vpn互聯(lián)解決方案

臺(tái)州港務(wù)局網(wǎng)絡(luò)建設(shè)解決方案（初步方案）概述臺(tái)州市港務(wù)局下屬6個(gè)分局需要建立一套互聯(lián)辦公系統(tǒng)，實(shí)現(xiàn)辦公自動(dòng)化、內(nèi)部的Mail、WEB服務(wù)，網(wǎng)絡(luò)資源共享，能夠?qū)崟r(shí)與各分局互聯(lián)，建立覆蓋全市的信息網(wǎng)絡(luò)服務(wù)。本方案根據(jù)臺(tái)州港務(wù)局的整體規(guī)劃，結(jié)合省局的總體要求，采用整體規(guī)劃、分步實(shí)施的設(shè)計(jì)思想設(shè)計(jì)的。1、 目前網(wǎng)絡(luò)的現(xiàn)狀及需求臺(tái)州港務(wù)局考慮租用電信運(yùn)營(yíng)商的專(zhuān)線(xiàn)接入，總局和各分局以初步實(shí)現(xiàn)局域網(wǎng)辦公。分支機(jī)構(gòu)或辦事處需要實(shí)時(shí)將信息傳送到公司總部，總部也需要將反饋的信息實(shí)時(shí)向分支機(jī)構(gòu)或辦事處下發(fā)。對(duì)分支機(jī)構(gòu)或辦事處提供MAIL>WEB和辦公自動(dòng)化應(yīng)用服務(wù)。網(wǎng)絡(luò)互聯(lián)及安全總的需求：1個(gè)中心節(jié)點(diǎn)與6個(gè)分節(jié)點(diǎn)進(jìn)行安全互聯(lián)。整個(gè)系統(tǒng)能夠保障網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的安全。2、 目前網(wǎng)絡(luò)系統(tǒng)互聯(lián)問(wèn)題及存在的安全隱患2.1網(wǎng)絡(luò)系統(tǒng)互聯(lián)問(wèn)題：針對(duì)現(xiàn)有業(yè)務(wù)，提出網(wǎng)絡(luò)互聯(lián)建設(shè)中心節(jié)點(diǎn)1個(gè)，分節(jié)點(diǎn)6個(gè)。網(wǎng)絡(luò)系統(tǒng)如采用專(zhuān)線(xiàn)方式相比較VPN組網(wǎng)方式有諸多不足：（見(jiàn)下表）VPN技術(shù)專(zhuān)線(xiàn)技術(shù)安全性非常高，保護(hù)數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄?、不可抵?lài)性；安全控制在用戶(hù)手里比較高。但是，安全是建立在對(duì)電信部門(mén)相信的基礎(chǔ)上，對(duì)電信運(yùn)營(yíng)商，無(wú)任何安全可言?？蓴U(kuò)展性基于TCP/IP技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達(dá)，就可以方便擴(kuò)展。依靠當(dāng)?shù)剡\(yùn)營(yíng)商的支持，擴(kuò)展很不方便。投資成本設(shè)備一次性投入，不需要支出每月的運(yùn)營(yíng)費(fèi)用，長(zhǎng)期看來(lái)大幅度節(jié)省支出。專(zhuān)線(xiàn)費(fèi)用很高，需要每月支付昂貴的專(zhuān)線(xiàn)租用費(fèi)用，而且在初期要一次性投入路由器的費(fèi)用對(duì)移動(dòng)用戶(hù)的支持能對(duì)internet上的內(nèi)部移動(dòng)用戶(hù)安全接入，徹底消除地域差異，構(gòu)造全球的虛擬專(zhuān)網(wǎng)。只能通過(guò)專(zhuān)線(xiàn)拉到的網(wǎng)絡(luò)，不支持離開(kāi)局域網(wǎng)的內(nèi)部用戶(hù)接入專(zhuān)網(wǎng)。帶寬使用各種廉價(jià)的寬帶接入方式，如：ADSL，Ethernet等，一般在廣100M。由于價(jià)格昂貴，一般租用的帶寬都比較窄（一般不超過(guò)2M）升級(jí)依賴(lài)于設(shè)備的升級(jí)，非常方便。依賴(lài)于電信部門(mén)。由此可見(jiàn)，采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴(kuò)展性的優(yōu)點(diǎn)，VPN產(chǎn)品特有的具有對(duì)internet上的內(nèi)部移動(dòng)用戶(hù)安全接入功能，可以徹底消除地域差異，實(shí)現(xiàn)可移動(dòng)用戶(hù)的網(wǎng)絡(luò)互聯(lián)及基于internet的可移動(dòng)安全訪(fǎng)問(wèn)控制。因此，采用VPN方式組網(wǎng)對(duì)臺(tái)州港務(wù)局網(wǎng)絡(luò)建設(shè)來(lái)說(shuō)是現(xiàn)實(shí)可行的，完全可以滿(mǎn)足需要。2.2網(wǎng)絡(luò)系統(tǒng)存在的安全隱患：目前辦公自動(dòng)化用戶(hù)數(shù)據(jù)都通過(guò)公網(wǎng)（Internet）直接傳輸，因辦公自動(dòng)化網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包含公司的業(yè)務(wù)敏感信息，屬于商業(yè)機(jī)密，在公網(wǎng)上直接傳輸存在著很大的隱患，黑客或網(wǎng)絡(luò)運(yùn)營(yíng)商中的某些有不良居心的人員可以利用專(zhuān)用軟件在網(wǎng)絡(luò)結(jié)點(diǎn)設(shè)備或線(xiàn)路上截獲業(yè)務(wù)數(shù)據(jù)，如果這些數(shù)據(jù)被公布或篡改，對(duì)于臺(tái)州港務(wù)局而言，后果是非常嚴(yán)重的。另一方面，如果總局的網(wǎng)絡(luò)邊界沒(méi)有防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)，也沒(méi)有做任何訪(fǎng)問(wèn)控制，這樣就存在極大的安全隱患，外部網(wǎng)絡(luò)可以隨意訪(fǎng)問(wèn)服務(wù)器，一旦服務(wù)器的密碼被暴力破解，或者黑客利用操作系統(tǒng)的某些漏洞進(jìn)入了服務(wù)器，不但服務(wù)器中辦公自動(dòng)化系統(tǒng)的數(shù)據(jù)面臨危險(xiǎn)，而且黑客極易利用服務(wù)器作為跳板，轉(zhuǎn)而攻擊內(nèi)部網(wǎng)絡(luò)的機(jī)器，那么整個(gè)系統(tǒng)將無(wú)安全性可言。3、網(wǎng)絡(luò)規(guī)劃從經(jīng)濟(jì)角度考慮，電信提供的專(zhuān)線(xiàn)組網(wǎng)方式費(fèi)用比較昂貴，由于臺(tái)州港務(wù)局的下屬分局分布在不同的區(qū)縣，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點(diǎn)數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費(fèi)用和專(zhuān)線(xiàn)租用費(fèi)會(huì)給局里帶來(lái)很大的壓力。從安全方面考慮，電信提供的DDN、ADSL等傳輸平臺(tái)沒(méi)有經(jīng)過(guò)加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽(tīng)分析工具，極易篡改、竊取甚至破壞數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺(tái)沒(méi)有認(rèn)證功能，內(nèi)部員工的越權(quán)訪(fǎng)問(wèn)、誤操作、有意或無(wú)意的泄密、甚全是少數(shù)員工惡意的破壞，都會(huì)對(duì)信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺(tái)沒(méi)有訪(fǎng)問(wèn)控制和安全隔離的功能，給外部非法人員提供了入侵的機(jī)會(huì)，非法人員可以通過(guò)專(zhuān)用的黑客程序（此類(lèi)工具在Interne上可以任意下載），或者盜取授權(quán)員工的訪(fǎng)問(wèn)權(quán)限，進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部，使系統(tǒng)安全受到嚴(yán)重的威脅。由于臺(tái)州港務(wù)局分支機(jī)構(gòu)和聯(lián)網(wǎng)網(wǎng)點(diǎn)數(shù)目眾多，知名度大，受攻擊的幾率相對(duì)較大，一旦通過(guò)計(jì)算機(jī)終端進(jìn)入公司總部服務(wù)器，后果將不堪設(shè)想。從管理方面考慮，現(xiàn)在網(wǎng)絡(luò)處于高速發(fā)展階段，計(jì)算機(jī)終端越來(lái)越多，面臨最緊迫的問(wèn)題就是信息的匯總、分局和總局的信息交互以及計(jì)算機(jī)終端的集中管理。DDN、ADSL等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強(qiáng)大的管理平臺(tái)，也不可能解決大規(guī)模的應(yīng)用和管理問(wèn)題。從經(jīng)營(yíng)角度考慮，臺(tái)州港務(wù)局需要一個(gè)實(shí)時(shí)的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺(tái)，來(lái)滿(mǎn)足企業(yè)信息頻繁傳輸?shù)男枰黾悠髽I(yè)的工作效率，提高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)，適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。綜上所述，如何快捷地港務(wù)局聯(lián)網(wǎng)問(wèn)題，如何有效地降低企業(yè)的巨額通訊費(fèi)用，如何很好地解決“信息的共享和信息的安全問(wèn)題”是本方案重點(diǎn)討論要解決的問(wèn)題，使整個(gè)網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個(gè)網(wǎng)絡(luò)的安全性達(dá)到一個(gè)全面加強(qiáng)，使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。根據(jù)以上的分析臺(tái)州港務(wù)局的網(wǎng)絡(luò)建設(shè)采用VPN技術(shù)最為理想?。?）臺(tái)州港務(wù)局總部設(shè)計(jì)方案臺(tái)州港務(wù)局總部是整個(gè)港務(wù)局的“心臟地帶”，重要信息的交互、共享，重要數(shù)據(jù)的頻繁傳輸，組成了港務(wù)局的業(yè)務(wù)流。隨著企業(yè)信息化程度的不斷加深，各種應(yīng)用系統(tǒng)會(huì)逐步得到應(yīng)用。隨之而來(lái)，信息安全問(wèn)題也會(huì)成為我們關(guān)注的焦點(diǎn)。目前，臺(tái)州港務(wù)局總部的內(nèi)部網(wǎng)絡(luò)，通過(guò)電信網(wǎng)絡(luò)直接接入1nternet?？紤]以后總部業(yè)務(wù)需求的發(fā)展和承擔(dān)的重要任務(wù)，建議在總部網(wǎng)絡(luò)出口處部署VPN硬件安全網(wǎng)關(guān)（安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)來(lái)保護(hù)臺(tái)州港務(wù)局總部和分支機(jī)構(gòu)內(nèi)網(wǎng)的安全通訊、安全傳輸），保證中心系統(tǒng)業(yè)務(wù)的不中斷。配備高性能服務(wù)器來(lái)處理網(wǎng)絡(luò)信息傳輸?shù)确?wù)。網(wǎng)絡(luò)構(gòu)架示意圖如下：（2） 各分局設(shè)計(jì)方案由于各分局需要與臺(tái)州港務(wù)局總部進(jìn)行大量的信息交換，并且隨著辦公自動(dòng)化系統(tǒng)的應(yīng)用加深，網(wǎng)絡(luò)數(shù)據(jù)在企業(yè)Intranet網(wǎng)上的頻繁傳輸，為了保證總部與分局、分局與分局之間進(jìn)行安全的信息傳輸，我們?cè)诟鞣志址謩e部署硬件安全網(wǎng)關(guān)設(shè)備，達(dá)到和總部以及其他分局的VPN通訊。如下圖：（3） 移動(dòng)用戶(hù)的遠(yuǎn)程安全接