XX集团VPN网络系统建设实施项目解决方案.docx

1、XX集团VPN网络系统建设实施项目解决方案XX集团VPN网络建设解决方案第一章 项目情况介绍1.1 项目背景以Internet网为主体的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。一方面，Internet网使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利；另一方面，面对信息的汪洋大海，人们往往感到无所适从，出现“信息迷向”的现象。特别是，Internet网是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet网上通过电子手段予以重现，信息犯罪愈演愈烈。网络的开放性，互连性，共享性程度的扩大，使网络的

2、重要性和对社会的影响也越来越大，网络安全问题变得越来越重要。目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，许多员工的办公不再仅仅局限于同一物理位置上的办公，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样协同工作。尤其是出现自然因素（如，目前的“非典”原因）而导致员工需要远程协同办公，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来传输远程办公员工与公司之间的信息交流。XX集团作为国内知名企业，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，甚至也是内部员工十分感兴趣的内容，这提醒我们应该更加注重网络安全的建设。值得称道的是，公司领导已经对此引

3、起了高度重视，并计划逐步进行卓有成效的防护工作。在这方面，合理借鉴市场先进经验与理念十分重要。XX集团信息系统当前面临的首要问题和最大隐患是：边界安全防御与链路传输的加密。这也正是本方案中力求加以明确的地方。我们将通过认真和充分的系统分析将这些问题揭示出来并提供解决方法的建议。1.2 目前网络和应用现状分析XX集团总部设在杭州，企业网Intranet是以金顶苑总部大楼为中心，通过帧中继及网通的VPN与余杭一厂、八厂、杭州二厂区连接的企业广域网，其余各公司、各地办事处则通过拨号上网或宽带上网与总部服务器连接，已经初步建立起一套信息交互的网络体系。总部网络通过电信的光纤接入互联网。在网络的接口处部

4、署了防火墙提供内网访问Internet的路由并保证内部网络的安全。目前，在网络上运行的OA等应用系统。XX集团现在全国有26处分支机构，大多通过拨号或者宽带接入公司总部。总部目前网络拓扑图如下：图1-1 XX集团网络拓扑示意图随着公司业务的迅速发展，各地分公司、办事处也相继多了起来，信息交互也越来越频繁，随着企业应用系统的实施，重要的数据和信息在网络中传输也也来越多，安全性要求也越来越重要，目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应XX集团对信息传输平台的要求了。从经济角度考虑，电信部门提供的专线组网方式费用比较昂贵，由于XX集团是一个快速发展的现代企业，先后在北京

5、、广州、上海、南京、武汉、西安以及省内主要城市设立了多家分支机构，同时拥有多家紧密型的合作伙伴或分销客户网络，相关需要联网的网点数目比较多，分部地区比较广，信息交互比较频繁，每月的巨额通讯费用和专线租用费会给XX集团带来很大的压力。从安全方面考虑，电信部门提供的帧中继、MPLS VPN、DDN、ADSL等传输平台没有经过加密处理，重要数据和信息均是以明文在网上传输，如果别有用心的人利用Sniffer等网络监听分析工具，极易篡改、窃取甚至破坏企业数据，给企业造成不可估量的损失；由于传输平台没有认证功能，企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏，都会对企业的信息和

6、数据造成很大的威胁；由于传输平台没有访问控制和安全隔离的功能，给外部非法人员提供了入侵的机会，非法人员可以通过专用的黑客程序（此类工具在Internet上可以免费下载），或者盗取授权员工的访问权限，进入公司网络系统内部，让“网络巨人折戟沉沙，使系统安全溃于蚁穴的”。由于XX集团分支机构和联网网点数目众多，知名度大，受攻击的几率相对较大，一旦通过计算机终端进入公司总部服务器，后果将不堪设想。从管理方面考虑，XX集团处于高速发展阶段，拥有的分支机构和计算机终端较多，面临最紧迫的问题就是信息的汇总、分支机构的信息交互以及计算机终端的集中管理。DDN、ADSL等组网方式由于本身的技术限制，不可能提供强

7、大的管理平台，也不可能解决大规模的应用和管理问题。从经营角度考虑，XX集团需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台，来满足企业信息频繁传输的需要，增加企业的工作效率，提高企业的服务质量，加快企业的信息化建设，适应企业的快速发展，提升企业的良好形象。采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点，且VPN产品特有的具有对internet上的内部移动用户安全接入，可以彻底消除地域差异，实现可移动用户的网络互连及基于internet的可移动安全访问控制。因此，采用VPN方式组网对XX集团来说是一种现实可行的，完全可以满足公司员工在办事处、在外出

8、差、在家秉承办公的业务需要。下面是VPN与专线的综合比较：VPN技术专线技术安全性非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里比较高。但是，安全是建立在对电信部门相信的基础上，对电信运营商，无任何安全可言。可扩展性基于TCP/IP技术，接入方式灵活，只要网络可达，就可以方便扩展。依靠当地运营商的支持，扩展很不方便。投资成本设备一次性投入，不需要支出每月的运营费用，长期看来大幅度节省支出。专线费用很高，需要每月支付昂贵的专线租用费用，而且在初期要一次性投入路由器的费用对远程用户的支持能对internet上的内部移动用户安全接入，彻底消除地域差异。构造全球的虚拟专网。只能联

9、通专线拉到的网络，不支持离开局域网的内部用户接入专网。带宽使用各种廉价的宽带介入方式，如：ADSL，Ethernet等，一般在1100M。由于价格昂贵，一般租用的带宽都比较窄（一般不超过2M）。升级依赖于设备的升级，非常方便。依赖于电信部门。表1-1 VPN与专线比较表综上所述，如何快捷地解决XX集团的企业联网问题，如何有效地解决企业巨额通讯费和专线租用费，如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题，使整个网络的互联性得到极大提高，使整个网络的安全性达到一个全面加强，使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。第二章 设计原则和设

10、计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则：2.1 安全性原则在公司网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存在着安全的漏洞，从而影响整个公司业务运作的大局。随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。同时，采用国际上最新的主流VPN技术，确保用户能充分利用网络的互通性和易用性，同时可以为用户尽可能地降低系统投入成本，

11、实现高效益。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以下三个方面：1. 安全防护2. 主动安全评估3. 安全实时监控安全防护就是通过防火墙（在本方案中采用具备Firewall功能的安达通“安全网关”）或网络物理隔离等设备，对进出网络的数据包进行控制；同时在应用、主机上限制非法用户进入，或者用户越权访问。主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验的安全专家来进行安全评估。安全实时监控也是属于主动防御范畴。指在我们对网络

12、上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。我公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。2.2 实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。尤其是采用了目前国际上领先的“安全网关”技术，将“Firewall+VPN+IDS”技术的充分糅合，较单纯的Firewall技术具有不可比拟的优势，体现在：不

13、仅具有FireWall的保护内网、提供服务的功能，而且利用VPN技术，可以解决Firewall所不能解决的外网用户的安全接入问题（在本方案中，导致可以直接省略“拨号服务器”），同时可以不受接入数量限制，这使整个网络系统的可用性大幅度提高。利用IDS技术，不仅强化了本身的抗攻击能力，而且可以与IDS系统互动。实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。2.3 可靠性原则这套网络安全系统是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是

14、平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、备份技术就是其中的重要策略。2.4 可扩展性原则网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，在实现基本的网络互联以及被动防护系统（安装“安全网关及其管理平台”，配发远程移动客户（安全网关客户端）以及信息传输加密的前提下，为以后进一步实现网络的主动防护系统，主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口，便于以后的扩展以及与IDS等设备实现互动。2.5 易管理性原则网络系统的管理和维护工作也是至关重要的。在系统设计时既要充

15、分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。安达通公司提供“PKI网管平台”对安全网关、移动客户进行统一管理。另外，与“安全策略服务器”统一布署，可以统一管理安全网关、IDS、扫描系统的安全策略。另外，通过网管平台，可以实现远程安全管理和本地管理等多种管理手段。第三章 XX集团VPN网络建设方案3.1 VPN技术简介1、基于IPsec的VPN技术VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都

16、处于一个网络之中。对企业而言， VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。数据通过安全的加密管道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 在众多的VPN解决方案中，IP-VPN脱颖而出，成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是I