VPN網(wǎng)絡(luò)建設(shè)解決方案

目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章項(xiàng)目情況介紹 1\o"CurrentDocument"項(xiàng)目背景 1\o"CurrentDocument"目前網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀分析 1\o"CurrentDocument"第二章設(shè)計(jì)原則和設(shè)計(jì)思想 5\o"CurrentDocument"安全性原則 5\o"CurrentDocument"實(shí)用性原則 6\o"CurrentDocument"可靠性原則 6\o"CurrentDocument"可擴(kuò)展性原則 6\o"CurrentDocument"易管理性原則 7第三章XX集團(tuán)VPN網(wǎng)絡(luò)建設(shè)方案 8VPN技術(shù)簡(jiǎn)介 8\o"CurrentDocument"系統(tǒng)設(shè)計(jì)功能分析 12\o"CurrentDocument"VPN系統(tǒng)對(duì)原有系統(tǒng)的兼容 12\o"CurrentDocument"VPN系統(tǒng)對(duì)原有網(wǎng)絡(luò)的兼容 12\o"CurrentDocument"網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證 13\o"CurrentDocument"因地制宜的部署原則 14\o"CurrentDocument"為企業(yè)節(jié)省了費(fèi)用開支 15\o"CurrentDocument"系統(tǒng)的易擴(kuò)展性 15\o"CurrentDocument"產(chǎn)品選型 16\o"CurrentDocument"網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署 17\o"CurrentDocument"第四章技術(shù)支持服務(wù) 20\o"CurrentDocument"技術(shù)支持與服務(wù) 20\o"CurrentDocument"用戶培訓(xùn) 21\o"CurrentDocument"第五章安達(dá)通公司簡(jiǎn)介 23第一章項(xiàng)目情況介紹項(xiàng)目背景以Internet網(wǎng)為主體的信息高速公路的迅猛發(fā)展，正以前所未有的速度和能力改變著人們的生活和工作方式，我們真正處于一個(gè)“信息爆炸”的時(shí)代。一方面，Internet網(wǎng)使得人們能夠跨越時(shí)空的限制，為學(xué)習(xí)、生活和工作帶來空前的便利；另一方面，面對(duì)信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息迷向”的現(xiàn)象。特別是，Internet網(wǎng)是一個(gè)無國界的虛擬信息社會(huì)，現(xiàn)實(shí)社會(huì)中的各種問題都會(huì)在Internet網(wǎng)上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大，網(wǎng)絡(luò)安全問題變得越來越重要。目前，隨著通訊技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的應(yīng)用普及和加深，許多員工的辦公不再僅僅局限于同一物理位置上的辦公，即使在辦事處、分支機(jī)構(gòu)、出差在外、在家中，均可像在公司總部辦公一樣協(xié)同工作。尤其是出現(xiàn)自然因素（如，目前的“非典”原因）而導(dǎo)致員工需要遠(yuǎn)程協(xié)同辦公，這就需要建立一個(gè)安全、快捷、經(jīng)濟(jì)、方便的信息交互平臺(tái)，來傳輸遠(yuǎn)程辦公員工與公司之間的信息交流。XX集團(tuán)作為國內(nèi)知名企業(yè)，信息的敏感性決定了它們歷來都是各種居心叵測(cè)者的重要關(guān)注對(duì)象，甚至也是內(nèi)部員工十分感興趣的內(nèi)容，這提醒我們應(yīng)該更加注重網(wǎng)絡(luò)安全的建設(shè)。值得稱道的是，公司領(lǐng)導(dǎo)已經(jīng)對(duì)此引起了高度重視，并計(jì)劃逐步進(jìn)行卓有成效的防護(hù)工作。在這方面，合理借鑒市場(chǎng)先進(jìn)經(jīng)驗(yàn)與理念十分重要。XX集團(tuán)信息系統(tǒng)當(dāng)前面臨的首要問題和最大隱患是：邊界安全防御與鏈路傳輸?shù)募用?。這也正是本方案中力求加以明確的地方。我們將通過認(rèn)真和充分的系統(tǒng)分析將這些問題揭示出來并提供解決方法的建議。目前網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀分析XX集團(tuán)總部設(shè)在杭州，企業(yè)網(wǎng)Intranet是以金頂苑總部大樓為中心，通過幀中繼及網(wǎng)通的VPN與余杭一廠、八廠、杭州二廠區(qū)連接的企業(yè)廣域網(wǎng)，其余各公司、各地辦事處則通過撥號(hào)上網(wǎng)或?qū)拵暇W(wǎng)與總部服務(wù)器連接，已經(jīng)初步建立起一套信息交互的網(wǎng)絡(luò)體系。

總部網(wǎng)絡(luò)通過電信的光纖接入互聯(lián)網(wǎng)。在網(wǎng)絡(luò)的接口處部署了防火墻提供內(nèi)網(wǎng)訪問Internet的路由并保證內(nèi)部網(wǎng)絡(luò)的安全。目前，在網(wǎng)絡(luò)上運(yùn)行的OA等應(yīng)用系統(tǒng)。XX集團(tuán)現(xiàn)在全國有26處分支機(jī)構(gòu)，大多通過撥號(hào)或者寬帶接入公司總部?？偛磕壳熬W(wǎng)絡(luò)拓?fù)鋱D如下：VPN骨干網(wǎng)交換機(jī)余杭一廠（老余杭）交換機(jī)交換機(jī)VPN骨干網(wǎng)交換機(jī)余杭一廠（老余杭）交換機(jī)交換機(jī)圖1-1XX集團(tuán)網(wǎng)絡(luò)拓?fù)涫疽鈭D隨著公司業(yè)務(wù)的迅速發(fā)展，各地分公司、辦事處也相繼多了起來，信息交互也越來越頻繁，隨著企業(yè)應(yīng)用系統(tǒng)的實(shí)施，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也也來越多，安全性要求也越來越重要，目前僅僅依靠Modem撥號(hào)、ADSL以及專線的組網(wǎng)模式已經(jīng)越來越不適應(yīng)XX集團(tuán)對(duì)信息傳輸平臺(tái)的要求了。從經(jīng)濟(jì)角度考慮，電信部門提供的專線組網(wǎng)方式費(fèi)用比較昂貴，由于XX集團(tuán)是一個(gè)快速發(fā)展的現(xiàn)代企業(yè)，先后在北京、廣州、上海、南京、武漢、西安以及省內(nèi)主要城市設(shè)立了多家分支機(jī)構(gòu)，同時(shí)擁有多家緊密型的合作伙伴或分銷客戶網(wǎng)絡(luò)，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點(diǎn)數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費(fèi)用和專線租用費(fèi)會(huì)給XX集團(tuán)帶來很大的壓力。從安全方面考慮，電信部門提供的幀中繼、MPLSVPN、DDN、ADSL等傳輸平臺(tái)沒有經(jīng)過加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺(tái)沒有認(rèn)證功能，企業(yè)內(nèi)部員工的越權(quán)訪問、誤操作、有意或無意的泄密、甚至是少數(shù)員工惡意的破壞，都會(huì)對(duì)企業(yè)的信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺(tái)沒有訪問控制和安全隔離的功能，給外部非法人員提供了入侵的機(jī)會(huì)，非法人員可以通過專用的黑客程序（此類工具在Internet上可以免費(fèi)下載），或者盜取授權(quán)員工的訪問權(quán)限，進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部，讓“網(wǎng)絡(luò)巨人折戟沉沙，使系統(tǒng)安全潰于蟻穴的'。由于XX集團(tuán)分支機(jī)構(gòu)和聯(lián)網(wǎng)網(wǎng)點(diǎn)數(shù)目眾多，知名度大，受攻擊的幾率相對(duì)較大，一旦通過計(jì)算機(jī)終端進(jìn)入公司總部服務(wù)器，后果將不堪設(shè)想。從管理方面考慮，XX集團(tuán)處于高速發(fā)展階段，擁有的分支機(jī)構(gòu)和計(jì)算機(jī)終端較多，面臨最緊迫的問題就是信息的匯總、分支機(jī)構(gòu)的信息交互以及計(jì)算機(jī)終端的集中管理。DDN、ADSL等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強(qiáng)大的管理平臺(tái)，也不可能解決大規(guī)模的應(yīng)用和管理問題。從經(jīng)營角度考慮，XX集團(tuán)需要一個(gè)實(shí)時(shí)的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺(tái)，來滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)，適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴(kuò)展性的優(yōu)點(diǎn)，且VPN產(chǎn)品特有的具有對(duì)internet上的內(nèi)部移動(dòng)用戶安全接入，可以徹底消除地域差異，實(shí)現(xiàn)可移動(dòng)用戶的網(wǎng)絡(luò)互連及基于internet的可移動(dòng)安全訪問控制。因此，采用VPN方式組網(wǎng)對(duì)XX集團(tuán)來說是一種現(xiàn)實(shí)可行的，完全可以滿足公司員工在辦事處、在外

出差、在家秉承辦公的業(yè)務(wù)需要。下面是VPN與專線的綜合比較:VPN技術(shù)專線技術(shù)安全性非常高，保護(hù)數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄?、不可抵賴性；安全控制在用戶手里比較高。但是，安全是建立在對(duì)電信部門相信的基礎(chǔ)上，對(duì)電信運(yùn)營商，無任何安全可言?？蓴U(kuò)展性基于TCP/IP技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達(dá)，就可以方便擴(kuò)展。依靠當(dāng)?shù)剡\(yùn)營商的支持，擴(kuò)展很不方便。投資成本設(shè)備一次性投入，不需要支出每月的運(yùn)營費(fèi)用，長期看來大幅度節(jié)省支出。專線費(fèi)用很高，需要每月支付昂貴的專線租用費(fèi)用，而且在初期要一次性投入路由器的費(fèi)用對(duì)遠(yuǎn)程用戶的支持能對(duì)internet上的內(nèi)部移動(dòng)用戶安全接入，徹底消除地域差異。構(gòu)造全球的虛擬專網(wǎng)。只能聯(lián)通專線拉到的網(wǎng)絡(luò)，不支持離開局域網(wǎng)的內(nèi)部用戶接入專網(wǎng)。帶寬使用各種廉價(jià)的寬帶介入方式，如：ADSL，Ethernet等，一般在1?100M。由于價(jià)格昂貴，一般租用的帶寬都比較窄（一般不超過2M）。升級(jí)依賴于設(shè)備的升級(jí)，非常方便。依賴于電信部門。表1-1VPN與專線比較表綜上所述，如何快捷地解決XX集團(tuán)的企業(yè)聯(lián)網(wǎng)問題，如何有效地解決企業(yè)巨額通訊費(fèi)和專線租用費(fèi)，如何很好地解決“信息的共享和信息的安全問題”是本方案重點(diǎn)討論要解決的問題，使整個(gè)網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個(gè)網(wǎng)絡(luò)的安全性達(dá)到一個(gè)全面加強(qiáng)，使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。第二章設(shè)計(jì)原則和設(shè)計(jì)思想系統(tǒng)的總體設(shè)計(jì)思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性，著力于“實(shí)用性、高起點(diǎn)、前瞻性、擴(kuò)展性”。具體的我們遵循了以下原則：安全性原則在公司網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中，都應(yīng)該嚴(yán)格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個(gè)公司業(yè)務(wù)運(yùn)作的大局。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供多種手段保障系統(tǒng)的安全，對(duì)相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用數(shù)據(jù)庫提供嚴(yán)密的保護(hù)。同時(shí)，采用國際上最新的主流VPN技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性，同時(shí)可以為用戶盡可能地降低系統(tǒng)投入成本，實(shí)現(xiàn)高效益。網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品，好的安全策略；另一方面，更為重要的是要有完善的安全管理制度。從技術(shù)角度來看，一個(gè)完善的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括以下三個(gè)方面：安全防護(hù)主動(dòng)安全評(píng)估安全實(shí)時(shí)監(jiān)控安全防護(hù)就是通過防火墻（在本方案中采用具備Firewall功能的安達(dá)通“安全網(wǎng)關(guān)”）或網(wǎng)絡(luò)物理隔離等設(shè)備，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行控制；同時(shí)在應(yīng)用、主機(jī)上限制非法用戶進(jìn)入，或者用戶越權(quán)訪問。主動(dòng)安全評(píng)估是基于安全防護(hù)的基礎(chǔ)上進(jìn)行的，在通過了安全防護(hù)之后，可以借助安全工具或者是有經(jīng)驗(yàn)的安全專家來進(jìn)行安全評(píng)估。安全實(shí)時(shí)監(jiān)控也是屬于主動(dòng)防御范疇。指在我們對(duì)網(wǎng)絡(luò)上的各種行為進(jìn)行監(jiān)控，例如黑客攻擊一個(gè)系統(tǒng)之前，往往需要了解這個(gè)系統(tǒng)的結(jié)構(gòu)或者漏洞，他們往往會(huì)利用網(wǎng)絡(luò)掃描工具對(duì)某個(gè)網(wǎng)段或者主機(jī)進(jìn)行掃描，實(shí)時(shí)監(jiān)控系統(tǒng)能夠檢測(cè)到這類行為。我公司堅(jiān)持以高度安全性為基本原則，有效地防止網(wǎng)絡(luò)的非法侵入，保護(hù)關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。實(shí)用性原則系統(tǒng)在設(shè)計(jì)上一方面將滿足雙向的數(shù)據(jù)傳送、實(shí)時(shí)處理的要求；另一方面，又采用國際上最先進(jìn)的技術(shù)，使系統(tǒng)完成后，保持一定時(shí)期的領(lǐng)先地位。尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢(shì)，體現(xiàn)在：不僅具有FireWall的保護(hù)內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用VPN技術(shù)，可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導(dǎo)致可以直接省略“撥號(hào)服務(wù)器”），同時(shí)可以不受接入數(shù)量限制，這使整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù)，不僅強(qiáng)化了本身的抗攻擊能力，而且可以與IDS系統(tǒng)互動(dòng)。實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實(shí)用性相結(jié)合?？煽啃栽瓌t這套網(wǎng)絡(luò)安全系統(tǒng)是企業(yè)內(nèi)網(wǎng)的門戶。它的穩(wěn)定可靠關(guān)系重大，特別是具體業(yè)務(wù)項(xiàng)目。隨著使用的普及，信息平臺(tái)的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響企業(yè)的形象，也將給為企業(yè)帶來不便和不可低估的損失。因此可靠性是平臺(tái)運(yùn)行的首要保證。我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性，采用負(fù)載均衡技術(shù)、備份技術(shù)就是其中的重要策略?？蓴U(kuò)展性原則網(wǎng)絡(luò)安全互聯(lián)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實(shí)施、逐步完善的的過程。我公司在該方案的設(shè)計(jì)中充分考慮它的可擴(kuò)展性，在實(shí)現(xiàn)基本的網(wǎng)絡(luò)互聯(lián)以及被動(dòng)防護(hù)系統(tǒng)（安裝“安全網(wǎng)關(guān)及其管理平臺(tái)”，配發(fā)遠(yuǎn)程移動(dòng)客戶（安全網(wǎng)關(guān)客戶端））以及信息傳輸加密的前提下，為以后進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)防護(hù)系統(tǒng)，主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口，便于以后的擴(kuò)展以及與IDS等設(shè)備實(shí)現(xiàn)互動(dòng)。易管理性原則網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平臺(tái)的易管理性，為平臺(tái)維護(hù)者提供方便的管理工具；同時(shí)又要設(shè)計(jì)規(guī)范但不失靈活的工作流程。安達(dá)通公司提供“PKI網(wǎng)管平臺(tái)”對(duì)安全網(wǎng)關(guān)、移動(dòng)客戶進(jìn)行統(tǒng)一管理。另外，與“安全策略服務(wù)器”統(tǒng)一布署，可以統(tǒng)一管理安全網(wǎng)關(guān)、IDS、掃描系統(tǒng)的安全策略。另外，通過網(wǎng)管平臺(tái)，可以實(shí)現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管理手段。第三章XX集團(tuán)VPN網(wǎng)絡(luò)建設(shè)方案3.1VPN技術(shù)簡(jiǎn)介1、基于IPsec的VPN技術(shù)VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道）將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機(jī)將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。對(duì)企業(yè)而言，VPN可以替代傳統(tǒng)租用線來連接計(jì)算機(jī)或局域網(wǎng)等。而任何VPN業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是VPN實(shí)施的關(guān)鍵。數(shù)據(jù)通過安全的"加密管道"在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。在眾多的VPN解決方案中，IP-VPN脫穎而出，成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運(yùn)行IP協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計(jì)初期并沒有過多地考慮安全問題，因此無法為用戶解決他們所擔(dān)心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后，解決了這一難題。目前，國際主流的大多是基于Ipsec的VPN技術(shù)，該技術(shù)正在迅速走向成熟，而且它正處于興盛期。□□□□□□□□□□□□□□□□□□□□虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：保證數(shù)據(jù)的真實(shí)性：通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)(IPSpoofing)的能力。保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機(jī)密性:提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動(dòng)態(tài)密匙交換功能:提供密匙中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演(Replay)的功能，保證通道不能被重演。提供安全防護(hù)措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問控制(AccessControl)。虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障，大多數(shù)的VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點(diǎn)的連接方式，后來它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù)，例如在一個(gè)遠(yuǎn)程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期。2、全動(dòng)態(tài)VPN組網(wǎng)方式IP-VPN的聯(lián)網(wǎng)方式大致有三種：1、固定IP與固定IP；2、固定IP與動(dòng)態(tài)IP；3、動(dòng)態(tài)IP與動(dòng)態(tài)IP。第一種的聯(lián)網(wǎng)方式是比較傳統(tǒng)的方式，技術(shù)上實(shí)現(xiàn)最容易，目前的防火墻等設(shè)備就可以實(shí)現(xiàn)這種功能；第二種的VPN聯(lián)網(wǎng)方式對(duì)于目前大多數(shù)專業(yè)的VPN廠商也基本能解決；而第三種方式即動(dòng)態(tài)IP與動(dòng)態(tài)IP之間的VPN通訊卻成了很多廠商和科研機(jī)構(gòu)望而卻步的技術(shù)難題，實(shí)現(xiàn)起來并解決大規(guī)模的實(shí)際應(yīng)用就更加困難。安達(dá)通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，投入了很大的人力、財(cái)力，經(jīng)過一段時(shí)間的攻關(guān)和研究，最終以“策略服務(wù)器”的方式解決了這個(gè)難題?！安呗苑?wù)器”管理系統(tǒng)由DynamicVPN管理服務(wù)器、網(wǎng)絡(luò)管理員和DynamicVPN網(wǎng)元組成。Dynamic管理服務(wù)器由WEB服務(wù)器、管理應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器組成。WEB服務(wù)器負(fù)責(zé)以WEB服務(wù)的形式對(duì)外提供各種管理服務(wù)，管理應(yīng)用服務(wù)器完成具體的邏輯與業(yè)務(wù)處理功能，數(shù)據(jù)庫服務(wù)器負(fù)責(zé)保存DynamicVPN管理所需要的各種數(shù)據(jù)，它可以是關(guān)

系數(shù)據(jù)庫和/或LDAP服務(wù)器。安達(dá)通公司的“策略服務(wù)器”不但真正解決了全動(dòng)態(tài)的VPN組網(wǎng)方案，還融入了PKI技術(shù)，采用基于數(shù)字證書的動(dòng)態(tài)IKE進(jìn)行協(xié)商和認(rèn)證，解決了大規(guī)模VPN組網(wǎng)的安全管理和安全認(rèn)證技術(shù)。3、基于IP-VPN中NAT穿透問題基于IPsec的VPN解決方案中NAT穿透問題一直是很多廠商以及客戶所棘手的問題。不但I(xiàn)Psec協(xié)議本身不能穿透NAT設(shè)備，就是常用的視頻、語音等通訊方式所用的H.323和SIP協(xié)議也不能穿透NAT。下面以A、B兩地實(shí)現(xiàn)視頻會(huì)議為例，闡述一下NAT穿透問題。我們假設(shè)在寬帶城域網(wǎng)有兩個(gè)用戶A和B，其中A用戶處在私網(wǎng)內(nèi)部，B用戶是在Internet公網(wǎng)上，這兩個(gè)用戶都安裝了IP視頻會(huì)議終端，希望通過寬帶城域網(wǎng)開個(gè)臨時(shí)的視頻會(huì)議。如下圖示，B用戶首先呼叫A用戶，B用戶發(fā)出的H.323或SIP建立會(huì)話連接的初始化包發(fā)送到A用戶網(wǎng)絡(luò)的NAT設(shè)備時(shí)，由于NAT設(shè)備只做IP地址轉(zhuǎn)換的處理，因此不知道該如何將B用戶發(fā)來的H.323或SIP建立會(huì)話連接的初始化包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的哪個(gè)用戶，只好將該初始化包丟棄。而A用戶雖然一直在等待B用戶的初始化包，但A用戶卻永遠(yuǎn)等不到B用戶的初始化包，這樣A用戶和B用戶永遠(yuǎn)都建立不起來H.323或SIP會(huì)話連接，也就無法開IP視頻會(huì)議。Internet)SIP/InviteInternet)PrivateIP:10.1.1.xFW/NAT /UnsolicitedinvitationpacketsWaitingforcalonport1720圖3-2NAT穿透問題示意圖（一）另一種情況也一樣，由A用戶首先呼叫B用戶，如下圖示，A用戶發(fā)出的H.323或SIP建立會(huì)話連接的初始化包發(fā)送到A用戶網(wǎng)絡(luò)的NAT設(shè)備時(shí)，由于NAT設(shè)備只做IP地址轉(zhuǎn)換的處理，NAT設(shè)備將該IP包包頭中的A用戶私網(wǎng)地址替換成自己的公網(wǎng)地址，這樣A用戶發(fā)出的H.323或SIP建立會(huì)話連接的初始化包才能夠發(fā)送B用戶處，B用戶上層的視頻

會(huì)議應(yīng)用程序收到該初始化包，并作出應(yīng)答，但是A用戶在發(fā)出H.323或SIP建立會(huì)話連接的初始化包時(shí)，在上層應(yīng)用數(shù)據(jù)包中采用的地址是A用戶的私網(wǎng)地址，這樣B用戶上層的視頻會(huì)議應(yīng)用程序就會(huì)采用初始化包中上層應(yīng)用數(shù)據(jù)包里的A用戶的私網(wǎng)地址來發(fā)送應(yīng)答包，由于A用戶的地址是私網(wǎng)地址，因此該應(yīng)答包就無法在公網(wǎng)上傳送。這樣A用戶和B用戶還是建立不起來H.323或SIP會(huì)話連接，還是無法開IP視頻會(huì)議。NAT:addressC臼更BA|DatawithIPA/BNAT:addressC臼更BA|DatawithIPA/BPrivateIP:UnsolicitedinvitationpacketsacceptedbyB圖3-3NAT穿透問題示意圖(二)安達(dá)通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，經(jīng)過一段時(shí)間的攻關(guān)和研究，初步解決了NAT穿透問題，為企業(yè)構(gòu)建跨城域網(wǎng)的VPN網(wǎng)絡(luò)以及視頻、語音通訊的建立提供了解決方案。如果需要實(shí)現(xiàn)穿越NAT的安全連接，需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置ADT引擎（需要在NAT設(shè)備上為ADT引擎作靜態(tài)地址翻譯）或者在外網(wǎng)（公網(wǎng)）設(shè)置ADT引擎。ADT引擎是一個(gè)專用UDP-T（即UDP隧道）數(shù)據(jù)包的路由轉(zhuǎn)發(fā)軟件，放置在網(wǎng)絡(luò)邊緣，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)流量。下面為數(shù)據(jù)包的結(jié)構(gòu)：UDP-T封裝 標(biāo)準(zhǔn)IP報(bào)文IPTunnelUDPUDP-TIPvirtualIPSecPayHeaderHeaderheaderheaderheaders(optional)load

UDP-T包在經(jīng)過ADT引擎轉(zhuǎn)發(fā)時(shí)，ADT引擎根據(jù)UDP-T包內(nèi)的UDP-THeader域所指定的路由信息來更換UDP-T包IPTunnelHeader域的源地址和目的地址，從而完成從一個(gè)私網(wǎng)成員到另一個(gè)私網(wǎng)成員的包轉(zhuǎn)發(fā)，而UDP-T包內(nèi)部的IPVirtualHeader的源地址和目的地址始終保持不變，保證了上層應(yīng)用中IP地址的完整性，從而實(shí)現(xiàn)IPSec、H.323和SIP等多媒體協(xié)議端到端通信的完整性。系統(tǒng)設(shè)計(jì)功能分析企業(yè)建設(shè)安全的信息系統(tǒng)，一個(gè)前提是不能改變?cè)械膽?yīng)用方式，并且既要保證安全的遠(yuǎn)程訪問（加密），又要和正常的直接訪問（明文）相兼容，適合多種多樣的應(yīng)用需求。按照本方案建設(shè)的網(wǎng)絡(luò)安全系統(tǒng)，將在不改變應(yīng)用系統(tǒng)結(jié)構(gòu)和用戶的使用習(xí)慣已經(jīng)與正常訪問兼容的基礎(chǔ)之上，為XX集團(tuán)的信息系統(tǒng)提供強(qiáng)有力的安全保障，并在移動(dòng)接入、分支機(jī)構(gòu)網(wǎng)絡(luò)等方面為企業(yè)節(jié)省成本，帶來直接的效益。VPN系統(tǒng)對(duì)原有系統(tǒng)的兼容VPN安全網(wǎng)關(guān)遵循標(biāo)準(zhǔn)的Ipsec和IKE協(xié)議，在網(wǎng)絡(luò)層對(duì)IP數(shù)據(jù)包進(jìn)行加密，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流做基于五元組的訪問控制，因此，對(duì)于應(yīng)用系統(tǒng)是完全透明的，即上層的應(yīng)用程序感覺不到數(shù)據(jù)在傳輸過程中被加密；也就是最終用戶感覺不出使用了VPN前后在網(wǎng)絡(luò)系統(tǒng)上有什么不同，也不必對(duì)自己平時(shí)的使用習(xí)慣做任何改變；應(yīng)用程序的開發(fā)商也不需要對(duì)在VPN上使用的系統(tǒng)做特別的修改。在XX集團(tuán)內(nèi)部，無論是目前已投入使用的多套應(yīng)用系統(tǒng)，還是以后的新系統(tǒng)，不管系統(tǒng)平臺(tái)如何，采用的結(jié)構(gòu)是傳統(tǒng)的C/S還是B/S，都將可以平滑過渡到VPN網(wǎng)絡(luò)平臺(tái)上使用。Ipsec協(xié)議決定了只要在網(wǎng)絡(luò)傳輸上使用TCP/IP協(xié)議的應(yīng)用系統(tǒng)，都可以在VPN平臺(tái)下正常運(yùn)行，然而在TCP/IP協(xié)議作為事實(shí)上的工業(yè)標(biāo)準(zhǔn)的今天，任何新開發(fā)的應(yīng)用系統(tǒng)都是基于此的，因此對(duì)于將來的ERP等系統(tǒng)修改、擴(kuò)展乃至增加系統(tǒng)等等，VPN系統(tǒng)完全不需更改，不必要擔(dān)心應(yīng)用系統(tǒng)的兼容性問題。VPN系統(tǒng)對(duì)原有網(wǎng)絡(luò)的兼容由于根據(jù)網(wǎng)絡(luò)設(shè)計(jì)VPN由于根據(jù)網(wǎng)絡(luò)設(shè)計(jì)VPN設(shè)備VPN安全網(wǎng)關(guān)將會(huì)串行的連接在總部的路由器之后，并將作為分公司的路由設(shè)備為網(wǎng)絡(luò)提供路由，因此，在增加了這個(gè)設(shè)備后會(huì)不會(huì)影響原有正常的網(wǎng)絡(luò)訪問，比如WEB、MAIL、DNS等等是一個(gè)必須說明并確認(rèn)的問題。這個(gè)問題可以分為二個(gè)方面來討論，首先是內(nèi)部的服務(wù)器是否能象原來一樣向外提供服務(wù)，其次是內(nèi)部網(wǎng)絡(luò)用戶是否能正常訪問互聯(lián)網(wǎng)Qnternet）。下面將就這二點(diǎn)分別闡述。服務(wù)器單獨(dú)放在一個(gè)子網(wǎng)中，使用私有IP地址，對(duì)外是不可見的，但可以通過在VPN安全網(wǎng)關(guān)上配置靜態(tài)端口映射，使得外部網(wǎng)絡(luò)可以訪問到該服務(wù)器的某端口，而通常服務(wù)器都是通過TCP或UDP的某一個(gè)的端口來提供服務(wù)（比如WEB使用TCP的80端口，DNS使用UDP的53端口等等），因此對(duì)于絕大多數(shù)的應(yīng)用，都可以使用靜態(tài)端口映射來滿足向外提供服務(wù)的需求。對(duì)于某些少數(shù)在網(wǎng)絡(luò)通信中使用不固定端口的應(yīng)用，還可以通過靜態(tài)地址映射來達(dá)到目的，即將整個(gè)服務(wù)器映射成公有地址。這樣，XX集團(tuán)公司中所有需要公開的服務(wù)器都可以利用VPN安全網(wǎng)關(guān)的靜態(tài)端口映射和靜態(tài)地址映射向外提供服務(wù)。內(nèi)網(wǎng)主機(jī)眾多，可是公有IP地址有限，要訪問互聯(lián)網(wǎng)必須通過地址轉(zhuǎn)換來實(shí)現(xiàn)，VPN安全網(wǎng)關(guān)的地址池映射功能可以滿足提供內(nèi)部網(wǎng)絡(luò)上互聯(lián)網(wǎng)的要求，并且還可以對(duì)上網(wǎng)的主機(jī)和時(shí)間段作出控制。同樣，對(duì)于分公司的子網(wǎng)，也可以通過VPN安全網(wǎng)關(guān)的地址池映射功能提供內(nèi)部主機(jī)的上網(wǎng)。為滿足以上二點(diǎn)采用的各種技術(shù)和VPN安全加密功能都可以同時(shí)發(fā)揮作用，VPN安全網(wǎng)關(guān)將根據(jù)數(shù)據(jù)包的IP地址和端口（五元組）信息自動(dòng)地對(duì)IP數(shù)據(jù)包作出相應(yīng)地處理，達(dá)到以上的目的。即VPN系統(tǒng)與原有的網(wǎng)絡(luò)系統(tǒng)完全兼容，絕不會(huì)因建設(shè)了VPN系統(tǒng)而導(dǎo)致原有的正常訪問中斷或改變方式。網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證VPN系統(tǒng)在網(wǎng)絡(luò)層實(shí)現(xiàn)了訪問控制和身份認(rèn)證功能。當(dāng)一個(gè)用戶需要訪問受網(wǎng)關(guān)保護(hù)的服務(wù)器的信息時(shí)，VPN安全網(wǎng)關(guān)首先根據(jù)預(yù)先配置的策略判斷對(duì)方的IP地址是否授權(quán)的用戶，如果有為對(duì)方配置的策略，則開始IKE密鑰協(xié)商，密鑰協(xié)商包含了身份認(rèn)證的過程，在基于PKI體系下的身份認(rèn)證能很好地確保網(wǎng)絡(luò)訪問的安全性和唯一性。只有在IKE密鑰協(xié)商成功以后，VPN安全網(wǎng)關(guān)才會(huì)把服務(wù)器的返回?cái)?shù)據(jù)通過加密發(fā)送到客戶端；對(duì)進(jìn)來的數(shù)據(jù)進(jìn)行完整性校驗(yàn)和解密。只要策略配置適當(dāng)，VPN安全網(wǎng)關(guān)本身沒有開放的端口，即使暴露在公網(wǎng)上，也可以抵擋掃描、DoS等攻擊行為，一些假冒IP等等攻擊手段也無法攻擊到網(wǎng)絡(luò)內(nèi)部，做到了對(duì)內(nèi)部子網(wǎng)很好的保護(hù)，以及很好的身份認(rèn)證功能。在總部可以對(duì)所有的用戶進(jìn)行控制，如果想停止某個(gè)分公司或移動(dòng)用戶對(duì)總部子網(wǎng)的訪問，只需要在CA中心將其證書廢除即可，體現(xiàn)了統(tǒng)一的管理能力。VPN系統(tǒng)提供了網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證功能，保證只有經(jīng)過授權(quán)的子網(wǎng)或客戶端才能接入XX集團(tuán)內(nèi)部網(wǎng)絡(luò)，保證了一個(gè)端到端的安全，在本身應(yīng)用系統(tǒng)的身份認(rèn)證基礎(chǔ)上又增加了一道外圍防線，更加增強(qiáng)了系統(tǒng)的健壯性和安全性。同時(shí)，通過VPN安全網(wǎng)關(guān)靈活的訪問控制功能，可以允許安全接入和普通接入并存，即對(duì)重要的服務(wù)器，重要的用戶，實(shí)施VPN安全隧道連接，而對(duì)于普通的服務(wù)器、普通的用戶也可以實(shí)現(xiàn)明文的訪問。因地制宜的部署原則整個(gè)VPN的安全體系由VPN安全網(wǎng)關(guān)、安全客戶端、網(wǎng)管中心等多個(gè)部分組成，通過因地制宜的合理配置部署，既可以實(shí)現(xiàn)整體系統(tǒng)的安全性，也達(dá)到了一個(gè)網(wǎng)絡(luò)系統(tǒng)的優(yōu)化和用戶使用的方便。在XX集團(tuán)公司的總部，考慮到數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等重要部分都部署在此，可以部署一臺(tái)高性能的SGW25CVPN安全網(wǎng)關(guān)。如果要保證總部系統(tǒng)的可靠性，可以采用雙機(jī)熱備方式，即在總部網(wǎng)絡(luò)的出口處部署兩臺(tái)SGW25CVPN安全網(wǎng)關(guān)，做雙機(jī)熱備配置，如果主網(wǎng)關(guān)一旦發(fā)生故障當(dāng)機(jī)，備份網(wǎng)關(guān)就會(huì)立即切換到工作狀態(tài)，接替主網(wǎng)關(guān)承擔(dān)系統(tǒng)的運(yùn)行，整個(gè)切換過程平滑透明，不會(huì)對(duì)網(wǎng)絡(luò)應(yīng)用造成影響，在10秒以內(nèi)即可完成切換。在各地的分公司，各使用一臺(tái)SGW25BVPN安全網(wǎng)關(guān)，以保證其整個(gè)子網(wǎng)能安全接入到總部網(wǎng)絡(luò)，并提供其對(duì)Internet訪問和控制。在全國各地的辦事處，如果規(guī)模大一些的，可以部署一臺(tái)SGW25AVPN安全網(wǎng)關(guān)，以保證其整個(gè)子網(wǎng)能安全接入到總部網(wǎng)絡(luò)，并提供其對(duì)Internet訪問和控制。對(duì)于小規(guī)模的辦事處出差員工和公司領(lǐng)導(dǎo)，使用安全客戶端軟件。只需要在他們的電腦上安裝一套“VPN安全網(wǎng)關(guān)客戶端”，在電腦USB□上插上網(wǎng)管人員配的SureID（USB接口的鑰匙），輸入SureID的密碼，一點(diǎn)“連接”按鈕，如果SureID里的策略和身份信息正確有效，就馬上連接到了總部網(wǎng)絡(luò)，使用總部網(wǎng)絡(luò)內(nèi)的私有IP地址就可以對(duì)系統(tǒng)進(jìn)行安全的訪問。網(wǎng)管針對(duì)不同用戶可以配置不同的權(quán)限，即可以訪問的服務(wù)器不同，網(wǎng)絡(luò)不同等等。針對(duì)不用對(duì)象采用不同產(chǎn)品，這樣就發(fā)揮了各自產(chǎn)品的特性，組成了一個(gè)有機(jī)的VPN網(wǎng)絡(luò)體系。為企業(yè)節(jié)省了費(fèi)用開支采用了VPN系統(tǒng)，相當(dāng)于在總部和各地分公司之間建立了安全的專用網(wǎng)絡(luò)，就可以充分利用公共網(wǎng)絡(luò)的資源，在上面運(yùn)行包含企業(yè)內(nèi)部重要信息的應(yīng)用系統(tǒng)。比較傳統(tǒng)的在總部分公司之間拉專線的方式，采用VPN解決方案，大幅度降低了企業(yè)信息系統(tǒng)的投入成本，為企業(yè)帶來了直接的效益。并且在安全性上，也得到了提高，因?yàn)榧词故抢瓕＞€，也需要通過網(wǎng)絡(luò)運(yùn)營商，而采用VPN方案，則是真正的將安全掌握在了自己手中。相應(yīng)地，在采用安全客戶端軟件的移動(dòng)接入方式之前，大部分企業(yè)采用遠(yuǎn)程撥號(hào)到公司內(nèi)部網(wǎng)絡(luò)的方式接入遠(yuǎn)程訪問的問題。這樣就相當(dāng)于打長途電話，如果需要傳輸?shù)臄?shù)據(jù)稍多一些，其電話費(fèi)開銷是非常大的，本身傳輸速度慢不說，而且有接入數(shù)量的限制，取決于總部端的MODEM的數(shù)量。而采用了安全客戶端安全接入解決方案以后，因?yàn)榭蛻舳藢?duì)接入方式不限，如果寬帶接入就解決了速度的問題，最重要的是大大的減少了費(fèi)用，因?yàn)橐朴糜脩糁灰尤氘?dāng)?shù)氐幕ヂ?lián)網(wǎng)，比起打長途電話，費(fèi)用不在一個(gè)數(shù)量級(jí)，另外客戶端接入的個(gè)數(shù)限制就小得多，比如SGW25CVPN安全網(wǎng)關(guān)可以同時(shí)接受1000個(gè)客戶端的并發(fā)接入（如果撥號(hào)就需要支持1000個(gè)MODEM接入）。除此之外，VPN安全網(wǎng)關(guān)本身具備靜態(tài)路由功能，在分公司使用VPN安全網(wǎng)關(guān)，可以代替路由器實(shí)現(xiàn)路由和地址映射功能，因此可以為每個(gè)分公司節(jié)省一臺(tái)路由器，VPN安全網(wǎng)關(guān)的平均工作無故障時(shí)間為15000小時(shí)，可以達(dá)到一般路由器的可靠性，這樣也大大節(jié)省了企業(yè)的投入成本，帶來了效益。系統(tǒng)的易擴(kuò)展性VPN系統(tǒng)建立以后，將來的擴(kuò)展非常方便，如果需要增加一個(gè)分公司或者辦事處，在該地安裝一臺(tái)VPN安全網(wǎng)關(guān)，總部只需要增加一條安全策略即可以實(shí)現(xiàn)該分公司或者辦事處的接入。如果增加一個(gè)移動(dòng)用戶，只需要配發(fā)一個(gè)SureID即可。因此擴(kuò)展非常簡(jiǎn)單。產(chǎn)品選型上海安達(dá)通信息安全技術(shù)有限公司（簡(jiǎn)稱ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的安全問題。公司將自己定位為：基于PKI的網(wǎng)絡(luò)安全傳輸平臺(tái)供應(yīng)商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺(tái)、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SurelD系列、證書中間件”等產(chǎn)品。形成了一個(gè)以CA為核心，證書為靈魂，網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動(dòng)、密切配合的構(gòu)建在PKI平臺(tái)上的網(wǎng)絡(luò)安全系統(tǒng)。安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測(cè)系統(tǒng)（IDS）互動(dòng)的功能；隨著系統(tǒng)的升級(jí)，ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測(cè)功能來增強(qiáng)“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。另外，安達(dá)通公司的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢(shì)一一解決了目前國際上的VPN技術(shù)的難題一一非固定IP間的VPN通訊連接（如：通訊雙方均采用ADSL進(jìn)行連接）。而這一需求也恰恰是XX集團(tuán)多個(gè)分支機(jī)構(gòu)和聯(lián)網(wǎng)網(wǎng)點(diǎn)需要相互進(jìn)行安全通訊的最經(jīng)濟(jì)、最貼切的解決方案。故此，我們建議XX集團(tuán)目前的Modem、ADSL、寬帶等聯(lián)網(wǎng)方式改為在VPN組網(wǎng)方案。VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外，還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)（PSTN）提供的服務(wù)：如Modem撥號(hào)方式、ISDN、ADSL等。先行的專線/ATM方式，從經(jīng)濟(jì)上、管理上、安全上、經(jīng)營上前面已經(jīng)論證不太適合^乂集團(tuán)的組網(wǎng)需求，利用Modem撥號(hào)方式、ISDN方式，針對(duì)XX集團(tuán)這樣的大型企業(yè)來說，從速度上、性能上、經(jīng)濟(jì)上、管理上均不太適合XX集團(tuán)目前發(fā)展的需要，不過，針對(duì)目前小型的辦事處以及聯(lián)網(wǎng)終端不太多的情況下，可以采用此種VPN組網(wǎng)方式。ADSL是電信力推的企業(yè)上網(wǎng)模式，不但速度快、性能好、實(shí)時(shí)性好，針對(duì)XX集團(tuán)的應(yīng)用特點(diǎn)和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟(jì)上也是前幾種組網(wǎng)方式所不能比擬的。另外，安達(dá)通公司SGW網(wǎng)關(guān)系列具有PPOE撥入模塊，支持ADSL撥號(hào)功能，可以節(jié)省專用的撥號(hào)服務(wù)器，節(jié)省設(shè)備投入。故此，我們建議針對(duì)不同駐

外機(jī)構(gòu)的實(shí)際應(yīng)用情況，采用基于Modem、寬帶以及基于ADSL結(jié)合的VPN組網(wǎng)方案。針對(duì)XX集團(tuán)的實(shí)際需求和具體應(yīng)用，我們推薦此方案采用安達(dá)通公司的SGW25C-4、SGW25B、SGW25A硬件產(chǎn)品以及SureClient軟件網(wǎng)關(guān)相結(jié)合的產(chǎn)品解決方案。三種硬件型號(hào)的產(chǎn)品具體參數(shù)如下：項(xiàng)目安全網(wǎng)關(guān)快速參考型號(hào)SGW25ASGW25BSGW25C-4，一處理器PowerPC855TPentium3-866MSDRAM32MB128MBFlash/DOM4MB16MB操作系統(tǒng)RTOS端口1*10MEthernetWAN1*10/100MEthernetLAN1*DB9consoleport1*10/100MEthernetWAN1*10/100MEthernetLAN1*10/100MEthernetDMZ1*10/100MEthernetEXT1*DB9consoleport支持的標(biāo)準(zhǔn)算法DES、3-DES、IDEA（可選）、RSA、SHA支持專用密碼算法由國家密碼管理委員會(huì)批準(zhǔn)和認(rèn)可的密碼算法密碼加速引擎軟件硬件密碼芯片硬件PCI密碼卡共同支持的協(xié)議及標(biāo)準(zhǔn)TCP/IP、Ipsec、NAT/NAPT、OpenPKI、SCMP、DHCP、靜態(tài)路由獨(dú)有支持的協(xié)議PPPoE（可通過WAN口外接ADSLmodem）密鑰交換體制IKE、Diffie-Hellmanipsec吞吐率800Kbps（3DES+SHA在ESP隧道模式）5.76Mbps（3DES+SHA在ESP隧道模式）60Mbps/40Mbps（3DES+SHA在ESP隧道模式）/（國內(nèi)專用算法）支持的最大ipsec并發(fā)隧道數(shù)501001000Firewall吞吐率9.9Mbps70Mbps支持的最大內(nèi)網(wǎng)并發(fā)會(huì)話數(shù)10，000130，000工作電流/電壓0.8A/220v3A/220V工作溫度0?60℃0~60℃表3-1ADT硬件安全網(wǎng)關(guān)比較表網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署1、XX集團(tuán)總部設(shè)計(jì)方案杭州總部是整個(gè)XX公司的“心臟地帶”，重要信息的交互、共享，重要數(shù)據(jù)的頻繁傳輸，組成了XX集團(tuán)的業(yè)務(wù)流。隨著企業(yè)信息化程度的不斷加深，各種應(yīng)用系統(tǒng)會(huì)逐步得到應(yīng)用。隨之而來，信息安全問題也會(huì)成為我們關(guān)注的焦點(diǎn)。目前，XX集團(tuán)總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)經(jīng)由XX防火墻直接接入Internet?？紤]以后總部業(yè)務(wù)需求的發(fā)展，建議在總部網(wǎng)絡(luò)出口處再部署一臺(tái)安達(dá)通的SGW25-4型VPN硬件安全網(wǎng)關(guān)（安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)來保護(hù)杭州總部和分支機(jī)構(gòu)內(nèi)網(wǎng)的安全通訊、安全傳輸）。XX防火墻與安達(dá)通SGW25-4型VPN安全網(wǎng)關(guān)采用并聯(lián)方案。普通數(shù)據(jù)包通過XX防火墻到達(dá)XX集團(tuán)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)包狀態(tài)檢測(cè)和訪問控制功能。只有需要走VPN線路的數(shù)據(jù)包或者需要加密的數(shù)據(jù)包才可以通過安達(dá)通VPN網(wǎng)關(guān)到達(dá)XX集團(tuán)網(wǎng)絡(luò)內(nèi)部，對(duì)于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進(jìn)行過濾和處理。ADTSGW25C-4具有4個(gè)網(wǎng)絡(luò)接口，一個(gè)用于內(nèi)網(wǎng)、一個(gè)用于外網(wǎng)、一個(gè)作為與專門的入侵檢測(cè)設(shè)備進(jìn)行互動(dòng)的網(wǎng)絡(luò)接口，另一個(gè)作為EXT□，用于以后的擴(kuò)展線路、備份線路或作為其他網(wǎng)絡(luò)接口來用。2、各地駐外機(jī)構(gòu)設(shè)計(jì)方案由于各地駐外機(jī)構(gòu)需要與杭州總部進(jìn)行大量的信息交換，并且隨著ERP等應(yīng)用系統(tǒng)的應(yīng)用加深，物流、資金流在企業(yè)Intranet網(wǎng)上的頻繁傳輸，為了保證總部與分支機(jī)構(gòu)、分支機(jī)構(gòu)與分支機(jī)構(gòu)之間進(jìn)行安全的信息傳輸，故此，我們可以根據(jù)各分支機(jī)構(gòu)的不同情況，分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機(jī)構(gòu)。同時(shí)，建議具有子網(wǎng)的各駐外機(jī)構(gòu)采用ADSL或者寬帶的方式接入Internet,并在網(wǎng)絡(luò)出口處部署ADTSGW25B、SGW25A硬件安全網(wǎng)關(guān)設(shè)備；建議在僅有一臺(tái)終端的分支機(jī)構(gòu)采用Modem或ADSL的方式接入Internet,并在該終端上安裝安達(dá)通公司的SureClient軟件網(wǎng)關(guān)，從而達(dá)到和總部以及其他分支機(jī)構(gòu)的VPN通訊。ADTSGW25B、SGW25A（兩款硬件設(shè)備在密碼加速引擎上和性能上略有區(qū)別，詳細(xì)見參數(shù)比較表）具有2個(gè)網(wǎng)絡(luò)接口,一個(gè)用于內(nèi)網(wǎng)（防火墻模塊可以有效做到安全隔離以及訪問控制機(jī)制，安全隔離機(jī)制保證了公司網(wǎng)絡(luò)與Internet等公共網(wǎng)絡(luò)的安全連接，訪問控制機(jī)制可以有效的控制各個(gè)分支機(jī)構(gòu)的安全接入問題），一個(gè)可通過ADSLModem接入Internet（由于該安全網(wǎng)關(guān)具有PPOE模塊，節(jié)省了專用的撥號(hào)服務(wù)器）。目前，根據(jù)XX集團(tuán)的實(shí)際情況，由于某部門的特殊要求，建議先在總部與余杭一廠

各部署一套ADTSGW25C、SGW25B來建立VPN通道，隨著業(yè)務(wù)的發(fā)展，逐步在各地分支機(jī)構(gòu)和分廠實(shí)施VPN組網(wǎng)，在集團(tuán)內(nèi)進(jìn)行推廣應(yīng)用。XX集團(tuán)VPN建設(shè)網(wǎng)絡(luò)拓?fù)鋱D如下:防火墻光纖收發(fā)器余杭一廠（老余杭）余杭八廠（老余杭） 杭州二廠（汽車北站附近）交換機(jī)-------同步modemlt防火墻光纖收發(fā)器余杭一廠（老余杭）余杭八廠（老余杭） 杭州二廠（汽車北站附近）交換機(jī)-------同步modemlt圖3-4XX集團(tuán)VPN網(wǎng)絡(luò)建設(shè)示意圖第四章技術(shù)支持服務(wù)安達(dá)通公司的技術(shù)服務(wù)部門將提供優(yōu)質(zhì)服務(wù)以保證整個(gè)系統(tǒng)運(yùn)行的穩(wěn)定、高效和安全。4.1技術(shù)支持與服務(wù)1、安裝服務(wù)安達(dá)通公司負(fù)責(zé)網(wǎng)絡(luò)安全設(shè)備的安裝調(diào)試、調(diào)優(yōu)工作。建立合理的項(xiàng)目建設(shè)機(jī)制，保證工程的安裝服務(wù)質(zhì)量。安裝完畢后提供完整的技術(shù)文檔，內(nèi)容包括：系統(tǒng)的信息記錄、操作維護(hù)、調(diào)試的方法以及常見故障處理等等。2、配件服務(wù)提供配件服務(wù)，使故障設(shè)備得到維護(hù)。對(duì)一些維修周期長的設(shè)備，提供相似性能的設(shè)備，保證運(yùn)行系統(tǒng)穩(wěn)定。3、保修維護(hù)服務(wù)對(duì)在保修期內(nèi)的軟硬件產(chǎn)品設(shè)備提供保修服務(wù)（火災(zāi)、地震等人力不可抗拒的因素造成的設(shè)備損壞除外）：提供7*24維修服務(wù)，提供7*24小時(shí)響應(yīng)的聯(lián)系電話及聯(lián)系人，提供遠(yuǎn)程訪問維護(hù)功能，隨時(shí)受