VPN总体技术方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第1页TEL:(021)68750562FAX:(021)68750563WEB:系统需求河南电力养老保险网上申报系统目前处在河南电力专网中,拥有1个省社保中心,38个分支社保中心。利用河南电力专网,社保业务点向所属分支社保中心进行数据传输,分支社保中心向省社保中心进行数据传输。河南电力养老保险系统目前的网络示意图如下:河南电力省社保中心河南电力地市社保中心河南电力地市社保中心18个地市社保中心社保业务点社保业务点42个定点医院社保业务点社保业务点42个定点医院ServerServerServer河南电力养老保险系统网络示意图如上图,利用河南电力专网,各分支机构实时向省社保中心的养老保险系统服务器传输数据。目前,大部分分支机构点局域网已经连入到河南电力专网中,但仍然有部分业务点没有网络,使用电话线拨号或通过ADSL接到河南电力拨号接入服务器,从而连接到河南电力专网。从安全方面考虑,电信提供的DDN传输平台没有经过任何加密处理,河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第2页TEL:(021)68750562FAX:(021)68750563WEB:重要数据和信息均是以明文在网上传输,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏业务数据,给业务造成不可估量的损失;由于传输平台没有认证功能,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对整个社保系统的信息和数据造成很大的威胁;由于传输平台没有访问控制和安全隔离的功能,给外部非法人员提供了入侵的机会,非法人员可以通过专用的黑客程序(此类工具在Internet上可以免费下载),或者盗取授权员工的访问权限,进入企业网络系统内部,让“网络巨人折戟沉沙,使系统安全溃于蚁穴的”。由于社保系统服务器数据非常关键,一旦通过计算机终端社保系统服务器,后果将不堪设想。从管理方面考虑,河南电力养老保险系统拥有众多的分支机构,面临最紧迫的问题就是信息的汇总和计算机终端的集中管理。DDN组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。从经营角度考虑,河南电力社保系统需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台,来满足社保系统信息频繁传输的需要。1.2设计原则和设计思想对河南省电力公司养老保险中心的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。具体的我们遵循了以下原则:1.2.1安全性原则我公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入和信息的泄露,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第3页TEL:(021)68750562FAX:(021)68750563WEB:可靠性原则这套网络安全系统是河南省电力公司养老保险中心的基础平台。它的稳定可靠关系重大,信息平台的运行不稳定甚至瘫痪将严重影响业务和办公的正常运作。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,关键节点采用负载均衡、平台备份就是其中的重要策略。1.2.3先进性原则在系统建设方案,具有相当的先进性,并能够通过对VPN设备和软件的不断升级,确保系统的技术领先性和持续发展性。1.2.4实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。1.2.5可扩展性原则系统建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,使系统能够方便的扩展。1.2.6可推广性原则该方案具有很强的推广性,能够将本期的建设经验和建设方法逐步进行推广,可以使河南省电力公司养老保险中心随着业务的需要,根据实际情况逐步扩展网点数量。河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第4页TEL:(021)68750562FAX:(021)68750563WEB:易管理性原则网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。我公司提供“安全网管平台”对VPN安全网关、移动客户进行统一管理。1.2.8兼容性原则VPN系统是网络层安全设备,对各种网络应用透明;我公司的VPN安全网关遵循标准的Ipsec和IKE协议,在网络层对IP数据包进行加密,对网络中的数据流做基于五元组的访问控制,因此,对于应用系统是完全透明的。同时依靠我公司强大的研发能力,能够为用户提供特殊的定制性需求。1.3系统设计1.3.1总部系统设计在河南省电力公司养老保险中心,通过“双机热备”部署高性能VPN安全网关SGW25C+,实现总部网络本身的安全性和健壮性,并要实现总部和地市分支机构的VPN安全连接。下面主要从功能、性能两方面来对系统作全方面阐述。1.3.1.1网络部署河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第5页TEL:(021)68750562FAX:(021)68750563WEB:在总部网络出口处如上图所述,部署两台高性能SGW25C+型VPN安全网关(安全网关综合利用了隧道技术、加密技术、认证技术来保护河南省电力公司养老保险中心总部和下属机构内网的安全通讯、安全传输),实现“双机热备系统”。一台工作网关,一台备份网关。安全网关具备Standby方式的双机热备功能。主机和备机通过一条串口线连接,正常工作时,主机处于工作状态,备机网口处于down状态,主机和备机的配置完全相同,并通过串口线同步动态信息。当主机出现故障,备机将在6秒钟之内进入工作状态,接管主机的工作,整个切换过程平滑河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第6页TEL:(021)68750562FAX:(021)68750563WEB:透明,网络用户只会感觉到延时有短暂的加大,不会对整个网络造成大的影响。为了部署方便,建议VPN安全网关采用“透明”模式部署,这样VPN安全网关就能够象“网线”一样插入到用户内网中,不需要再在Firewall和VPN设备间再设置一个网段(如果以“路由”模式部署要这样),从而增加网络的复杂性。基本不需要对原有网络设备和主机网络配置作任何更改。安全网关具有优良的抗攻击性,但是也可同Firewall协同部署,如上图所示,进一步增强对河南省电力公司养老保险中心总部网络的安全防御。这样在上图的部署中,只要将VPN安全网关外网端口映射到internet上(UDP4500端口),就可以确保分支机构的VPN安全网关和VPN安全客户端顺利地通过VPN加密隧道连进总部了。1.3.1.2功能分析如上部署网络安全设备:Firewall和VPN,可以实现以下几方面功能:和下属机构、移动用户建立VPN加密隧道,确保数据传输安全;并能够通过VPN通讯策略的灵活设置,根据用户要求实现对指定网段/范围/IP地址的PC的应用系统数据传输进行加密保护。对内网的防护:通过VPN安全网关(当然也可在Firewall上配置)上的访问控制策略,对内网PC进行严格的基于“五元组+时间”的访问控制。如:为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒;也可以使用网关中的“用户上网认证”功能,使用户在使用浏览器上网浏览时,首先要通过网关的访问密码认证等。对外网可以抵御黑客的入侵,并可和Firewall一起,构成两道网络防护屏障。并可和IDS联动,为以后进一步加强总部内网的安全留下发展的空间。VPN安全网关具备优良的状态检测功能,可以防御外网对内部主机的端口扫描、各种DoS/DDoS攻击等恶意攻击行为。河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第7页TEL:(021)68750562FAX:(021)68750563WEB:安全网关采用嵌入式架构,4个网口均采用10M/100/1000M自适应接口。SGW25D安全网关高强度加密双向吞吐率达280Mbps,单向吞吐率达到200Mbps,支持10,000个并发VPN隧道;IP包转发性能为700Mbps。完全可以满足系统的性能要求。另外,SGW25D安全网关提供高可靠性的双机热备功能,可以在某台设备发生单点故障时进行无缝的切换。1.3.2地市社保中心设计在河南省电力公司社保中心下属18个地市机构,通过ADSL拔号连接到互联网。考虑到实际需求和设备的投资,标书建议选用:SGW25BPRO。VPN安全网关采用“透明”模式部署(如原来有Firewall)或者“路由”模式(如原来Firewall),VPN安全网关对地市社保中心LAN充当Firewall和VPN双重职能。1.3.2.1功能分析如上部署网络安全设备:Firewall和VPN,可以实现以下几方面功能:和总部、移动用户建立VPN加密隧道,确保数据传输安全;并能够通过VPN通讯策略的灵活设置,根据用户要求实现对指定网段/范围/IP地址的PC的应用系统数据传输进行加密保护。对内网的防护:通过VPN安全网关(当然也可在Firewall上配置)上的访问控制策略,对内网PC进行严格的基于“五元组+时间”的访问控制。如:为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒;也可以使用网关中的“用户上网认证”功能,使用户在使用浏览器上网浏览时,首先要通过网关的访问密码认证等。河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第8页TEL:(021)68750562FAX:(021)68750563WEB:对外网可以抵御黑客的入侵。VPN安全网关具备优良的状态检测功能,内置IDS微引擎,可以防御外网对内部主机的端口扫描、抵御各种DoS/DDoS网络层攻击。1.3.2.2性能分析SGW25BPRO安全网关采用嵌入式架构,3个网口均为10M/100M自适应接口。SGW25BPRO安全网关高强度加密吞吐率达37Mbps,支持1000个并发VPN隧道;IP包转发性能为100M线速。完全可以满足系统的性能要求。1.3.3企业CA系统(数字证书平台)在本系统中,网关和客户端结点有几十个,在这样大规模的应用下,比较适合采用证书认证的方式。其主要原因如下文所述:1、传统的基于“预共享密钥”的通讯模式(适合小规模VPN设备互联模式)上图的6个VPN设备相互通讯,需要约定15个密钥;建设N个节点相互通讯,需要N*(N-1)/2个密钥2、基于“数字证书”的通讯模式(适合大规模VPN设备互联模式)CA:(certificateauthority)作为电子商务交易中受信任的第3方,承担数字证书的签发和验证。--网络上的公安局;数字证书:网络通讯中标志通讯各方身份信息的一系列数据,由河南电力社保招标-技术响应文件上海安达通信息安全技术有限公司第9页TEL:(021)68750562FAX:(021)68750563WEB:机构颁发和验证。--网络上的身份证;安全网关之间、安全网关和安全客户端之间均采用“数字证书”进

1 / 34
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功