搜索
XX网络改造技术建议书目录1.需求分析...................................................................................................................................32.网络拓扑结构...........................................................................................................................32.1典型组网.......................................................................................................................32.2方案介绍.......................................................................................................................43.方案特点...................................................................................................................................53.1.多种VPN技术融合——一次投资多次收益.............................................................53.2.长时间稳定运行——解决VPN稳定性问题.............................................................53.3.远程设备管理简单化——解决VPN设备管理难问题.............................................73.4.抗病毒防攻击——解决网络安全性问题...................................................................81.需求分析目前企业的网络应用越来越多,包括视频、语音、ERP等等;企业规模不断壮大,分支机构数量不断增多,移动办公需求旺盛。如何使分支机构、合作伙伴、移动用户等不同用户接入内网,访问内网数据。内网是承载业务网络的主体,各种重要数据都在内网上面传输,接入用户的安全如何保证越来越多的分支机构接入使得网络的管理越来越复杂,众多分支机构如何管理要想保证企业的数据新干线永续工作,就必须从融合、稳定、易用、安全四个标准来选择VPN设备。2.网络拓扑结构2.1典型组网2.2方案介绍核心配置一台H3CSecPathV100-E安全网关,所有的分支机构通过VPN隧道连接到这个安全网关上面,同时还提供了SSLVPN接入服务。SecPathSSLVPN系列网关是SecPath系列产品的新成员,是H3C公司开发的新一代专业安全产品。SecPathSSLVPN网关能够让用户直接使用浏览器访问内部网络资源,无需安装客户端软件,提供了高经济、低成本的远程移动安全接入方式。SecPathV100-E作为集IPSecVPN和SSLVPN功能与一体的专业VPN网关,还具有完善的防火墙功能,能够有效的保护网络安全;采用应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段;提供基本的路由能力,支持路由策略及策略路由;支持丰富的QoS特性。分支机构配置一台UTM200-M,负责分支机构的安全防火和VPN接入。H3CSecPathU200-M是H3C公司面向中小型企业/分支机构设计的新一代UTM(UnitedThreatManagement,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。3.方案特点3.1.多种VPN技术融合——一次投资多次收益企业的数据互联需求根据企业的不同而存在很大的差异,偏重于总部与分公司互联的企业,往往采用IPSecVPN技术;而方便员工迅速连接总部的企业则会选择SSLVPN技术。但是随着企业信息化的不断进步,网络化成为了趋势:一方面需要企业不同分支机构互联;另外移动办公人员也需要连接总部。这时候与其购买两套系统,不如选择融合的VPN设备。根据目前VPN技术的发展,IPSecVPN与SSLVPN已经成为VPN技术的主流应用,对于一些行业来说还会用到MPLSVPN。在VPN设备的选择方面,VPN种类支持的多少将会直接影响到企业的投资效果。多种VPN技术相融合能够减少企业发展过程中的技术约束,为企业带来一次投资多次收益的良性发展。H3C始终关注VPN技术的研究与发展,顺应客户需求,推出了同时支持IPSecVPN、SSLVPN、MPLSVPN的新型融合VPN设备SecPathV100-E。3.2.长时间稳定运行——解决VPN稳定性问题企业的VPN网络中运行着ERP、财务等重要数据,这些数据对于企业来说就像血液对于人体一样至关重要,任何时间VPN网络的不稳定都会导致直接的经济损失。因此VPN设备的稳定运行是最重要的因素。VPN设备能否稳定运行取决于几个方面:1.VPN设备的硬件平台,是运行VPN功能的硬件基础,分为专用硬件平台以及通用硬件平台,前者是针对VPN应用设计的硬件加速系统,性能高且稳定性好,最适合企业对于高性能高稳定的设备要求。2.VPN设备的软件平台,与硬件平台类似,软件平台分为专用VPN软件平台和通用计算机软件平台。其特点也与硬件平台类似,专用VPN软件平台采用模块化设计,处理与控制相分离,效率高,稳定性好。3.设备的设计水平,要生产一台基于专用平台的可以稳定运行的VPN设备,需要很深的技术积累,这对于很多设备提供商来说,是一道很高的技术门槛。H3C专业防火墙/VPN设备自2002年推出后,已经在全国各行业得到广泛应用,该系列产品具有基于MIPS嵌入式芯片的专用硬件及H3CCommware软件平台,成熟稳定的应用验证了用户对于产品高可靠性的要求。3.3.远程设备管理简单化——解决VPN设备管理难问题VPN方案实施完毕后,后期的管理和维护就成为一个比较头疼的问题。由于企业VPN设备的分布式部署特点,再加上分支机构/公司并不具备专业的VPN管理人员,这就要求所选设备要容易配置,可以远程管理和监控设备的运行状态。企业的VPN方案必须在设计时就充分考虑远程监控和管理的问题,需要提供远程集中管理、批量配置下发、全中文界面和图形化管理等功能。WEB图形化管理界能够降低管理人员的使用难度,远程集中管理和批量配置下发可以极大地减轻管理人员的工作量,减少企业的出差费用等非必要支出。H3C针对VPN应用特点推出了VPNManager*软件,实时监控VPN网络运行情况;更针对困惑用户许久的多VPN分支网点设备的配置和管理问题,开发了H3CBIMS分支智能管理系统*。*VPNManager软件可以轻松构建IPSecVPN网络,有效监视VPN网络的运行,并监控VPN网络性能,快速定位设备故障,从而方便用户在VPN上开展各项业务。*BIMS(BranchIntelligentManagementSystem)分支网点智能管理解决方案,可以实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中监控和管理;在对业务应用基本相同、数量庞大并且分布广泛的网络边缘设备进行管理时,BIMS更会极大提高管理效率,大量节约管理成本。3.4.抗病毒防攻击——解决网络安全性问题随着Internet的迅速普及,全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也层出不穷,这可谓网络如江湖,到处暗藏杀机,稍不小心就会中招。另一方面随着U盘等个人数据存储产品和便携式计算机的普及,企业内部的病毒传播更加难以控制。企业必须把病毒限制在最小的范围以内,最大程度的降低企业的损失。要想解决VPN网络中的安全问题,企业的每个互联网/VPN出口都需要单独部署防护设备,抵御其他节点的病毒蠕虫攻击。部署独立的防火墙设备可以解决该问题,但是会带来额外的成本和管理上的问题,也就是VPN设备和防火墙设备在配合中可能使经过VPN隧道的用户在防火墙中被阻拦;而分支机构的数据在通过防火墙后,又无法创建VPN。因此常见的做法是通过网络技术和软硬件技术的结合,将防火墙组件和VPN组件有机结合。协调统一地集成在一款设备中,可以在保证VPN安全接入的同时,为企业网络安装了一套安全防护的外套:可以将病毒蠕虫等恶意数据遏制在网关处,保障企业总部和分支机构的数据安全。另外,对于安全需求较高的企业也可以考虑部署防病毒网关,彻底防止各种病毒的传输。H3CASM防病毒插卡是拦截病毒传播的有力武器,以插卡形式与SecPath安全网关融合,与专业防病毒厂商强强联合,支持FTP、HTTP、SMTP、POP3协议,可以对40+万种病毒进行病毒查杀。