电子政务中vpn应用

电子政务中VPN应用VPN产生背景：网络基础设施（NI）合作伙伴/客户公司总部办事处/SOHO公共网络DDNADSL虚拟专用网vs专线网络共性：1）为用户单位所专用；2）实现网络的统一规划和管理（象在LAN中）；差异：1）专线网络：存在物理上连同的实际链路；2）VPN：利用公网（internet）实现可达，利用加密解决安全性，保证专用。VPN概念VPN（VirtualPrivateNetwork）是指通过综合利用访问控制技术和加密技术，并通过一定的密钥管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密管道”中进行安全传输的技术。合作伙伴/客户公司总部办事处/SOHO公共网络VPN通道VPN设备VPN设备VPN设备VPNclient基于OSI参考模型的防护应用层表示层会晤层传输层网络层链路层物理层应用层表示层会晤层传输层网络层链路层物理层网络层攻击应用层攻击证书，动态口令卡安全网关（VPN+Firewall）防护手段选用VPN的原因VPN技术专线技术安全性非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里比较高。但是，安全是建立在对电信部门相信的基础上，对电信运营商，无任何安全可言。可扩展性基于TCP/IP技术，接入方式灵活，只要网络可达，就可以方便扩展。以来当地运营商的支持，扩展很不方便。投资成本设备一次性投入，不需要支出每月的运营费用，长期看来大幅度节省支出。专线费用很高，需要每月支付昂贵的专线租用费用，而且在初期要一次性投入路由器的费用对移动用户的支持能对internet上的内部移动用户安全接入，彻底消除地域差异。构造全球的虚拟专网。只能联通专线拉到的网络，不支持离开局域网的内部用户接入专网。带宽使用各种廉价的宽带介入方式，如：ADSL，Ethernet等，一般在1~100M。由于价格昂贵，一般租用的带宽都比较窄（一般不超过2M）。升级依赖于设备的升级，非常方便。依赖于电信部门。安全客户端软件骨干网络SGW25DSGW25ALite安全网管平台大型企业中型企业小企业/SOHOSGW25C-4SGW25BADT安全网关=VPN+状态检测Firewall+IDS微引擎SGW25BPro几种典型用法1、各地机构构建远程VPN安全网络（固定IP—固定IP，固定IP—动态IP,动态IP—动态IP）用途：总部与分支机构通过Internet/WAN安全互联，形成“局域网”2、移动办公解决方案----原有拨号接入网络拨号服务器总部局域网服务器PCPCPC办事处……移动用户拨号网络拨号网络办事处1拨号分公司n拨号…………用途：职员在外出差时可以通过Internet访问单位内部网络资源2、移动办公解决方案----VPN网络改造InternetXX政府内部网PC“管理系统”内部服务器下属县政府内部网省政府内部网LAN……Firewall市政府移动用户授权用户routerWebServer等数据库XX政府外部公务网PCRASModem3、政府公务网虚拟专用网络构建----原有网络结构3、政府公务网虚拟专用网络构建----改造后的网络InternetXX政府内部网PC下属县政府内部网省政府内部网LANFirewallWebServer等内部服务器XX政府外部公务网PC物理隔离网闸安全网关ADSLModem安全网关DMZ内网前置Server安全加密隧道物理隔离可信信息交换通道移动用户（VPN客户端）用途：使不同的政府和事业单位之间进行安全保密的通信(Extranet)；并进行严格的访问控制（“子网/网址范围/主机”间的任意搭配）。4、不同事业单位间的虚拟专用网络----LANtoLANExtranet4、不同事业单位间的虚拟专用网络----ClienttoLANExtranet5、透明模式下VPN网络的构建INTERNET......SGW25B安全网关路由器支行1PCPCPCPCPOWERFAULTDATAALARMSGW25B安全网关路由器支行NPCPCPCPCPOWERFAULTDATAALARM服务器群信息中心局域网……PCPC……信息中心机房SGW25C安全网关SGW25C安全网关(FIRE+VPN)路由器A.传统的基于“预共享密钥”的通讯模式（适合小规模VPN设备互联模式）左边的6个VPN设备相互通讯，需要约定15个密钥；建设N个节点相互通讯，需要N*(N-1)/2个密钥B.基于“数字证书”的通讯模式（适合大规模VPN设备互联模式）CA：（certificateauthority）作为电子商务交易中受信任的第３方，承担数字证书的签发和验证。－－网络上的公安局；数字证书：网络通讯中标志通讯各方身份信息的一系列数据，由CA机构颁发和验证。－－网络上的身份证；6、大规模VPN构建合作伙伴/客户公司总部办事处/SOHO公共网络PKIGWPKIGWPKIGW公钥基础设施（PKI）CA中心个人证书载体SecureclientVPN通道6、大规模VPN构建-基于证书的认证模式7、安全网关和IDS互动—原理图7、安全网关和IDS互动—网络部署异地员工需要及时与内网联系安全网关客户端CISCO4006交换机省公司路由器安全网关Cisco3640路由器微波线路PCPCPCPCPCPCPCPCPCPCPCPCPCPCPCCisco2600路由器PCPCPCPCPCKIDS传感器KIDS主控台省电力公司网络8、安全网关和Firewall联合配置Internet路由器总部局域网PCPCPC……WEB服务器MAIL服务器BI服务器SWITCHDMZ移动用户（安全客户端）办事处1ADSL代理服务器（安全客户端）分公司nADSLSGW25B安全网关（安全客户端）…………安全隧道安全隧道安全隧道Firewall安全网关安达通安全网关技术优势严格遵守IPSec和IKE规范，能和Nescreen、CheckPoint、Cisco等主流VPN设备互通；支持全动态IPVPN互联解决方案，适合中国企业互联特点；支持Ipsec-NAT穿透(NATT)，适合中国城域宽带网(采用“非真实IP地址”上网)特点；支持完全透明的“网桥”模式，并能在桥模式下建立VPN隧道，适合在银行、证券、电力、石化等专网中使用；全状态检测Firewall模块、完备的NAT/NAPT功能和IDS微引擎，抵抗常见网络层攻击，并能和国产主流IDS设备互动；支持动态IP的DMZ服务功能（即：可利用动态域名解析，通过动态IP接入，对外提供Web、Mail等服务）；支持VLANTrunk，并能够在VLAN环境下构建VPN连接；支持Windows移动客户端（Win98/Me/2000/XP），移动客户端也支持IPsecNATT；支持基于“数字证书”的运营模式，适合大规模VPN网络；支持Qos、DHCP和静态路由，PPPoE拨号，双机热备等；完善的安全网关集中管理平台，本机/远程日志存储；性能优异：100M设备3DES+SHA加密速率高达70Mbps，1000M设备3DES+SHA加密速率高达200Mbps；支持密码委批准的国产加密卡。衡量VPN好坏的重要因素VPN产品效率安全性管理和操作性产品稳定性