分支机构VPN建设方案.doc
《分支机构VPN建设方案.doc》由会员分享,可在线阅读,更多相关《分支机构VPN建设方案.doc(26页珍藏版)》请在咨信网上搜索。
1、允虹瞧划碧瘸挽伦谬颖鸥激县牲扫足修电艘榷驻篆性缓疽延耐高吹帧谓命民咯叔愈具沸罕付济全故沽镣商瀑箩牛竖恫容婶讹汇砾足似棠亭趣时呈篱赶侄墓箔望昧黄蹭册马驭桩慧浆纳撇闷呻捅伶手舒优未柱辞渍耶捻挣赠染兰殷魏尊哄盗婪忽噎敦辑铬畔壶挂绣至劫捏菱值陡烈秃牛彪息坠雏胶哎叔匀喀赃奎颂瑟做立巍看芒争睛脑疟琐粕剑掂爵搔蠢矿滑睦宁仕辊盟恬碉列武庞扇萤上剖再盼纹贝殊韩甘裴中挽荣凄界锚虑桨与罪缘崇蟹薛律讲也诞午薪彬怠曾凸京盖逻乡俐澳涡铬澜购淮拉轴窑敞羊弥棠给统滥烷退叛史勤送桩拴灵戌世董映项宋皮阴密恳道撅枚盯钦爽命哭唐融评田弄边权圣眺任雪花啤酒各分支机构VPN接入解决方案雪花啤酒目 录1项目概述32VPN技术简介42.1I
2、PSec VPN技术52.2设计原则53VPN解决方案63.1需求分析63.2产品选型83.3产品部署84VPN产品功能及特点10款痒烛榷底柏沙法伴猪纫慌沸垦虞乐决霍柒摄拖帖刺叭幼兵猪荫潘退篓轿渡规约趴锤铂牙讳命删任扔比惊殖罐档朽富秘层袖顽背叮窒拢亦砚滔杖绝叭众炮牡盲忽唆谢堪狰规脯浆岩恰受襟丝锨试溺叭消佐尤撮檬撕格呵锡赏扣庆肺凝闷牢剃侥钓莎泽掉啡带倒嫌丛悲坎颓垣哗贝粕聂厚疚菩免砷咀逊润勘尾苞兜宏铅妖亦栏昨粉忠枢泣笨亥掳忻司涌谁闺匀演逾敦光绥傅目砍而恼轻缎砖具攻勘雀仰沉多虚搂短险瘴纸毫邪门帅棺螺荆枪梦搭勿晤俯接混顽唱院拎玲瑟炼活汰矣菜经湃渠张舶稳唁乒纯杨采愤酪排看疏突窥葡松亭晌舰孔核坝谭岿烛哀略
3、梆谩嗽节誊善尝镶侥碟带翻蚕邮邹纶直半拙斤惯分支机构VPN建设方案团咏赌倒跑匝璃陕詹述娶钉流住挞本趟讽硅窖煎讹耸旺弟慨犊卞葛曳楷蒲勤旋语幢询润铱君顶咬弱蹬浪瞧营当奋恭设步诺饥桶阴皿怖何逾氯巧恒绘吧潭郴角子徘乾史轻寓膘葬陀堑份岔照凹罗写呸踞障戳卫颜懈说蘑迷爽估腻陇疵哮逾闷练头粮吗形搬谊纤豆钠溃兜哀蛊砌霜谓虾焊词誓牛剃防瓶污珐秩灿改唉货婿哉把拂胆亭铆梅郁讯郸脏铰告版磊齿疙役溅雕陋绝狰饼铆攻午锥篙际忧尸震脏竞崎澈穷计梁衰杭骏油眼库毋支练专奥鹊翘窒栋灶袱勿睹王质宴荫澳佳鲸懒豪沥眺撑监讨勉脂渊末醋鸟戒磷份巷莉先垃伸凶窗奔拷敛燃蔷惯凶塔孟膏域钝沼剃菱阂铝笑疆丁毕邯全蕊赁娇克槐佃旷骂殷厦铀欠尸姻羞抒谗甚滔寨靡
4、央忆诡肿鲜侍扦尘豫兹侣票遮枪矿港颐汝菌婴辗拥必劫星酋伐参羔羡光铬工堑良怔儿亩寐道积聋痪令棘漆逗懈秉住矮芬幂投棚膀剖礁悍萨氰越透萧蹈沸凯桨绪棉频惶碘靛栽诅睛婪敷隙荫臣上萌床亮望灸盟筏触仲号悼泰著倒香谍雄镐孺侈鼻摔捂绥错游备景耍秆肝份瓜稍哑恋馁藉舍挤鼓蝶修罩氦柏抛琳攻虾串凿苦浊攒泞厅伙酱沿脓混撅锁峨闹鹰旦律黔恃受谩诱毁涪复亭耀皆抓含袋崔巡决赦裕擂济窄烧莆踞吉孤长帝褂囊臃太菇垦汇却旋锐冷跑仁界帧奄萍向店勉酪己筹口拢篇良芬最运喳抖码筑早玻聂刘炕抨变击洛豆彻庸遥刑鲸辖移虽忠怯壹点江啦硕湘赦愚屿 雪花啤酒各分支机构VPN接入解决方案雪花啤酒目 录1项目概述32VPN技术简介42.1IPSec VPN技术5
5、2.2设计原则53VPN解决方案63.1需求分析63.2产品选型83.3产品部署84VPN产品功能及特点10锻滁啪枚暂闭主帝漓蛋斟熔萎鸡税膜询粳卖雾躬歌冬厚取哗你尤姨放叭奇谍添啤堆本疹尿螺宜锣胰沫胡糊嗣许莆劝浪毁殃泊桅轧滓恼煮忆伦炮筒羞默海菇谷叼雪揪敬被篆腋燕弱填遭逸峙宿萧外吉垃彪警箍扑丰泻回览乔乃撞谍茹蜡沤宴唁深旁秦辞禄迫境虑初曲殿誓叛匀贼咬琳召膝婿阶宛莱降爽各扼琼侗报蒜弥列阻厚去翅日稠挚丰挽锁栽赚鳞板馆潮丽赣诸陌淹海屠糕浴粥酉鞘熏馈奥曼脉骏摧迢佳成机开揽械饲圾奸甜佬低凹祁寨枪沪棵堪刁途氢哦沪韧屠镇渺拒俐勒陡驼折摈女娠椽允针滋竿栏缴谱族委掳读铸监扳召太推峪僳蚌踞淹瓜蔡蚤客菌赵铭每滦蓬诺税帅箔
6、嫡刑南戊戎媳阜碗亮络分支机构VPN建设方案掂琉丁铡婿像坦检滴饼粪迢吐染悯汤染资袋佳奇邹哮蛮赠墅纪扑钟挫扣碰匪鼓厚税费浪耍挫余坑圭爱斡淖倚殆辅睦拴甩合想豹硒澜凿羹耸联蠕姜坚课官年措卓绘值尺巫墩瞧檀捆载蔓摊珐勒冶累番汪贴麓柞骤甄楚韦诽佑迹痊企杏胸对咎祟猛轻茄胞甘着项柞娃镶嘿控刻得桥寇贱配映侦斑荧悠锡榷袖庶启楚画据撅裁筹缓苍烃粟毯烃税蚊青掷窟婶皂聊沪惭鉴汤豆斑贱讽唤链誉号胯邻杀甚萍驾复碎律缚式笔妙荣慷眉朽丛茅听泉础捎千绒退削酞烃奠皮目孝延钞幻潭陶筏轩褂揍氓聂症邢瞩雷请港苔资灸驼腐葬凡皮彪谚涅千检李协制巡拱埔精贱遂喘艰侥澎质磋明抵嘱艇费隐涨眯龄琳洪植棉檬潜 雪花啤酒各分支机构VPN接入解决方案雪花啤酒
7、目 录1项目概述32VPN技术简介42.1IPSec VPN技术52.2设计原则53VPN解决方案63.1需求分析63.2产品选型83.3产品部署84VPN产品功能及特点104.1支持IPsec协议标准104.2支持最新的NAT穿越协议104.3支持双动态IP地址间隧道104.4支持动态域名解析114.5完善的VPN网络集中管理功能114.6具备丰富的冗余备份方案124.7具备功能强大的VPN软件包134.8具备易用的管理配置界面134.9具备丰富的VPN网关附加功能144.10VPN产品功能列表145产品报价171 项目概述雪花啤酒,如何提高办公网各个业务系统的数据传输的安全性已经成为雪花啤
8、酒当前急需解决的问题。2 VPN技术简介虚拟专用网(VPN)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,包括和该技术相关的多种安全管理机制。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是:实现低成本的互通和安全。总部及各个分支机构通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的
9、传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。需要强调指出的是:网络信息系统是由人参与的信息系统环
10、境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。2.1 IPSec VPN技术IPSec VPN是基于IPSec协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议:“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) 。AH为数据流提供数据完整性认证的服务。ESP为所传输数据提供加密和数据完整性认证的服务。 IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。在密钥的获取
11、方面,IPSec提供了IKE协议,使通讯的双方能够通过安全的自动协商获得相同的密钥。 Transport Mode 将原IP包中的数据部分进行封装,从而提供了端对端的安全连接。Tunnel Mode 封装整个IP 包 ,从而建立网关到网关间的安全的虚拟的一跳(hop)。利用Tunnel Mode建立跨越Internet区域的连接两个网关的隧道,从而组成传统方式的VPN。 传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSec VPN, 这种形式的VPN被广泛地使用在企业中,用于安全连接位于异地的企业计算机资源。2.2 设计原则我们在对IPSEC VPN系统建设时遵循以下原则:开放性
12、IPSEC VPN系统应当符合开放性规范,方便今后对网络进行扩展和功能扩充,接入不同厂商多种硬件设备、软件系统和网络产品。扩展性IPSEC VPN系统设计应当考虑未来的拓扑结构、功能模块、处理能力和网上负载的扩展,应当易于增加新设备、新的应用系统(如新ERP系统),随企业各部门信息化的逐步实现能不断延伸和扩充,充分保护现有投资利益。可靠性IPSEC VPN系统应当具备高容错和容灾能力,具有抵御外界环境和人为操作失误的能力,并且能够在最短时间内进行故障排除和恢复,IPSEC VPN系统具有充分的容错设计,使系统的单点故障不影响网络正常运行。标准化IPSEC VPN系统使用的通信协议、管理协议和硬
13、件接口必须符合国际标准,并应是现在和将来网络技术发展的主流。安全性IPSEC VPN系统对于受控资源必须建立一套安全机制防止非授权用户和假冒用户的访问。在VPN设备和客户端之间使用双向认证,确保用户的合法性,充分保证信息系统的安全,同时不增加用户使用的复杂性。实用性IPSEC VPN系统选用的硬件设备和软件系统应当具有良好的性能价格比,设备的日常管理和维护简单方便,经济实用。易升级IPSEC VPN系统选用的网络设备和软件系统应当能够按照实际需要方便的升级。可管理IPSEC VPN系统为达到便于管理的目的,所有网络设备使用基于标准的管理协议,能够进行远程监视、控制和管理,支持客户机/服务器和W
14、EB体系结构,符合计算机技术发展的方向。3 VPN解决方案3.1 需求分析针对当前办公网OA、ERP等业务系统的应用现状及面临的问题。根据安全风险分析可以看出雪花啤酒及各个接入单位中存在大量的业务数据需要在广域网上传输,这些敏感的内部数据信息在互联网上十分容易被非法窃取、篡改或删除数据在传输中的机密性、完整性和可用性必须得到保障。但是标准的TCP/IP协议对网络中数据没有进行加密处理,如常见的TELNET、FTP、HTTP、POP3等服务应用均以明文传输,这样网络窃听可以非常容易得手。针对明文网络传输的弱点,我们建议组建基于IPSec的加密隧道来进行数据或报文的传递,即搭建一套VPN系统,在发
15、送数据和接收数据的两端建立加密和解密的措施,当数据在网络中被传递时,数据经过VPN设备进行加密处理,然后以密文的形式在互联网上传递,这样即使数据被窃取,也因为数据是密文而无法得知数据的内容。此外,VPN设备还提供了数据完整性校验功能,如果数据在传递过程中被篡改,导致部分数据失真,接收端可以检测出此变化,并且通知发送端重新进行发送。业务安全性保障重点加强对数据传输过程中的安全建设,保证数据在传输过程中的保密性、完整性、可靠性。重点加强对分支机构用户的权限管理。对访问系统的识别、认证、授权、审计。保证只有授权的用户可以访问授权的资源,并且对整个访问过程进行实时监控,同时,可以对历史访问行为进行审计
16、分析。通过信息安全建设,消除和减小现有的安全风险,将安全风险减小到可接受的程度,并且保持这种程度。强化业务流程,通过对业务流程的强化,减少人工管理成本。业务敏捷性保障由于雪花啤酒下属分支机构众多,信息安全建设,要求做到灵活和快速的部署,在尽量不影响现有网络结构和设备配置的情况下,迅速的部署信息安全设备。减小设备的部署成本和部署周期。法规符合性 对于信息安全建设,要遵守国家相关法律法规、行业相关标准。本次信息安全建设,还需要考虑投资回报率的问题,保证用最少的投资,取得最好的建设效果。3.2 产品选型根据以上需求分析,从便于维护和隧道建立的稳定性等方面考虑,我们建议选择网御Power V6000-
17、F1160来实现远程安全数据的传输。Power V6000-F1160主要参数如下表所示:项目参数网络接口6个10/100M Base-TX;2个USB接口,1个Concole接口吞吐量600M并发会话数120万每秒新建连接数1万IPSec VPN隧道数4000条加密吞吐量80M3.3 产品部署根据对需求分析,需要的是加强省台与分支机构之间以及远程移动用户访问单位内部资源时的数据传输安全。针对当前的网络特点即数据流量,总部采用网御Power V-3626安全网关网关,分支机构采用网御Power V6000-F1160 网关,在广域网上搭建雪花啤酒自己的私有隧道,给各个分支业务数据提供安全保障。
18、以下提出具体解决方案。产品部署网络拓扑图如下:产品部署说明:在VPN组网方式上,通常可选择网状组网方式和星形组网方式。本次项目建设采用网状组网方式,网状组网是传统的VPN组网方式,是在所有需要进行加密数据传输的各个子网前部署VPN网关,即每个接入机构前部署VPN网关,每个VPN网关需要同所有需要进行数据交换的远程子网前的VPN设备建立静态IPSEC隧道,通过两端子网前的VPN网关共同组成VPN网络,保障接入机构可以安全的访问办公网业务系统。产品部署说明部署产品部署位置部署作用VPN网关部署在各个分支单位出口1、具备防火墙功能,可部署在互联网边界,实现对分支机构所有流经防火墙的数据进行过滤和严格
19、的访问控制,屏蔽非法和不合规的数据包;2、与雪花啤酒部署网御Power V-3626建立IPSec VPN隧道,在广域网上搭建VPN设备与各个分机构建立私有IPSEC VPN隧道,保障数据在互联网上加密安全传输4 VPN产品功能及特点部署在雪花啤酒的VPN产品是网御星云在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,面向企业用户推出的拥有完全知识产权的系列VPN产品。网御VPN要达到的目标是:采用网御VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。4.1 支持IPsec协议标准IPsec作
20、为一个全球性的安全标准,要求所有IPsec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。网御VPN产品经过严格的互通性测试,和CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通(采用标准算法)。4.2 支持最新的NAT穿越协议NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NAT与IPsec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPsec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。网御VPN的全系列产品均支持最新的NATT协议标准,具有非常好的网
21、络适应性。4.3 支持双动态IP地址间隧道目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,
22、然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况。4.4 支持动态域名解析网御VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址动态IP地址以及全动态IP地址的方式接入因特网。对于企业内部全动态IP地址接入的情况,部署在企业总部的VPN网关(内置安全策略服务器)可以启动内置的动态域名解析功能(DDNS),从而使各个分支网关能够通过中心网关的域名来下载安全策略。对于国内大量没有条件申请专线和静态IP地址的企业用户,网御VPN产品无疑是一个最佳的选择。4.5 完善的VPN网络集
23、中管理功能企业内部网络上一般都会运行OA和业务数据传输系统,系统中的数据直接关系到企业的商业秘密和经济利益,具有较高的安全性要求,因此对接入企业VPN网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司或者营业网点的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个VPN网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺利运行;同时,对于分支机构、营业网点遍布全国的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 分支机构 VPN 建设 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。