VPN解决方案+voipWord格式文档下载.docx

1、VPN定义 虚拟专网（VPNVIRTUAL PRIVATE NETWORK）指的是在公用网络上建立专用网络的技术，之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接，并没有传统专网所需的端口到端口的物理链路，而是架构在公用网络服务商所提供的网络平台（如INTERNET,ATM，FRAME RELAY等）之上的逻辑网络,用户数据在逻辑链路中传输。IPSec协议简介IPSec全称为IP Security协议，它是在Ipv6标准制定之中所产生的，用于提供OSI模型中网络层的安全性。由于目前Ipv4标准仍然被广泛使用，所以后来在IPSec也添加了对Ipv4标准的支持。IPSec的工作原理

2、类似于包过滤防火墙，用户可以将它看成一种“另类”的包过滤防火墙，当VPN设备接收到一个IP数据包时，这个“防火墙”会把它和自己预定义的规则表进行比较,当找到一个相匹配的规则时，这个“防火墙”会按照预先制定好的方法对这个IP数据包进行处理，一般处理只有两种方式:丢弃或转发。IPSec有两种工作模式：第一种是隧道模式，这种模式下，它会对整个IP数据包进行加密或认证，此时它会重新产生一个IP包头，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部；另外一种工作模式是传输模式,该模式下只对IP数据包的有效负载进行加密或认证，仍然继续使用以前的IP包头，只对IP包头的部

3、分进行修改，而IPSec协议头会插入到IP包头和传输层头部之间。VPN的功能 1.通过隧道（TUNNEL）或虚电路（VIRTUAL CIRCUIT）实现网络互联2.支持用户安全管理 3.能够进行网络监控、故障诊断 VPN解决方案的优点1.省 钱： 它可以节省长途电话费和长途专线网络费，能为用户节省3040的网络应用的开销。2.选择灵活、速度快：通过VPN网关,用户可以选择多种INTERNET连通技术,而且对于 INTERNET的容量可以实现按需定制；3.安全性好：VPN的认证机制将更好地保证用户的隐私权和收发数据的完整性；4.实现投资的保护:VPN技术的应用可以建立在用户现有的防火墙的基础上，

4、用户正在使用的 应用软件也不受影响。VPN技术原理 1.VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。2.VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。3.对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名. 4.VPN设备加上新的收据包头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。5.VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。6.当数据包到达目标VPN设备时，数据包被解封装，数据包被解封装，数字签名,数字签名被核对无误后,收据包被

5、解密。1.2.2 中怡数宽 VPN防火墙系列产品的定位作为一家专业生产网络设备的研发和生产厂商，中怡数宽VPN防火墙是专为成长型中小商用网络,或大企业的分支或部门提供的产品，并根据系列中每一个防火墙的不同规格和特性，分别应用于安全网络解决方案的中心点和分支机构中。1.2.3 中怡数宽 VPN防火墙系列产品的历史2002年5月新产品VPN防火墙上市2002年下半年，VPN防火墙出口北美和欧洲市场，变换为多个国际网络品牌的核心产品。2003年，产品相继通过国际ICSA产品测试和国际VPNC产品测试 2004年，正式进入中国市场进行自有品牌的销售2004年，通过国内公安部安全产品销售许可认证 200

6、5年底，推出中怡数宽全新第二代VPN防火墙系列产品2。4 中怡数宽 VPN防火墙主要特性 全部基于最先进的SPI动态数据包检测型防火墙技术 全部内嵌用户自定义防火墙 ，网络聊天工具的管理,BT等P2P下载软件的限制，正反向URL过滤。支持国内的动态域名服务,可支持VPN隧道的任意一边为动态IP地址来创建VPN网络，极大地降低用户VPN网络的组网成本 支持VPN HUB功能（VPN分支点只能互连，只要分支点的和中心点建立了VPN通道,所有分支点也可以相互通信）产品通过国际ICSA的测试 产品通过VPNC的VPN兼容测试 ，与国际主流VPN产品兼容完整的VPN产品线和灵活的解决方案5 中怡数宽 I

7、PSec VPN防火墙优点经 济:不需承担昂贵的固定专线的租费.由于DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增，分支越远，租费越高。而使用中怡数宽IPSec防火墙连接各个异地机构，只需要承担本地的Internet的接入费用,此外，中怡数宽IPSec防火墙功能强大，性价比高。灵 活：连接Internet 的方式可以是10M 、100M LAN端口，也可以是2M 或更低速的端口,还可以是便宜的ADSL 连接，甚至电话拨号连接都可以连接Internet ,因而可以适应多种的端口连接方式。广 泛：根据实际应用需求，可以选择不同规格和性能的中怡数宽IPSec VPN防火墙，既可以满足以低廉

8、的价格连接少量的分支，也可以适合连接众多的分支。IPSec VPN防火墙具有良好的扩展性,一个端口可以同时连接许多的分支，包括分支部门和移动办公的用户，而抛弃了SDH、DDN 等一个端口只能对应一个远端用户的传统模式.多业务： 通过中怡数宽的IPSec VPN隧道，可以将远程的VoIP话音业务和视频也可传送到远端分支和移动用户，也可以实现远程共享打印和远端监控,连通数据业务一起，为现代化办公提供便利条件，节省大量通讯费用。安 全：中怡数宽VPN 防火墙的显著特点就是它的安全性，这是它保证内部数据安全的根本。它能对所有在VPN隧道上传输的数据进行加密处理，支持DES、3DES加密算法,支持MD5

9、、SHA_1验证算法,并且支持自动IKE和手动Key Negotiation.所有VPN设备都内设可编辑规则的防火墙，能有效阻挡各种黑客攻击。灵活管理:中怡数宽IPSec VPN 防火墙可以设置各种权限管理，控制各个用户的访问权限，例如允许本地打印和文件共享访问,允许直接Internet 访问，外网正反向过滤，甚至可以严格控制每一个用户访问远端的网段,并详细记录了每一个用户的访问日志和连接状态,该特性使用户在安全条件下合理方便地使用网络资源，既有安全性又有灵活性。可扩充性：中怡数宽的VPN 防火墙使用标准的IPSec协议,确保企业用户可以将任何符合国际通用IPSec 标准的VPN设备，和目前现

10、有设备相互兼容使用,更方便的满足企业不断扩张，网络规模不断扩大的可发展性。 远程管理： 管理人员可以通过管理软件，远程配置达到对远端节点的管理工作。2、VPN解决方案企业网络现状和网络系统应用需求公司总部目前位于某市，在全国各地已成立近18个分支机构。现各分支机构已建成各种规模的具有不同Internet接入方式的独立局域网络。现需要各分支机构通过网络同总公司交换大量的业务数据和实施集团公司的信息系统，同时要保证数据的安全性，既防止数据不在网络上被恶意的窃取和篡改。VPN网络方案通过Internet公共网络通讯的数据容易遭受恶意的攻击，为保证数据通信的安全性，我们为贵公司提供基于VPN的网络连接

11、方案和中怡数宽品牌VPN设备:考量各方面的因素，方案中总公司做为数据的集中点，为保证其连接速度和连接响应时间,选用中怡数宽SAFEcon100 作为VPN 的SERVER端接入服务器。在各个地方的分支机构采用中怡数宽SAFEcon60做为VPN的CLIENT端,同总公司使用IPSEC协议技术，建立VPN连接。这样的VPN网络可以保证各地分分支机构同总公司网络进行实时的网络连接，各分支机构也可以相互之间实时连接（这个功能可以在中心设备中设置）。对于Internet直接接入用户或移动用户（公司管理人员可以使用的独立方式），可采用Windows操作系统自带的VPN拨号终端或VPN软件，通过PPTP或

12、IPSec的隧道协议直接连接到总公司。中怡数宽VPN防火墙性能介绍在该解决方案中共涉及到中怡数宽的两款VPN防火墙产品。其中SAFEcon100被用在网络中心点，它最多支持400条VPN隧道，作为中心点使用;SAFEcon60被用在各个分支机构，它具有高速度和高稳定性，可以支持多个用户在连接VPN的同时共享上网。SAFEcon100中怡数宽SAFEcon100主要被用在大型VPN网络的中心点。它能在建立VPN隧道的同时，支持多用户共享上网。它能够兼容目前国内绝大多数宽带接入方式,并且带有非常强的管理功能,能够控制VPN隧道的使用和访问权限，同时可以控制内部用户的上网权限等。使用最新VPN 防火

13、墙专用的Matrix 3D Engine技术,极大的提高了数据包处理速度采用标准的VPN协议：IPSec和PPTP，支持最多400条IPSec协议的VPN隧道，同时支持最多10个用户同时使用PPTP远程拨入。支持协议：NAT, NAPT，PPPoE， NTP， SNMP, SMTP, HTTP, TFTP， DHCP, TCP/IP, PAP， CHAP, RIP1， RIP2, DDNS。IPSec隧道安全标准:MD5-HMAC/SHA1HMAC authentication, DESCBC,AES， 3DES-CBC 加密技术， Internet Key Exchange, Manual

14、Key Negotiation。全部VPN隧道的加密工作都基于硬件完成支持VPN HUB功能支持VPN的NAT穿透功能最高数据包吞吐量99Mbps，VPN隧道传输速度可达20Mbps以上（3DES加密下）。支持的接入方式:Cable，ADSL（PPPoe）,PPTP,光纤等。基于WEB页面的管理方式,支持远程管理。内置SPI防火墙,同时带有可编辑规则的防火墙。支持外置RADIUS server认证功能。支持QoS服务质量管理内置40个地址列表，每个地址列表包含四个不同的IP地址段支持对常用IM程序管理支持虚拟服务器，DDNS:花生壳,3322，dyndns。UR正L反向过滤， 通过时间段 /

15、组来进行访问权限控制.支持DMZ功能.动态图形化日志监控系统,可自定义采样时间。限制PC的最高并发连接数字1个状态灯， 1个电源灯, 4个LAN连接传输 灯， 4个100M LAN灯， 1个WAN灯， 1个PPPoE灯， 1个Link/Act DMZ灯， 1个100 DMZ灯。430（L）*185。7（W）44.2（H）mm,标准1U机架.WAN端口：一个10/100Mpbs以太网端口；LAN端口：四个10/100Mpbs以太网端口；一个DMZ端口。内置110220V开关电源2 SAFEcon60SAFEcon60主要被用在VPN网络中小型分支机构。它能够兼容目前国内绝大多数宽带接入方式，并且

16、带有非常强的管理功能，能够控制VPN隧道的使用和访问权限,同时可以控制内部用户的上网权限等。IPSec和PPTP，支持最多10条IPSec协议的VPN隧道，支持最多10个用户同时使用PPTP远程拨入.NAT, NAPT,PPPoE， NTP, SNMP， SMTP, HTTP， TFTP, DHCP， TCP/IP, PAP， CHAP， RIP1, RIP2, DDNS。IPSec隧道安全标准：MD5-HMAC/SHA1HMAC authentication， DESCBC，AES， 3DESCBC 加密技术, Internet Key Exchange， Manual Key Negoti

17、ation。支持NAT穿透功能。支持的接入方式：Cable，ADSL（PPPoe），PPTP，光纤等.内置SPI防火墙，同时带有可编辑规则的防火墙.支持虚拟服务器，DDNS：花生壳,3322,dyndns。URL正/反向过滤， 可控制用户仅能访问和不能访问的网站。通过时间段 / 组来进行访问权限控制。Internet访问日志，访问控制日志，DoS攻击日志，电子邮件报告。1个状态灯, 1个电源灯, 4个LAN连接传输 灯, 4个100M LAN灯， 1个WAN灯。220（L）*150（W）*32（H）mm 桌面型防火墙。四个10/100Mpbs以太网端口。外置110220V开关电源解决方案架构通

18、过使用VPN防火墙设备，借助Internet建立多条隧道，确保网络中心点可以和各个分支机构都可以通过各自对应的隧道，对加密的数据进行内部传输.同时客户端软件可以为任何一个在外办公的工作人员，提供一条安全加密的逻辑链路，在此链路之上的用户只需要保证接入Internet网络便可以通过VPN客户端登陆，按照相应的权限访问到中心点的内部资源，而不用考虑其内部资源的IP地址是否为保留IP地址或真实IP地址，这种方式极大的方便了用户的远程办公，使远程移动办公自动化成为可能，同时实现了远程打印的功能。解决方案的架构可如上图所示相关之说明如下:在整个解决方案中，共使用了中怡数宽的两款产品：SAFEcon100

19、、SAFEcon60，分别被应用在不同网络需求的环境中,大体说明如下：由于SAFEcon100具有高速度、高性能等特点，且能支持400条VPN隧道，所以被放在整个方案的中心点使用，它可以和各个分支机构、移动用户之间建立VPN隧道连接，能够让用户及时、快速的访问中心点网络内的资料,而且SAFEcon100支持VPN HUB功能，各分支机构只要和中心点建立了VPN连接，则每个分支机构无需再建立隧道连接就可以连成一个网络。同时SAFEcon100内置防火墙功能，可保护中心点内部网络的安全；可将用户分成不同的组，对每个组分配网络使用权限；可以限制用户只能使用某个应用程序，例如只能使用E-MAIL而不能

20、浏览网页；可以划分时间段进行管理,例如员工只能在下班的后才有权限浏览网页等功能。在其它各个分支机构使用SAFEcon60。安装SAFEcon60后，分支机构不仅能和中心点建立VPN连接,同时还能和使用了SAFEcon60的分支机构之间建立VPN连接。SAFEcon60也内置了硬件防火墙,可以让用户通过它共享上网,并且支持多种高级管理功能；可以限制用户能够访问某些网站；可将用户分成不同的组，对每个组分配网络使用权限;可以限制用户只能使用某个应用程序,例如只能使用EMAIL而不能浏览网页;可以划分时间段进行管理，例如员工只能在下班的后才有权限浏览网页等等.对于出差在外的办公人员采用PPTP客户端拨

21、入中心点网络或分支机构的方法，来和中心点网络建立VPN连接。在该解决方案中，移动用户必须有中心点分配给个人的帐户密码,才能访问中心点的网络,这种方式可以使得中心点的网络更加方便、安全。解决方案特点中怡数宽（苏州）科技有限公司提供的VPN防火墙安全网络解决方案,符合以下特点:具有高扩展性由于该解决方案采用的是IPSec VPN防火墙进行网络基建，因此网络架构具有很大的弹性，当使用者需要扩展网络规模时，只增加VPN网络的PC，无需增加任何费用，只需要将需要增加的PC连接到该中心点或分支机构的VPN防火墙下，设置好相应的权限即可。同时，如果需要增加新的分支机构，将网络扩充,或是变更网络架构时，也只需

22、要增加任何一台支持IPSec VPN 防火墙/路由器,加入整个VPN网络的大网络即可轻易地达到目的。同时由于使用了中怡数宽VPN防火墙,可以适应多种公网连接方式，比如专线，光纤接入，Cable，DSL等，使用方便灵活：不受所在地域的ISP服务商的限制。高速稳定的网络在整个解决方案中，SAFEcon100作为整个VPN网络的中心点，具有高速度和高稳定性。经过SMARTBIT专业测试工具，其WANLAN之间的数据包吞吐量可以高达99Mbps，确保了所支持的隧道的数据高速传输，在3DES加密下环境下，VPN隧道传输速度最高可达20Mbps。解决方案中分支机构网络环境中使用的中怡数宽SAFEcon60

23、都支持断线重连功能，并且都带有VPN隧道自动重新连接功能。良好的网络安全性在解决方案的分支VPN网络架构中，内部局域网都受到相对应的中怡数宽VPN 防火墙管控，每一个客户端的所有的访问行为，和终端请求都受到严格的权限控制，并详细的记录入日志。同时不管是和上级的主管部门进行通讯,还是和下级的所属机构进行通讯,甚至是和其他同级的分支机构进行通讯，都可以根据每一个用户严格定义的权限,进行访问,确保了内部资料的保密安全.解决方案中所有的VPN防火墙能够层层控制用户的访问权限，即可以限制某些用户只能访问某一个局域网的某一些网络服务器;也可以控制在本地的分支机构使用的局域网中，任何一台客户端访问VPN网络

24、的权限，即部分员工可以访问VPN网络,而其它员工无权访问。由于在解决方案中使用的中怡数宽VPN 防火墙采用了多种安全机制，如信道（Tunneling）、加密（Encryption）、认证（Authentication）、防火墙（Firewall）及黑客侦防系统（Intrusion Detection）等技术,因此可以通过上述的各项网络安全技术，确保中心点的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料在解决方案中，所有在对应的VPN隧道上传输的的数据都经过3DES加密算法的加密处理（168位加密算法）,从而有效的保证了数据在Internet上的安全传输。

25、方便的管理与维护在解决方案中使用的任何VPN防火墙都支持简洁的Web网络安全管理系统，其特有的清晰简洁的管理界面，大大简化管理的复杂性，同时采用管理员密码进行登陆,所有的管理信息全部加密，确保管理的安全性。同时中怡数宽VPN防火墙支持远程登录管理的方式，可以保证网络管理人员，跨越地域限制，进行远程管理设置，使网络的管理十分轻松。中怡数宽SAFEcon100和SAFEcon60都带有强大的管理功能，从而能有效的简化网络管理员的工作内容。它们不仅能建立中心点和分支机构之间的VPN链路,而且能有效的管理分支机构的网络。它们可以控制分支机构内计算机的上网权限，可以将计算机进行分组管理,例如：其中一组计

26、算机只能使用E-MAIL收发邮件，而不能浏览网页或使用其它网络服务。而且它们都支持划分时间段的管理方式，例如：其中一组计算机只能在下班的时间内才有权限浏览网页。同时中怡数宽SAFEcon100和SAFEcon60本身也可以作为VPN服务器，分支机构可以使用它们来建立自己的VPN网络，从而便于将来用户的扩展.硬件设备的优势该解决方案主要基于硬件VPN设备完成,因此具有软件VPN无法比及的优势:脱离客户端的使用的操作系统环境，因此避免了网络的客户端感染病毒,而导致的网络的停滞。支持多种客户端操作系统，包括WINDOWS, UNIX，苹果机等操作系统。由于解决方案中使用的任何VPN防火墙都具有提供完

27、善的防火墙功能、路由功能,可以满足各个分支机构的局域网多种特殊需求。在现有的网络环境中增加客户端，都无需再次投资，并且设置简单方便。3配合VOIP的解决方案传统的电信服务电话费分为长途花费和市话费，其中长途电话的费用远远高于普通市话费，因此如何节约庞大的长话费用一直是企业的关心话题;企业的数据传输通常是间歇性的，而数据网络的收费则是固定的，也就是说，无论网络上是否有数据在传输,公司都得给ISP交费，这样数据网络就没有得到充分的应用,从而造成了网络资源的浪费；而且电话和网络属于2种独立的网络体系结构，配置和操作都是各自分离的,这样需要不同专业知识的工程师进行维护、各种不同的设备都需要占用一定的空

28、间、设备直接的连线不能通用、对环境的要求也各不相同、没有统一的管理平台；另外，对于网络的扩容和结构的更改也极为不便.VoIP的出现，将传统的电话和现有的互联网络巧妙的整合在一起,解决了一直困扰我们的难题.企业不但可以将旧的电话网络和VOIP整合,也可以单独构建新的VoIP,从而为企业节约了庞大的长途话费，也大大优化了后期的维护管理、网络扩容和结构更改.中怡数宽VOIP产品中怡数宽的SIP IP-PBX是一个完整的商用交换机系统，能提供企业完整的通信服务，应用于各种不同接口的连结需求，例如公众电信系统（PSTN）、SIP服务商、传真机、电话机、语音信箱、SIP IP Phone、SIP Softphone、Wifi-Phone以及各种SIP终端设备等等.中怡数宽的SIP分机宽带路由器，在宽带路由器的基础上整合了2口SIP分机，是分支机构首选产品。而SIP终端设备VC511E提供的可以把普通的模拟分机转换成SIP分机，SIP电话VP3220则可以直接连到SIP系统中拨打VOIP电话。中怡数宽的VOIP产品可以分SIP IP-PBX、SIP分机宽带路由器、SIP电话机、SIP终端设备。解决方案拓扑图:产品特性