一、项目背景分析xx公司已经应用计算机作为生产管理的工具.随着计算机技术和网络技术的不断发展和迅速在普及,xx公司的计算机应用和局域网络规模也在不断壮大.目前xx 公司已经建立了三十个分公司办事处,各分支机构内部也全部采用计算机作为业务工具,并建立了自己的局域网络,部分公司已经接入Interent.随着xx公司业务发展的需求,各分公司有着越来越多的业务信息需要同总公司交互.但现阶段xx公司的计算机网络系统仍然局限于各分公司自己建设一个局域网,这些小的局域网只能满足分公司内部的网上办公系统,不能实现整个公司的网上办公需求.分公司与总公司的信息交流仍然使用传统的、传真、人力等方式,或者在没有进行任何安全措施保护的情况下使用互联网.对整个公司来说,分公司仍然是信息孤岛.xx公司的信息网络建设已经滞后于业务发展的步伐.新的ERP系统的使用也迫切地需要将各分公司与总公司的局域网连接在一起形成一个大的内部intranet 广域网络.公司的信息部门时刻跟踪最新技术的发展,发现VPN技术的应用已经完善,公司的计算机网络已经可以采用最新的VPN技术实现各分公司与总部网络之间的安全广域网连接.目前,各种病毒、网络攻击等安全事件频繁发生,已经成为企业安全的一个重要威胁;技术的突破,已经使各种病毒具有了黑客工具的性质,一旦企业被病毒感染,会自动打开相应的端口或服务,使企业门户大开,而病毒通过互联网可以轻易的突破没有经过严密防护的企业内部网络,给企业带来各种威胁:开放服务、发出大量垃圾邮件或带病毒邮件等等.黑客和带黑客性质的病毒,不仅会破坏xx公司的运行环境,破坏机器上的数据,更有可能盗取机密的数据和信息潜在的风险很难估计.而在xx公司各地网络建设之初,因为没有专门针对安全方面进行专门设计,所以其现状是不能够满足本企业目前的安全需求的.比如没有采用必要的网络边界防御手段来抵抗来自外部的各种威胁,同时也没有采用必要的防病毒手段来抵抗当今变化各异的病毒.防火墙系统,负责整个企业的边界防护,进行企业内部、外部沟通的安全桥梁,增加了防火墙系统,会将企业的安全防护级别提高一个层次,同时,还可以建立公司总部与分公司网路之间的VPN通道,更加合理、有效的利用公司现有资源,而不会造成信息泄露,因此,引进新的防火墙系统也是xx公司建立企业广域网安全系统的当务之急.经过和xx公司的相关技术人员的接触和交流,在此基础上我公司给出本VPN广域网络及安全系统建设的实现方案,侧重于企业的VPN系统,并考虑到信息的足够安全性.二、VPN/防火墙需求分析1、VPN技术介绍虚拟专用网VPN是一个通过公用网络通常是因特网建立的一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输.虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业内部网之间安全通信的虚拟专用线路.虚拟专用网主要采用了两种技术:隧道技术与安全技术.隧道技术当前主要有三种协议支持:PPTP,L2TP和IPsec.安全技术主要有MPPE、IPsec等加密算法.隧道技术主要是完成IP数据包的二次封装,以实现企业私有地址在公网上的传输.为了保证传输的安全,需要一定的安全加密手段保证数据的私密性和完整性,在隧道和加密的技术上,IPsec已成为IP安全的一个应用广泛、开放的VPN 安全协议.IPsec适应向Ipv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信.IPsec用密码技术提供以下安全服务:接入控制,无连接完整性,数据源认证,防重放,加密,防传输流分析.IPsec协议可以设置成在两种模式下运行:一种是隧道tunnel模式,一种是传输transport模式.在隧道模式下,IPsec 把IPv4数据包封装在安全的IP帧中.传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息.隧道模式是最安全的.IPsec 定义了一套用于保护私有性和完整性的标准协议.IPsec支持一系列加密算法如DES、3DES.它检查传输的数据包的完整性,以确保数据没有被修改,具有数据源认证功能.IPsec可确保运行在TCP/IP协议上的VPN之间的互操作性.2、VPN技术的优势1)信息的安全性.虚拟专用网络采用安全隧道技术向用户提供无缝的和安全的端到端连接服务,确保信息资源的安全.2)方便的扩充性.用户可以利用虚拟专用网络技术方便地重构企业专用网络Private Network,实现异地业务人员的远程接入,加强与客户、合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组织形式.3)方便的管理.VPN将大量的网络管理工作放到互联网络服务提供者ISP一端来统一实现,从而减轻了企业内部网络管理的负担.同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理.4)显着的成本效益.利用现有互联网络发达的网络构架组建企业内部专用网络,从而节省了大量的投资成本及后续的运营维护成本.3、安全需求分析来自外网和内网的安全攻击均对xx公司整个网络构成安全威胁.从公司目前的网络现状来分析,主要的安全威胁来自以下几个方面:1)总部关键服务器的安全威胁2)支机构与总部交换数据时数据在传输过程中的安全威胁3)自外部Internet的安全威胁4)病毒的威胁所有的安全漏洞都可能被利用成为安全攻击,进而对整个网络带来损害.对于内联网/外联网的接口处实施流量管理,数据包过滤和监控,将会是保障网络安全的重要环节;同时建立与各分支机构之间的跨地域的VPN安全专有网络,满足信息交换的安全需求.三、VPN/防火墙系统设计1、网络结构分析随着xx公司的不断发展壮大,企业的计算机应用和网络规模也越来越普及,总部与各个分支机构之间的沟通的需求也越来越大,因此通过信息化的手段来进行数据的交换和备份,给企业带来极大的工作便利性,促进了企业的生产发展.同时,本着安全的原则,将公司的信息资源最大作用的发挥其作用也是本次网络建设的一个重要内容,因此,对xx公司网络先进行网络边界的划分,控制好外部网络对本企业的访问已经成为当务之急;而且由于xx公司的分支机构分布在各地,所以信息数据的交换将会通过不信任的公网,因此在总部和各分支机构之间建立基于IPSEC的VPN的访问机制也将成为本系统系统的一个不可或缺的因素.作为一种边界访问控制手段,防火墙设计的基础就是有效的边界划分,以此区分不同安全控制级别的访问区域.根据分析,我们认为xx公司网络存在如下几种不同的边界:1)内联网VPN网络就是xx公司整个网络架构,包含总部、30个分支机构以后可能扩充.2外联网指与xx公司网络相连的国际互联网INTERNET.在每个网络区域内部根据服务器用途、访问对象、安全需求的不同,可进一步区分为不同的内部子网,从而增加了访问控制规划的边界参考点.2、VPN/防火墙系统设计原则在xx公司VPN/防火墙系统的设计过程中,我们始终遵循以下原则:1)系统工程原则在系统设计和实施过程中,严格遵循系统工程的观点和方法进行工作.自始至终考虑到系统的整体性、层次性、相关性、目的性、时间性和环境的适应性.2)用户第一的原则系统设计的逻辑模型必须符合用户的要求,完成系统提出的目标和功能.以需求为核心——无论是产品选型、部署还是体系搭建,都必须围绕安全需求进行,保证安全投资的合理性和目标的准确实现.3)先进性和实用性原则采用先进的设计思想和设计方法,尽量采用国内、外先进技术,使本系统在国内具有一定的先进水平.采用先进技术,必须符合实际情况,坚持一切从实际出发,一切为用户着想的原则,系统的建立以用户的需要作为设计的出发点和归宿,求得先进性和实用性相统一,获取最佳效益.4)可靠性原则系统设计应确保系统运行的正确性和数据传输的正确性,防止和恢复由内在因素和危机环境造成的错误和灾难性故障,确保系统获取可靠性.5)可操作性原则可操作性是指系统应尽量便于用户的理解、学习、掌握和使用,人机界面友好,方便操作和维护.四、VPN/防火墙产品选型本方案中的产品选型主要基于以下的原则:1能够实现安全目标,控制安全风险xx公司的防火墙系统应该能够对通常的网络风险能够有较好的防范手段和措施,可以满足现有网络的安全需求,具有良好的可扩展性.2提供完整的VPN功能根据认真审慎地对比和分析,我们认为,Fortigate-300防火墙和Vigor2200Eplus VPN路由器从产品功能、系统安全性、可扩展性、性价比等多方面优于同类产品,满足了上述选型原则和系统设计要求.Fortigate-300防火墙可用做总部的VPN和外联网接入设备,控制VPN和外联网数据流.Vigor2200Eplus用作分公司的VPN接入设备.概括如下:1、Fortigate产品功能、特点能够很好的满足xx公司的安全需求,实现其安全目标.1)Fortigate全功能防火墙采用状态监测技术,以保护系统免受内部及外来的攻击.无论物理及虚拟接口均可提供阻断服务式攻击DoS及具有攻击防御功能.以下功能为现今的网络提供更高的灵活性和安全性.2)全集成化的解决方案,具备安全优化的硬件、操作系统和防火墙,比拼凑式以软件为基础的方案提供更高阶的安全性和性能.3)全面的阻断服务及攻击防御功能,包括SYN攻击、ICMP泛滥、端口扫描等多种攻击防护能力;此外,配合硬件加速的会话启动功能,即使在高负荷的网络环境下亦可提供安全保护.4)病毒和蠕虫防御:能够100%检测、消除感染现有网络的病毒和蠕虫,实时的扫描输入和输出邮件及其附件SMTP,POP3,IMAP,在不损失Web性能情况下扫描所有Web内容和插件HTTP的病毒特征码;VPN反病毒:消除VPN隧道的病毒和蠕虫,阻止远程用户及合作伙伴的病毒传播.5)Web 内容过滤处理所有的网页内容,阻挡不适当的内容和恶意的脚本.Web内容过滤:根据URL、关键词模式匹配阻止Web站点及页面.免屏蔽列表:允许管理员设置专门的URL或关键字不被阻断.脚本过滤:阻止网页的插件,例如ActiveX、Java Applets和Cookies.6)入侵检测系统实时的基于网络的入侵检测.攻击数据库:用户可配置的超过1300种攻击特征库确保可靠的管理.攻击检测:检测已知的DOS、DDOS攻击,以及绝大多数操作系统和应用协议的漏洞.7)邮件报警:当监测到攻击时,防火墙会同时向3个邮件地址自动发出警报. 8)日志和报告:将日志记录远程传送到Syslog主机.多种日志:流量、事件和攻击日志.搜索功能:可以根据关键字,来源,目的,日期和时间搜索日志记录.2、Vigor2200Eplus路由器的功能特点能很好的满足各分公司的VPN需求1)快速的广域网口,采用10/100M 以太网络,适合在高速的应用环境,支持ADSL共享上网、宽带光纤接入等多种上网方式.2)提供DHCP Server功能,内置4口10/100M交换口.3)VPN功能,在加密的通道内穿越公共的因特网进行安全的远程连接,节省专线费用,充分利用已有的网络资源.支持IPSec/PPTP/L2TP,并提供DES/3DES/MPPE加密方式.4)内置强大的防火墙能力,提供诸如NAT端口阻断,DDOS、DOS保护等.5)支持VLAN、基于端口的速率调节.6)动态域名服务功能.五、部署示意图六、方案特点1、可用性由于采用了高可靠性、基于ASIC芯片设计的硬件防火墙设备,系统的可用性得到了有力的保证.在xx公司网络出口这样的一个重要的网络环境中,高可用性无疑是良好的解决方案所必须具备的特征.2、良好的可扩展性方案选用的产品使系统的可扩展性非常好,可以在不中断服务的情况下任意扩展,而且由于产品本身的高处理量,系统具有超强的扩展能力.3、安全性在整个方案设计过程中,不仅从产品选型和系统各实现环节实现了防火墙系统自身的安全,而且从整体防护的角度出发,对防病毒等安全应用提供的安全保护和可借鉴意义进行了充分考虑,从而实现了系统最大的安全性.4、性价比由于产品选型恰当,部署结构合理,从而使系统获得了最佳的性价比.七、方案报价附件一:Vigor2200Eplus产品介绍Vigor2200Eplus 是以全新高速 CPU 平台,针对宽频线路来设计,适合高速的宽频存取,VPN 使用,NAT地址转换和防火墙等功能. 可连接 10/100M 频宽的ADSL/Cable 调制解调器联机上网,内建四口的10/100M 交换器端口,提供给内部的计算机连接使用.此外,具串行端口打印服务器功能,可提供文件及相片的打印服务.其主要功能包括:DHCP Client/Server 提供IP地址分配,DDNS动态网址服务功能,提供动态线路服务,拨号时程服务可依据网络时间来提供上网服务,SNMP提供网管,RADIUS等提供VPN联机时更多功能的选择及弹性设定.Vigor2200Eplus VPN 路由器的好处针对个人工作室SOHO及中小企业SME设计简易,最容易与 ADSL/Cable 调制解调器连结上网. Easy Internet Access via broadband technology by connecting to ADSL/Cable modem for SOHO 强大的 VPN 功能,可提供分支点对总公司,移动人员对总公司及分支点对分支点的联机应用.WAN提供高速10/100MbaseTX 高速网络,特别适合大量用户或需高流量之客户群,如社区网络或光纤到大楼等服务.内建四口自动侦测跳线功能之交换器.内建打印机服务器可提供网络内每部计算机使用.防火墙保护可避免骇客经由网络攻击.拨号时程设定可预先确认VPN及远程拨入用户上网使用时间.动态网域服务功能Dynamic DNS提供非固定IP用户可建立等伺服务,当ISP 变换不同网址时,仍可正常服务.重要特色强而有力的平台适合高速的网络存取Vigor2200Eplus 是采用最新的平台架构,可轻易建立VPN联机,不管是总公司对分支点,行动式应用点对总公司,分支点对分支点间的联机,皆可更快速的连结. 除了VPN联机速度外,亦增加NAT地址转换及防火墙封包过滤的速度.快速的广域网口 WAN interfaceVigor2200Eplus 的广域网口是采用10/100M 以太网络,适合在高速的应用环境,如光纤到大楼FTTB fiber-to-the-building 或光纤到用户 FTTHfibber-to-the-home 等.虚拟私有网络Virtual Private Network VPN技术规格广域网络界面WAN一个10/100M Base-TXADSL PPPoE/ PPTP 客户端DHCP 客户端固定IP网络环境的静态IP指定DDNS Dynamic DNS 客户端NTPNetwork time Protocol客户端局域网络界面LAN内置10/100M Base-TX 以太网交换机DHCP服务器带虚拟服务器、端口映射、开放端口特性的Multi-NAT Network Address Translation支持如下的NAT穿透应用:NetMeeting, CUSeeMe, ICQ 2001b, MSN Messenger Real Audio, IRC chat,VDOLive, Quake etc,DNS Domain Name System cache and proxy.支持多DMZ De-Militarized Zone防火墙访问控制: 可设定权限控制用户访问inernet和intranet包过滤: 基于特定安全性对数据包进行检测防止DOS攻击虚拟私有网络 VPN可扩展的解决方案支持最大到16各VPN通道远程访问PC-to-LAN支持PPTP, L2TP and L2TP/IPSec支持PPTP, L2TP and L2TP/IPSec and IPSec 建立LAN-to-LAN隧道模式支持RADIUS 客户端以扩展用户验证DES 56bit, 3DES 168bit加密算法ESP 采用SHA-1 and MD5完整性算法支持 IKE with pre-sharedAH提供 SHA-1 and MD5 完整性算法路由通讯协议RIP I and RIP II管理及设定SNMP Agent with MIB-II基于Web的诊断工具基于Web的用户界面基于Web的软体更新能力基于Web的系统配置备份和恢复独立于操作系统安装支持UpnP和 Smart Start Wizard。
