XX 集團 VPN 網絡建設解決方案

1、XX 集團 VPN 網絡建設解決方案目錄 TOC o 1-5 h z 第一章 項目情況介紹 1項目背景 1目前網絡和應用現狀分析 2第二章 設計原則和設計思想 7安全性原則 7實用性原則 8可靠性原則 9可擴展性原則 9易管理性原則 9第三章 XX 集團 VPN 網絡建設方案 11VPN 技術簡介 1.1系統(tǒng)設計功能分析 1.6VPN 系統(tǒng)對原有系統(tǒng)的兼容 1.7VPN 系統(tǒng)對原有網絡的兼容 1.8網絡層的訪問控制和身份認證 1.9因地制宜的部署原則 2.0為企業(yè)節(jié)省了費用開支 2.1系統(tǒng)的易擴展性 2.23.3 產品選型 2.2網絡規(guī)劃與產品部署 2.6第四章 技術支持服務 29技術支持與服

2、務 2.9用戶培訓 3.1第五章 安達通公司簡介 33第一章 項目情況介紹項目背景以 Internet 網為主體的信息高速公路的迅猛發(fā)展，正以前所未有的速度和 能力改變著人們的生活和工作方式，我們真正處于一個“信息爆炸”的時代。一 方面，In ternet網使得人們能夠跨越時空的限制， 為學習、生活和工作帶來空前 的便利；另一方面，面對信息的汪洋大海，人們往往感到無所適從，出現“信息 迷向”的現象。特別是， Internet 網是一個無國界的虛擬信息社會，現實社會中 的各種問題都會在 Internet 網上通過電子手段予以重現，信息犯罪愈演愈烈。 網絡的開放性， 互連性， 共享性程度的擴大，

3、使網絡的重要性和對社會的影響也 越來越大，網絡安全問題變得越來越重要。目前，隨著通訊技術、計算機技術、網絡技術的應用普及和加深，許多員工 的辦公不再僅僅局限于同一物理位置上的辦公， 即使在辦事處、 分支機構、 出差 在外、在家中，均可像在公司總部辦公一樣協同工作。 尤其是出現自然因素 （如， 目前的“非典”原因）而導致員工需要遠程協同辦公，這就需要建立一個安全、 快捷、經濟、方便的信息交互平臺， 來傳輸遠程辦公員工與公司之間的信息交流。XX 集團作為國內知名企業(yè)，信息的敏感性決定了它們歷來都是各種居心叵 測者的重要關注對象， 甚至也是內部員工十分感興趣的內容， 這提醒我們應該更 加注重網絡安全

4、的建設。 值得稱道的是， 公司領導已經對此引起了高度重視， 并 計劃逐步進行卓有成效的防護工作。 在這方面，合理借鑒市場先進經驗與理念十 分重要。XX 集團信息系統(tǒng)當前面臨的首要問題和最大隱患是：邊界安全防御與鏈路傳輸的加密。這也正是本方案中力求加以明確的地方。 我們將通過認真和充分的 系統(tǒng)分析將這些問題揭示出來并提供解決方法的建議。1.2目前網絡和應用現狀分析XX集團總部設在杭州，企業(yè)網Intranet是以金頂苑總部大樓為中心，通過 幀中繼及網通的VPN與余杭一廠、八廠、杭州二廠區(qū)連接的企業(yè)廣域網，其余 各公司、各地辦事處則通過撥號上網或寬帶上網與總部服務器連接，已經初步建立起一套信息交互的

5、網絡體系?？偛烤W絡通過電信的光纖接入互聯網。在網絡的接口處部署了防火墻提供內 網訪問In ternet的路由并保證內部網絡的安全。目前，在網絡上運行的0A等應用系統(tǒng)。XX集團現在全國有26處分支機構，大多通過撥號或者寬帶接入公司總部?？偛磕壳熬W絡拓撲圖如下：全國26處辦事處（除西藏）的工作站防火墻撥號或寬帶上網連接同步十IJ光纖收發(fā)器路由器modemInternet1y幀中繼專線網通VPN骨干網圖 1-1 XX 集團網絡拓撲示意圖隨著公司業(yè)務的迅速發(fā)展，各地分公司、辦事處也相繼多了起來，信息交互 也越來越頻繁， 隨著企業(yè)應用系統(tǒng)的實施， 重要的數據和信息在網絡中傳輸也也 來越多，安全性要求也越

6、來越重要，目前僅僅依靠Modem 撥號、ADSL以及專 線的組網模式已經越來越不適應 XX 集團對信息傳輸平臺的要求了。從經濟角度考慮，電信部門提供的專線組網方式費用比較昂貴，由于 XX 集 團是一個快速發(fā)展的現代企業(yè)，先后在北京、廣州、上海、南京、武漢、西安以 及省內主要城市設立了多家分支機構， 同時擁有多家緊密型的合作伙伴或分銷客 戶網絡，相關需要聯網的網點數目比較多， 分部地區(qū)比較廣， 信息交互比較頻繁， 每月的巨額通訊費用和專線租用費會給 XX 集團帶來很大的壓力。從安全方面考慮，電信部門提供的幀中繼、 MPLS VPN、 DDN 、 ADSL 等 傳輸平臺沒有經過加密處理， 重要數據

7、和信息均是以明文在網上傳輸， 如果別有 用心的人利用 Sniffer 等網絡監(jiān)聽分析工具， 極易篡改、竊取甚至破壞企業(yè)數據， 給企業(yè)造成不可估量的損失； 由于傳輸平臺沒有認證功能， 企業(yè)內部員工的越權 訪問、誤操作、有意或無意的泄密、甚至是少數員工惡意的破壞，都會對企業(yè)的 信息和數據造成很大的威脅； 由于傳輸平臺沒有訪問控制和安全隔離的功能， 給 外部非法人員提供了入侵的機會， 非法人員可以通過專用的黑客程序 （此類工具 在In ternet上可以免費下載），或者盜取授權員工的訪問權限，進入公司網絡系統(tǒng)內部，讓“網絡巨人折戟沉沙，使系統(tǒng)安全潰于蟻穴的”。由于XX集團分支 機構和聯網網點數目眾多

8、，知名度大，受攻擊的幾率相對較大，一旦通過計算機 終端進入公司總部服務器，后果將不堪設想。從管理方面考慮，XX集團處于高速發(fā)展階段，擁有的分支機構和計算機終 端較多，面臨最緊迫的問題就是信息的匯總、 分支機構的信息交互以及計算機終 端的集中管理。DDN、ADSL等組網方式由于本身的技術限制，不可能提供強 大的管理平臺，也不可能解決大規(guī)模的應用和管理問題。從經營角度考慮，XX集團需要一個實時的、安全的、高速的、快捷的、穩(wěn) 定的信息交互平臺，來滿足企業(yè)信息頻繁傳輸的需要，增加企業(yè)的工作效率，提 高企業(yè)的服務質量，加快企業(yè)的信息化建設，適應企業(yè)的快速發(fā)展，提升企業(yè)的 良好形象。采用VPN方式組網具有

9、投資成本低、高帶寬、高可靠性、高安全性以及靈 活的可擴展性的優(yōu)點，且VPN產品特有的具有對in ternet上的內部移動用戶安 全接入，可以徹底消除地域差異，實現可移動用戶的網絡互連及基于in ternet的可移動安全訪問控制。因此，采用 VPN方式組網對XX集團來說是一種現實 可行的，完全可以滿足公司員工在辦事處、在外出差、在家秉承辦公的業(yè)務需要。下面是VPN與專線的綜合比較：VPN技術專線技術安全性非常高，保護數據傳輸的完整 性、保密性、不可抵賴性；安比較咼。但是，安全是建立在對電信部門相信的基礎上，對電信運營全控制在用戶手里商，無任何安全可言?？蓴U展性基于TCP/IP技術，接入方式靈依靠

10、當地運營商的支持，擴展很不活，只要網絡可達，就可以方方便。便擴展。投資成本設備一次性投入，不需要支出專線費用很高，需要每月支付昂貴每月的運營費用，長期看來大的專線租用費用，而且在初期要一幅度節(jié)省支出。次性投入路由器的費用對遠程用能對in ternet上的內部移動用只能聯通專線拉到的網絡，不支持戶的支持戶安全接入，徹底消除地域差離開局域網的內部用戶接入專網。異。構造全球的虛擬專網。帶寬使用各種廉價的寬帶介入方由于價格昂貴，一般租用的帶寬都式，如：ADSL，Ethernet 等，比較窄（一般不超過2M ）。一般在 1100M。升級依賴于設備的升級，非常方便。依賴于電信部門。表1-1 VPN 與專線

11、比較表綜上所述，如何快捷地解決XX集團的企業(yè)聯網問題，如何有效地解決企業(yè) 巨額通訊費和專線租用費，如何很好地解決“信息的共享和信息的安全問題”是 本方案重點討論要解決的問題，使整個網絡的互聯性得到極大提高， 使整個網絡 的安全性達到一個全面加強，使網絡系統(tǒng)的每個部分都不會成為“木桶的最短一 塊木板”是本系統(tǒng)方案要實現的目標 第二章 設計原則和設計思想系統(tǒng)的總體設計思想是要體現技術的先進性和決策的前瞻性， 著力于“實用 性、高起點、前瞻性、擴展性” 。具體的我們遵循了以下原則：安全性原則在公司網絡運行的各個環(huán)節(jié)中， 都應該嚴格注意安全的問題， 防止其中的任 一過程存在著安全的漏洞，從而影響整個公

12、司業(yè)務運作的大局。隨著計算機網絡技術的提高，網絡的安全性也越來越值得人們注意和防范， 在該方案中， 安達通公司時刻強調高度的安全性。 我們在進行系統(tǒng)設計時將提供 多種手段保障系統(tǒng)的安全， 對相關的網絡設備、 主機系統(tǒng)、 應用數據庫提供嚴密 的保護。同時，采用國際上最新的主流 VPN 技術，確保用戶能充分利用網絡的 互通性和易用性，同時可以為用戶盡可能地降低系統(tǒng)投入成本，實現高效益。網絡安全需要依靠綜合手段才能夠實現。 一方面需要好的安全技術產品， 好 的安全策略； 另一方面，更為重要的是要有完善的安全管理制度。 從技術角度來 看，一個完善的網絡安全系統(tǒng)應該包括以下三個方面：安全防護主動安全評估

13、安全實時監(jiān)控安全防護就是通過防火墻（在本方案中采用具備 Firewall 功能的安達通“安 全網關”）或網絡物理隔離等設備， 對進出網絡的數據包進行控制； 同時在應用、 主機上限制非法用戶進入，或者用戶越權訪問主動安全評估是基于安全防護的基礎上進行的，在通過了安全防護之后，可 以借助安全工具或者是有經驗的安全專家來進行安全評估。安全實時監(jiān)控也是屬于主動防御范疇。 指在我們對網絡上的各種行為進行監(jiān) 控，例如黑客攻擊一個系統(tǒng)之前， 往往需要了解這個系統(tǒng)的結構或者漏洞， 他們 往往會利用網絡掃描工具對某個網段或者主機進行掃描， 實時監(jiān)控系統(tǒng)能夠檢測 到這類行為。我公司堅持以高度安全性為基本原則，有效

14、地防止網絡的非法侵入，保護關 鍵的數據不被非法竊取、篡改或泄漏，使數據具有極高的可信性。實用性原則系統(tǒng)在設計上一方面將滿足雙向的數據傳送、實時處理的要求；另一方面， 又采用國際上最先進的技術，使系統(tǒng)完成后，保持一定時期的領先地位。尤其是采用了目前國際上領先的“安全網關”技術，將“Firewall+VPN+IDS ” 技術的充分糅合， 較單純的 Firewall 技術具有不可比擬的優(yōu)勢， 體現在：不僅具 有 FireWall 的保護內網、提供服務的功能，而且利用 VPN 技術，可以解決 Firewall 所不能解決的外網用戶的安全接入問題 （在本方案中，導致可以直接省 略“撥號服務器”），同時可

15、以不受接入數量限制， 這使整個網絡系統(tǒng)的可用性大 幅度提高。利用 IDS 技術，不僅強化了本身的抗攻擊能力，而且可以與 IDS 系 統(tǒng)互動。實用性原則既要做到先進技術與現有成熟技術相兼顧， 又要使系統(tǒng)的高性能 與實用性相結合?？煽啃栽瓌t這套網絡安全系統(tǒng)是企業(yè)內網的門戶。 它的穩(wěn)定可靠關系重大， 特別是具體 業(yè)務項目。隨著使用的普及， 信息平臺的運行不穩(wěn)定甚至癱瘓將嚴重影響企業(yè)的 形象，也將給為企業(yè)帶來不便和不可低估的損失。 因此可靠性是平臺運行的首要 保證。我公司將采用相應的手段保證系統(tǒng)、 網絡和數據的穩(wěn)定可靠性， 采用負載均 衡技術、備份技術就是其中的重要策略。可擴展性原則網絡安全互聯建設應

16、該是統(tǒng)一規(guī)劃、 分步實施、 逐步完善的的過程。 我公司 在該方案的設計中充分考慮它的可擴展性， 在實現基本的網絡互聯以及 被動 防護 系統(tǒng)（安裝“安全網關及其管理平臺” ，配發(fā)遠程移動客戶（安全網關客戶端） ） 以及信息傳輸加密的前提下， 為以后進一步實現網絡的 主動 防護系統(tǒng)，主要包括 IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應的接口，便于以后的 擴展以及與 IDS 等設備實現互動。易管理性原則網絡系統(tǒng)的管理和維護工作也是至關重要的。 在系統(tǒng)設計時既要充分考慮平 臺的易管理性， 為平臺維護者提供方便的管理工具； 同時又要設計規(guī)范但不失靈 活的工作流程。安達通公司提供“ PKI 網

17、管平臺”對安全網關、移動客戶進行統(tǒng)一管理。另外，與“安全策略服務器”統(tǒng)一布署，可以統(tǒng)一管理安全網關、IDS、掃描系統(tǒng) 的安全策略。另外，通過網管平臺，可以實現遠程安全管理和本地管理等多種管 理手段。第三章 XX 集團 VPN 網絡建設方案VPN 技術簡介1 、基于 IPsec 的 VPN 技術VPN（虛擬專用網）技術是指通過公共網絡建立私有數據傳輸通道（即隧道）， 將遠程的分支機構、 商業(yè)伙伴、移動辦公用戶等安全連接起來的一種專用網絡技 術。在該網中的主機將不再感覺到公共網絡的存在， 仿佛所有的主機都處于一個 網絡之中。對企業(yè)而言， VPN 可以替代傳統(tǒng)租用線來連接計算機或局域網等。 而任何

18、VPN 業(yè)務都是基于隧道技術實現的，隧道機制是 VPN 實施的關鍵。數 據通過安全的 加密管道 在公共網絡中傳播。企業(yè)只需要租用本地的數據專線， 連接上本地的公眾信息網， 各地的機構就可以互相傳遞信息； 同時， 企業(yè)還可以 利用公眾信息網的撥號接入設備， 讓自己的用戶撥號到公眾信息網上， 就可以連 接進入企業(yè)網中。使用 VPN 有節(jié)省成本、提供遠程訪問、擴展性強、便于管理 和實現全面控制等好處，是目前和今后企業(yè)網絡發(fā)展的趨勢。在眾多的 VPN 解決方案中， IP-VPN 脫穎而出， 成為眾多企業(yè)組建 VPN 的 首選方案。 IP-VPN 是指在運行 IP 協議的網絡上實現的 VPN 。世界上最

19、大的 IP 網絡就是 Internet 。由于 Internet 正在使用的 IPv4 協議在設計初期并沒有過多 地考慮安全問題，因此無法為用戶解決他們所擔心的數據安全保密性。 IP-VPN 在使用了一些額外的安全技術后，解決了這一難題。目前，國際主流的大多是基于 Ipsec 的 VPN 技術，該技術正在迅速走向成 熟，而且它正處于興盛期?？?OOO 口口圖3-1 VPN組網示意圖虛擬專網的重點在于建立安全的數據通道，構造這條安全通道的協議必須具備以下條件：保證數據的真實性：通信主機必須是經過授權的，要有抵抗地址冒認( IP Spoofing )的能力。保證數據的完整性：接收到的數據必須與發(fā)送

20、時的一致，要有抵抗不法分子 纂改數據的能力。保證通道的機密性：提供強有力的加密手段，必須使偷聽者不能破解攔截到 的通道數據。提供動態(tài)密匙交換功能：提供密匙中心管理服務器，必須具備防止數據重演(Replay )的功能，保證通道不能被重演。提供安全防護措施和訪問控制：要有抵抗黑客通過VPN通道攻擊企業(yè)網絡的 能力，并且可以對 VPN通道進行訪問控制(Access Control )。虛擬專用網VPN可以使在In ternet中的信息交換有安全保障，大多數的 VPN產品支持IPSec。最初VPN技術被設想為Intenet節(jié)點的連接方式，后來 它很快被公認為是一種遠端的接入技術，例如在一個遠程的PC或

21、筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術正在迅速走向成熟,而且它正處于興盛期2 、全動態(tài) VPN 組網方式IP-VPN 的聯網方式大致有三種：1、固定IP與固定IP;2、固定 IP 與動態(tài) IP；3、動態(tài) IP 與動態(tài) IP。第一種的聯網方式是比較傳統(tǒng)的方式， 技術上實現最容易， 目前的防火墻等 設備就可以實現這種功能; 第二種的 VPN 聯網方式對于目前大多數專業(yè)的 VPN 廠商也基本能解決;而第三種方式即動態(tài) IP 與動態(tài) IP 之間的 VPN 通訊卻成了 很多廠商和科研機構望而卻步的技術難題， 實現起來并解決大規(guī)模的實際應用就 更加困難。安達通公司作為國內領先的專

22、業(yè) VPN 廠商，投入了很大的人力、財力，經 過一段時間的攻關和研究，最終以 “策略服務器” 的方式解決了這個難題?！安呗苑掌鳌惫芾硐到y(tǒng)由 DynamicVPN 管理服務器、網絡管理員和 DynamicVPN 網元組成。 Dynamic 管理服務器由 WEB 服務器、管理應用服務 器、數據庫服務器組成。 WEB 服務器負責以 WEB 服務的形式對外提供各種管 理服務，管理應用服務器完成具體的邏輯與業(yè)務處理功能， 數據庫服務器負責保 存 DynamicVPN 管理所需要的各種數據，它可以是關系數據庫和 / 或 LDAP 服 務器。安達通公司的 “策略服務器” 不但真正解決了全動態(tài)的 VPN 組

23、網方案，還 融入了 PKI技術，采用基于數字證書的動態(tài)IKE進行協商和認證，解決了大規(guī)模VPN 組網的安全管理和安全認證技術。3、基于IP-VPN 中NAT穿透問題基于IPsec的VPN解決方案中NAT穿透問題一直是很多廠商以及客戶所 棘手的問題。不但IPsec協議本身不能穿透NAT設備，就是常用的視頻、語音 等通訊方式所用的H.323和SIP協議也不能穿透NAT。下面以A、B兩地實現 視頻會議為例，闡述一下 NAT穿透問題。我們假設在寬帶城域網有兩個用戶 A和B，其中A用戶處在私網內部，B 用戶是在In ternet公網上，這兩個用戶都安裝了 IP視頻會議終端，希望通過寬 帶城域網開個臨時的

24、視頻會議。如下圖示，B用戶首先呼叫A用戶，B用戶發(fā)出 的H.323或SIP建立會話連接的初始化包發(fā)送到 A用戶網絡的NAT設備時，由 于NAT設備只做IP地址轉換的處理，因此不知道該如何將B用戶發(fā)來的H.323 或SIP建立會話連接的初始化包轉發(fā)給內網的哪個用戶，只好將該初始化包丟 棄。而A用戶雖然一直在等待B用戶的初始化包，但A用戶卻永遠等不到B用 戶的初始化包，這樣A用戶和B用戶永遠都建立不起來 H.323或SIP會話連接， 也就無法開IP視頻會議。Private IP:10.1.1.xUnsolicited invitation packetsWaiting for cal on por

25、t 1720圖3-2 NAT穿透問題示意圖（一）另一種情況也一樣，由A用戶首先呼叫B用戶，如下圖示，A用戶發(fā)出的H.323或SIP建立會話連接的初始化包發(fā)送到 A用戶網絡的NAT設備時，由于 NAT設備只做IP地址轉換的處理，NAT設備將該IP包包頭中的A用戶私網地 址替換成自己的公網地址，這樣 A用戶發(fā)出的H.323或SIP建立會話連接的初 始化包才能夠發(fā)送B用戶處，B用戶上層的視頻會議應用程序收到該初始化包， 并作出應答，但是A用戶在發(fā)出H.323或SIP建立會話連接的初始化包時，在 上層應用數據包中采用的地址是 A用戶的私網地址，這樣B用戶上層的視頻會 議應用程序就會采用初始化包中上層應

26、用數據包里的A用戶的私網地址來發(fā)送應答包，由于A用戶的地址是私網地址，因此該應答包就無法在公網上傳送。這樣A用戶和B用戶還是建立不起來H.323或SIP會話連接，還是無法開IP視 頻會議。Data with IP ANAT:address CData with IPBB | A Data with IP A/BPrivate IP:10.L1.1BUnsolicited invitation packets accepted by B圖3-3 NAT穿透問題示意圖（二）安達通公司作為國內領先的專業(yè) VPN廠商，經過一段時間的攻關和研究，初步解決了 NAT穿透問題，為企業(yè)構建跨城域網的 VPN網

27、絡以及視頻、語音通訊的建立提供了解決方案如果需要實現穿越NAT的安全連接，需要在內部網絡和外部網絡之間設置ADT引擎（需要在NAT設備上為ADT引擎作靜態(tài)地址翻譯）或者在外網（公 網）設置ADT引擎。ADT引擎是一個專用UDP-T（即UDP隧道）數據包的路由 轉發(fā)軟件，放置在網絡邊緣，在內部網絡和外部網絡之間轉發(fā)數據流量。下面為數據包的結構：UDP-T封裝標準IP報文入 入IPUDUDPIPIPSecPaTunnelP-Tvirtualheaders(optiy loadHeaderHeaderheaderheaderon al)UDP-T包在經過 ADT引擎轉發(fā)時，ADT引擎根據 UDP-T

28、包內的UDP-T Header域所指定的路由信息來更換 UDP-T包IP Tunnel Header域的源地址和 目的地址，從而完成從一個私網成員到另一個私網成員的包轉發(fā)，而UDP-T包內部的IP Virtual Header 的源地址和目的地址始終保持不變，保證了上層應用 中IP地址的完整性，從而實現IPSec、H.323和SIP等多媒體協議端到端通信 的完整性。3.2系統(tǒng)設計功能分析企業(yè)建設安全的信息系統(tǒng)，一個前提是不能改變原有的應用方式，并且既要 保證安全的遠程訪問（加密） ，又要和正常的直接訪問（明文）相兼容，適合多 種多樣的應用需求。按照本方案建設的網絡安全系統(tǒng)， 將在不改變應用系統(tǒng)

29、結構和用戶的使用習 慣已經與正常訪問兼容的基礎之上， 為 XX 集團的信息系統(tǒng)提供強有力的安全保 障，并在移動接入、分支機構網絡等方面為企業(yè)節(jié)省成本，帶來直接的效益。VPN 系統(tǒng)對原有系統(tǒng)的兼容VPN安全網關遵循標準的Ipsec和IKE協議，在網絡層對IP數據包進行加 密，對網絡中的數據流做基于五元組的訪問控制， 因此， 對于應用系統(tǒng)是完全透 明的，即上層的應用程序感覺不到數據在傳輸過程中被加密； 也就是最終用戶感 覺不出使用了 VPN 前后在網絡系統(tǒng)上有什么不同，也不必對自己平時的使用習 慣做任何改變；應用程序的開發(fā)商也不需要對在 VPN 上使用的系統(tǒng)做特別的修 改。在 XX 集團內部，無論

30、是目前已投入使用的多套應用系統(tǒng)，還是以后的新系 統(tǒng)，不管系統(tǒng)平臺如何，采用的結構是傳統(tǒng)的C/S還是B/S，都將可以平滑過渡 到 VPN 網絡平臺上使用。Ipsec 協議決定了只要在網絡傳輸上使用 TCP/IP 協議的應用系統(tǒng)，都可以 在 VPN 平臺下正常運行，然而在 TCP/IP 協議作為事實上的工業(yè)標準的今天， 任何新開發(fā)的應用系統(tǒng)都是基于此的，因此對于將來的 ERP 等系統(tǒng)修改、擴展 乃至增加系統(tǒng)等等， VPN 系統(tǒng)完全不需更改，不必要擔心應用系統(tǒng)的兼容性問VPN 系統(tǒng)對原有網絡的兼容由于根據網絡設計 VPN 設備 VPN 安全網關將會串行的連接在總部的路 由器之后， 并將作為分公司的路

31、由設備為網絡提供路由， 因此，在增加了這個設 備后會不會影響原有正常的網絡訪問，比如WEB、MAIL 、DNS 等等是一個必須說明并確認的問題。這個問題可以分為二個方面來討論， 首先是內部的服務器是否能象原來一樣 向外提供服務，其次是內部網絡用戶是否能正常訪問互聯網( Internet )。下面 將就這二點分別闡述。1) 服務器單獨放在一個子網中，使用私有 IP 地址，對外是不可見的， 但可以通過在 VPN 安全網關上配置靜態(tài)端口映射，使得外部網絡可 以訪問到該服務器的某端口，而通常服務器都是通過TCP或UDP的 某一個的端口來提供服務(比如WEB使用TCP的80端口，DNS使 用 UDP 的

32、 53 端口等等)，因此對于絕大多數的應用，都可以使用靜 態(tài)端口映射來滿足向外提供服務的需求。 對于某些少數在網絡通信中 使用不固定端口的應用， 還可以通過靜態(tài)地址映射來達到目的， 即將 整個服務器映射成公有地址。這樣， XX 集團公司中所有需要公開的 服務器都可以利用 VPN 安全網關的靜態(tài)端口映射和靜態(tài)地址映射向 外提供服務。2) 內網主機眾多，可是公有 IP 地址有限，要訪問互聯網必須通過地址 轉換來實現， VPN 安全網關的地址池映射功能可以滿足提供內部網 絡上互聯網的要求， 并且還可以對上網的主機和時間段作出控制。 同 樣，對于分公司的子網，也可以通過 VPN 安全網關的地址池映射功

33、能提供內部主機的上網為滿足以上二點采用的各種技術和 VPN 安全加密功能都可以同時發(fā)揮作 用， VPN 安全網關將根據數據包的 IP 地址和端口（五元組）信息自動地對 IP 數據包作出相應地處理，達到以上的目的。即 VPN 系統(tǒng)與原有的網絡系統(tǒng)完全 兼容，絕不會因建設了 VPN 系統(tǒng)而導致原有的正常訪問中斷或改變方式。網絡層的訪問控制和身份認證VPN 系統(tǒng)在網絡層實現了訪問控制和身份認證功能。當一個用戶需要訪問 受網關保護的服務器的信息時， VPN 安全網關首先根據預先配置的策略判斷對 方的 IP 地址是否授權的用戶， 如果有為對方配置的策略， 則開始 IKE 密鑰協商， 密鑰協商包含了身份認

34、證的過程， 在基于 PKI 體系下的身份認證能很好地確保網 絡訪問的安全性和唯一性。只有在 IKE 密鑰協商成功以后， VPN 安全網關才會 把服務器的返回數據通過加密發(fā)送到客戶端； 對進來的數據進行完整性校驗和解 密。只要策略配置適當， VPN 安全網關本身沒有開放的端口，即使暴露在公網 上，也可以抵擋掃描、 DoS 等攻擊行為，一些假冒 IP 等等攻擊手段也無法攻擊 到網絡內部，做到了對內部子網很好的保護，以及很好的身份認證功能。在總部可以對所有的用戶進行控制， 如果想停止某個分公司或移動用戶對總 部子網的訪問，只需要在 CA 中心將其證書廢除即可，體現了統(tǒng)一的管理能力。VPN 系統(tǒng)提供了

35、網絡層的訪問控制和身份認證功能，保證只有經過授權的 子網或客戶端才能接入 XX 集團內部網絡，保證了一個端到端的安全，在本身應 用系統(tǒng)的身份認證基礎上又增加了一道外圍防線， 更加增強了系統(tǒng)的健壯性和安 全性。同時，通過 VPN 安全網關靈活的訪問控制功能，可以允許安全接入和普通 接入并存，即對重要的服務器，重要的用戶，實施 VPN 安全隧道連接，而對于 普通的服務器、普通的用戶也可以實現明文的訪問。因地制宜的部署原則整個 VPN 的安全體系由 VPN 安全網關、安全客戶端、 網管中心等多個部分 組成，通過因地制宜的合理配置部署， 既可以實現整體系統(tǒng)的安全性， 也達到了 一個網絡系統(tǒng)的優(yōu)化和用戶

36、使用的方便。在 XX 集團公司的總部，考慮到數據庫服務器、應用服務器等重要部分都部 署在此，可以部署一臺高性能的 SGW25C VPN 安全網關。如果要保證總部系統(tǒng) 的可靠性，可以采用雙機熱備方式，即在總部網絡的出口處部署兩臺 SGW25C VPN 安全網關，做雙機熱備配置，如果主網關一旦發(fā)生故障當機，備份網關就 會立即切換到工作狀態(tài)，接替主網關承擔系統(tǒng)的運行，整個切換過程平滑透明， 不會對網絡應用造成影響，在 10 秒以內即可完成切換。在各地的分公司，各使用一臺 SGW25B VPN 安全網關，以保證其整個子網 能安全接入到總部網絡，并提供其對 Internet 訪問和控制。在全國各地的辦事

37、處， 如果規(guī)模大一些的， 可以部署一臺 SGW25A VPN 安 全網關，以保證其整個子網能安全接入到總部網絡，并提供其對 Internet 訪問 和控制。對于小規(guī)模的辦事處出差員工和公司領導，使用安全客戶端軟件。只需要在 他們的電腦上安裝一套“ VPN 安全網關客戶端”，在電腦 USB 口上插上網管人 員配的Sure ID （USB接口的鑰匙），輸入Sure ID的密碼，一點“連接”按鈕， 如果 Sure ID 里的策略和身份信息正確有效， 就馬上連接到了總部網絡， 使用總 部網絡內的私有 IP 地址就可以對系統(tǒng)進行安全的訪問。網管針對不同用戶可以配置不同的權限，即可以訪問的服務器不同，網絡

38、不 同等等。針對不用對象采用不同產品，這樣就發(fā)揮了各自產品的特性，組成了一個有 機的 VPN 網絡體系。為企業(yè)節(jié)省了費用開支采用了 VPN 系統(tǒng)，相當于在總部和各地分公司之間建立了安全的專用網絡， 就可以充分利用公共網絡的資源，在上面運行包含企業(yè)內部重要信息的應用系 統(tǒng)。比較傳統(tǒng)的在總部分公司之間拉專線的方式，采用 VPN 解決方案，大幅度 降低了企業(yè)信息系統(tǒng)的投入成本，為企業(yè)帶來了直接的效益。并且在安全性上， 也得到了提高， 因為即使是拉專線， 也需要通過網絡運營商， 而采用 VPN 方案， 則是真正的將安全掌握在了自己手中。相應地，在采用安全客戶端軟件的移動接入方式之前，大部分企業(yè)采用遠程

39、 撥號到公司內部網絡的方式接入遠程訪問的問題。 這樣就相當于打長途電話， 如 果需要傳輸的數據稍多一些，其電話費開銷是非常大的，本身傳輸速度慢不說， 而且有接入數量的限制，取決于總部端的 MODEM 的數量。而采用了安全客戶 端安全接入解決方案以后， 因為客戶端對接入方式不限， 如果寬帶接入就解決了 速度的問題， 最重要的是大大的減少了費用， 因為移用用戶只要接入當地的互聯 網，比起打長途電話， 費用不在一個數量級， 另外客戶端接入的個數限制就小得 多，比如 SGW25C VPN 安全網關可以同時接受 1000 個客戶端的并發(fā)接入 （如 果撥號就需要支持 1000 個 MODEM 接入）。除此

40、之外， VPN 安全網關本身具備靜態(tài)路由功能，在分公司使用 VPN 安全 網關，可以代替路由器實現路由和地址映射功能， 因此可以為每個分公司節(jié)省一 臺路由器， VPN 安全網關的平均工作無故障時間為 15000 小時，可以達到一般 路由器的可靠性，這樣也大大節(jié)省了企業(yè)的投入成本，帶來了效益。系統(tǒng)的易擴展性VPN 系統(tǒng)建立以后，將來的擴展非常方便，如果需要增加一個分公司或者 辦事處，在該地安裝一臺 VPN 安全網關，總部只需要增加一條安全策略即可以 實現該分公司或者辦事處的接入。 如果增加一個移動用戶， 只需要配發(fā)一個 Sure ID 即可。因此擴展非常簡單。3.3 產品選型上海安達通信息安全技

41、術有限公司（簡稱 ADT ）是一家專業(yè)致力于解決企 業(yè)互聯網和內聯網的網絡信息傳輸和管理的安全問題。 公司將自己定位為： 基于 PKI 的網絡安全傳輸平臺供應商。目前已經擁有“ PKI 安全網關 SGW 系列、安 全網關客戶端軟件、PKI網管平臺、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數字證書載 體 SureID 系列、證書中間件”等產品。形成了一個以 CA 為核心，證書為靈魂， 網絡類安全設備和桌面安全軟件 /設備相互聯動、密切配合的構建在 PKI 平臺上的網絡安全系統(tǒng)安全網關是一種結合防火墻、 VPN 技術的綜合的網絡邊界安全設備，并且 具有和入侵檢測系統(tǒng)（IDS）互動的功能；隨著系統(tǒng)的升級，AD

42、T安全網關SGW 系列產品， 還將整合防病毒網關的功能以及基本的入侵檢測功能來增強 “安全網 關”自身的穩(wěn)定性、安全性和抗攻擊性。作為網絡的邊界安全設備，安全網關將 具有綜合的安全作用，使網絡的安全和投入，獲得最佳的安全和效益。另外，安達通公司的“安全網關”具有一個很明顯的技術優(yōu)勢一一解決了目前 國際上的VPN技術的難題非固定IP間的VPN通訊連接（如：通訊雙方均采 用 ADSL 進行連接）。而這一需求也恰恰是 XX 集團多個分支機構和聯網網點需 要相互進行安全通訊的最經濟、最貼切的解決方案。故此，我們建議XX集團目前的Modem、ADSL、寬帶等聯網方式改為在 VPN 組網方案。VPN 組網

43、除了以太網絡聯網方式外， 還可以用于專用線路、 幀中繼 /ATM 鏈 路或普通的舊式電話網（PSTN ）提供的服務：如 Modem 撥號方式、ISDN、 ADSL 等。先行的專線 /ATM 方式，從經濟上、管理上、安全上、經營上前面已 經論證不太適合 XX 集團的組網需求，利用 Modem 撥號方式、 ISDN 方式，針 對 XX 集團這樣的大型企業(yè)來說，從速度上、性能上、經濟上、管理上均不太適 合XX集團目前發(fā)展的需要，不過，針對目前小型的辦事處以及聯網終端不太多 的情況下，可以采用此種 VPN 組網方式。 ADSL 是電信力推的企業(yè)上網模式， 不但速度快、性能好、實時性好，針對 XX 集團

44、的應用特點和聯網規(guī)模，從經濟 上也是前幾種組網方式所不能比擬的。另外，安達通公司 SGW 網關系列具有PPOE 撥入模塊，支持 ADSL 撥號功能，可以節(jié)省專用的撥號服務器，節(jié)省設備投入。故此，我們建議針對不同駐外機構的實際應用情況，采用基于Modem、寬帶以及基于ADSL結合的VPN組網方案。針對XX集團的實際需求和具體應用，我們推薦此方案采用安達通公司的SGW 25C-4、SGW 25B、SGW 25A 硬件產品以及 Sure Client軟件網關相結 合的產品解決方案。三種硬件型號的產品具體參數如下:項目安全網關快速參考型號SGW 25ASGW 25BSGW25C-4處理器Power P

45、C855TPe ntium3-866MSDRAM32MB128MBFlash/DOM4MB16MB操作系統(tǒng)RTOS端口1*10M Ethernet WAN1*10/100M Ethernet1*10/100M Ethernet LANWAN1*DB9 con sole port1*10/100M EthernetLAN1*10/100MEthernet DMZ1*10/100M EthernetEXT1*DB9 con sole port支持的標準算法DES、3-DES、IDEA （可選）、RSA、SHA支持專用密碼算法由國家密碼管理委員會批準和認可的密碼算法密碼加速引擎軟件硬件密碼芯片硬件P

46、CI密碼卡共同支持的協議及標準TCP/IP、Ipsec、NAT/NAPT、OpenPKI、SCMP、DHCP、靜態(tài)路由獨有支持的協議PPPoE（可通過 WAN 口外接 ADSL modem）密鑰交換體制IKE、Diffie-Hellmanipsec吞吐率800Kbps（3DES+SHA 在ESP隧道模式）5.76Mbps（3DES+SHA 在ESP隧道模式）60Mbps/40Mbps（3DES+SHA 在 ESP 隧 道模式”（國內專用算 法）支持的最大ipsec并發(fā)隧道數501001000Firewall吞吐率9.9Mbps70Mbps支持的最大內網并發(fā)會話數10，000130，000工作電

47、流/電壓0.8A/220v3A/220V工作溫度060 C060 C表3-1 ADT 硬件安全網關比較表3.4網絡規(guī)劃與產品部署1、XX集團總部設計方案杭州總部是整個XX公司的“心臟地帶”，重要信息的交互、共享，重要數 據的頻繁傳輸，組成了 XX集團的業(yè)務流。隨著企業(yè)信息化程度的不斷加深，各 種應用系統(tǒng)會逐步得到應用。隨之而來，信息安全問題也會成為我們關注的焦點。目前，XX集團總部的內部網絡，通過電信網絡經由XX防火墻直接接入In ternet。考慮以后總部業(yè)務需求的發(fā)展，建議在總部網絡出口處再部署一臺安 達通的SGW25-4型VPN硬件安全網關（安全網關綜合利用了隧道技術、加密 技術、認證技

48、術來保護杭州總部和分支機構內網的安全通訊、安全傳輸）。XX防火墻與安達通SGW25-4型VPN安全網關采用并聯方案。普通數據 包通過XX防火墻到達XX集團內部網絡，實現包狀態(tài)檢測和訪問控制功能。只 有需要走VPN線路的數據包或者需要加密的數據包才可以通過安達通VPN網關到達XX集團網絡內部，對于非法的數據包則可以利用VPN安全策略將其進行過濾和處理。ADT SGW25C-4具有4個網絡接口，一個用于內網、一個用于外網、一個 作為與專門的入侵檢測設備進行互動的網絡接口，另一個作為EXT 口，用于以后的擴展線路、備份線路或作為其他網絡接口來用。2、各地駐外機構設計方案由于各地駐外機構需要與杭州總部

49、進行大量的信息交換，并且隨著ERP等應用系統(tǒng)的應用加深，物流、資金流在企業(yè)Intran et網上的頻繁傳輸，為了保證總部與分支機構、分支機構與分支機構之間進行安全的信息傳輸，故此，我們可以根據各分支機構的不同情況，分別部署硬件安全網關設備和軟件網關到各駐 外機構。同時，建議具有子網的各駐外機構采用ADSL或者寬帶的方式接入In ternet，并在網絡出口處部署 ADT SGW 25B、SGW 25A 硬件安全網關設備； 建議在僅有一臺終端的分支機構采用 Modem或ADSL的方式接入In ternet ， 并在該終端上安裝安達通公司的 Sure Client軟件網關，從而達到和總部以及其 他分

50、支機構的VPN通訊。ADT SGW 25B、SGW 25A （兩款硬件設備在密碼加速引擎上和性能上略 有區(qū)別，詳細見參數比較表）具有2個網絡接口，一個用于內網（防火墻模塊可 以有效做到安全隔離以及訪問控制機制，安全隔離機制保證了公司網絡與 In ternet等公共網絡的安全連接，訪問控制機制可以有效的控制各個分支機構的 安全接入問題），一個可通過ADSL Modem 接入In ternet （由于該安全網關具 有PPOE模塊，節(jié)省了專用的撥號服務器）。目前，根據XX集團的實際情況，由于某部門的特殊要求，建議先在總部與 余杭一廠各部署一套 ADT SGW25C、SGW25B來建立VPN通道，隨著

51、業(yè)務的 發(fā)展，逐步在各地分支機構和分廠實施 VPN組網，在集團內進行推廣應用。XX集團VPN建設網絡拓撲圖如下：防火墻圖 3-4 XX 集團 VPN 網絡建設示意圖第四章 技術支持服務安達通公司的技術服務部門將提供優(yōu)質服務以保證整個系統(tǒng)運行的穩(wěn)定、 高 效和安全。4.1 技術支持與服務1、安裝服務 安達通公司負責網絡安全設備的安裝調試、調優(yōu)工作。建立合理的項目建 設機制，保證工程的安裝服務質量。安裝完畢后提供完整的技術文檔，內容包括：系統(tǒng)的信息記錄、操作維護、 調試的方法以及常見故障處理等等。2、配件服務 提供配件服務，使故障設備得到維護。對一些維修周期長的設備，提供相 似性能的設備，保證運行

52、系統(tǒng)穩(wěn)定。3、保修維護服務對在保修期內的軟硬件產品設備提供保修服務（火災、地震等人力不可抗 拒的因素造成的設備損壞除外） ：提供 7*24 維修服務， 提供 7*24 小時響應的聯系電話及聯系人， 提供遠程 訪問維護功能， 隨時受理電話咨詢， 一旦有故障能隨時聯系到人。 系統(tǒng)發(fā)生故障通過遠程拔號接入或者24小時派工程師到現場維護。4、后期維護服務系統(tǒng)錯誤有可能在長時間的運行之后才能暴露出來，才能更容易的對問題進行孤立和查找。當系統(tǒng)投入使用后，測試工作要不斷進行，只有這樣才能發(fā)現 新錯誤，以便及時解決。因此定期派系統(tǒng)工程師上門或者遠程拔號接入對整個系 統(tǒng)的資源進行測試、維護和優(yōu)化（包括對系統(tǒng)軟硬

53、件設備的清理、網絡性能的維 護、優(yōu)化、性能調試等等維護服務，以使系統(tǒng)能夠長久、可靠安全的運行。在維 護服務保修期內，免費提供一些優(yōu)惠服務措施，包括提供軟件差補通知，安裝最 新的補丁程序等等，對于提供的應用軟件包，如有新版本推出，應建議用戶使用， 并為用戶提供升級安裝服務），實施跟蹤服務。5、標準支持服務從系統(tǒng)開始正式運行，安達通公司將提供標準支持服務。標準支持服務內容如下：*系統(tǒng)啟動服務*每年有限次現場服務*遠程診斷服務*電話咨詢服務* （面對面或書面的）產品咨詢服務*當年增強版本更換*產品信息服務*電子郵件及在線服務4.2 用戶培訓安達通公司將負責對用戶進行網絡安全系統(tǒng)的技術培訓。 通過對本

54、網絡各種 設備的性能、結構、原理、維護管理技術和實際操作的講解，能使用戶掌握設備 配置、日常維護的方法和技巧，使用戶獨立進行操作、糾錯處理和設備測試，以 保證網絡開通后的正常安全運行。 系統(tǒng)管理和技術人員的培訓由安達通公司負責 組織，根據人員的知識結構情況制定具體的培訓計劃。對系統(tǒng)管理員進行培訓， 使其熟悉系統(tǒng)的使用和維護， 以利于以后的系統(tǒng)管 理工作。我們提供的培訓服務分現場培訓和專業(yè)培訓， 先進行專業(yè)培訓， 提供系 統(tǒng)的理論知識、再進行現場培訓，以利于系統(tǒng)的掌握和今后系統(tǒng)的開發(fā)升級。1、安裝培訓安裝培訓在安裝的過程中進行，最后安裝調試完畢后，做總結培訓。 安裝培訓目的是讓經過專業(yè)培訓的人員學以致用，理論結合實際，盡快掌握 實際使用中產品設備的特性，以利于系統(tǒng)的使用和維護。具體內容：對產品設備的安裝、使用、維護、常見故障處理以及產品設備的特性，通過實際安裝中的培訓，增強系統(tǒng)管理的實際操作水平。安裝完畢后，各個管理人員對操作流程進行實際演練， 以確保安裝過程中 的知識學以致用。在系統(tǒng)軟硬件安裝完成后，安達通公司將派項目開發(fā)人員對貴單位技術人 員和操作人員進行現場實際操作培訓。2 、專業(yè)培訓：對相關技術人員， 我們提供現場培訓和專業(yè)培訓， 先進行專業(yè)培訓， 提供系統(tǒng)的理論知識、再進行現場培訓，以利于系統(tǒng)的掌握和今后系統(tǒng)的開發(fā)升級以上各項服務的詳細描述參見