构建统一身份认证平台，组建单位外联专网，建立SSL/IPSec VPN远程接入

选购需求：
      天益Freelink1000信息安全平台是基于PKI体系，为政府和企业而开发的面向多应用系统实现统一身份认证、访问控制、单点登录和远程访问的一站式网关产品。为用户解决：1）复杂信息系统的管理问题，2）信息系统的安全问题，3）多应用系统的单点登录问题，4）远程访问问题四大问题。在内部可以作为实现统一认证和访问控制以及单点登陆的安全管理平台, 对外可以作为远程接入的网关设备。
      如：某单位内部有OA、ERP、CRM、MIS等多个应用系统，并具有多个分支机构，需要对内部和外部用户实现集中管理、统一身份认证和细粒度的访问控制，并对内部所有应用系统实现跨域单点登录，实现单位内部信息化系统的有序管理，确保只有合法用户才能访问其权限内的应用系统；为保障信息系统的安全性，须采用基于数字证书的强双因素认证方式，分支机构与总部之间建立虚拟专网，移动用户以SSL/IPSec VPN方式接入内网。

解决方案：

部署配置：
      ※ 分支机构内部部署天益SSL/IPSec VPN网关，远程终端部署SSL/IPSec VPN网关客户端和USBKey，单位内部部署TieasyMiniCA和天益Freelink1000信息安全平台。
      ※ TieasyMiniCA为内部和外部用户颁发数字证书，分支机构内部VPN网关和平台之间通过互联网建立IPSec VPN，远程终端通过USBKey加PIN码的双因素，认证后与天益Freelink1000信息安全平台之间建立SSL/IPSec VPN，内部用户通过USBKey加PIN码与平台之间建立SSL数字证书双向认证。
      ※ 内部和外部用户通过信息安全平台认证并得到授权后，即可访问其权限内的应用系统，无需二次登陆。

应用特点：
      高认证速度
采用国产高速RSA算法芯片THU-RSA1024，运算速度达6900次/秒，支持4000用户的认证并发。
      高安全
      ※ 高强度的身份鉴别：采用SSL数字证书双向认证体系，客户端采用USBKey数字令牌+PIN码的双因素身份认证方式。 
      ※ 数据传输的机密性：用户可以选择HTTPS代理、SSL/IPSec VPN等多种方式建立数据的加密传输，支持DES\3DES\RC4\AES\SCB2等多种加密算法。
      ※ 即通模式：设备的SSL/IPSec VPN支持用户插Key建立隧道，拔出Key后，隧道立即中断。
      ※ 集中管理、统一控制、安全隔离：作为安全接入网关，设备通过应用代理、端口映射、SSL/IPSec VPN等方式接入，并在接入中进行访问控制，对内部应用系统实现钟罩式保护，系统访问均由平台统一控制并进行审计，防止非法用户对服务器的攻击；用户的身份、权限、访问策略由平台集中管理，杜绝管理上的漏洞，降低安全隐患。
      ※  细粒度的访问控制：网关除了可以控制到什么用户在什么时候可以访问什么应用系统外，对于B/S应用系统，还控制到什么身份的人在什么时候可以访问什么网页的程度。
      高适应性、部署简单
      ※ 对用户而言，在设备部署时存在着“内部网络环境的复杂化、内部应用系统的多样化”等问题。就应用系统而言，有B/S和C/S的系统，而每个已经建立好的系统，存在着多个端口以及不同的应用层协议。作为面向应用的接入网关，需要对网络环境和应用系统具有高度的适应性。
      ※ 设备采用HTTP和HTTPS二次代理接入、端口映射、路由、SSL/IPSec VPN等多种接入方式，以及应用层、TCP层、IP层的多种访问控制方式，使用户可以根据自己的网络情况和应用系统情况，选择适合自己的接入和访问控制方式。
      ※ 而单点登录模块，也提供有：Webservice接口、Coockies接口、Web Front插件等多种方式，由用户根据应用系统的实际情况进行选择。
      ※ 设备正是在“接入方式、访问控制方式、单点登录方式”上给用户以多个可以选择的方式，从而满足了各种复杂的网络环境和应用系统的环境，用户可以根据自己的网络和应用系统的现状以及安全需求，选择合理的搭配方式。
      管理简单
设备采用“集中管理、统一认证”的安全管理理念，实现了用户身份、权限、策略的集中管理。
      使用简单
系统能将用户权限内的应用系统整合到设备的统一门户上，用户通过统一门户即可访问其权限内的应用系统。
      支持多个不同类型的应用系统
网关可以对部署在后台的多个应用系统进行统一的认证、授权和访问控制，支持B/S和C/S系统。
      随时随地、移动办公
      ※ 特有的SSL/IPSec VPN功能：采用 SSL Over Ethernet技术实现协议包的封装，并采用SSL加密传输协议，建立加密隧道，支持B/S和C/S任何应用系统和协议。移动用户只要能接入公共网络（例如互联网）就能与平台建立VPN隧道，支持任何接入公共网络的方式，例如：路由、Web代理等。结合RAP软件，能实现低带宽下对C/S系统的高速访问。
      ※ 特有的RAP(Remote Access Pass) 代理模块，作为远程接入的辅助手段，能将C/S系统以Web浏览器的方式进行访问，而客户端无需安装C/S系统的Client程序.同时实现低带宽下高速访问C/S系统。
      采用标准的PKI体系，支持第三方CA