| 项目 | 功能指标要求 |
| 支持完整性 | ★IPSec VPN、SSL VPN二合一网关,同时支持IPSec VPN和SSLVPN两种VPN协议 |
| 支持终端使用包括Win7、Mac、Linux等操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用; |
| 支持Windows Mobile、IPhone OS、Symbian、Android操作系统的智能手机、PDA等移动终端的SSL VPN接入 |
| 支持终端使用包括Firefox、Safari、Google Chrome、Opera浏览器来登录SSLVPN系统,登录后可完整支持通过SSLVPN发布的各种IP层以上的B/S和C/S应用 |
| 产品应支持主流的商业加密算法,包括:AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等,并支持加载扩展SM1等其他安全算法模块。 |
| 易用性 | ★可支持远程应用发布功能,发布C/S应用客户端界面而非整个桌面进行发布:只传输鼠标、键盘操作和显示数据,无需安装客户端即可支持C/S模式软件系统的远程使用。 |
| 管理员可在线对登录用户发布即时广播信息。 |
| 支持用户登录界面、服务界面的完全自定义,上传单独的Web页面作为用户登录界面、服务界面 |
| ★支持单点登录功能(SSO),支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输,保证安全;支持智能手机等移动终端的B/S单点登录;支持针对不同的访问资源设定不同的SSO用户名和密码,支持用户自行修改SSO账号。 (提供界面证明) |
| 支持公有账号及私有账号设置,公有账号允许多人同时接入,私有账号仅可一人接入,便于根据需要设置 |
| ★支持用户自行设置SSL VPN开机自登录、桌面快捷方式,避免SSLVPN登录的繁琐;支持SSLVPN C/S客户端方式启动,SSLVPN登录过程脱离浏览器 |
| 支持SSL VPN登录界面默认登录方式,并可针对不同的用户组采用的认证方式显示不同默认登录方式的SSLVPN登录界面 |
| ★支持智能递推技术,针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权,防止资源漏访 |
| 终端安全 | ★支持沙盒功能,强制受保护的指定资源仅可在安全桌面下使用;安全桌面下默认仅可与SSLVPN通信,断开互联网链接;在安全桌面内默认禁止和本地局域网通讯,禁止和本机默认桌面的通信,防止使用包括USB口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹,保证重要应用使用的安全性。安全桌面根据用户需要自行配置按用户组、单独用户启用;可配置安全桌面下可访问的指定网段;可配置允许使用COM端口、允许使用打印机、允许与切换到默认桌面、允许本地通信。 (提供界面证明) |
| ★产品必须可在用户登录SSLVPN时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象和记录攻击日志。 |
| 文件、注册表等操作虚拟化,退出安全桌面后,将清除在安全桌面内所有通过SSL VPN保存在本机的数据、本机操作痕迹。 |
| ★支持用户终端登录前、登陆后的安全性检测,检测范围包括:用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端,可以检测出客户端是否安装指定的防火墙或杀毒软件 (提供界面证明) |
| 支持针对指定用户/用户组设置允许/禁止用户登录SSLVPN后自行修改密码、用户描述、手机号码,便于用户对个人信息的自行变更 |
| ★支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问 |
| 可配置用户在接入SSL VPN的同时,断开与Internet其他连接 |
| 权限、服务器安全 | ★产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制;针对同一B/S资源,可对不同用户做到细致到URL级别的授权。 |
| ★支持主从认证账号绑定,必须实现SSL VPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSL VPN后冒名登录应用系统 |
| ★支持关键文件保护功能,可针对特定应用关键文件进行锁定,防止用户进行篡改进行越权 |
| ★针对服务器地址保护方面,可支持SSLVPN资源列表界面上的用户授权资源隐藏;针对B/S应用,可进行URL地址伪装,防止服务器真实IP地址泄露 (提供界面证明) |
| 身份认证 | 产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、CA等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行LDAP、USB KEY、硬件特征码、短信认证或动态令牌的四因素捆绑认证 |
| ★产品必须支持用户的硬件特征码认证,通过自动获取而非手动输入获取登录终端硬件信息并生产证书;不同用户必须允许拥有不同数目的硬件特征码个数;硬件特征码审批支持自动审批及分级分权管理 |
| ★支持有驱USB KEY、无驱USB KEY认证,无驱KEY无需在客户端安装驱动,方便用户 |
| ★支持随机验证码短信认证,可自定义所发送短信信息格式,支持用户端短信重发功能;支持结合移动、联通、电信的短信网关进行认证;可结合短信猫自行搭建SSLVPN短信认证平台 |
| 支持密码强度设置,如限定密码最小长度、密码必须包含数字字母特殊字符组合、密码不能包含用户名;设置用户第一次登录必须修改初始密码,新密码不能与旧密码相同;设置每隔指定天数用户必须修改密码,密码过期前几天提示修改 |
| ★仅通过SSLVPN设备可实现资源负载均衡功能,用户接入同一资源根据权值可动态负载到多台承载服务器上 |
| ★支持对于无线接入环境(如CDMA、GPRS、WIFI环境下)或者恶劣环境(高丢包高延时)接入速度优化 |
| ★针对PDA等手持移动终端上的B/S资源使用,可实时动态调整页面架构适应终端进行显示,实现Web优化,提高用户体验 |
| 智能手机PPTP客户端接入 | 支持iPhone,iPad(,版本),Android(及以后版本)等平台上自带的PPTP客户端接入 |
| PPTP接入支持MS-CHAP v2 + MPPE加密的方式接入,不允许不加密接入 |
| 支持PPTP接入后的资源授权,可以根据用户配置资源对访问资源进行主机地址,端口,主机地址段,端口段划分 |
| iPhone、iPad、Android移动设备使用浏览器访问SSLVPN,如果该用户有使用PPTP接入的权限,则提示用户“使用PPTP接入”,并且额外显示L3VPN资源。点击L3VPN资源则提示“此资源只能通过PPTP访问”。 |
| 可以在线显示使用PPTP登陆的用户. |
| 智能终端远程应用发布 | ★支持、系列的iPhone和iPad,Android ,,,, |
| ★客户端检查,支持VPN连接出错时各种提示,版本检测 |
| 支持用户名/密码,图形校验码,硬件特征码(IMEI码),短信认证,动态令牌认证,外部认证及挑战认证等多种认证方式;支持认证过程中出错提示;支持多重密码安全策略 |
| ★支持多点触摸操作,支持模拟键盘和模拟鼠标 |
| 支持智能终端上的本地输入法,如手写输入法等, 支持组合键输入,支持Esc、Ctrl、Alt、Win等键 |
| 支持配置屏幕大小,屏幕大小支持0×480,800x600、1024x768、1280x1024,默认使用800x600 |
| ★支持最小化应用,支持会话复用,支持多会话共存及快照管理,可在多会话间切换及断开;支持访问断开后重连 |
| ★支持基于用户、用户组的流量控制和会话、无流量超时时间、账号过期时间、闲置失效时间设置 (提供界面证明) |
| ★支持系统实时监控,图形化显示一段时间内的运行状况,可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数;可查看历史最高并发用户数并显示时间记录;可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息,并可在线中断指定用户 (提供界面证明) |
| ★支持日志中心进行SSLVPN实时日志记录,可详细记录用户访问资源记录(用户、主机IP、资源、时间)、管理员日志(管理员、主机IP、时间、管理行为、对象)、系统日志、告警日志;可根据用户名、主机IP等信息进行用户行为查询;可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登陆SSLVPN采用非绑定账号访问应用系统的记录 (提供界面证明) |
