XXXXXX由于業務發展需要,擬建立跨省范圍內的VPN業務專網。VPN網絡建立在互聯網之上,使XXXXXX總部和各個分支機構的用戶根據不同業務需要可靈活接入到VPN內部專網,所有用戶依靠該網絡還可按策略訪問互聯網。該方案的目的為實現每個分公司的局域網到總部局域網的互通和每個分公司的局域網互通
內部專網采用安全成熟的 IPsec VPN技術來建立VPN網絡,VPN采用公司內聯網的方案
根據XXXXXX的多層接入,并按需分配權限的特點,我們建議網絡方案如下:
l 系統組成
根據需求,具有IPsec VPN和防火墻功能的千兆安全網關架設在XXXXXX總部,連接到互聯網,提供VPN 主站點服務,允許各分支撥入。
分支機構選用千兆安全網關接入互聯網,與總部建立IPsec VPN通道,根據權限訪問專網資源。
l 集團中心VPN方案
做為XXXXXX總部,選用百兆安全網關做為出口,出口通過運營商接入互聯網,支持來自互聯網的VPN撥入。安全網關提供VPN和防火墻功能,可靈活控制內網用戶訪問互聯網及VPN訪問。建立動態域名(DDNS)服務器,直接連接到安全網關設備上。
l 各遠程接入用戶連接VPN方案
分支機構采用ADSL撥入接入互聯網,安全網關使用動態IP地址,所有用戶通過千兆安全網關接入互聯網,利用安全網關防火墻功能控制互聯網訪問權限,并通過安全網關與集團總部或其他地區建立VPN,訪問專用資源。
IPsec VPN 是建立一條雙方信任的數據加密通道,通信的雙方必須知道對端的IP信息,分支機構使用安全網關可以在總部IP固定的情況下,單項建立VPN連接請求,總部安全網關接收到該請求后得到分支VPN撥入設備的IP信息,從而建立雙向的完整VPN通道。
VPN設備之間或者VPN設備與客戶端設備之間在建立隧道的時候支持明密結合的隧道方式,也就是說:設在不同地理位置的分公司與總公司職員通過VPN設備可以象在同一局域網內部進行相互訪問,資源共享,方便用戶使用,經過VPN設備對穿越Internet的數據進行加密,保證數據的機密性。同時總部和分部都可以通過VPN設備做NAT訪問Internet,保證了日常辦公的正常進行,從而建立起明密結合VPN隧道,安全、便捷的進行網絡應用和辦公自動化的順利、安全進行。
VPN是和防火墻集成在一起,因此在VPN建立隧道以后可以通過防火墻對建立VPN隧道雙方進行訪問控制,可以根據VPN訪問的源和目的地址、源和目的的端口、IP協議號、VLAN信息等進行控制,保證了VPN互連以后企業網絡的安全性。
l 安全網關設備管理
所有安全網關設備采用集中管理的方式,總部安裝集中管理軟件后通過與安全網關設備唯一匹配的密鑰驗證來與設備通信,實現遠程集中管理。管理中心可以授權新增、更改、刪除安全網關的包括路由、策略等所有配置。
VPN是計算機網絡的新技術,它將使Internet成為一種商業工具,并為Internet和Extranet的應用帶來良好的前景。VPN技術的主要目標是節省企業的通信費用,特別是替代企業已有的專線,并且提高企業網絡的可管理性,降低企業的通信成本。具體而言,VPN具有以下顯著的優點:
1、降低成本
當使用Internet時,實際上只需要付短途電話費,卻收到了長途通信的效果。因此,借助ISP來建立VPN,就可以節省大量的通信費,此外,VPN還可以使企業不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備。
2、容易擴展
支持多種隧道實現方式,并且網絡是動態的,可以隨時增減用戶,便于集中控制訪問權限。如果企業想擴大VPN的容量和覆蓋范圍,企業做的事情很少,而且能立時實現;企業只需與新的ISP簽約,建立帳戶;或者與原有的ISP重簽合約,擴大服務范圍。在遠程辦公室增加VPN能力也很簡單:幾條命令就可以使Extranet路由器具有Internet和VPN能力,路由器還能對工作站自動進行配置。
3、可隨意與合作伙伴聯網
在過去企業如想與合作伙伴聯網,雙方的信息技術部門就必須協商如何在雙方之間建自助用線路或幀中繼線路,有了VPN以后,這種協商毫無必要,真正達到了要連就連、要斷就斷。
4、完全控制主動權
VPN使企業可以使用NSP的設施和服務,同時又完全掌握著自己網絡的控制權。比方說,企業可以把撥號訪問交給NSP去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。
5、便于兼容
傳統的遠程撥號網絡服務只支持注冊的IP地址,限定了用戶企業網絡的訪問。而VPN的實現支持多種網絡層協議和沒有注冊的專用IP地址,很好的解決了Internet公網與專網的兼容性問題。
安全網關自身包含了防火墻模塊,對包括DDoS等各類網絡攻擊有非常強有力的防范抵御功能。集中管理器與安全網關通信也是cast128位加密通信,保障管理的安全性。
l 安全網關穩定可靠
千兆安全網關選用NP架構平臺,精簡硬件架構,平均無故障時間超過40000小時,千兆安全網關具有4個對稱設計的接口并集成了一個6個端口的交換機可滿足日后網絡擴展的需要。
l 功能實現
遠程接入點采用專線或ADSL撥號接入,有固定IP地址或浮動IP地址。
遠程接入點可以與在平臺內的,具有接入功能的所有VPN網關建立連接,而且平臺實現單點接入,全網訪問。
異地機構采用浮動IP地址,可以直接進行數據交換,并能及時更新VPN路由表。
中心采用固定IP地址,所有異地機構采用浮動IP地址,異地機構之間的數據交換通過在總部注冊動態地址,異地安全網關設備間通過動態域名方式建立VPN連接數據交換可以不通過中心。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。