公司VPN網(wǎng)絡(luò)設(shè)計方案

XX公司VPN網(wǎng)絡(luò)設(shè)計方案編制： 審核： 批準(zhǔn)： 目錄第一章、網(wǎng)絡(luò)現(xiàn)狀及需求概況 華盾VPN50華盾VPN50硬件體系結(jié)構(gòu)ARM9桌面型機箱75(W)×11(D)×30(H)(mm)外置式電源（5V,3A）1個10/100M自適應(yīng)網(wǎng)口，4個百兆交換口，1個RJ45串口。主要性能指標(biāo)：明文轉(zhuǎn)發(fā)速率30Mbits/S3DES加密速率>2Mbits/S最大并發(fā)隧道數(shù)10條最大并發(fā)連接數(shù)5000條特色功能：內(nèi)置4口百兆交換機支持路由工作模式支持DMZ部署支持無線局域網(wǎng)接入華盾VPN網(wǎng)關(guān)產(chǎn)品的基本功能：部分支持VPN平安管理中心：用于企業(yè)VPN環(huán)境中的VPN設(shè)備電子證書的發(fā)放和管理，華盾VPN設(shè)備管理。技術(shù)指標(biāo)（1）VPN性能支持靜態(tài)—靜態(tài)、靜態(tài)—動態(tài)、動態(tài)—動態(tài)IP地址間的相互通信；支持小區(qū)寬帶接入、ADSL寬帶接入、CABLEMODEM寬帶接入、ISDN撥號接入、一般電話撥號接入等多種因特網(wǎng)接入方式；通過NAT方式為用戶局域網(wǎng)用戶供應(yīng)因特網(wǎng)接入共享服務(wù)；為企業(yè)內(nèi)部網(wǎng)供應(yīng)完善的狀態(tài)包過濾防火墻愛護功能；支持IPSecESPAH的隧道模式封裝和傳輸模式封裝；支持DES、3DES、AES、blowfish、twofish等通用加密算法；支持MD5、SHA1、SHA2等通用認(rèn)證算法；支持DH1024、DH2048、RSA1024、RSA2048等非對稱加密算法；支持SSP02等國家密碼管理機構(gòu)批準(zhǔn)的高強度算法；支持預(yù)共享密鑰、數(shù)字證書的身份認(rèn)證；支持IKE主模式/野蠻模式的自動密鑰協(xié)商協(xié)議；支持NAT穿越（NATTv0.3）；支持DHCPoverIPSec的動態(tài)內(nèi)部地址獲得；支持L2TPwithIPSec的二層隧道建立；內(nèi)置DHCP服務(wù)器，可以完成企業(yè)內(nèi)部網(wǎng)主機IP地址的動態(tài)安排；供應(yīng)完善的網(wǎng)絡(luò)流量限制機制，合理安排因特網(wǎng)接入帶寬；支持DDNS的動態(tài)域名解析功能；支持windows系統(tǒng)自帶的PPTP/L2TP/IPSECVPN移動用戶解決方案；內(nèi)置平安策略服務(wù)器，供應(yīng)集中的平安策略制定和下發(fā)；最大支持同時建立1000條隧道，3－DES加密速度為15M；（2）防火墻性能防火墻類型支持狀態(tài)檢測、包過濾及其混合方式；支持透亮模式和NAT、路由模式同時運用；雙因子認(rèn)證功能；多級登陸權(quán)限設(shè)置；直觀的平安策略設(shè)置；支持與IDS互動以提高平安性；深層次日志、以及具體的審計分析功能；多級過濾的網(wǎng)絡(luò)訪問限制功能，分別作用于IP層、應(yīng)用層，形成立體網(wǎng)絡(luò)防護；具有MAC地址綁定、支持雙向DNS、支持DMZ區(qū)；可防IP地址欺瞞、端口掃描；抗DOS/DDOS攻擊、IP碎片攻擊、SYN攻擊、DNS/RIP/ICMP攻擊等；系統(tǒng)配置文件的備份和系統(tǒng)快速復(fù)原；華盾VPN系列產(chǎn)品的優(yōu)勢作為國內(nèi)推出最早，成熟度較高的VPN產(chǎn)品，華盾VPN系列產(chǎn)品的優(yōu)勢包括：華盾VPN產(chǎn)品由于開發(fā)早，應(yīng)用面廣，目前其市場占有率、客戶數(shù)目、在線工作的機器數(shù)量等領(lǐng)先于同類產(chǎn)品，產(chǎn)品成熟度和工程實施閱歷明顯居于前列。由于采納了切合實際的設(shè)計理念，其產(chǎn)品的結(jié)構(gòu)合理性和網(wǎng)絡(luò)適應(yīng)性得到有效保證。作為VPN類產(chǎn)品，它完整地通過了國家密碼管理委員會立項、平安審查、技術(shù)鑒定全過程。無縫的支持NAT-T。支持動態(tài)域名解析。支持網(wǎng)狀互聯(lián)。完善的集中管理功能。供應(yīng)功能強大的軟件平安包。兼帶動態(tài)帶寬管理功能。集成完善的防火墻功能。5.3典型勝利案例中鐵快運VPN系統(tǒng)該企業(yè)是由鐵道部主辦、國家計委批準(zhǔn)的全國性聯(lián)網(wǎng)企業(yè)，主營貨物特快專遞服務(wù)項目，在全國近200個大中城市設(shè)有分支經(jīng)營機構(gòu)，還有若干個營業(yè)點及移動用戶，其分支機構(gòu)分為幾個級別，一是管理分公司(主要設(shè)在大型城市)，二是分公司(主要在一般的地、市城市)，由管理分公司干脆管理，三是營業(yè)點，直屬于管理分公司或分公司，原有的網(wǎng)絡(luò)狀況是各管理分公司和分公司都是用專線與總部通信，營業(yè)點通過撥號與各分公司通信，長途撥號做為備份線路，可想而知該企業(yè)每年支付的專線費用和電話費用是如何的浩大，現(xiàn)該企業(yè)通過華盾VPN設(shè)備，依靠Internet組建自己的虛擬專用網(wǎng)絡(luò)。依據(jù)其需求，撤去了原來租用的X.25專線，總部申請了一根2M的專線接入Internet，各分公司均通過ADSL接入Internet，各營業(yè)點和移動用戶通過ADSL或撥號接入Internet，利用華盾VPN組建的VPN網(wǎng)絡(luò)系統(tǒng)。這個項目是目前國內(nèi)最大的企業(yè)類VPN項目，在這個案例中，我們在總部安裝了兩臺華盾VPN300，以雙機熱備份方式工作，在管理分公司安裝華盾VPN200，并安裝一臺軟件VPN網(wǎng)關(guān)做備份，在分公司安裝華盾VPN100，在營業(yè)部和移動用戶安裝華盾VPN平安包，實行統(tǒng)一認(rèn)證，分級管理，構(gòu)成一個完整的VPN網(wǎng)絡(luò)。中國石化ERP項目VPN網(wǎng)絡(luò)建設(shè)工程中國石化是中國最大的一體化能源化工公司，是中國最大的石油產(chǎn)品（包括汽油、柴油、航空煤油的批發(fā)和零售）和主要石化產(chǎn)品（包括中間石化產(chǎn)品、合成樹脂、合成纖維單體及聚合物、合成纖維、合成橡膠和化肥）生產(chǎn)商和供應(yīng)商，也是其次大原油生產(chǎn)商。中國石化現(xiàn)有全資子公司、控股和參股子公司、分公司等共80余家，包括石油企業(yè)、煉油及化工企業(yè)、銷售企業(yè)及科研、外貿(mào)等單位。為了提高辦公效率推廣企業(yè)的ERP應(yīng)用，中國石化第一批在15家企業(yè)與總部之間建立VPN系統(tǒng)，以實現(xiàn)通過Internet建立省公司、地市分公司、煉油廠、縣級分公司、油庫、加油站等各個地理位置不同的局域網(wǎng)干脆的平安連接。使得企業(yè)能夠在VPN網(wǎng)絡(luò)上運行ERP系統(tǒng)、OA系統(tǒng)、財務(wù)軟件以及IP語音業(yè)務(wù)、視頻業(yè)務(wù)等應(yīng)用，支持集團化生產(chǎn)、經(jīng)營、管理信息系統(tǒng)的實施。在該項目中，我們采納了華盾VPN400、VPN300、VPN200、VPN80、華盾VPN客戶端軟件以及華盾VPN平安管理中心，分別安裝于各大型油田總部和省、地、市的分公司、油庫及加油站，客戶端軟件用于移動辦公用戶。在總部機構(gòu)安裝兩臺華盾VPN網(wǎng)關(guān)設(shè)備，以雙機熱備份方式工作確保線路暢通，華盾VPN平安管理中心對所轄VPN設(shè)備實行統(tǒng)一認(rèn)證，分級管理，構(gòu)成覆蓋多個城市的完整的VPN網(wǎng)絡(luò)。北京鐵路建設(shè)集團VPN系統(tǒng)該集團公司以鐵路工程建設(shè)和各類公共建筑為主要產(chǎn)品，集科研、設(shè)計、開發(fā)、施工、商貿(mào)、旅游餐飲、房地產(chǎn)開發(fā)、物業(yè)管理、海外經(jīng)營等于一體，具有較強的技術(shù)、資金優(yōu)勢和各類大中型設(shè)備，是建設(shè)部批準(zhǔn)的一級施工企業(yè)，并取得了對外經(jīng)營權(quán)。自1991年起，連續(xù)居中國500家最佳經(jīng)濟效益、最大經(jīng)營規(guī)模建筑業(yè)企業(yè)之列。該集團總部在北京，下屬多個分公司、辦事處和很多移動用戶。總部申請有一根專線，各分公司通過ADSL或?qū)拵Ы尤隝nternet，移動用戶通過撥號接入Internet，通過因特網(wǎng)實現(xiàn)網(wǎng)絡(luò)互聯(lián)，須要解決網(wǎng)絡(luò)聯(lián)通性和數(shù)據(jù)平安性的問題。依據(jù)該企業(yè)的需求，我們采納華盾VPN硬件平安網(wǎng)關(guān)200/100和VPN軟件平安包的協(xié)作運用，組建了該集團公司的VPN網(wǎng)絡(luò)系統(tǒng)。四川統(tǒng)計局VPN網(wǎng)絡(luò)平臺建設(shè)四川省統(tǒng)計局作為一家政府事業(yè)單位，須要利用和開發(fā)統(tǒng)計信息與市場信息資源，為省內(nèi)外、國內(nèi)外客戶供應(yīng)統(tǒng)計信息，同時也為企業(yè)及單位供應(yīng)分析結(jié)果及市場探討報告，因此日常業(yè)務(wù)量非常浩大。原來是采納人工加撥號通信方式，不僅訪問速度低，數(shù)據(jù)傳輸?shù)钠桨残院途W(wǎng)絡(luò)接入認(rèn)證也受到影響。通過多次的產(chǎn)品測試對比，最終選用華盾公司的系列VPN產(chǎn)品，組建省統(tǒng)計局遍布全省的VPN網(wǎng)絡(luò)系統(tǒng)。四川省統(tǒng)計局VPN網(wǎng)絡(luò)系統(tǒng)由省、市、縣、鄉(xiāng)四級組成，省局運用了兩臺華盾VPN300，雙機熱備份工作方式，市局運用華盾VPN200，縣局運用華盾VPN80或華盾VPN60，鄉(xiāng)運用華盾VPN平安包。新華社VPN網(wǎng)絡(luò)平臺建設(shè)新華通訊社是中華人民共和國的國家通訊社，是中國最大的新聞信息采集和發(fā)布中心。新華社的信息網(wǎng)是一個覆蓋全球、結(jié)構(gòu)困難、系統(tǒng)繁多、應(yīng)用豐富、實時性強、作用重要的大型網(wǎng)絡(luò)，在中國具有特別的地位，是我國政府對外發(fā)布信息的重要窗口。新華社VPN項目的總體目標(biāo)是：“以我社各現(xiàn)有專用網(wǎng)絡(luò)為依托構(gòu)建一張基于Internet的虛擬專用網(wǎng)，不斷拓展網(wǎng)絡(luò)應(yīng)用，為我社現(xiàn)有的專用網(wǎng)絡(luò)供應(yīng)必要的補充，從而增加我社網(wǎng)絡(luò)系統(tǒng)的完整性。該網(wǎng)可以運用戶便利地應(yīng)用VPN技術(shù)，借助互聯(lián)網(wǎng)與總社各系統(tǒng)進行平安、牢靠、快速的數(shù)據(jù)通訊?！蔽覀兝萌A盾VPN平安網(wǎng)關(guān)和華盾VPN客戶端，實現(xiàn)了將目前不具有專線連接的中小分社以平安的方式接入新華社內(nèi)部網(wǎng)絡(luò)當(dāng)中，從而將新華社遍布全世界的各個分支機構(gòu)網(wǎng)絡(luò)和移動工作人員的計算機環(huán)境納入到一個完整的網(wǎng)絡(luò)平臺之上，確保新華社的網(wǎng)絡(luò)處于可管理和業(yè)務(wù)處于平安的運行環(huán)境當(dāng)中。具體到業(yè)務(wù)流程上，實現(xiàn)由平安的VPN加密通道進行稿件傳輸替代原有的通過撥號等明文傳輸模式，從而解決稿件傳輸過程中被泄