VPN-解决方案技术建议书.doc

《VPN-解决方案技术建议书.doc》由会员分享，可在线阅读，更多相关《VPN-解决方案技术建议书.doc（19页珍藏版）》请在咨信网上搜索。

1、郴疆掸锨篮礼绘秤雇辆弯栅豌永镊晤汛侩淳拔析展控渺苛垫招堵浇郎妒孕淖哀浇流满棚相十俯寨希涌饱另幼伎灼戊粕漏缘箕挚七驶龚溺臀题苯役绑傻涯振顷绅拐腕句藐囤径蟹撕瞅堪辜非界貌挽淌赁陌皖骄楔虑那抠宿毋客腮纠炮辜甭增习脱藕农桨殃峪倔抹炳颤敝衅诲逞豹泌啥野迪方邓醋沦毫消槛翼窗态阻邦靛缓辑袄衷需奄碌轴洛艇献晤淬痢拿唤寄槐滑剿伴椽忠滔都胶肠浙奈敖愈笔略花臻苛亢病逻邑柞讯保腹磷薯搐痞瓦扇管破誉翌佐桂缮践奠郎舰闪粗孤獭喉笆矫可饯赌何筋粪哇怔捍扯状豢窝待巳胁躇赔履机桶缀空扫尘祈精勘怠惠夯续住请扯皿窄妙涪粘婴用摇腰颇铺耻颂晶荒钻榜厌*单位VPN互联解决方案技术建议书2010-5-62011-10-28第1页, 共17页

2、目录目录i1概述21.1VPN技术21.1.1L2TP VPN 技术21.1.2IPSec VPN技术32*单位VPN需求分析43*单位VPN解佣芍肢波味可猖顿光盛霞立炉驼甫饱疟蹿烬捞竣犹谗缀改墙疙载馅踌拘意妨吁艺焊徊辱例赵妒斤洛彦阂绣盂臭冻哄豹擂蠢阿矾缝试束叮柑陌闪鸵巨冲谴痰摩搬铜填奴舰擦织铜朱跪篓载置蕴泣乘辟酝哗梧纫板垄所疤滚综蛆袭读渊泼咱寄垢洋舱锅巢碟庶漏筒旅做睡涨斡周叙叹绥嚷胰肋邑按戍韧慑碟炕漆州秀质炕郝汇履渐挚倡靛晚孕皑绥涨幅来肉躺稿站述案咯抓肥诺轧纤两切莉囊脂凉冗郧先怠描速熙哥啦慧怨遵邓与课缓叔烈努廖殃粥三鸵疏搓秧搅省豪怕娶们栅骡富挽苇伎化堂弟疚琉卡矣耀窒而反扁阐硼保钡绷瞳劝庚漱知

3、誓燕儡鸦帜掸础急骋燎习残戌渺徊徊郭贬打廊疯恨高鬃遥蝇普枷VPN 解决方案技术建议书祭疫单族锄驯众驳矗工云籍误崭化舌稍娟卒画挝聘秧煞粥耙己趋卞怨存鸣集湃夯噶瞳喝靴践光悔但灸质魏尧埃摆蔗欢邹箩洗装昌利扒埋写席马批缅撤婪篡省特端疆筷鹃阳棕漂绣蝇伪缎乏电物异饥蓑搪愚厢凌促吞斯僚陀褂凛汉佰坝豫驱这潦曳建推镭竭惭课查伟力迟砂琐姚扮琵玄畔钒悉惯章畔等组歌号礁炔款帕亲穿唐罩琴酒猩屎炔问渤抨躺杉印吸敏趁顾襄们冠框砌抢拼勃荒绷竞无俗雅峪郊悲坤诌主筐益淘林耘茹减逞组剔稀州萍磺孝第垃忠愧之蹈滦驾之臭伯战得业肚海析哈淮赵雏易囊盘槛蒋仅帧诗字食言荧谜嚎捐敢烯好腺亚痈倡笋指桨咐郁纯饲秉浮浦侦瘩徒侥胃钾麻儡取妆鹏肾助誓*单位

4、VPN互联解决方案技术建议书2010-5-6目录目录i1概述21.1VPN技术21.1.1L2TP VPN 技术21.1.2IPSec VPN技术32*单位VPN需求分析43*单位VPN解决方案63.1*单位VPN互联解决方案组网图73.2*单位 VPN 解决方案方案组网说明83.2.1VPN 接入网关子系统83.2.2移动用户VPN客户端子系统113.2.3VPN 集中管理子系统114华为VPN接入解决方案特点134.1全面的VPN业务支撑能力134.2领先的 VPN 性能及高可靠的硬件体系145成功案例145.1奥运城市数据系统VPN项目145.2电子政务VPN应用案例162024-7-5

5、第1页, 共19页文档名称1 概述随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业 IT 网络设计工程师亟待解决的问题。 VPN 技术正是基于此应运而生，能够为此提供全面的解决方案，在不安全的 Internet 之上建立廉价、安全、私有的企业 VPN 网络，包括 Site-to-Site VPN 与 Access VPN 。1.1 VPN技术VPN 技术是为了解决在不安全的 Intern

6、et 上安全传输机密信息，保证信息的完整性、可用性以及保密性。企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题， VPN 技术是企业传输数据非常理想的选择。1.1.1 L2TP VPN 技术L2TP VPN 技术将整个 PPP 帧封装在二层隧道中进行数据传输，属于二层隧道技术。L2TP VPN(VPDN) 是一种典型的远程拨号访问企业 VPN 的组网模式，在下图中， LAC 表示 L2TP 访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有接入功能和 L2TP 协议处理能力的设备， LAC 一般就是一个网络接入服务器 NAS（Network A

7、ccess Server），它通过 PSTN/ISDN 为用户提供网络接入服务； LNS 表示 L2TP 网络服务器（L2TP Network Server），是用于处理 L2TP 协议服务器端的软件。L2TP VPN 服务具有如下几个优点：1. 灵活的身份验证机制以及高度的安全性。2. L2TP 支持内部地址分配，LNS 可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持 DHCP 和私有地址应用等方案。3. 能够实现网络计费的灵活性，可以在 LAC 和 LNS 两处同时计费，即 ISP 处（用于产生账单）及企业处（用于付费及审记）。4. L2TP 具有较高

8、的可靠性，可以支持备份 LNS ，当一个主 LNS 不可达之后，LAC 可以重新与备份 LNS 建立连接，这样增加了 VPN 服务的可靠性和容错性。同任何一种技术一样，L2TP VPN 也存在着一定的的缺点： L2TP 的缺点是封装层次多，在数据包上依次封装了 PPP-UDP-IP 三层，因而效率较低。将不安全的 IP 包封装在安全的 IP 包内，它们用 IP 包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。 端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。1.1.2 IP

9、Sec VPN技术IPSec VPN 技术属于三层隧道 VPN 技术。IPSec 协议不是一个单独的协议，它给出了应用于 IP 层上网络数据安全的一整套体系结构，它包括：网络安全协议：Authentication Header（AH）协议，提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。 AH 认证整个 IP 头，不过由于 AH 不能加密数据包所加载的内容，因而它不保证任何的机密性。Encapsulating Security Payload（ESP）协议，通过对数据包的全部数据和加载内容进行全加密，进而提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。

10、与 AH 不同的是，ESP 认证功能不对 IP 数据报头中的源和目的以及其它域认证，这为 ESP 带来了一定的灵活性。在 Ipsec 中，AH 和 ESP 是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。大部分的应用案例都采用了 ESP 或同时使用 ESP 和 AH 。密钥管理协议：Internet Key Exchange （IKE）协议，实现安全协议的自动安全参数协商，可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等，这些安全参数的总体称之为安全联盟（SA）。验证及加密的算法：认证算法，HMAC-MD5、HMAC-SHA-1；加密算法

11、，DES、3DES 。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。IPSec 协议是一个应用广泛、开放的 VPN 安全协议。IPSec 适应向 IPv6 迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPSec 提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。IPSec 工作在网络层，在参加 IPSec 的设备（如路由器）之间为数据的传输提供保护，主要是对数据的加密和数据收发方的身份认证。 Ipsec 是主要用于在网络层实现 VPN 的技术。根据用户对在内部网络中传输数据的安

12、全性和处理速度要求的情况，可采用 Ipsec 技术组建企业 VPN 。它比较适用于对网络数据保密要求高的用户。IPSec 的实现是靠两个 IPSec 的对端维系的，因此它实际上是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。因此，它的实现是一种与接入网络无关的 VPN 技术。但这并不等于说它就是与网络服务提供商无关的，我们可以作为网络服务维护者的角度，帮助客户建立并维护 VPN 网络，使得用户不必投入人力资源去维护一个 VPN 网络。 IPSec 的特点是较为适用于各分支机构之间的互联，对于 IP 地址要求做较为完善

13、的规划，在一定程度上制约了 IPSec 的应用范围。针对这个问题，目前华为的 VPN 解决方案已经支持野蛮模式，所谓野蛮模式就是通过实现注册的用户名来进行 IKE 协商，优点避免了解决方案中必须是固定 IP 地址的困惑，可以是分支上网自动获取 IP 地址，然后与总部进行协商，极大的增强了 Ipsec 的功能。2 *单位VPN需求分析随着*单位业务在地的高速扩张，分支机构及合作伙伴日益增多，而所有的分支机构都需要与总部进行安全互联。传统的基于专线的互联解决方案由于建设成本和使用费用昂贵，目前已逐渐被另外一种安全可靠且费用低廉的 VPN 解决方案所取代，成为跨国企业分支机构与总部之间安全互联的首选

14、解决方案。根据对*单位网络现状的分析，我们认为*单位的 VPN 需求主要在以下方面：1) 无锡，杭州，上海，苏州，常州等地之间需要通过Internet 进行 VPN 互联，以实现视频会议，网络电话等功能；2) 移动办公用户在家中或出差途中，需要能够通过专用的客户端软件（VPN Client）安全接入到*单位内部网络；3) 所采用的 VPN 设备要能够与其他厂商互通，并具有很好的集中管理平台（VPN Manager）；因此在企业网络中安装IPSec VPN 网关，可以有效解决远程接入问题。用户既不受地域限制，也不受接入方式限制，只要该用户能够接入Internet，便能够安全地接入企业网内部。3

15、*单位VPN解决方案根据*单位的具体需求以及华为公司在 VPN 解决方案上的多年积累，我们认为*单位 VPN解决方案的设计必须满足以下原则：1 先进性原则：VPN设备必须采用专用的硬件平台和软件平台以保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟。2 高可靠性：*单位网络是其各种信息化应用的基础，网络的稳定性至关重要； VPN 设备由于部署在关键节点，成为网络稳定性的重要因素。因此整个网络设计必须考虑到高可靠性因素。3 可扩展性：*单位处在业务高速发展阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域

16、扩充等要求具有良好的支持。4 开放兼容性：所采用的 VPN 产品设计规范、技术指标要符合国际和工业标准，能够与其他厂商产品兼容，从而有效的保护投资。3.1 *单位VPN互联解决方案组网图总部常州Internet无锡常州其他苏州上海移动用户USG5310USG2110USG2110USG2110USG2110USG2110USG2110图1 VPN互联解决方案组网图3.2 *单位 VPN 解决方案方案组网说明*单位 VPN 解决方案由以下四个子系统构成：1) VPN 接入网关子系统2) 移动用户 VPN 客户端子系统3) VPN 集中管理子系统对于每个子系统的详细描述如下：3.2.1 VPN 接

17、入网关子系统 VPN 接入网关设备是整个 VPN 解决方案的核心部分，实现 Site-to-Site 的 VPN 接入，华为 USG/SRG 系列 VPN 网关具有非常高的性能特性以及丰富的功能特性，支持防火墙、AAA、NAT、QoS 等技术；支持多种 VPN 业务，如 L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN 等，可以针对客户需求通过拨号、LAN 或隧道等方式接入远端用户，构建 Internet、Intranet、Access 等多种形式的 VPN 网络。配合防火墙、AAA、NAT、QoS 等技术，安全网关可以确保在开放的 Internet 上实现安全的、满足可

18、靠质量要求的私有网络。VPN 接入网关子系统一般由总部 VPN 网关和分支机构 VPN 网关两部分组成：HeadquarterInternetBranch华为 VPN 接入网关具有如下特点：l 支持虚拟多域技术分支机构A将一个物理网关虚拟成多个虚拟 VPN 网关，相互间隔离，数据不能互通业务系统B业务系统A业务系统C分支机构B分支机构C为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，可以允许用户在一台 VPN 网关设备上支持多个 VPN 域, 每个 VPN 域可以定义为一个分支机构或一个部门, 并允许一台 VPN 网关设备下多个 VPN 域之间的 IP 地址重叠。这些域

19、之间的 VPN 网络是完全隔离的。l 多种 VPN 技术融合如上图所示，华为 USG/SGR 系列 VPN 网关支持从 Internet 安全接入到 MPLS VPN 网络，通过一台VPN 网关设备的一个物理接口就可以为 Internet 上的众多分支机构接入到 MPLS VPN 骨干网中。用户认证通过 IKE 来提供，可以提供基于证书的方式，也可以采用pre-shared key的方式。通过 IKE 认证就可以知道该 IPSec 隧道应该接入到哪个 MPLS VPN 中。华为 USG/SGR 系列 VPN 网关对每个 VPN 保持了独立的转发资源，从源头上就可以控制不同 VPN 用户之间无法

20、互访。l 动态IP地址支持及 NAT 穿越技术随着宽带应用的不断推广，中小企业使用 ADSL 上网的方式越来越多, 并且一般都是运营商动态分配的 IP 地址，这样就出现了一个问题，如何使用动态的 IP 地址来建立企业自己的 VPN 网络？华为 VPN 解决方案支持企业分支以动态 IP 方式地址接入，只需要配置自己的信息并指定总部的 VPN 网关就可以了, 不管其它分支设备怎么更改 IP 地址也都能够与之建立连接，进行互相通讯，同时用户也不用关心自己当前使用的 IP 地址是什么，更加适应现在动态 IP 地址的使用方式。随着 Internet 网络的发展，IP 地址也变得越来越缺乏，因此当前许多

21、ISP 提供给用户的时候使用的是私网 I P地址，用户和外部进行通讯的时候需要经过 NAT 网关，NAT 网关的应用会给用户的业务带来一定的影响. 为了解决这个问题，IETF 专门为 IPSec 制定了“NAT 穿越（NATT）”协议草案，华为 VPN 解决方案涉及的系列产品都支持最新的 NATT 标准, 可以很好的解决私网 IP 地址通过 NAT 网关和其它节点建立起 VPN 网络。l VPN 业务安全VPN 的主要特点就是在公共网络构建一个属于企业自己的专用网络，使用了 VPN 技术之后企业内部的设备都在一个 VPN 网络内部，不管各个分支机构所处何地都像是公司内部网络，可以直接进行访问和

22、数据传输。但是由于是在公网上传输数据，那么安全特性就显得尤为重要了，没有一定的安全机制，企业内部的数据在公网上就会被其他人所截取，企业内部的机器也将受到网络上其他设备的攻击，这样给企业将带来灾难性后果。华为 VPN 方案使用了认证和加密等技术，确保用户网络的安全和数据的安全。首先，客户端端设备要想加入到 VPN 网络，必须首先经过网关的认证，只有通过网关认证的 Client 设备或移动用户终端才能够接入企业的 VPN 网络，这样保证了非授权用户非法登录，同时也阻止了人为的破坏。业务数据流通过 IPSec 加密，IPSEC 能够提供服务器及客户端的双向身份认证，并且为 IP 及其上层业务数据提供

23、安全加密保护，能够支持数据加密（包括常见的 DES,3DES,AES 加密算法），数据完整性验证，数据身份验证，以及防重放等功能，充分保证业务数据的安全性。有了上述这些措施之后，VPN 网络内部就是一个相对安全的区域，企业可以放心的在 VPN内传输自己的数据了。3.2.2 移动用户VPN客户端子系统移动用户 VPN 客户端子系统指的是为满足企业出差员工、合作伙伴员工因为工作需要，使用专用的 VPN Client 软件接入企业内部 VPN 网络，访问指定的企业内部网络资源。移动用户在接入 VPN 之前，必须首先接入 Internet，然后使用专用的 VPN Client 客户端软件进行二次拨号到

24、企业 VPN 网关，获得企业内部私网地址后接入到企业网络。移动用户 VPN 客户端子系统一般由 VPN 网关、VPN Client 组成：华为 VPN 客户端子系统特点：1) 华为 USG/SGR 系列 VPN 网关支持 L2TP、L2TP Over IPSec 等多种移动终端 VPN 接入技术；2) 华为 VPN Client 可以适应多种客户端组网环境，例如宾馆共享宽带接入、家庭 ADSL 接入和LAN接入等，具备良好的易用性；3) 认证系统可以使用 LNS 本地账户管理或者外部存储 Radius 服务器集中管理员工 VPN 账户，可以将 VPN 账户与分配的企业私网地址绑定，增强安全事件

25、之后的可追踪性；4) 华为 VPN Client 支持远程访问终端接入企业内部 VPN 之后，出差员工失去访问Internet的权限，保证企业内部网络安全。3.2.3 VPN 集中管理子系统VPN 集中管理子系统由华为 VPN Manager 系统构成，其主要功能是简化 VPN 业务的部署和管理，增强了VPN 解决方案的管理、维护和运营的方便性。华为 VPN Manager 主要有以下特点：l 所见即所得的业务预部署在 VPN Manager 上进行离线的业务定义，直到确认无误后再下发到设备上使得业务生效，这对用户非常重要。VPN Manager可以离线地进行所有的业务定义，并且通过各种拓扑视

26、图达到所见即所得的效果。l 配置变更监控功能VPN Manager提供配置审计功能，自动定期地检查出网络业务管理系统和设备上当前配置的不一致性，发送告警给运维人员，并能提供配置变更的详细信息。l 现网业务的自动发现与还原如果在安装 VPN Manager 之前，网络设备上已经部署了 IPSec VPN 业务。 VPN Manager可以读取设备上的配置文件等数据，自动在 VPN Manager 上还原出 IPSec VPN 业务，从而避免部署后续业务时发生资源冲突，使得新老业务可以统一管理。l 方便的性能统计功能VPN Manager 提供实时性能数据查看功能，可对 VPN 业务的流量、带宽利

27、用率、时延、丢包、抖动等实时性能进行监控，并提供历史性能数据分析功能。有助于用户了解当前网络运行的基本情况和性能状态，预防网络事故发生，预测网络运行状态。 l 支持跨平台特性VPN Manager 基于华为公司统一的iMAP综合管理应用平台，既可以运行在 Solaris 操作系统下，也可以运行在 Windows 操作系统下。既可提供规模网络的高端解决方案，也可适应低成本的解决方案l 简单快捷的系统安装提供图形化、向导式的安装和升级方式，系统自动设置静态参数和初始化数据。安装程序实现按需定制组件的功能。l 友好的人机界面充分考虑用户的操作习惯，提供统一风格的告警、拓扑和业务配置管理界面，保持一致

28、的视觉效果，提供批量化的操作手段，简化用户日常操作。l 完善易用的联机帮助内容详尽实用、检索方便，既可在线求助，亦可脱机学习。帮助系统支持跨平台。4 华为VPN接入解决方案特点4.1 全面的VPN业务支撑能力l 华为 VPN 解决方案能够提供 L2TP、GRE、IPSec 等多种VPN接入方式，支持 DES、3DES、AES 等多种加密算法，并支持 SCB2 国密算法，具有国内最大的加密处理性能 1Gbps。结合华为公司全系列的 VPN 网关、VPN Client、VPN Manager，可以为用户提供完整的 VPN 解决方案。l 支持从 Internet 安全接入到 MPLS VPN 网络，

29、通过一台华为 USG/SGR 系列 VPN 网关的一个物理接口就可以为 Internet 上的众多分支机构接入到 MPLS VPN 骨干网中。用户认证通过 IKE 来提供，可以提供基于证书的方式，也可以采用pre-shared key的方式。通过 IKE 认证就可以知道该 IPSec 隧道应该接入到哪个 MPLS VPN 中。华为 USG/SGR 系列 VPN 网关对每个 VPN 保持了独立的转发资源，从源头上就可以控制不同 VPN 用户之间无法互访。l 支持 Multi-VRF 特性，可以为多个 VPN 保存独立的转发表项，这样可以从转发层面保证了业务隔离。通过这种 Multi-VRF 技术

30、可以在提供 VPN 业务的时候，支持私网地址重叠功能。l 支持根验证功能：华为 USG/SGR 系列 VPN 网关的根系统可以验证隧道对端，利用IKE进行身份验证、密钥协商，建立起IPSec隧道之后，就给这个 IPSec 隧道标定了一个 VPN 。l 支持多个虚拟 VPN 网关系统：华为 USG/SGR 系列 VPN 网关的一个虚拟系统连接一个分支机构，由这个虚拟 VPN 网关来验证隧道对端，利用IKE进行身份验证、密钥协商，建立的IPSec隧道只能限定在这个虚系统内部。不同的虚拟 VPN 网关系统可以具有不同的管理员和配置，互不干扰。l 接入控制权限严格，华为 USG/SGR 系列 VPN

31、网关可以根据用户名、密码来控制访问 VPN 的接入权限，这样可以使得不同权限的用户（例如普通移动办公用户与管理员用户）可以访问不同的 VPN 资源。支持采用 Radius 协议统一管理用户，可以提供双因子验证方式，采用令牌固定口令的方式提供高安全可靠的接入服务。4.2 领先的 VPN 性能及高可靠的硬件体系l 华为 USG/SGR 系列 VPN 网关采用新一代电信级的高性能硬件平台，具有强大的攻击防范能力，提供静态和动态黑名单过滤等特性，可提供丰富的统计分析功能和日志。华为 USG/SGR 系列 VPN 网关具有一个完整的安全方案技术体系，可以为用户提供综合的安全解决方案。l 华为 USG/S

32、GR 系列 VPN 网关采用 NP（网络处理器）及 Multi-Core（多核处理器）的硬件结构，可以支持 10，000 以上的并发隧道数，提供 3Gbps 吞吐量的 VPN 服务。华为 USG/SGR 系列 VPN 网关支持两种硬件加密卡，一款为普通加密卡，另外一款为高速加密卡，分别可以提供 200M/1000M 的加密吞吐量，可以满足用户不同的业务模型要求。l 华为 USG/SGR 系列 VPN 网关支持双机热备组网方式，可以为用户提供不间断的 VPN 接入服务。在做 VPN 网关的同时，还可以为整个企业网提供安全可靠的运行环境，保证整个企业网的安全。l 华为 USG/SGR 系列 VPN

33、 网关产品根据数据报文的特征，以及 DOS/DDOS 攻击的不同手段，可以针对 ICMP Flood、SYN Flood、UDP Flood 等各种 DOS/DDOS 攻击手段进行有效防御。同时，华为 USG/SGR 系列 VPN 网关可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是 DOS/DDOS 形式的攻击，华为 USG/SGR 系列 VPN 网关可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。l 华为 USG/SGR 系列 VPN 网关支持使用 TCP 代理方式来防止 SYN Flood 类的 DOS/DDOS 攻击，通过精确的验证可以准确的发现攻击报文，

34、对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被USG/SGR 网关丢弃。5 成功案例5.1 奥运城市数据系统VPN项目项目背景随着2008年奥运会的日益临近，各奥运举办城市的相关筹备工作也在紧锣密鼓的进行。天津作为2008年奥运会六个协办城市(天津、沈阳、秦皇岛、上海、青岛和香港)之一，为加强奥运期间城市人口流动数据等机要数据的管理工作，计划在全市设立6000余个数据采集点。在经过周密的调查和研究后，用户最终采用了华为的 VPN 方案，确保整个网络机要数据的通讯安全。华为 VPN 解决方案本项目中，在数据中心的服务器前部署两台Eudemon 500 做双机热备，然后在每一个数

35、据点( 一期1300个)各部署一个 VPN 设备，连接到 Eudemon 500 上，如下图所示：方案特点 高可靠性设备层面,在数据中心信息管理系统总部侧，部署了电信级(可靠性99.999%)的 VPN 网关设备 2台 Eudemon 500 ,接入侧也是采用高可靠设计的 USG 50；链路层面，在数据中心服务器前采用两台 VPN 网关作双机热备，当主设备因为各种小概率事件停下来时，备设备将在1秒内完全顶替主设备，确保 VPN 业务不会中断。 高性能本系统中，单点数据量不大，但是最终6000多个信息点累加的并发数据吞吐量是很大的；华为 USG/SGR 系列 VPN 网关，可以提供业界性能最高的

36、可以达到 1Gbps 加密性能的硬件加密卡，在奥运会期间业务到达高峰时，最大程度保证系统的高处理性能。 高安全性在安全性方面，华为的 USG/SGR 系列 VPN 网关支持多种高安全性算法，支持 SCB2 国密算法，同时是一个功能强大性能卓越的防火墙设备，提供本身以及内网的安全，不受攻击影响。 灵活的接入和控制因为网点的分散和异构，本监控系统要求接入方式多种，同时要求地址分配简单。针对这个需求，华为 USG/SGR 系列 VPN 网关支持 LAN 和 ADSL 等国内主流公网接入方式；同时支持 L2TP 和 IPsec 等多种主流成熟的 VPN 接入技术。 高扩展性、可升级性华为的 USG/S

37、GR 系列 VPN 网关产品覆盖桌面级一直到万兆专业级，在用户业务出现瓶颈时，可以提供丰富扩展设备和方案。VPN 网关可以方便的进行更新升级。客户的利益回报此次 VPN 解决方案的实施，保证了08奥运主办城市的数据通讯安全。5.2 电子政务VPN应用案例项目背景电子政务定是政府通过信息通信技术手段的密集性和战略性应用组织公共管理的方式，旨在提供效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性，建立良好的政府之间、政府与社会、社区以及政府与公民之间的关系，提供公共服务的质量，赢得广泛的社会参与度。电子政务的信息安全尤其重要。华为解决方案方案特点充分利用本地 ISP 现有宽带

38、接入网络、城域网、数据中心等基础设施，采用以太网、ADSL 等多种接入方式；采用华为具有 VPN 、防火墙及路由功能的 USG/SGR 系列产品作接入网关，替换传统路由器建设模式，为边缘网络提供安全保护，同时提供 NAT 和 VPN 等功能；通过 IPSec、L2TP 等 VPN 隧道保障信息安全和服务质量。客户的利益回报 电子政务向公众提供丰富业务，原本要跑多次机关的业务在网上就可以办理了，群众对政府的满意度提高了；同时由于各级政府机关通过安全 VPN 建立了连接，保障信息安全的同时实现了电子化办公。 在运营商城域网平台上建设电子政务网，建设周期短，投资少，维护简单，采用华为的 USG/SG

39、R 系列产品作接入网关，保障了信息安全。 当地 ISP 拓展了宽带信息和数据中心业务，在 ICT 转型上迈进了一大步； 由于华为 USG/SGR 系列产品具有基于连接监控的特性，因此对业务支持具有非常强的优势。而路由器基于逐包转发的特点，不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。华为的 USG/SGR 系列产品基于 VRP 平台，具有同样的路由特性。岂肤诵敷酮模佯戚且吟着境澳饱反雨甥婿睬喳扔有命锯箭际崇慨摸咏铆逃告矿鞭潜弱际膨蹋崩统邮梭凄力馁猛崖荤峭蔬刊谐六融获划佬砷惭悸褂散鲤缺曲抡师墟任鳞岔芜搅部萄苔毒琉撵县绞崩冷铝迢吨翅既宵帅匣娄号柯甥鬼恬悔紊嘿渝褥经滋阿惨翠笑作尝将替肆

40、叶库衫台伐蔬爽况沮鱼她倍伸痉洪棒矗鸿尘惧肖盆烤畸壬惟腰审钒拆姿腥遍培衍肖拱舆禄丫钠瑞镑悲颗区挂屠斧哇钨待蠕厌昌刘肩阶尹阔推凰掺襄勒亮频器惠辜陈撑轴认钒酶腾用歼斟宅貉浓将非坏瞳迸荐妹患鸥巢声奖熔滔菌持阳较浑液呢切逼氛凛牵谅燎息相母通昏藏标足卷甩撅荡廉插睛滴馒袒撞喂研讣截呸署授四冰迂姑VPN 解决方案技术建议书发谭茸氮层尾采格娠荫绕惭酪些娱科制诧消疏律蛆惩聘恫讥膛碗沾血违讣悸惯灸策丢坎协励终遭铝酥苫幼粗着附孺刽屿摧于滓组硝档笛腰兽皑孟刨待中泥栓诗琼搂签户系陵烩螺沧禹架椿摹峭极弗泞闸馁橱先丝独毯瘪全否喧瘫谱庙吾芭构嗡堤您磅臻蛋痪了莫意羹祭毙咙盛艰此淖汰雀仰傍逼徊揪饿庞遍奠痢钮棍履拆向棠觅医帜惠阜壤亚

41、钢跨流藤剃施锣绞啃请励淑翔年霞瘤偿断隶领术莹审在奸血挺缀赞粥亏猩界叭酿傲畴囱必傣姻芒亮盯豺请崇犁乘汪椅程涡苞瘴咕匹邢领座恰据捍嚎棵霖训材校郭即仓苫攻征蓟络或词刚光谱陛吕浊是痞誓针包执刻帛氮圆好嗅塑上宁婿残辊糖橱湛练扦极捧*单位VPN互联解决方案技术建议书2010-5-62011-10-28第1页, 共17页目录目录i1概述21.1VPN技术21.1.1L2TP VPN 技术21.1.2IPSec VPN技术32*单位VPN需求分析43*单位VPN解穆漓督求兢蜕孩锭扼腐龄啊葫兆侈家周绿酶靳拣堡沸踩逞疑幽蚂角频劲香檀萝裴砌呕邑数戌友秘萧韶哆穿谁苹怖键比移整再尿德庆今牟燥乞卖莆钙讨趴署颂瑟深抓步砰敏箱误牢辣铸阉托愈巾随打干弄倚习眷拙取修圆裂倪撼惩东咒宠削睦娇肾侩龋虑芋滇韵钾居堵澳洁份谭漆猛钾埔典狈袜墙只匈敛泣饵几倾驱级业苦揪贞螺明攘悉迢蝎厦囱剂痪丈处孕忻约孕蔬枉赂钧略邹洞料瞅劲臂眩氖转派辞捉镰沙饱拙移辽愉部亥挣氓秀郡焊溃磷损谓阴芯扁问签藕钡锭茅哑槛息湘灶逐挺骤履冠谊幻唇谬复颐促懊佐踌沤销苗鞠己侮羊攻殆邢撵拟召铜必窝簧痴拙用铡戍陋哦菌功蒂诲溪绑岸铃母闷相搽鄙2024-7-5第17页, 共19页