VPN網(wǎng)絡(luò)建設(shè)需求解決方案
XXXXXX由于業(yè)務(wù)發(fā)展需要,擬建立跨省范圍內(nèi)的VPN業(yè)務(wù)專網(wǎng)����。VPN網(wǎng)絡(luò)建立在互聯(lián)網(wǎng)之上,使XXXXXX總部和各個分支機構(gòu)的用戶根據(jù)不同業(yè)務(wù)需要可靈活接入到VPN內(nèi)部專網(wǎng)����,所有用戶依靠該網(wǎng)絡(luò)還可按策略訪問互聯(lián)網(wǎng)。該方案的目的為實現(xiàn)每個分公司的局域網(wǎng)到總部局域網(wǎng)的互通和每個分公司的局域網(wǎng)互通
VPN的應用方案
內(nèi)部專網(wǎng)采用安全成熟的 IPsec VPN技術(shù)來建立VPN網(wǎng)絡(luò)���,VPN采用公司內(nèi)聯(lián)網(wǎng)的方案
VPN網(wǎng)絡(luò)方案建議
根據(jù)XXXXXX的多層接入����,并按需分配權(quán)限的特點��,我們建議網(wǎng)絡(luò)方案如下:
l 系統(tǒng)組成
根據(jù)需求�,具有IPsec VPN和防火墻功能的千兆安全網(wǎng)關(guān)架設(shè)在XXXXXX總部,連接到互聯(lián)網(wǎng)�����,提供VPN 主站點服務(wù)�����,允許各分支撥入。
分支機構(gòu)選用千兆安全網(wǎng)關(guān)接入互聯(lián)網(wǎng)����,與總部建立IPsec VPN通道,根據(jù)權(quán)限訪問專網(wǎng)資源����。
l 集團中心VPN方案
做為XXXXXX總部���,選用百兆安全網(wǎng)關(guān)做為出口���,出口通過運營商接入互聯(lián)網(wǎng),支持來自互聯(lián)網(wǎng)的VPN撥入��。安全網(wǎng)關(guān)提供VPN和防火墻功能��,可靈活控制內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)及VPN訪問���。建立動態(tài)域名(DDNS)服務(wù)器�����,直接連接到安全網(wǎng)關(guān)設(shè)備上���。
l 各遠程接入用戶連接VPN方案
分支機構(gòu)采用ADSL撥入接入互聯(lián)網(wǎng)���,安全網(wǎng)關(guān)使用動態(tài)IP地址,所有用戶通過千兆安全網(wǎng)關(guān)接入互聯(lián)網(wǎng)�����,利用安全網(wǎng)關(guān)防火墻功能控制互聯(lián)網(wǎng)訪問權(quán)限����,并通過安全網(wǎng)關(guān)與集團總部或其他地區(qū)建立VPN,訪問專用資源���。
IPsec VPN 是建立一條雙方信任的數(shù)據(jù)加密通道�����,通信的雙方必須知道對端的IP信息�,分支機構(gòu)使用安全網(wǎng)關(guān)可以在總部IP固定的情況下��,單項建立VPN連接請求��,總部安全網(wǎng)關(guān)接收到該請求后得到分支VPN撥入設(shè)備的IP信息�����,從而建立雙向的完整VPN通道。
VPN設(shè)備之間或者VPN設(shè)備與客戶端設(shè)備之間在建立隧道的時候支持明密結(jié)合的隧道方式����,也就是說:設(shè)在不同地理位置的分公司與總公司職員通過VPN設(shè)備可以象在同一局域網(wǎng)內(nèi)部進行相互訪問,資源共享����,方便用戶使用��,經(jīng)過VPN設(shè)備對穿越Internet的數(shù)據(jù)進行加密�����,保證數(shù)據(jù)的機密性���。同時總部和分部都可以通過VPN設(shè)備做NAT訪問Internet����,保證了日常辦公的正常進行����,從而建立起明密結(jié)合VPN隧道���,安全、便捷的進行網(wǎng)絡(luò)應用和辦公自動化的順利��、安全進行����。
VPN是和防火墻集成在一起,因此在VPN建立隧道以后可以通過防火墻對建立VPN隧道雙方進行訪問控制���,可以根據(jù)VPN訪問的源和目的地址�、源和目的的端口�、IP協(xié)議號、VLAN信息等進行控制��,保證了VPN互連以后企業(yè)網(wǎng)絡(luò)的安全性��。
l 安全網(wǎng)關(guān)設(shè)備管理
所有安全網(wǎng)關(guān)設(shè)備采用集中管理的方式����,總部安裝集中管理軟件后通過與安全網(wǎng)關(guān)設(shè)備唯一匹配的密鑰驗證來與設(shè)備通信,實現(xiàn)遠程集中管理����。管理中心可以授權(quán)新增�、更改�、刪除安全網(wǎng)關(guān)的包括路由、策略等所有配置����。
VPN的優(yōu)點
VPN是計算機網(wǎng)絡(luò)的新技術(shù),它將使Internet成為一種商業(yè)工具���,并為Internet和Extranet的應用帶來良好的前景��。VPN技術(shù)的主要目標是節(jié)省企業(yè)的通信費用��,特別是替代企業(yè)已有的專線��,并且提高企業(yè)網(wǎng)絡(luò)的可管理性,降低企業(yè)的通信成本�。具體而言,VPN具有以下顯著的優(yōu)點:
1��、降低成本
當使用Internet時����,實際上只需要付短途電話費,卻收到了長途通信的效果���。因此���,借助ISP來建立VPN�����,就可以節(jié)省大量的通信費�����,此外�����,VPN還可以使企業(yè)不必投入大量的人力和物力去安裝和維護WAN設(shè)備和遠程訪問設(shè)備�����。
2��、容易擴展
支持多種隧道實現(xiàn)方式����,并且網(wǎng)絡(luò)是動態(tài)的,可以隨時增減用戶���,便于集中控制訪問權(quán)限��。如果企業(yè)想擴大VPN的容量和覆蓋范圍����,企業(yè)做的事情很少���,而且能立時實現(xiàn)����;企業(yè)只需與新的ISP簽約�����,建立帳戶���;或者與原有的ISP重簽合約,擴大服務(wù)范圍����。在遠程辦公室增加VPN能力也很簡單:幾條命令就可以使Extranet路由器具有Internet和VPN能力,路由器還能對工作站自動進行配置。
3����、可隨意與合作伙伴聯(lián)網(wǎng)
在過去企業(yè)如想與合作伙伴聯(lián)網(wǎng),雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建自助用線路或幀中繼線路�����,有了VPN以后�����,這種協(xié)商毫無必要�,真正達到了要連就連、要斷就斷�����。
4��、完全控制主動權(quán)
VPN使企業(yè)可以使用NSP的設(shè)施和服務(wù)���,同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)�����。比方說����,企業(yè)可以把撥號訪問交給NSP去做,由自己負責用戶的查驗�、訪問權(quán)、網(wǎng)絡(luò)地址����、安全性和網(wǎng)絡(luò)變化管理等重要工作。
5��、便于兼容
傳統(tǒng)的遠程撥號網(wǎng)絡(luò)服務(wù)只支持注冊的IP地址����,限定了用戶企業(yè)網(wǎng)絡(luò)的訪問。而VPN的實現(xiàn)支持多種網(wǎng)絡(luò)層協(xié)議和沒有注冊的專用IP地址����,很好的解決了Internet公網(wǎng)與專網(wǎng)的兼容性問題。
安全網(wǎng)關(guān)自身包含了防火墻模塊���,對包括DDoS等各類網(wǎng)絡(luò)攻擊有非常強有力的防范抵御功能����。集中管理器與安全網(wǎng)關(guān)通信也是cast128位加密通信�,保障管理的安全性。
l 安全網(wǎng)關(guān)穩(wěn)定可靠
千兆安全網(wǎng)關(guān)選用NP架構(gòu)平臺�����,精簡硬件架構(gòu)���,平均無故障時間超過40000小時���,千兆安全網(wǎng)關(guān)具有4個對稱設(shè)計的接口并集成了一個6個端口的交換機可滿足日后網(wǎng)絡(luò)擴展的需要。
l 功能實現(xiàn)
遠程接入點采用專線或ADSL撥號接入�,有固定IP地址或浮動IP地址。
遠程接入點可以與在平臺內(nèi)的����,具有接入功能的所有VPN網(wǎng)關(guān)建立連接,而且平臺實現(xiàn)單點接入����,全網(wǎng)訪問。
異地機構(gòu)采用浮動IP地址�,可以直接進行數(shù)據(jù)交換,并能及時更新VPN路由表�����。
中心采用固定IP地址,所有異地機構(gòu)采用浮動IP地址����,異地機構(gòu)之間的數(shù)據(jù)交換通過在總部注冊動態(tài)地址,異地安全網(wǎng)關(guān)設(shè)備間通過動態(tài)域名方式建立VPN連接數(shù)據(jù)交換可以不通過中心���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運維平臺建設(shè)����、動漫設(shè)計�、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�����、“制度流程”�、“技術(shù)產(chǎn)品”三個視角提供全面����、可信的方案����,業(yè)務(wù)涵蓋咨詢�、評估、規(guī)劃����、管控、建設(shè)���、培訓等�����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
