VPN网络优秀设计.docx

VPN网络优秀设计.docx

《VPN网络优秀设计.docx》由会员分享，可在线阅读，更多相关《VPN网络优秀设计.docx（14页珍藏版）》请在冰豆网上搜索。

VPN网络优秀设计

VPN网络设计方案

1.网络设计方案

1.1.用户需求

用户需要完成三个点网络连接，用以传输网络数据，因此需要使用虚拟专用网（VPN）技术来实现。

各分支机构分别使用一台USG100和一台GS1124A.

1.2.网络拓扑设计

VPN网络的实现，需要根据各个机构的规模大小，增加相应性能的VPN硬件网关来实现，整个VPN网络建成后为CS结构，即总部（中心）连接所有的分支机构和移动用户（客户端）。

各分支机构的网络情况基本相同，都是使用UGS100和GS-1124A,其VPN网络拓扑如下图所示：

VPN隧道采用了高强度的安全加密方式和强有力的身份验证机制，并且具有数据完整性验证，防篡改等高级别安全措施，能够确保用户的信息万无一失。

VPN网络的建立对于使用者来说是透明的，分支机构之间的访问不会感到任何不便，只要在应用软件中填入目标IP地址，即可以触发隧道，如同在局域网中使用各种应用一样的方便。

1.3.产品优势

通过了ICSA认证的全状态检测防火墙可以保护网络和内部的虚拟应用服务，如email，Web浏览，服务器，文件传输等。

-选择ICSA认证的ZyXEL病毒防护，或卡巴斯基实验室提供的杀毒引擎可以保护网络不受病毒及间谍软件的威胁。

-IDP功能使得您的网络能够抵御木马，蠕虫之类的危险元素的入侵

-使用IPSecVPN可以在远程办公室，合作伙伴与总部之间建立可靠的安全连接，出差在外或者家庭办公的用户可使使用SSL或L2TPVPN安全地接入公司的网络，而不再需要安装VPN软件。

-应用控制功能可以管控类似于MSN和BT之类的即时通讯软件和点对点下载软件。

-垃圾邮件过滤功能能够识别广告邮件和垃圾邮件，并将其标记或禁止。

-用户感知功能能够让您针对用户或用户组来进行各种应用和资源的控制。

-带宽管理能够让您为诸如VoIP湖视频会议等延时敏感型应用提供更有保证的网络带宽。

-多广域网接口，能够让您同时使用多条ISP线路接入互联网，实现负载均衡，提高网络的吞吐量，优化网络带宽的使用率，并且实现链路之间的故障备份，保证不间断的网络连接。

-在每次进行登陆的时候，您除了可以使用您的合法帐号和密码之外，还可以输入由一次性密码令牌   ZyWALLOTP生成的PIN码，以增强安全性保障。

-扩展卡插槽和USB接口，都可以连接3G无线网卡，增加3G接入链路

1.4.网络维护

用户的的VPN网络是典型的CS（客户端—服务器）结构，也就是一个核心，众多分支的连接方式。

管理员平时可以通过远程Telnet或Web的方式对所有的设备进行管理。

但是区政府的VPN网络的规模比较庞大，此时再使用传统的管理方式显然会出现很大的困难，而且会占用大量的人力资源以及维护成本，因此我们为网络规模较大的VPN用户配套提供了一个集中式的远程VPN管理调试平台--VantageCNM系统。

使用该系统可以大大提高对整个VPN网络管理的效率合准确性和一致性。

关于该系统的详细介绍请参考下面一部分内容。

1.5.集中式网络管理平台

VantageCNM（CentralizedNetworkManagement）

由ZyXEL自行研发的VantageCNM中央网络管理系统，是一个透过浏览器即可进行企业用户整体网络管理的完整解决方案，可协助网络管理员从任何地点轻松进行ZyXEL网络安全设备的设定、管理、监控、排障、升级、备份等全部操作，使管理员能够确保所制定相关信息安全政策的一致性，并持续监控所有网络设备，实时给予必要的技术支持，将管理成本降至最低，并且能充分发挥所有设备的效能。

功能特色

●直观的网络设备与账号管控

网络对象树（ObjectTree）功能可以让管理员建立七个层级的逻辑监视结构（LogicalView），可指定多个网络管理员管理同一个域；多名网管在协同管理同一个网络时，各自保有不同的管理权限，以维护其自主性；对象树中的状态图标可让管理员立即得知设备目前是否处于正常的工作状态，或是遭到攻击。

●组合式网管组件（BuildingBlocks,BBs）

组合式网管组件是一种可重复使用的“设置信息”，用以迅速设定单一或多个网络设备。

组合式网管组件可能是单一设备的完整的设定参数，也可能是一项单一功能的参数（如ACL、WLAN）。

这项重要的功能，不仅让管理员可在多个网络设备中快速进行参数设定，还能确保网络设备间设定的一致性。

使用VantageCNM愈久，网络管理员就能累积愈多的组合式网管组件，使用起来就更加方便快速。

●

●韧体的升级与管理

利用Vantage同时上载设备韧体至多个位于不同地点的网络设备来进行更新，可以节省大量时间及精力，还可减少错误发生的可能，并确保网络设备间韧体的一致性；管理员可设定在上载韧体时让VantageCNM自动通知设备拥有者，并自动产生所有设备韧体上载记录的详细报表。

●弹指间即可完的VPN隧道

网络管理员可以利用图形化接口进行VPN的设定。

先以鼠标点选网络设备，接着拖出一条「虚拟通道」拉向另一个网络设备，就能轻松地在网络设备之间建立VPN通道。

而通过预先设定好的“组合式网管组件”，让既使是非技术背景的管理员，也能在耗费最少精力的情形下，轻松地设定及管理这些VPN隧道。

●网络活动记录（Log）与报警（Alarm）

VantageCNM的网络活动记录与报警功能，让信息安全功能发挥地更为淋漓尽致。

网络活动记录能够提供有关使用者账户与网络设备的详细信息，VantageCNM将收集到的信息进行统计和分析，转化为多种直观的图形显示；而报警的范围包含了设备硬件无法运作、信息安全漏洞、黑客攻击，或者是试图非法登入VantageCNM系统的请求等等。

2.产品介绍

2.1.网关ZyWALLUSG100

ICSA认证防火墙

-基于区域的访问控制列表

-安全区域设定

-数据报状态检测

-DoS/DDoS保护

-用户感知策略执行

-用户自定义ALG

入侵检测和保护

-内嵌模式（路由/网桥）

-基于区域的IDP检查

-自定义保护策略

-基于特征码的深度包检测

-特征库自动升级**

-自定义特征码

-流量异常检测和保护

-泛洪检测和保护

-协议异常检测和保护:

HTTP/ICMP/TCP/UDP

防病毒

-ICSA认证ZyXEL防病毒或Kaspersky

防病毒引擎

-基于流量的病毒检查

-病毒库囊括最活跃的流行病毒

-检查HTTP/数据流

-自动病毒库升级**

-无文件大小限制

-支持黑/白名单

混合型VPNICSA认证的IPSecVPN

-加密:

AES/3DES/DES

-认证:

SHA-1/MD5

-密钥管理:

ManualKey/IKE

-完美前向保护:

DHGroup1/2/5

-NAToverIPSecVPN

-网关侦测/延时保护

-支持PKI（X.509）证书

-证书注册（CMP/SCEP）

-Xauth认证

-支持IPSec上的L2TP

SSLVPN

-无需客户端的远程安全接入（反向代理模式）

-安全扩展（全隧道模式）

-统一策略执行

-支持双因素认证

-自定义用户登录

应用控制

-IM/P2P接入颗粒控制

-应用时间,带宽管理

-用户感知

-支持最新IM/P2P软件（基于IDP特征库）**

-实时状态报告

带宽管理

-带宽优先级

-基于策略的流量整形

-最大/保证带宽

-带宽借用

垃圾邮件过滤

-区域之间的保护

-通过SMTP/POP3协议检查截取邮件

-支持黑/白名单

-支持DNSBL选择

-状态报告

高可用性

-设备HA（主备模式）

-设备失效保护

-链路监控

-配置自动同步

-多WAN口负载均衡

-VPNHA（远程VPN网关冗余）

内容过滤

-URL阻断,关键字阻断

-黑/白名单

-阻止JavaApplet,Cookies,ActiveX

-动态URL过滤数据库（BlueCoat支援）**

用户数限制

-无限制

网络

-路由/桥接/混合模式

-二层端口捆绑

-Ethernet/PPPoE/PPTP

-基于标记的VLAN（802.1Q）

-虚拟接口（接口别名）

-策略路由（用户感知）

-策略NAT（SNAT/DNAT）

-RIPv1/v2

-OSPF

-IP组播（IGMPv1/v2）

-DHCP客户端/服务器/中继

-内置DNS服务器

-动态DNS

认证

-内置用户数据库

-MicrosoftWindows活动目录

-外部LDAP/RADIUS用户数据库

-ZyWALLOTP（一次性密码）***

-强制用户认证（透明认证）

系统管理

-基于角色的管理

-支持多管理员登录

-多语言Web管理界面（HTTPS/HTTP）

-基于对象的配置

-命令行接口（Console/WebConsole/SSH/TELNET）

-全面的本地日志记录

-系统日志（支持4台日志服务器）

-E-mail报警（支持2台邮件服务器）

-SNMPv2c（MIB-II）

-实时流量监控

-系统配置文件恢复/管理

-基于文本的配置文件

-韧体升级

-详细的系统报告（VantageReport）

-集中管理平台（VantageCNM）

3G

-支持WEP/WPA/WPA2加密传输

-PCMCIA:

WirelessAC850*系列

-USB:

华为E220*

 *:

非内置

 **:

需要有效注册.

***:

单独采购

认证

-ICSA认证防火墙

-ICSA认证IPSecVPN

-ICSA认证防病毒

遵循标准

-HSF（HazardousSubstanceFree）:

RoHSandWEEE

-EMC:

FCCPart15ClassB,CE-EMCClassB,C-Tick

ClassB,VCCIClassB

-Safety:

CSAInternational（ANS/UL60950-1,CSA60950-1,EN60950-1,IEC60950-1）

硬件规格

-内存容量:

256MBDDR2RAM/256MBFlash

-接口:

GbEx7（RJ-45withLED）

-接口:

速率自动协商，线序自适应

-控制口:

RS-232（DB9F）

-拨号备份口:

RS-232（DB9M）

-LED指示灯:

PWR,SYS,AUX,CARD

-Reset按钮

-扩展卡插槽

-2个USB接口

物理规格

-可上架内含机架固定件

-尺寸:

242（W）x175（D）x35.5（H）mm/9.5（W）x6.9（D）x1.4（H）inch

-重量:

1.2Kg/2.6lbs

环境要求

-工作温度:

0ºC~50ºC/32ºF~122ºF

-存储温度:

-30ºC~60ºC/-22ºF~140ºF

-工作湿度:

5%~90%（无冷凝）

电源要求

-输入:

100~240V;1.2A,50~60Hz

-输出:

12V;3.5A

2.2.GS-1124A

规格说明

遵循标准

IEEE802.310Base-TEthernet

IEEE802.3u100Base-TxEthernet

IEEE802.3ab1000Base-TEthernet

IEEE802.3z1000Base-XEthernet

IEEE802.3x流量控制

IEEE802.1p分组服务优先级控制

产品性能

巨型帧支持10Kbytes

IEEE802.1p每个端口上两种优先队列支持不同的类型传输。

线速性能

48Gbps不闭塞交换构架

交换转发速率:

38.7Mpps（1488000pps/1000Base-Tor1000Base-X）

MAC地址表

4KMACentries

缓冲器

500kB

硬件规格

22个1000Base-T+2个双重（RJ-45/SFPslot）千兆接口

自动协商

支持自动线序反转MDI/MDI-X,

电源要求

输入电压AC:

100-240VAC,50/60Hz

最大功率:

26.5Watt

物理规格

尺寸：

440（W）x161（D）x44（H）mm

重量：

3.2Kg

环境规格

运行温度：

0°C~45°C

存放温度：

-25°C~70°C

运行湿度：

10%~90%,不凝固

3.成功案例

ZyWALL系列VPN产品用户：

♦天津中新药业集团公司

♦天津市和平区卫生局

♦天津地质研究院

♦天津市建委

♦天津建工集团

♦天津振津集团

♦天津大鹏超市

♦天津顺众超市

♦黑龙江嘉荫热电厂

♦山东省东营市卫生局

♦海军北海舰队某支队

♦南宁速倍连锁酒店

♦广西省招生考试院

♦广西省农科院

♦广西省图书馆

♦广西全州市地税局

♦桂林阳朔地税局

♦南京富兰德林集团公司

♦上海农工商连锁超市

♦…………