VPN解决方案.docx
《VPN解决方案.docx》由会员分享,可在线阅读,更多相关《VPN解决方案.docx(11页珍藏版)》请在冰豆网上搜索。
VPN解决方案
VPN解决方案
第一章VPN(VirtualPrivateNetwork)概述
虚拟私有网(VirtualPrivateNetwork,VPN),又称虚拟私有拨号网(VirtualPrivateDialupNetwork,VPDN),是近年来随着Internet的发展而迅速发展起来的一种技术。
现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。
许多企业趋向于利用Internet来替代它们私有数据网络。
这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟私有网。
虚拟私有网实际上就是将Internet看作一种公有数据网(PublicDataNetwork),这种公有网和ISDN/PSTN网在数据传输上没有本质的区别。
因为从用户观点来看,数据都被正确传送到了目的地。
相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。
至于“虚拟”,则主要是相对现存企业Intranet的组建方式而言的。
通常企业Intranet相距较远的各局域网都是用ISDN/PSTN物理线路相连的,而虚拟私有网提供的是Internet上的虚拟链路。
这种利用Internet来组建私有网的方式对Internet服务提供商(ISP)和VPN用户都是有益的。
使用VPN技术架设的网络相对于专线连接或ISDN/PSTN接入方式可以为用户带来诸多的优点。
1.费用低廉
对于VPN用户而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用,无疑是非常有吸引力的。
如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
2.高安全性
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
第二章网络解决方案
第一节:
网络现状和系统需求应用需求
现有公司总部为中心点,并已成立省级分公司30个,同时各省级分公司下属地市级分公司若干。
现各分支机构已建成各种规模的具有不同Internet接入方式的独立局域网络。
现需要各分公司机构通过NASI系列VPN防火墙产品建立虚拟私有网络和公司总部交换大量的业务数据,同时要保证数据的安全性,既防止数据不在网络上被恶意的窃取和篡改。
第二节:
VPN网络解决方案
通过Internet公共网络通讯的数据容易遭受恶意的攻击,为保证数据通信的安全性,我们提供基于VPN的网络连接方案和NASI品牌VPN设备:
考量各方面的因素,以及分支机构的网络规模不同,我们将整个VPN网络划分为二个不同的分布式VPN网络连接构成。
既省级分公司同总公司建立一级VPN网络连接,省级分公司同下属地市级分公司建立独立的二级VPN网络连接。
方案中总公司做为数据的集中点,为保证其连接速度和连接响应时间,选用NASIBV-700/BV-703作为VPN的SERVER端接入服务器,并利用其高性能的防火墙功能建立更安全的内部网络。
在省级分公司采用NASIBV-603(规模中等级别)或NASIBV-601(规模小型级别)做为VPN的CLIENT端,同总公司建立VPN连接。
对于地市级的分支机构,采用NASINS-1000做VPN的CLIENT端,同上属的省级分公司建立VPN连接。
对于Internet直接接入用户,可采用Windows操作系统自带的VPN拨号终端,通过PPTP或IPSec的隧道协议直接连接到总公司。
VPN网络拓扑设计如下
第三章防火墙产品功能及特点介绍
NASIBV-703防火墙功能和特点:
易于管理
lNASIBV-703对于网络存取规则(Poicy)的设定有群组(Group)的观念。
您可定义一群使用者与依群服务项目(Service),并以此来设定网络存取规则。
例如您可将财物部门PC的IPAddress设定成一群组取名为“财务部”,再将DNS,SMTP及POP的服务设定为一群组取名为“标准服务”,然后设定一网络存取规则为“允许财务部使用标准服务”,如此一来财务部的人员仅能使用POP及SMTP来收发E-Mail而无法使用其它的服务,如用Web浏览器来浏览Internet上的网页。
lNASIBV-703的工作排程(Sheduler)可让您设定您定期要做的工作,例如您想对公司内部网络的存取权限,在上班与下班时间想做不同的设定。
或者您想让NASIBV-703定期将纪录文件E-Mail给您。
l完整的事件纪录功能,纪录您对NASIBV-703所做设定的内容与时间,万一在网络出现不正常的情况时,让您在可随时检查之前是否有做了不当的设定。
l具备纪录统计分析功能,以图表的方式显示交通流量,使用者联机资料量及联机时间。
l经由Web浏览器管理接口,您可以很容易的将设定下载到您自己的计算机上,或是将先前储存的设定档上传到NASIBV-703。
管理者更能够透过一台NASIBV-703,新增各种不同的设定档,然后上载到个别的NASIBV-703。
l使用Web浏览器管理接口,您可以很容易的更新新版的韧体。
本公司会在网站上公布新版的韧体。
l支持SysogServer,除了标准的监控记录外,NASIBV-703还可以产生详细的事件纪录网络记录到其它的SyslogServer。
lNASIBV-703支持静态路径(StaticRoutes)的设定,可设定为支持有内部路由器(Router)的环境。
lNASIBV-703可以设定为DHCPServer,可以集中管理网络上PC的TCP/IP的设定。
包含IPAddress,SubnetMask,DNSAddress和GatewayAddress。
l无使用者人数的限制,无网络扩充方面的问题。
l提供中文操作接口及线上说明文件,可让不习惯英文操作接口的管理者也可很容易地管理NASIBV-703。
高度的安全性
lNASIBV-703使用一种状态封包检查(StatefulInspection)的技术,来过滤穿过防火墙到内部网络的封包,内定只允许由安全的内部网络使用者所主动建立的联机资料可由Internet进来,其它封包将会被阻挡。
lNASIBV-703的工作排程(Sheduler)可让您设定您定期要做的工作,例如您想对公司内部网络的存取权限,在上班与下班时间想做不同的设定。
或者您想让NASIBV-703定期将纪录文件E-Mail给您。
l完整的事件纪录功能,纪录您对NASIBV-703所做设定的内容与时间,万一在网络出现不正常的情况时,让您在可随时检查之前是否有做了不当的设定。
l具备纪录统计分析功能,以图表的方式显示交通流量,使用者联机资料量及联机时间。
l经由Web浏览器管理接口,您可以很容易的将设定下载到您自己的计算机上,或是将先前储存的设定档上传到NASIBV-703。
管理者更能够透过一台NASIBV-703,新增各种不同的设定档,然后上载到个别的NASIBV-703。
l使用Web浏览器管理接口,您可以很容易的更新新版的韧体。
本公司会在网站上公布新版的韧体。
l支持SysogServer,除了标准的监控记录外,NASIBV-703还可以产生详细的事件纪录网络记录到其它的SyslogServer。
lNASIBV-703支持静态路径(StaticRoutes)的设定,可设定为支持有内部路由器(Router)的环境。
lNASIBV-703可以设定为DHCPServer,可以集中管理网络上PC的TCP/IP的设定。
包含IPAddress,SubnetMask,DNSAddress和GatewayAddress。
l无使用者人数的限制,无网络扩充方面的问题。
l提供中文操作接口及线上说明文件,可让不习惯英文操作接口的管理者也可很容易地管理NASIBV-703。
高度的安全性
lNASIBV-703使用一种状态封包检查(StatefulInspection)的技术,来过滤穿过防火墙到内部网络的封包,内定只允许由安全的内部网络使用者所主动建立的联机资料可由Internet进来,其它封包将会被阻挡。
l具备网络攻击DoS(DenialofService)的侦测与阻挡,例如:
PingofDeath,SYNFlood,ICMP/UDPFlood,LandAttack,IPSpoofing等等。
此类的攻击会随着一般操作系统(WindowsorUNIX)漏洞的发现而增加,本公司会随时关心此种漏洞一但有所发现会立即修改韧体并主动通知用户更新韧体。
l提供追踪警示功能,NASIBV-703会记录与安全相关的事件,您可以透过浏览器,利用NASIBV-703提供的管理接口来观看这些记录。
另外,这些记录也可以透过E-Mail送给您。
管理者也可以设定NASIBV-703立刻将紧急事件以E-Mail通知您,例如服务器正遭受DoS攻击。
lNASIBV-703具有DMZ(De-MilitarizedZone),允许Internet使用者透过防火墙存取您开放的服务器,如Web或FTP服务器。
DMZ与内部网络为完全独立的两个区域,可避免将开放的服务器置于内部网络所需冒的风险。
虽然DMZ是开放的,但是Internet使用者仍需透过防火墙存取您开放的服务器,因此NASIBV-703依然保护DMZ上的服务器免受攻击
l易于管理
lBV-603/601对于网络存取规则(Policy)的设定有群组(Group)的概念。
您可定义一群使用者与依群服务项目(Service),并以此来设定网络存取规则。
例如您可将财物部门PC的IPAddress设定成一群组取名为'财务部',再将DNS,SMTP及POP的服务设定为一群组取名为“标准服务”,然后设定一网络取存规则为“允许财务部使用标准服务”,如此一来财务部的人员仅能使用POP及SMTP来收发E-Mail而无法使用其它的服务,如用Web浏览器来浏览Internet上的网页
lBV-603/601的工作排程(Sheduler)可让您设定您定期要做的工作,例如您想对公司内部网络的存取权限,在上班与下班时间想做不同的设定。
或者您想让BR-603/601定期将记录文件E-Mail给您。
l完整的事件记录功能,记录您对BV-603/601所做设定的内容与时间,万一在网络出现不正常的情况时,让您可随时检查之前是否有做了不当的设定。
l具备记录统计分析功能,以图表的方式显示交通流量,使用者联机资料量及联机时间。
l经由Web浏览器管理接口,您可以很容易的将设定下载到您自己的计算机上,或是将先前储存的设定档上传到BV-603/601。
管理者更能够透过一台BV-603/601,新增各种不同的设定档,然后上载到其它的BV-603/601。
l使用Web浏览器管理接口,您可以很容易的更新新版的软件。
本公司会在网站上公布新版软件。
l支持SyslogServer,除了标准的监控记录外,BV-603/601还可以产生详细的事件记录网络记录到其它的SyslogServer。
lBV-603/601支持静态路由(StaticRoutes)的设定,可设定为支持有内部路由器(Router)的环境。
lBV-603/601支持地址转换NAT(NetworkAddressTranslation)和透明(Transparent)两种工作模式。
lBV-603/601可以设定为DHCPServer,可以集中管理网络上PC的TCP/IP的设定。
包含IPAddress,SubnetMask,DNSAddress和GatewayAddress。
l无使用者人数的限制,无网络扩充方面的问题。
提供中文操作接口,可让不习惯英文操作接口的管理者也可很容易地管理BV-603/601。
l高度的安全性
lBV-603/601使用一种状态封包检查(StatefulInspection)的技术,来过滤穿过防火墙到内部局域网的封包,内定只允许由安全的内部局域网使用者所主动建立的联机资料可由Internet进来,其它封包将会被阻挡。
l具备网络攻击DoS(DenialofService)的侦测与阻挡,例如:
PingofDeath,SYNFlood,ICMP/UDPFlood,LandAttack,IPSpoofing等等。
此类的攻击会随着一般操作系统(WindowsorUNIX)漏洞的发现而增加,本公司会随时关心此种漏洞一但有所发现发立即修改软件并主动通知用户更新软件。
l提供追踪警示功能,BV-603/601会记录与安全相关的事件,您可以透过浏览器,利用提供的管理接口来观看这些记录。
另外,这些记录也可以透过E-Mail送给您,管理者也可以设定BV-603/601立刻将紧急事件以E-Mail通知您,例如服务器正遭受DoS攻击。
lBV-603/601具有DMZ(De-MilitarizedZone),允许Internet使用者透过防火墙存取您开放的服务器,如Web或FTP服务器。
DMZ与内部局域网是完全独立的两个区域,可避免将开放的服务器置于内部局域网所需冒的风险。
虽然DMZ是开放的,但是Internet使用者仍需透过防火墙存取您开放的服务器,因此BV-603/601依然保护DMZ上的服务器免受攻击。
lNAT(NetworkAddressTranslation)将许多内部私人网络的IP地址透过一正式的InternetIP传送到Internet。
如此更增加了安全性,因为内部IP不会传到Internet,在Internet上XX的使用者无法经由Internet进入内部局域网。
除此之外,透过NAT可以使用成本较低的Internet联机方式,例如:
xDSL或CableModem,仅需向ISP申请一个帐号。
l易于设定的网络存取规则(Policy),可以制定规则限制特定服务或应用方式,如ICQ不能由内部局域网传到Internet,亦可制定规则允许Internet上的使用者存取内部局域网或EMZ的公开网站。
l标准的IPSec虚拟私人网络VPN(VirtualPrivateNetwork)
lVPN大幅降低企业通讯联机成本,BV-603/601IPSecVPN模块以168BitsIPSecVPN标准的高效能加密传输技术,提供安全的网络防护,可以让您的分公司与您的内部局域网透过Internet建立一个虚拟企业网络,取代传统的以拨接或专线高成本联机方式。
无论远程是BV-603/601或是较小型的OfficeGateway或是其它任何与IPSec兼容的VPN设备,BV-603/601都可以让您的总公司与分公司的网络间透VPN来互相存取资料。
所有的通讯资料都经过加密并且验证过,BV-603/601支持IKE动态交换加解密的金钥匙(Key)。
lVPN建立安全的远程用户存取(RemoteAccess)功能。
越来越多的企业用户使用Internet与外地分公司,海外工厂,供货商,事业伙伴或全球外勤人员传送重要业务资料,建立私密信道的加密网络功能也更显重要,BV-603/601的IPSecVPN模块可以让您透过支持IPSec标准的VPNClient软件,提供拨接或远程的使用者透过VPN来存取内部局域网上的资料。
而联机过程都经过加密处理。
l应用代理服务器(ApplicationProxyServer)
l透过网页过滤(URLFiltering)功能,您可以用万用字符(Wildcard:
*,?
)或是以关键词(KeyWord)来限制使用者浏览具有不雅内容网页。
l名称代理服务器(DNS Proxy),可转送内部PC要查询的名称。
l最高可同时建立VPN的信道数BV-603为300个,BV-601为70个。
NASINS-1000VPN路由器功能和特点:
产品简介:
◆NASI最新推出的新一代防火墙宽频路由器NS-1000,是针对目前广大的宽频用户,以及企业用户的使用者。
NS-1000符合高效率,超优质之硬件式Firewall防火墙宽频路由器,具备SPI(状态数据包检测防火墙),以及可以防御DoS的网络攻击!
该路由器与目前市面上的路由器最大热点在于使用了最新款的ARM-9144MhzRISCCPU处理器,其超高效能表现超越了所有的目前其它的宽频网络设备。
配合内嵌式系统支持平台,整合了4Port10/100Mbps高速以太网络自动侦测交换器,每一端口都具备MDI/X自动判别跳线与非跳接网络线连结能力,整合原有系列宽频路由器产品,开发了此款具备防火墙之高效能设备:
值得一提的是NAT转换效能最高可达85Mbps以上(备注:
NAT转换效能测试视测试封包大小以及档案传输与计算机间的存取能力而定,此测试数据(85Mbps)为使用Smartbit封包测试仪器所得数据,若为FTP双向测试转换效率约为35~40Mbps以上),加上URL/IP/MAC等封包过滤以及防火墙等机制,实为商业与家用市场注入一番新风潮!
以NS-1000来说,其使用广泛与应用主力着重以下市场
◆汰换旧式效能的只能做一般IP分享的设备
◆具备MAC和IP段的访问控制,可以进行访问网站的限制
◆提供VPN加密以及远程档案加密存取(VPNSecureRemoteAccess)
◆提供防火墙的进阶功能应用(BlockActiveX,Java,Cookie,Proxy恶意封包侵袭)
◆提供总公司与分支机构之间的LANtoLAN的加密传输功能.(IPSecVPNTurnel)
◆NS-1000所提供的日志是标准防火墙才提供的。
提供详细的日志表:
具备分类查询的功能 A、您可以浏览所有关于设备的任何信息。
B、您可以只查看系统的记录信息,如设备是否正常启动,获得的WAN口IP是多少。
C、访问日志,您可以查看到网络中的PC在做什幺事情,比如这个PC在浏览什幺网站,是否在玩QQ等!
D、防火墙日志,可以查看到,当您设置了一些过滤功能时,有谁在尝试去访问和越过这种权限!
E、VPN日志,您可以了解您VPN连线的具体情况,来判断问题所在!
Benefits:
产品特色:
◆NS-1000-宽频防火墙路由器是一台完全支持标准网络安全通讯的内建硬件式防火墙的路由器装置,使用最新的高速处理器硬件ASIC高速,以及LAN/WAN接口皆采用高速10/100Mbps以太网络接口,最高转换效率可达85Mbps以上(NATThroughput)。
不论是网络教室或局域网络的NAT安全连接,完全不会感觉是使用NAT转换!
◆超优的Web管理设定画面,可轻易使用IE或Netscape浏灠器接口设定防火墙宽频路由器,不需要一堆专业知识,只要会使用IE或Netscape轻易掌握所有网络安装与设定、保障安全以及方便联络全世界网络。
◆透过远程操作管理模式(RemoteAccessManagement),可在非产品端方便操作防火墙宽频路由器,使MISorIT人员方便的管理远程或分公司内部网络。
WANPort使用10/100Mbps高速以太网络接口,LANPort内建4Port10/100MbpsSwitch交换器,最适合一般企业与SOHO族与家庭使用,不需再买集线器!
宽频路由器内建防火墙功能,并配合支持封包过滤、阻断服务(DenialofService,DoS),SYNAck,状态封包检查(StatefulPacketInspection-SPI),阻断Cookies、Java、Javascript、ActiveX等恶意封包等
ADSL/Cable/LANtoLAN等所有宽频网络皆可使用.
内建PPPoE拨接计时制ADSL软件,PC端上网不需外挂拨号程序。
内建DHCP服务器,PC端安装最方便容易不需设定TCP/IP。
LANtoWAN(NAT)封包传输率最高,可达85Mbps以上。
NAT/NAPT虚拟主机架设,不论动态或一个固定IP皆可架设网站。
DHCPClientTable可实时监控网络PC端所使用的IP位置信息。
上网时间可设定,如早上8:
00~下午6:
00设定可上网,其它时间阻断所有通讯等应用,依照网络政策管理有效控制频宽与流量内建高阶防火墙使用之DMZ虚拟接口,网络软件应用最容易,语音视讯软件兼容度最佳-MicrosoftNetmeeting,/MSN/ICQ2000(Net2Phone)等阶可传文件或语音连接,群组式IP存取控制功能,轻松管制内部网络存取Internet资源(In/OutbandAccessControl).
内建URL网站存取控制功能(WebAccessControl)轻松管制内部网络存取Internet及不当或管制之网站内容阅读.
可支持IPRIPV1/V2Routing,Static等网络路由协议,并具备DialonDemand与封包过滤机制.
支持标准SNMPv1,2网络管理通讯协议,可搭配SNMP网管软件使用.
支持VPN私有虚拟信道连接能力,IPSec64/168位DES,3DES加密,以及自动密钥管理IKE功能,,验证演算加密支持MD5,SHA等,与市面上标准之IPSec设备皆能互通(SupportClient/Servermode)
免费升级轫体(Fimewareupgrade)
Highlights-重点功能介绍:
领先业界的多功能宽频交换式路由器
NS-1000宽频防火墙路由器卓越先进的多用途宽频路由器,不论是使用高速双向的CableModem(有线电视)上网,或是使用单向的CableModem,都可透过内建的即插即用功能(Plug&Play)轻松分享高速宽频;另外若是使用ADSL固接/拨接计时制(PPPoE),也可透过特殊的内建轫体(Fimeware)功能,只要填入ISP给予的帐号密码,轻松分享高速网络。
若是既有网络IP位置不足,也可使用,最高支持253个User,或是作为网络区段分割管理,减轻网络中不当的广播封包干扰与降低网络效能,亦可将MIS的操作与管理负担降到最低。
透过内部高品质4Port10/100MbpsSwitch,以及WANPort独特设计10/100Mbps高速以太网络界面,使得网络效能大幅提升至30Mbps以上NAT传输效能,整体网络拓朴设计
升级会员 