互聯(lián)網(wǎng)使用的初期，只有內(nèi)部網(wǎng)絡(luò)，用戶只關(guān)心內(nèi)網(wǎng)安全。當(dāng)只有少量分支時，用戶用專線或用IPSEC vpn把它們安全地連接起來。當(dāng)出現(xiàn)移動用戶時，前幾年用IPSECVPN接入，這兩年也逐步開始使用SSL VPN接入。與此同時，一些合作伙伴也通過IPSEC或SSL接入內(nèi)部網(wǎng)絡(luò)。隨著互聯(lián)網(wǎng)的發(fā)展，一個單位的分支越來越多，合作伙伴越來越多，人員的移動性越來越強(qiáng)，對政府部門是連接的上下級單位越來越多。這時會帶來一系列問題，用戶感到頭疼，結(jié)果障礙了VPN的進(jìn)一步推廣與應(yīng)用。這些頭疼地問題主要有：

　　一、連接分支、合作伙伴、移動客戶后，怎樣防止引入不安全因素?

　　二、網(wǎng)絡(luò)接入與應(yīng)用那么復(fù)雜，產(chǎn)品如何適應(yīng)?

　　三、VPN網(wǎng)絡(luò)越來越大，怎么監(jiān)控與管理?

　　天融信公司從1995年開始研發(fā)防火墻時就開始了IPSEC VPN的開發(fā)，是國內(nèi)VPN資質(zhì)最全的廠商之一，天融信是國內(nèi)最早也是最大的VPN廠商，使用其VPN產(chǎn)品的用戶有20000戶。針對需求的不斷變化，天融信有一系列技術(shù)解決這些問題。

　　1、 接入安全技術(shù)： 防火墻策略遠(yuǎn)端推送、隧道查殺病毒、網(wǎng)絡(luò)層與應(yīng)用層訪問控制、多種身份認(rèn)證等技術(shù)

　　2、 互連技術(shù)： IPSEC、SSL、L2TP、PPTP

　　3、 穩(wěn)定性技術(shù)： 隧道保活、HA、線路捆綁、EasyVPN

　　4、 可管理性技術(shù)： VRC自動部署、日志審計、拓?fù)涠ㄎ弧gent等技術(shù)

　　CleanVPN技術(shù)是結(jié)合了天融信成熟的防火墻/VPN技術(shù)和全球領(lǐng)先的防病毒廠商卡巴斯基防病毒技術(shù)。

　　CleanVPN技術(shù)確保VPN 隧道不會將威脅帶入客戶網(wǎng)絡(luò)中，會掃描加密VPN隧道中的病毒和蠕蟲，阻止家庭辦公、移動用戶、分支將病毒和蠕蟲通過VPN傳入總部。

　　CleanVPN技術(shù)同時在網(wǎng)關(guān)與客戶端部署中可以把網(wǎng)關(guān)的防火墻策略遠(yuǎn)端推送到客戶端;在網(wǎng)關(guān)對網(wǎng)關(guān)的VPN隧道中應(yīng)用防火墻策略和入侵防御策略(IDS)。

　　通過CleanVPN技術(shù)徹底實現(xiàn)了既安全互通，又阻止了安全威脅的傳播。例如xx集團(tuán)，以前一直使用單純的IPSEC VPN把總部網(wǎng)絡(luò)和幾個分支的網(wǎng)絡(luò)完全連了起來，2006年9月總部的網(wǎng)絡(luò)癱瘓了，導(dǎo)致結(jié)果是SQL SLAMMER蠕蟲發(fā)作，用戶進(jìn)行了修補(bǔ)，并打了補(bǔ)丁，然而通過流量分析發(fā)現(xiàn)該病毒還在傳播，進(jìn)一步檢查發(fā)現(xiàn)是從分支傳來的，用戶使用了天融信的支持CLEANVPN的產(chǎn)品后后，再沒有出現(xiàn)過這種情況。

　　天融信最早開發(fā)的是IPSEC vpn網(wǎng)關(guān)，既有通過國密局鑒定的使用國家制定算法SFF28、SCB2等的網(wǎng)絡(luò)密碼機(jī)，也有使用DES/3DES算法的VPN網(wǎng)關(guān)，還有嵌入到我們防火墻和UTM中的VPN模塊。2005年,天融信推出了SSL VPN，它免去了安裝客戶端，為用戶提供了可在網(wǎng)吧等不可控上網(wǎng)環(huán)境可以進(jìn)行細(xì)粒度資源控制的安全接入手段。2007年初天融信又推出了集成IPSEC/SSL/L2TP/PPTP等多種接入手段的VPN產(chǎn)品，這款產(chǎn)品同時集成了成熟的完整的防火墻功能，這是國內(nèi)的第一家。作為VPN產(chǎn)品，往往需要一個完整的方案，天融信同時提供了，VRC、身份認(rèn)證、日志分析等系統(tǒng)。

　　VPN產(chǎn)品不同于普通的IT設(shè)施， VPN的用處就是解決異地網(wǎng)絡(luò)的互聯(lián)互通， VPN產(chǎn)品可能會分布于不同的地域，VPN是一個跨地域、跨不同信任域、不同運營商的龐大系統(tǒng)，如何簡化用戶部署與管理，如何對整個VPN網(wǎng)絡(luò)進(jìn)行有效的管理、維護(hù)和監(jiān)控，并能自主的管理至關(guān)重要的基礎(chǔ)網(wǎng)絡(luò)平臺，是管理人員和相關(guān)領(lǐng)導(dǎo)非常重視的問題。為此天融信特別推出了完善的集中管理系統(tǒng)。下面重點介紹一下成功應(yīng)用于眾多國家部委的集中管理系統(tǒng)SCM：

　　集中管理系統(tǒng)SCM是安全設(shè)備集中管理和監(jiān)控工具，使企業(yè)和服務(wù)提供商可以便捷的管理多個防火墻和VPN設(shè)備。可以最大程度的降低配置，管理，監(jiān)控及維護(hù)設(shè)備的投入成本。它通過保持持續(xù)的安全定義和策略的應(yīng)用提高系統(tǒng)的安全性，這些配置可以統(tǒng)一實施到VPN設(shè)備。通過防火墻設(shè)備的配置檢查可以有效控制設(shè)備配置的版本變化。防范設(shè)備配置被非法修改，當(dāng)配置變更引起網(wǎng)絡(luò)故障時，支持快速回滾到最后有效配置，恢復(fù)網(wǎng)絡(luò)運行。同時在中心可以統(tǒng)一監(jiān)控系統(tǒng)的狀態(tài)，日志信息及攻擊行為。它有如下特性和優(yōu)勢：

　　VPN網(wǎng)絡(luò)的統(tǒng)一策略管理，高效建立星型拓?fù)?/P>

　　移動用戶的自動分發(fā)部署，統(tǒng)一下發(fā)移動用戶策略，降低部署實施成本

　　定時配置變更檢查，完善的配置版本控制，提高配置維護(hù)和故障排查效率

　　基于域的設(shè)備管理，基于角色的授權(quán)機(jī)制，契合國內(nèi)客戶的分級管理模式

　　拓?fù)鋱D顯示可以監(jiān)控網(wǎng)絡(luò)運行狀態(tài)，基于動態(tài)儀表盤的設(shè)備監(jiān)視統(tǒng)計信息的顯示，可以快速實現(xiàn)故障排查。

　　系統(tǒng)內(nèi)置CA中心，支持第三方CA，實現(xiàn)證書的簽發(fā)和管理。

　　適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，支持NAT和動態(tài)IP的設(shè)備管理。

　　通過雙機(jī)熱備實現(xiàn)系統(tǒng)的高可用性

　　天融信集中管理系統(tǒng)SCM可配置3000臺設(shè)備，可配置30000個VPN遠(yuǎn)程用戶，可實時監(jiān)控3000臺設(shè)備數(shù)。

　　這些產(chǎn)品，連同天融信的實踐為用戶提供了一個完整的安全互連解決方案。