分支机构VPN建设方案详细.docx
《分支机构VPN建设方案详细.docx》由会员分享,可在线阅读,更多相关《分支机构VPN建设方案详细.docx(23页珍藏版)》请在冰豆网上搜索。
分支机构VPN建设方案详细
雪花啤酒各分支机构VPN接入解决方案
雪花啤酒
1项目概述
雪花啤酒,如何提高办公网各个业务系统的数据传输的安全性已经成为雪花啤酒当前急需解决的问题。
2VPN技术简介
虚拟专用网(VPN)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,包括和该技术相关的多种安全管理机制。
VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。
VPN技术需要解决的主要问题概括起来就是:
实现低成本的互通和安全。
总部及各个分支机构通过公网实现跨地域的系统互联必然面临安全问题。
使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
需要强调指出的是:
网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。
企业需要的是集组织、管理和技术为一体的完整的安全解决方案。
2.1IPSecVPN技术
IPSecVPN是基于IPSec协议建立的虚拟专用网络。
IPsec中有两个独立的用于安全传输数据的协议:
“AuthenticationHeader”(AH)和“EncapsulatingSecurityPayload”(ESP)。
AH为数据流提供数据完整性认证的服务。
ESP为所传输数据提供加密和数据完整性认证的服务。
IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。
在密钥的获取方面,IPSec提供了IKE协议,使通讯的双方能够通过安全的自动协商获得相同的密钥。
TransportMode将原IP包中的数据部分进行封装,从而提供了端对端的安全连接。
TunnelMode封装整个IP包,从而建立网关到网关间的安全的虚拟的一跳(hop)。
利用TunnelMode建立跨越Internet区域的连接两个网关的隧道,从而组成传统方式的VPN。
传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSecVPN,这种形式的VPN被广泛地使用在企业中,用于安全连接位于异地的企业计算机资源。
2.2设计原则
我们在对IPSECVPN系统建设时遵循以下原则:
开放性
IPSECVPN系统应当符合开放性规范,方便今后对网络进行扩展和功能扩充,接入不同厂商多种硬件设备、软件系统和网络产品。
扩展性
IPSECVPN系统设计应当考虑未来的拓扑结构、功能模块、处理能力和网上负载的扩展,应当易于增加新设备、新的应用系统(如新ERP系统),随企业各部门信息化的逐步实现能不断延伸和扩充,充分保护现有投资利益。
可靠性
IPSECVPN系统应当具备高容错和容灾能力,具有抵御外界环境和人为操作失误的能力,并且能够在最短时间内进行故障排除和恢复,IPSECVPN系统具有充分的容错设计,使系统的单点故障不影响网络正常运行。
标准化
IPSECVPN系统使用的通信协议、管理协议和硬件接口必须符合国际标准,并应是现在和将来网络技术发展的主流。
安全性
IPSECVPN系统对于受控资源必须建立一套安全机制防止非授权用户和假冒用户的访问。
在VPN设备和客户端之间使用双向认证,确保用户的合法性,充分保证信息系统的安全,同时不增加用户使用的复杂性。
实用性
IPSECVPN系统选用的硬件设备和软件系统应当具有良好的性能价格比,设备的日常管理和维护简单方便,经济实用。
易升级
IPSECVPN系统选用的网络设备和软件系统应当能够按照实际需要方便的升级。
可管理
IPSECVPN系统为达到便于管理的目的,所有网络设备使用基于标准的管理协议,能够进行远程监视、控制和管理,支持客户机/服务器和WEB体系结构,符合计算机技术发展的方向。
3VPN解决方案
3.1需求分析
针对当前办公网OA、ERP等业务系统的应用现状及面临的问题。
根据安全风险分析可以看出雪花啤酒及各个接入单位中存在大量的业务数据需要在广域网上传输,这些敏感的内部数据信息在互联网上十分容易被非法窃取、篡改或删除数据在传输中的机密性、完整性和可用性必须得到保障。
但是标准的TCP/IP协议对网络中数据没有进行加密处理,如常见的TELNET、FTP、HTTP、POP3等服务应用均以明文传输,这样网络窃听可以非常容易得手。
针对明文网络传输的弱点,我们建议组建基于IPSec的加密隧道来进行数据或报文的传递,即搭建一套VPN系统,在发送数据和接收数据的两端建立加密和解密的措施,当数据在网络中被传递时,数据经过VPN设备进行加密处理,然后以密文的形式在互联网上传递,这样即使数据被窃取,也因为数据是密文而无法得知数据的内容。
此外,VPN设备还提供了数据完整性校验功能,如果数据在传递过程中被篡改,导致部分数据失真,接收端可以检测出此变化,并且通知发送端重新进行发送。
业务安全性保障
重点加强对数据传输过程中的安全建设,保证数据在传输过程中的保密性、完整性、可靠性。
重点加强对分支机构用户的权限管理。
对访问系统的识别、认证、授权、审计。
保证只有授权的用户可以访问授权的资源,并且对整个访问过程进行实时监控,同时,可以对历史访问行为进行审计分析。
通过信息安全建设,消除和减小现有的安全风险,将安全风险减小到可接受的程度,并且保持这种程度。
强化业务流程,通过对业务流程的强化,减少人工管理成本。
业务敏捷性保障
由于雪花啤酒下属分支机构众多,信息安全建设,要求做到灵活和快速的部署,在尽量不影响现有网络结构和设备配置的情况下,迅速的部署信息安全设备。
减小设备的部署成本和部署周期。
法规符合性
对于信息安全建设,要遵守国家相关法律法规、行业相关标准。
本次信息安全建设,还需要考虑投资回报率的问题,保证用最少的投资,取得最好的建设效果。
3.2产品选型
根据以上需求分析,从便于维护和隧道建立的稳定性等方面考虑,我们建议选择网御PowerV6000-F1160来实现远程安全数据的传输。
PowerV6000-F1160主要参数如下表所示:
项目
参数
网络接口
6个10/100MBase-TX;2个USB接口,1个Concole接口
吞吐量
600M
并发会话数
120万
每秒新建连接数
1万
IPSecVPN隧道数
4000条
加密吞吐量
80M
3.3产品部署
根据对需求分析,需要的是加强省台与分支机构之间以及远程移动用户访问单位内部资源时的数据传输安全。
针对当前的网络特点即数据流量,总部采用网御PowerV-3626安全网关网关,分支机构采用网御PowerV6000-F1160网关,在广域网上搭建雪花啤酒自己的私有隧道,给各个分支业务数据提供安全保障。
以下提出具体解决方案。
产品部署网络拓扑图如下:
产品部署说明:
在VPN组网方式上,通常可选择网状组网方式和星形组网方式。
本次项目建设采用网状组网方式,网状组网是传统的VPN组网方式,是在所有需要进行加密数据传输的各个子网前部署VPN网关,即每个接入机构前部署VPN网关,每个VPN网关需要同所有需要进行数据交换的远程子网前的VPN设备建立静态IPSEC隧道,通过两端子网前的VPN网关共同组成VPN网络,保障接入机构可以安全的访问办公网业务系统。
产品部署说明
部署产品
部署位置
部署作用
VPN网关
部署在各个分支单位出口
1、具备防火墙功能,可部署在互联网边界,实现对分支机构所有流经防火墙的数据进行过滤和严格的访问控制,屏蔽非法和不合规的数据包;
2、与雪花啤酒部署网御PowerV-3626建立IPSecVPN隧道,在广域网上搭建VPN设备与各个分机构建立私有IPSECVPN隧道,保障数据在互联网上加密安全传输
4VPN产品功能及特点
部署在雪花啤酒的VPN产品是网御星云在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,面向企业用户推出的拥有完全知识产权的系列VPN产品。
网御VPN要达到的目标是:
采用网御VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。
4.1支持IPsec协议标准
IPsec作为一个全球性的安全标准,要求所有IPsec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。
网御VPN产品经过严格的互通性测试,和CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通(采用标准算法)。
4.2支持最新的NAT穿越协议
NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NAT与IPsec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPsec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。
网御VPN的全系列产品均支持最新的NATT协议标准,具有非常好的网络适应性。
4.3支持双动态IP地址间隧道
目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址。
如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。
VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。
网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。
从而确保所有的网关都能够获得最新的策略参数变化情况。
4.4支持动态域名解析
网御VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址+动态IP地址以及全动态IP地址的方式接入因特网。
对于企业内部全动态IP地址接入的情况,部署在企业总部的VPN网关(内置安全策略服务器)可以启动内置的动态域名解析功能(DDNS),从而使各个分支网关能够通过中心网关的域名来下载安全策略。
对于国内大量没有条件申请专线和静态IP地址的企业用户,网御VPN产品无疑是一个最佳的选择。
4.5完善的VPN网络集中管理功能
企业内部网络上一般都会运行OA和业务数据传输系统,系统中的数据直接关系到企业的商业秘密和经济利益,具有较高的安全性要求,因此对接入企业VPN网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司或者营业网点的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接
升级会员 