企业网络安全vpn解决方案

ansonryu
0 ℃
2019-10-24

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

企业网络安全-vpn解决方案信息技术中心-安全管理部2017年9月13日星期三目录第一章用户需求分析.............................................................................................................51.1业务背景....................................................................................................................51.2需求分析....................................................................................................................51.3方案目的....................................................................................................................6第二章VPN技术核心.............................................................................................................61.VPN概念............................................................................................................................62．VPN技术核心..................................................................................................................72.1VPN分类.....................................................................................................................72.2VPN技术标准.............................................................................................................72.3IPSec协议...................................................................................................................82.4VPN的优势...............................................................................................................113．VPN的发展前景............................................................................................................12第三章VPN解决方案............................................................................................................121.方案设计原则...............................................................................................................121.1高安全性..................................................................................................................131.2最优网络..................................................................................................................131.3完善管理..................................................................................................................132.VPN实施方案................................................................................................................132.1总部网络拓扑...........................................................................................................142.2分部网络拓扑..........................................................................................................152.3访问控制...................................................................................................................162.4VPN场景应用..........................................................................................................163.方案实可现高价值.........................................................................................................18前言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。随着技术的发展，各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，如针对Windows系统和Oracle/SQLServer等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的净荷部分。传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力，因为它们只查TCP/IP协议包头部分而不检查数据包的内容。此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。同时层出不穷的即时消息和对等应用如MSN，QQ，BT等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁，传统的防火墙设备已经不能满足客户的安全需求。美国Xx公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。一般来讲，UTM通常包括防火墙/VPN，网关防病毒和IPS，Xx公司的UTM在此基础上又增加了反间谍软件服务，进一步确保企业信息安全。Xx采用独一无二的逐个包扫描深度包检测引擎，无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护，彻底消除了网关设备对同时下载的文件数目和文件的大小的限制，从UTM技术上是一个突破。XxUTM设备能够并行扫描超过50种协议上的近25000种病毒，检测并阻断近2000种入侵威胁。Xx还支持近百种签名对及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT下载、eMule下载)的通信进行控制，如封堵QQ2005，能够扫描NetBIOS协议，防止病毒通过Windows文件共享进行扩散。采用高性能的专用硬件实现IPSecVPN的加解密，使得Xx设备在3DES和AES算法具备同样出色的表现。对于分布式的企业，通过Internet建立VPN连接是安全经济的信息传输方式，此外，Xx的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁，而且还能阻挡企业其它分支机构通过VPN隧道带来的安全威胁。第一章用户需求分析1.1业务背景xxxx有限公司是国内首屈一指的食品加工销售企业，业务遍及全国各省。物流和财务信息的传输需要确保安区，但是申请专线的费用很高。Internet为企业的信息传输提供了一个经济有效的平台，然而安全问题值得担忧。目前有20个分公司遍布全国各地，还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。1.2需求分析信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一，集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员，而在外工作的业务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部，并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前，一直是我集团期待解决的问题之一。公司在国内的驻外人员分布在各省会城市，负责该省内的所有产品营销业务。由于需要及时和企业总部进行财务及其它信息的传输，这些业务数据在Internet上直接传输时又存在较高的安全风险，一旦这些数据被盗取或泄漏出去，必然会造成公司业务的严重损失。初步需求如下：4个分公司分别通过当地电信部门接入Internet。这些分支机构的网络要受到安全设备的防护，必须有防火墙设备，此外，为防止遭受病毒，黑客入侵的威胁，应用层的安全必须受到保护，设防火墙设备应该具备防病毒和防入侵的功能。企业总部网络有重要的数据库系统，防止病毒和黑客的入侵极为重要。由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输，高性能的VPN功能必须集成在设备内部，便于统一管理。此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库，移动用户必须通过VPN加密方式访问企业网络资源。1.3方案目的作为保护企业内部网免遭外部攻击，确保信息安全地通过Internet传输，最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备（即：防火墙+VPN+网关防病毒+IPS），通过设置有效的安全策略，做到对企业内部网的访问控制。为了方便远程/移动用户安全访问集团内部的机密资料，并为公司建立起安全经济的网络通信连接，故推荐配置使用基于深度包检测技术的UTM设备——（防火墙+VPN+网关防病毒+防入侵）。第二章VPN技术核心1.VPN概念虚拟专用网（VirtualPrivateNetwork）技术是指在公共网络中建立专用网络，数据