XX单位VPN网络安全互连解决方案-单线路接入new2.doc

XXXX 单位单位 VPNVPN 网络安全互连网络安全互连 解决方案解决方案 上海安达通信息安全技术有限公司上海安达通信息安全技术有限公司 http:/www.adtsec.com 1 目目录录 1.1.网络现状和用户需求网络现状和用户需求 .3 1.1.网络现状.3 1.2.现有组网方式的问题.3 1.3.用户需求.4 2.2.VPNVPN 网络设计原则网络设计原则 6 3.3.系统设计系统设计 .7 3.1.VPN 系统部署7 3.1.1.总部网络 VPN 系统部署.7 3.1.2.分支机构 VPN 系统部署.8 3.1.3.移动办公网点 VPN 系统部署.9 3.1.4.全网 VPN 系统部署示意图.9 3.2.功能分析.12 3.3.性能分析.13 3.4.VOIP 和视频会议增值解决方案13 3.5.安达通 VPN 全网网络管理方案.15 3.5.1.安全网管平台.15 3.5.2.数字证书平台.15 3.6.ADT 内网安全解决方案17 3.6.1.可信专用网络系统部署.17 3.6.2.可信专用网络优势.19 4.4.设备选型和选型产品简介设备选型和选型产品简介 .21 4.1.选型原则和设备选型.21 4.2.选型产品简介.21 4.2.1.SJW74 系列安全网关21 4.2.2.安全客户端软件.26 4.2.3.ADT 安全网管平台28 4.3.ADT 安全网关功能优势33 5.5.售后服务售后服务 .37 2 5.1.售后服务承诺.37 5.2.免费保修期内售后服务内容.38 5.2.1.免费返厂维修服务.38 5.2.2.免费咨询服务.38 5.2.3.免费补丁通知及推荐.38 5.2.4.免费软件升级服务.38 5.2.5.免费产品常规检测服务.38 5.2.6.备件替换服务.39 5.3.免费保修期后售后服务内容.39 5.3.1.软件升级服务.39 5.3.2.以旧换新服务.39 5.3.3.返厂维修服务.40 5.3.4.备件替换服务.40 5.3.5.备机租赁服务.40 5.4.售后服务方式.41 5.4.1.热线服务.41 5.4.2.网络远程服务.41 5.4.3.现场服务.41 5.4.4.其他服务.41 6.6.用户培训用户培训 .42 7.7.附件附件公司简介及成功客户公司简介及成功客户 .44 7.1.公司简介.44 7.2.安达通公司分支机构情况.45 7.3.安达通公司和 VPN 产品资质及荣誉.49 7.4.安达通公司部分 VPN 成功案例名单.51 3 1.1. 网络现状和用户需求网络现状和用户需求 1.1.1.1.网络现状网络现状 XX 单位信息中心（以下简称：总部）出口带宽为?Mbps 。XX 单位局域网通过单一的防火墙 (Firewall)接入互联网，对本地局域网进行保护，对需要提供给分支机构和移动用户使用的应用 系统（如：OA 服务器）通过 Firewal 直接映射到互联网上。 XX 单位所属单位 XX 个，各单位目前内网 PC 数量 3-6 台，通过普通 ADSL 方式连入互联网 。还 有一些移动用户通过本地的宽带网络接入 Internet，在没有什么安全防护措施（如：本地没有部署 Firewall，和总部的通讯也是明文传输等）的情况下，直接与总部的应用服务器进行通信。 其典型结构如下图所示： XX单位现有的网络概况单位现有的网络概况 1.2.1.2.现有组网方式的现有组网方式的问题问题 1）安全没有保障安全没有保障 如上图示意，在现有的方式下，XX 单位远程移动用户和分支机构通过因特网与总部联系（例 4 如：使用 OA 软件、E-mail、Ftp 等)，由于这种联系方式都是通过公网进行明文传输，毫无保密性 可言，商业机密数据有可能被黑客或竞争对手截获，引起巨大的业务损失。 另外，总部的应用软件服务器通过 firewall 映射或直接暴露在互联网上，黑客可以利用简单的 攻击工具对总部的应用服务器发起 Dos 和 DDos 攻击，使其无法正常使用。 2）无法运行内部管理软件）无法运行内部管理软件 因为总部内网和分支机构的局域网之间不能安全互通，一些内部的应用软件系统不能基于互 联网运行，无法实施 OA、公文流转、联网财务软件等，已经不能满足用户单位的目前发展需求了。 3）增值服务无法实施）增值服务无法实施 诸如视频电视、电话会议、IP 电话之类的增值服务在这个网络上很难开展甚至无法开展。 4）网络管理混乱）网络管理混乱 随着规模的扩大和分支机构的增多，各分支局域网的管理人员素质参差不齐，分别按照各 自的习惯进行局域网建设，没有统一的标准进行有效管理和规划，为各分支机构的互连互通和 内部应用信息化普及带来了很大的障碍。 1.3.1.3.用户需求用户需求 XX 单位 VPN 联网系统总体建设目标是：建立网络互联、信息共享、安全可靠的远程接入 VPN 网络。在完成了本项目的 VPN 网络建设后，将为 XX 单位和其分支机构实施各种网络应用系统提供 统一、安全、高速、可靠的网络传输平台，具体能够实现以下目标： 1 1）异地网络互连互通）异地网络互连互通 能够实现总部和外地分支机构、移动用户间，通过互联网安全可靠互连，各地机构可通过 VPN 网络顺利访问总部的各个应用软件系统，就象在局域网内使用这些应用软件系统一样。 2 2）对各种应用系统透明）对各种应用系统透明 能够根据用户的需要有选择地对需要的应用系统数据进行加密，不需要加密的数据和普通 Internet 接入业务（如：访问 163、sina 等）不受到影响。而且目前各种网络应用均能够在 VPN 专网上使用，不需要改变用户的使用习惯。 3 3）高安全性）高安全性 通过构建的 VPN 网络，能够解决单位内部信息系统数据传输的安全性：保密性、完整性和不可 抵赖性。安达通的 VPN 网关采用通过国家密码管理局认证的加密算法或者国际标准加密算法进行 密钥通信和加密封装，能够保证您的业务系统安全和可靠的运行而不会被外部人员恶意窃取和窜 改。 5 VPN 安全网关可以对访问者资源和权限进行分类，普通业务只有访问特定服务器的特定权限 （例如只能查看财务资源） ，不能实行其他任何操作，避免了从业务单位外部发生的恶意入侵和攻 击的发生；而高级用户才能对总部内网进行敏感业务的操作。 VPN 安全网关可对本地局域网实施边界防护。VPN 安全网关融合了防火墙、VPN、入侵检测微引 擎，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。 我公司 VPN 安全网关其内置防火墙其抗攻击能力优异。 4 4）高可靠性）高可靠性 我公司 VPN 系统性能稳定可靠，其高达 40000 小时的平均无故障工作时间可为系统长期稳定运 行提供强有力的保证。并可通过双机热备、多线路负载均衡系统实现中心节点的网络不间断运行。 5 5）高性能）高性能 此次网络建设根据用户需求和网络带宽，所选用的设备具有较高的加密速率，不仅能满足当 前用户数量下的需求，也为将来的扩展留有充分空间。不会因为 VPN 设备的部署影响上网的速度， 并且应当满足应用软件运行的带宽需求。 6 6）高性价比）高性价比 VPN 系统价格便宜，而且基于普通宽带线路，接入费用低廉，所以本方案具有极高的性能价 格比和投资回报率。 7 7）易于扩展）易于扩展 系统 VPN 网络的扩展非常容易，同时又不会带来安全隐患。如：需要增加客户数量，只需升级 设备 license，而无需另购设备。本项目实施后不但解决了很高的信息数据传输安全性，而且不会 影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。 6 2.2. VPNVPN 网络设计原则网络设计原则 对本次的 VPN 网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实 用性、可靠性、安全型、先进性、扩展性、易管理性、兼容性”建设系统。具体的我们遵循了以 下原则： 安全性原则安全性原则 我公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键 的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 可靠性原则可靠性原则 这套网络安全系统是用户众多，大量移动用户依赖它在获取重要信息。它的稳定可靠关系重 大，信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作，将给用户带来不便和不可 低估的损失。因此可靠性是平台运行的首要保证。 我公司将采用相应的手段保证系统、网络和数据的稳定可靠性和不间断运行。 先进性原则先进性原则 在系统建设方案，具有相当的先进性，并能够通过对 VPN 设备和软件的不断升级，确保系统的 技术领先性和持续发展性。 实用性原则实用性原则 系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用国际上最 先进的技术，使系统完成后，保持一定时期的领先地位。 实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。 可扩展性原则可扩展性原则 系统建设应该是统一规划、分步实施、逐步完善的过程。我公司在该方案的设计中充分考虑 它的可扩展性，使系统能够方便的扩展。 易管理性原则易管理性原则 网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性， 为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。 兼容性原则兼容性原则 VPN 系统是网络层安全设备，对各种网络应用透明；我公司的 VPN 安全网关遵循标准的 SSL、Ipsec 和 IKE 协议，在网络层对 IP 数据包进行加密，对网络中的数据流做基于五元组的访问 7 控制，因此，对于应用系统是完全透明的。同时依靠我公司强大的研发能力，能够为用户提供特 殊的定制性需求。 Comment k1: 示例中采用“单臂连 接”方式部署 VPN。如果不采用此方 式部署，本节方案需要修改。 8 3.3. 系统设计系统设计 3.1.3.1.VPNVPN 系统部署系统部署 XX 单位当前采用 1 条 XX Mbps 宽带线路连接到互联网。如图部署 1 台 SJW74C 型安全网关。 分支机构和移动用户均通过互联网远程接入总部内网，通过建立的 VPN 加密隧道，安全访问总部 网内的各应用系统（包括 B/S 和 C/S 的应用） ，如：OA 等。 3.1.1.3.1.1. 总部网络总部网络 VPNVPN 系统部署系统部署 XX 单位如下部署 VPN 安全网关分为下面两种情况：1）用户单位原来没有部署 Firewall；2）用 户单位原来已经部署了 Firewall。 1 1）用户单位）用户单位原来没有部署原来没有部署 Firewall S SJ JW W7 74 4C C 安安全全网网关关 总部中心节点 在这种情况下，用户完全没有必要再部署 Firewall，可以如上图部署 ADT 安全网关 SJW74C 。安达通安全网关是集“VPN、防火墙、IDS 微引擎”于一体的网络边界安全防护和安全接入设备， 它有效地实现了“主/被动安全防御”的完美结合。其特别强大的 VPN 功能和高安全性、高性价比 的多功能集成，是当今网络安全技术发展的主流方向。 SJW74C 型安全网关是安达通 IPSec 和 SSL 合一的最新 VPN 成果，移动用户只需要使用 IE 等主流互联网浏览器，通过“帐户+口令”或 USB KEY 等认证方式，即可和网关建立 VPN 隧道（使 用 SSL+IPSec 方式） ，接入内网，进而为各种 IP 应用提供透明传输平台。同时，SJW74C 网关也 支持传统的使用“安全客户端”软件（即：IPSec 客户端）和网关建立 VPN 隧道。 2）用户单位原来已经部署了）用户单位原来已经部署了 Firewall 9 S SJ JW W7 74 4C C 安安全全网网关关 总部中心节点 以“单臂连接”方式部署 XX 单位已经部署了 Firewall 系统，那么我们采用安达通独特的“单臂连接单臂连接”技术来部署 VPN 安全网关，如上图所示。只要将 SJW74C 安全网关的 WAN 口接到用户内网的交换机上即可。 传统 VPN 设备在部署时，遇到与防火墙、路由器配合使用时，通常采用“串联” （即：接在 防火墙/路由器与内网交换机之间）或“并联”方式（即：与防火墙或路由器并列部署）接入原有 网络。 “串连”方式增加单点故障，并容易造成性能上的瓶颈；“并联”方式需要多个公网 IP 地址， 并在客观上造成多个公网出口，带来安全隐患。针对这两种传统的 VPN 设备部署方式，安达通 VPN 安全网关则可采用一种非同寻常的部署方式：“单臂连接” 。采用此种部署模式，能够在对用 户环境最小改动的前提下部署 VPN，极大提高了 VPN 设备对网络环境的适应能力。 所谓“单臂连接”指的是安全网关只接一个口到内网交换机中，另外一个口不接线，即把安 全网关设备当作一台服务器或主机，专门处理 VPN 报文的加解密。从实现技术上而言，单臂连接 结合了上述串行连接和并行连接两者的特点，需要在防火墙（路由器）上为安全网关做静态端口 映射（静态 NAPT） ，同时也需要在防火墙（路由器）上添加静态路由来解决要通过 VPN 的数据包 正确流向的问题。单臂连接方式能在对用户环境最小改动的前提下部署 VPN，大大增加了 VPN 设 备对网络环境的适应能力。采用采用“单臂连接单臂连接”技术部署安达通技术部署安达通 VPN 安全网关，不用改动用户原有安全网关，不用改动用户原有 的网络拓扑，实施过程对用户无任何影响；而且没有在用户主干线路上串接设备，不会造成额外的网络拓扑，实施过程对用户无任何影响；而且没有在用户主干线路上串接设备，不会造成额外 的单点故障，而降低线路可靠性；也不会影响主干网络的性能。的单点故障，而降低线路可靠性；也不会影响主干网络的性能。 3.1.2.3.1.2. 分支机构分支机构 VPNVPN 系统部署系统部署 对于有一定规模局域网的分支机构，采用 SJW74A 安全网关部署在网络的边界，和总部的 VPN 安全网关建立 VPN 连接，同时充当防火墙保护本地局域网。ADT 各型号的安全网关功能相 10 同，只是性能不同，所以总部安全网关的各种功能，分支机构部署的安全网关同样具备，本处不 再赘述。如下图： ADSL 中型分支机构 S SJ JW W7 74 4A A安安全全网网关关 3.1.3.3.1.3. 移动办公网点移动办公网点 VPNVPN 系统部署系统部署 对于一些小型的分支机构及移动用户，由于分支机构使用的 PC 数量不多（通常为 67 台） ， 只需要在需要远程接入的 PC 上或代理上网的 PC 上（所谓“代理上网”指由该 PC 进行 ADSL 拨 号或用其他接入方式接入，局域网内的其他 PC 通过该机器运行的代理软件或 NAT 共享接入 internet） ，安装安达通安全客户端软件（使用 IPSec 协议）或采用 IE 浏览器（不用安装专门的 VPN 客户端软件，使用 SSL 协议） ，即可和总部的 VPN 安全网关建立安全连接。移动用户可以使 用“帐户+口令”作为身份认证方式接入；也可以和 SureID(安达通 USB KEY) 配套使用，提高安 全性保证身份不可仿冒。如下图： 代理上网服务器 （安全客户端或IE浏览器） ADSL 小型分支机构 移动点用户 （安全客户端或IE浏览器） ADSL/CDMA 3.1.4.3.1.4.全网全网 VPNVPN 系统部署示意图和系统功能阐述系统部署示意图和系统功能阐述 VPN 部署示意图如下所示： 11 Internet SJW74C安安全全网网关关 （主主机机） CDMA/ADSL 服务器群 ADSL XX单位中心局域网 ADSL 移动用户 (IE浏览器) IPSec隧道 SSL隧道 拨号服务器 （IE浏览器） XX单位下属机构 XX单位下属机构 S SJ JW W7 74 4A A XX单位分部 XX单位总部 SJW74C安安全全网网关关 ( (备备机机) ) 网络示意图（原来没有网络示意图（原来没有 FirewallFirewall） 12 Internet SJW74C安安全全网网关关 CDMA/ADSL 服务器群 ADSL XX单位中心局域网 XX单位下属机构 ADSL 移动用户 (IE浏览器) IPSec隧道 SSL隧道 拨号服务器 （IE浏览器） XX单位下属机构 S SJ JW W7 74 4A A XX单位总部 XX单位分部 SJW74C安安全全网网关关 ( (热热备备) ) 网络示意图（原来已经有网络示意图（原来已经有 FirewallFirewall，并采用，并采用“单臂连接单臂连接”方式部署）方式部署） 在总部网络的边界处，部署 SJW74C 型安全网关，网关的 WAN 口接 internet 出口（没有 Firewall 时） ，LAN 口接内网核心交换机；或采用“单臂连接”方式来部署 VPN 安全网关（用户 已经有 Firewall 时） 。SJW74C 型安全网关是安达通 IPSec 和 SSL 合一的最新 VPN 成果，移动用 户只需要使用 IE 等主流互联网浏览器，通过“帐户+口令”或 USB KEY 等认证方式，即可和网关 建立 VPN 隧道（使用 SSL+IPSec 方式） ，接入内网，进而为各种 IP 应用提供透明传输平台。同时， SJW74C 网关也支持传统的使用“安全客户端”软件（即：IPSec 客户端）和网关建立 VPN 隧道。 总部边界处还可以部署“双机热备”系统，可以在主设备发生单点故障时进行无缝的切换，确 保中心节点的高可靠性和不间断运行。 下属分支机构通过部署 SJW74A 安全网关，替代原来的路由器上网方式，在保证了 VPN 隧道安 全访问的前提下，对分支机构的内网进行了有效的保护和控制；当总部主线路中断时，分支机构 可以自动联入备份线路，保证业务的不中断；SJW74A 网关内置强大的防火墙功能在提供上网和 VPN 加密通信的前提下保证了内网用户不会被黑客和网络病毒所侵犯。 单点用户和移动办公网点的 PC 上通过 ADSL 拨号上网；安装“VPN 安全客户端”软件（使用 13 IPSec 协议）或直接使用 IE 浏览器（使用 SSL 协议） ，通过“帐户+口令”或 USB KEY 硬件认证的 方式，和 VPN 安全网关建立 VPN 加密隧道，接入内网，进而为各种 IP 应用提供透明传输平台。 下面主要从功能、性能和网管三方面来对系统作全方面阐述。 3.2.3.2.功能分析功能分析 如上部署网络安全设备： VPN 可以实现以下几方面功能： 1）实现分支机构（采用 VPN 安全网关）或者移动用户（采用安装“安全客户端”或使 用 IE 浏览器）通过互联网远程接入总部内网，建立 VPN 加密隧道，安全访问总部内网的各应 用系统（包括 B/S 和 C/S 的应用） ，在访问过程确保数据传输安全。 2）总部边界处还可以部署“双机热备”系统，可以在主网关发生故障时，热备网关自 动接管进行无缝的切换，确保中心节点的高可靠性和不间断运行。 3）在远程接入（下属机构拨号 PC 和移动用户）的计算机上，只需要插入经过管理员授 权的 Usb Key（强身份认证载体）或使用“帐户+口令”的方式，运行安全客户端软件或采用 IE 浏览器，即可与 VPN 安全网关建立 VPN 隧道，然后就可象在总部局域网内一样使用各种应用 软件。 另外，如果需要提高安全性（由 VPN 设备管理员可在 VPN 网关上开启“主机绑定”功能， 就可实现 USB KEY 和远程接入的 PC 机进行硬件绑定,这样这个 USB KEY 将只能在绑定的 PC 机 上使用。这样可以提高安全性，使管理员严格指定的 PC 才能接入总部，避免了下属单位用户 从其他地方（如：家里）访问 XX 单位的总部内网，避免了信息泄露的威胁。也可以开启“双 网隔离”功能，让远程接入的 PC 终端在使用 VPN 隧道时（即在和总部建立连网时） ，不能访问 互联网中的其他地方（如：sina 等） ，进一步提高安全性。 4）安全网关能够对 VPN 访问用户进行分类，分成不同的用户资源组，如：财务部、人 事部、IT 部等（如下图） 。分类的用户可在网关上设定不同 VPN 组的访问控制策略，确保不同 身份的用户接入到内网后，只能访问网管人员允许他能够访问的服务器/应用/指定的子网或 PC（如：只允许 XX 系/部门的用户只能访问某些应用系统） 。 14 5）SJW74 安全网关具有优良的 Qos 能力，可以为企业的关键应用（如：ERP、OA、视频 会议系统等）保留带宽。这样即使当网络拥挤时，也能够保障关键应用的畅通和尽量小的延时。 ADT 安全能够将访问控制策略与保留带宽绑定，并能为这些应用设定优先级，共有 8 个处理等 级可以设置。 6）VPN 安全网关对外网可以抵御黑客的入侵，并可和 Firewall 一起，构成两道网络防 护屏障。并可和 IDS 联动，为以后进一步加强总部内网的安全留下发展的空间。VPN 安全网关 具备优良的状态检测功能，可以防御外网对内部主机的端口扫描、各种 DoS/DDoS 攻击等恶意 攻击行为。 3.3.3.3.性能分析性能分析 SJW74C 安全网关采用 X86 架构，4 个网口均采用 10/100M 自适应接口。 SJW74A 安全网关采用嵌入式架构，2 个网口均采用 10/100M 自适应接口。 经上海信息安全测评认证中心专业测评： 1） SJW74C 支持 800,000 个内网并发会话数，5,000 个 VPN 并发用户；在高强度加密下， IPSec 吞吐率为 100Mbps，防火墙吞吐率为 100Mbps 。 2） SJW74A 支持 200,000 个内网并发会话数，300 个 VPN 并发用户；在高强度加密下，IPSec 吞吐率为 10Mbps，防火墙吞吐率为 100Mbps 。 3）远程 VPN 移动终端的高加密速度高达 30Mbps，所以不会对通过 ADSL 上网的速度造成用户 感觉得到的影响，而且加/解密处理对各种应用软件透明。 15 3.4.3.4.VOIPVOIP 和视频会议增值和视频会议增值解决方案解决方案 在建成了 VPN 网络以后，不仅可以在 VPN 网络上传输数据，而且可以传输语音、视频。 安达通 VPN 安全网关能够为 VOIP、视频和其他需要优先的网络应用，保留带宽和优先处理，这 样当网络拥挤时，也能够保障视频、VOIP 线路的畅通和话音质量。ADT 安全能够将访问控制策略 与保留带宽绑定，并能为这些应用设定优先级，共有 8 个处理等级可以设置。如下图所示意： 部署 VOIP 和视频系统后的 VPN 网络示意图如下： Comment k2: 根据需要可删除/保留 16 Internet SJW74C安安全全网网关关 CDMA/ADSL 服务器群 ADSL XX单位中心局域网 XX单位下属机构 ADSL 移动用户 IPSec隧道 客户端软件 XX单位下属机构 ISP1 PBX S SJ JW W7 74 4A A PBX VOIP网关 VOIP网关 XX单位总部 XX单位分部 3.5.3.5.安达通安达通 VPNVPN 集中网络管理集中网络管理方案方案 在本案中，由于采用了较多数量的 VPN 安全网关，用户需要：1）能够实时监控全网 VPN 安全 网关的运行状态，及时发现节点故障；并可对设备的运行信息进行监控和审计，自动形成各种报 表，以方便管理或进行相关汇报。2）由于采用单机配置软件 SureConsole 对网关只能逐台进行配 置和管理，所以对于大规模的 VPN 设备配置效率和复杂度都太高，所以需要一套 VPN 集中网管系 统，可以通过该系统方便直观地描述出用户的网络拓扑、联网需要和安全要求，系统自动生成 VPN 通讯策略，并可自动分发到网关和客户端的系统，进而 VPN 设备可以自动联网；简化 VPN 的部署 过程，降低了错误配置带来安全隐患的几率。 17 在本项目中，我们通过在中心节点部署 SureManager 安全网管服务器实时监控全网安全网关的 运行状态：健康状态、网络流量以及 VPN 隧道信息等，及时发现和诊断设备出现的故障，并提供 多种告警手段；接收来自网关的日志信息，自动对这些海量日志数据进行分类和处理，自动形成 各种报表。 SureManager 的部署示意如下图： Internet SJW74C安安全全网网关关 CDMA/ADSL ADSL XX单位中心局域网 XX单位下属机构 ADSL 移动用户 (IE浏览器) IPSec隧道 SSL隧道 拨号服务器 （IE浏览器） XX单位下属机构 ISP1 S SJ JW W7 74 4A A XX单位总部 XX单位分部 SureManager 网管服务器 SureManager 是部署、管理、监控大中规模 VPN 网络的必备工具，基于 JAVA 平台。 通过 SureManager 安全网管平台的集中监控功能，可集中监控 ADT 系列安全网关以及 VPN 客 户端。通过可视化界面，直观描述 VPN 网络拓扑，自动生成和分发 VPN 通讯策略；实时监控全网 安全网关运行状态。 通过 SureManager 安全网管平台的集中策略管理和自动生成/分发功能，能够根据用户的网络 拓扑、安全要求和高级安全策略，集中定制 VPN 网关的配置数据，然后通过策略服务平台分发模 18 块将配置分发到安达通 VPN 安全网关和移动客户，达到自动组网的目的。该功能有效帮助工程实 施人员以及网络管理员，提供对规划和部署 VPN 的支持，并对 VPN 组网之后实施有效管理和维护， 最大限度的降低 VPN 的的运维成本，降低了差错的可能，提高 VPN 的易用性。信息传输采用加密 和签名处理，确保信息传输安全。 SureManager 主要具备以下功能： 设备管理设备管理 管理设备基本信息的管理，比如名字、IP、位置等基本信息。 VPN 策略管理策略管理 提供集中策略管理和自动生成/分发功能，能够根据用户的网络拓扑、安全要求和高级安全策 略，集中定制 VPN 的配置数据，然后通过策略服务平台分发模块将配置分发到网关和客户端，达 到自动组网的目的。这样大大简化了 VPN 的部署过程，也降低了错误配置带来安全隐患的几率。 集中监控集中监控 实时监控全网安全网关运行状态，在线监控设备运行状态、网络流量以及 VPN 隧道信息，及时 发现和诊断设备出现的故障，并提供多种告警手段。接收来自网关的日志信息，自动对这些海量 日志数据进行分类和处理，自动形成各种可视化报表。 SureManagerSureManager安全网管服务器安全网管服务器 19 设备监控界面设备监控界面 设备监控界面设备监控界面 Comment k3: 根据需要可删除/保留 20 VPN 策略管理界面策略管理界面 3.6.3.6.安达通安达通 VPNVPN 集中认证方案集中认证方案 在 VPN 使用中，可采用基于“数字证书数字证书”的 VPN 节点认证方式，主要是针对大规模的针对大规模的 VPN 网络构建（通常采用数十台安全网关和上百个移动用户终端）网络构建（通常采用数十台安全网关和上百个移动用户终端） 。 VPN 设备间通常有两种方式进行通讯双方的身份认证：“预共享密钥方式”和“数字证书认 证方式” 。 所谓“预共享密钥方式” ，就是在通讯的网关之间预先约定一个共同的身份认证密码（即：所 谓的“预共享密钥” ） ，通讯的双方依靠这个共有的密钥来鉴别对方的身份。只有在身份认证通过 后，IKE 的过程才能继续进行下去，进而协商出保护通讯隧道的加密密钥；否则通讯立即会终止。 这就意味着“预共享密钥”非常重要，一旦泄密，很容易通过冒充，混入用户的 VPN 网络。而且， 为了安全起见，对预共享密钥的设置最好采用随机生成，有一定的长度，并且在一个 VPN 网络中， 尽量作到通讯的每一对网关间就有一个独有的预共享密钥；并且从管理制度上，对预共享密钥应 当专人专门保管，以确保密钥的安全性。这样带来的问题是当一个 VPN 网络规模很大时，预共享 密钥的数量势必大幅度增加。如下图所示： 21 基于“预共享密钥”的通讯方式 上图的 6 个 VPN 设备两两相互通讯（连接线代表需要建立的 VPN 隧道） ，需要约定 15 个密钥； 如果 N 个节点相互通讯，假设每个预共享密钥都不同，就需要 N*(N-1)/2 个密钥。100 个点要实现 两两通讯，就有 2450 个密钥。管理这么数量庞大的预共享密钥无疑是个巨大的问题！ 针对上述问题，一个比较好的解决方法就是采用基于“数字证书”的 VPN 运行模式。 CA（certificate authority）作为电子商务交易中受信任的第三方，承担数字证书的签发和验证。 数字证书是网络通讯中标志通讯各方身份信息的一系列数据，由 CA 机构颁发和验证。 在基于“数字证书”的 VPN 运行模式下，VPN 设备中需要存放该设备的数字证书和私钥以及 CA 的根证书。通讯时，通讯双方交换各自数字证书，并依靠 PKI 技术对对方的证书进行有效性校 验和解读，从而确定对方网关的身份，进而继续进行 IKE 过程。另外，还可以利用 CA 中心提供 的 CRL(证书废除列表)或 OCSP(在线认证服务)服务，确认对方网关的证书（即：身份）是否已经 被吊销。这样，不论构建的 VPN 网络有多大，网关通讯的对方有多少，网关内部都只要存放网关 自己的设备证书和私钥。网络的构建如下图： 22 Internet SJW74C安安全全网网关关 CDMA/ADSL ADSL XX单位中心局域网 XX单位下属机构 ADSL 移动用户 (IE浏览器) IPSec隧道 SSL隧道 拨号服务器 （IE浏览器） XX单位下属机构 ISP1 S SJ JW W7 74 4A A XX单位总部 XX单位分部 SureCA服务器 基于“数字证书”的通讯模式（使用SureCA证书服务器） 安达通的 VPN 安全网关和安全客户端均支持预共享密钥和证书两种密钥体系。对证书的支持 完全符合 X.509 版本的标准，无缝支持安达通公司的“数字证书平台 SureCA”或兼容各种第三方 CA 产品。 在本方案中，网关和 VPN 移动客户数量庞大，但是网络的构建是逐步进行。当网络中使用的 安全网关或者客户端数量增加到一定规模（一般在台以上） 。就比较适合采用“证书认 证”的方式了。这时，可使用 SureCA 系统，为 VPN 网关和移动客户端提供在线认证服务 （OCSP）或离线证书认证服务。在总部网络中单独安装一套在总部网络中单独安装一套 SureCASureCA 数字证书服务器数字证书服务器。在部署中， 如果分支机构的 VPN 网关或移动用户需要使用 CA 系统的在线认证功能，就需要将 SureCA 系统 通过防火墙或 VPN 安全网关映射到外网。 安达通SureCA是专门为配合ADT安全网关、安全客户端发放和管理数字证书，以及为安全网关 提供在线证书服务的企业级CA系统。可于VPN安全网关无缝集成，构建大规模VPN网络，也可用做 其他数字证书应用系统的CA中心。SureCA具有以下特点： 23 高度集成：高度集成： 系统高度集成，易部署，配置简单，即插即用。 标准化支持：标准化支持： 依据标准化设计，支持 PKCS#、MS CSP、X.509，LDAP，PKCS#11，BSAFE，SSL 等国际标准。 扩展性：扩展性： 支持 C/S、B/S 两种结构体系。丰富的扩展服务，包括 OCSP 服务、LDAP 服务、时间戳服务、 数据公证服务、证书验证服务等，并通过提供 API 接口函数为用户提供基于数字证书的二次 开发手段。 多运行模式支持多运行模式支持: : 能够以单证书和双证书、双密钥、双中心两种模式运行。支持证书模板，支持 Microsoft、NetScape 证书扩展，可自定义证书扩展。 产品形态产品形态： 产品以软硬件一体化的形态提供给用户： SureCASureCA 数字证书服务器数字证书服务器 24 SureCASureCA数字证书服务器界面数字证书服务器界面 4.4. 设备选型设备选型和和选型选型产品简介产品简介 4.1.4.1.选型原则和设备选型选型原则和设备选型 对 VPN 产品进行选型，通常依据以下几方面原则： 1) 安全网关的加密吞吐率应当大于网络的出口带宽，以免在 VPN 安全网关上产生性能瓶颈； 2) 部署在中心节点的安全网关的并发数目应当大于互连的分支机构和移动用户总数； 3) 部署在各个节点的 VPN 安全网关的并发会话数，应当与本地局域网内的上网 PC 数目有个对 照关系（参见“安达通安全网关性能索引表”中的相关参数） ； 4) 考虑用户的预算。 基于要求和上述选型原则，本项目 VPN 平台中将会用到上海安达通信息安全技术有限公司研制 生产的如下产品： 选用设备型号选用设备型号数量数量部署位置部署位置 Comment k4: 根据需要添加相应的 产品介绍。从销售手册中拷贝。 25 SJW74C 安全网关1 台XX 单位网络边界 SJW74A 安全网关XX 个分支机构出口处 移动用户端 License（配套 USB KEY）XX 个分支机构网络 ADSL 拨号的 PC 上（做 “共享上网代理” ）或远程移动终端 上 4.2.选型产品简介选型产品简介 4.2.1.IPSec/SSL 二合一二合一 SJW74 系列安全网关功能一览表系列安全网关功能一览表 4.2.2.4.2.2. 安全客户端安全客户端软件软件 4.2.3.4.2.3. ADTADT 安全网管平台安全网管平台 4.2.3.1.4.2.3.1.安全网关单机配置软件（安全网关单机配置软件（SureConsoleSureConsole） 4.2.3.2.4.2.3.2.安全网管服务器（安全网管服务器（SureManagerSureManager ServerServer） 4.2.3.3.4.2.3.3.数字证书服务器数字证书服务器(SureCA(SureCA Server)Server) 26 5.5. 售后服务售后服务 上海安达通信息安全技术有限公司(供货商)对销售的安达通 VPN 产品提供 叁 年免费保修 期，终身保修。用户遇到产品问题时， 联系对象：上海安达通信息安全技术有限公司产品售后服务中心 电话支持：4008801233 技术支持值班热线：13341743079； 传真支持：021-68750782； Email 支持；techadtsec.com 现场支持：遇到突发事件和重大技术问题时提供该服务 ADT 公司全国范围内强大的 ACNE（安达通认证工程师）支持体系为客户在设备生命周期内提 供以下服务： 5.1.5.1.售后服务承诺售后服务承诺 安达通公司对本项目产品提供 叁 年的免费保修期（或简称为：保修期） ，产品的保修期自 设备发到用户现场之日起计算。免费保修期内提供故障产品免费维修服务和7x24小时技术支 持服务。 我公司客服中心设有技术支持热线（见本章上方技术支持电话） ，为用户提供7x24的技术咨询 服务； 设备故障报修的响应时间：周一至周五8：3018:00期间为2小时。若电话或远程网络支持无 法解决，在和用户协商一致后，可在 48 小时内到达用户现场进行支持。 如果产品故障在检修后仍无法排除，我公司保证在设备维修期间提供故障产品的替代产品供 需方替换使用，直至故障产品修复； 保修期内，应用户要求，我公司每个季度可免费为用户进行免费产品检测一次，为用户的维 护、管理和升级工作提供理由充分的参考依据； 保修期内，我公司负责对其提供的产品整套进行维修或升级。 27 5.2.5.2.免费保修期内售后服务内容免费保修期内售后服务内容 5.2.1. 免费返厂维修服务免费返厂维修服务 1 当 VPN 设备出现硬软件故障时，厂商对有故障