深藍VPN網路安全互連解決方案單線路接入

大連深藍幫浦業vpn網路安全互連

解決方案

上海安達通資訊保安技術****

大連深藍幫浦業資訊中心（以下簡稱：總部）出口頻寬為?mbps 。

大連深藍幫浦業區域網通過單一的防火牆(firewall)接入網際網路，對本地區域網進行保護，對需要提供給分支機構和移動使用者使用的應用系統（如：oa伺服器）通過firewal直接對映到網際網路上。

大連深藍幫浦業所屬單位xx個，各單位目前內網pc數量3-6臺，通過普通adsl方式連入網際網路。還有一些移動使用者通過本地的寬頻網路接入internet，在沒有什麼安全防護措施（如：本地沒有部署firewall，和總部的通訊也是明文傳輸等）的情況下，直接與總部的應用伺服器進行通訊。

其典型結構如下圖所示：

大連深藍幫浦業現有的網路概況

1）安全沒有保障

如上圖示意，在現有的方式下，大連深藍幫浦業遠端移動使用者和分支機構通過網際網路與總部聯絡（例如：使用oa軟體、e-mail、ftp等)，由於這種****都是通過公網進行明文傳輸，毫無保密性可言，商業機密資料有可能被黑客或競爭對手截獲，引起巨大的業務損失。

另外，總部的應用軟體伺服器通過firewall對映或直接暴露在網際網路上，黑客可以利用簡單的攻擊工具對總部的應用伺服器發起dos和ddos攻擊，使其無法正常使用。

2）無法執行內部管理軟體

因為總部內網和分支機構的區域網之間不能安全互通，一些內部的應用軟體系統不能基於網際網路執行，無法實施oa、公文流轉、聯網財務軟體等，已經不能滿足使用者單位的目前發展需求了。

3）增值服務無法實施

諸如**電視、**會議、ip**之類的增值服務在這個網路上很難開展甚至無法開展。

4）網路管理混亂

隨著規模的擴大和分支機構的增多，各分支區域網的管理人員素質參差不齊，分別按照各自的習慣進行區域網建設，沒有統一的標準進行有效管理和規劃，為各分支機構的互連互通和內部應用資訊化普及帶來了很大的障礙。

大連深藍幫浦業vpn聯網系統總體建設目標是：建立網路互聯、資訊共享、安全可靠的遠端接入vpn網路。在完成了本專案的vpn網路建設後，將為大連深藍幫浦業和其分支機構實施各種網路應用系統提供統

一、安全、高速、可靠的網路傳輸平台，具體能夠實現以下目標：

1）異地網路互連互通

能夠實現總部和外地分支機構、移動使用者間，通過網際網路安全可靠互連，各地機構可通過vpn網路順利訪問總部的各個應用軟體系統，就象在區域網內使用這些應用軟體系統一樣。

2）對各種應用系統透明

能夠根據使用者的需要有選擇地對需要的應用系統資料進行加密，不需要加密的資料和普通internet接入業務（如：訪問163、sina等）不受到影響。而且目前各種網路應用均能夠在vpn專網上使用，不需要改變使用者的使用習慣。

3）高安全性

通過構建的vpn網路，能夠解決單位內部資訊系統資料傳輸的安全性：保密性、完整性和不可抵賴性。安達通的vpn閘道器採用通過國家密碼管理局認證的加密演算法或者國際標準加密演算法進行金鑰通訊和加密封裝，能夠保證您的業務系統安全和可靠的執行而不會被外部人員惡意竊取和竄改。

vpn安全閘道器可以對訪問者資源和許可權進行分類，普通業務只有訪問特定伺服器的特定許可權（例如只能檢視財務資源），不能實行其他任何操作，避免了從業務單位外部發生的惡意入侵和攻擊的發生；而高階使用者才能對總部內網進行敏感業務的操作。

vpn安全閘道器可對本地區域網實施邊界防護。vpn安全閘道器融合了防火牆、vpn、入侵檢測微引擎，可對外來及內部攻擊進行主動防禦，更能保證整個網路平台的安全及每個區域網內部的安全。我公司vpn安全閘道器其內建防火牆其抗攻擊能力優異。

4）高可靠性

我公司vpn系統效能穩定可靠，其高達40000小時的平均無故障工作時間可為系統長期穩定執行提供強有力的保證。並可通過雙機熱備、多線路負載均衡系統實現中心節點的網路不間斷執行。

5）高效能

此次網路建設根據使用者需求和網路頻寬，所選用的裝置具有較高的加密速率，不僅能滿足當前使用者數量下的需求，也為將來的擴充套件留有充分空間。不會因為vpn裝置的部署影響上網的速度，並且應當滿足應用軟體執行的頻寬需求。

6）高價效比

vpn系統**便宜，而且基於普通寬頻線路，接入費用低廉，所以本方案具有極高的效能**比和投資回報率。

7）易於擴充套件

系統vpn網路的擴充套件非常容易，同時又不會帶來安全隱患。如：需要增加客戶數量，只需公升級裝置license，而無需另購裝置。

本專案實施後不但解決了很高的資訊資料傳輸安全性，而且不會影響網路傳輸效能。本方案不僅滿足今天的需求，而且支援未來擴充套件。

對本次的vpn網路平台的總體設計思想是要體現技術的先進性和決策的前瞻性，著力於「實用性、可靠性、安全型、先進性、擴充套件性、易管理性、相容性」建設系統。具體的我們遵循了以下原則：

安全性原則

我公司堅持以高度安全性為基本原則，有效地防止網路的非法侵入和資訊的洩露，保護關鍵的資料不被非法竊取、篡改或洩漏，使資料具有極高的可信性。

可靠性原則

這套網路安全系統是使用者眾多，大量移動使用者依賴它在獲取重要資訊。它的穩定可靠關係重大，資訊平台的執行不穩定甚至癱瘓將嚴重影響大量使用者的正常工作，將給使用者帶來不便和不可低估的損失。因此可靠性是平台執行的首要保證。

我公司將採用相應的手段保證系統、網路和資料的穩定可靠性和不間斷執行。

先進性原則

在系統建設方案，具有相當的先進性，並能夠通過對vpn裝置和軟體的不斷公升級，確保系統的技術領先性和持續發展性。

實用性原則

系統在設計上一方面將滿足雙向的資料傳送、實時處理的要求；另一方面，又採用國際上最先進的技術，使系統完成後，保持一定時期的領先地位。

實用性原則既要做到先進技術與現有成熟技術相兼顧，又要使系統的高效能與實用性相結合。

可擴充套件性原則

系統建設應該是統一規劃、分步實施、逐步完善的過程。我公司在該方案的設計中充分考慮它的可擴充套件性，使系統能夠方便的擴充套件。

易管理性原則

網路系統的管理和維護工作也是至關重要的。在系統設計時既要充分考慮平台的易管理性，為平台維護者提供方便的管理工具；同時又要設計規範但不失靈活的工作流程。

相容性原則

vpn系統是網路層安全裝置，對各種網路應用透明；我公司的vpn安全閘道器遵循標準的ssl、ipsec和ike協議，在網路層對ip資料報進行加密，對網路中的資料流做基於五元組的訪問控制，因此，對於應用系統是完全透明的。同時依靠我公司強大的研發能力，能夠為使用者提供特殊的定製性需求。

大連深藍幫浦業當前採用1條??mbps寬頻線路連線到網際網路。如圖部署1臺sjw74b型安全閘道器。

分支機構和移動使用者均通過網際網路遠端接入總部內網，通過建立的vpn加密隧道，安全訪問總部網內的各應用系統（包括b/s和c/s的應用），如：oa等。

大連深藍幫浦業如下部署vpn安全閘道器分為下面兩種情況：1）使用者單位原來沒有部署firewall；2）使用者單位原來已經部署了firewall。

1）使用者單位原來沒有部署firewall

在這種情況下，使用者完全沒有必要再部署firewall，可以如上圖部署adt安全閘道器sjw74b。安達通安全閘道器是集「vpn、防火牆、ids微引擎」於一體的網路邊界安全防護和安全接入裝置，它有效地實現了「主/被動安全防禦」的完美結合。其特別強大的vpn功能和高安全性、高價效比的多功能整合，是當今網路安全技術發展的主流方向。

2）使用者單位原來已經部署了firewall

以「單臂連線」方式部署

大連深藍幫浦業已經部署了firewall系統，那麼我們採用安達通獨特的「單臂連線」方式來部署vpn安全閘道器，如上圖所示。只要將sjw74b安全閘道器的wan口接到使用者內網的交換機上即可。

傳統vpn裝置在部署時，遇到與防火牆、路由器配合使用時，通常採用「串聯」（即：接在防火牆/路由器與內網交換機之間）或「併聯」方式（即：與防火牆或路由器並列部署）接入原有網路。

「串連」方式增加單點故障，並容易造成效能上的瓶頸；「併聯」方式需要多個公網ip位址，並在客觀上造成多個公網出口，帶來安全隱患。針對這兩種傳統的vpn裝置部署方式，安達通vpn安全閘道器則可採用一種非同尋常的部署方式：「單臂連線」。

採用此種部署模式，能夠在對使用者環境最小改動的前提下部署vpn，極大提高了vpn裝置對網路環境的適應能力。

所謂「單臂連線」指的是安全閘道器只接乙個口到內網交換機中，另外乙個口不接線，即把安全閘道器裝置當作一台伺服器或主機，專門處理vpn報文的加解密。從實現技術上而言，單臂連線結合了上述序列連線和並行連線兩者的特點，需要在防火牆（路由器）上為安全閘道器做靜態埠對映（靜態napt），同時也需要在防火牆（路由器）上新增靜態路由來解決要通過vpn的資料報正確流向的問題。單臂連線方式能在對使用者環境最小改動的前提下部署vpn，大大增加了vpn裝置對網路環境的適應能力。

採用「單臂連線」技術部署安達通vpn安全閘道器，不用改動使用者原有的網路拓撲，實施過程對使用者無任何影響；而且沒有在使用者主幹線路上串接裝置，不會造成額外的單點故障，而降低線路可靠性；也不會影響主幹網路的效能。

深藍VPN網路安全互連解決方案單線路接入

XX公司網路安全解決方案

天融信網路安全准入解決方案

網路安全整體解決方案設計

深藍VPN網路安全互連解決方案 單線路接入

XX公司網路安全解決方案

天融信網路安全准入解決方案

網路安全整體解決方案設計

相關推薦

深藍VPN網路安全互連解決方案單線路接入