深信服MIG组网方案

MIG组网方案深信服MIG组网方案目录第1章需求概述11.1遵循国家标准11.2快速性21.3安全性21.4易用性2第2章SANGFOR MIG方案32.1安全高效的VPN平台32.1.1面向未来的国家标准VPN体系32.1.2安全的VPN体系32.1.3稳定可靠的VPN系统52.1.4高速的VPN系统72.1.5高品质保证的VPN系统72.1.6方便灵活的VPN系统92.1.7高易用的VPN系统102.2多功能一体化设备102.3网络拓扑11第3章方案优势113.1国内IPSec VPN第一品牌113.2业界最领先IPSec VPN解决方案133.2.1最快的IPSec VPN133.2.2最安全的IPSec VPN153.2.3最易用的IPSec VPN15第4章成功客户案例164.1泰康人寿164.2更多成功客户17iii 第1章 需求概述考虑到不少企事业单位为了满足离散在外的小型分支机构的业务需求，需要花费大量IT建设费用去部署VPN设备、交换机、防火墙、上网行为管理和无线AP，3G/4G网卡等，深信服一体化网关MIG，融合了传统防火墙，行为管理、流控及VPN功能，能够有效满足中小型分支网络出口安全和管理的诉求，实现对内网上网行为的合理管控，对非办公业务的有效封堵或限制，对核心应用的合理带宽保障，保证网络的稳定性，提高分支办公效率. 针对企业的新建分支网络节点（尤其是小型门店、偏远微型分支等），考虑到布线甚至固网部署复杂度高，同时伴随3G/4G网络的成熟覆盖，深信服3G/4G VPN能够帮助企业快速、灵活实现离散节点的网络建设，某些行业客户还会通过3G/4G网络实现对现有固网备份线路建立，来进一步提高网络稳定.一台MIG就可满足所有网络需求，并且最大化地帮助企业节省投入的费用，同时多种产品形态3G/4G+WIFI，一体化网关，可谓是小型网络出口“神器”！方案设计原则根据公司的规模和MIG的需求分析，MIG系统搭建遵循以下设计原则：1.1 遵循国家标准多功能一体化网关MIG，主要是用于总部和分支、分支和分支等的互联，同时内置防火墙、流控功能，并结合多种产品形态包括3G/4G+WI-FI,多网口交换机实现一旦部署即可解决所有上网问题。深信服MIG产品遵循国家关于IPSec VPN标准的产品，能够保证更好的互连互通。同时，遵循标准设计的 IPSec VPN，也有利于与不同厂家的VPN产品互联，方便IPSec VPN产品的升级，同时保护用户原有的投资。1.2 快速性虽然说现有的宽带已经远远好于过去的窄带网络（如MODEM），但用户对带宽的要求是无止境的。另外，由于VPN网络承载的是组织机构的内部应用，如文件共享、拷贝等，并且当前的应用设计的文件越来越大，习惯了局域网内10M/100M速度的用户，对速度的要求也非常高，应用的速度也会极大的影响组织机构的运作效率，特别是在一些特殊的环境下网络状况非常的差。国内目前南电信北网通的运营商线路，非常大的影响跨区域的网络应用系统访问。因此MIG解决方案，就需要解决在恶劣环境下的访问速度，解决不同运营商互联问题，提高接入访问速度，选择快速的IPsec VPN解决方案。1.3 安全性VPN网络的运行基础是Internet，所有的数据也必须经过Internet进行交换，而这些数据都是组织机构的私密信息、不允许为无关人员所知，同时VPN网络是在开放的Internet平台之上构建的虚拟网络，也必须保证没有获得授权的用户无法接入VPN网络。综合考虑用户的具体应用和需求，IPSec VPN网络的安全性有五层含义：一是数据传输的安全；二是用户身份的安全；三是接入终端的安全；四是对内网资源的权限访问安全；五是审计的安全，五大安全全面保障VPN的安全性。1.4 易用性VPN产品不同于普通的IT设施，由于VPN的用处就是解决异地网络的互联互通，如何对整个VPN网络进行有效的管理、维护和监控，并能自主的管理至关重要的基础网络平台，也是组织机构IT人员非常重视的问题。IPSec VPN产品应便于组织机构的IT管理人员，方便对VPN网络进行相应的监控和维护。第2章 SANGFOR MIG方案2.1 安全高效的VPN平台组织总部和分支之间通过SANGFOR IPSec VPN建立高速安全的VPN隧道，公司信息相当于局域网的传输，SANGFOR IPSec VPN具有以下特点：2.1.1 面向未来的国家标准VPN体系SANGFOR MIG领先与普通IPSec VPN解决方案，是面向未来的IPSec VPN解决方案：1. 可升级专业的广域网加速产品，强大加速技术可大幅提升IPSec速度，满足用户未来业务对带宽的要求2. 可升级专业的上网行为管理产品，为用户提供内网流量的完整管理方案，并为用户提供最高性价比的设备同时，SANGFOR是国家IPSec VPN标准制定的核心参与者，SANGFOR IPSec VPN是完全符合国家标准的。因此，使用SANGFOR MIG解决方案，不存在产品风险，可以最大限度的保护用户的投资。2.1.2 安全的VPN体系 基于安全的IPSec协议SANGFOR MIG网关遵循的是IPSec协议，IPSec是目前最为安全VPN协议。通过IPSec在Internet上建立安全可信的隧道，各实体之间的数据都是通过安全隧道传递。局域网内原始IP的IP头包含本局域网信息。经加密后，多个原始IP成为隧道IP的负载，隧道封装的IP头为隧道两端的InternetIP,这样就保护了内部网络信息，而且原始IP的数据已被加密成为负载，防止了内容泄漏。同时添加ESP、AH帧头标志，用于识别正确的隧道封装IP，防止内容被篡改，支持MD5算法。加密使用AES128位加密算法，该加密算法是美国国防部采用的标准，比同等级别的3DES快3倍。 完备的接入鉴权机制SANGFOR VPN网关内置RADIUS服务，完成对接入分支、移动的用户名，密码认证。RADIUS认证过程采用挑战应答模式，在这种认证模式下，认证信息不在网络上传递，而且挑战不同的分支或移动答复也不同，保证认证信息不会被窃听。但是用户名和密码或者传统的CA证书认证方式都存在证书或密码被盗用的问题，为避免传统方案的泄密缺陷，SANGFO MIG网关中使用了深信服公司的专利技术基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。通过该认证方法，只有指定的机器才能接入。 集成USB Key的硬件身份识别功能采用USB Key技术可以保证VPN移动用户的身份不被盗用。每个用户随身携带标识自己身份的Dkey(一种类似U盘的USB钥匙)，在任何一台PC上，插入Dkey，输入自己的私人密码后就可以完成接入，类似银行取款卡，简单而安全。 更细致的权限粒度在VPN网络中还存在一些潜在的安全隐患，比如分支的用户可以接入总部访问所有资源；黑客可以入侵分支，然后通过VPN入侵到总部，非法获得商业机密；病毒可以通过VPN隧道在企业的各个网络传播。SANGFOR MIG网关采用VPN权限粒度分析技术，可以简单灵活的指定每个VPN用户的具体权限，可以细致到端口级别的权限，通过这项技术可以使得指定的资源只有授权的用户才能访问。可以通过VPN权限粒度保证高级权限的用户能访问总部的所有服务器，而普通权限的用户则只能访问OA服务器，通过限制VPN用户只能访问服务器开放的服务端口，还可以限制病毒通过一些不安全的端口（如RPC）跨网传播。2.1.3 稳定可靠的VPN系统 多线路技术SANGFOR MIG支持多达6条线路的线路备份和负载均衡，大大提高了VPN网络的稳定性。由于VPN的稳定性是依赖于线路本身的稳定性，若采用单条线路，一旦中断，将造成整个VPN系统陷入瘫痪。通过多线路带宽迭加及复用技术（专利号：CN200310112006X），将多条线路、不同方式接入方式的上网线路实现带宽迭加和互为备份，保证了整个系统的持续可靠运行。若任何一条线路出现故障，SANGFOR MIG可以将数据无缝切换到其他正常线路，不会影响SSL VPN用户的接入和访问。并且若故障线路恢复正常，VPN的连接隧道将自动愈合。这一切都是系统自动进行，无需人工干预，保证了用户的重要应用持续、不间断地稳定运行。同时，SANGFOR MIG安全网关还进一步实现了多条Internet线路的QOS功能，根据不同线路的带宽情况智能分配负载，最大限度的提高带宽利用率。 互为备份的Web寻址技术Web动态寻址技术是深信服公司专利技术，通过基于Web的动态寻址，使得SANGFOR MIG网关可以支持ADSL等动态IP拨号上网方式，无需固定IP或有效IP，为企业选择合适的ISP提供了极大的方便。WebAgent为一普通的文件，只要求网站支持ASP或PHP即可。用户完全可以将WebAgent置于自己的网站上，建立完全属于自己的VPN全套系统。为保证寻址的稳定性，SANGFOR MIG网关使用了互为备份的WebAgent寻址机制，当第一个WebAgent失效时，整个系统将会自动切换到备份的第二个WebAgent。因此，Web寻址技术相对其他寻址技术(如动态DNS)有如下优点:1. 更稳定。2. 更节省成本。3. 不依赖于专门的第三方服务提供商，长期使用稳定可靠。4. 更安全。 可以备份的VPN线路为保证VPN系统的高可靠性，SANGFOR MIG网关提供了两种备份方案。方案1：在两个网络间架设两套SANGFOR MIG，正常情况下，数据都是经过主的VPN系统传送；但主系统发生故障后，将自动切换到备用系统。方案2：由于VPN系统的不稳定往往是线路不稳定引起的，因此比较经济的解决方案是仅仅备份线路就可以了。采用深信服的多线路绑定的专利技术，可以保证，当一条线路出现故障后，数据自动倒换到其他正常的Internet线路上，从而保证VPN隧道不会因为单条Internet线路中断而中断。 断线重连功能为了保证拨号网络的稳定性，SANGFOR MIG网关集成了自动拨号软件，在拨号中断后，可以自动重拨。网络物理连接恢复正常后，可以实现总部、分支IP无变化时3s内恢复VPN连接；任意一端IP发送变化时25s恢复VPN连接 VPN隧道内流控为了保障组织带宽合理分配，VPN连接的稳定可靠，SANGFOR MIG增加了隧道内流控功能，在总部VPN设备上对VPN账户或组设定【发送/接受流量上限】，分支接入时此策略下发到分支或移动，分支或移动根据下发的策略进行流控，超过限制的包将被丢弃。2.1.4 高速的VPN系统 集成快速流压缩技术SANGFOR MIG网关在IPSec 封装中集成了快速的压缩算法，同时也可以作为加密的加强。压缩算法采用LZO，比传统的ZIP快出近10倍，能很好的保证传输的实时性。在启动了该流压缩选项后，能极大的减少冗余数据流量，增大传输效率；平均而言，将传输效率提高到130%。因此，在大多数情况下，使用SANGFOR MIG网关传输数据比不使用VPN的直传数据还要快。 带宽叠加技术扩充带宽SANGFOR MIG网关多线路复用技术是深信服公司的专利技术之一，通过该技术可以在两点间同时使用多条Internet 线路实现互联。一方面通过线路复用实现互联带宽叠加，大大增加大数据量业务的处理速度，另一方面，当其中的一条线路中断时，系统可以把