网康VPN网络建设方案建议书.docx

1、网康VPN网络建设方案建议书VPN网络建设方案建议书第一章客户需求及相关技术介绍前言在网络技术迅速发展的今天,企业信息化已成为国际性发展趋势.但作为国民经济信息化的基础，企业信息化的建设和安全，同样越来越来受到国家和企业的广泛重视。建立企业内部局域网，实现企业内部沟通畅通，是信息时代所有企业集团的共同需求.今天,企业大量的业务都已经要依赖互联网来开展,很难想象，一旦离开互联网，企业的整个业务将处于一个什么样的状态。但在目前的状况下，大多数的企业也都同时面临着一个共同的问题:随着公司规模的不断扩大，各地办事处、分公司纷纷建立，每个分公司都以自己的局域网“各自为政”，并且总公司与各分公司之间的专线

2、维护费用和数据的安全传输.企业如何才能够安全、方便、快捷的建立起一个跨地区的企业网络系统，已经成为一个急需解决的问题。如何寻找一种切实可行的解决方案，既能安全可靠地解决总部与分部、分部与分部相互之间的安全通信及信息交换，又能最大限度保护原有投资,已经成为企业网络建设的当务之急.VPN技术方案的成熟，为这些企业用户提供了很好的解决之道，VPN技术能够提供可靠的数据加密、信息安全交换的能力,可采用的方案有点对点、用户对点、用户对用户的连接方式，能为企业的商业运作实现一个可靠、安全的数据传输网络。集团公司要求最大可能地保证其所有的网络和系统可以得到充分的信任,可以获得良好的管理,并能够完全控制与IT

3、基础结构相联系的安全风险水平。实现的总体目标是在不影响集团公司网络系统当前业务的前提下，实现对集团公司总公司和各分公司的网络的安全连接.客户介绍需求分析*不论是实施前期还是后期的运行维护管理方面，地域分布广、工程点分布多，那么在项目施工前期的工程协调以及项目运行后的自动化管理如何将这些点有机的通过信息网络连接在一起是我们现在需要解决的问题,同时考虑运行后的系统扩展.从目前的信息技术来看，具备这种特点的网络建议考虑采用VPN虚拟专用网络技术来实现我们的需求是最佳选择，以便于中心站统一管理、统一调度。*不论是前期实施阶段还是后期的运行管理阶段，尤其是在后期运行后的综合自动化系统结构庞大，如何实现这

4、一系统的高度自动化,其中首要条件是基础网络如何实现。综合自动化系统划分为： 共7个子系统组成。根据系统运行需求设立中心站、分中心站、子中心站：序号类别名称位置备注1233。13.23.33。43。53.6*中心站的网络建设已经初具规模,网络中部署了包括OA、EMAIL等业务系统。这些系统不仅要给内部人员提供服务，也要给移动办公、外出的人员提供服务。因此，对SSL VPN设备的并发连接数和性能提出了较高的要求.安全性SSL VPN产品必须满足两个最基本的要求：第一,必须使用SSL 协议进行认证和加密，没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证；第二，可以

5、直接使用浏览器进行操作，无需安装独立的客户端.可用性VPN系统的用户应该可以无缝地访问各种服务和应用，除了发起请求之外，其它访问过程应该对用户保持透明。高性能VPN设备通常需要完成加密、解密、传输、控制等大量的工作，性能是否充足是一个相当重要的参考因素。硬件VPN设备能够提供较好的性能表现，适用于性能要求较高的场合。在较大规模的应用环境中,更适合采用基于硬件的解决方案。第二章 VPN技术选型VPN即虚拟专用网(Virtal Private Network），是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而

6、实现在公网上传输私有数据、达到私有网络的安全级别目前,用于企业内部自建VPN的主要有两种技术IP Sec VPN和SSL VPN，IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联。1 IPSEC VPNIPSec VPN是基于IPSec协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议：“Authentication Header”（AH) 和 “Encapsulating Security Payload” （ESP） 。AH为数据流提供数据完整性认证的服务.ESP为所传输数据提供加密和数据完整性认证的服务。 IPSec协议通过AH和ESP协议对传输

7、的数据提供完整性认证和加密的安全服务。在密钥的获取方面,IPSec提供了IKE协议，使通讯的双方能够通过安全的自动协商获得相同的密钥。 Transport Mode 将原IP包中的数据部分进行封装，从而提供了端对端的安全连接。Tunnel Mode 封装整个IP 包 ，从而建立网关到网关间的安全的虚拟的一跳（hop）。利用Tunnel Mode建立跨越Internet区域的连接两个网关的隧道，从而组成传统方式的VPN。 传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSec VPN， 这种形式的VPN被广泛地使用在企业中，用于安全连接位于异地的企业计算机资源。2 SSL VPNSe

8、cure Sockets Layer （SSL/安全套接层）是由Netscape(网景）公司开发的用于在Internet上传递隐密的消息的协议.Netscape的安全套接层是利用RSA数据安全公司的公用密钥密码技术来实现的。RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统。公用密钥加密技术使用不对称的密钥来加密和解密,每对密钥包含一个公钥和一个私钥，公钥是公开广泛分布,而私钥是隐密的，只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密.认证是一个验明正身的过程,目的使一方能

9、够确信对方就是它本身。SSL安全协议主要提供三方面的服务：（1）认证用户和服务器， 使得它们能够确信数据将被发送到正确的客户机和服务器上；（2)加密数据以隐藏被传送的数据；（3）维护数据的完整性, 确保数据在传输过程中不被改变.与复杂的IPSec VPN相比，SSL VPN通过任何安装了WEB浏览器的设备都可以使用SSL通过互联网安全地访问公司企业的内部WEB应用，这是因为目前SSL技术已经内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为要有客户端软件。这一点对于拥移动和零散的用户访问总部提了极大的方便。通过SSL VPN是接入企业内部的应用，而不是企业的局域网络。SSL VPN利用

10、浏览器本身只能做到访问B/S(浏览器/服务器）应用和访问ftp 服务。如果要实现桌面级的应用，比如传统的C/S(客户/服务器)结构的系统,SSL VPN仍然需要安装专门的客户端。3 IPSEC VPN与SSL VPN对比3。1 IPSEC VPN的优点日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可，IPSec仍然是作为站点到站点的VPN事实上的标准。IPSec VPN通过在互联网上的两站点间创建隧道提供直接接入,一旦隧道创建，远程PC就如同物理地处于企业总部LAN中,为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSec VPN隧道

11、连接，远程的办事处和移动用户就能几乎总部局域网的所有应用和资源,而不象SSL VPN具有一定的局限性。IPSec VPN的优点是：最适合局域网到局域网的通信，适用性更大。3.2 SSL VPN的优点无需安装客户端软件或客户端设备,只需通过Web浏览器即可以通过网页访问到企业总部的网络资源,免去了客户端的成本，维护、管理成本也大为降低。SSL VPN方案实施起来非常简单，只需要在企业的数据中心部署SSL VPN网关即可,无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可。SSL VPN的管理工作属于集中管理和集中维护模式，可以极大地降低

12、管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点,而且还可代理访问公司内部资源。因此，这种方法可以非常安全的。为那些简单远程访问用户（仅需进入公司内部WEB、FTP网站或者进行Email通信)，基于SSL 的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问:基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源. 为了让移动工作者、协办厂商、海外员工、企业合作伙伴或客户都能存取不同的企业资源，可考虑采用SSL VPN技术。SSL VPN 的设计可满足不同使用者的存取需求，以便随时随地安全地存取管理人员限定其存取的企业资源.如果使用者的

13、身分或环境改变时,它还允许管理人员改变其存取方式即可存取的资源。经过设定后,SSL VPN 可检查终端设备是否符合安全政策规范，并根据检验结果限定可存取的资源，或告知使用者如何修订其联网设备。再搭配上严密的存取控管与终端设备防御功能，可消除未受保护终端设备、非信任网路，或XX使用者可能带來风险。在此情况下，SSL VPN 让使用者能够随时使用任何内建网络浏览器的电脑存取企业资源。考虑选择IPSEC VPN还是SSL VPN可参考下面对比清单列表.IT环境IPSec VPNSSL VPN连接类型固定连接短暂连接设备类型可控的公司设备经常变动的设备接入类型Sitetosite远程员工，合作伙伴,客

14、户访问控制允许增强的接入管理策略用户类型IPSec VPNSSL VPN远程办公室员工IT维护员工移动员工临时人员顾问客户商业伙伴客户端网络和设备IPSec VPNSSL VPN设备类型企业拥有并管理无管理的网络类型信任的不信任的特别用途远程或分支办公室宾馆Internet访问;公共终端(网吧等);客户或商业伙伴的PC；家庭网络应用和内容IPSec VPNSSL VPN全网段，无需应用访问控制需要访问控制的网络，无论内网和准内网Web应用C/S应用内网应用Email文件服务器3。4 SSL VPN产品特点 在进行SSL VPN产品选型时，可遵循以下原则：灵活性： SSL VPN产品应该可以最大

15、限度不改变原有网络拓扑部署到用户网络中。可实现旁路和串联接入。可部署实现客户端与网关互联和网关与网关互联的VPN服务。易用性: SSL VPN产品可实现客户端不安装客户端软件,不运行安全控件，即可通过SSL VPN安全隧道访问内部各种应用。规范性： SSL VPN产品应遵循SSL协议规范，产品任何功能，任何访问均已SSL协议为基础实现。应用支持完整性： SSL VPN产品可以实现客户端对各种B/S、C/S服务的访问。安全性： SSL VPN产品应具有完整和丰富的认证功能来满足各种级别的认证等级需求。应具有细粒度的访问控制，实现不同用户允许访问的应用不同。应具有安全功能以保证内网服务器免受攻击和

16、非法访问.应具备客户端安全性检测功能，保证接入安全。应具有强大的安全审计功能,以便管理员对用户访问进行跟踪。高效性: SSL VPN产品可采用压缩技术、缓存技术以及专业的加速技术，提高信息传输效率，保障用户访问内部应用系统畅通迅速。可靠性： SSL VPN产品可提供完整的冗余解决方案，可以做到主从热备,负载均衡以及集群部署，提高业务系统的整体性能和运行可靠性。第三章 IPSEC&SSL VPN方案*的网络建设已经初具规模，网络中部署了包括OA、等业务系统.这些系统不仅要给内部人员提供服务，包括未来与各个站点进行数据互联，也要给移动办公、外出的人员提供服务.基于客户未来发展的需要，北京网康科技建

17、议采用IPSECSSL二合一的VPN产品解决方案，满足移动办公、外出人员的内网访问需求以及业务系统使用的需求,同时考虑贵单位未来发展的需要，预留与各下级分站点数据互联的IPSEC接口,节省设备投资，满足未来发展的需求.1 网络拓扑结构2 产品部署根据以上需求分析，在中心端我们建议选择北京网康 ASG二合一 VPN 网关 NV 5000-25F来满足需求。主要参数如下表所示：性能参数并发用户：4000。每秒新建用户：400用户/秒.防火墙吞吐量：1。5GbpsSSL加密速率:500Mbps。IPSEC 加密速率：710Mbps硬件规格网络接口:6个10/100/1000M自适应电口，4个SFP光

18、接口.串口：1个Console接口；1个MAG接口.电源:交流单电源。机箱：标准2U，可上机架。MTBF:8万小时。在具备一定规模局域网(用户在30个以上的时候）的分中心站采用网康科技ASG VPN网关NV300010来满足需求,当然如果前期用户较少的话我们可以先用客户端对网关的方式来代替，待用户规模起来后再用网关的方式取代客户端。NV300010主要参数如下表所示：VPN性能参数并发用户:600。每秒新建用户：60用户/秒.防火墙吞吐量：200Mbps.IPSEC加密速率：220Mbps。SSL加密速率：150 Mbps。硬件规格网络接口：4个10/100兆自适应电口。串口:1个Consol

19、e接口.电源：单电源。机箱：标准1U，可上机架。MTBF：8万小时。在用户数量较少的子中心站或出差用户我们采取客户端对网关的方式来实现远程登录。在远端用户访问专网资源的情况下，我们可以通过SSL VPN网关的web安全访问秘隧道隔离技术来限制用户是否可以访问互联网。第四章 北京网康科技产品优势我们相信，只有专业才能造就品质。网康科技的SSL VPN+IPsec系列产品远程访问系统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统,和商业VPN远程访问系统比较，我们的技术优势包括:3.1安全性高ASG VPN系统从加强对用户身份的鉴别和审计，对用户分组设置访问权限，以及访问行为进行管

20、理和自动监控等方面同时入手，确保数据的保密性和安全性。 用户鉴别。除了使用用户名口令方式进行用户认证,ASG VPN系统可以强制要求客户端使用数字证书来完成认证，同时数字证书与用户所使用的计算机绑定，用户的一个账号只能在某一台计算机上使用，实现用户的双因素认证,大大强化了认证强度和减少账号的出借外泄。ASG VPN远程访问系统支持的用户鉴别机制包括: 本地用户名、密码认证 数字证书 LDAP认证 CALIS认证 RADIUS认证 硬件UKEY认证 Token认证 可以基于用户组在网关和客户端设置两级访问策略限制并强制执行，规范用户的访问内容,彻底避免用户客户机的二次代理问题。 用户行为控制。A

21、SG VPN系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长,在线时长，速度上限，访问流量上限等安全策略配合使用,实现对用户访问动作的管理。如防止用户长时间登录到ASG VPN系统但不发生访问行为，浪费并发用户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接,等待管理员审核并处理后重新激活用户方可正常使用。3。2全面的VPN解决方案ASG VPN远程访问系统远程接入采用基于SSL协议的VPN技术,节点互联采用基于IPSEC协议的VPN 技术，充分发挥各种技术特点，这样无论从使用和管理上都实现了最大的安全化

22、，以及简单最大化。3.3使用简单、方便传统的远程访问设备，如果在政府与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技ASG VPN远程访问系统采用专有的网络技术,可以灵活的部署于政府内部的任何位置，实现透明接入,不需要对政府的内部网络设备做任何的更改配置即可实现远程接入功能。位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASG VPN远程访问系统充分考虑到了这点,无论是利用浏览器还是利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN远程访问系统能够通过以下网络接入方式来提供访问。 各种宽带连接

23、各种拨号连接，ADSL,PSTN,ISDN等等 各种无线连接，GPRS,CDMA等等 各种NAT环境，无需额外设置 通过代理服务器访问3。4专用技术提高终端用户资源访问速度ASG VPN远程访问系统通过两种方式来提高终端客户访问下载的速度。第一种方式是通过采用ZLIB压缩格式来压缩传输的数据以提高传输速率.第二种方式是通过采用TCP/UDP传输协议的最优化切换技术,该技术自动检测UDP通道的可用性以及性能状态,如果UDP通道可用并且性能良好，则优先使用UDP隧道进行数据的传送，否则自动切换TCP隧道进行数据的传送，在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。3。5详

24、尽的统计功能ASG VPN远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。用户审核管理模块主要功能： 现场注册 用户信息比对和审核 用户信息开户和登记表打印 用户开通信息EMAIL通知 用户管理 排序 查询 挂起激活 销户 有效期操作 操作员管理 用户信息同步3.6访问统计图标注册统计模块是网康科技定制研发，行业中独有的,具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统.例如： 用户自定义注册

25、 管理员通过后台手动审核注册用户 根据定义策略系统自动审核注册用户 详细的登录日志（如图） 强大的图表功能 （如图) 3.7分级管理功能ASG VPN远程访问系统提供分级管理功能,通过运用分级管理，管理人员能够根据人员分配和管理的情况，分别分配不同的管理权限。ASG VPN远程访问系统分级管理功能如下： 添加系统管理员 用户申请 审核用户 管理用户 到期用户管理 客户端总流量 用户登陆统计 用户登陆明细 NAT流量统计 电子资源访问统计 在线用户 证书管理 系统日志3.8高扩展性ASG VPN远程访问系统具有极高的可扩展性，充分保证了用户的现有投资.用户可以针对未来的使用需求进行灵活的产品扩展

26、： 增加并发用户，无需更换硬件设施 增加负载均衡功能，无需添加任何模块 增加高可用性功能，无需添加任何模块综上所述，我们可以了解到ASG VPN系统不仅是一个VPN，而是一个专门为大型企业和政府部门以及其分支机构定制的以SSL VPNIPsec为核心的访问控制系统,是一个有效的电子资源的访问和管理工具。通过我们与众多使用单位的技术人员和管理人员交流、讨论,以及实际中的测试和使用，设计上充分听取用户的意见，系统既满足了终端用户的电子资源访问需求,同时也着重考虑和实现了ASG VPN系统与政府机构和企业业务流程的衔接以及对远程访问读者的行为的管理，以实现安全、可控的远程访问第五章 报价及工程实施解决方案报价购买设备型号单价(元）数量（台）小计NV500025F（内置100个用户许可)1NV3000-10（内置20个用户许可）1SSL用户许可总计设备安装过程安排设备订货10 天安装05天/每点培训0。5天/每点可集中培训设备保修1年免费保修终身有限保修