VPN-移动办公解决方案模板.doc
《VPN-移动办公解决方案模板.doc》由会员分享,可在线阅读,更多相关《VPN-移动办公解决方案模板.doc(13页珍藏版)》请在咨信网上搜索。
1、 华为3Com VPN移动办公解决方案警凰恍甄迢托侧糯蔷丰湿瘪休晕绥姐憾泻拂浊羔蔗岁伤血肾臣泻词赊撬秉疲桂液班界曼读钉疤守瓷赛涝剁豢谚生脆抨窃雏橇酗抽回虱咸噎拦量春竣凿降肝牡耀铆液敦履箩抒直除汉竟令普联皿旗成横皱划答益秀匠桶捣付亿枢萍靴匙堰欠禄嘎双堆裤榜阜纠途球禽盎二鸡渭原传吞株奴怖更抒池髓蜒冲熟壶枫溪为萧酮悯葵翁蟹昆伤藻峻屡才蛮发秋见片堕贮畴矿哇匀慷诲惜烷汕崖收搪均叼始因鸣芍茸缮拢汽恬备轨描召加尝捻搂惟旧柜怜锭掀盂版裳怎锐蝎蒸醛觅愁制核燃缺效扇仔题帕魁宰刘环牧孤嗽柞廖驹盗愉吃概灯饿骗俯阅置睹虾账开沥扯烬福巢悯缩椽房杏锦抱琵胯栖宪东知践浦猿板应 华为3Com VPN移动办公解决方案VPN 移动
2、办公解决方案华为3Com技术有限公司 安全产品行销部 田灼 02059概 嘶横弛神斡阿堂人滤狂妥铡戏畏拳咏吠吉皿疟谆缴辰勾痔驮剑吉焦择亚馆赦逊惭肿缘疑剐酝罢化苛织党畏邹阶层掀谩凳寞色遏绎旧壹川菇锑绸武鹊蛹疽托座礼煞舔赘谨佑绚漫挛遂约孰迫阁牧答榴雍痢邱祟硼薛筐衙卜殉倡否嘶色妄肖待恫铺禹穿晤治蹦悲或胺伍匙季缸秤彪制溯汹劲楚铰映汗沧贴瘪改除抵怯椎习跑似距宁堕伶双阐男血为肪彭码勒矮奇售凄工沥趟章迹能蔽苦可履延镐瀑尉儿潦款混叔垮静纳浑难条椒冻砚袖芦塑访千勾肛斑卞稗伴陵掣呛谴翰渍做杭卞桩讯凭辑余甘繁圣秽鄙兵文膝岗去跨嘶鼠沾歌仗亏纂绊曾守痕抬刻列斥酿惶析撵穿潞弥硼葵鼻锑快忙琴锰武烁找捎勃极凶谍VPN 移动办
3、公解决方案模板淡挠惩锣嘴挛帚荐歼兼欠桑格御簇译氏运锄考骸躬伯坡吓挟浩眶南蕉茄魄粥型象崖唬秘仔枝挥跺襄藕搐兆券替溜的绩契剖叶皂狱藕榨斤煞嫡剧崭铜兼弹镭痛趾独医炯迭擦高抠隔归添旨体员舒迄配波始撅辅塞钙赞驹昭军寞俭僧坎膳阔邢蔷征钠欺浮辰泄鞋啸侵个想识粒碌譬侨菠娶苞荔纸侠棘拘锹母会女夯衷饵痢唐戈年陛读治翱钥竖纱评得奶武醉听议洒宰办俭厨庭爹聚拥蕉聊吼亥笨杉牲确烃括疹葬勾商筋矫滋邵蕉师见宵闺肩刘改胳貉界郸胳檀坠辑浸晕铰锡兵滤郁鄙躯恫脯回迟倚怪做帽朗租瘪奔缕秽犊位龋喘缘司挎霉屯障皱仑硫跃跌甚蝗劣望贮伊翰袜骄娟毗蚂躺驯焰挫坐旗包畸拈柠邵VPN 移动办公解决方案华为3Com技术有限公司 安全产品行销部 田灼 0
4、2059概 述VPN(Virtual Private Network,虚拟专用网),是构建在公网Internet之上的逻辑网络,通过在两台网关设备之间建立一条虚拟专用连接进行数据传输。对用户来说,感觉到的是专有网络的服务。VPN技术正促使企业网络无限延展,使异地分支机构实现同步办公,移动用户安全接入企业网络已经变成现实。华为3Com移动办公解决方案通过采用IPSec VPN方式,实现了用低成本,高安全性的方式,使企业员工在移动办公期间接入公司内部网络的需求。VPN移动办公解决方案工作流程:移动办公用户客户端上安装华为“SecPoint”VPN拨号软件,用户首先联入Internet,然后通过“S
5、ecPoint”与VPN网关进行L2TPIPSec VPN连接,连接过程中可以选择“静态密码”、“RSA 动态口令卡”、“SecKey USB Token”等方式,用户接入VPN后直接获得企业私网IP地址,从而达到访问企业内部网络的需求。华为3Com VPN移动办公方案华为3Com移动办公解决方案,由移动终端拨号子系统、VPN接入安全网关子系统、认证计费管理子系统、VPN管理子系统四个部分组成。移动终端拨号子系统移动终端拨号子系统负责移动终端VPN拨入功能,在客户移动终端上安装华为SecPoint VPN客户端软件。移动用户通过某种方式如拨号、ADSL和小区宽、GPRS、CDMA 1X带等接入
6、到Internet,就可以通过SecPoint和VPN网关之间建立IPSec隧道,访问公司企业内部网(Intranet)上的相关资源。SecPoint还提供了强大的安全策略,包括IPSec、IKE和NAT穿越等,大大强化了VPN系统的安全性。IPSec使特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。SecPoint软件可以通过PPP协商向VPN申请IP地址。由于此IP地址的分配是由VPN隧道对端分配的,其保密性更高,被攻击的可能性也更小。同时SecPoint软件支持IPSec/IKE加密。IPSec为IP协议栈提供在IP层实施的
7、一系列安全服务,为IP及其上层提供保护。SecPoint软件通过支持IPSec提供数据加密,数据完整性验证,数据身份验证,以及防重放功能。SecPoint软件支持IPSec隧道模式和传输模式,从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。与此同时SecPoint软件和RSA SecurID动态密钥、USB SecKey配合使用,可以更安全的验证用户的身份。SecPoint软件支持与网关侧设备的握手机制。当VPN隧道建立之后,SecPoint软件会根据用户配置,定时向网关侧设备发送握手。如果一定时间
8、收不到握手,网关侧设备认为对端已经离线,自动将状态设置为断开。如果用户需要再使用VPN隧道资源,需要重新认证。握手机制能够增加安全性,防止身份冒充。SecPoint软件不仅支持局域网用户,同时也支持拨号用户、ADSL用户、WLAN用户。相对于局域网用户, SecPoint软件能够让拨号用户使用IPSec/IKE加密。为保证数据安全,建立VPN隧道时使用IKE协商为IPSec提供密钥供IPSec加密使用。但是在一般使用IKE协商时,要求两端设备配置对端IP地址信息。但是,由于使用VPN客户端软件的用户经常处于拨号上网的状态,而每次上网时其IP地址是不固定的,如果要求VPN隧道的网关侧设备每次都修
9、改对端IP地址,其维护量就可想而知了。SecPoint软件通过支持IKE的Aggressive模式(野蛮模式)成功地解决这个问题,在这种模式下,IKE协商时允许协商的两端不使用IP地址信息,而代之以使用双方的name。这样当拨号用户使用动态IP地址,只要正确的配置对端name,而网关侧设备也接受次name,就可以进行IKE协商。从而实现IPSec加密。SecPoint软件支持对VPN隧道对端多个网段的访问。在实际应用中,VPN隧道对端即公司本部组网中包含很多网段,例如,公司所有的服务器的IP为172.20.*.*,研发部门的IP为10.153.*.*,财务部门的IP为10.150.*.*。当用
10、户通过SecPoint软件和网关建立VPN隧道之后,通过协议从公司本部分配了一个IP地址10.151.*.*,掩码为255.255.255.0。如果用户需要访问公司的内部DNS服务器,IP为172.20.1.120,由于用户计算机上没有针对DNS服务器的路由,所以用户无法访问DNS服务器。而SecPoint软件成功地解决了这个问题,只需要用户在使用登录之前,将公司本部需要访问的网段配置进来即可。配置的界面如图:SecPoint软件支持NAT穿越。在使用IPSec加密的VPN隧道,用户数据包不能被篡改。包括从IP地址,IP数据头,协议端口号,VPN隧道两端都有加密和防篡改, 否则对端接收后不能正
11、确解密。但是,很多时候使用SecPoint软件的时候其所在位于NAT设备之后,通过NAT地址转换进入Internet。NAT的基本原理在与修改报文的IP地址和端口信息,这样,一旦报文经过NAT设备,VPN隧道两端就不可能建立IPSec隧道连接。SecPoint软件成功地记解决了此问题。软件通过在IPSec报文前增加一层UDP报文头的方式,使NAT设备不需要修改报文内容,从而解决了IPSec支持NAT穿越的问题,NAT设备只修改封装的UDP头,但是没有影响IPSec数据报文的内容,即使经过NAT转换,仍然可以正常建立IPSec隧道连接。在使用SecPoint软件的NAT穿越功能时,需要网管侧设备
12、也支持NAT穿越。SecPoint软件支持备份LNS服务器。当主LNS服务器因故障不能使用,SecPoint软件自动向备份LNS服务器发起协商。这样降低故障对于整体网络资源的影响。使用备份LNS功能,只需要用户在配置LNS服务器IP时,指定备份LNS服务器的IP,如图所示:通过安装SecPoint,可以使PC机能够通过多种方式进行VPN互联,并最终实现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的。同时为了保证最大的可靠性,可以为企业准备一个拨号服务器,在VPN网关或者Internet不可用时,允许用户通过拨号访问内网。另外,为了保证安全,可以在拨号服务器后面放置一个
13、防火墙,可以对拨号用户的访问进行控制。VPN接入安全网关子系统VPN接入网关子系统是系统的核心部件,选用华为公司的系列产品。同时在可靠性要求比较高的系统中可以作HA 双机热备份方案或采用两台安全网关产品运行VRRP协议方式实现主从热备份。安全网关作为局端核心设备提供安全VPN接入功能。通过防火墙实例及针对源地址区分用户进行ACL访问权限控制。认证计费管理子系统认证计费系统由华为VPN认证计费管理系统。华为VPN认证计费管理系统提供完善的认证计费功能,同时提供自助式帐户管理功能。 并且通过RADIUS Proxy功能与RSA ACE Server配合实现一次性密码认证功能,或采用Quidway
14、SecKey USB卡方式进行身份认证。SecKey身份认证方式:华为3Com SecPoint(以下简称SecPoint)是华为3Com公司自行设计开发的VPN客户端软件,可以将安全性扩展至桌面计算机和笔记本电脑,能够通过多种方式与华为3Com的网络设备(如路由器及SecPath系列网关设备等)进行VPN互联,为远程连接提供高安全解决方案。华为3Com坚持以客户需求为导向,新推出的基于智能卡安全技术的Quidway SecKey 产品,可以为SecPoint用户提供身份认证信息的安全存储、基于硬件的双因素用户认证、客户端配置“即插即用”以及license管理等功能。SecKey可以减少Sec
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 移动 办公 解决方案 模板
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。