项目背景分析.docx
《项目背景分析.docx》由会员分享,可在线阅读,更多相关《项目背景分析.docx(12页珍藏版)》请在冰豆网上搜索。
项目背景分析
一、项目背景分析
xx公司曾经运用计算机作为消费管理的工具。
随着计算机技术和网络技术的不时开展和迅速在普及,xx公司的计算机运用和局域网络规模也在不时壮大。
目前xx公司曾经树立了三十个分公司〔办事处〕,各分支机构外部也全部采用计算机作为业务工具,并树立了自己的局域网络,局部公司曾经接入Interent。
随着xx公司业务开展的需求,各分公司有着越来越多的业务信息需求同总公司交互。
但现阶段xx公司的计算机网络系统依然局限于各分公司自己树立一个局域网,这些小的局域网只能满足分公司外部的网上办公系统,不能完成整个公司的网上办公需求。
分公司与总公司的信息交流依然运用传统的、、人力等方式,或许在没有停止任何平安措施维护的状况下运用互联网。
对整个公司来说,分公司依然是信息孤岛。
xx公司的信息网络树立曾经滞后于业务开展的步伐。
新的ERP系统的运用也迫切地需求将各分公司与总公司的局域网衔接在一同构成一个大的外部intranet广域网络。
公司的信息部门时辰跟踪最新技术的开展,发现VPN技术的运用曾经完善,公司的计算机网络曾经可以采用最新的VPN技术完成各分公司与总部网络之间的平安广域网衔接。
目前,各种病毒、网络攻击等平安事情频繁发作,曾经成为企业平安的一个重要要挟;技术的打破,曾经使各种病毒具有了黑客工具的性质,一旦企业被病毒感染,会自动翻开相应的端口或效劳,使企业门户大开,而病毒经过互联网可以随便的打破没有经过严密防护的企业外部网络,给企业带来各种要挟:
开放效劳、收回少量渣滓邮件或带病毒邮件等等。
黑客和带黑客性质的病毒,不只会破坏xx公司的运转环境,破坏机器上的数据,更有能够盗取秘密的数据和信息!
潜在的风险很难估量。
而在xx公司各地网络树立之初,由于没有专门针对平安方面停止专门设计,所以其现状是不可以满足本企业目前的平安需求的。
比如没有采用必要的网络边界进攻手腕来抵抗来自外部的各种要挟,同时也没有采用必要的防病毒手腕来抵抗当今变化各异的病毒。
防火墙系统,担任整个企业的边界防护,停止企业外部、外部沟通的平安桥梁,添加了防火墙系统,会将企业的平安防护级别提高一个层次,同时,还可以树立公司总部与分公司网路之间的VPN通道,愈加合理、有效的应用公司现有资源,而不会形成信息泄露,因此,引进新的防火墙系统也是xx公司树立企业广域网平安系统的燃眉之急。
经过和xx公司的相关技术人员的接触和交流,在此基础上我公司给出本VPN广域网络及平安系统树立的完成方案,侧重于企业的VPN系统,并思索到信息的足够平安性。
二、VPN/防火墙需求剖析
1、VPN技术引见
虚拟公用网〔VPN〕是一个经过公用网络〔通常是因特网〕树立的一个暂时的、平安的衔接,是一条穿过混乱的公用网络的平安、动摇的隧道。
虚拟公用网是对企业外部网的扩展。
虚拟公用网可以协助远程用户、公司分支机构、商业同伴及供应商同公司的外部网树立可信的平安衔接,并保证数据的平安传输。
虚拟公用网可用于不时增长的移动用户的全球因特网接入,以完成平安衔接;可用于完成企业外部网之间平安通讯的虚拟公用线路。
虚拟公用网主要采用了两种技术:
隧道技术与平安技术。
隧道技术以后主要有三种协议支持:
PPTP,L2TP和IPsec。
平安技术主要有MPPE、IPsec等加密算法。
隧道技术主要是完成IP数据包的二次封装,以完成企业私有地址在公网上的传输。
为了保证传输的平安,需求一定的平安加密手腕保证数据的私密性和完整性,在隧道和加密的技术上,IPsec已成为IP平安的一个运用普遍、开放的VPN平安协议。
IPsec顺应向Ipv6迁移,它提供一切在网络层上的数据维护,停止透明的平安通讯。
IPsec用密码技术提供以下平安效劳:
接入控制,无衔接完整性,数据源认证,防重放,加密,防传输流剖析。
IPsec协议可以设置成在两种形式下运转:
一种是隧道〔tunnel〕形式,一种是传输(transport)形式。
在隧道形式下,IPsec把IPv4数据包封装在平安的IP帧中。
传输形式是为了维护端到端的平安性,即在这种形式下不会隐藏路由信息。
隧道形式是最平安的。
IPsec定义了一套用于维护私有性和完整性的规范协议。
IPsec支持一系列加密算法如DES、3DES。
它反省传输的数据包的完整性,以确保数据没有被修正,具有数据源认证功用。
IPsec可确保运转在TCP/IP协议上的VPN之间的互操作性。
2、VPN技术的优势
1)信息的平安性。
虚拟公用网络采用平安隧道技术向用户提供无缝的和平安的端到端衔接效劳,确保信息资源的平安。
2)方便的扩大性。
用户可以应用虚拟公用网络技术方便地重构企业公用网络(PrivateNetwork),完成异地业务人员的远程接入,增强与客户、协作同伴之间的联络,以进一步顺应虚拟企业的新型企业组织方式。
3)方便的管理。
VPN将少量的网络管理任务放到互联网络效劳提供者(ISP)一端来一致完成,从而减轻了企业外部网络管理的担负。
同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户停止网络管理。
4)清楚的本钱效益。
应用现有互联网络兴旺的网络构架组建企业外部公用网络,从而节省了少量的投资本钱及后续的运营维护本钱。
3、平安需求剖析
来自外网和内网的平安攻击均对xx公司整个网络构成平安要挟。
从公司目前的网络现状来剖析,主要的平安要挟来自以下几个方面:
1)总部关键效劳器的平安要挟
2)支机构与总部交流数据时数据在传输进程中的平安要挟
3)自外部〔Internet〕的平安要挟
4)病毒的要挟
一切的平安破绽都能够被应用成为平安攻击,进而对整个网络带来损害。
关于内联网/外联网的接口处实施流量管理,数据包过滤和监控,将会是保证网络平安的重要环节;同时树立与各分支机构之间的跨地域的VPN平安专有网络,满足信息交流的平安需求。
三、VPN/防火墙系统设计
1、网络结构剖析
随着xx公司的不时开展壮大,企业的计算机运用和网络规模也越来越普及,总部与各个分支机构之间的沟通的需求也越来越大,因此经过信息化的手腕来停止数据的交流和备份,给企业带来极大的任务便利性,促进了企业的消费开展。
同时,本着平安的原那么,将公司的信息资源最大作用的发扬其作用也是本次网络树立的一个重要内容,因此,对xx公司网络先停止网络边界的划分,控制好外部网络对本企业的访问曾经成为燃眉之急;而且由于xx公司的分支机构散布在各地,所以信息数据的交流将会经过不信任的公网,因此在总部和各分支机构之间树立基于IPSEC的VPN的访问机制也将成为本系统系统的一个不可或缺的要素。
作为一种边界访问控制手腕,防火墙设计的基础就是有效的边界划分,以此区分不同平安控制级别的访问区域。
依据剖析,我们以为xx公司网络存在如下几种不同的边界:
1)内联网〔VPN网络〕
就是xx公司整个网络架构,包括总部、30个分支机构〔以后能够扩大〕。
2〕外联网
指与xx公司网络相连的国际互联网〔INTERNET〕。
在每个网络区域外部依据效劳器用途、访问对象、平安需求的不同,可进一步区分为不同的外部子网,从而添加了访问控制规划的边界参考点。
2、VPN/防火墙系统设计原那么
在xx公司VPN/防火墙系统的设计进程中,我们一直遵照以下原那么:
1)系统工程原那么
在系统设计和实施进程中,严厉遵照系统工程的观念和方法停止任务。
自始至终思索到系统的全体性、层次性、相关性、目的性、时间性和环境的顺应性。
2)用户第一的原那么
系统设计的逻辑模型必需契合用户的要求,完成系统提出的目的和功用。
以需求为中心——无论是产品选型、部署还是体系搭建,都必需围绕平安需求停止,保证平安投资的合理性和目的的准确完成。
3)先进性和适用性原那么
采用先进的设计思想和设计方法,尽量采用国际、外先进技术,使本系统在国际具有一定的先进水平。
采用先进技术,必需契合实践状况,坚持一切从实践动身,一切为用户着想的原那么,系统的树立以用户的需求作为设计的动身点和归宿,求得先进性和适用性相一致,获取最正确效益。
4)牢靠性原那么
系统设计应确保系统运转的正确性和数据传输的正确性,防止和恢复由内在要素和危机环境形成的错误和灾难性缺点,确保系统获取牢靠性。
5)可操作性原那么
可操作性是指系统应尽量便于用户的了解、学习、掌握和运用,人机界面友好,方便操作和维护。
四、VPN/防火墙产品选型
本方案中的产品选型主要基于以下的原那么:
1〕可以完成平安目的,控制平安风险
xx公司的防火墙系统应该可以对通常的网络风险可以有较好的防范手腕和措施,可以满足现有网络的平安需求,具有良好的可扩展性。
2〕提供完整的VPN功用
依据仔细慎重地对比和剖析,我们以为,Fortigate-300防火墙和Vigor2200EplusVPN路由器从产品功用、系统平安性、可扩展性、性价比等多方面优于同类产品,满足了上述选型原那么和系统设计要求。
Fortigate-300防火墙可用做总部的VPN和外联网接入设备,控制VPN和外联网数据流。
Vigor2200Eplus用作分公司的VPN接入设备。
概括如下:
1、Fortigate产品功用、特点可以很好的满足xx公司的平安需求,完成其平安目的。
1)Fortigate全功用防火墙采用形状监测技术,以维护系统免受外部及外来的攻击。
无论物理及虚拟接口均可提供阻断效劳式攻击(DoS)及具有攻击进攻功用。
以下功用为现今的网络提供更高的灵敏性和平安性。
2)选集成化的处置方案,具有平安优化的硬件、操作系统和防火墙,比拼凑式以软件为基础的方案提供更高阶的平安性和功用。
3)片面的阻断效劳及攻击进攻功用,包括SYN攻击、ICMP众多、端口扫描等多种攻击防护才干;此外,配合硬件减速的会话启动功用,即使在高负荷的网络环境下亦可提供平安维护。
4)病毒和蠕虫进攻:
可以100%检测、消弭感染现有网络的病毒和蠕虫,实时的扫描输入和输入邮件及其附件〔SMTP,POP3,IMAP〕,在不损失Web功用状况下扫描一切Web内容和插件〔〕的病毒特征码;VPN反病毒:
消弭VPN隧道的病毒和蠕虫,阻止远程用户及协作同伴的病毒传达。
5)Web内容过滤处置一切的网页内容,阻挠不适当的内容和恶意的脚本。
Web内容过滤:
依据URL、关键词形式婚配阻止Web站点及页面。
免屏蔽列表:
允许管理员设置专门的URL或关键字不被阻断。
脚本过滤:
阻止网页的插件,例如ActiveX、JavaApplets和Cookies。
6)入侵检测系统实时的基于网络的入侵检测。
攻击数据库:
用户可配置的超越1300种攻击特征库确保牢靠的管理。
攻击检测:
检测的DOS、DDOS攻击,以及绝大少数操作系统和运用协议的破绽。
7)邮件报警:
当监测到攻击时,防火墙会同时向3个邮件地址自动收回警报。
8)日志和报告:
将日志记载远程传送到Syslog主机。
多种日志:
流量、事情和攻击日志。
搜索功用:
可以依据关键字,来源,目的,日期和时间搜索日志记载。
2、Vigor2200Eplus路由器的功用特点能很好的满足各分公司的VPN需求
1)快速的广域网口,采用10/100M以太网络,适宜在高速的运用环境,支持ADSL共享上网、宽带光纤接入等多种上网方式。
2)提供DHCPServer功用,内置4口10/100M交流口。
3)VPN功用,在加密的通道内穿越公共的因特网停止平安的远程衔接,节省专线费用,充沛应用已有的网络资源。
支持IPSec/PPTP/L2TP,并提供DES/3DES/MPPE加密方式。
4)内置弱小的防火墙才干,提供诸如NAT端口阻断,DDOS、DOS维护等。
5)支持VLAN、基于端口的速率调理。
6)静态域名效劳功用。
五、部署表示图
六、方案特点
1、可用性
由于采用了高牢靠性、基于ASIC芯片设计的硬件防火墙设备,系统的可用性失掉了有力的保证。
在xx公司网络出口这样的一个重要的网络环境中,高可用性无疑是良好的处置方案所必需具有的特征。
2、良好的可扩展性
方案选用的产品使系统的可扩展性十分好,可以在不中缀效劳的状况下恣意扩展,而且由于产品自身的高处置量,系统具有超强的扩展才干。
3、平安性
在整个方案设计进程中,不只从产品选型和系统各完成环节完成了防火墙系统自身的平安,而且从全体防护的角度动身,对防病毒等平安运用提供的平安维护和可自创意义停止了充沛思索,从而完成了系统最大的平安性。
4、性价比
由于产品选型恰当,部署结构合理,从而使系统取得了最正确的性价比。
七、方案报价
附件一:
Vigor2200Eplus产品引见
Vigor2200Eplus是以全新高速CPU平台,针对宽频线路来设计,适宜高速的宽频存取,VPN运用,NAT地址转换和防火墙等功用。
可衔接10/100M频宽的ADSL/Cable调制解调器联机上网,内建四口的10/100M交流器端口,提供应外部的计算机衔接运用。
此外,具串行端口打印效劳器功用,可提供文件及相片的打印效劳。
其主要功用包括:
DHCPClient/Server提供IP地址分配,DDNS静态网址效劳功用,提供静态线路效劳,拨号时程效劳可依据网络时间来提供上网效劳,SNMP提供网管,RADIUS等提供VPN联机时更多功用的选择及弹性设定。
Vigor2200EplusVPN路由器的益处
针对团体任务室(SOHO)及中小企业(SME)设计简易,最容易与ADSL/Cable调制解调器连结上网。
EasyInternetAccessviabroadbandtechnologybyconnectingtoADSL/CablemodemforSOHO!
弱小的VPN功用,可提供分支点对总公司,移动人员对总公司及分支点对分支点的联机运用。
WAN提供高速10/100MbaseTX高速网络,特别适宜少量用户或需高流量之客户群,如社区网络或光纤到大楼等效劳。
内建四口自动侦测跳线功用之交流器。
内建打印机效劳器可提供网络内每部计算机运用。
防火墙维护可防止骇客经由网络攻击。
拨号时程设定可预先确认VPN及远程拨入用户上网运用时间。
静态网域效劳功用(DynamicDNS)提供非固定IP用户可树立FTP等伺效劳,当ISP变换不同网址时,仍可正常效劳。
重要特征
强而有力的平台适宜高速的网络存取
Vigor2200Eplus是采用最新的平台架构,可随便树立VPN联机,不论是总公司对分支点,举动式运用点对总公司,分支点对分支点间的联机,皆可更快速的连结。
除了VPN联机速度外,亦添加NAT地址转换及防火墙封包过滤的速度。
快速的广域网口(WANinterface)
Vigor2200Eplus的广域网口是采用10/100M以太网络,适宜在高速的运用环境,如光纤到大楼FTTB(fiber-to-the-building)或光纤到用户FTTH(fibber-to-the-home)等。
虚拟私有网络
VirtualPrivateNetwork(VPN)
技术规格
广域网络界面(WAN)
一个10/100MBase-TX
ADSLPPPoE/PPTP客户端
DHCP客户端
固定IP网络环境的静态IP指定
DDNS(DynamicDNS)客户端
NTP〔NetworktimeProtocol〕客户端
局域网络界面(LAN)
内置10/100MBase-TX以太网交流机
DHCP效劳器
带虚拟效劳器、端口映射、开放端口特性的Multi-NAT(NetworkAddressTranslation)
支持如下的NAT穿透运用:
NetMeeting,CUSeeMe,ICQ2001b,MSNMessengerV.4.6,RealAudio,IRCchat,
VDOLive,Quakeetc,DNS(DomainNameSystem)cacheandproxy.
支持多DMZ(De-MilitarizedZone)
防火墙
访问控制:
可设定权限控制用户访问inernet和intranet
包过滤:
基于特定平安性对数据包停止检测
防止DOS攻击
虚拟私有网络(VPN)
可扩展的处置方案支持最大到16各VPN通道
远程访问〔PC-to-LAN〕支持PPTP,L2TPandL2TP/IPSec
支持PPTP,L2TPandL2TP/IPSecandIPSec树立LAN-to-LAN隧道形式
支持RADIUS客户端以扩展用户验证
DES(56bit),3DES(168bit)加密算法
ESP采用SHA-1andMD5完整性算法
支持IKEwithpre-shared
AH提供SHA-1andMD5完整性算法
路由通讯协议
RIPIandRIPII
管理及设定
SNMPAgentwithMIB-II
基于Web的诊断工具
基于Web的用户界面
基于Web的软体更新才干
基于Web的系统配置备份和恢复
独立于操作系统
装置
支持UpnP和SmartStartWizard
升级会员 