莱茵达解决方案.doc

莱茵达公司IPSEC VPN解决方案杭州市杭州天宽科技有限公司一、 需求概述 3二、 方案设计原则 32.1遵循国家标准 32.2快速性 32.3安全性 42.4易用性 4三、 IPSEC VPM方案优势 43. 1安全高效的VPN平台 43. 1. 1安全的VPN系统 43.1.2经济，灵活，冗余设计，通道分离 53. 1.3功能齐全的VPN系统 63. 1.4易用的VPN系统 63.2网络拓扑 73.3设备介绍及选型 73.3. 1 USG5150性能 73.3.2 USG2220 特性简介 9四、 方案优势 104. 1国内IPSEC VPN第一品牌 104.2业界最领先IPSEC VPN解决方案 114. 2. 1 垠快的 IPSEC VPN 114. 2. 2 最安全的 IPSEC VPN 114. 2. 3 最易用的 IPSEC VPN 114. 2. 4支持各种无线网络环境 124.2.5易于部署和统一管理 12五、 华为赛门铁克科技，完善的售后服务体系 125. 1售后服务体系 135.2售后服务承诺 145.2专业的CTI中心，完善的用户档案系统 15六、 华为赛门铁克白金级代理商杭州天宽简介 15七、 参考案例 177. 1杭州天宽科技实施VPN工程案例 17莱茵达IPSEC VPN系统建设方案一、 需求概述任何组织在内部构架的时候都会有自己的下属单位或者关联单位，从隶属关系上看至少会有二级 以上的互连要求，为了保证每一层Z间都能安全高效的传输数据，可能有些单位和组织会对数据做加 密，有些会对传输路径做加密，但是有没有一种整体的解决方案，保证从发送、传输到接收端都是安 全的整体解决方案呢。

公司随着业务的不断发展，分支机构的数量也越来越多分支机构的人员也需 耍访问总部服务器上的资源，直接把资源放到公网上访问乂面临着很大的风险，因而采用IPSEC VPN 的方式搭建一个内部资源共享平台是莱茵达公司冃前亟需解决的问题二、 方案设计原则根据公司的规模和IPSEC VPN的需求分析，IPSEC VPN系统搭建遵循以下设计原则：2. 1遵循国家标准网络互联产品IPSEC VPN,主要是用于总部和分支、分支和分支等的互联因此，必须使用遵循 国家关T IPSEC VPN标准的产品，才能够保证更好的互连互通同时，遵循标准设计的IPSEC VPN, 也有利丁•与不同厂家的VPN产品互联，方便IPSEC VPN产品的升级，同时保护用户原有的投资2. 2快速性虽然说现有的宽带已经远远好于过去的窄带网络（如MODEM）,但用户对带宽的要求是无止境的 另外，由于VPN网络承载的是组织机构的内部应用，如文件共享、拷贝等，并且当前的应用设计的文 件越来越大，习惯了局域网内1OM/1OOM速度的用户，对速度的要求也非常高，应用的速度也会极大 的影响组织机构的运作效率，特別是在一些特殊的环境下网络状况非常的差。

国内冃前南电信北网通 的运营商线路，非常大的影响跨区域的网络应用系统访问因此IPSEC VPN解决方案，就需要解决在恶劣环境下的访问速度，解决不同运营商互联问题，提高接入访问速度，选择快速的IPSEC VPN解决方案2. 3安全性VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换，而这些数拯都是 组织机构的私密信息、不允许为无关人员所知，同时VPN网络是在开放的Internet平台Z上构建的 虚拟网络，也必须保证没有获得授权的用户无法接入VPN网络综合考虑用户的具体应用和需求，IPSEC VPN网络的安全性有五层含义：一是数据传输的安全； 二是用户身份的安全；三是接入终端的安全；四是对内网资源的权限访问安全；五是审计的安全，五 大安全全面保障VPN的安全性2. 4易用性VPN产品不同丁•普通的IT设施，由丁 VPN的用处就是解决异地网络的互联互通，如何对整个VPN 网络进行有效的管理、维护和监控，并能自主的管理至关重要的基础网络平台，也是组织机构IT人 员非常重视的问题IPSEC VPN产品应便于组织机构的1T管理人员，方便对VPN网络进行相应的监控和维护。

三、IPSEC VPN方案优势3. 1安全高效的VPN平台莱茵达公司在总部和分支之间通过IPSEC VPN建立高速安全的VPN隧道，公司信息相当于局 域网的传输，IPSEC VPN具有以下特点：3・1・1安全的VPN系统•基于安全的IPSEC协议VPN网关遵循的是IPSEC协议,IPSEC是目前最为安全VPN协议通过1PSEC在Internet上建立安全可信的隧道，齐实体Z间的数据都是通过安全隧道传递局域网内原始IP的IP头包含本局域网信息经加密后，多个原始IP成为隧道IP的负载，隧道 封装的IP头为隧道两端的InlernetlP,这样就保护了内部网络信息，而且原始IP的数据已被加密成 为负载，防止了内容泄漏同时添加ESP、AH帧头标志，用丁识别正确的隧道封装IP,防止内容被 篡改，支持MD5算法加密使用AES128位加密算法，该加密算法是美国国防部采用的标准，比同等 级别的3DES快3倍•完备的接入鉴权机制VP7网关内置RADIUS服务，完成对接入分支、移动的用户名，密码认证RADIUS认证过程采用 挑战一应答模式，在这种认证模式下，认证信息不在网络上传递，而且挑战不同的分支或移动答复也 不同，保证认证信息不会被窃听。

•更细致的权限粒度在VPN网络中还存在一些潜在的安全隐患，比如分支的用户可以接入总部访问所有资源；黑客可 以入侵分支,然后通过VPN入侵到总部，非法获得商业机密；病毒可以通过VPN隧道在企业的各个网 络传播VPN网关采用VPN权限粒度分析技术，可以简单灵活的指定每个VPN用户的具体权限，可 以细致到端口级别的权限，通过这项技术可以使得指定的资源只有授权的用户才能访问可以通过VPN权限粒度保证高级权限的用户能访问总部的所有服务器，而普通权限的用户则只能 访问0A服务器，通过限制VPN用户只能访问服务器开放的服务端口，还可以限制病毒通过一些不安 全的端口（如RPC）跨网传播3.1.2经济，灵活，冗余设计，通道分离•经济不再承担昂贵的固定线路的租费DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增，分支 越远，租费越高而Internet的接入费用则只承担木地的接入费用，无论分支多远，费用却是一样 的因此 连接长途分支时，采用Internet作为传输骨干是非常便宜的，但带宽却可以较高此外, VPN设备功能强劲但造价低廉•灵活连接Internet的方式可以是10M、100M端口，也可以是2M或更低速的端口，还可以是便宜的DSL 连接,甚至丁拨号连接都可以连接Internet ,因而成为选择种类众多的端口连接方式。

一个IPSec VPN 网络可以连接任意地点的分支，即使跨越大洋也毫不受限制•冗余设计VPN设备可提供冗余机制，保证链路和设备的可靠性在中心节点VPN核心设备提供兀余CPU、冗 余电源的硬件冗余设计而在链路发生故障时，VPN交换机支持静态隧道故障恢复功能，其安全IP服 务网关可以在多条路由选择路径以及多个交换机Z间实现负载均衡此外在连接时，VPN客户端会自 动选择通讯列表中设置的本区域的骨干节点，当木区域节点故障时，自动依列表上的设置选择连接其 他VPN交换机，从而达到连接的H的•通道分离VPN交换机的分离通道特性为IPSec客户端提供同时对Internet、Extranet和本地网络访问的支 持该技术可以设置权限，允许用户的访问权限，如允许本地打印和文件共享访问，允许直接Internet 访问和允许安全外网访问，该特性使用户在安全条件下合理方便地使用网络资源，既有安全性乂有灵 活性3・1・3功能齐全的VPN系统•完善的日志功能VPN网关集成完善的日志服务，提供信息口志，告警口志，错误口志和调试口志等多种类型的 口志，能极大的帮助网络管理员分析和维护整个网络系统由于有独立的口志服务器，因此口志空间 仅受管理员分配的存储空间的限制。

•简单方便的配置备份和恢复VPN网关采用多个加密的配置文件形式保存配置信息系统提供了对所有配置的打包备份功能, 管理员可方便的对配置文件进行备份，恢复同时管理员还可以在本地配置好远程网络，利用配置恢复功能在远程导入配置•支持远程部署和模块升级VPN网关产品，安装方便，可以实现远程安装、远程部署安装可以在10分钟内完成，大大降低了企业部署VPN网络的成本VPN网关产品都支持实现远程维护，也将大大降低企业的运维成本VPN网关采用模块化设计，用户可以根据需要，下载相应的模块文件即可增加新的功能，如路由(ROUTE)模块，防火墙(FIREWALL)模块，代理上网(MT)模块等还可根据用户的特定互联需求 定制特定的模块3.1.4易用的VPN系统IPSEC VPN可以方便管理IPSEC VPN网络上的设备，全面综合地解决了大型VPN网络难于管理、安全隐患多和IT管理成木大的问题通过强大灵活的管理手段，IT管理员位丁任何地方都可以 清晰直观的了解任意一台VPN设备的运行情况，并对出现的问题可以及时做出处理3.2网络拓扑配置：总部使用USG5150设备，各个分支门店采用USG2220连入到总部从而实现了总部和各分支 机构通过VPN隧道建立了一个高效、安全的数据共享平台。

3. 3设备介绍及选型3. 3.1 USG5150 性能•强大的组网和业务支撑能力USG5150 集成了强大的路由能力,如静态路由、RIP (Routing Information Protocol)和 OSPF (Open Shortest Path First)动态路由、路由策略、路由迭代以及路由管理等，使得USG5150的组网应用更加 灵活除了具备强大的路由能力外，USG5150还具有高效的安全保障能力，支持对有害命令的检测功能 USG5150提供NAT (Network Address Translation) by用、静态和动态黑名单过滤、基丁代理技术的 SYN Flood防御的流控等特性•丰富的接口种类USG5150 提供 GE>Console 等固定接口和可选配的 MICCMini Interface Card)扩展插槽和 FIC(Flexible Interface Module)扩展插槽扩展插槽可以插入以太网光/电口接口卡、ADSL2+接口卡、E1/CE1接 口卡、GE接口卡、WIFI接口卡和SA接口卡，用户可以根据网络环境选购接口卡极强的软件可扩 展性为客户□后的网络升级提供经济的方案。

高安全性USG5150采用自主研发的硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全 分开，这种无依赖性提高了系统安全性USG5150采用ASPF (Application Specific Packet Filter)状态检测技术，可对连接过程和有害命令进 行监测，并协同ACL完成包过滤此外，USG5150还提供数十利攻击防范能力，有效地保障了网络 的安全•高速处理能力USG5150定位于中小型企业和行业用户，采用多核技术提供线速的高性能安全防范和报文处理能力USG5150采用高速算法和优化的软件结构，有效地保证了系统性能例如，ACL高速算法实现了策 略的快速查找，使得查找数千条策略的速度与查找儿条策略的速度儿乎一样•强大的日志和统计分析功能USG5150提供强大的日志和统计分析功能，在安全分析。