经济型VPN方案

中小企业经济型VPN方案网络配置一个总部，10个分部，实现总部和分部之间的互联。总公司设一台utt3640作为中心设备与下面分部的vpn产品互联，而各分支则采用utt2512作为上网络由器兼VPN网关。本配置采用IPSecVPN协议，IPSecVPN协议为公认最安全的协议，提供的保密功能则可确保传输数据不会被中途拦截。图：经济型VPN方案产品选型本产品在总公司选用utt3640产品，而在另外10个点则采用utt2512产品UTT3640安全网关/VPN防火墙UTT3640是中小型企业经济防火墙的完美选择。UTT3640四WAN口安全网关/VPN防火墙基于艾泰科技的全新的防火墙架构，采用高性能的INTELIXP网络处理器，防黑客、防入侵，为用户提供防火墙级别的网络安全；全面的上网行为管理，轻松管控上网行为；多种形式的VPN功能，支持PPTP/L2TP/IPSec等协议，帮助您轻松构建自己的VPN网络。四WAN口提供多出口的选择，支持多线路实时备份和负载均衡；支持电信/网通智能策略路由，实现了电信流量走电信、网通流量走网通，彻底解决互联互通问题。防火墙功能全新的防火墙架构，有效防范内外网攻击、侦测及报文窃听、IP地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止震荡波、冲击波、木马等病毒攻击；实现了基于源/目的IP地址、协议、端口、源/目的MAC地址的包过滤，基于URL和关键字的应用层过滤，还可按时间段进行过滤。采用上述过滤技术的业务管理功能，不仅可以控制用户的上网权限和上网时段，还能够保护内部网络免遭外来攻击。支持IP/MAC绑定，黑名单，白名单，对不同等级用户进行分组，实行用户认证，防范权限盗用同时方便制定安全策略。灵活的VPN功能支持IPSec、L2TP以及PPTP三种VPN协议，它们可以单独使用，也可以结合使用；允许一方或双方动态VPN接入，可实现网关到网关、远程拨号等多种形式的VPN；可实现VPN星型连接，使得VPN流量从一个隧道经HiPER连接到另一个隧道；最多可配置50条VPN隧道，并发30条。IPSecVPN支持自动IKE和手动密钥，支持ESP/AH协议、3DES/DES/AES加密算法、SHA1/MD5认证算法，支持主模式和野蛮模式，支持抗重播、NAT穿透。四WAN口和智能NAT提供四个WAN口，支持ADSL、光纤、CableModem等方式的混合接入。在PPPoE拨号上网方式下，提供“按需拨号”“自动拨号”和“手动拨号”三种PPPoE连接方式；支持LQM链路质量监控功能；而且，还允许管理员控制拨号连接的开始时间和结束时间，从而防止忘记断线而浪费上网时间。在CableModem动态接入方式下，支持MAC地址修改与克隆功能。可同时配置4条上网线路，支持负载均衡和实时备份，成倍扩展出口带宽；支持按线路带宽比分配流量，使线路利用率达到最高；支持电信、网通智能策略路由，实现电信流量走电信线路、网通流量走网通线路，彻底解决互联互通问题。支持NAPT、NAT以及路由的混合使用，满足各种复杂的网络地址规划。支持NAT静态映射和DMZ主机，向外提供、Telnet、FTP等服务；支持NATRe-routing和反向NAT；提供NATALG功能，支持FTP、PPTP、IPSecESP等特殊应用协议。策略库通过引入策略库，将复杂的多条策略当作一个策略库处理，再加上类似于WINDOWS风格的策略库自动更新功能，不仅大大简化了配置的复杂度，还可以为用户免除很多烦琐的手工维护工作。针对QQ、MSN、P2P这些应用软件的频繁升级，以及电信/网通服务器IP地址的频繁变更，艾泰科技公司技术人员会在第一时间收集相关信息，并及时提供最新版本的策略库，避免用户的后顾之忧。通过引用防火墙策略库，不仅实现了单键设置ARP欺骗防御、DoS/DDoS攻击防御、冲击波病毒防御等功能，还实现了单键管制QQ/MSN等即时聊天软件的使用、单键管制BT/电驴等常用P2P软件的使用，大大简化了配置。通过引用路由策略库，实现了电信、网通智能策略路由：用户无需一条条地添加静态路由，只需操作一次，就能批量配置大量电信路由或者网通路由，从而保证电信流量走电信线路、网通流量走网通线路。由或者网通路由，从而保证电信流量走电信线路、网通流量走网通线路。带宽管理提供基于CBT（Credit-BasedQueuing）算法的带宽管理功能，可大大提高带宽利用率，并能有效抑制BT、讯雷、QQ直播等P2P软件对带宽的滥用：对于正常上网的主机，HiPER将允许它偶尔突破最大限速；相反，对于长期使用P2P软件的主机，HiPER将会减小它的带宽，使其对其他主机的影响降到最低。支持按时间段进行带宽管理，实现了在网络繁忙的时候启用带宽管理，从而保证局域网所有用户都能合理使用带宽；而在用户少、网络空闲的时候，则不进行带宽控制，从而方便网络管理员进行更新内部服务器等网络维护工作，使得现有用户能够高速上网，保证了线路带宽的充分利用。支持单机最大NAT并发会话数限制，还可以分别限制由TCP、UDP或者ICMP协议构成的最大并发会话数，可以有效防止用户使用P2P等海量下载软件过度占用带宽，还可以避免中毒主机过度浪费带宽，保证其他主机运行正常。用户管理提供用户个性化管理功能，实现了百分之百的按需定制。针对用户的实际需求，每台内部主机都可以采取不同的策略（可以任意限定某台PC可使用的带宽、NAT会话数，是否禁止QQ、MSN、P2P，等等），解决了传统的分区管理不够灵活的问题。该功能不仅可以大大加强管理的灵活性，并在一定程度上降低了管理员的工作量。支持IP/MAC地址绑定，过滤非法IP或MAC地址，方便设置上网黑名单和白名单。值得注意的是，HiPER还支持IP/MAC地址全部绑定功能，只需一键操作，就可以一次性将所有动态IP/MAC地址对全部绑定；再配合ARP广播和更新限制功能，就可以有效防止HiPER和局域网主机遭受ARP欺骗攻击了。端口镜像提供端口镜像功能，可将LAN的其他端口的流量自动复制到镜像端口，实时提供各端口的传输状况的详细资料，以便网络人员进行流量监控、性能分析和故障诊断。由于HiPER的端口镜像功能完全由硬件提供，因此不会影响HiPER的性能、速度以及各个应用功能。网络监控支持上网监控功能，提供多种监控和诊断方式，可动态监控网络运行情况和用户上网行为，帮助网管人员快速定位和排除网络故障，特别是能够实时发现网络异常及异常主机，如感染病毒或发起攻击的主机。网管人员通过实时监测CPU利用率、内存利用率、NAT表等关键系统资源，可以及时发现潜在的各种攻击；通过实时查看各个接口的带宽，查看各个用户的上传/下载带宽以及NAT会话数，查看上传/下载带宽排行榜和NAT会话数排行榜，能够快速定位网速慢、卡等网络异常。配置和管理提供友好的全中文WEB界面，直观易用、功能丰富，快速向导可帮助用户在短时间内完成初始配置；同时还提供传统的CLI界面，功能更丰富；并且，两种方式下均支持通过Internet进行简便、安全的远程管理。支持配置文件备份与导入，可将HiPER当前配置文件保存到管理计算机，也可将备份的配置文件导入到HiPER中，节省重复配置的时间；支持WEB、TFTP多种升级方式，方便功能扩展。提供标准的SNMP接口，可供远程SNMP服务器管理；并且，提供系统日志功能，可通过远程SYSLOG服务器记录。UTT2512安全网关/VPN防火墙UTT2512安全网关是为小型企业、学校、小型分支机构等有VPN需求设计的防火墙路由器，是HiPER2511VF的升级替代产品。UTT2512采用IntelIXP533MHzCPU核心，全新硬件架构高速核心，其强大的硬件处理能力可达到每秒转发140K的64字节包，相对于ARM9处理器平台的50KPPS的包转发速率整整提高了三倍。UTT2512具备上网行为管理功能，加强网络安全管理、网络维护管理，安全性、易用性、性价比突出；支持PPPoEServer功能，全面解决内网ARP问题；支持IPSec、L2TP以及PPTP等多种形式的VPN功能，可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络Vpn功能支持IPSec、L2TP以及PPTP三种VPN协议，它们可结合使用；允许一方或双方动态VPN接入，可实现网关到网关、远程拨号等多种形式的VPN；最多可配置5条VPN隧道，并发5条。IPSecVPN支持自动IKE和手动密钥，支持ESP/AH协议、3DES/DES/AES加密算法、SHA1/MD5认证算法，支持主模式和野蛮模式，支持抗重播、NAT穿透。智能NAT支持NAPT、NAT以及路由的混合使用，满足各种复杂的网络地址规划。支持NAT静态映射和DMZ主机，向外提供、Telnet、FTP等服务；支持NATRe-routing和反向NAT；提供NATALG功能，支持FTP、PPTP、IPSecESP等特殊应用协议。防火墙功能强大的防御内部/外部攻击能力，能有效防范ARP欺骗、端口扫描、DoS/DDoS等网络攻击，防止冲击波、震荡波、SQL蠕虫等病毒攻击，最大程度地保证HiPER及网络的稳定性和安全性。支持基于地址组、服务组的源/目的IP地址、协议、端口、源/目的MAC地址的包过滤，基于URL和关键字的应用层过滤，还可按时间段进行过滤。采用上述过滤技术的业务管理功能，不仅可以控制用户的上网权限和上网时段，还能够保护内部网络免遭外来攻击。策略库通过引入策略库，将复杂的多条策略当作一个策略库处理，再加上类似于WINDOWS风格的策略库自动更新功能，不仅大大简化了配置的复杂度，还可以为用户免除很多烦琐的手工维护工作。针对QQ、MSN、P2P等应用软件的频繁升级，艾泰科技公司技术人员会在第一时间收集相关信息，并及时提供最新版本的策略库，避免用户的后顾之忧。通过引用防火墙策略库，不仅实现了单键设置ARP欺骗防御、DoS/DDoS攻击防御、冲击波病毒防御等功能；还实现了单键管制QQ、MSN等即时聊天软件的使用，单键管制BT、电驴等常用P2P软件的使用，大大方便了用户的使用。三级带宽管理支持个性化配置组管理全局配置的三级带宽管理功能，全面满足内网用户不同带宽需求量身定制。提供基于CBT（Credit-BasedQueuing）算法的带宽管理功能，可大大提高带宽利用率，并能有效抑制BT、讯雷、QQ直播等P2P软件对带宽的滥用。支持按时间段进行带宽管理，实现了在网络繁忙的时候启用带宽管理，从而保证局域网所有用户都能合理使用带宽；而在用户少、网络空闲的时候，则不进行带宽控制，从而方便网络管理员进行更新内部服务器等网络维护工作，使得现有用户能够高速上网，保证了线路带宽的充分利用。并发会话数限制，还可以分别限制由TCP、UDP或者ICMP协议构成的最大并发会话数，可以有效防止用户使用P2P等海量下载软件过度占用带宽，还可以避免中毒主机过度浪费带宽，保证其他主机运行正常。用户管理提供用户个性化管理功能，实现了百分之百的按需定制。针对用户的实际需求，每台内部主机都可以采取不同的策略（可以任意限定某台PC可使用的带宽、NAT会话数，是否禁止QQ、MSN、P2P，等等），解决了传统的分区管理不够灵活的问题。该功能不仅可以大大加强管理的灵活性，并在一定程度上降低了管理员的工作量。支持IP/MAC地址绑定，过滤非法IP或MAC地址，方便设置上网黑名单和白名单。值得注意的是，HiPER还支持IP/MAC地址全部绑定功能，只需一键操作，就可以一次性将所有动态IP/MAC地址对全部绑定；再配合ARP广播和更新限制功能，就可以有效防止HiPER和局域网主机遭受ARP欺骗攻击了。端口镜像支持端口镜像，实时提供各端口的传输状况的详细资料，通过将各个端口的流量复制镜像端口，以便监管部门进行监控，网管人员进行流量监控、性能分析和故障诊断。网络监控提供多种监控和诊断方式，可动态监控网络运行情况、用户上网行为，帮助网管人员快速定位和排除网络故障，特别是能够实时发现网络异常以及异常主机，如感