VPN篇与流量控制篇.docx
《VPN篇与流量控制篇.docx》由会员分享,可在线阅读,更多相关《VPN篇与流量控制篇.docx(10页珍藏版)》请在冰豆网上搜索。
VPN篇与流量控制篇
超市局域网安全策略设计
——VPN和流量控制篇
XX:
学号:
6
学院:
工学院
一.VPN篇
(一)VPN的必要性
传统远程通信连接的方式是通过租用专用线路,它使得用户在没有隔离感的环境下远程访问。
网络专线就是网络服务提供商给用户提供专用的信道,让用户的数据传输变得可靠可信,专线的优点就是安全性好,QoS可以得到保证。
然而它也存成本太高不经济,超出预算不现实等无法克服的弊端。
另外,管理也需要专业人员。
当然用户也可以采用公共软件进行通信,例如,电子、MSN、QQ等等,然而利用这些软件进行一般性的通信还可以,倘若进行XX性的、涉及到企业利害关系的通信,则有可能导致企业内部XX外泄,给竞争对手有机可乘,给企业带来巨大的经济损失等。
综上所述,可以看出,现在用户对通信的需求主要集中在安全可靠性和成本造价低这两方面。
随着技术的发展,VPN的发展满足了用户的需求。
就这样,VPN凭借其优势,应用户对通讯数据的XX性高和减少对租用线路的依赖性的需求迅速得到了发展。
VPN作为一种虚拟专用网络技术,其全名为virtualprivatenetwork(虚拟专用网),利用此技术可以在公用IP网络上建立一个点对点的私有专用网络,传输数据经过加密后,即进行单线式传送与连接,最大程度上摆脱不同网络对接造成的网络数据流量限制,实现企业内部数据异地同步传送,并可以与客户之间进行直接沟通、上传下载。
另外使用VPN存在着不可比拟的优势:
Ø高安全性:
为了保障信息在Internet上安全传输,VPN采用了隧道技术、数据加密技术、密钥管理技术和身份认证技术,以保证信息在传输过程中不被偷看、篡改和复制,防止数据在公网传输中被窃听;
Ø成本低廉:
通过VPN技术,在公共的IP网络上开辟一条专用的“隧道”,其效果类似于租用专线建立的专用拨号网络,但却不必支付租用长途专线的昂贵费用,并且人员和设备投入少;
Ø容易扩展:
应用灵活、可扩展性好。
如果需要扩大VPN的容量和覆盖X围无需投入太多的设备,网络设备配置也简单,借助VPN可以利用公共设施和服务;
Ø安全控制主动权:
可以验证数据的真实来源。
比如,企业可以把拨号访问交给ISP去做,二自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作;
Ø支持丰富的应用:
VPN可以支持IP语音、IP传真、视频等一些带宽需求较高的多媒体协作交互应用。
(二)VPN的可行性
1.技术可行性
VPN发展已有20年的历史,它继承了网络安全技术,并结合了下一代Ipv6的特性,通过隧道、认证、接入控制、数据加密技术利用公网建立互联虚拟专用通道,实现网络互联的安全,确保了通信的安全可靠性。
VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
经过了这20年的历史,VPN的技术也在不段提高,现在VPN技术在国内外已经相当成熟,出现了大量可供选择的产品。
下面从VPN的体系与简单分类说明其技术的可行性:
1)VPN有很多可供选择体系结构:
Ø基于黑匣的VPN:
独立于操作系统,产商只提供一个黑匣。
硬件的加密设备比软件类型的加密设备速度更快,可以建立所需要的加速隧道。
Ø基于防火墙的VPN:
想要在防火墙上建立VPN首先必须确保底层的操作系统的安全性。
Ø网络服务商提供VPN:
网络服务商在公司现场放置一个设备来创建VPN隧道。
目前国内最流行的也就是这类基于路由器或网关的VPN方案。
它的优点是操作简便和便于维护管理。
2)VPN的分类:
Ø按接入方式划分
这是用户和运营商最关心的VPN划分方式。
一般情况下,用户可能是专线上网的,也可能是拨号上网的,这要根据用户的具体情况而定。
建立在IP网上的VPN也就对应的有两种接入方式:
专线接入方式和拨号接入方式。
(1)专线VPN:
它是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案。
这是一种“永远在线”的VPN,可以节省传统的长途专线费用。
(2)拨号VPN(又称VPDN):
它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。
这是一种“按需连接”的VPN,可以节省用户的长途费用。
需要指出的是,因为用户一般是漫游用户,是“按需连接的,因此VPDN通常需要做身份认证(比如利用CHAP和RADIUS)
Ø按协议实现类型划分
这是VPN厂商和ISP最为关心的划分方式。
根据分层模型,VPN可以在第二层建立,也可以在第三层建立。
(1)第二层隧道协议:
这包括点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)、多协议标记交换(MPLS)等。
(2)第三层隧道协议:
这包括通用路由封装协议(GRE)、IP安全(IPSec),这是目前最流行的两种三层协议。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。
Ø按VPN的发起方式划分
这是客户和IPS最为关心的VPN分类。
VPN业务可以是客户独立自主实现的,也可以是由ISP提供的。
(1)发起(基于客户):
VPN服务提供的其始点和终止点是面向客户的,其内部技术构成、实施和管理对VPN客户可见。
需要客户和隧道服务器(或网关)方安装隧道软件。
客户方的软件发起隧道,在公司隧道服务器处终止隧道。
此时ISP不需要做支持建立隧道的任何工作。
经过对用户身份符(ID)和口令的验证,客户方和隧道服务器极易建立隧道。
双方也可以用加密的方式通信。
隧道一经建立,用户就会感觉到ISP不在参与通信。
(2)服务器发起(客户透明方式或基于网络):
在公司中心部门或ISP处(POP、Pointofpresence)安装VPN软件,客户无须安装任何特殊软件。
主要为ISP提供全面管理的VPN服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对VPN客户完全透明。
在上面介绍的隧道协议中,目前MPLS只能用于服务器发起的VPN方式。
Ø按VPN的服务类型划分
根据服务类型,VPN业务大致分为三类:
接入VPN(AccessVPN)、内联网VPN(IntranetVPN)和外联网VPN(ExtranetVPN)。
通常情况下内联网VPN是专线VPN。
(1)接入VPN:
这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。
远程用户一般是一台计算机,而不是网络,因此组成的VPN是一种主机到网络的拓扑模型。
需要指出的是接入VPN不同于前面的拨号VPN,这是一个容易发生混淆的地方,因为远程接入可以是专线方式接入的,也可以是拨号方式接入的。
(2)内联网VPN:
这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的VPN。
(3)外联网VPN:
这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。
这是一种网络到网络以不对等的方式连接起来所组成的VPN(主要在安全策略上有所不同)。
Ø按承载主体划分
营运VPN业务的企业;既可以自行建设他们的VPN网络,也可以把此业务外包给VPN商。
这是客户和ISP最关心的问题。
(1)自建VPN:
这是一种客户发起的VPN。
企业在驻地安装VPN的客户端软件,在企业网边缘安装VPN网关软件,完全独立于营运商建设自己的VPN网络,运营商不需要做任何对VPN的支持工作。
企业自建VPN的好处是它可以直接控制VPN网络,与运营商独立,并且VPN接入设备也是独立的。
但缺点是VPN技术非常复杂,这样组建的VPN成本很高,QoS也很难保证
(2)
(2)外包VPN:
企业把VPN服务外包给运营商,运营商根据企业的要求规划、设计、实施和运维客户的VPN业务。
企业可以因此降低组建和运维VPN的费用,而运营商也可以因此开拓新的IP业务增值服务市场,获得更高的收益,并提高客户的保持力和忠诚度。
笔者将目前的外包VPN划分为两种:
基于网络的VPN和基于CE(用户边缘设备)的管理型VPN(ManagedVPN)。
基于网络的VPN通常在运营商网络的呈现点(POP)安装电信级VPN交换设备。
基于CE的管理型VPN业务是一种受信的第三方负责设计企业所希望的VPN解决方案,并代表企业进行管理,所使用的安全网关(防火墙、路由器等)位于用户一侧。
Ø按VPN业务层次模型划分
这是根据ISP向用户提供的VPN服务工作在第几层来划分的(注意不是根据隧道协议工作在哪一层划分的)。
(1)拨号VPN业务(VPDN):
这是第一种划分方式中的VPDN(事实上是按接入方式划分的,因为很难明确VPDN究竟属于哪一层)。
(2)虚拟租用线(VLL):
这是对传统的租用线业务的仿真,用IP网络对租用线进行模拟,而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。
(3)虚拟专用路由网(VPRN)业务:
这是对第三层IP路由网络的一种仿真。
可以把VPRN理解成第三层VPN技术。
(4)虚拟专用局域网段(VPLS):
这是在IP广域网上仿真LAN的技术。
可以把VPLS理解成一种第二层VPN技术。
2.经济可行性
与任何传统的广域网相比,VPN的运营成本和连接远程用户的成本更低。
因为相比专线的租用费用,采用VPN的费用比起租用专线(DDN)来要低40%-60%,而无论是在性能和可管理性和可控性方面两者都没有太大的差别。
此外,VPN技术可以节省用户的通讯费用并且VPN的固定通讯成本有助于企业了解其经营开支。
一个VPN线路还能够提供低成本的全球网络机会。
VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。
此外,高速宽带网连接提供一种低成本效率高的连接远程办公室的方法。
通过向虚拟专网中加入语音或是多媒体流量来实现进一步成本的降低。
3.社会可行性
VPN技术的实现是通过智能设备实现的,既有建立在软件技术上的实现也有建立在硬件技术上的实现。
用户可以根据自己业务需要直接购买设备也可以通过操作系统实现。
设计良好的VPN是模块化的和可升级的。
这种技术能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。
这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
即:
VPN技术的实现操作简单,对用户的要求比较的低。
(三)VPN的技术方案
1.现状需求:
随着经营管理的不断提高,格林连锁超市超市现已跨县区发展。
目前本超市总共有15家分店,5家大型库房。
各个分店与与总部的数据交换大部分仍然采用拨号连接的方式,每天定时传输数据,总部对各个连锁店的数据并不能够实时获取。
随着越来越多的商家加入这个行业,行业竞争越来越激烈,要在激烈的行业竞争中取得领先地位,管理人员需要能够随时随地及时准确地获取所需要的数据,以便及时调整各项策略。
这就要求各连锁店能和总部实时共享传输营业数据。
目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应公司对信息传输平台的要求了。
为了保证超市逻辑和管理上的同一性要求,导致了不同地区的超市网络信息交换呈现出了信息流量大、交换频率高和信息涉密程度大等特点,这就要求超市的网络体系必须满足分布式、高效性和安全性。
网络既要保证高效运转又要保证数据的绝对安全。
此外,由于经费限制,还要保证建设和运行的低成本等,解决这些问题的关键在于如何实现不同区域间的子网互联。
超市为了对每天销售点系统的同步及财务结帐,拟采用VPN路由器将不同营业点与总部实时联机,每个门店可总店服务器端的营销系统,而总店每天可查询不同营业点的库存,作帐务的同步等业务需求,结合对于以上VPN主要技术优点的分析,利用VPN技术应用于连锁超市的构建,可以方便的提供各个店的互联、移动办公及分店间的交流服务。
Ø各店互联:
在不同地区的分店与总部或者分店与分店之间,利用响应的VPN设备,可以建立VPN网络。
一方面,是的各分店与总部间方便、安全的共享资源和进行数据交流;另一方面,VPN技术还提供了一种虚拟的专用网环境,使得原本在地域上相对分散的各店的网络连成一体,在逻辑上保持了一致性。
此外,还可以节省大量的建立专用网而必须支付的用于租用通信线路的费用。
Ø移动办公:
对于出差在外的或是因故在家的管理人员还是普通员工,利用相应的VPN客户软件,采用拨号方式或本地ISP,接入超市的VPN网络,可以实现传统物理专用网所不能实现的移动办公等功能,从而提高工作效率。
Ø办公交流:
由于超市供应商的地理分布导致公司经常委派业务员去异地洽谈合作业务,这样就给双方造成了不便与资金开销。
当建立VPN后,彼此间可以通过视频会议洽谈业务。
另外,同业者有时也需要相互借鉴,进行一些资源共享和信息交流。
而这一点如果使用专用网络实现其投入和成本都是不可接受的。
2.VPN网络连接结构
图1VPN连接网络结构图
3.技术方案
1)VPN的技术原理
VPN系统使分布在不同地方的专用网络在不可信任的公用网络上安全的通信。
它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处理过程如下:
Ø要保护的主机发送明文信息到连接公共网络的VPN设备;
ØVPN设备根据网管设置的规则,明确是否要对数据进行加密或让数据直接通过;
Ø对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名;
ØVPN设备加上新的数据XX,其中包括目的地、VPN设备需要的安全心爱和一些初始化参数;
ØVPN设备对加密后的数据包进行封装,重重新封装后的数据包通过虚拟的通道在公网上进行传输;
Ø当数据包到达目的VPN设备时,数据包被解封,数字签名被核对无误后,数据包被解码。
2)VPN的实现方案
通过对网络现状的分析,经VPN技术应用于超市网络需要和超市现有的两种网络结构相结合:
远程访问网络(超市网用户在超市外远程访问超市的网络)和超市内部的网络,所以在现有网络的基础上建立VPN。
根据总部和分部的网络使用要求和经济性等多方面考虑。
选用硬件实现。
在总部安装一台欣联NR4600+作为宽带路由器兼VPN服务端网关,总部用户透过欣联NR4600+的WAN1联机,以2M的ADSL上网;而分店则采用NR3200作为上网路由器兼VPN客户端网关。
移动办公,则可以笔记本、计算机内建的VPN拨号PPTPVPN方式,连接到总公司的服务器。
不论是在外出差还是在家中都可以通过PPTPVPN方式快速访问总部服务器端,为企业在外出差人员很好的解决了时事需求。
本配置采用IPSecVPN协议,IPSecVPN协议为公认最安全的协议。
许多市面上的网络设备都支持,所以日后扩展不是问题。
而IPSec提供的XX功能则可确保传输数据不会被中途拦截,遭受有心人士利用。
(四)VPN造价
超市现有15家分店和5家大型库房。
设备类型
数量(台)
单价/元
备注
欣联NR4600+
1
3500
适用于150台/250以内的网络规模
欣联NR3200
20
980
适用于50台以内的网络规模
费用:
工程费:
(3500+980*20)*20=3640元
人工费:
3640*30%=1092元
总造价:
3640+1092=4732元
营业税:
4732*7%=331.24元
工期:
两天
二.流量控制篇
(一)必要性
Ø流量控制能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度,如对HTTP、FTP、SMTP以及P2P等应用进行管理,尤其是对P2P流量进行抑制来提升传统数据业务的用户体验度。
Ø具备流量控制能力的网络流量管理还能够对严重影响业务运营者收入的未经许可的其他业务进行抑制。
还可以通过综合使用网络层、传输层和应用层检测技术,对未经许可的宽带私接用户采取中断连接、主动告警、分时控制等多种管理动作。
Ø流量控制还能够帮助网络流量管理实现业务资源的调度,并能够获得业务资源使用、业务状态的实时情况。
当某一网络应用业务服务器负载较大时,可以进行全局的业务资源负载均衡,以平均地承担业务请求;同时也能够对用户的业务请求进行调度,决定是否继续响应用户新的业务请求,并根据用户的优先级优先响应高优先级用户的业务请求,以提升业务运营效率。
(二)可行性
1.技术可行性
流量控制技术应用X围广泛,技术成熟。
而且它的实现方法和途径很多,有基于交换机的、路由器还有基于设备的,技术实现很容易。
2.经济可行性
目前流量控制技术发展的成熟使得其价格相对来说比较的便宜。
企业在投资量很少的情况下就可以对企业网的流量进行直观的控制。
目前已经出现了一些免费的流量控制产品。
3.社会可行性
流量控制是对网络流量进行检测与控制的一种技术。
一般的大型网络都会采取一些网络安全措施(如安装防火墙、入侵检测等),所以企业可以在对安全知识进行培训的同时顺便对流量控制技术进行捎带的培训。
而且目前已经实现智能化调节,一旦制定好规则系统可自动进行调配,不存在任何操作上的技术难度。
(三)方案
1.流量控制规则
超市营业时间是早8:
00到晚9:
00,而且超市每天的营业中早9:
00左右和晚上7:
00~8:
00这段时间,超市客流量处于饱和状态。
另外超市每天晚上9:
00后财务部进行一天的资金结算业务、理货部进行货物的调度安排等。
这使得超市一整天的网络流量分布不均匀。
鉴于此,超市采取流量控制方案以避免部分时段超市的网络发生阻塞甚至死锁。
超市每天的营业中早9:
00左右和晚上7:
00~8:
00这段时间给财务部和物流部分超市网络1/2的流量。
2.方案
在总部安装一台深信服M5400-BM(SINFORM5400-BM)的流量管理设备。
此设备支持多样化流量管理策略;支持对内网关键业务的带宽保证;支持针对单个用户/IP的流量控制。
有效区分“正常流量”与“异常流量”。
在识别发现各种网络应用的基础上,使网络流量得以区分并被量化之后,识别哪些是异常的流量或是垃圾流量、哪些是正常的流量、哪些是企业关键应用流量以及这些应用是否按照业务的需要在网络上正常运营。
3.效果
Ø合理利用网络资源。
避免因为网络带宽使用不当带来网络应用效率的低下以及带宽资源的浪费,保护用户投资。
Ø保护关键应用,发挥网络最大价值。
实现应用流量的带宽管理,保障对应用访问的必须带宽。
当各种网络应用同时进行时,就要保障关键性应用的使用效能,限制其它无关应用的带宽使用率。
Ø安全的增值。
检测并控制网络扫描、蠕虫和DDoS攻击;加强对员工的上网行为管理;保护企业关键资产,避免企业重要信息的非法泄露。
Ø加速网络应用,全面提高IT运营效率。
保证用户在有限的带宽下运作,支持更多的网络应用,提高网络应用的响应时间。
(四)资金预算
设备类型:
深信服M5400-BM(SINFORM5400-BM)
设备费元/台
工程费/元
人工费/元
总造价/元
营业税/元
工期
140000元/台
140000*20%=
28000
28000*30%=
8400
140000+8400=148400
148400*7%=
10388
1天