IPSecVPN产品培训深信服科技1.广域网络存在问题2.VPN背景知识介绍3.IPSecVPN应用领域4.产品选型5.深信服VPN优势广域网建设存在的问题广域网建设存在的问题随着组织机构扩大,众多分支如何实现互联?众多互联解决方案,那种是最适合企业的互联解决方案互联网虚拟专用网网络专线广域网建设存在的问题数据传输的安全性如何保证-依赖互联网运行的业务系统时刻面临着数据遭到窃取等安全隐患。-不法分子轻易就能伪造或纂改企业的重要商业信息。-数据泄漏给企业带来名誉和财产上的损失,以及法律纠纷等问题。VPN背景知识介绍Page7VPN简介VPN(VirtualPrivateNetwork)虚拟专用网:依靠ISP(InternetServiceProvider互联网服务提供商)提供的公网线路(如ADSL、小区宽带等),建立专用数据通信网络的技术,是DDN、FR、ATM等专线技术的替代方式主要作用连接各私有网络和私人用户保护在公网上传播的数据实现对专有资源的访问授权VPN相对于专线的优势:性价比高!扩展便利!Page8VPN网络定位内部网络Page9IPSecVPN•优势-网对网的组网方式,可实现三级或多级组网-组网方式较为固定,适合机构间组网-用户透明访问,无需登录操作(移动用户仍需软件客户端)•不足之处-权限不可具体到用户,-网络层完全开放,内网资源直接暴露给分支用户-不适用于手持移动终端Page10IPSecVPN组网深信服AC(上网行为管理)、SSLVPN、WAC(广域网加速)、SG(上网优化管理)都含有IPSecVPN模块,为客户实现网络优化的同时提供更高的网络价值!IPSecVPN应用领域如何判断客户有需求•网络专线已有VPN普通互联网线路•应用是否有应用使用群体是谁(共享给分支、领导出差)?该应用是否重要(支撑业务、日常办公)?该应用是否注重安全性?Page13VPN应用领域及优势大中型企业异地机构互联中小型分支IPSecVPNIPSecVPN合作伙伴IPSecVPN内部网InternetSANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPN方案描述•应用背景:公司分支机构和各门店营销点分部在全国各个区域。需要把ERP、进销存和财务系统在所有各机构统一部署•带来价值:各分支从互联网上通过VPN隧道就能安全、便捷、低成本的访问企业总部应用资源并实现信息共享Page14VPN应用领域及优势大网中建小网小型分支IPSecVPNIPSecVPNIPSecVPN方案描述•应用背景:行业专网是行业内部生产、工作的网络平台,几乎所有本行业单位都使用该网络。因为使用人员广泛,成分复杂,加之有大量需要对内部保密的应用(如财务系统)•带来价值:利用VPN在专网内构建有保密功能的“安全子网”,给用户数据信息带来真正的安全SANGFORM/P/SVPN中型分支SANGFORM/P/SVPNSANGFORMVPN行业专网财务子网专线专线专线其它子网中心站点Page15VPN应用领域及优势行业专网建设延伸末端分支专线InternetSANGFORP/SVPNSANGFORMVPNSANGFORMVPN二级分支SANGFORMVPN行业专网二级分支末端分支SANGFORP/SVPNIPSecVPNIPSecVPN一级部门•应用背景:行业用户专线网络构建完成后,常常面临延伸的困扰,地市延伸至县,市/县延伸至乡镇和街道各个节点,如果全部铺设专线,要面临费用和实施两方面的困难•带来价值:VPN使行业用户利用互联网来安全、方便、价廉的延伸行业专网,降低成本的同时提供灵活可控的安全方案描述Page16VPN应用领域及优势构建VPN备份网络中小型分支IPSecVPNIPSecVPNIPSecVPNInternet方案描述•应用背景:对可用性要求很高的企业,为了提供专线的备份网络,常利用互联网这种低廉的基础网络来建设备份网络•带来价值:基于VPN技术构建的备份网络,相较专线备份网络能大大节省企业成本,并提供更高的安全性和部署灵活性SANGFORM/P/SVPN大型分支SANGFORM/P/SVPNSANGFORMVPN行业专网专线专线专线Page17VPN应用领域及优势专线改造及替换中型分支快速IPSec快速IPSec小型分支InternetSANGFORWANACCSANGFORWANACC大型分支SANGFORWANACCSANGFORWANACC方案描述•应用背景:随着企业分支及应用的增多,对专线数量及带宽的需求日益增多,也因此给企业带来沉重的经济负担•带来价值:采用快速VPN替代原有专线,不单大幅降低线路成本,其加速技术能使用户获得类似专线乃至超过专线链路下的访问速度,提升企业效率中心站点快速IPSec产品选型IPSecVPN选型参数指标•IPSecVPN加密速度•IPSecVPN并发隧道数P5100、S5100:IPSecVPN加密速度、并发隧道数M5X00:IPSecVPN加密速度SANGFORIPSecVPN型号型号网口IPSec加密速度并发隧道数防火墙吞吐量外型P51003个百兆电口2.5Mbps2540Mbps桌面式S51003个百兆电口10Mbps5050Mbps1UM51004个百兆电口54Mbps300095Mbps1UM5100-P4个百兆电口249Mbps4000300Mbps1UM54006个千兆电口312Mbps5200700Mbps1UM5400-P6个千兆电口352Mbps64001GMbps1UM55006个千兆电口,2个千兆光口387Mbps80001.2Gbps2UM56004个千兆电口,2个千兆光口438Mbps100001.5Gbps2UM58003个千兆电口,4个千兆光口600Mbps150002.2Gbps2UM59004个千兆电口,4个千兆光口700Mbps200003Gbps2U深信服IPSecVPN产品优势深信服IPSecVPN品牌优势国内IPSecVPN第一品牌–IPSecVPN国家标准核心制订者,国家火炬计划VPN项目单位–率先通过公安部虚拟专用网安全技术要求第三级认证–雄厚的研发实力,专利拥有数量业内最多–连续5年市场份额第一,众多全国范围大客户的一直选择–众多奖项的一致认可–不断提供面向未来,并满足用户不同需求的VPN产品SANGFORVPN技术优势•最快的VPN•最安全的VPN•最易用的VPN•面向未来的VPNSANGFORVPN--最快的VPN我们致力提供最快的VPN•多线路技术,可以有效提高分支的接入访问速度•畅联技术,在跨运营商的环境下仍能获得较好的传输效率•高效压缩技术,在带宽不变的情况下,流压缩技术能有效减少负载数据量,从而提高数据传输速度•可扩展广域网加速技术,大幅提升用户体验,解决网络带宽和传输速度问题第一品牌之技术优势最快的VPN畅联技术•-在跨运营商的传输时,即使网络两端的带宽足够,但运营商网络间频繁的丢包率仍然会导致传输性能的大幅下降•畅联技术优化了数据传输机制,在丢包率高达30%的情况下也能将丢包还原保证数据的传输质量,非常适合于丢包严重的环境!速度最快的VPNSANGFORVPN--带给您全面的安全第一品牌之技术优势•硬件鉴权,采用硬件特殊属性(CPU、网卡、硬盘等信息)作为接入身份验证,只有经总部授权的硬件设备才允许接入•访问权限控制,细致控制分支及移动的访问权限,防止非法不授权的内网访问•VPN专线,远程用户接入VPN后断开与互联网的链接,阻断黑客对终端电脑的控制•用户使用时间管理、帐号过期时间管理最安全的VPN全面的安全手段-标准用户名密码认证存在被盗用的可能-基于DKEY的双因素认证确保用户身份唯一-硬件鉴权认证能保证接入终端的唯一性-身份认证过程支持RADIUS、LDAP等外部认证严格的身份认证是安全的第一要素全面的安全手段硬件鉴权(专利号:031141803)-采用硬件的特殊属性(CPU、网卡、硬盘等设备ID)作为接入身份验证,只有经总部授权的硬件设备才允许接入-硬件鉴权可以有效保证接入终端身份的唯一性。同时还可以防止管理员在一些公共场所进行接入登陆,从而带来的用户名密码遭到窃取的安全隐患硬件特征码01•支持DES/3DES/AES/MD5及国密办SCB2等多种算法•用户可为每个分支及移动接入选取不同的加密算法•采用改进的IPSec封装和TCP封装防止数据包伪造全面的安全手段多种加密技术保证数据传输的安全隧道封装IP隧道头(TCP头/UDP头部)帧头负载加密IP头部负载原始数包全面的安全手段VPN专线功能保证接入安全VPN隧道专线SANGFORVPN新闻游戏…视频可选防火墙模块提供更多安全手段来保护内网及分支接入安全SANGFORVPN--带给您的易用性第一品牌之技术优势•隧道间路由,实现两点间在不直接建立VPN情况的互访•分支通过总部上网,总部可以控制分支互联网的访问行为•选路策略细化到用户,实现在多个最优线路上链路负载•单臂下的多线路,VPN设备单臂部署,前置上网设备如有多线路即可在设备上配置多线路,实现VPN多线路功能•隧道内NAT,可实现两个相同网段建立VPN连接隧道•隧道内流控,为每个分支合理分配带宽,整体提升用户使用体验最易用的VPNWebagent动态寻址(专利技术)•-动态IP地址(如ADSL接入)应用分布广、使用客户多,如何解决分支与总部间自动发现并建立VPN连接的问题?带给您的易用性他的地址我的地址找到我啦!总部定时更新本端IP及其他信息到Webagent服务器,分支或移动定时访问Webagent网页,获取到总部相关信息后进行连接SANGFORVPN--所提供的可靠性所提供的可靠性多线路技术•ISP链接可能是一个单独的故障点。为了消除这种危险,公司和组织不得不寻求非常复杂昂贵的解决方案,例如:冗余路由器和交换机,路由BGP等协议,和在ISP间作对等安排•今天,深信服通过提供高可用多线路(专利技术)简单解决了这个问题本地网络InternetISP1ISP3ISP2源主机目标主机好处:1.高可用的Internet连接,互为备份2.网络流量动态的在ISP线路间负载均衡3.通过集中的管理简化了安装和管理工作4.带宽叠加,无需额外配置特定硬件或软件所提供的可靠性快速重连技术-自动拨号技术:为了保证VPN网络的稳定性,设备集成自动拨号功能,在拨号中断3秒内迅速重拨,保证网络联通-隧道重建技术:当网络物理连接恢复正常后,VPN隧道将在1分钟内自动建立,从而保证系统应用的迅速恢复所提供的可靠性双机功能-两台设备以主备方式进行工作,出现故障设备将自动切换网关模式单臂模式SecureCenter集中管理平台--分布式部署与管理SecureCenter集中管理平台--分布式部署与管理大型VPN网络最具性价比的集中管理解决方案中小型分支IPSecVPNIPSecVPN移动用户SSLVPN合作伙伴IPSecVPN内部网InternetSC管理平台SANGFORM/P/SVPNSANGFORMVPNSANGFORMVPN大型分支SANGFORM/P/SVPNSANGFORM/P/SVPNSecureCenter集中管理平台--分布式部署与管理内置的状态监控功能,能详细记录显示:•在线网点信息•网点实时信息•网点异常信息•网点版本信息•VPN设备拓补监控还可查看详细的SC设备的系统及操作日志深圳市南山区麒麟路1号科技创业中心4楼Add:4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:518052Tel:+86-755-26581949Fax:+86-755-26581959Email:master@sinfors.com.cn