VPN網(wǎng)絡(luò)建設(shè)解決方案

VPN網(wǎng)絡(luò)建設(shè)解決方案目錄TOC\o"1-5"\h\z第一章項目情況介紹 1項目背景 1目前網(wǎng)絡(luò)和應用現(xiàn)狀分析 1第二章設(shè)計原則和設(shè)計思想 5安全性原則 5實用性原則 6可靠性原則 6可擴展性原則 6易管理性原則 7第三章XX集團VPN網(wǎng)絡(luò)建設(shè)方案 8\o"CurrentDocument"VPN技術(shù)簡介 8系統(tǒng)設(shè)計功能分析 12VPN系統(tǒng)對原有系統(tǒng)的兼容 12VPN系統(tǒng)對原有網(wǎng)絡(luò)的兼容 12網(wǎng)絡(luò)層的訪問控制和身份認證 13因地制宜的部署原則 14為企業(yè)節(jié)省了費用開支 15系統(tǒng)的易擴展性 15產(chǎn)品選型 16網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署 17第四章技術(shù)支持服務 20技術(shù)支持與服務 20用戶培訓 21第五章安達通公司簡介 23VPN網(wǎng)絡(luò)建設(shè)解決方案第一章項目情況介紹項目背景以Internet網(wǎng)為主體的信息高速公路的迅猛發(fā)展，正以前所未有的速度和能力改變著人們的生活和工作方式，我們真正處于一個“信息爆炸”的時代。一方面,Internet網(wǎng)使得人們能夠跨越時空的限制，為學習、生活和工作帶來空前的便利；另一方面，面對信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息迷向”的現(xiàn)象。特別是,Internet網(wǎng)是一個無國界的虛擬信息社會，現(xiàn)實社會中的各種問題都會在Internet網(wǎng)上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴大，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大，網(wǎng)絡(luò)安全問題變得越來越重要。目前，隨著通訊技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的應用普及和加深，許多員工的辦公不再僅僅局限于同一物理位置上的辦公，即使在辦事處、分支機構(gòu)、出差在外、在家中，均可像在公司總部辦公一樣協(xié)同工作。尤其是出現(xiàn)自然因素（如，目前的“非典”原因）而導致員工需要遠程協(xié)同辦公，這就需要建立一個安全、快捷、經(jīng)濟、方便的信息交互平臺，來傳輸遠程辦公員工與公司之間的信息交流。XX集團作為國內(nèi)知名企業(yè)，信息的敏感性決定了它們歷來都是各種居心叵測者的重要關(guān)注對象，甚至也是內(nèi)部員工十分感興趣的內(nèi)容，這提醒我們應該更加注重網(wǎng)絡(luò)安全的建設(shè)。值得稱道的是，公司領(lǐng)導已經(jīng)對此引起了高度重視，并計劃逐步進行卓有成效的防護工作。在這方面，合理借鑒市場先進經(jīng)驗與理念十分重要。XX集團信息系統(tǒng)當前面臨的首要問題和最大隱患是：邊界安全防御與鏈路傳輸?shù)募用?。這也正是本方案中力求加以明確的地方。我們將通過認真和充分的系統(tǒng)分析將這些問題揭示出來并提供解決方法的建議。目前網(wǎng)絡(luò)和應用現(xiàn)狀分析XX集團總部設(shè)在杭州，企業(yè)網(wǎng)Intranet是以金頂苑總部大樓為中心，通過幀中繼及網(wǎng)通的VPN與余杭一廠、八廠、杭州二廠區(qū)連接的企業(yè)廣域網(wǎng)，其余各公司、各地辦事處則通過撥號上網(wǎng)或?qū)拵暇W(wǎng)與總部服務器連接，已經(jīng)初步建立起一套信息交互的網(wǎng)絡(luò)體系。

VPN網(wǎng)絡(luò)建設(shè)解決方案總部網(wǎng)絡(luò)通過電信的光纖接入互聯(lián)網(wǎng)。在網(wǎng)絡(luò)的接口處部署了防火墻提供內(nèi)網(wǎng)訪問Internet的路由并保證內(nèi)部網(wǎng)絡(luò)的安全。目前，在網(wǎng)絡(luò)上運行的OA等應用系統(tǒng)。XX集團現(xiàn)在全國有26處分支機構(gòu)，大多通過撥號或者寬帶接入公司總部?？偛磕壳熬W(wǎng)絡(luò)拓撲圖如下:交換機余杭一廠（老余杭）圖1-1XX集團網(wǎng)絡(luò)拓撲示意圖交換機交換機余杭一廠（老余杭）圖1-1XX集團網(wǎng)絡(luò)拓撲示意圖交換機交換機VPN網(wǎng)絡(luò)建設(shè)解決方案隨著公司業(yè)務的迅速發(fā)展，各地分公司、辦事處也相繼多了起來，信息交互也越來越頻繁，隨著企業(yè)應用系統(tǒng)的實施，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也也來越多，安全性要求也越來越重要，目前僅僅依靠Modem撥號、ADSL以及專線的組網(wǎng)模式已經(jīng)越來越不適應XX集團對信息傳輸平臺的要求了。從經(jīng)濟角度考慮，電信部門提供的專線組網(wǎng)方式費用比較昂貴，由于XX集團是一個快速發(fā)展的現(xiàn)代企業(yè)，先后在北京、廣州、上海、南京、武漢、西安以及省內(nèi)主要城市設(shè)立了多家分支機構(gòu)，同時擁有多家緊密型的合作伙伴或分銷客戶網(wǎng)絡(luò)，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給XX集團帶來很大的壓力。從安全方面考慮，電信部門提供的幀中繼、MPLSVPN、DDN、ADSL等傳輸平臺沒有經(jīng)過加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺沒有認證功能，企業(yè)內(nèi)部員工的越權(quán)訪問、誤操作、有意或無意的泄密、甚至是少數(shù)員工惡意的破壞，都會對企業(yè)的信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺沒有訪問控制和安全隔離的功能，給外部非法人員提供了入侵的機會，非法人員可以通過專用的黑客程序（此類工具在Internet上可以免費下載），或者盜取授權(quán)員工的訪問權(quán)限，進入公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部，讓“網(wǎng)絡(luò)巨人折戟沉沙，使系統(tǒng)安全潰于蟻穴的'。由于XX集團分支機構(gòu)和聯(lián)網(wǎng)網(wǎng)點數(shù)目眾多，知名度大，受攻擊的幾率相對較大，一旦通過計算機終端進入公司總部服務器，后果將不堪設(shè)想。從管理方面考慮，XX集團處于高速發(fā)展階段，擁有的分支機構(gòu)和計算機終端較多，面臨最緊迫的問題就是信息的匯總、分支機構(gòu)的信息交互以及計算機終端的集中管理。DDN、ADSL等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應用和管理問題。從經(jīng)營角度考慮，XX集團需要一個實時的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺，來滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提高企業(yè)的服務質(zhì)量，加快企業(yè)的信息化建設(shè)，適應企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴展性的優(yōu)點，且VPN產(chǎn)品特有的具有對internet上的內(nèi)部移動用戶安全接入，可以徹底消除地域差異，實現(xiàn)可移動用戶的網(wǎng)絡(luò)互連及基于internet的可移動安全訪問控制。因此，采用VPN方式組網(wǎng)對XX集團來說是一種現(xiàn)實可行的，完全可以滿足公司員工在辦事處、在外

VPN網(wǎng)絡(luò)建設(shè)解決方案出差、在家秉承辦公的業(yè)務需要。下面是VPN與專線的綜合比較:VPN技術(shù)專線技術(shù)安全性非常高，保護數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄浴⒉豢傻仲囆?；安全控制在用戶手里比較高。但是，安全是建立在對電信部門相信的基礎(chǔ)上，對電信運營商，無任何安全可言。可擴展性基于TCP/IP技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達，就可以方便擴展。依靠當?shù)剡\營商的支持，擴展很不方便。投資成本設(shè)備一次性投入，不需要支出每月的運營費用，長期看來大幅度節(jié)省支出。專線費用很高，需要每月支付昂貴的專線租用費用，而且在初期要一次性投入路由器的費用對遠程用戶的支持能對internet上的內(nèi)部移動用戶安全接入，徹底消除地域差異。構(gòu)造全球的虛擬專網(wǎng)。只能聯(lián)通專線拉到的網(wǎng)絡(luò)，不支持離開局域網(wǎng)的內(nèi)部用戶接入專網(wǎng)。帶寬使用各種廉價的寬帶介入方式，如：ADSL，Ethernet等，一般在1?100M。由于價格昂貴，一般租用的帶寬都比較窄（一般不超過2M）。升級依賴于設(shè)備的升級，非常方便。依賴于電信部門。表1-1VPN與專線比較表綜上所述，如何快捷地解決XX集團的企業(yè)聯(lián)網(wǎng)問題，如何有效地解決企業(yè)巨額通訊費和專線租用費，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達到一個全面加強，使網(wǎng)絡(luò)系統(tǒng)的每個部分都不會成為“木桶的最短一塊木板”是本系統(tǒng)方案要實現(xiàn)的目標。VPN網(wǎng)絡(luò)建設(shè)解決方案第二章設(shè)計原則和設(shè)計思想系統(tǒng)的總體設(shè)計思想是要體現(xiàn)技術(shù)的先進性和決策的前瞻性，著力于“實用性、高起點、前瞻性、擴展性”。具體的我們遵循了以下原則：安全性原則在公司網(wǎng)絡(luò)運行的各個環(huán)節(jié)中，都應該嚴格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個公司業(yè)務運作的大局。隨著計算機網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，安達通公司時刻強調(diào)高度的安全性。我們在進行系統(tǒng)設(shè)計時將提供多種手段保障系統(tǒng)的安全，對相關(guān)的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應用數(shù)據(jù)庫提供嚴密的保護。同時，采用國際上最新的主流VPN技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性，同時可以為用戶盡可能地降低系統(tǒng)投入成本，實現(xiàn)高效益。網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品，好的安全策略；另一方面，更為重要的是要有完善的安全管理制度。從技術(shù)角度來看，一個完善的網(wǎng)絡(luò)安全系統(tǒng)應該包括以下三個方面：.安全防護.主動安全評估.安全實時監(jiān)控安全防護就是通過防火墻（在本方案中采用具備Firewall功能的安達通“安全網(wǎng)關(guān)”）或網(wǎng)絡(luò)物理隔離等設(shè)備，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行控制；同時在應用、主機上限制非法用戶進入，或者用戶越權(quán)訪問。主動安全評估是基于安全防護的基礎(chǔ)上進行的，在通過了安全防護之后，可以借助安全工具或者是有經(jīng)驗的安全專家來進行安全評估。安全實時監(jiān)控也是屬于主動防御范疇。指在我們對網(wǎng)絡(luò)上的各種行為進行監(jiān)控，例如黑客攻擊一個系統(tǒng)之前，往往需要了解這個系統(tǒng)的結(jié)構(gòu)或者漏洞，他們往往會利用網(wǎng)絡(luò)掃描工具對某個網(wǎng)段或者主機進行掃描，實時監(jiān)控系統(tǒng)能夠檢測到這類行為。我公司堅持以高度安全性為基本原則，有效地防止網(wǎng)絡(luò)的非法侵入，保護關(guān)鍵的數(shù)據(jù)不VPN網(wǎng)絡(luò)建設(shè)解決方案被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。實用性原則系統(tǒng)在設(shè)計上一方面將滿足雙向的數(shù)據(jù)傳送、實時處理的要求；另一方面，又采用國際上最先進的技術(shù)，使系統(tǒng)完成后，保持一定時期的領(lǐng)先地位。尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢，體現(xiàn)在：不僅具有FireWall的保護內(nèi)網(wǎng)、提供服務的功能，而且利用VPN技術(shù)，可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導致可以直接省略“撥號服務器），同時可以不受接入數(shù)量限制，這使整個網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù)，不僅強化了本身的抗攻擊能力，而且可以與IDS系統(tǒng)互動。實用性原則既要做到先進技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性相結(jié)合?？煽啃栽瓌t這套網(wǎng)絡(luò)安全系統(tǒng)是企業(yè)內(nèi)網(wǎng)的門戶。它的穩(wěn)定可靠關(guān)系重大，特別是具體業(yè)務項目。隨著使用的普及，信息平臺的運行不穩(wěn)定甚至癱瘓將嚴重影響企業(yè)的形象，也將給為企業(yè)帶來不便和不可低估的損失。因此可靠性是平臺運行的首要保證。我公司將采用相應的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性，采用負載均衡技術(shù)、備份技術(shù)就是其中的重要策略?？蓴U展性原則網(wǎng)絡(luò)安全互聯(lián)建設(shè)應該是統(tǒng)一規(guī)劃、分步實施、逐步完善的的過程。我公司在該方案的設(shè)計中充分考慮它的可擴展性，在實現(xiàn)基本的網(wǎng)絡(luò)互聯(lián)以及被動防護系統(tǒng)（安裝“安全網(wǎng)關(guān)及其管理平臺”，配發(fā)遠程移動客戶（安全網(wǎng)關(guān)客戶端））以及信息傳輸加密的前提下，為以后進一步實現(xiàn)網(wǎng)絡(luò)的主動防護系統(tǒng)，主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應的接口，便于以后的擴展以及與IDS等設(shè)備實現(xiàn)互動。VPN網(wǎng)絡(luò)建設(shè)解決方案易管理性原則網(wǎng)絡(luò)系統(tǒng)的管理和維護工作也是至關(guān)重要的。在系統(tǒng)設(shè)計時既要充分考慮平臺的易管理性，為平臺維護者提供方便的管理工具；同時又要設(shè)計規(guī)范但不失靈活的工作流程。安達通公司提供“PKI網(wǎng)管平臺”對安全網(wǎng)關(guān)、移動客戶進行統(tǒng)一管理。另外，與“安全策略服務器”統(tǒng)一布署，可以統(tǒng)一管理安全網(wǎng)關(guān)、IDS、掃描系統(tǒng)的安全策略。另外，通過網(wǎng)管平臺，可以實現(xiàn)遠程安全管理和本地管理等多種管理手段。VPN網(wǎng)絡(luò)建設(shè)解決方案第三章XX集團VPN網(wǎng)絡(luò)建設(shè)方案3.1VPN技術(shù)簡介1、基于IPsec的VPN技術(shù)VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道）將遠程的分支機構(gòu)、商業(yè)伙伴、移動辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于一個網(wǎng)絡(luò)之中。對企業(yè)而言，VPN可以替代傳統(tǒng)租用線來連接計算機或局域網(wǎng)等。而任何VPN業(yè)務都是基于隧道技術(shù)實現(xiàn)的，隧道機制是VPN實施的關(guān)鍵。數(shù)據(jù)通過安全的〃加密管道〃在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機構(gòu)就可以互相傳遞信息；同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以連接進入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。在眾多的VPN解決方案中，IP-VPN脫穎而出，成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運行IP協(xié)議的網(wǎng)絡(luò)上實現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計初期并沒有過多地考慮安全問題，因此無法為用戶解決他們所擔心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后，解決了這一難題。目前，國際主流的大多是基于Ipsec的VPN技術(shù)，該技術(shù)正在迅速走向成熟，而且它正處于興盛期。a軌件vpn VPN通道口匚口□□□□Dn-GEDGE□□□□□□□□□□□□□□□□￥外通道U□□□□VPN通道口匚口□□□□Dn-GEDGE□□□□□□□□□□□□□□□□￥外通道U□□□□圖3-1VPN組網(wǎng)示意圖VPN網(wǎng)絡(luò)建設(shè)解決方案虛擬專網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：保證數(shù)據(jù)的真實性：通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(IPSpoofing)的能力。保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機密性:提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動態(tài)密匙交換功能:提供密匙中心管理服務器，必須具備防止數(shù)據(jù)重演(Replay)的功能，保證通道不能被重演。提供安全防護措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制(AccessControl)o虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障，大多數(shù)的VPN產(chǎn)品支持IPSeCo最初VPN技術(shù)被設(shè)想為Intenet節(jié)點的連接方式，后來它很快被公認為是一種遠端的接入技術(shù)，例如在一個遠程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期。2、全動態(tài)VPN組網(wǎng)方式IP-VPN的聯(lián)網(wǎng)方式大致有三種：1、固定IP與固定IP；2、固定IP與動態(tài)IP；3、動態(tài)IP與動態(tài)IPo第一種的聯(lián)網(wǎng)方式是比較傳統(tǒng)的方式，技術(shù)上實現(xiàn)最容易，目前的防火墻等設(shè)備就可以實現(xiàn)這種功能；第二種的VPN聯(lián)網(wǎng)方式對于目前大多數(shù)專業(yè)的VPN廠商也基本能解決；而第三種方式即動態(tài)IP與動態(tài)IP之間的VPN通訊卻成了很多廠商和科研機構(gòu)望而卻步的技術(shù)難題，實現(xiàn)起來并解決大規(guī)模的實際應用就更加困難。安達通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，投入了很大的人力、財力，經(jīng)過一段時間的攻關(guān)和研究，最終以“策略服務器”的方式解決了這個難題?！安呗苑掌鳌惫芾硐到y(tǒng)由DynamicVPN管理服務器、網(wǎng)絡(luò)管理員和DynamicVPN網(wǎng)元組成。Dynamic管理服務器由WEB服務器、管理應用服務器、數(shù)據(jù)庫服務器組成。WEB服務器負責以WEB服務的形式對外提供各種管理服務，管理應用服務器完成具體的邏輯與業(yè)務處理功能，數(shù)據(jù)庫服務器負責保存DynamicVPN管理所需要的各種數(shù)據(jù)，它可以是關(guān)

VPN網(wǎng)絡(luò)建設(shè)解決方案系數(shù)據(jù)庫和/或LDAP服務器。安達通公司的“策略服務器”不但真正解決了全動態(tài)的VPN組網(wǎng)方案，還融入了PKI技術(shù)，采用基于數(shù)字證書的動態(tài)IKE進行協(xié)商和認證，解決了大規(guī)模VPN組網(wǎng)的安全管理和安全認證技術(shù)。3、基于IP-VPN中NAT穿透問題基于IPsec的VPN解決方案中NAT穿透問題一直是很多廠商以及客戶所棘手的問題。不但IPsec協(xié)議本身不能穿透NAT設(shè)備，就是常用的視頻、語音等通訊方式所用的H.323和SIP協(xié)議也不能穿透NAT。下面以A、B兩地實現(xiàn)視頻會議為例，闡述一下NAT穿透問題。我們假設(shè)在寬帶城域網(wǎng)有兩個用戶A和B，其中A用戶處在私網(wǎng)內(nèi)部，B用戶是在Internet公網(wǎng)上，這兩個用戶都安裝了IP視頻會議終端，希望通過寬帶城域網(wǎng)開個臨時的視頻會議。如下圖示，B用戶首先呼叫A用戶，B用戶發(fā)出的H.323或SIP建立會話連接的初始化包發(fā)送到A用戶網(wǎng)絡(luò)的NAT設(shè)備時，由于NAT設(shè)備只做IP地址轉(zhuǎn)換的處理，因此不知道該如何將B用戶發(fā)來的H.323或SIP建立會話連接的初始化包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的哪個用戶，只好將該初始化包丟棄。而A用戶雖然一直在等待B用戶的初始化包，但A用戶卻永遠等不到B用戶的初始化包，這樣A用戶和B用戶永遠都建立不起來H.323或SIP會話連接，也就無法開IP視頻會議。PrivateIP:10.1.1.xA)_SlP/Invitei-PrivateIP:10.1.1.xA)_SlP/Invitei-Internet?FW/NATUnsolicitedinvitationpacketsWaiting c日Honport1720圖3-2NAT穿透問題示意圖（一）另一種情況也一樣，由A用戶首先呼叫B用戶，如下圖示，A用戶發(fā)出的H.323或SIP建立會話連接的初始化包發(fā)送到A用戶網(wǎng)絡(luò)的NAT設(shè)備時，由于NAT設(shè)備只做IP地址轉(zhuǎn)換的處理，NAT設(shè)備將該IP包包頭中的A用戶私網(wǎng)地址替換成自己的公網(wǎng)地址，這樣A用戶發(fā)出的H.323或SIP建立會話連接的初始化包才能夠發(fā)送B用戶處，B用戶上層的視頻VPN網(wǎng)絡(luò)建設(shè)解決方案會議應用程序收到該初始化包，并作出應答，但是A用戶在發(fā)出H.323或SIP建立會話連接的初始化包時，在上層應用數(shù)據(jù)包中采用的地址是A用戶的私網(wǎng)地址，這樣B用戶上層的視頻會議應用程序就會采用初始化包中上層應用數(shù)據(jù)包里的A用戶的私網(wǎng)地址來發(fā)送應答包，由于A用戶的地址是私網(wǎng)地址，因此該應答包就無法在公網(wǎng)上傳送。這樣A用戶和B用戶還是建立不起來H.323或SIP會話連接，還是無法開IP視頻會議。NAT:tiddressCBADatawithIPA/BPrivateIP:10.1.1.1BUnsolicitedinvitationpacketsacceptedbyBPrivateIP:10.1.1.1BUnsolicitedinvitationpacketsacceptedbyB圖3-3NAT穿透問題示意圖（二）安達通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，經(jīng)過一段時間的攻關(guān)和研究，初步解決了NAT穿透問題，為企業(yè)構(gòu)建跨城域網(wǎng)的VPN網(wǎng)絡(luò)以及視頻、語音通訊的建立提供了解決方案。如果需要實現(xiàn)穿越NAT的安全連接，需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置ADT引擎（需要在NAT設(shè)備上為ADT引擎作靜態(tài)地址翻譯）或者在外網(wǎng)（公網(wǎng)）設(shè)置ADT引擎。ADT引擎是一個專用UDP-T（即UDP隧道）數(shù)據(jù)包的路由轉(zhuǎn)發(fā)軟件，放置在網(wǎng)絡(luò)邊緣，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)流量。下面為數(shù)據(jù)包的結(jié)構(gòu)：UDP-T封裝 標準IP報文IPTunnelUDPUDP-TIPvirtualIPSecPayHeaderHeaderheaderheaderheaders(optional)load

VPN網(wǎng)絡(luò)建設(shè)解決方案UDP-T包在經(jīng)過ADT引擎轉(zhuǎn)發(fā)時，ADT引擎根據(jù)UDP-T包內(nèi)的UDP-THeader域所指定的路由信息來更換UDP-T包IPTunnelHeader域的源地址和目的地址，從而完成從一個私網(wǎng)成員到另一個私網(wǎng)成員的包轉(zhuǎn)發(fā)，而UDP-T包內(nèi)部的IPVirtualHeader的源地址和目的地址始終保持不變，保證了上層應用中IP地址的完整性，從而實現(xiàn)IPSec、H.323和SIP等多媒體協(xié)議端到端通信的完整性。系統(tǒng)設(shè)計功能分析企業(yè)建設(shè)安全的信息系統(tǒng)，一個前提是不能改變原有的應用方式，并且既要保證安全的遠程訪問（加密），又要和正常的直接訪問（明文）相兼容，適合多種多樣的應用需求。按照本方案建設(shè)的網(wǎng)絡(luò)安全系統(tǒng)，將在不改變應用系統(tǒng)結(jié)構(gòu)和用戶的使用習慣已經(jīng)與正常訪問兼容的基礎(chǔ)之上，為XX集團的信息系統(tǒng)提供強有力的安全保障，并在移動接入、分支機構(gòu)網(wǎng)絡(luò)等方面為企業(yè)節(jié)省成本，帶來直接的效益。VPN系統(tǒng)對原有系統(tǒng)的兼容VPN安全網(wǎng)關(guān)遵循標準的Ipsec和IKE協(xié)議，在網(wǎng)絡(luò)層對IP數(shù)據(jù)包進行加密，對網(wǎng)絡(luò)中的數(shù)據(jù)流做基于五元組的訪問控制，因此，對于應用系統(tǒng)是完全透明的，即上層的應用程序感覺不到數(shù)據(jù)在傳輸過程中被加密；也就是最終用戶感覺不出使用了VPN前后在網(wǎng)絡(luò)系統(tǒng)上有什么不同，也不必對自己平時的使用習慣做任何改變；應用程序的開發(fā)商也不需要對在VPN上使用的系統(tǒng)做特別的修改。在XX集團內(nèi)部，無論是目前已投入使用的多套應用系統(tǒng)，還是以后的新系統(tǒng)，不管系統(tǒng)平臺如何，采用的結(jié)構(gòu)是傳統(tǒng)的C/S還是B/S，都將可以平滑過渡到VPN網(wǎng)絡(luò)平臺上使用。Ipsec協(xié)議決定了只要在網(wǎng)絡(luò)傳輸上使用TCP/IP協(xié)議的應用系統(tǒng)，都可以在VPN平臺下正常運行，然而在TCP/IP協(xié)議作為事實上的工業(yè)標準的今天，任何新開發(fā)的應用系統(tǒng)都是基于此的，因此對于將來的ERP等系統(tǒng)修改、擴展乃至增加系統(tǒng)等等，VPN系統(tǒng)完全不需更改，不必要擔心應用系統(tǒng)的兼容性問題。VPN系統(tǒng)對原有網(wǎng)絡(luò)的兼容由于根據(jù)網(wǎng)絡(luò)設(shè)計VPN由于根據(jù)網(wǎng)絡(luò)設(shè)計VPN設(shè)備VPN安全網(wǎng)關(guān)將會串行的連接在總部的路由器之后，VPN網(wǎng)絡(luò)建設(shè)解決方案并將作為分公司的路由設(shè)備為網(wǎng)絡(luò)提供路由，因此，在增加了這個設(shè)備后會不會影響原有正常的網(wǎng)絡(luò)訪問，比如WEB、MAIL、DNS等等是一個必須說明并確認的問題。這個問題可以分為二個方面來討論，首先是內(nèi)部的服務器是否能象原來一樣向外提供服務，其次是內(nèi)部網(wǎng)絡(luò)用戶是否能正常訪問互聯(lián)網(wǎng)Qnternet）。下面將就這二點分別闡述。服務器單獨放在一個子網(wǎng)中，使用私有IP地址，對外是不可見的，但可以通過在VPN安全網(wǎng)關(guān)上配置靜態(tài)端口映射，使得外部網(wǎng)絡(luò)可以訪問到該服務器的某端口，而通常服務器都是通過TCP或UDP的某一個的端口來提供服務（比如WEB使用TCP的80端口，DNS使用UDP的53端口等等），因此對于絕大多數(shù)的應用，都可以使用靜態(tài)端口映射來滿足向外提供服務的需求。對于某些少數(shù)在網(wǎng)絡(luò)通信中使用不固定端口的應用，還可以通過靜態(tài)地址映射來達到目的，即將整個服務器映射成公有地址。這樣，XX集團公司中所有需要公開的服務器都可以利用VPN安全網(wǎng)關(guān)的靜態(tài)端口映射和靜態(tài)地址映射向外提供服務。內(nèi)網(wǎng)主機眾多，可是公有IP地址有限，要訪問互聯(lián)網(wǎng)必須通過地址轉(zhuǎn)換來實現(xiàn)，VPN安全網(wǎng)關(guān)的地址池映射功能可以滿足提供內(nèi)部網(wǎng)絡(luò)上互聯(lián)網(wǎng)的要求，并且還可以對上網(wǎng)的主機和時間段作出控制。同樣，對于分公司的子網(wǎng)，也可以通過VPN安全網(wǎng)關(guān)的地址池映射功能提供內(nèi)部主機的上網(wǎng)。為滿足以上二點采用的各種技術(shù)和VPN安全加密功能都可以同時發(fā)揮作用，VPN安全網(wǎng)關(guān)將根據(jù)數(shù)據(jù)包的IP地址和端口（五元組）信息自動地對IP數(shù)據(jù)包作出相應地處理，達到以上的目的。即VPN系統(tǒng)與原有的網(wǎng)絡(luò)系統(tǒng)完全兼容，絕不會因建設(shè)了VPN系統(tǒng)而導致原有的正常訪問中斷或改變方式。網(wǎng)絡(luò)層的訪問控制和身份認證VPN系統(tǒng)在網(wǎng)絡(luò)層實現(xiàn)了訪問控制和身份認證功能。當一個用戶需要訪問受網(wǎng)關(guān)保護的服務器的信息時，VPN安全網(wǎng)關(guān)首先根據(jù)預先配置的策略判斷對方的IP地址是否授權(quán)的用戶，如果有為對方配置的策略，則開始IKE密鑰協(xié)商，密鑰協(xié)商包含了身份認證的過程，在基于PKI體系下的身份認證能很好地確保網(wǎng)絡(luò)訪問的安全性和唯一性。只有在IKE密鑰協(xié)商成功以后，VPN安全網(wǎng)關(guān)才會把服務器的返回數(shù)據(jù)通過加密發(fā)送到客戶端；對進來的數(shù)據(jù)進行完整性校驗和解密。VPN網(wǎng)絡(luò)建設(shè)解決方案只要策略配置適當，VPN安全網(wǎng)關(guān)本身沒有開放的端口，即使暴露在公網(wǎng)上，也可以抵擋掃描、DoS等攻擊行為，一些假冒IP等等攻擊手段也無法攻擊到網(wǎng)絡(luò)內(nèi)部，做到了對內(nèi)部子網(wǎng)很好的保護，以及很好的身份認證功能。在總部可以對所有的用戶進行控制，如果想停止某個分公司或移動用戶對總部子網(wǎng)的訪問，只需要在CA中心將其證書廢除即可，體現(xiàn)了統(tǒng)一的管理能力。VPN系統(tǒng)提供了網(wǎng)絡(luò)層的訪問控制和身份認證功能，保證只有經(jīng)過授權(quán)的子網(wǎng)或客戶端才能接入XX集團內(nèi)部網(wǎng)絡(luò)，保證了一個端到端的安全，在本身應用系統(tǒng)的身份認證基礎(chǔ)上又增加了一道外圍防線，更加增強了系統(tǒng)的健壯性和安全性。同時，通過VPN安全網(wǎng)關(guān)靈活的訪問控制功能，可以允許安全接入和普通接入并存，即對重要的服務器，重要的用戶，實施VPN安全隧道連接，而對于普通的服務器、普通的用戶也可以實現(xiàn)明文的訪問。因地制宜的部署原則整個VPN的安全體系由VPN安全網(wǎng)關(guān)、安全客戶端、網(wǎng)管中心等多個部分組成，通過因地制宜的合理配置部署，既可以實現(xiàn)整體系統(tǒng)的安全性，也達到了一個網(wǎng)絡(luò)系統(tǒng)的優(yōu)化和用戶使用的方便。在XX集團公司的總部，考慮到數(shù)據(jù)庫服務器、應用服務器等重要部分都部署在此，可以部署一臺高性能的SGW25CVPN安全網(wǎng)關(guān)。如果要保證總部系統(tǒng)的可靠性，可以采用雙機熱備方式，即在總部網(wǎng)絡(luò)的出口處部署兩臺SGW25CVPN安全網(wǎng)關(guān)，做雙機熱備配置，如果主網(wǎng)關(guān)一旦發(fā)生故障當機，備份網(wǎng)關(guān)就會立即切換到工作狀態(tài)，接替主網(wǎng)關(guān)承擔系統(tǒng)的運行，整個切換過程平滑透明，不會對網(wǎng)絡(luò)應用造成影響，在10秒以內(nèi)即可完成切換。在各地的分公司，各使用一臺SGW25BVPN安全網(wǎng)關(guān)，以保證其整個子網(wǎng)能安全接入到總部網(wǎng)絡(luò)，并提供其對Internet訪問和控制。在全國各地的辦事處，如果規(guī)模大一些的，可以部署一臺SGW25AVPN安全網(wǎng)關(guān)，以保證其整個子網(wǎng)能安全接入到總部網(wǎng)絡(luò)，并提供其對Internet訪問和控制。對于小規(guī)模的辦事處出差員工和公司領(lǐng)導，使用安全客戶端軟件。只需要在他們的電腦上安裝一套“VPN安全網(wǎng)關(guān)客戶端”，在電腦USB□上插上網(wǎng)管人員配的SureID（USB接口的鑰匙），輸入SureID的密碼，一點“連接”按鈕，如果SureID里的策略和身份信息正確有效，就馬上連接到了總部網(wǎng)絡(luò)，使用總部網(wǎng)絡(luò)內(nèi)的私有IP地址就可以對系統(tǒng)進行安VPN網(wǎng)絡(luò)建設(shè)解決方案全的訪問。網(wǎng)管針對不同用戶可以配置不同的權(quán)限，即可以訪問的服務器不同，網(wǎng)絡(luò)不同等等。針對不用對象采用不同產(chǎn)品，這樣就發(fā)揮了各自產(chǎn)品的特性，組成了一個有機的VPN網(wǎng)絡(luò)體系。為企業(yè)節(jié)省了費用開支采用了VPN系統(tǒng)，相當于在總部和各地分公司之間建立了安全的專用網(wǎng)絡(luò)，就可以充分利用公共網(wǎng)絡(luò)的資源，在上面運行包含企業(yè)內(nèi)部重要信息的應用系統(tǒng)。比較傳統(tǒng)的在總部分公司之間拉專線的方式，采用VPN解決方案，大幅度降低了企業(yè)信息系統(tǒng)的投入成本，為企業(yè)帶來了直接的效益。并且在安全性上，也得到了提高，因為即使是拉專線，也需要通過網(wǎng)絡(luò)運營商，而采用VPN方案，則是真正的將安全掌握在了自己手中。相應地，在采用安全客戶端軟件的移動接入方式之前，大部分企業(yè)采用遠程撥號到公司內(nèi)部網(wǎng)絡(luò)的方式接入遠程訪問的問題。這樣就相當于打長途電話，如果需要傳輸?shù)臄?shù)據(jù)稍多一些，其電話費開銷是非常大的，本身傳輸速度慢不說，而且有接入數(shù)量的限制，取決于總部端的MODEM的數(shù)量。而采用了安全客戶端安全接入解決方案以后，因為客戶端對接入方式不限，如果寬帶接入就解決了速度的問題，最重要的是大大的減少了費用，因為移用用戶只要接入當?shù)氐幕ヂ?lián)網(wǎng)，比起打長途電話，費用不在一個數(shù)量級，另外客戶端接入的個數(shù)限制就小得多，比如SGW25CVPN安全網(wǎng)關(guān)可以同時接受1000個客戶端的并發(fā)接入（如果撥號就需要支持1000個MODEM接入）。除此之外，VPN安全網(wǎng)關(guān)本身具備靜態(tài)路由功能，在分公司使用VPN安全網(wǎng)關(guān)，可以代替路由器實現(xiàn)路由和地址映射功能，因此可以為每個分公司節(jié)省一臺路由器，VPN安全網(wǎng)關(guān)的平均工作無故障時間為15000小時，可以達到一般路由器的可靠性，這樣也大大節(jié)省了企業(yè)的投入成本，帶來了效益。系統(tǒng)的易擴展性VPN系統(tǒng)建立以后，將來的擴展非常方便，如果需要增加一個分公司或者辦事處，在該地安裝一臺VPN安全網(wǎng)關(guān)，總部只需要增加一條安全策略即可以實現(xiàn)該分公司或者辦事處的接入。如果增加一個移動用戶，只需要配發(fā)一個SureID即可。因此擴展非常簡單。VPN網(wǎng)絡(luò)建設(shè)解決方案產(chǎn)品選型上海安達通信息安全技術(shù)有限公司（簡稱ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的安全問題。公司將自己定位為：基于PKI的網(wǎng)絡(luò)安全傳輸平臺供應商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SureID系列、證書中間件”等產(chǎn)品。形成了一個以CA為核心，證書為靈魂，網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動、密切配合的構(gòu)建在PKI平臺上的網(wǎng)絡(luò)安全系統(tǒng)。安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測系統(tǒng)（IDS）互動的功能；隨著系統(tǒng)的升級，ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測功能來增強“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。另外，安達通公司的“安全網(wǎng)關(guān)”具有一個很明顯的技術(shù)優(yōu)勢一一解決了目前國際上的VPN技術(shù)的難題一一非固定IP間的VPN通訊連接（如：通訊雙方均采用ADSL進行連接）。而這一需求也恰恰是XX集團多個分支機構(gòu)和聯(lián)網(wǎng)網(wǎng)點需要相互進行安全通訊的最經(jīng)濟、最貼切的解決方案。故此，我們建議XX集團目前的Modem、ADSL、寬帶等聯(lián)網(wǎng)方式改為在VPN組網(wǎng)方案。VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外，還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)（PSTN）提供的服務：如Modem撥號方式、ISDN、ADSL等。先行的專線/ATM方式，從經(jīng)濟上、管理上、安全上、經(jīng)營上前面已經(jīng)論證不太適合XX集團的組網(wǎng)需求，利用Modem撥號方式、ISDN方式，針對XX集團這樣的大型企業(yè)來說，從速度上、性能上、經(jīng)濟上、管理上均不太適合XX集團目前發(fā)展的需要，不過，針對目前小型的辦事處以及聯(lián)網(wǎng)終端不太多的情況下，可以采用此種VPN組網(wǎng)方式。ADSL是電信力推的企業(yè)上網(wǎng)模式，不但速度快、性能好、實時性好，針對XX集團的應用特點和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟上也是前幾種組網(wǎng)方式所不能比擬的。另外，安達通公司SGW網(wǎng)關(guān)系列具有PPOE撥入模塊，支持ADSL撥號功能，可以節(jié)省專用的撥號服務器，節(jié)省設(shè)備投入。故此，我們建議針對不同駐

VPN網(wǎng)絡(luò)建設(shè)解決方案外機構(gòu)的實際應用情況，采用基于Modem、寬帶以及基于ADSL結(jié)合的VPN組網(wǎng)方案。針對XX集團的實際需求和具體應用，我們推薦此方案采用安達通公司的SGW25C-4、SGW25B、SGW25A硬件產(chǎn)品以及SureClient軟件網(wǎng)關(guān)相結(jié)合的產(chǎn)品解決方案。三種硬件型號的產(chǎn)品具體參數(shù)如下:項目安全網(wǎng)關(guān)快速參考型號SGW25ASGW25BSGW25C-4處理器PowerPC855TPentium3-866MSDRAM32MB128MBFlash/DOM4MB16MB操作系統(tǒng)RTOS端口1*10MEthernetWAN1*10/100MEthernetLAN1*DB9consoleport1*10/100MEthernetWAN1*10/100MEthernetLAN1*10/100MEthernetDMZ1*10/100MEthernetEXT1*DB9consoleport支持的標準算法DES、3-DES、IDEA（可選）、RSA、SHA支持專用密碼算法由國家密碼管理委員會批準和認可的密碼算法密碼加速引擎軟件硬件密碼芯片硬件PCI密碼卡共同支持的協(xié)議及標準TCP/IP、Ipsec、NAT/NAPT、OpenPKI、SCMP、DHCP、靜態(tài)路由獨有支持的協(xié)議PPPoE（可通過WAN口外接ADSLmodem）密鑰交換體制IKE、Diffie-Hellmanipsec吞吐率800Kbps（3DES+SHA在ESP隧道模式）5.76Mbps（3DES+SHA在ESP隧道模式）60Mbps/40Mbps（3DES+SHA在ESP隧道模式）/（國內(nèi)專用算法）支持的最大ipsec并發(fā)隧道數(shù)501001000Firewall吞吐率9.9Mbps70Mbps支持的最大內(nèi)網(wǎng)并發(fā)會話數(shù)10，000130，000工作電流/電壓0.8A/220v3A/220V工作溫度0~60℃0~60℃表3-1ADT硬件安全網(wǎng)關(guān)比較表網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署1、XX集團總部設(shè)計方案VPN網(wǎng)絡(luò)建設(shè)解決方案杭州總部是整個XX公司的“心臟地帶”，重要信息的交互、共享，重要數(shù)據(jù)的頻繁傳輸，組成了XX集團的業(yè)務流。隨著企業(yè)信息化程度的不斷加深，各種應用系統(tǒng)會逐步得到應用。隨之而來，信息安全問題也會成為我們關(guān)注的焦點。目前，XX集團總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)經(jīng)由XX防火墻直接接入Internet?？紤]以后總部業(yè)務需求的發(fā)展，建議在總部網(wǎng)絡(luò)出口處再部署一臺安達通的SGW25-4型VPN硬件安全網(wǎng)關(guān)（安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認證技術(shù)來保護杭州總部和分支機構(gòu)內(nèi)網(wǎng)的安全通訊、安全傳輸）。XX防火墻與安達通SGW25-4型VPN安全網(wǎng)關(guān)采用并聯(lián)方案。普通數(shù)據(jù)包通過XX防火墻到達XX集團內(nèi)部網(wǎng)絡(luò)，實現(xiàn)包狀態(tài)檢測和訪問控制功能。只有需要走VPN線路的數(shù)據(jù)包或者需要加密的數(shù)據(jù)包才可以通過安達通VPN網(wǎng)關(guān)到達XX集團網(wǎng)絡(luò)內(nèi)部，對于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進行過濾和處理。ADTSGW25C-4具有4個網(wǎng)絡(luò)接口，一個用于內(nèi)網(wǎng)、一個用于外網(wǎng)、一個作為與專門的入侵檢測設(shè)備進行互動的網(wǎng)絡(luò)接口，另一個作為EXT□，用于以后的擴展線路、備份線路或作為其他網(wǎng)絡(luò)接口來用。2、各地駐外機構(gòu)設(shè)計方案由于各地駐外機構(gòu)需要與杭州總部進行大量的信息交換，并且隨著ERP等應用系統(tǒng)的應用加深，物流、資金流在企業(yè)Intranet網(wǎng)上的頻繁傳輸，為了保證總部與分支機構(gòu)、分支機構(gòu)與分支機構(gòu)之間進行安全的信息傳輸，故此，我們可以根據(jù)各分支機構(gòu)的不同情況，分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機構(gòu)。同時，建議具有子網(wǎng)的各駐外機構(gòu)采用ADSL或者寬帶的方式接入Internet,并在網(wǎng)絡(luò)出口處部署ADTSGW25B、SGW25A硬件安全網(wǎng)關(guān)設(shè)備；建議在僅有一臺終端的分支機構(gòu)采用Modem或ADSL的方式接入Internet,并在該終端上安裝安達通公司的SureClient軟件網(wǎng)關(guān)，從而達到和總部以及其他分支機構(gòu)的VPN通訊。ADTSGW25B、SGW25A（兩款硬件設(shè)備在密碼加速引擎上和性能上略有區(qū)別，詳細見參數(shù)比較表）具有2個網(wǎng)絡(luò)接口，一個用于內(nèi)網(wǎng)（防火墻模塊可以有效做到安全隔離以及訪問控制機制，安全隔離機制保證了公司網(wǎng)絡(luò)與Internet等公共網(wǎng)絡(luò)的安全連接，訪問控制機制可以有效的控制各個分支機構(gòu)的安全接入問題），一個可通過ADSLModem接入Internet（由于該安全網(wǎng)關(guān)具有PPOE模塊，節(jié)省了專用的撥號服務器）。目前，根據(jù)XX集團的實際情況，由于某部門的特殊要求，建議先在總部與余杭一廠

VPN網(wǎng)絡(luò)建設(shè)解決方案各部署一套ADTSGW25C、SGW25B來建立VPN通道，隨著業(yè)務的發(fā)展，逐步在各地分支機構(gòu)和分廠實施VPN組網(wǎng)，在集團內(nèi)進行推廣應用。XX集團VPN建設(shè)網(wǎng)絡(luò)拓撲圖如下：防火墻光纖收發(fā)器全國26處辦事處（除西藏）的工作站.:主^換機VPN安全網(wǎng)關(guān)/ \光纖專線VPN安全網(wǎng)關(guān)路由器同步modem撥號或?qū)拵暇W(wǎng)連接出差用戶VPN交換機Internet余杭一廠（老余杭）余杭八廠（老余杭） 杭州二廠（汽車北站附近）幀中繼專線安全客戶端路由交換機同步光纖收發(fā)器全國26處辦事處（除西藏）的工作站.:主^換機VPN安全網(wǎng)關(guān)/ \光纖專線VPN安全網(wǎng)關(guān)路由器同步modem撥號或?qū)拵暇W(wǎng)連接出差用戶VPN交換機Internet余杭一廠（老余杭）余杭八廠（老余杭） 杭州二廠（汽車北站附近）幀中繼專線安全客戶端路由交換機同步.modem同步modem路由器交換機路由路由器圖3-4XX集團VPN網(wǎng)絡(luò)建設(shè)示意圖VPN網(wǎng)絡(luò)建設(shè)解決方案第四章技術(shù)支持服務安達通公司的技術(shù)服務部門將提供優(yōu)質(zhì)服務以保證整個系統(tǒng)運行的穩(wěn)定、高效和安全。4.1技術(shù)支持與服務1、安裝服務安達通公司負責網(wǎng)絡(luò)安全設(shè)備的安裝調(diào)試、調(diào)優(yōu)工作。建立合理的項目建設(shè)機制，保證工程的安裝服務質(zhì)量。安裝完畢后提供完整的技術(shù)文檔，內(nèi)容包括：系統(tǒng)的信息記錄、操作維護、調(diào)試的方法以及常見故障處理等等。2、配件服務提供配件服務，使故障設(shè)備得到維護。對一些維修周期長的設(shè)備，提供相似性能的設(shè)備，保證運行系統(tǒng)穩(wěn)定。3、保修維護服務對在保修期內(nèi)的軟硬件產(chǎn)品設(shè)備提供保修服務（火災、地震等人力不可抗拒的因素造成的設(shè)備損壞除外）：提供7*24維修服務，提供7*24小時響應的聯(lián)系電話及聯(lián)系人，提供遠程訪問維護功能，隨時受理電話咨詢，一旦有故障能隨時聯(lián)系到人。系統(tǒng)發(fā)生故障通過遠程拔號接入或者24小時派工程師到現(xiàn)場維護。4、后期維護服務系統(tǒng)錯誤有可能在長時間的運行之后才