分支机构VPN建设方案.doc

雪花啤酒各分支机构VPN接入解决方案雪花啤酒目 录1 项目概述 32 VPN技术简介 42.1 IPSec VPN技术 52.2 设计原则 53 VPN解决方案 63.1 需求分析 63.2 产品选型 83.3 产品部署 84 VPN产品功能及特点 104.1 支持IPsec协议标准 104.2 支持最新的NAT穿越协议 104.3 支持双动态IP地址间隧道 104.4 支持动态域名解析 114.5 完善的VPN网络集中管理功能 114.6 具备丰富的冗余备份方案 124.7 具备功能强大的VPN软件包 134.8 具备易用的管理配置界面 134.9 具备丰富的VPN网关附加功能 144.10 VPN产品功能列表 145 产品报价 171 项目概述雪花啤酒，如何提高办公网各个业务系统的数据传输的平安性已经成为雪花啤酒当前急需解决的问题2 VPN技术简介虚拟专用网（VPN）是一种以公用网络，尤其是Internet为基础，综合运用隧道封装、认证、加密、访问限制等多种网络平安技术，为企业总部、分支机构、合作伙伴及远程和移动办公人员供应平安的网络互通和资源共享的技术，包括和该技术相关的多种平安管理机制。

VPN的主要目标是建立一种灵敏、低成本、可扩展的网络互连手段，以替代传统的长途专线连接和远程拨号连接，但同时VPN也是一种实现企业内部网平安隔离的有效方式VPN技术须要解决的主要问题概括起来就是：实现低成本的互通和平安总部及各个分支机构通过公网实现跨地域的系统互联必定面临平安问题运用公用网络会导致机构间的传输信息简洁被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此虚拟专用网的重点在于建立平安的数据通道，该通道应具备以下的基本平安要素：保证数据的真实性，通信主机必需是经过授权的，要有抗拒地址假冒（IP Spoofing）的实力保证数据的完整性，接收到的数据必需与发送时的一样，要有抗拒不法分子篡改数据的实力保证通道的机密性，供应强有力的加密手段，必需使偷听者不能破解拦截到的通道数据供应动态密钥交换功能和集中平安管理服务供应平安防护措施和访问限制，具有抗拒黑客通过VPN通道攻击企业网络的实力，并且可以对VPN通道进行访问限制须要强调指出的是：网络信息系统是由人参与的信息系统环境，建立良好的平安组织和管理是首要的平安需求，也是一切平安技术手段得以有效发挥的基础企业须要的是集组织、管理和技术为一体的完整的平安解决方案。

2.1 IPSec VPN技术IPSec VPN是基于IPSec协议建立的虚拟专用网络IPsec中有两个独立的用于平安传输数据的协议：“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) AH为数据流供应数据完整性认证的服务ESP为所传输数据供应加密和数据完整性认证的服务 IPSec协议通过AH和ESP协议对传输的数据供应完整性认证和加密的平安服务在密钥的获得方面，IPSec供应了IKE协议，使通讯的双方能够通过平安的自动协商获得相同的密钥 Transport Mode 将原IP包中的数据部分进行封装，从而供应了端对端的平安连接Tunnel Mode 封装整个IP 包 ，从而建立网关到网关间的平安的虚拟的一跳（hop）利用Tunnel Mode建立跨越Internet区域的连接两个网关的隧道，从而组成传统方式的VPN 传统形式的VPN接受ESP协议并工作在Tunnel模式的IPSec VPN， 这种形式的VPN被广泛地运用在企业中，用于平安连接位于异地的企业计算机资源2.2 设计原则我们在对IPSEC VPN系统建设时遵循以下原则：开放性IPSEC VPN系统应当符合开放性规范，便利今后对网络进行扩展和功能扩充，接入不同厂商多种硬件设备、软件系统和网络产品。

扩展性IPSEC VPN系统设计应当考虑将来的拓扑结构、功能模块、处理实力和网上负载的扩展，应当易于增加新设备、新的应用系统（如新ERP系统），随企业各部门信息化的逐步实现能不断延长和扩充，充分爱惜现有投资利益牢靠性IPSEC VPN系统应当具备高容错和容灾实力，具有抵抗外界环境和人为操作失误的实力，并且能够在最短时间内进行故障解除和复原，IPSEC VPN系统具有充分的容错设计，使系统的单点故障不影响网络正常运行标准化IPSEC VPN系统运用的通信协议、管理协议和硬件接口必需符合国际标准，并应是现在和将来网络技术发展的主流平安性IPSEC VPN系统对于受控资源必需建立一套平安机制防止非授权用户和假冒用户的访问在VPN设备和客户端之间运用双向认证，确保用户的合法性，充分保证信息系统的平安，同时不增加用户运用的困难性好用性IPSEC VPN系统选用的硬件设备和软件系统应当具有良好的性能价格比，设备的日常管理和维护简洁便利，经济好用易升级IPSEC VPN系统选用的网络设备和软件系统应当能够依据实际须要便利的升级可管理IPSEC VPN系统为达到便于管理的目的，全部网络设备运用基于标准的管理协议，能够进行远程监视、限制和管理，支持客户机/服务器和WEB体系结构，符合计算机技术发展的方向。

3 VPN解决方案3.1 需求分析针对当前办公网OA、ERP等业务系统的应用现状及面临的问题依据平安风险分析可以看出雪花啤酒及各个接入单位中存在大量的业务数据须要在广域网上传输，这些敏感的内部数据信息在互联网上特殊简洁被非法窃取、篡改或删除数据在传输中的机密性、完整性和可用性必需得到保障但是标准的TCP/IP协议对网络中数据没有进行加密处理，如常见的TELNET、FTP、HTTP、POP3等服务应用均以明文传输，这样网络窃听可以特殊简洁得手针对明文网络传输的弱点，我们建议组建基于IPSec的加密隧道来进行数据或报文的传递，即搭建一套VPN系统，在发送数据和接收数据的两端建立加密和解密的措施，当数据在网络中被传递时，数据经过VPN设备进行加密处理，然后以密文的形式在互联网上传递，这样即使数据被窃取，也因为数据是密文而无法得知数据的内容此外，VPN设备还供应了数据完整性校验功能，假如数据在传递过程中被篡改，导致部分数据失真，接收端可以检测出此变更，并且通知发送端重新进行发送业务平安性保障重点加强对数据传输过程中的平安建设，保证数据在传输过程中的保密性、完整性、牢靠性重点加强对分支机构用户的权限管理。

对访问系统的识别、认证、授权、审计保证只有授权的用户可以访问授权的资源，并且对整个访问过程进行实时监控，同时，可以对历史访问行为进行审计分析通过信息平安建设，消退和减小现有的平安风险，将平安风险减小到可接受的程度，并且保持这种程度强化业务流程，通过对业务流程的强化，削减人工管理成本业务灵敏性保障由于雪花啤酒下属分支机构众多，信息平安建设，要求做到灵敏和快速的部署，在尽量不影响现有网络结构和设备配置的状况下，快速的部署信息平安设备减小设备的部署成本和部署周期法规符合性 对于信息平安建设，要遵守国家相关法律法规、行业相关标准本次信息平安建设，还须要考虑投资回报率的问题，保证用最少的投资，取得最好的建设效果3.2 产品选型依据以上需求分析，从便于维护和隧道建立的稳定性等方面考虑，我们建议选择网御Power V6000-F1160来实现远程平安数据的传输Power V6000-F1160主要参数如下表所示：项目参数网络接口6个10/100M Base-TX；2个USB接口，1个Concole接口吞吐量600M并发会话数120万每秒新建连接数1万IPSec VPN隧道数4000条加密吞吐量80M3.3 产品部署依据对需求分析，须要的是加强省台与分支机构之间以及远程移动用户访问单位内部资源时的数据传输平安。

针对当前的网络特点即数据流量，总部接受网御Power V-3626平安网关网关，分支机构接受网御Power V6000-F1160 网关，在广域网上搭建雪花啤酒自己的私有隧道，给各个分支业务数据供应平安保障以下提出详细解决方案产品部署网络拓扑图如下：产品部署说明：在VPN组网方式上，通常可选择网状组网方式和星形组网方式本次项目建设接受网状组网方式，网状组网是传统的VPN组网方式，是在全部须要进行加密数据传输的各个子网前部署VPN网关，即每个接入机构前部署VPN网关，每个VPN网关须要同全部须要进行数据交换的远程子网前的VPN设备建立静态IPSEC隧道，通过两端子网前的VPN网关共同组成VPN网络，保障接入机构可以平安的访问办公网业务系统产品部署说明部署产品部署位置部署作用VPN网关部署在各个分支单位出口1、具备防火墙功能，可部署在互联网边界，实现对分支机构全部流经防火墙的数据进行过滤和严格的访问限制，屏蔽非法和不合规的数据包;2、与雪花啤酒部署网御Power V-3626建立IPSec VPN隧道，在广域网上搭建VPN设备与各个分机构建立私有IPSEC VPN隧道，保障数据在互联网上加密平安传输4 VPN产品功能及特点部署在雪花啤酒的VPN产品是网御星云在总结国内外各种VPN产品的特点和国内用户实际需求的基础上，面对企业用户推出的拥有完全学问产权的系列VPN产品。

网御VPN要达到的目标是：接受网御VPN，企业的全部分支机构、合作伙伴和移动用户只要连接上因特网（无论实行什么样的接入方式），就能够像是用专线互联一样便利平安地交换和共享数据4.1 支持IPsec协议标准IPsec作为一个全球性的平安标准，要求全部IPsec的实现必需严格遵循其各种协议规范，以便实现不同产品之间的互通网御VPN产品经过严格的互通性测试，和CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通（接受标准算法）4.2 支持最新的NAT穿越协议NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所运用的主流技术；NAT与IPsec协议存在着原理上的冲突（详细参考上一章的相关描述）；所以在应用IPsec技术组建VPN网络时，确定要考虑选用的VPN设备是否具有“NAT穿越”的功能网御VPN的全系列产品均支持最新的NATT协议标准，具有特殊好的网络适应性4.3 支持双动态IP地址间隧道目前国内常用的因特网接入方案（包括拨号、ISDN拨号、ADSL宽带接入等等）都是由ISP为接入用户动态支配临时IP地址假如企业的两个分支机构均接受动态IP地址方式接入因特网，那么这两个分支机构之间的VPN隧道策略参数必需进行动态调整，这一过程对目前市场大部分的VPN产品（包括国内产品和国外产品）都无法自动完成，这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。

VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题网关接入因特网之后首先向企业总部部署的“平安策略服务器（SPS）”进行注册和身份认证，然后从SPS下载自己的VPN策略；同时SPS负责当策略参数发生变更时，实时通知的网关产品更新策略从而确保全部的网关都能够获得最新的策略参数变更状况4.4 支持动态域名解析网御VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址＋动态IP地址以及全动态IP地址的方式接入因特网对于企业内部全动态IP地址接入的状况，部署在企业总部的VPN。