1. 简述及适用范围
　　能士SVPN系统（SFH02/NESEC300）专门用于在TCP/IP体系的网络层提供鉴别、访问控制、隧道传输和加密功能，可广泛适用于党政机关、金融、证券和大中型企事业单位等通过公共通信网络构建自主安全可控的内部虚拟专网。保证信息系统的各种应用业务数据安全、透明地通过公共通信环境，是信息系统安全保障体系的基础平台和重要组成部分。
能士安全VPN系统由三部分组成：
　　A.能士安全网关（NESEC300/SG）。一种硬件专用设备，用于实施内外网络的隔离和内部网络之间IP包传输的实时加密保护。
　　B.能士认证服务器（NESEC300/CA）。一种硬件专用设备，用于系统中所有安全网关的初始化和网络化确认，同时兼作系统密钥管理中心。
　　C.能士管理器（NESEC300/MAN）。基于Windows NT/2000平台的软件系统，基于专用安全管理协议对能士安全网关和能士认证服务器进行安全策略的集中配置、设备运行状态查询、监控和安全性审计等。
2. 产品功能
　　隔离内外网络的通信，对进出的网络访问进行安全控制；
　　加密传输本行业专网内的敏感信息；
　　通过网络进行安全网关的合法性鉴别和开通授权；
　　严格控制外部用户进入内部专网；
　　限制内部用户出访公网或互联网的站点和资源；
　　对移动或异地办公用户来自外部的网络访问进行鉴别控制;
　　提供主机到网关的安全隧道；
　　支持内网主机和服务器采用私有地址，对外界隐藏内部网络拓扑；
　　可防止内部主机IP地址的滥用和误用；
　　对来自外部、内部的网络违规和入侵行为进行检测和集中监控；
　　安全网关系统强大的审计能力在完善的日常审计基础上，提供了对违规通信、安全事件的实时报警和处置能力；
统计网络通信流量，并根据策略进行流量控制；
采用基于策略的方式对安全网关进行策略的统一配置。
3. 性能指标
　　网络接口：标准配置为2个10M/100M自适应以太网接口（10/100MbaseT）（可扩充至4个）；
　　网络通信明码设计性能：≥95Mbps（100M网络环境中）；
　　加密速率：视采用的硬件加密卡速率而定，分低速（8M）、中速（20M）、高速（40M以上）三类；
　　密钥长度：对称：128位，非对称：1024/2048位；
　　加密隧道设计指标：设计标准静态100条，同时支持64条加密隧道，可扩展
　　网络通信延迟：<1ms；
　　NAT支持的连接数：≥4K；
　　最大安全策略数设计指标：16K；
　　入侵检测的类型：扫描探测、DOS、WEB攻击、木马攻击等；
　　支持的协议： TCP/IP、UDP、ICMP、IPSEC ESP/AH、IKE等；
　　环境温湿度：储存：-10℃～70℃，90%（25℃）
　　运行： 10℃～40℃，90%（25℃）；
　　输入电源：185VAC～265VAC；
　　外形尺寸： 长×高×深=456mm×86.5mm×430mm。
4. 产品特点
　　安全网关、认证服务器为专用硬件设备，操作系统内核基于自主专用定制；
　　采用智能IC卡对认证服务器和安全网关进行初始化配置和开机操作控制；
　　安全网关具有不可替换性：分布在各地的能士安全安全网关，通过初始注册，网上验证等措施，保证其真实性和唯一性；
　　认证服务器、安全网关本身是不可登录的"黑匣子"，管理控制只能通过安全的网络会话来进行；
　　支持状态检测技术;
　　高可靠性，采用工业级组件，支持7×24小时不间断运行；
　　高可用性，支持安全网关健康状况检查；
　　高扩展性，10/100M网络接口可扩展至8个；
　　每个物理网络接口可以设置多个（最多9个IP）地址，以实现用一个接口对多个网络的支持；
　　每个安全网关最大可支持多达10个内部保护子网；
　　在安全网关之间同时支持加密隧道和普通隧道，并可任意组织；
　　透明模式/路由模式自适应；
　　安全策略配置向导，辅助用户建立有效的访问控制规则；

NESEC 300 系统典型配置模型

　　对安全域中所有安全网关进行集中式网络化安全管理；
　　当发现违规事件时，管理员可以采取远程关闭外来连接或让安全网关重新启动等安全措施；

　　基于对象模式的全中文图形管理器界面。

5. 典型配置模式
　　能士安全VPN系统不需要改变系统原有的网络拓扑结构，可以透明地接入用户网络系统。安全网关串接在外部网与内部网络之间（如路由器和交换机/HUB之间）。在安全管理中心，配置认证服务器和管理器，对所管辖的全部安全网关进行集中策略配置、管理。