下载文档原格式
联通企业专用网络建设方案1。
概述1。
1 技术背景近几年来全球范围内互联网迅速发展,业务种类不断推陈出新。
随着全球经济一体化的发展,电子商务的应用正逐步广泛,各种企业用户远程办公的需求日益增长,用户发现单靠自己很难构造和维护一个能满足不断增长需求的企业网络,而利用互联网的优势建设一个网络部署灵活简便、一次性投资较小、管理和维护成本低的虚拟专网VPN(Virtual Private Network)恰恰能满足其需要.它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专网(VPN)技术早在电话网络中就提出过,而目前所说的VPN技术是专指利用公众数据网络资源为企业构成虚拟专用网的一种业务.VPN有两层含义:它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立,“虚拟"的概念是相对传统私人专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接;它是利用公众网设施构成的专用网,构建在这些公共网络上的VPN 将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。
VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。
VPN可以为企业和服务提供商带来以下益处:降低企业成本.当用VPN进行远程访问时,只需付市内电话费,节约了昂贵的长途电话费;可以大大节约链路租用费、设备购置费以及网络维护费,减少企业的运营成本。
除此之外,更能将Internet、企业内部网络(Intranet)、企业外部网络(Extranet)及远程接入功能(Remote Access)整合于同一条对外线路中,不需要像以前那样,同时管理Internet专线,长途数据专线等多种不同线路.公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系;●建网快捷,易扩展、定制。
集团VPN网络建设规划根据集团目前的网络环境及信息化应用情况,对公司VPN网络搭建的规划和建议如下:一、公司目前网络现状:1.联网方式:公司总部及项目公司使用光纤独享方式连接互联网,售楼处一般采用共享小区宽带或ADSL拨号上网方式;2.公司总部已经开通OA办公自动化、邮件系统、CRM、财务等系统的应用,目前这些系统均运行在公网上,信息传输的安全性及稳定性无法保障。
二、为什么需要搭建VPN网络1.从安全方面考虑:网络供应商提供的光纤、ADSL传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果有人利用网络监听分析工具,极易篡改、窃取甚至破坏企业数据,给公司造成损失;由于传输平台没有访问控制和安全隔离的功能,给外部非法人员提供了入侵的机会;2.从管理方面考虑:公司处于高速发展阶段,将拥有越来越多的项目公司和计算机设备,面临比较紧迫的问题就是信息的汇总、项目公司和公司总部的信息交互以及员工上网行为的控制及管理。
光纤、ADSL 等组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。
3.从经营角度考虑:公司需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,提高企业的工作效率,加快企业的信息化建设,适应公司的快速发展,提升企业的良好形象。
三、建设方案及费用:目前企业建设VPN网络时较多会选择****,上网行为管理一般选择****:1.****:全球领先的网络设备供应商,其VPN产品可以实现公司间的网络连接,但不具备上网控制及流量管理功能。
2.****:国内应用较广泛的上网管理设备供应商,产品具备上网控制和流量管理功能,可以满足公司应用需要。
3.连接方式及采购方案:4.设备采购清单:四、网络管理功能的优势:1、上网行为管控:对网页、QQ和MSN、网络游戏的登录访问进行限制和控制;2、有效利用带宽:对电驴、迅雷等各种P2P下载软件进行控制,保证网络带宽;3、提高安全性:可以屏蔽钓鱼网站和进行内容过滤,降低病毒感染几率;4、流量管理:通过带宽的有效利用,保证网络的正常运行.五、VPN网络实现的功能:1.为总部及各项目公司提供OA及邮件系统、售楼系统、财务系统等服务,建设覆盖整个公司的VPN网络.2.保障公司总部及各项目公司安全、稳定的信息交互;3.方便出差人员移动办公,可以上网的地方就可以使用;4.可以设定用户不同的访问权限,保障公司数据安全;5.通过实施上网行为控制及流量管理,提高办公效率。
VPN安全解决方案一、现状与需求:随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统企业网络的功能缺陷越来越凸现,各公司均根据行业特点在在企业总部部署如OA系统、ERP系统、财务系统、GIS地理信息系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,于是用户对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
VPN(虚拟专用网)技术的出现,为在公共网络上建立安全的Intranet分布应用提供了良好的技术手段。
随着VPN技术的不断完善,其管理简单、灵活性高、费用低廉的优点已成为构建内部广域网络的首要选择。
传统的企业网络解决方案需要VPN网关、防火墙、交换三块设备,对安全比较注重的企业还要考虑布署IDS/IPS(入侵检测/防御系统)等,用分体的设备无疑会增加成本,同时可能故障点会增多,管理较为复杂,SAMSUNG充分考虑信息化投资效果,推出了集路由交换、VPN、防火墙、VOIP于一体的模块化的UBigate系列产品,为企业网络提供了全面的、高效率、可扩展的、安全的VPN解决方案。
二、三星UBigate3026特点:整机模块化设计,所有模块支持热拔插功能,用户可量身定制自已的配置,升级、维护极灵活,具备很强的可扩展性。
1、路由交换:支持RIP,OSPF,BGP协议,QOS机制,二、三层企业级交换能力,21G的吞吐量,支持最多54个千兆端口,4个光纤端口2、防火墙(ISM模块)、VPN(VAC卡)防火墙的吞吐量:400Mbps,VPN吞吐量:200Mbps,最大VPN隧道:2000支持IPS/IDS、网关防病毒、防垃圾邮件、URL过滤、Web应用软件防火墙、终端安全性3、VoIP支持模拟和数字电话提供接口,配备了带有IP电话和PoE的以太模块,能够提供灵活多变的企业级语音服务。
并通过广泛的QoS使企业语音和数据业务真正整合,支持模拟、数字和IP电话。
VPN网络建设方案
——台州4S
方案概述
XXXX公司作为连接总部数据库的客户端,根据实际需要,放置一台较高性能的VPN路由器HIPER3300VF,保证数据的实时传输。
可采用L2TP客户端接入总部,同样可达到访问传达信息的目的,另外,由于员工可能在家或出差在外时依然需要办公,则也采用移动客户端接入,可满足移动用户随时随地实现移动办公。
HIPER VPN特点
HIPER VPN宽带安全网关系是为互联网应用开发的整合式VPN 安全网关,集VPN、NAT、防火墙和流量控制为一体。
它具备高效的加密算法、优化的硬件设计和简单易用的管理界面,可以作为中小型VPN汇聚和接入的首选,方便的部署到网络中。
网络架构
分部:做一个LAN-LAN,将分部局域网连接于总部局域网,以实现数据相互访问。
移动办公用户:也采用L2TP移动客户端接入,采用IL2TP协议接入数据中心,可随时随地实现移动办公。
采用HIPER VPN安全网关作为VPN的运用设备之后,大大提升了公司管理系统的效率,同时HIPER VPN安全网关也可成为公司的内网管理工具。
信息化将是企业今后发展的关键,我们将开办更多的分支机构
来满足广大民生的需求,上海艾泰科技的HIPER VPN 安全网关非常适合我们中小型企业,帮助我们企业实现腾飞的梦想,希望上海艾泰科技有限公司在信息化接入和普及这块有所作为!
S e r v e r
S :总部服务端设备
移动人员 C :HiPER3300VF。
IPSec VPN解决方案技术(H3C)1.商业用户网络互连业务需求传统专线网基于现有的物理网络,例如数字电路、ATM/FR、DDN等,这种方式安全性和可靠性非常高,但对于客户来说,相应的建设成本和使用费用昂贵,并且只能实现有限的专网访问,缺乏联网的灵活性。
因此伴随互联网的发展,通过互联网搭建企业VPN得模式越来越引起客户的兴趣。
下面是Gartner对亚太区VPN市场的业务预测数据:年度2003200420052006200720082009数量(千台)1552292873423773944022004年中国VPN设备得市场规模达到2.2亿元,比2003年增长69.2%,从2000-2004年中国VPN设备市场得发展来看,5年间累计市场规模达到4.9亿元,复合增长率为64.6%。
下面是国内最近几年VPN业务发展统计数据:通过互联网组建VPN有两种方式,一种是企业自建,一种是租用运营商的VPN业务。
如果企业采用自建方式,通过在其公司总部架设VPN服务器(防火墙、NAT设备等),以允许可信赖的伙伴访问公司内网。
另外放置在每个节点的安全设备还用于对每一个在广域网上传输的数据包进行物理加密和解密,这种方式对于客户来说,专业技术要求较高,并且建设和维护成本大,客户对象一般是中、高端客户。
还有一种就是采取运营商转售的方式,由运营商提供给企业这种VPN的接入平台,并进行代维。
其基本的组网模式都是比较类似的,本文档统一描述。
2 .IP VPN技术方案比较VPN是指通过公众IP网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,减轻企业的远程访问费用负担,节省电话费用开支,并且提供安全的端到端数据通讯。
电信运营商可以利用现有的互联网网络资源,将VPN作为一种增值业务推向企业,并从企业得到回报。
可以从不同的角度对VPN业务进行分类,如可以从接入方式(专线、拨号),协议类型(二层、三层),发起方等。
远端用户P ST N/ I SD NPC P O P I n t e r n e t I S P I PF r a m e R e l a yA T M P O P P O P 公司总部合作伙伴内部效劳器 VPN 技术及解决方案1 概述随着网络,尤其是网络经济的进展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种状况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于 固定物理地点的专线连接方式已难以适应现代企业的需求。
于是企业对于自身的网络建设提出了更高 的需求,主要表现在网络的敏捷性、安全性、经济性、扩展性等方面。
在这样的背景下,VPN 以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地 致力于企业的商业目标的实现。
1.1 VPN 定义利用公共网络来构建的私人专用网络称为虚拟私有网络〔VPN ,Virtual Private Network 〕,用于构建VPN 的公共网络包括Internet 、帧中继、ATM 等。
在公共网络上组建的 VPN 象企业现有的私有网络一样供给安全性、牢靠性和可治理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。
对于广域网连接,传统的组网方式是通 过远程拨号连接来实现的,而 VPN 是利用效劳供给商所供给的公共网络来实现远程的广域连接。
通过VPN ,企业可以以明显更低的本钱连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图 1 所示。
图 1 VPN 应用示意图由图可知,企业内部资源享用者只需连入本地ISP ,即可相互通信;而利用传统的WAN 组建技术, 彼此之间要有专线相连才可以到达同样的目的。
虚拟网组成后,出差员工和外地客户只需拥有本地ISP 的上网权限就可以访问企业内部资源; 假设接入效劳器的用户身份认证效劳器支持漫游的话,甚至不必拥有本地ISP 的上网权限。
这对于流淌性很大的出差员工和分布广泛的客户与合作伙伴来说是很 有意义的。
连锁酒店VPN解决方案引言概述:随着全球旅游业的蓬勃发展,连锁酒店行业也迅速崛起。
然而,连锁酒店面临着信息安全和数据保护的挑战。
为了解决这些问题,连锁酒店可以采用VPN (Virtual Private Network,虚拟私人网络)解决方案。
本文将介绍连锁酒店VPN解决方案的优势和实施步骤。
一、提高数据安全性1.1 加密通信:VPN通过使用加密技术,将数据包在公共网络中进行加密传输,确保数据的机密性。
这样,即使黑客截取了数据包,也无法解读其中的内容。
1.2 身份验证:VPN可以通过身份验证机制,确保只有授权用户才能访问网络。
这样可以防止未经授权的人员进入连锁酒店的网络,保护敏感信息的安全。
1.3 防止数据泄露:连锁酒店VPN解决方案可以有效防止数据泄露。
通过建立安全的通信隧道,防止敏感数据被黑客窃取或篡改。
二、提升员工协作效率2.1 远程办公:连锁酒店VPN解决方案允许员工在任何地点通过安全的网络连接到公司服务器,实现远程办公。
这样,员工可以随时随地访问和共享文件,提高工作效率。
2.2 分支机构连接:对于连锁酒店来说,分支机构的协作非常重要。
VPN可以实现分支机构之间的安全连接,使得员工可以方便地共享信息和资源,提高协作效率。
2.3 跨地域团队协作:连锁酒店通常在不同的地理位置拥有团队成员。
VPN可以打破地理限制,使得跨地域的团队成员可以高效地协作,提高工作效率和业务发展。
三、降低成本和提升网络性能3.1 网络成本节约:连锁酒店通常需要在不同地点建立网络连接,传统的专线连接费用昂贵。
而VPN可以通过公共网络实现安全连接,降低了网络建设和运营成本。
3.2 网络性能优化:连锁酒店VPN解决方案可以通过优化网络流量,提高网络性能。
通过选择最佳的服务器位置和负载均衡技术,确保网络畅通,提供稳定和高速的网络连接。
3.3 简化网络管理:采用VPN解决方案可以简化网络管理工作。
通过集中管理和监控,可以更好地控制和维护网络设备,减少管理成本和工作量。
天融信VPN组网解决方案XXXXVPN系统解决方案北京天融信科技有限公司2020年5月目录第一章 XXXX网络现状及需求分析 ........................ 错误!未定义书签。
1.1网络现状 ............................................................... 错误!未定义书签。
1.2现有组网方式的缺陷............................................ 错误!未定义书签。
1.2.1访问没有保护............................................ 错误!未定义书签。
1.2.2无法运行内部管理软件 ............................ 错误!未定义书签。
1.2.3增值服务无法实施 .................................... 错误!未定义书签。
1.2.4网络管理混乱............................................ 错误!未定义书签。
1.3需求分析 ............................................................... 错误!未定义书签。
第二章 VPN技术及天融信VPN产品 ..................... 错误!未定义书签。
2.1VPN基本概念 ....................................................... 错误!未定义书签。
2.2VPN的基本技术.................................................... 错误!未定义书签。
2.3一般VPN解决方案所面临的几个问题................ 错误!未定义书签。
VPN网络建设方案武汉新动力网络有限公司电话:027-,二零零五年前言VPN(虚拟专用网,Virtual Private Network)在国外已经快速的得到发展,2001年全球VPN市场将达到120亿美元,它能够吸引许多公司、机构采用的最重要的原因就是能够节约成本。
现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NS P(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。
如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。
更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、A TM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。
而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。
XX单位VPN网络安全互连解决方案目录1.网络现状和用户需求 (3)1.1.网络现状 (3)1.2.现有组网方式的问题 (3)1.3.用户需求 (4)2.VPN网络设计原则 (6)3.系统设计 (7)3.1.VPN系统部署 (7)3.1.1.总部网络VPN系统部署 ............................................................................... 错误!未定义书签。
3.1.2.分支机构VPN系统部署 ............................................................................... 错误!未定义书签。
3.1.3.移动办公网点VPN系统部署 ....................................................................... 错误!未定义书签。
3.1.4.全网VPN系统部署示意图 ........................................................................... 错误!未定义书签。
3.2.功能分析................................................................................................................. 错误!未定义书签。
3.3.性能分析................................................................................................................. 错误!未定义书签。
3.4.VOIP和视频会议增值解决方案 (14)3.5.安达通VPN全网网络管理方案............................................................................. 错误!未定义书签。
XX集团VPN网络建设解决方案目录第一章项目情况介绍 (1)1.1 项目背景 (1)1.2 目前网络和应用现状分析 (1)第二章设计原则和设计思想 (5)2.1 安全性原则 (5)2.2 实用性原则 (6)2.3 可靠性原则 (6)2.4 可扩展性原则 (6)2.5 易管理性原则 (7)第三章XX集团VPN网络建设方案 (8)3.1 VPN技术简介 (8)3.2系统设计功能分析 (12)3.2.1 VPN系统对原有系统的兼容 (12)3.2.2 VPN系统对原有网络的兼容 (12)3.2.3 网络层的访问控制和身份认证 (13)3.2.4 因地制宜的部署原则 (14)3.2.5 为企业节省了费用开支 (15)3.2.6 系统的易扩展性 (15)3.3 网络规划与产品部署 (16)第四章技术支持服务 (18)4.1 技术支持与服务 (18)4.2 用户培训 (19)第一章项目情况介绍1.1 项目背景以Internet网为主体的信息高速公路的迅猛发展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸”的时代。
一方面,Internet网使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向”的现象。
特别是,Internet网是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet网上通过电子手段予以重现,信息犯罪愈演愈烈。
网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,网络安全问题变得越来越重要。
目前,随着通讯技术、计算机技术、网络技术的应用普及和加深,许多员工的办公不再仅仅局限于同一物理位置上的办公,即使在办事处、分支机构、出差在外、在家中,均可像在公司总部办公一样协同工作。
尤其是出现自然因素(如,目前的“非典”原因)而导致员工需要远程协同办公,这就需要建立一个安全、快捷、经济、方便的信息交互平台,来传输远程办公员工与公司之间的信息交流。
XX集团作为国内知名企业,信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象,甚至也是内部员工十分感兴趣的内容,这提醒我们应该更加注重网络安全的建设。
值得称道的是,公司领导已经对此引起了高度重视,并计划逐步进行卓有成效的防护工作。
在这方面,合理借鉴市场先进经验与理念十分重要。
XX集团信息系统当前面临的首要问题和最大隐患是:边界安全防御与链路传输的加密。
这也正是本方案中力求加以明确的地方。
我们将通过认真和充分的系统分析将这些问题揭示出来并提供解决方法的建议。
1.2 目前网络和应用现状分析XX集团总部设在杭州,企业网Intranet是以金顶苑总部大楼为中心,通过帧中继及网通的VPN与余杭一厂、八厂、杭州二厂区连接的企业广域网,其余各公司、各地办事处则通过拨号上网或宽带上网与总部服务器连接,已经初步建立起一套信息交互的网络体系。
总部网络通过电信的光纤接入互联网。
在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。
目前,在网络上运行的OA等应用系统。
XX集团现在全国有26处分支机构,大多通过拨号或者宽带接入公司总部。
总部目前网络拓扑图如下:图1-1 XX集团网络拓扑示意图随着公司业务的迅速发展,各地分公司、办事处也相继多了起来,信息交互也越来越频繁,随着企业应用系统的实施,重要的数据和信息在网络中传输也也来越多,安全性要求也越来越重要,目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应XX 集团对信息传输平台的要求了。
从经济角度考虑,电信部门提供的专线组网方式费用比较昂贵,由于XX集团是一个快速发展的现代企业,先后在北京、广州、上海、南京、武汉、西安以及省内主要城市设立了多家分支机构,同时拥有多家紧密型的合作伙伴或分销客户网络,相关需要联网的网点数目比较多,分部地区比较广,信息交互比较频繁,每月的巨额通讯费用和专线租用费会给XX 集团带来很大的压力。
从安全方面考虑,电信部门提供的帧中继、MPLS VPN、DDN、ADSL等传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏企业数据,给企业造成不可估量的损失;由于传输平台没有认证功能,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对企业的信息和数据造成很大的威胁;由于传输平台没有访问控制和安全隔离的功能,给外部非法人员提供了入侵的机会,非法人员可以通过专用的黑客程序(此类工具在Internet上可以免费下载),或者盗取授权员工的访问权限,进入公司网络系统内部,让“网络巨人折戟沉沙,使系统安全溃于蚁穴的”。
由于XX集团分支机构和联网网点数目众多,知名度大,受攻击的几率相对较大,一旦通过计算机终端进入公司总部服务器,后果将不堪设想。
从管理方面考虑,XX集团处于高速发展阶段,拥有的分支机构和计算机终端较多,面临最紧迫的问题就是信息的汇总、分支机构的信息交互以及计算机终端的集中管理。
DDN、ADSL等组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。
从经营角度考虑,XX集团需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,增加企业的工作效率,提高企业的服务质量,加快企业的信息化建设,适应企业的快速发展,提升企业的良好形象。
采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点,且VPN产品特有的具有对internet上的内部移动用户安全接入,可以彻底消除地域差异,实现可移动用户的网络互连及基于internet的可移动安全访问控制。
因此,采用VPN方式组网对XX集团来说是一种现实可行的,完全可以满足公司员工在办事处、在外出差、在家秉承办公的业务需要。
下面是VPN与专线的综合比较:表1-1 VPN与专线比较表综上所述,如何快捷地解决XX集团的企业联网问题,如何有效地解决企业巨额通讯费和专线租用费,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题,使整个网络的互联性得到极大提高,使整个网络的安全性达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
第二章设计原则和设计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。
具体的我们遵循了以下原则:2.1 安全性原则在公司网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个公司业务运作的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,XXX公司时刻强调高度的安全性。
我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。
同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入成本,实现高效益。
网络安全需要依靠综合手段才能够实现。
一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。
从技术角度来看,一个完善的网络安全系统应该包括以下三个方面:1.安全防护2.主动安全评估3.安全实时监控安全防护就是通过防火墙(在本方案中采用具备Firewall功能的安达通“安全网关”)或网络物理隔离等设备,对进出网络的数据包进行控制;同时在应用、主机上限制非法用户进入,或者用户越权访问。
主动安全评估是基于安全防护的基础上进行的,在通过了安全防护之后,可以借助安全工具或者是有经验的安全专家来进行安全评估。
安全实时监控也是属于主动防御范畴。
指在我们对网络上的各种行为进行监控,例如黑客攻击一个系统之前,往往需要了解这个系统的结构或者漏洞,他们往往会利用网络扫描工具对某个网段或者主机进行扫描,实时监控系统能够检测到这类行为。
我公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。
2.2 实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“安全网关”技术,将“Firewall+VPN+IDS”技术的充分糅合,较单纯的Firewall技术具有不可比拟的优势,体现在:不仅具有FireWall的保护内网、提供服务的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的安全接入问题(在本方案中,导致可以直接省略“拨号服务器”),同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。
利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
2.3 可靠性原则这套网络安全系统是企业内网的门户。
它的稳定可靠关系重大,特别是具体业务项目。
随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响企业的形象,也将给为企业带来不便和不可低估的损失。
因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。
2.4 可扩展性原则网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。
我公司在该方案的设计中充分考虑它的可扩展性,在实现基本的网络互联以及被动防护系统(安装“安全网关及其管理平台”,配发远程移动客户(安全网关客户端))以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。
2.5 易管理性原则网络系统的管理和维护工作也是至关重要的。
在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。
XXX公司提供“PKI网管平台”对安全网关、移动客户进行统一管理。
另外,与“安全策略服务器”统一布署,可以统一管理安全网关、IDS、扫描系统的安全策略。
另外,通过网管平台,可以实现远程安全管理和本地管理等多种管理手段。
第三章XX集团VPN网络建设方案3.1 VPN技术简介1、基于IPsec的VPN技术VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。
