IPSecVPN异地互联组网方案1

IPSecVPN异地互联组网方案目录第1章需求背景........................................................................................................11.1背景介绍........................................................................................................11.2目前存在问题.................................................................................................1第2章解决方案........................................................................................................2第3章方案优势........................................................................................................3第4章技术优势........................................................................................................44.1安全...............................................................................................................44.2快速...............................................................................................................54.3稳定可靠........................................................................................................5第5章产品选型和参数.............................................................................................6第6章相关案例名单.................................................................................................66.1四川省环保局.................................................................................................66.2河南省环保厅.................................................................................................66.3湖南省财政厅.................................................................................................76.4其他VPN组网客户........................................................................................8第1章需求背景1.1背景介绍近年来，VPN技术以其可以利用公共网络资源，建立安全可靠、经济便捷、高速传输通道的特点引起了企业的广泛关注。随着信息化建设的深入以及各单位网络建设的广泛开展，VPN应用也逐渐显示出它的强大优势。在各行各业基于VPN的解决方案已得到了成功应用，这不仅为VPN技术应用开辟了全新的行业市场，同时也为企事业单位的信息化建设提供了一个可参照的样板。1.2目前存在问题目前本单位从省上到地市州各自局域网虽已基本成型，且已有专线进行单一数据传输，但由于没有建立安全、可靠的广域网络连接，导致省地市州各单位之间也无法实现内部多种资源信息的共享，相互之间形成了信息的孤岛，且不能对专线进行互联网的安全备份。为此需要建设一个高带宽、低成本、安全可靠、并能根据需要覆盖全国的广域网系统，并着重关注和解决以下问题：1.数据安全性无法保障：在内部信息平台上的应用系统现在都是未经加密等安全处理的，跑在互联网这个不安全而又开放的网络上。这些不经加密的重要数据如果遭到窃取，带来的损失将无法估量。2.省地市州之间互连：省地市州之间现在都是使用普通的互联网进行连接，对于重要的内部系统等涉及到核心数据的应用没有发布到公网上，需要实现整个单位的信息、数据、资源的整合，就必须解决省地市州之间网络安全互联的问题。3.访问速度低下：地市州单位日常的工作都需要依靠信息平台来完成，与之相矛盾的是内部人员接入省上访问应用的速度极其的慢，严重的影响了工作的效率。4.专线备份。通过各省地市周的基于Internet的IPSecVPN链路，在保证多种数据传输的同时，又能够在专线异常(比如道路、房屋基建等导致运营商专线被挖断等)时作为物理物理专线的备份链路，保证数据传输不中端。第2章解决方案考虑到整个广域网系统需要覆盖省地市州各个局域网相互独立又相互连通，同时还要解决各单位领导、外出办事人员接入组织单位内部办公系统，决定采用基于IPSECVPN解决方案。说明：1.在省厅以网关/单臂模式部署一台SSL/IPSecVPN，在各个地市州单位以网关/单臂模式部署IPSecVPN，从而实现省厅与地市州单位之间通过设备建立IPSecVPN隧道，实现用户透明安全的访问总部应用。2.如有必要，各地市州单位之间通过总部VPN设备的隧道间路由建立两两相互之间的VPN通道，从而实现省厅与地市州单位、地市州单位之间形成互联互通的关系，构建整个组织单位的网状拓扑。3.通过省厅的SSLVPN，领导出差或者外出办事人员也可以通过安全加密的方式接入到内部系统处理工作相关事宜，大大加强了数据安全性和办公便利性。第3章方案优势1.组网方便、易于扩展：IPSecVPN只需要使用普通的上网线路就能构建整网的IPSecVPN网络。通过IPSecVPN设备之间构建VPN隧道实现总部与分支之间的互联，并支持隧道间路由实现分支与分支之间的通过总部进行互联，在整个组织的所有点之间构建“大局域网”。让各终端用户在无需安装任何客户端软件和插件的情况下，在权限范围内访问全网应用。对于新分支机构的扩展，只需要新增一台IPSecVPN设备，使用分支接入的普通上网线路，就可以实现新分支机构完全纳入整个“大局域网”，扩展方便。2.高安全性：VPN网关遵循的是IPSEC协议，IPSEC是目前最为安全VPN协议，VPN设备通常内置：AES/DES/3DES/RSA等多种加密算法，支持MD5/SHA-1等标准HASH算法，包括国家密码管理局指定的基于SCB2的标准加密算法。通过IPSEC在Internet上建立安全可信的隧道，各实体之间的数据都是通过安全隧道传递。3.高稳定性：IPSecVPN通过VPN隧道、线路和设备三方面的全方位保证整个VPN网络的稳定性。支持隧道自愈技术，实时探测VPN隧道连接情况，一旦检测到VPN拨号中断则在3秒内自动进行VPN重新拨号；对于线路中断的情况，通过隧道自愈技术，一旦检测到线路恢复，则立即进行隧道的重新建立，无需人为操作实现VPN网络的自动恢复。支持多线路技术实现多条线路之间的主备，可设备主线路组合备线路组，并可实现在主线路组、备线路组中分别进行带宽的叠加及负载均衡。当主线路组中的某条线路中断，则该条线路上的数据则自动切换到主线路组中的其他线路上；当主线路组中所有线路都无法使用时，则备线路组自动启用。充分的利用了各条线路，在保证线路的高稳定性下实现线路价值的最大化。支持双机热备功能，通过心跳线连接主备机监测对方的状态并进行实时同步，当主机因为断电等原因无法正常使用时，则备机自动启用，保证了设备的高可靠性。4.高速访问：融合了多项广域网加速技术，通过专利多线路带宽叠加和负载均衡实现出口带宽的成倍增加，并最大化的实现线路的价值；通过加速技术解决跨运营商传输等高丢包高延时现象，将网络环境对线路的影响降到最低；通过高效的流压缩技术对传输数据进行处理，消除冗余数据，提高传输速度。IPSecVPN支持升级到专业的广域网加速产品，享有更多的加速传输技术，全方位的进行网络提速。5.管理便利：支持远程管理和本地管理双管齐下，通过WebUI实现管理方便快捷。并可通过专业的SC集中管理平台实现对整个网络中的所有VPN设备的统一管理，进行实时监控、统一配置、智能升级、集中备份等一体化管理。针对接入用户的访问权限控制提供细致到端口的双向权限分配，实现分支访问总部、总部访问分支、分支访问分支的全方位的权限细化，并在一定程度上减少了病毒、木马等跨网传播的可能。IPSecVPN支持针对用户组/用户进行隧道内的流控，合理的规划VPN接入的带宽，保障了各个分支通过VPN访问总部的顺畅。第4章技术优势4.1安全IPSecVPN将数据的安全传输划分为接入的安全、数据传输的安全、访问应用的安全三个方面来保障整个系统的安全性。1.接入的安全：IPSecVPN通过多重安全技术保证接入用户的安全性，杜绝了外人通过VPN侵入组织单位内部系统的情况。2.数据传输的安全：IPSec是目前最为安全的VPN协议，在Internet上建立安全隧道进行数据传输。支持AES、DES、3DES、RSA等多种国际主流的加密算法，保证了数据传输的高安全强度。3.访问应用的安全：IPSecVPN网关采用VPN权限粒度分析技术，可以简单灵活的指定每个VPN用户的具体权限，可以细致到端口级别的权限。在配置某些应用授权给指定用户的同时，消除了病毒通过一些不安全的端口进行跨网传播的隐患。IPSecVPN支持移动用户的VPN专线，当移动用户接入网络以后就断绝VPN之外的所有互联网连接，防止黑客将移动用户做为跳板入侵企业内网。4.2快速IPSecVPN通常采用快速压缩算法，能将传输效率提高到130%甚至更高，在大大削减冗余数据流量的同时，保证了传输的实时性。IPSecVPN通过多线路复用技术实现多条Internet线路之间的带宽叠加、QOS及负载均衡，大大增加了大数据量业务的处理速度，优化网络传输。并能实现多条线路之间的智能选路，在连接建立前实时探测线路的情况，选择速度最快的线路进行接入，保证了应用访问的最快速。中国环境中特有的移动、联通（网通线路）、电信3网并存的情况，3张网之间的传输存在着高丢包、高延时的瓶颈问题。IPSecVPN通过协议加速技术，专门针对网络传输模式进行改进，消除运营商之间的瓶颈传输所带来的影响。4.3稳定可靠IPSecVPN网关将智能QOS分配技术应用于设备中。通过该项技术，用户可以自定义不同服务的QOS级别，并支持对不同级别自定义带宽分配比例，让重要的服务享受更大的带宽保证应用的访问效果。在额定带宽的传统QOS策略中，各个QOS级别的服务只能使用额定带宽，即使网络流量没有占满，低级别的服务也不能使用预留给高级别服务的带宽。智能QOS策略修正了这个缺陷，当没有高级别数据的时候，低级别的服务能够有效利用所有空闲带宽，大大的提高了QOS下带宽的利用率。第5章产品选型和参数第6章相关案例名单6.1四川省环保局背景介绍四川省环保局是负责在辖区内组织贯彻执行环境保护法律法规，对辖区内自然