VPN技术方案Word格式文档下载.docx

VPN技术方案Word格式文档下载.docx

《VPN技术方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《VPN技术方案Word格式文档下载.docx（7页珍藏版）》请在冰豆网上搜索。

在保证通信的安全性的基础上，SSLVPN实现了更加细致的访问控制能力，大大增强了对内网的安全保护。

同时，SSLVPN通信基于标准TCP/UDP，因而不受NAT限制，能够穿越防火墙，使用户在任何地方都能够通过SSLVPN网关代理访问内网资源，使得远程安全接入更加灵活简单。

另外，使用SSLVPN不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网资源的访问。

省去了客户端的繁琐的维护和支持工作，不仅极大地解放了IT管理员的时间和精力，更提高了远程接入人员（如出差员工）的工作效率，节省了企业的培训和IT服务费用；

同时，也意味着远程用户在进行远程访问时不会再受到地域的限制，不论是在公共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有网络，远程访问就没问题。

SSLVPN以其独特的技术优势，给出了理想的point-to-site安全接入解决方案，受到越来越多IT管理者和企业的关注。

但SSLVPN并不能取代IPSecVPN，两种技术具备各自的特点，应用于不同的场景。

在局域网互连的site-to-site场景中，IPSecVPN仍然占有绝对的优势。

为了既能实现企业多个局域网间的互连，又能更好地推动移动办公应用，融合两种VPN技术，推出了SSL/IPSec一体化VPN平台：

USG安全接入网关。

SVN弥补了单一VPN设备存在的不足，最大限度地发挥了VPN给企业带来的方便性和易用性，为客户提供了完整的远程安全接入解决方案。

6.4、融汇集团分析

6.4.1、融汇集团现状

1．融汇集团出口用户划分：

分支机构、合作伙伴、客户、出差员工、远程办公

2．融汇集团主要出口网络业务：

对不同访问者开放的不同应用软件、数据资源

3．融汇集团内部服务器保护：

企业内部FTP、WEB、MAIL、数据库服务器权限管理，需要进行具体应用的访问控制

4．融汇集团对用户权限的区分：

需要对用户进行严格的认证、授权

5．融汇集团内部安全区域的划分问题：

不同部门内部资源权限管理，需要对用户进行分组管理

6．融汇集团用户同时访问需求量：

需要支持多个用户同时远程接入，互不干扰

7．融汇集团内部部门划分数量：

每个部门希望有一个独立网关，有虚拟网关

6.4.2、融汇集团远程安全接入设计原则

根据融汇集团对远程安全接入的需求以及公司对安全接入的积累，我们提出融汇集团远程安全接入设计必须满足以下原则：

1．安全性原则：

充分保证系统的安全性。

使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

2．可靠性原则：

保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。

3．先进性原则：

具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。

4．可推广性原则：

方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。

5．可扩展性原则：

IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。

6．兼容性原则：

要求系统的标准化程度高，可以做到不同应用系统间的完全兼容；

同时，也可以根据特殊的要求给出不兼容的设计。

7．可管理性原则：

所有安全系统都应具备在线式的安全监控和管理模式。

6.5、远程安全接入解决方案

6.5.1、SecospaceUSG安全接入网关简介

USG安全接入网关是公司面向运营商、企业、政府行业推出的优秀的SSL/IPSec一体化VPN网关设备。

部署USG安全接入网关，无需改变网络结构，可以直接单臂挂接到出入口防火墙或者路由器、交换机上，简单快捷。

移动办公时，用户终端无需安装任何客户端软件，只需标准的Web浏览器即可对企业内网资源进行安全访问。

在两个固定网络间进行通信时，能够通过SVN在两个网络间建立IPSec安全隧道，实现总部与分部网络之间的安全稳定互连。

USG安全接入网关基于专业的高可靠硬件平台和专用的实时操作系统，具备业界领先的系统安全性和可靠性，为企业员工、分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。

6.5.2、融汇集团远程安全接入解决方案

图1企业远程安全接入解决方案

USG安全接入网关组网方式灵活，部署简单，一般位于网络出入口防火墙之后，既可以单臂挂接在出入口防火墙或者交换机上，也可以双臂挂接在防火墙和交换机之间，不改变原有的网络拓朴结构，实施不影响业务正常运行。

USG安全网关支持IPSECVPN功能，可以建立SitetoSite的IPSECVPN安全链接，同时支持移动用户通过SSL方式访问，如下图：

根据客户的需求以及企业网络的现状，企业，对认证授权有要求，使用SSLVPN网络扩展功能的专用客户端软件。

USG安全接入网关能够对接入用户进行严格的身份认证，只有合法的用户才允许接入企业内网，并且不同用户所能访问的资源不同。

SVN对用户进行细粒度的访问权限控制，使特定的用户只能访问授权的特定资源，禁止访问未授权的内网资源。

可以实现对源IP、目的IP目的端口、URL的访问控制。

USG安全接入网关使用简便，实现了客户端软件一次安装、零配置，不需要任何培训，因而在很大程度上提高了远程接入员工的工作效率，节省了企业的培训和IT服务费用。

从而，实现了随时随地、安全、可控的远程接入。

该解决方案实现以下功能：

●IPSec/SSL一体化，结合了SSLVPN的安全性、易用性以及IPSecVPN在Site-to-Site方面的优势，最大限度地发挥了VPN给现代企业远程办公所带来的方便性和安全性。

●支持多种密码算法，包括加密算法：

3DES/DES、RC4、AES，Hash算法：

MD5、SHA-1，非对称密码算法：

RSA，保障数据传输的安全性、完整性。

●为移动人员对各种内网资源的访问提供广泛的支撑，用户仅需要标准的浏览器就可以实现对内网Web资源、SMB/NFS文件系统的安全访问，支持对Notes、Telnet、SSH、MSRDP、VNC、FTP、Oracle等内网TCP应用的访问，同时提供了对基于IP的内网业务的全面访问支持。

●提供SSL虚拟网关功能。

USG安全接入网关通过虚拟网关提供SSLVPN服务，每个虚拟网关相当于一个逻辑上独立可管理的USG安全接入网关，可配置自有的用户、资源和访问控制规则。

单台SVN最多可提供128个虚拟网关。

一个虚拟网关可以对应一个或者多个IP地址，也可以多个虚拟网关共享一个IP，为一个企业的不同部门或者多个企业使用一台设备进行独立的安全接入提供安全解决方案。

●用户身份认证：

可以通过在USG安全接入网关上建立用户数据库，实现本地认证。

同时，还支持多种外部认证系统，包括Radius、LDAP、AD、x.509数字证书、USBKey＋x.509数字证书、SecurID动态密码认证。

●授权：

提供本地用户数据库授权方式LocalDB，支持外部Radius、LDAP组用户映射授权。

●可基于单个用户进行管理，或者对用户分组，基于群组用户进行管理。

能够将用户组与角色绑定，不同的角色对应不同的安全策略和资源，适应企业组织结构的灵活划分。

●访问控制规则（ACL）：

能够对源IP、目的IP、Port、URL进行细粒度的访问控制。

●终端安全检查：

对从公网上接入的SSLVPN用户进行终端设备的安全检测，并根据其安全级别赋予适合的安全策略，避免用户从不安全不受信的终端上接入企业数据中心，威胁内网安全。

●访问痕迹清除：

用户访问结束时，对客户端上的访问痕迹进行清除，包括浏览器缓存、Cookie、账号密码、文档列表等，以防止泄密，杜绝安全隐患。

●用户账号与硬件终端绑定：

提取终端PC的MAC地址、硬盘序列号信息生成终端特征码，将特征码与用户账号绑定，使用户只能使用特定的可信任的PC接入。

●SSL协议版本：

SSL2.0、SSL3.0、TLS1.0。

●支持管理员分类分级管理，不同的管理权限给出不同的管理角色。

可分为系统管理员、虚拟网关管理员两类，每类分为超级管理员和普通管理员两级。

●可全面定制用户登录界面，能够与企业网站风格完全融合，体现个性化企业文化。

●管理方式：

提供SSLVPN可视化图形管理界面WEBUI，直观易用。

同时，提供Console管理方式，支持SNMP（简单网络管理），满足不同管理员的操作习惯。

●日志功能：

分为用户日志、管理员日志和系统日志，记录用户/管理员上下线时间、操作行为、登录成功/失败，以及系统的运行和故障信息。

●电信级的可靠硬件平台和专用实时操作系统，支持双机热备，确保了产品的可靠性、安全性。

●集群组网实现多台SVN设备的负载均衡，满足企业网络不断扩容的需求。

6.6、SecospaceUSG安全接入网关安全接入网关

6.6.1、SecospaceUSG安全接入网关功能特点

1优异的端到端安全解决方案

USG安全接入网关安全接入网关融合了IPSec和SSL两种先进的VPN技术，既可以通过Web浏览器实现无客户端的便捷访问，又能够实现端到端的网间互连。

传输过程的强加密、身份认证方式的多样化、终端设备安全检查、细粒度的内网资源授权访问控制，构成了层次化的点到端、端到端安全访问保障。

2广泛的业务支撑

USG安全接入网关安全接入网关对企业各种内网资源访问提供广泛的支撑。

它可以支持用户通过标准Web浏览器访问复杂的内网Web页面、SMB/NFS文件系统，同样支持FTP、Oracle、Notes、Telnet、SSH、VNC、MSRDP等传统C/S应用的访问，同时也支持与应用无关的全IP层业务访问。

3方便的部署和管理

USG安全接入网关部署不改变网络结构，提供直观易用的中英文WebUI管理界面和丰富的帮助提示信息，管理员通过Web管理界面即可实时进行监控和管理。

USG安全接入网关同时提供标准的命令行管理方式，以满足不同管理员的操作习惯。

4全面的认证、授权、日志支持

USG安全接入网关安全接入网关自身提供LocalDB认证授权系统，同时也支持多种主流的外部认证系统，如：

Radius、LDAP、AD、X.509数字证书、USBKEY＋数字证书、SecurID动态密码等，为已具备成熟认证体系的企业提供了有效的支持，在很大程度上降低了支持和维护的成本。

同时，提供系统日志、管理员日志和用户访问日志，方便管理员对日志的分析和审计。

5领先的SSL虚拟网关技术

USG安全接入网关提供SSL虚拟网关功能，单台设备可提供多达128个虚拟SSLVPN网关，所有的虚拟网