VPN網(wǎng)絡(luò)建設(shè)需求解決方案
XXXXXX由于業(yè)務(wù)發(fā)展需要,擬建立跨省范圍內(nèi)的VPN業(yè)務(wù)專網(wǎng)�。VPN網(wǎng)絡(luò)建立在互聯(lián)網(wǎng)之上,使XXXXXX總部和各個(gè)分支機(jī)構(gòu)的用戶根據(jù)不同業(yè)務(wù)需要可靈活接入到VPN內(nèi)部專網(wǎng)�,所有用戶依靠該網(wǎng)絡(luò)還可按策略訪問互聯(lián)網(wǎng)。該方案的目的為實(shí)現(xiàn)每個(gè)分公司的局域網(wǎng)到總部局域網(wǎng)的互通和每個(gè)分公司的局域網(wǎng)互通
VPN的應(yīng)用方案
內(nèi)部專網(wǎng)采用安全成熟的 IPsec VPN技術(shù)來建立VPN網(wǎng)絡(luò)���,VPN采用公司內(nèi)聯(lián)網(wǎng)的方案
VPN網(wǎng)絡(luò)方案建議
根據(jù)XXXXXX的多層接入���,并按需分配權(quán)限的特點(diǎn)�,我們建議網(wǎng)絡(luò)方案如下:
l 系統(tǒng)組成
根據(jù)需求���,具有IPsec VPN和防火墻功能的千兆安全網(wǎng)關(guān)架設(shè)在XXXXXX總部�,連接到互聯(lián)網(wǎng)���,提供VPN 主站點(diǎn)服務(wù)���,允許各分支撥入。
分支機(jī)構(gòu)選用千兆安全網(wǎng)關(guān)接入互聯(lián)網(wǎng)����,與總部建立IPsec VPN通道,根據(jù)權(quán)限訪問專網(wǎng)資源���。
l 集團(tuán)中心VPN方案
做為XXXXXX總部���,選用百兆安全網(wǎng)關(guān)做為出口,出口通過運(yùn)營商接入互聯(lián)網(wǎng)�,支持來自互聯(lián)網(wǎng)的VPN撥入���。安全網(wǎng)關(guān)提供VPN和防火墻功能,可靈活控制內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)及VPN訪問�。建立動態(tài)域名(DDNS)服務(wù)器,直接連接到安全網(wǎng)關(guān)設(shè)備上�����。
l 各遠(yuǎn)程接入用戶連接VPN方案
分支機(jī)構(gòu)采用ADSL撥入接入互聯(lián)網(wǎng)����,安全網(wǎng)關(guān)使用動態(tài)IP地址����,所有用戶通過千兆安全網(wǎng)關(guān)接入互聯(lián)網(wǎng),利用安全網(wǎng)關(guān)防火墻功能控制互聯(lián)網(wǎng)訪問權(quán)限���,并通過安全網(wǎng)關(guān)與集團(tuán)總部或其他地區(qū)建立VPN����,訪問專用資源�。
IPsec VPN 是建立一條雙方信任的數(shù)據(jù)加密通道,通信的雙方必須知道對端的IP信息�����,分支機(jī)構(gòu)使用安全網(wǎng)關(guān)可以在總部IP固定的情況下,單項(xiàng)建立VPN連接請求����,總部安全網(wǎng)關(guān)接收到該請求后得到分支VPN撥入設(shè)備的IP信息,從而建立雙向的完整VPN通道�。
VPN設(shè)備之間或者VPN設(shè)備與客戶端設(shè)備之間在建立隧道的時(shí)候支持明密結(jié)合的隧道方式,也就是說:設(shè)在不同地理位置的分公司與總公司職員通過VPN設(shè)備可以象在同一局域網(wǎng)內(nèi)部進(jìn)行相互訪問�,資源共享,方便用戶使用����,經(jīng)過VPN設(shè)備對穿越Internet的數(shù)據(jù)進(jìn)行加密,保證數(shù)據(jù)的機(jī)密性�����。同時(shí)總部和分部都可以通過VPN設(shè)備做NAT訪問Internet�����,保證了日常辦公的正常進(jìn)行�����,從而建立起明密結(jié)合VPN隧道,安全�����、便捷的進(jìn)行網(wǎng)絡(luò)應(yīng)用和辦公自動化的順利��、安全進(jìn)行���。
VPN是和防火墻集成在一起��,因此在VPN建立隧道以后可以通過防火墻對建立VPN隧道雙方進(jìn)行訪問控制,可以根據(jù)VPN訪問的源和目的地址�、源和目的的端口、IP協(xié)議號�����、VLAN信息等進(jìn)行控制���,保證了VPN互連以后企業(yè)網(wǎng)絡(luò)的安全性��。
l 安全網(wǎng)關(guān)設(shè)備管理
所有安全網(wǎng)關(guān)設(shè)備采用集中管理的方式���,總部安裝集中管理軟件后通過與安全網(wǎng)關(guān)設(shè)備唯一匹配的密鑰驗(yàn)證來與設(shè)備通信�����,實(shí)現(xiàn)遠(yuǎn)程集中管理����。管理中心可以授權(quán)新增����、更改、刪除安全網(wǎng)關(guān)的包括路由���、策略等所有配置�����。
VPN的優(yōu)點(diǎn)
VPN是計(jì)算機(jī)網(wǎng)絡(luò)的新技術(shù)��,它將使Internet成為一種商業(yè)工具����,并為Internet和Extranet的應(yīng)用帶來良好的前景��。VPN技術(shù)的主要目標(biāo)是節(jié)省企業(yè)的通信費(fèi)用���,特別是替代企業(yè)已有的專線����,并且提高企業(yè)網(wǎng)絡(luò)的可管理性,降低企業(yè)的通信成本����。具體而言,VPN具有以下顯著的優(yōu)點(diǎn):
1�、降低成本
當(dāng)使用Internet時(shí),實(shí)際上只需要付短途電話費(fèi)�,卻收到了長途通信的效果。因此�����,借助ISP來建立VPN��,就可以節(jié)省大量的通信費(fèi)����,此外����,VPN還可以使企業(yè)不必投入大量的人力和物力去安裝和維護(hù)WAN設(shè)備和遠(yuǎn)程訪問設(shè)備���。
2、容易擴(kuò)展
支持多種隧道實(shí)現(xiàn)方式�����,并且網(wǎng)絡(luò)是動態(tài)的���,可以隨時(shí)增減用戶�����,便于集中控制訪問權(quán)限���。如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍,企業(yè)做的事情很少�,而且能立時(shí)實(shí)現(xiàn);企業(yè)只需與新的ISP簽約���,建立帳戶��;或者與原有的ISP重簽合約�����,擴(kuò)大服務(wù)范圍�����。在遠(yuǎn)程辦公室增加VPN能力也很簡單:幾條命令就可以使Extranet路由器具有Internet和VPN能力����,路由器還能對工作站自動進(jìn)行配置。
3�����、可隨意與合作伙伴聯(lián)網(wǎng)
在過去企業(yè)如想與合作伙伴聯(lián)網(wǎng)�����,雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建自助用線路或幀中繼線路����,有了VPN以后��,這種協(xié)商毫無必要��,真正達(dá)到了要連就連、要斷就斷��。
4��、完全控制主動權(quán)
VPN使企業(yè)可以使用NSP的設(shè)施和服務(wù)�,同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說��,企業(yè)可以把撥號訪問交給NSP去做�����,由自己負(fù)責(zé)用戶的查驗(yàn)��、訪問權(quán)����、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作�����。
5���、便于兼容
傳統(tǒng)的遠(yuǎn)程撥號網(wǎng)絡(luò)服務(wù)只支持注冊的IP地址���,限定了用戶企業(yè)網(wǎng)絡(luò)的訪問���。而VPN的實(shí)現(xiàn)支持多種網(wǎng)絡(luò)層協(xié)議和沒有注冊的專用IP地址,很好的解決了Internet公網(wǎng)與專網(wǎng)的兼容性問題�。
安全網(wǎng)關(guān)自身包含了防火墻模塊,對包括DDoS等各類網(wǎng)絡(luò)攻擊有非常強(qiáng)有力的防范抵御功能�。集中管理器與安全網(wǎng)關(guān)通信也是cast128位加密通信,保障管理的安全性����。
l 安全網(wǎng)關(guān)穩(wěn)定可靠
千兆安全網(wǎng)關(guān)選用NP架構(gòu)平臺,精簡硬件架構(gòu)�,平均無故障時(shí)間超過40000小時(shí),千兆安全網(wǎng)關(guān)具有4個(gè)對稱設(shè)計(jì)的接口并集成了一個(gè)6個(gè)端口的交換機(jī)可滿足日后網(wǎng)絡(luò)擴(kuò)展的需要��。
l 功能實(shí)現(xiàn)
遠(yuǎn)程接入點(diǎn)采用專線或ADSL撥號接入���,有固定IP地址或浮動IP地址�����。
遠(yuǎn)程接入點(diǎn)可以與在平臺內(nèi)的�,具有接入功能的所有VPN網(wǎng)關(guān)建立連接����,而且平臺實(shí)現(xiàn)單點(diǎn)接入,全網(wǎng)訪問�����。
異地機(jī)構(gòu)采用浮動IP地址��,可以直接進(jìn)行數(shù)據(jù)交換�����,并能及時(shí)更新VPN路由表�。
中心采用固定IP地址,所有異地機(jī)構(gòu)采用浮動IP地址�����,異地機(jī)構(gòu)之間的數(shù)據(jù)交換通過在總部注冊動態(tài)地址���,異地安全網(wǎng)關(guān)設(shè)備間通過動態(tài)域名方式建立VPN連接數(shù)據(jù)交換可以不通過中心��。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺建設(shè)����、動漫設(shè)計(jì)����、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”���、“制度流程”����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢����、評估����、規(guī)劃�、管控����、建設(shè)、培訓(xùn)等����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
