VPN网络建设解决方案.doc

《VPN网络建设解决方案.doc》由会员分享，可在线阅读，更多相关《VPN网络建设解决方案.doc（27页珍藏版）》请在咨信网上搜索。

XX集团 VPN网络建设解决方案 上海安达通信息安全技术有限公司 Shanghai Assured Data Info-Sec Technology Co., Ltd. 2003.4 目 录 第一章 项目情况介绍 1 1.1 项目背景 1 1.2 目前网络和应用现状分析 1 第二章 设计原则和设计思想 5 2.1 安全性原则 5 2.2 实用性原则 6 2.3 可靠性原则 6 2.4 可扩展性原则 6 2.5 易管理性原则 7 第三章 XX集团VPN网络建设方案 8 3.1 VPN技术简介 8 3.2系统设计功能分析 12 3.2.1 VPN系统对原有系统的兼容 12 3.2.2 VPN系统对原有网络的兼容 12 3.2.3 网络层的访问控制和身份认证 13 3.2.4 因地制宜的部署原则 14 3.2.5 为企业节省了费用开支 15 3.2.6 系统的易扩展性 15 3.3 产品选型 16 3.4 网络规划与产品部署 17 第四章 技术支持服务 20 4.1 技术支持与服务 20 4.2 用户培训 21 第五章 安达通公司简介 23 第一章 项目情况介绍 1.1 项目背景 以Internet网为主体的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。一方面，Internet网使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利；另一方面，面对信息的汪洋大海，人们往往感到无所适从，出现“信息迷向”的现象。特别是，Internet网是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet网上通过电子手段予以重现，信息犯罪愈演愈烈。网络的开放性，互连性，共享性程度的扩大，使网络的重要性和对社会的影响也越来越大，网络安全问题变得越来越重要。 目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，许多员工的办公不再仅仅局限于同一物理位置上的办公，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样协同工作。尤其是出现自然因素（如，目前的“非典”原因）而导致员工需要远程协同办公，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来传输远程办公员工与公司之间的信息交流。 XX集团作为国内知名企业，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，甚至也是内部员工十分感兴趣的内容，这提醒我们应该更加注重网络安全的建设。值得称道的是，公司领导已经对此引起了高度重视，并计划逐步进行卓有成效的防护工作。在这方面，合理借鉴市场先进经验与理念十分重要。 XX集团信息系统当前面临的首要问题和最大隐患是：边界安全防御与链路传输的加密。这也正是本方案中力求加以明确的地方。我们将通过认真和充分的系统分析将这些问题揭示出来并提供解决方法的建议。 1.2 目前网络和应用现状分析 XX集团总部设在杭州，企业网Intranet是以金顶苑总部大楼为中心，通过帧中继及网通的VPN与余杭一厂、八厂、杭州二厂区连接的企业广域网，其余各公司、各地办事处则通过拨号上网或宽带上网与总部服务器连接，已经初步建立起一套信息交互的网络体系。 总部网络通过电信的光纤接入互联网。在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。 目前，在网络上运行的OA等应用系统。 XX集团现在全国有26处分支机构，大多通过拨号或者宽带接入公司总部。 总部目前网络拓扑图如下： 路由器 同步modem 主交换机 交换机 交换机 交换机 同步modem 同步modem 余杭一厂（老余杭） 余杭八厂（老余杭） 杭州二厂（汽车北站附近） 全国26处办事处（除西藏）的工作站 拨号或宽带上网连接 Internet 防火墙 光纤收发器 光纤专线 Internet 路由器 帧中继专线 网通VPN骨干网 路由器 路由器 路由器 路由器 图1-1 XX集团网络拓扑示意图 随着公司业务的迅速发展，各地分公司、办事处也相继多了起来，信息交互也越来越频繁，随着企业应用系统的实施，重要的数据和信息在网络中传输也也来越多，安全性要求也越来越重要，目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应XX集团对信息传输平台的要求了。 从经济角度考虑，电信部门提供的专线组网方式费用比较昂贵，由于XX集团是一个快速发展的现代企业，先后在北京、广州、上海、南京、武汉、西安以及省内主要城市设立了多家分支机构，同时拥有多家紧密型的合作伙伴或分销客户网络，相关需要联网的网点数目比较多，分部地区比较广，信息交互比较频繁，每月的巨额通讯费用和专线租用费会给XX集团带来很大的压力。 从安全方面考虑，电信部门提供的帧中继、MPLS VPN、DDN、ADSL等传输平台没有经过加密处理，重要数据和信息均是以明文在网上传输，如果别有用心的人利用Sniffer等网络监听分析工具，极易篡改、窃取甚至破坏企业数据，给企业造成不可估量的损失；由于传输平台没有认证功能，企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏，都会对企业的信息和数据造成很大的威胁；由于传输平台没有访问控制和安全隔离的功能，给外部非法人员提供了入侵的机会，非法人员可以通过专用的黑客程序（此类工具在Internet上可以免费下载），或者盗取授权员工的访问权限，进入公司网络系统内部，让“网络巨人折戟沉沙，使系统安全溃于蚁穴的”。由于XX集团分支机构和联网网点数目众多，知名度大，受攻击的几率相对较大，一旦通过计算机终端进入公司总部服务器，后果将不堪设想。 从管理方面考虑，XX集团处于高速发展阶段，拥有的分支机构和计算机终端较多，面临最紧迫的问题就是信息的汇总、分支机构的信息交互以及计算机终端的集中管理。DDN、ADSL等组网方式由于本身的技术限制，不可能提供强大的管理平台，也不可能解决大规模的应用和管理问题。 从经营角度考虑，XX集团需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台，来满足企业信息频繁传输的需要，增加企业的工作效率，提高企业的服务质量，加快企业的信息化建设，适应企业的快速发展，提升企业的良好形象。 采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点，且VPN产品特有的具有对internet上的内部移动用户安全接入，可以彻底消除地域差异，实现可移动用户的网络互连及基于internet的可移动安全访问控制。因此，采用VPN方式组网对XX集团来说是一种现实可行的，完全可以满足公司员工在办事处、在外出差、在家秉承办公的业务需要。 下面是VPN与专线的综合比较： VPN技术 专线技术 安全性 非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里 比较高。但是，安全是建立在对电信部门相信的基础上，对电信运营商，无任何安全可言。 可扩展性 基于TCP/IP技术，接入方式灵活，只要网络可达，就可以方便扩展。 依靠当地运营商的支持，扩展很不方便。 投资成本 设备一次性投入，不需要支出每月的运营费用，长期看来大幅度节省支出。 专线费用很高，需要每月支付昂贵的专线租用费用，而且在初期要一次性投入路由器的费用 对远程用户的支持 能对internet上的内部移动用户安全接入，彻底消除地域差异。构造全球的虚拟专网。 只能联通专线拉到的网络，不支持离开局域网的内部用户接入专网。 带宽 使用各种廉价的宽带介入方式，如：ADSL，Ethernet等，一般在1~100M。 由于价格昂贵，一般租用的带宽都比较窄（一般不超过2M）。 升级 依赖于设备的升级，非常方便。 依赖于电信部门。 表1-1 VPN与专线比较表 综上所述，如何快捷地解决XX集团的企业联网问题，如何有效地解决企业巨额通讯费和专线租用费，如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题，使整个网络的互联性得到极大提高，使整个网络的安全性达到一个全面加强，使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。 第二章 设计原则和设计思想 系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则： 2.1 安全性原则 在公司网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存在着安全的漏洞，从而影响整个公司业务运作的大局。 随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。同时，采用国际上最新的主流VPN技术，确保用户能充分利用网络的互通性和易用性，同时可以为用户尽可能地降低系统投入成本，实现高效益。 网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以下三个方面： 1. 安全防护 2. 主动安全评估 3. 安全实时监控 安全防护就是通过防火墙（在本方案中采用具备Firewall功能的安达通“安全网关”）或网络物理隔离等设备，对进出网络的数据包进行控制；同时在应用、主机上限制非法用户进入，或者用户越权访问。 主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验的安全专家来进行安全评估。 安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。 我公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 2.2 实用性原则 系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。 尤其是采用了目前国际上领先的“安全网关”技术，将“Firewall+VPN+IDS”技术的充分糅合，较单纯的Firewall技术具有不可比拟的优势，体现在：不仅具有FireWall的保护内网、提供服务的功能，而且利用VPN技术，可以解决Firewall所不能解决的外网用户的安全接入问题（在本方案中，导致可以直接省略“拨号服务器”），同时可以不受接入数量限制，这使整个网络系统的可用性大幅度提高。利用IDS技术，不仅强化了本身的抗攻击能力，而且可以与IDS系统互动。 实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。 2.3 可靠性原则 这套网络安全系统是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。 我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、备份技术就是其中的重要策略。 2.4 可扩展性原则 网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，在实现基本的网络互联以及被动防护系统（安装“安全网关及其管理平台”，配发远程移动客户（安全网关客户端））以及信息传输加密的前提下，为以后进一步实现网络的主动防护系统，主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口，便于以后的扩展以及与IDS等设备实现互动。 2.5 易管理性原则 网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。 安达通公司提供“PKI网管平台”对安全网关、移动客户进行统一管理。另外，与“安全策略服务器”统一布署，可以统一管理安全网关、IDS、扫描系统的安全策略。另外，通过网管平台，可以实现远程安全管理和本地管理等多种管理手段。 第三章 XX集团VPN网络建设方案 3.1 VPN技术简介 1、基于IPsec的VPN技术 VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言， VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。数据通过安全的"加密管道"在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 在众多的VPN解决方案中，IP-VPN脱颖而出，成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题，因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后，解决了这一难题。 目前，国际主流的大多是基于Ipsec的VPN技术，该技术正在迅速走向成熟，而且它正处于兴盛期。 图3-1 VPN组网示意图 虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件： 保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性:接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性:提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密匙交换功能:提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。 虚拟专用网VPN可以使在Internet中的信息交换有安全保障，大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前，VPN技术正在迅速走向成熟，而且它正处于兴盛期。 2、全动态VPN组网方式 IP-VPN的联网方式大致有三种： 1、 固定IP与固定IP； 2、 固定IP与动态IP； 3、 动态IP与动态IP。 第一种的联网方式是比较传统的方式，技术上实现最容易，目前的防火墙等设备就可以实现这种功能；第二种的VPN联网方式对于目前大多数专业的VPN厂商也基本能解决；而第三种方式即动态IP与动态IP之间的VPN通讯却成了很多厂商和科研机构望而却步的技术难题，实现起来并解决大规模的实际应用就更加困难。 安达通公司作为国内领先的专业VPN厂商，投入了很大的人力、财力，经过一段时间的攻关和研究，最终以“策略服务器”的方式解决了这个难题。 “策略服务器”管理系统由DynamicVPN管理服务器、网络管理员和DynamicVPN网元组成。Dynamic管理服务器由WEB服务器、管理应用服务器、数据库服务器组成。WEB服务器负责以WEB服务的形式对外提供各种管理服务，管理应用服务器完成具体的逻辑与业务处理功能，数据库服务器负责保存DynamicVPN管理所需要的各种数据，它可以是关系数据库和/或LDAP服务器。 安达通公司的“策略服务器”不但真正解决了全动态的VPN组网方案，还融入了PKI技术，采用基于数字证书的动态IKE进行协商和认证，解决了大规模VPN组网的安全管理和安全认证技术。 3、基于IP-VPN中NAT穿透问题 基于IPsec的VPN解决方案中NAT穿透问题一直是很多厂商以及客户所棘手的问题。不但IPsec协议本身不能穿透NAT设备，就是常用的视频、语音等通讯方式所用的H.323和SIP协议也不能穿透NAT。下面以A、B两地实现视频会议为例，阐述一下NAT穿透问题。 我们假设在宽带城域网有两个用户A和B，其中A用户处在私网内部，B用户是在Internet公网上，这两个用户都安装了IP视频会议终端，希望通过宽带城域网开个临时的视频会议。如下图示，B用户首先呼叫A用户，B用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时，由于NAT设备只做IP地址转换的处理，因此不知道该如何将B用户发来的H.323或SIP建立会话连接的初始化包转发给内网的哪个用户，只好将该初始化包丢弃。而A用户虽然一直在等待B用户的初始化包，但A用户却永远等不到B用户的初始化包，这样A用户和B用户永远都建立不起来H.323或SIP会话连接，也就无法开IP视频会议。 图3-2 NAT穿透问题示意图（一） 另一种情况也一样，由A用户首先呼叫B用户，如下图示，A用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时，由于NAT设备只做IP地址转换的处理，NAT设备将该IP包包头中的A用户私网地址替换成自己的公网地址，这样A用户发出的H.323或SIP建立会话连接的初始化包才能够发送B用户处，B用户上层的视频会议应用程序收到该初始化包，并作出应答，但是A用户在发出H.323或SIP建立会话连接的初始化包时，在上层应用数据包中采用的地址是A用户的私网地址，这样B用户上层的视频会议应用程序就会采用初始化包中上层应用数据包里的A用户的私网地址来发送应答包，由于A用户的地址是私网地址，因此该应答包就无法在公网上传送。这样A用户和B用户还是建立不起来H.323或SIP会话连接，还是无法开IP视频会议。 图3-3 NAT穿透问题示意图（二） 安达通公司作为国内领先的专业VPN厂商，经过一段时间的攻关和研究，初步解决了NAT穿透问题，为企业构建跨城域网的VPN网络以及视频、语音通讯的建立提供了解决方案。 如果需要实现穿越NAT的安全连接，需要在内部网络和外部网络之间设置ADT引擎（需要在NAT设备上为ADT引擎作静态地址翻译）或者在外网（公网）设置ADT引擎。ADT引擎是一个专用UDP-T(即UDP隧道)数据包的路由转发软件，放置在网络边缘，在内部网络和外部网络之间转发数据流量。 下面为数据包的结构： UDP-T 封装 标准IP报文 IP Tunnel Header UDP Header UDP-T header IP virtual header IPSec headers(optional) Pay load UDP-T包在经过ADT引擎转发时，ADT引擎根据UDP-T包内的UDP-T Header域所指定的路由信息来更换UDP-T包IP Tunnel Header域的源地址和目的地址，从而完成从一个私网成员到另一个私网成员的包转发，而UDP-T包内部的IP Virtual Header的源地址和目的地址始终保持不变，保证了上层应用中IP地址的完整性，从而实现IPSec、H.323和SIP等多媒体协议端到端通信的完整性。 3.2系统设计功能分析 企业建设安全的信息系统，一个前提是不能改变原有的应用方式，并且既要保证安全的远程访问（加密），又要和正常的直接访问（明文）相兼容，适合多种多样的应用需求。 按照本方案建设的网络安全系统，将在不改变应用系统结构和用户的使用习惯已经与正常访问兼容的基础之上，为XX集团的信息系统提供强有力的安全保障，并在移动接入、分支机构网络等方面为企业节省成本，带来直接的效益。 3.2.1 VPN系统对原有系统的兼容 VPN安全网关遵循标准的Ipsec和IKE协议，在网络层对IP数据包进行加密，对网络中的数据流做基于五元组的访问控制，因此，对于应用系统是完全透明的，即上层的应用程序感觉不到数据在传输过程中被加密；也就是最终用户感觉不出使用了VPN前后在网络系统上有什么不同，也不必对自己平时的使用习惯做任何改变；应用程序的开发商也不需要对在VPN上使用的系统做特别的修改。在XX集团内部，无论是目前已投入使用的多套应用系统，还是以后的新系统，不管系统平台如何，采用的结构是传统的C/S还是B/S，都将可以平滑过渡到VPN网络平台上使用。 Ipsec协议决定了只要在网络传输上使用TCP/IP协议的应用系统，都可以在VPN平台下正常运行，然而在TCP/IP协议作为事实上的工业标准的今天，任何新开发的应用系统都是基于此的，因此对于将来的ERP等系统修改、扩展乃至增加系统等等，VPN系统完全不需更改，不必要担心应用系统的兼容性问题。 3.2.2 VPN系统对原有网络的兼容 由于根据网络设计VPN设备——VPN安全网关将会串行的连接在总部的路由器之后，并将作为分公司的路由设备为网络提供路由，因此，在增加了这个设备后会不会影响原有正常的网络访问，比如WEB、MAIL、DNS等等是一个必须说明并确认的问题。 这个问题可以分为二个方面来讨论，首先是内部的服务器是否能象原来一样向外提供服务，其次是内部网络用户是否能正常访问互联网（Internet）。下面将就这二点分别阐述。 1） 服务器单独放在一个子网中，使用私有IP地址，对外是不可见的，但可以通过在VPN安全网关上配置静态端口映射，使得外部网络可以访问到该服务器的某端口，而通常服务器都是通过TCP或UDP的某一个的端口来提供服务（比如WEB使用TCP的80端口，DNS使用UDP的53端口等等），因此对于绝大多数的应用，都可以使用静态端口映射来满足向外提供服务的需求。对于某些少数在网络通信中使用不固定端口的应用，还可以通过静态地址映射来达到目的，即将整个服务器映射成公有地址。这样，XX集团公司中所有需要公开的服务器都可以利用VPN安全网关的静态端口映射和静态地址映射向外提供服务。 2） 内网主机众多，可是公有IP地址有限，要访问互联网必须通过地址转换来实现，VPN安全网关的地址池映射功能可以满足提供内部网络上互联网的要求，并且还可以对上网的主机和时间段作出控制。同样，对于分公司的子网，也可以通过VPN安全网关的地址池映射功能提供内部主机的上网。 为满足以上二点采用的各种技术和VPN安全加密功能都可以同时发挥作用，VPN安全网关将根据数据包的IP地址和端口（五元组）信息自动地对IP数据包作出相应地处理，达到以上的目的。即VPN系统与原有的网络系统完全兼容，绝不会因建设了VPN系统而导致原有的正常访问中断或改变方式。 3.2.3 网络层的访问控制和身份认证 VPN系统在网络层实现了访问控制和身份认证功能。当一个用户需要访问受网关保护的服务器的信息时，VPN安全网关首先根据预先配置的策略判断对方的IP地址是否授权的用户，如果有为对方配置的策略，则开始IKE密钥协商，密钥协商包含了身份认证的过程，在基于PKI体系下的身份认证能很好地确保网络访问的安全性和唯一性。只有在IKE密钥协商成功以后，VPN安全网关才会把服务器的返回数据通过加密发送到客户端；对进来的数据进行完整性校验和解密。 只要策略配置适当，VPN安全网关本身没有开放的端口，即使暴露在公网上，也可以抵挡扫描、DoS等攻击行为，一些假冒IP等等攻击手段也无法攻击到网络内部，做到了对内部子网很好的保护，以及很好的身份认证功能。 在总部可以对所有的用户进行控制，如果想停止某个分公司或移动用户对总部子网的访问，只需要在CA中心将其证书废除即可，体现了统一的管理能力。 VPN系统提供了网络层的访问控制和身份认证功能，保证只有经过授权的子网或客户端才能接入XX集团内部网络，保证了一个端到端的安全，在本身应用系统的身份认证基础上又增加了一道外围防线，更加增强了系统的健壮性和安全性。 同时，通过VPN安全网关灵活的访问控制功能，可以允许安全接入和普通接入并存，即对重要的服务器，重要的用户，实施VPN安全隧道连接，而对于普通的服务器、普通的用户也可以实现明文的访问。 3.2.4 因地制宜的部署原则 整个VPN的安全体系由VPN安全网关、安全客户端、网管中心等多个部分组成，通过因地制宜的合理配置部署，既可以实现整体系统的安全性，也达到了一个网络系统的优化和用户使用的方便。 在XX集团公司的总部，考虑到数据库服务器、应用服务器等重要部分都部署在此，可以部署一台高性能的SGW25C VPN安全网关。如果要保证总部系统的可靠性，可以采用双机热备方式，即在总部网络的出口处部署两台SGW25C VPN安全网关，做双机热备配置，如果主网关一旦发生故障当机，备份网关就会立即切换到工作状态，接替主网关承担系统的运行，整个切换过程平滑透明，不会对网络应用造成影响，在10秒以内即可完成切换。 在各地的分公司，各使用一台SGW25B VPN安全网关，以保证其整个子网能安全接入到总部网络，并提供其对Internet访问和控制。 在全国各地的办事处，如果规模大一些的，可以部署一台SGW25A VPN安全网关，以保证其整个子网能安全接入到总部网络，并提供其对Internet访问和控制。 对于小规模的办事处出差员工和公司领导，使用安全客户端软件。只需要在他们的电脑上安装一套“VPN安全网关客户端”，在电脑USB口上插上网管人员配的Sure ID（USB接口的钥匙），输入Sure ID的密码，一点“连接”按钮，如果Sure ID里的策略和身份信息正确有效，就马上连接到了总部网络，使用总部网络内的私有IP地址就可以对系统进行安全的访问。 网管针对不同用户可以配置不同的权限，即可以访问的服务器不同，网络不同等等。 针对不用对象采用不同产品，这样就发挥了各自产品的特性，组成了一个有机的VPN网络体系。 3.2.5 为企业节省了费用开支 采用了VPN系统，相当于在总部和各地分公司之间建立了安全的专用网络，就可以充分利用公共网络的资源，在上面运行包含企业内部重要信息的应用系统。 比较传统的在总部分公司之间拉专线的方式，采用VPN解决方案，大幅度降低了企业信息系统的投入成本，为企业带来了直接的效益。并且在安全性上，也得到了提高，因为即使是拉专线，也需要通过网络运营商，而采用VPN方案，则是真正的将安全掌握在了自己手中。 相应地，在采用安全客户端软件的移动接入方式之前，大部分企业采用远程拨号到公司内部网络的方式接入远程访问的问题。这样就相当于打长途电话，如果需要传输的数据稍多一些，其电话费开销是非常大的，本身传输速度慢不说，而且有接入数量的限制，取决于总部端的MODEM的数量。而采用了安全客户端安全接入解决方案以后，因为客户端对接入方式不限，如果宽带接入就解决了速度的问题，最重要的是大大的减少了费用，因为移用用户只要接入当地的互联网，比起打长途电话，费用不在一个数量级，另外客户端接入的个数限制就小得多，比如SGW25C VPN安全网关可以同时接受1000个客户端的并发接入（如果拨号就需要支持1000个MODEM接入）。 除此之外，VPN安全网关本身具备静态路由功能，在分公司使用VPN安全网关，可以代替路由器实现路由和地址映射功能，因此可以为每个分公司节省一台路由器，VPN安全网关的平均工作无故障时间为15000小时，可以达到一般路由器的可靠性，这样也大大节省了企业的投入成本，带来了效益。 3.2.6 系统的易扩展性 VPN系统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在该地安装一台VPN安全网关，总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。如果增加一个移动用户，只需要配发一个Sure ID即可。因此扩展非常简单。 3.3 产品选型 上海安达通信息安全技术有限公司（简称ADT）是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的安全问题。公司将自己定位为：基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心，证书为灵魂，网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。 安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备，并且具有和入侵检测系统（IDS）互动的功能；随着系统的升级，ADT安全网关SGW系列产品，还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备，安全网关将具有综合的安全作用，使网络的安全和投入，获得最佳的安全和效益。 另外，安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接（如：通讯双方均采用ADSL进行连接）。而这一需求也恰恰是XX集团多个分支机构和联网网点需要相互进行安全通讯的最经济、最贴切的解决方案。 故此，我们建议XX集团目前的Modem、ADSL、宽带等联网方式改为在VPN组网方案。 VPN组网除了以太网络联网方式外，还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网（PSTN）提供的服务：如Modem拨号方式、ISDN、ADSL等。先行的专线/ATM方式，从经济上、管理上、安全上、经营上前面已经论证不太适合XX集团的组网需求，利用Modem拨号方式、ISDN方式，针对XX集团这样的大型企业来说，从速度上、性能上、经济上、管理上均不太适合XX集团目前发展的需要，不过，针对目前小型的办事处以及联网终端不太多的情况下，可以采用此种VPN组网方式。ADSL是电信力推的企业上网模式，不但速度快、性能好、实时性好，针对XX集团的应用特点和联网规模，从经济上也是前几种组网方式所不能比拟的。另外，安达通公司SGW网关系列具有PPOE拨入模块，支持ADSL拨号功能，可以节省专用的拨号服务器，节省设备投入。故此，我们建议针对不同驻外机构的实际应用情况，采用基于Modem、宽带以及基于ADSL结合的VPN组网方案。 针对XX集团的实际需求和具体应用，我们推荐此方案采用安达通公司的SGW 25C-4、SGW 25B、SGW 25A硬件产品以及Sure Client软件网关相结合的产品解决方案。 三种硬件型号的产品具体参数如下： 项目 安全网关快速参考 型号 SGW 25A SGW 25B SGW25C-4 处理器 Power PC855T Pentium3-866M SDRAM 32MB 128MB Flash/DOM 4MB 16MB 操作系统 RTOS 端口 1*10M Ethernet WAN 1*10/100M Ethernet LAN 1*DB9 console port 1*10/100M Ethernet WAN 1*10/100M Ethernet LAN 1*10/100M Ethernet DMZ 1*10/100M Ethernet EXT 1*DB9 console port 支持的标准算法 DES、3-DES、IDEA（可选）、RSA、SHA 支持专用密码算法 由国家密码管理委员会批准和认可的密码算法 密码加速引擎 软件 硬件密码芯片 硬件PCI密码卡 共同支持的协议及标准 TCP/IP、Ipsec、NAT/NAPT、OpenPKI、SCMP、DHCP、静态路由 独有支持的协议 PPPoE(可通过WAN口外接ADSL modem) 密钥交换体制 IKE、Diffie-Hellman ipsec吞吐率 800Kbps (3DES+SHA在ESP隧道模式) 5.76Mbps (3DES+SHA在ESP隧道模式) 60Mbps/40Mbps (3DES+SHA在ESP隧道模式)/ (国内专用算法) 支持的最大ipsec并发隧道数 50 100 1000 Firewall吞吐率 9.9Mbps 70Mbps 支持的最大内网并发会话数 10，000 130，000 工作电流/电压 0.8A/220v 3A/220V 工作温度 0~60℃ 0~60℃ 表3-1 ADT硬件安全网关比较表 3.4 网络规划与产品部署 1、XX集团总部设计方案 杭州总部是整个XX公司的“心脏地带”，重要信息的交互、共享，重要数据的频繁传输，组成了XX集团的业务流。随着企业信息化程度的不断加深，各种应用系统会逐步得到应用。随之而来，信息安全问题也会成为我们关注的焦点。 目前，XX集团总部的内部网络，通过电信网络经由XX防火墙直接接入Internet。考虑以后总部业务需求的发展，建议在总部网络出口处再部署一台安达通的SGW25-4型VPN硬件安全网关（安全网关综合利用了隧道技术、加密技术、认证技术来保护杭州总部和分支机构内网的安全通讯、安全传输）。 XX防火墙与安达通SGW25-4型VPN安全网关采用并联方案。普通数据包通过XX防火墙到达XX集团内部网络，实现包状态检测和访问控制功能。只有需要走VPN线路的数据包或者需要加密的数据包才可以通过安达通VPN网关到达XX集团网络内部，对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。 ADT SGW25C-4具有4个网络接口，一个用于内网、一个用于外网、一个作为与专门的入侵检测设备进行互动的网络接口，另一个作为EXT口，用于以后的扩展线路、备份线路或作为其他网络接口来用。 2、各地驻外机构设计方案 由于各地驻外机构需要与杭州总部进行大量的信息交换，并且随着ERP等应用系统的应用加深，物流、资金流在企业Intranet网上的频繁传输，为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传输，故此，我们可以根据各分支机构的不同情况，分别部署硬件安全网关设备和软件网关到各驻外机构。同时，建议具有子网的各驻外机构采用ADSL或者宽带的方式接入Internet，并在网络出口处部署ADT SGW 25B、SGW 25A硬件安全网关设备；建议在仅有一台终端的分支机构采用Modem或ADSL的方式接入Internet，并在该终端上安装安达通公司的Sure Client软件网关，从而达到和总部以及其他分支机构的VPN通讯。 ADT SGW 25B、SGW 25A（两款硬件设备在密码加速引擎上和性能上略有区别，详细见参数比较表）具有2个网络接口，一个用于内网（防火墙模块可以有效做到安全隔离以及访问控制机制，安全隔离机制保证了公司网络与Internet等公共网络的安全连接，访问控制机制可以有效的控制各个分支机构的安全接入问题），一个可通过ADSL Modem接入Internet（由于该安全网关具有PPOE模块，节省了专用的拨号服务器）。 目前，根据XX集团的实际情况，由于某部门的特殊