得安虚拟专用网系列产品 (SJW60,SQY21) 技术白皮书(14)

得安虚拟专用网系列产品 (SJW60,SQY21) 技术白皮书

别的企业VPN需求。

6、完善的功能

SJW60 VPN加密网关不仅完整实现了IPSec协议族，保证了数据传输本身的安全性，而且在产品中集成了防火墙的功能，能够有效抵御外界的攻击。

7、使用可靠的身份认证技术

得安VPN系列产品采用基于数字证书的强认证机制，证书遵循X.509证书体系。用户可以在网络的某台服务器上安装得安企业级CA子系统。系统初始化时，每个设备都从CA生成数字证书，这个数字证书由CA做了签名，SJW60 VPN加密网关之间或加密网关与SQY21 Windows IPSec密码支持系统之间通过IKE协议进行身份验证，只有拥有同一个CA签发的合法证书的设备之间才能互通。

加密网关通过SIC02智能IC卡导入其数字证书，SQY21 Windows IPSec密码支持系统通过SZD13智能密码钥匙存储数字证书。

8、集中的安全策略管理

通过在某台特定的加密网关上安装得安VPN策略中心软件包，可以对整个VPN网络的安全策略进行集中管理和配置。这能有效防止用户在对每台加密网关进行单独的策略设置时出现的策略配置不一致等情况。

9、完善的自身保护措施

为了能够抵抗对加密网关的非法使用、窃取算法信息和密钥信息等攻击，得安SJW60 VPN加密网关采取了以下保护措施：

z 加密网关采用硬件实现数据的加/解密，主密钥不出现在内存中，而且是

加密存放的，这从根本上保证了密钥的安全。

z 在系统安全性方面做了深入分析，并采用了最小的核心，以防止非法用

户对系统的攻击。

10、异常恢复

当隧道建立成功以后，加密网关会定期探测隧道另一端的工作是否正常。如对方工作异常(如停电)或有网络故障，得安VPN加密网关自动终止隧道，并定期监测对方，一旦对方网络恢复正常，隧道就能够马上建立成功。

11、支持安全子网的网段分割

允许内部子网划分为更小的网段，对每个网段的数据流分别进行安全处理。