firewall，并采用“单臂连接”方式部署）在总部网络的边界处，部署SJW74C型安全网关，网关的WAN口接Internet出口（没有Firewall时），LAN口接内网核心交换机；或采用“单臂连接”方式来部署VPN安全网关（用户已经有Firewall时）。SJW74C型安全网关是安达通IPSec和SSL合一的最新VPN成果，移动用户只需要使用IE等主流互联网浏览器，通过“帐户+口令”或USB KEY等认证方式，即可和网关建立VPN隧道（使用SSL+IPSec方式），接入内

19、网，进而为各种IP应用提供透明传输平台。同时，SJW74C网关也支持传统的使用“安全客户端”软件（即：IPSec客户端）和网关建立VPN隧道。总部边界处还可以部署“双机热备”系统，可以在主设备发生单点故障时进行无缝的切换，确保中心节点的高可靠性和不间断运行。下属分支机构通过部署SJW74A安全网关，替代原来的路由器上网方式，在保证了VPN隧道安全访问的前提下，对分支机构的内网进行了有效的保护和控制；当总部主线路中断时，分支机构可以自动联入备份线路，保证业务的不中断；SJW74A网关内置强大的防火墙功能在提供上网和VPN加密通信的前提下保证了内网用户不会被黑客和网络病毒所侵犯。单点用户和移动办公

20、网点的PC上通过ADSL拨号上网；安装“VPN安全客户端”软件（使用IPSec协议）或直接使用IE浏览器（使用SSL协议），通过“帐户+口令”或USB KEY硬件认证的方式，和VPN安全网关建立VPN加密隧道，接入内网，进而为各种IP应用提供透明传输平台。下面主要从功能、性能和网管三方面来对系统作全方面阐述。3.2. 功能分析如上部署网络安全设备： VPN可以实现以下几方面功能：1） 实现分支机构（采用VPN安全网关）或者移动用户（采用安装“安全客户端”或使用IE浏览器）通过互联网远程接入总部内网，建立VPN加密隧道，安全访问总部内网的各应用系统（包括B/S和C/S的应用），在访问过程确保数据

21、传输安全。2） 总部边界处还可以部署“双机热备”系统，可以在主网关发生故障时，热备网关自动接管进行无缝的切换，确保中心节点的高可靠性和不间断运行。3） 在远程接入（下属机构拨号PC和移动用户）的计算机上，只需要插入经过管理员授权的Usb Key（强身份认证载体）或使用“帐户+口令”的方式，运行安全客户端软件或采用IE浏览器，即可与VPN安全网关建立VPN隧道，然后就可象在总部局域网内一样使用各种应用软件。另外，如果需要提高安全性（由VPN设备管理员可在VPN网关上开启“主机绑定”功能，就可实现USB KEY和远程接入的PC机进行硬件绑定,这样这个USB KEY将只能在绑定的PC机上使用。这样可

22、以提高安全性，使管理员严格指定的PC才能接入总部，避免了下属单位用户从其他地方（如：家里）访问XX单位的总部内网，避免了信息泄露的威胁。也可以开启“双网隔离”功能，让远程接入的PC终端在使用VPN隧道时（即在和总部建立连网时），不能访问互联网中的其他地方（如：sina等），进一步提高安全性。4） 安全网关能够对VPN访问用户进行分类，分成不同的用户资源组，如：财务部、人事部、IT部等（如下图）。分类的用户可在网关上设定不同VPN组的访问控制策略，确保不同身份的用户接入到内网后，只能访问网管人员允许他能够访问的服务器/应用/指定的子网或PC（如：只允许XX系/部门的用户只能访问某些应用系统）。5

23、） VPN安全网关具有优良的QOS能力，可以为企业的关键应用（如：ERP、OA、视频会议系统等）保留带宽。这样即使当网络拥挤时，也能够保障关键应用的畅通和尽量小的延时。ADT安全能够将访问控制策略与保留带宽绑定，并能为这些应用设定优先级，共有8个处理等级可以设置。6） VPN安全网关对外网可以抵御黑客的入侵，并可和Firewall一起，构成两道网络防护屏障。并可和IDS联动，为以后进一步加强总部内网的安全留下发展的空间。VPN安全网关具备优良的状态检测功能，可以防御外网对内部主机的端口扫描、各种DOS/DDOS攻击等恶意攻击行为。3.3. 性能分析产品型号SJW74ALiteSJW74ASJW

24、74BSJW74BProSJW74CSJW74CProSJW74D网口数量2个百兆以太网口(RJ45标准)3个百兆以太网口(RJ45标准)3个百兆以太网口+4个交换口(RJ45标准)4个千兆以太网口(RJ45标准)4个千兆以太网口(RJ45标准)6个千兆以太网口(RJ45标准)+2个光口6个千兆以太网口(RJ45标准)+2个光口防火墙吞吐率（并发会话数）100Mbps(200,000)100Mbps(300,000)100Mbps(600,000)800Mbps(800,000)800Mbps(1,000,000)1Gbps(1,500,000)1Gbps(2,000,000)高强度加密性能（

25、3DESSHA）10Mbps20Mbps60Mbps150Mbps300Mbps400Mbps600Mbps并发隧道数（含客户端数）1004002500500010,00012,00020,000负载均衡不支持支持支持支持支持支持支持双机热备不支持支持支持支持支持支持支持外型桌面式1U机架式1U机架式1U机架式1U机架式2U机架式2U机架式冗余电源3.4. VOIP和视频会议增值解决方案在建成了VPN网络以后，不仅可以在VPN网络上传输数据，而且可以传输语音、视频。安达通VPN安全网关能够为VOIP、视频和其他需要优先的网络应用，保留带宽和优先处理，这样当网络拥挤时，也能够保障视频、VOIP线

26、路的畅通和话音质量。ADT安全能够将访问控制策略与保留带宽绑定，并能为这些应用设定优先级，共有8个处理等级可以设置。如下图所示意：部署VOIP和视频系统后的VPN网络示意图如下：4. 设备选型和选型产品简介4.1. 选型原则和设备选型对VPN产品进行选型，通常依据以下几方面原则：1) 安全网关的加密吞吐率应当大于网络的出口带宽，以免在VPN安全网关上产生性能瓶颈；2) 部署在中心节点的安全网关的并发数目应当大于互连的分支机构和移动用户总数；3) 当安全网关以路由或透明方式部署时,在各个节点的VPN安全网关的并发会话数，应当与本地局域网内的上网PC数目有个对照关系（参见“安达通安全网关性能索引表

27、”中的相关参数）；4) 考虑用户的预算。基于要求和上述选型原则，本项目VPN平台中将会用到上海安达通信息安全技术股份有限公司研制生产的如下产品：选用设备型号数量部署位置SJW74C安全网关1台XX单位网络边界SJW74A安全网关XX个分支机构出口处移动用户端License（配套USB KEY）XX个办公网点或移动办公终端上4.2. 选型产品简介4.2.1. VPN安全网关功能一览表IPSecVPNIPSec协议VPN的设计完全遵守IPSec和IKE标准；可和第三方IPSec厂商VPN对连；支持传输和隧道模式协议支持支持各种标准协议，包括IPv4，IPv6， VLAN标记，路由，NAT/NAPT

28、，组播，OSPF, IGMP, Diff Serv，IPSec, IKE，VLAN Trunk，PPTP穿透，GRE，H.323，HTTP, SSL 3.0, TSL1.0, FTP, POP3, SMTP等多种应用层协议加密技术支持AES、DES、3DES、MD5、RC4、RSA 及SSP02，SSF33,SCB2等国密算法，支持扩展安全算法模块数字证书支持安达通专有数字证书和第三方CA服务器，全面兼容X.509标准网络支持支持网到网的Intranet VPN，支持单机接入的Remote Access VPN，支持与合作伙伴和客户连接的Extra VPNVLAN支持支持VLAN Trunk，

29、并能够在VLAN环境下构建VPN连接NAT-TVPN内支持NAT 穿透（NAT-T）功能，并能够实现VPN互连的“双向NAT穿透”网桥模式支持在网桥模式（透明模式）下VPN通信SA管理支持基于时间和流量双重要素的动态SA管理，并支持手动配置的静态SA全动态地址组网支持安达通专有地址服务器和DDNS两种方式的全动态IP组网用户权限控制提供基于角色权限的VPN内部控制隧道保活定时检测和发起VPN通信，确保设备间加密通道的时时连通带宽细分对每个VPN隧道进行“状态检测”和独立带宽细分广播/组播包支持支持任意广播/组播包跨网复制，支持浏览网上邻居虚地址互连支持在IP地址冲突情况下的VPN互连，而不需要

30、IP地址冲突的一方大量更改局域网内PC或其他设备的IP地址单臂连接安全网关当作一台主机，单口接入网络，无需修改用户物理网络拓扑自动路由支持动态IP和分支机构接入时无需修改总部路由器的路由配置向前兼容全面兼容安达通原SGW25系列网关互通SSLVPNIPSec over HttpsHttp支持采用“IPSec over HTTPS/HTTP”技术替代传统的SSL技术，适应各种网络环境浏览器/平台支持支持Win2000/XP/2003/Vista/Win7等平台，支持IE6、IE9等主流互联网浏览器Web应用支持支持Html/Dhtml, Jsp, Asp,Java applet, Activx,

31、 Cookies及其他所有WEB技术的访问C/S应用支持支持TCP/IP等所有C/S应用服务移动用户终端安全移动用户终端无缓存和Cookie，避免了在公共环境（如：网吧）使用VPN，遗留的痕迹带来的安全隐患；支持数字证书等多种认证方式用户权限管理基于“角色”管理用户权限实时监控支持实时监控和管理，可实时阻断远程接入用户，对其行为进行记录隧道保持移动用户终端会自动检测隧道断开的情况，并和中心节点重建VPN隧道数字证书支持数字证书认证，并兼容第三方CA系统密码修改移动用户终端登陆有PIN码保护，该密码可以由移动用户自主修改动态下载策略访问资源信息每次VPN接入时自动下载，保证访问资源的灵活性和易管

32、理性多样认证方式支持手机短信认证和动态口令卡认证，并可外挂Windows AD和LDAP多因素硬件绑定支持用户和CPU ID、网卡等计算机信息绑定双网隔离一旦启动该功能，移动用户PC将只能访问VPN资源而不能访问互联网的任何其他资源移动接入加速融合了桌面终端控制技术和数据压缩技术，“C/S”应用，通过VPN远程接入速度大幅提高IPSec客户端兼容性兼容纯IPSec的安全客户端接入链路均衡线路叠加备份支持13条出口线路叠加、备份和自动切换服务级别选路根据服务（网络速率、吞吐量、可靠性）级别进行自动选路跨运营商选路自动选择最优路径访问相应运营商网络线路均衡支持多条ISP线路接入，具备线路故障自动探

33、测和路由自动切换功能VPN隧道备份均衡VPN隧道的备份和自动愈合策略路由支持多出口的路由选址，也支持基于源/目的地址选址防火墙六元组包过滤基于端口、协议、地址和时间相结合的包过滤访问控制状态检测实现连接跟踪，实现基于方向的防火墙控制；可独立为每个访问控制策略进行状态检测内容过滤URL检测支持对URL检测和过滤，支持黑名单和白名单，并可根据VPN隧道和访问者灵活定义生效与否HTTP会话劫持支持基于HTTP会话劫持的用户认证功能QQ封锁支持对QQ进行基于内容过滤的全方位封锁NAT功能支持静态、动态NAT，端口NAT，虚拟服务，分时分段NAT等IP/MAC绑定支持IP/MAC地址宽松、严格绑定，并可

34、和登陆用户名密码结合绑定快速转发基于HASH表进行快速转发，极大提高了防火墙速率QOS支持使用差分业务模型提供的QOS,使用随机早期检测RED丢弃算法提供流量控制,支持8个等级的QOS抗DOSDDOS攻击可抵御扫描探测、DOS、DDOS等入侵攻击，并可自定义TCP/UDP/ICMP的Flood攻击检测策略抗设备攻击快速过滤模块能显示入侵者信息并立即阻断，可成功抵御对设备的攻击兼容IDS支持和专业的IDS设备互动可靠性嵌入式硬件平台基于嵌入式硬件平台，极低功耗，高稳定性，高可靠性，启动速度快实时操作系统采用实时操作系统，远高于Linux的系统安全性；内核精简，通信效率高集群技术支持VPN集群自动

35、恢复提供断线自动恢复功能、隧道自愈功能平均无故障时间40000H管理功能管理方式支持软件控制台，WEB集中管理实时监控实时监控网关，修改配置后立即生效，不需重启设备管理级别支持管理员分级管理管理员登陆可通过串口或者网口进行本地和远程管理管理员认证支持基于口令码或数字证书的身份认证和管理指令通过SSL协议加密离线配置支持可编辑配置文件，并可将设备的配置信息导出到本地或从本地导入设备策略集中分发通过VPN集中管理平台，自动生成配置信息，自动颁发VPN策略流量报表图形化流量监控和报表日志容量支持外挂日志服务器和较大容量的内置日志日志种类支持系统、告警、错误、调试等日志，支持日志查找和定位功能主动告警

36、支持声音，短信，Email和日志服务器等告警方式，第一时间通知网管员在线升级本地远程升级和序列号授权，并支持升级代码签名，防止设备代码被非法篡改其他功能接入方式支持PPPOE和DHCP（Server和Client）协议，支持：ADSL、Cable Modem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式ARP表项支持ARP表清空和Free ARP广播广播/多播转发支持广播/多播转发，并限制广播/多播回路网口工作方式支持全/半双工，10/100/1000M自适应等手动和自动配置网口绑定IP支持网口绑定多个IP地址4.2.2. 安全客户端软件4.2.3. ADT安全网管平台4.2.

37、3.1. 安全网关单机配置软件（SureConsole）4.2.3.2. 安全网管服务器（SureManager Server）4.2.3.3. 数字证书服务器(SureCA Server)5. 售后服务上海安达通信息安全技术股份有限公司(供货商)对销售的安达通VPN产品提供 壹 年免费保修期，终身保修。用户遇到产品问题时，联系对象：上海安达通信息安全技术股份有限公司产品售后服务中心电话支持：400-880-1233技术支持值班热线：18917909421；传真支持：021-33933885；Email支持；tech现场支持：遇到突发事件和重大技术问题时提供该服务ADT公司全国范围内强大的AC

38、NE（安达通认证工程师）支持体系为客户在设备生命周期内提供以下服务：5.1. 售后服务承诺 安达通公司对本项目产品提供 壹 年的免费保修期（或简称为：保修期），产品的保修期自设备发到用户现场之日起计算。免费保修期内提供故障产品免费维修服务和7x24小时技术支持服务。 我公司客服中心设有技术支持热线（见本章上方技术支持电话），为用户提供7x24的技术咨询服务； 设备故障报修的响应时间：周一至周五8：3018:00期间为2小时。若电话或远程网络支持无法解决，在和用户协商一致后，可在 48 小时内到达用户现场进行支持。 如果产品故障在检修后仍无法排除，我公司保证在设备维修期间提供故障产品的替代产品供

39、需方替换使用，直至故障产品修复； 保修期内，应用户要求，我公司每个季度可免费为用户进行免费产品检测一次，为用户的维护、管理和升级工作提供理由充分的参考依据； 保修期内，我公司负责对其提供的产品整套进行维修或升级。5.2. 免费保修期内售后服务内容5.2.1. 免费返厂维修服务1 当VPN设备出现硬软件故障时，厂商对有故障的设备进行免费维修。凡因用户方使用不当或不可抗力（如：雷击，未使用规定的电源等）而造成的损坏，不属于保修范围，需要根据厂商相关规定，支付对应的维修费用。2 设备从客户处发到安达通公司的运费由客户方承担，设备从安达通公司返回客户处运费由安达通公司承担；3 返修设备应该外观完整，无

40、缺损、凹陷，设备内部主要部件应无物理缺损和人为损坏痕迹，否则安达通公司将酌情提高维修费用；4 维修时间根据不同情况通常在15个工作日以内。为填补设备维修期间的空缺，用户可以购买“备机替换服务”，这样在维修期间厂商提供故障设备的替换设备。5.2.2. 免费咨询服务免费为用户提供技术咨询等支持服务。包括系统管理的技术指导，协助客户做好备份计划，完善工作日志、机房制度，订立操作守则等。5.2.3. 免费补丁通知及推荐我公司的服务包括向用户通知适用于他们系统上的补丁并提出具体建议。这样将使用户系统不断得到性能和功能上的改善。5.2.4. 免费软件升级服务我公司提供免费保修期间的VPN系统免费软件版本升

41、级及软件功能更新服务。将用户使用的安达通公司产品版本升级到目前硬件平台所能支持的最高版本，并提供今后同一硬件平台下的免费升级。5.2.5. 免费产品常规检测服务应用户要求，在设备免费保修期间，我公司可提供每季度一次的VPN系统安全检测。发现VPN系统上有关安全性、可管理性以及性能等的潜在问题，并推荐解决方法。我公司硬件系统检测对用户运行系统完全没有干扰和影响，并提供一份可读性很强的报表形式呈现于用户面前，为用户的维护工作提供理由充分的参考依据。5.2.6. 备件替换服务我公司结合在国内的备件中心，为用户提供故障设备的备件替换服务。对购买了“备件替换服务”的用户，我公司在48小时内提供替换设备供

42、用户在产品故障期间使用，直至故障设备修复，全力减少用户业务的故障中断时间，保证用户业务系统的正常运行。5.3. 免费保修期后售后服务内容我公司提供设备的终身维护服务，免费保修期后如有设备损坏，根据损坏情况按照公司规定收取相应的维修费用。以下介绍的各项保修期后的售后服务，均需要根据厂商当年相关报价体系，收取相应的服务费用。5.3.1. 软件升级服务将用户使用的安达通公司产品版本升级到目前硬件平台所能支持的最高版本，并提供今后同一硬件平台下的免费升级。5.3.2. 以旧换新服务1 “以旧换新”服务针对使用年满1年以上的所有安达通最终用户。用户可以根据自身情况，以“以旧换新”价格，购买同级或更高级的

43、ADT产品；2 安达通公司承担将“以旧换新”的新设备运送到客户所在地的运费；用户需要将更换下来的旧设备归还安达通公司，并承担相应运费；3 如有需要，在上海市范围内实行免费上门更换；上海市范围以外按现场安全服务的收费标准收取服务费用；4 “以旧换新”后的新设备的保修期为一年；5.3.3. 返厂维修服务1 针对已经过保修期，出现设备硬件故障的情况，客户可根据自身情况在“以旧换新”和“返厂维修”之间选择一种方式；2 设备从客户处发到安达通公司运费由客户承担，设备从安达通公司返回客户处运费由安达通公司承担；3 返修设备应该外观完整，无缺损、凹陷，设备内部主要部件应无物理缺损，否则安达通公司将酌情提高维

44、修费用；4 维修时间根据不同情况通常在15个工作日以内。为填补设备维修期间的空缺，用户可以购买“备机替换服务”，这样在维修期间厂商提供故障设备的替换设备；5 “返厂维修”后修复的设备，保修期为三个月；产品的保修期自设备发到用户现场之日起计算。5.3.4. 备件替换服务我公司结合在国内的备件中心，为用户提供故障设备的备件替换服务。对购买了“备件替换服务”的用户，我公司在48小时内提供替换设备供用户在产品故障期间使用，直至故障设备修复，全力减少用户业务的故障中断时间，保证用户业务系统的正常运行。5.3.5. 备机租赁服务1 安达通用户可享受备机租赁服务，并签署相应的“备机租赁合同”；2 设备用途：

45、备机用于客户原有系统的设备备份，客户不得销售、转借、出租备机设备，并且只能作为备机使用； 3 备机所有权归安达通公司所有，客户有自收到备机之日起一年的使用权，一年过后客户应将备机及时归还安达通公司；备机的租赁期到后，如需继续租赁，需续签备机租赁合同；4 备机设备自备机租赁合同签订之日起，免费保修一年。保修期内凡因产品质量造成的损坏应由安达通公司免费修理或更换零部件，维修期间安达通公司保证最终用户网络能正常工作。凡因使用方使用不当而造成的损坏，不属于保修范围。技术支持：对提供的备机产品实行7x24小时热线咨询服务及7x24小时故障响应服务，确保故障能及时排除。对于通过电话无法解决的问题，安达通公

46、司将派出工程师到现场解决问题。现场响应时间为 48 小时，现场服务的具体费用由双方另行商定。5.4. 售后服务方式5.4.1. 热线服务400-880-1233客户可以通过热线电话、传真、电子邮件得到我公司的技术服务。热线电话周一至周日全天24小时有效，值班工程师可以实时对客户请求进行处理，需要持续跟踪解决的问题将在客户服务呼叫中心的电脑申开一个Case，记录下来，并跟踪处理直至问题圆满解决。技术支持部将对处理完毕的案例进行客户电话回访，以便对服务情况进行监督。5.4.2. 网络远程服务我公司提供由工程师通过网络远程支持的服务方式，远程登录到客户网关或主机进行在线诊断。5.4.3. 现场服务若用户系统出现重大故障 ( 包