企业VPN解决方案

第一章XXXXXVPN网络建设需求XXXXXX由于业务发展需要,拟建立跨省范围内的VPN业务专网。VPN网络建立在互联网之上，使XXXXXX总部和各个分支机构的用户根据不同业务需要可灵活接入到VPN内部专网，所有用户依靠该网络还可按策略访问互联网。该方案的目的为实现每个分公司的局域网到总部局域网的互通和每个分公司的局域网互通VPN的优点VPN是计算机网络的新技术，它将使Internet成为一种商业工具，并为Internet和Extranet的应用带来良好的前景。VPN技术的主要目标是节省企业的通信费用，特别是替代企业已有的专线，并且提高企业网络的可管理性，降低企业的通信成本。具体而言，VPN具有以下显著的优点：1、降低成本当使用Internet时，实际上只需要付短途电话费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费，此外，VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。2、容易扩展支持多种隧道实现方式，并且网络是动态的，可以随时增减用户，便于集中控制访问权限。如果企业想扩大VPN的容量和覆盖范围，企业做的事情很少，而且能立时实现；企业只需与新的ISP签约，建立帐户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单：几条命令就可以使Extranet路由器具有Internet和VPN能力，路由器还能对工作站自动进行配置。3、可随意与合作伙伴联网在过去企业如想与合作伙伴联网，双方的信息技术部门就必须协商如何在双方之间建自助用线路或帧中继线路，有了VPN以后，这种协商毫无必要，真正达到了要连就连、要断就断。4、完全控制主动权VPN使企业可以使用NSP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给NSP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。5、便于兼容传统的远程拨号网络服务只支持注册的IP地址，限定了用户企业网络的访问。而VPN的实现支持多种网络层协议和没有注册的专用IP地址，很好的解决了Internet公网与专网的兼容性问题。VPN的应用方案内部专网采用安全成熟的IPsecVPN技术来建立VPN网络，VPN采用公司内联网的方案第二章VPN网络方案建议根据XXXXXX的多层接入，并按需分配权限的特点，我们建议网络方案如下:系统组成根据需求，具有IPsecVPN和防火墙功能的(设备)千兆安全网关架设在XXXXXX总部，连接到互联网，提供VPN主站点服务，允许各分支拨入。分支机构选用(设备)千兆安全网关接入互联网，与总部建立IPsecVPN通道，根据权限访问专网资源。集团中心VPN方案做为XXXXXX总部，选用百兆(设备)安全网关做为出口，出口通过运营商接入互联网，支持来自互联网的VPN拨入。安全网关提供VPN和防火墙功能，可灵活控制内网用户访问互联网及VPN访问。建立动态域名（DDNS）服务器，直接连接到安全网关设备上。各远程接入用户连接VPN方案分支机构采用ADSL拨入接入互联网，安全网关使用动态IP地址，所有用户通过(设备)千兆安全网关接入互联网，利用安全网关防火墙功能控制互联网访问权限，并通过安全网关与集团总部或其他地区建立VPN，访问专用资源。IPsecVPN是建立一条双方信任的数据加密通道，通信的双方必须知道对端的IP信息，分支机构使用(设备)安全网关可以在总部IP固定的情况下，单项建立VPN连接请求，总部安全网关接收到该请求后得到分支VPN拨入设备的IP信息，从而建立双向的完整VPN通道。(设备)VPN设备之间或者VPN设备与客户端设备之间在建立隧道的时候支持明密结合的隧道方式，也就是说：设在不同地理位置的分公司与总公司职员通过VPN设备可以象在同一局域网内部进行相互访问，资源共享，方便用户使用，经过VPN设备对穿越Internet的数据进行加密，保证数据的机密性。同时总部和分部都可以通过(设备)VPN设备做NAT访问Internet，保证了日常办公的正常进行，从而建立起明密结合VPN隧道，安全、便捷的进行网络应用和办公自动化的顺利、安全进行。(设备)VPN是和防火墙集成在一起，因此在VPN建立隧道以后可以通过防火墙对建立VPN隧道双方进行访问控制，可以根据VPN访问的源和目的地址、源和目的的端口、IP协议号、VLAN信息等进行控制，保证了VPN互连以后企业网络的安全性。安全网关设备管理所有安全网关设备采用集中管理的方式，总部安装集中管理软件后通过与安全网关设备唯一匹配的密钥验证来与设备通信，实现远程集中管理。管理中心可以授权新增、更改、删除安全网关的包括路由、策略等所有配置。安全网关自身包含了防火墙模块，对包括DDoS等各类网络攻击有非常强有力的防范抵御功能。集中管理器与安全网关通信也是cast128位加密通信，保障管理的安全性。安全网关稳定可靠千兆安全网关选用NP架构平台，精简硬件架构，平均无故障时间超过40000小时，千兆安全网关具有4个对称设计的接口并集成了一个6个端口的交换机可满足日后网络扩展的需要。功能实现远程接入点采用专线或ADSL拨号接入，有固定IP地址或浮动IP地址。远程接入点可以与在平台内的，具有接入功能的所有VPN网关建立连接，而且平台实现单点接入，全网访问。异地机构采用浮动IP地址，可以直接进行数据交换，并能及时更新VPN路由表。中心采用固定IP地址，所有异地机构采用浮动IP地址，异地机构之间的数据交换通过在总部注册动态地址，异地安全网关设备间通过动态域名方式建立VPN连接数据交换可以不通过中心。第三章(设备)VPN功能(设备)VPN支持多种接入模式，可以在不同的网络环境非常方便、灵活的建立VPN隧道；同时具有强大的加密和认证功能，保证数据在Internet上传输的安全性。3.1明密结合的VPN接入(设备)VPN设备之间或者VPN设备与客户端设备之间在建立隧道的时候支持明密结合的隧道方式，也就是说：设在不同地理位置的分公司与总公司职员通过VPN设备可以象在同一局域网内部进行相互访问，资源共享，方便用户使用，经过VPN设备对穿越Internet的数据进行加密，保证数据的机密性。同时总部和分部都可以通过(设备)VPN设备做NAT访问Internet，保证了日常办公的正常进行，从而建立起明密结合VPN隧道，安全、便捷的进行网络应用和办公自动化的顺利、安全进行。3.2动态IP的VPN接入(设备)VPN支持动态IP的VPN接入，可以根据指定对方VPN设备的IP地址或者域名建立VPN隧道。因此只需为动态IP地址申请一个免费的动态域名，(设备)VPN根据申请到的域名建立隧道，从而实现了动态IP地址的VPN接入。3.3DHCPOVERIPSEC许多网络通过DHCP的方式管理网络中的IP地址，从而有效的避免了网络中的IP地址冲突并且简化了IP地址的管理。如果一个集团全部用这中方式进行IP地址的管理，就需要有多少个分公司配置多少台DHCP服务器。(设备)VPN设备建立VPN隧道以后，只需要在总部设立一台VPN设备，通过DHCPOVERIPSEC的功能就可以通过总部的DHCP服务器为各个分公司分配动态的IP地址，节省了网络建设的投资。3.4NAT穿越IPSec封装协议封装后的数据包，如果经过NAT网关设备，封装包头的地址被替换，封装包的完整性就会遭到破坏，导致认证失败，VPN隧道无法建立。所以如果VPN隧道之间有NAT网关设备存在，VPN隧道将无法建立。(设备)VPN通过独特的IPSec代理技术，解决了这一技术难题，使VPN隧道可以在NAT环境中自由穿越因此可以经过NAT设备以后建立VPN隧道。NAT穿越包括客户端的穿越和VPN设备之间的穿越。3.5VPN接入的访问控制(设备)VPN是和防火墙集成在一起，因此在VPN建立隧道以后可以通过防火墙对建立VPN隧道双方进行访问控制，可以根据VPN访问的源和目的地址、源和目的的端口、IP协议号、VLAN信息等进行控制，保证了VPN互连以后企业网络的安全性。3.6VPN的带宽QOS保证VPN隧道建立以后会和网络中的其他应用（例如：企业用户从Internet下载东西、看网络电影等）共同占据企业的线路租用带宽，此时留给VPN的带宽就很有限了。为了保证企业之间VPN访问的顺利进行，可以对VPN的带宽进行保证，从而保证企业之间可以顺利的互相访问。3.7VPN内的QOS保证许多用户建立VPN隧道以后通过VOIP设备可以实现企业之间免费打IP电话或者视频电话,同时进行企业之间数据的互相传输，实现了语音、图像、数据同时传输，而语音信息要求的时时性比较强，否则对方就听不清讲话的内容，而数据信息就不存在这样的问题，因此需要对语音信息作带宽保证。(设备)防火墙具有CoS/QoS功能，使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。(设备)防火墙通过定义管道的方式提供COS/QOS功能，并且管道没有数量的限制，可以基于IP、基于协议、基于接口、VLAN等信息进行带宽管理。并且在管道内部可以实现数据包的负载均衡，从而保证重要数据的服务质量。总体来说，具有以下的特点：带宽限制带宽保证优先级控制动态流量均衡3.8数据机密性保护要想保护用户的信息在公用数据链路上传输的过程中不被泄漏出去，保证用户数据的机密性，必须对数据进行加密。VPN设备之间以及VPN设备与VPN客户端软件支持AES、3DES、DES、Twofish等多种加密算法，通过加密保证数据的机密性。3.9数据完整性保护除了能够保证数据的机密性外，VPN设备之间还提供了IP数据包的完整性和认证机制。完整性保证数据报不被无意的或恶意的方式被篡改，而认证则提供验证数据的来源（主机、用户、网络等）。在实际的过程中，VPN设备通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务，一个消息文摘就是一个特定的单向数据函数。它能够创建数据报的唯一的数字指纹。(设备)VPN支持MD5和SHA两种HASH运算。3.10保证数据的不可否认性数据的不可否认性用来防止有人发送数据包后因某种原因反悔，否认自己曾发过此数据。VPN设备通过在整个IP数据报中实施一个消息摘要后，用自己的私钥对摘要进行加密。等到数据到达对方后，再用相应的公钥对摘要进行解密，然后再与重新对数据做的摘要进行对比。两者相同，则可认定此数据包肯定是对方发出的。因为加密的私钥只有相应的人员知道，所以通过此种方式可以保证数据的不可否认性。3.11VPN的集中管理(设备)VPN的管理器可以对多台VPN设备进行统一的、集中的管理，方便用户在一台管理器上对多个VPN设备的远程管理。并且可以定义全局的服务、对象名称，提供对所有VPN设备策略修改、上传、下载功能。从而实现统一的集中管理。