XX单位VPN网络安全互连解决方案-单线路接入new2.doc
《XX单位VPN网络安全互连解决方案-单线路接入new2.doc》由会员分享,可在线阅读,更多相关《XX单位VPN网络安全互连解决方案-单线路接入new2.doc(40页珍藏版)》请在三一文库上搜索。
1、XXXX 单位单位 VPNVPN 网络安全互连网络安全互连 解决方案解决方案 上海安达通信息安全技术有限公司上海安达通信息安全技术有限公司 http:/ 1 目目录录 1.1.网络现状和用户需求网络现状和用户需求 .3 1.1.网络现状.3 1.2.现有组网方式的问题.3 1.3.用户需求.4 2.2.VPNVPN 网络设计原则网络设计原则 6 3.3.系统设计系统设计 .7 3.1.VPN 系统部署7 3.1.1.总部网络 VPN 系统部署.7 3.1.2.分支机构 VPN 系统部署.8 3.1.3.移动办公网点 VPN 系统部署.9 3.1.4.全网 VPN 系统部署示意图.9 3.2.功
2、能分析.12 3.3.性能分析.13 3.4.VOIP 和视频会议增值解决方案13 3.5.安达通 VPN 全网网络管理方案.15 3.5.1.安全网管平台.15 3.5.2.数字证书平台.15 3.6.ADT 内网安全解决方案17 3.6.1.可信专用网络系统部署.17 3.6.2.可信专用网络优势.19 4.4.设备选型和选型产品简介设备选型和选型产品简介 .21 4.1.选型原则和设备选型.21 4.2.选型产品简介.21 4.2.1.SJW74 系列安全网关21 4.2.2.安全客户端软件.26 4.2.3.ADT 安全网管平台28 4.3.ADT 安全网关功能优势33 5.5.售后服
3、务售后服务 .37 2 5.1.售后服务承诺.37 5.2.免费保修期内售后服务内容.38 5.2.1.免费返厂维修服务.38 5.2.2.免费咨询服务.38 5.2.3.免费补丁通知及推荐.38 5.2.4.免费软件升级服务.38 5.2.5.免费产品常规检测服务.38 5.2.6.备件替换服务.39 5.3.免费保修期后售后服务内容.39 5.3.1.软件升级服务.39 5.3.2.以旧换新服务.39 5.3.3.返厂维修服务.40 5.3.4.备件替换服务.40 5.3.5.备机租赁服务.40 5.4.售后服务方式.41 5.4.1.热线服务.41 5.4.2.网络远程服务.41 5.4
4、.3.现场服务.41 5.4.4.其他服务.41 6.6.用户培训用户培训 .42 7.7.附件附件公司简介及成功客户公司简介及成功客户 .44 7.1.公司简介.44 7.2.安达通公司分支机构情况.45 7.3.安达通公司和 VPN 产品资质及荣誉.49 7.4.安达通公司部分 VPN 成功案例名单.51 3 1.1. 网络现状和用户需求网络现状和用户需求 1.1.1.1.网络现状网络现状 XX 单位信息中心(以下简称:总部)出口带宽为?Mbps 。XX 单位局域网通过单一的防火墙 (Firewall)接入互联网,对本地局域网进行保护,对需要提供给分支机构和移动用户使用的应用 系统(如:O
5、A 服务器)通过 Firewal 直接映射到互联网上。 XX 单位所属单位 XX 个,各单位目前内网 PC 数量 3-6 台,通过普通 ADSL 方式连入互联网 。还 有一些移动用户通过本地的宽带网络接入 Internet,在没有什么安全防护措施(如:本地没有部署 Firewall,和总部的通讯也是明文传输等)的情况下,直接与总部的应用服务器进行通信。 其典型结构如下图所示: XX单位现有的网络概况单位现有的网络概况 1.2.1.2.现有组网方式的现有组网方式的问题问题 1)安全没有保障安全没有保障 如上图示意,在现有的方式下,XX 单位远程移动用户和分支机构通过因特网与总部联系(例 4 如:
6、使用 OA 软件、E-mail、Ftp 等),由于这种联系方式都是通过公网进行明文传输,毫无保密性 可言,商业机密数据有可能被黑客或竞争对手截获,引起巨大的业务损失。 另外,总部的应用软件服务器通过 firewall 映射或直接暴露在互联网上,黑客可以利用简单的 攻击工具对总部的应用服务器发起 Dos 和 DDos 攻击,使其无法正常使用。 2)无法运行内部管理软件)无法运行内部管理软件 因为总部内网和分支机构的局域网之间不能安全互通,一些内部的应用软件系统不能基于互 联网运行,无法实施 OA、公文流转、联网财务软件等,已经不能满足用户单位的目前发展需求了。 3)增值服务无法实施)增值服务无法
7、实施 诸如视频电视、电话会议、IP 电话之类的增值服务在这个网络上很难开展甚至无法开展。 4)网络管理混乱)网络管理混乱 随着规模的扩大和分支机构的增多,各分支局域网的管理人员素质参差不齐,分别按照各 自的习惯进行局域网建设,没有统一的标准进行有效管理和规划,为各分支机构的互连互通和 内部应用信息化普及带来了很大的障碍。 1.3.1.3.用户需求用户需求 XX 单位 VPN 联网系统总体建设目标是:建立网络互联、信息共享、安全可靠的远程接入 VPN 网络。在完成了本项目的 VPN 网络建设后,将为 XX 单位和其分支机构实施各种网络应用系统提供 统一、安全、高速、可靠的网络传输平台,具体能够实
8、现以下目标: 1 1)异地网络互连互通)异地网络互连互通 能够实现总部和外地分支机构、移动用户间,通过互联网安全可靠互连,各地机构可通过 VPN 网络顺利访问总部的各个应用软件系统,就象在局域网内使用这些应用软件系统一样。 2 2)对各种应用系统透明)对各种应用系统透明 能够根据用户的需要有选择地对需要的应用系统数据进行加密,不需要加密的数据和普通 Internet 接入业务(如:访问 163、sina 等)不受到影响。而且目前各种网络应用均能够在 VPN 专网上使用,不需要改变用户的使用习惯。 3 3)高安全性)高安全性 通过构建的 VPN 网络,能够解决单位内部信息系统数据传输的安全性:保
9、密性、完整性和不可 抵赖性。安达通的 VPN 网关采用通过国家密码管理局认证的加密算法或者国际标准加密算法进行 密钥通信和加密封装,能够保证您的业务系统安全和可靠的运行而不会被外部人员恶意窃取和窜 改。 5 VPN 安全网关可以对访问者资源和权限进行分类,普通业务只有访问特定服务器的特定权限 (例如只能查看财务资源) ,不能实行其他任何操作,避免了从业务单位外部发生的恶意入侵和攻 击的发生;而高级用户才能对总部内网进行敏感业务的操作。 VPN 安全网关可对本地局域网实施边界防护。VPN 安全网关融合了防火墙、VPN、入侵检测微引 擎,可对外来及内部攻击进行主动防御,更能保证整个网络平台的安全及
10、每个局域网内部的安全。 我公司 VPN 安全网关其内置防火墙其抗攻击能力优异。 4 4)高可靠性)高可靠性 我公司 VPN 系统性能稳定可靠,其高达 40000 小时的平均无故障工作时间可为系统长期稳定运 行提供强有力的保证。并可通过双机热备、多线路负载均衡系统实现中心节点的网络不间断运行。 5 5)高性能)高性能 此次网络建设根据用户需求和网络带宽,所选用的设备具有较高的加密速率,不仅能满足当 前用户数量下的需求,也为将来的扩展留有充分空间。不会因为 VPN 设备的部署影响上网的速度, 并且应当满足应用软件运行的带宽需求。 6 6)高性价比)高性价比 VPN 系统价格便宜,而且基于普通宽带线
11、路,接入费用低廉,所以本方案具有极高的性能价 格比和投资回报率。 7 7)易于扩展)易于扩展 系统 VPN 网络的扩展非常容易,同时又不会带来安全隐患。如:需要增加客户数量,只需升级 设备 license,而无需另购设备。本项目实施后不但解决了很高的信息数据传输安全性,而且不会 影响网络传输性能。本方案不仅满足今天的需求,而且支持未来扩展。 6 2.2. VPNVPN 网络设计原则网络设计原则 对本次的 VPN 网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实 用性、可靠性、安全型、先进性、扩展性、易管理性、兼容性”建设系统。具体的我们遵循了以 下原则: 安全性原则安全性原
12、则 我公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入和信息的泄露,保护关键 的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。 可靠性原则可靠性原则 这套网络安全系统是用户众多,大量移动用户依赖它在获取重要信息。它的稳定可靠关系重 大,信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作,将给用户带来不便和不可 低估的损失。因此可靠性是平台运行的首要保证。 我公司将采用相应的手段保证系统、网络和数据的稳定可靠性和不间断运行。 先进性原则先进性原则 在系统建设方案,具有相当的先进性,并能够通过对 VPN 设备和软件的不断升级,确保系统的 技术领先性和持续发展性。 实用性原则实
13、用性原则 系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最 先进的技术,使系统完成后,保持一定时期的领先地位。 实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。 可扩展性原则可扩展性原则 系统建设应该是统一规划、分步实施、逐步完善的过程。我公司在该方案的设计中充分考虑 它的可扩展性,使系统能够方便的扩展。 易管理性原则易管理性原则 网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性, 为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。 兼容性原则兼容性原则 VPN 系统是网络层安全
14、设备,对各种网络应用透明;我公司的 VPN 安全网关遵循标准的 SSL、Ipsec 和 IKE 协议,在网络层对 IP 数据包进行加密,对网络中的数据流做基于五元组的访问 7 控制,因此,对于应用系统是完全透明的。同时依靠我公司强大的研发能力,能够为用户提供特 殊的定制性需求。 Comment k1: 示例中采用“单臂连 接”方式部署 VPN。如果不采用此方 式部署,本节方案需要修改。 8 3.3. 系统设计系统设计 3.1.3.1.VPNVPN 系统部署系统部署 XX 单位当前采用 1 条 XX Mbps 宽带线路连接到互联网。如图部署 1 台 SJW74C 型安全网关。 分支机构和移动用户
15、均通过互联网远程接入总部内网,通过建立的 VPN 加密隧道,安全访问总部 网内的各应用系统(包括 B/S 和 C/S 的应用) ,如:OA 等。 3.1.1.3.1.1. 总部网络总部网络 VPNVPN 系统部署系统部署 XX 单位如下部署 VPN 安全网关分为下面两种情况:1)用户单位原来没有部署 Firewall;2)用 户单位原来已经部署了 Firewall。 1 1)用户单位)用户单位原来没有部署原来没有部署 Firewall S SJ JW W7 74 4C C 安安全全网网关关 总部中心节点 在这种情况下,用户完全没有必要再部署 Firewall,可以如上图部署 ADT 安全网关
16、SJW74C 。安达通安全网关是集“VPN、防火墙、IDS 微引擎”于一体的网络边界安全防护和安全接入设备, 它有效地实现了“主/被动安全防御”的完美结合。其特别强大的 VPN 功能和高安全性、高性价比 的多功能集成,是当今网络安全技术发展的主流方向。 SJW74C 型安全网关是安达通 IPSec 和 SSL 合一的最新 VPN 成果,移动用户只需要使用 IE 等主流互联网浏览器,通过“帐户+口令”或 USB KEY 等认证方式,即可和网关建立 VPN 隧道(使 用 SSL+IPSec 方式) ,接入内网,进而为各种 IP 应用提供透明传输平台。同时,SJW74C 网关也 支持传统的使用“安全
17、客户端”软件(即:IPSec 客户端)和网关建立 VPN 隧道。 2)用户单位原来已经部署了)用户单位原来已经部署了 Firewall 9 S SJ JW W7 74 4C C 安安全全网网关关 总部中心节点 以“单臂连接”方式部署 XX 单位已经部署了 Firewall 系统,那么我们采用安达通独特的“单臂连接单臂连接”技术来部署 VPN 安全网关,如上图所示。只要将 SJW74C 安全网关的 WAN 口接到用户内网的交换机上即可。 传统 VPN 设备在部署时,遇到与防火墙、路由器配合使用时,通常采用“串联” (即:接在 防火墙/路由器与内网交换机之间)或“并联”方式(即:与防火墙或路由器并
18、列部署)接入原有 网络。 “串连”方式增加单点故障,并容易造成性能上的瓶颈;“并联”方式需要多个公网 IP 地址, 并在客观上造成多个公网出口,带来安全隐患。针对这两种传统的 VPN 设备部署方式,安达通 VPN 安全网关则可采用一种非同寻常的部署方式:“单臂连接” 。采用此种部署模式,能够在对用 户环境最小改动的前提下部署 VPN,极大提高了 VPN 设备对网络环境的适应能力。 所谓“单臂连接”指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安 全网关设备当作一台服务器或主机,专门处理 VPN 报文的加解密。从实现技术上而言,单臂连接 结合了上述串行连接和并行连接两者的特点,需
19、要在防火墙(路由器)上为安全网关做静态端口 映射(静态 NAPT) ,同时也需要在防火墙(路由器)上添加静态路由来解决要通过 VPN 的数据包 正确流向的问题。单臂连接方式能在对用户环境最小改动的前提下部署 VPN,大大增加了 VPN 设 备对网络环境的适应能力。采用采用“单臂连接单臂连接”技术部署安达通技术部署安达通 VPN 安全网关,不用改动用户原有安全网关,不用改动用户原有 的网络拓扑,实施过程对用户无任何影响;而且没有在用户主干线路上串接设备,不会造成额外的网络拓扑,实施过程对用户无任何影响;而且没有在用户主干线路上串接设备,不会造成额外 的单点故障,而降低线路可靠性;也不会影响主干网
20、络的性能。的单点故障,而降低线路可靠性;也不会影响主干网络的性能。 3.1.2.3.1.2. 分支机构分支机构 VPNVPN 系统部署系统部署 对于有一定规模局域网的分支机构,采用 SJW74A 安全网关部署在网络的边界,和总部的 VPN 安全网关建立 VPN 连接,同时充当防火墙保护本地局域网。ADT 各型号的安全网关功能相 10 同,只是性能不同,所以总部安全网关的各种功能,分支机构部署的安全网关同样具备,本处不 再赘述。如下图: ADSL 中型分支机构 S SJ JW W7 74 4A A安安全全网网关关 3.1.3.3.1.3. 移动办公网点移动办公网点 VPNVPN 系统部署系统部署
21、 对于一些小型的分支机构及移动用户,由于分支机构使用的 PC 数量不多(通常为 67 台) , 只需要在需要远程接入的 PC 上或代理上网的 PC 上(所谓“代理上网”指由该 PC 进行 ADSL 拨 号或用其他接入方式接入,局域网内的其他 PC 通过该机器运行的代理软件或 NAT 共享接入 internet) ,安装安达通安全客户端软件(使用 IPSec 协议)或采用 IE 浏览器(不用安装专门的 VPN 客户端软件,使用 SSL 协议) ,即可和总部的 VPN 安全网关建立安全连接。移动用户可以使 用“帐户+口令”作为身份认证方式接入;也可以和 SureID(安达通 USB KEY) 配套
22、使用,提高安 全性保证身份不可仿冒。如下图: 代理上网服务器 (安全客户端或IE浏览器) ADSL 小型分支机构 移动点用户 (安全客户端或IE浏览器) ADSL/CDMA 3.1.4.3.1.4.全网全网 VPNVPN 系统部署示意图和系统功能阐述系统部署示意图和系统功能阐述 VPN 部署示意图如下所示: 11 Internet SJW74C安安全全网网关关 (主主机机) CDMA/ADSL 服务器群 ADSL XX单位中心局域网 ADSL 移动用户 (IE浏览器) IPSec隧道 SSL隧道 拨号服务器 (IE浏览器) XX单位下属机构 XX单位下属机构 S SJ JW W7 74 4A
23、A XX单位分部 XX单位总部 SJW74C安安全全网网关关 ( (备备机机) ) 网络示意图(原来没有网络示意图(原来没有 FirewallFirewall) 12 Internet SJW74C安安全全网网关关 CDMA/ADSL 服务器群 ADSL XX单位中心局域网 XX单位下属机构 ADSL 移动用户 (IE浏览器) IPSec隧道 SSL隧道 拨号服务器 (IE浏览器) XX单位下属机构 S SJ JW W7 74 4A A XX单位总部 XX单位分部 SJW74C安安全全网网关关 ( (热热备备) ) 网络示意图(原来已经有网络示意图(原来已经有 FirewallFirewall
24、,并采用,并采用“单臂连接单臂连接”方式部署)方式部署) 在总部网络的边界处,部署 SJW74C 型安全网关,网关的 WAN 口接 internet 出口(没有 Firewall 时) ,LAN 口接内网核心交换机;或采用“单臂连接”方式来部署 VPN 安全网关(用户 已经有 Firewall 时) 。SJW74C 型安全网关是安达通 IPSec 和 SSL 合一的最新 VPN 成果,移动用 户只需要使用 IE 等主流互联网浏览器,通过“帐户+口令”或 USB KEY 等认证方式,即可和网关 建立 VPN 隧道(使用 SSL+IPSec 方式) ,接入内网,进而为各种 IP 应用提供透明传输平
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 单位 VPN 网络安全 互连 解决方案 线路 接入 new2
链接地址:https://www.31doc.com/p-5016177.html