VPN技术设计方案Word文档格式.docx

1、方便与安全相互统一原则；全面防护、突出重点原则；分层、分区原则；整体规划、分布实施原则；责任明确，分级管理，联合防护原则。安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。一些部分强调过分则产生浪费，一些部分措施薄弱可能发生危险。安全强度和付出的代价要均衡考虑。网络安全设备对对不同网络结构要有很好的适应能力，满足不同网络应用的具体需求，在网络环境发生变化时，安全设施能随网络扩展要求进行灵活的扩充而不改变或尽量少改动原来的结构。网络安全不单靠先进的安全技术或安全产品来实现，必须结合管理，尤其是当前我国发生的网络安全问题中，管理问题占相当大的比例，在建立网络安

2、全技术设施体系的同时必须建立相应的制度和管理体系。具体参考以下设计原则：安全保密性原则XXX信息网汇集和管理着大量的核心、秘密、敏感资料、关键性资料，安全保密性是系统建设的重要前提。遵循安全保密原则，做好系统的安全保密性设计，确保系统安全运行尤为重要。包括：信息处理和传输系统的安全，网络上系统信息的安全，网络上信息传播安全、使用加密机制进行安全加密传输等。先进性原则采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系，使新建立的系统能够最大限度地适应今后的业务发展变化需要。可扩展原则网络的设计必须体现开放性。网络中的硬件与网络协议必须采用与国

3、际标准兼容的开放协议，并建立在可扩展的平台上，随业务发展的不断扩大，保证网络平滑过渡。可靠性原则我们建设XXX信息网的重要目的之一是在各个节点之间实现安全的信息共享、达到协同办公、提高办公效率和透明度的目的。系统运行后，每天都要处理大量的数据。任一系统故障都会给用户带来不可估量的损失，这就要求系统具有高度的可靠性。所以在网络体系的建设中必须考虑网络的可靠性，在能力的许可范围内，提供冗余设备，以双机热备或者负载均衡的模式下接入网络中，降低故障发生的可能性，同时配以高质量后备式电源，确保数据传输过程中的安全性。标准化原则 标准化建设有利于避免重复投资、节约成本、方便管理、提高各系统的兼容性和系统的

4、可扩展性。因此XXX信息网建设应依据有关政策文件的规定，使接入数据项结构统一化、标准化；使接入网络支持统一的身份认证规范；使各接入网提供符合专网数据接口的标准和规范。统一规划原则XXX信息网建设是一个复杂的系统工程，在系统的建设过程中，必须把全公司的网络系统建设规划设计作为发展目标规划和工作任务的首要内容，结合安全系统的建设规划，以统一的基调，推进交换体系的建设。统一管理原则统一管理在于通过先进的网络管理系统，采用统一品牌和系列型号的网络安全设备，使得全公司网络能够在一个有效的管理体系下工作，同时，建立合乎规范和具有实用性的网络设备运行管理条例及设备配置手册，控制和监督网络设备的运行情况。成本

5、控制为了在全公司范围内建设一个多类型业务运行的承载网络平台，在资金的使用上，可以采用由统一组织项目的实施，设备统一集中政府采购的方式进行，各级机构以统一的标准，负责本地化相关项目建设的方式。其优势在于提高设备兼容性，减少由于建设环节太多而造成的工期延误，费用增加的不良现象发生。技术与管理相结合的原则系统建设必须与业务流程优化、整合相结合，最大限度挖掘信息化带来的效益。安全是本系统建设的关键，安全体系包括安全技术体系和安全管理体系两个层面，系统的安全性只有通过两个层面的有机结合才能有效保证。因此，在系统建设过程中必须同步建立相关管理策略和制度。一.5 方案总体设计思路本方案的设计以可信网络架构T

6、NA的设计思想为主线，通过本方案的设计与产品部署，通过VPN系统的实施，来满足本次信息安全技术防护的基本目标；通过与XXX现有安全管理制度的结合，逐步建立起完善的、可信的信息安全技术管理运维平台。方案设计总体框架图如下：方案设计总体框架图如上图所示，本设计方案将以TNA架构为思想，最终构建一个以VPN安全管理平台为核心的信息安全技术运维平台，并与安全技术防护体系、安全管理制度，及日常运行维护有机地结合起来。一.6 方案设计内容针对XXX信息系统VPN安全防护的特殊需求，本节设计内容将以可信网络架构为引线，进行详细的阐述。一.6.1 可信网络架构TNA模型“可信网络架构”是基于天融信公司强大的技

7、术实力和先进的服务理念提出来的，旨在通过对现有信息安全产品和信息安全子系统的有效整合、管理与监控，结合可信网络的接入控制机制、网络内部信息的保护和信息可信传输机制，实现对用户网络的可信扩展与监管，并提供完善的信息安全保护。通过对用户网络安全系统的动态评估与完善，有效提升用户信息系统安全防御能力。 “可信网络架构”主要包括可信安全管理系统（TSM）、网关可信代理（GTA） 、网络可信代理（NTA）和端点可信代理（PTA）四部分组成，从而确保安全管理系统、安全产品、网络设备和桌面终端用户等四个安全环节的安全性与可信性，最终通过对用户网络安全资源的有效整合和管理（如下图所示）， 通过基于可信代理（P

8、TA、NTA 或GTA）的可信网络安全接入机制，实现“可信网络”的动态扩展，防止用户敏感信息的泄漏。可信网络安全模型TNA该架构最大的不同是实现了对用户现有资源的合理整合与管理，改变以往针对某一安全事件所采用的安全管理体系，实施对用户网络安全全面的、系统的、集中的安全管理，各安全产品之间实现真正的关联与联动，从而大大地为节省资源，而整个架构实施的是动态全程安全管理，可以实现用户可信网络安全应用范围的无限拓展，而且还有一个重大的改变，极大地满足了信息系统保护的要求，完成多层次的积极防御和综合防范。一.6.2 加油站、油库、地区公司与大区公司VPN传输互连方案设计XXXVPN互连设计方案，必须依照

9、安全“平台化”的建设思想，针对系统业务的共性，构建一个“统一规划、统筹安排，统一标准、相互配套”的安全平台。为了保证所有在网络上传输的重要数据信息，必须使用VPN系统对公共网上的重要数据进行处理。处理后的数据不仅能够保护数据的私密性，还具有信息身份认证功能和抗攻击功能，其他人无法将伪造的信息在VPN隧道上传输；并且即使他人截获了数据信息，也无法对加密的信息进行破解。对于加油站、油库、地区公司与大区公司VPN互连设计方案中，大区公司网络节点是其它各级网络节点的服务器端，也是整个VPN传输网络设计方案的中心节点。具体设计拓扑示意图如下图：加油站、油库、地区公司与大区公司VPN传输互连设计图如上图所

10、示，对于大区公司网络节点而言，必须作为整个网络隧道传输体系的服务器端，各加油站、油库，及地区公司网络节点则是客户端。同时，对于通讯链路的建设不仅要充分考虑数据下载的速度，还要充分考虑数据上传的速度；另外，加油站、油库内各系统利用ADSL接入互联网，与大区公司进行实时数据传输，单次交易数据量按照0.5K计算，客服数据按1K计算，并发数在6个以上，系统并发请求较多，因此对链路质量和数据传输的实时性要求较高。因此尽量选择带宽传输速率较高的ADSL线路，如2M或者以上。因此，在本次方案设计和产品选型中，可以在各大区公司网络节点配置千兆高端VPN网关产品，在各加油站、油库，及地区公司网络节点配置普通百兆

11、VPN产品，其传输模式均是VPN网关与VPN网关的互连方式。在实际的实施配置过程中，大区公司网络节点的千兆高端VPN产品可以部署在路由或者透明模式下，并分配与下级网络节点互连的IP地址，而各加油站、油库，及地区公司网络节点的百兆VPN产品既可以配置在路由模式，通过NAT方式联入上一级网络系统，进行数据加密的传输，也可以配置在透明模式下，设置一个对外通信和管理的IP地址即可，无需改变内部网络的结构和路由情况。具体对大区公司、加油站、油库，及地区公司网络节点VPN互连的证书下发、导入和策略配置可以通过销售公司总部网络节点的VPN集中管理平台来完成。一.6.3 加油站、油库、地区公司与销售公司总部互

12、连方案设计对于各加油站、油库、地区公司与销售公司总部的互连方案来说，可以通过各加油站、油库、地区公司与大区公司的VPN传输网络，再经由大区公司与销售公司总部的专线网络来实现敏感数据的安全传输。对于本系统，依据网络安全的最佳设计原则，既达到了设计目标的要求，又能达到节约安全投资的目的，推荐的设计方案拓扑图如下图：加油站、油库、地区公司与销售公司总部VPN传输互连设计图在实际应用中，对于加油站信息管理系统而言，由于总部系统和站级系统在架构中上处于对等关系，即总部系统会向站级系统进行数据的读写，站级系统也会向总部系统进行数据的读写。因此，在双方进行数据传输和读写时，可以首先通过加油站与大区公司的VP

13、N传输线路实现公共网上的加密传输；再由大区公司经由专网与销售公司总部实现相关信息的安全传输。一.6.4 天融信网络卫士VPN产品的功能特点系统架构图天融信网络卫士VPN产品系统架构图支持完全内容检测CCI技术网络卫士VPN采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。支持CleanVPN技术网络卫士VPN产品同时具备防火墙、VPN和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。详细功能如下：类别功能详细描述工作模式支持透明、路由、混合模式网络适

14、应性路由支持静态路由、动态路由。支持基于源/目的地址、接口、Metric的策略路由。支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。支持RIP、OSPF等路由协议。组播支持IGMP组播协议。支持IGMP SNOOPING。可有效地实现视频会议等多媒体应用。VLAN可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由。支持802.1Q，能进行封装和解封。支持ISL，能进行ISL的封装和解封。在同一个Vlan内能进行二层交换。生成树支持802.1D生成树协议。ARP支持ARP代理、ARP学习。可设置静态AR

15、P。DHCP支持DHCP Client、DHCP Server。接入支持ADSL等宽带接入。支持PPPOE拨号接入。其它支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间。支持IPX、NetBEUI等非IP 协议。SSL VPN安全算法支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择协议类型支持SSL 2.0/3.0 TLS 1.0数据压缩支持高效流压缩算法用户认证支持“用户名口令”、“用户名口令图形认证码”认证支持X.509数字证书认证支持数字证书UKEY+口令多因子认证支持公共帐户登陆，支持临时禁止帐户登录支持本地数据库认证支持基于LDAP/R

16、ADIUS/TACAS等协议的外部服务器认真用户授权支持分组授权、支持独立用户授权和授权继承支持基于URL、访问路径、访问文件、访问动作的细粒度授权支持基于时间的访问授权方式支持本地授权、支持外部组映射授权、支持证书用户授权应用支持支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS远程文件共享实时监控实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息支持对使用公共帐户登录用户进行独立监控支持主动中断在线用户的隧道连接日志审计详

17、细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息支持多级审计日志，可以灵活配置审计级别支持日志本地保存，支持将日志上传到外部日志服务器支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统计端点安全支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹支持拔KEY隧道自动中断支持用户超时自动退出，超时时间可以设置IPSEC VPN协议支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式算法支持MD5/SHA1等标准HASH算法支持国家商密专用的SCB2算法支持高效数据流压缩算法隧道认证支持预共享密钥、数字证书认证，支持扩

18、展认证支持网状、树型、星型等多种VPN网络拓扑支持隧道的NAT穿越、双向NAT隧道建立支持全动态IP地址间的VPN组网支持隧道转发支持多机多隧道的负载均衡和冗余备份方案支持隧道内的访问控制PKI证书格式支持X.509 V3数字证书，支持DER/PEM/PKCS12多种证书编码本地CA支持内置CA，为其他设备或移动用户签发证书支持本地CA根证书、根私钥的更新支持证书废弃，支持生成标准CRL列表第三方CA支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表支持通过OCSP/LDAP等协议在线认证证书防火墙功能内容过滤采用完全内容检测

19、（Complete Content Inspection）技术。支持基于流、数据包、透明代理的过滤方式。支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。支持URL过滤。支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制。可限制BT，eMule，eDonkey等P2P应用。可屏蔽受保护主机/服务器系统信息，如替换服

20、务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。包过滤基于状态检测的动态包过滤。基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。支持基于用户的PPTP的访问控制。支持报文合法性检查。动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。可实现IP/MAC绑定。防御攻击非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。统计型报文攻击：Synflood、Icmpflood、Udp

21、flood、Portscan、ipsweep。 Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。CC攻击：可通过设置端口和阀值阻断CC攻击。可记录攻击日志和报警。NAT支持双向NAT。支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式的地址转换。支持虚拟服务器功能。安全管理支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。支持使用第三方认证，如RADIUS、

22、TACACS/TACACS+、LDAP、域认证等安全认证方式。支持Session认证、HTTP会话认证。支持认证保活功能。可将认证用户信息加密存放在本地数据库。日志支持Welf、Syslog等多种日志格式的输出。支持通过第三方软件来查看日志。支持日志分级。支持对接收到的日志进行缓冲存储。可对日志进行加密传输。监控支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。可根据配置文件进行错误恢复。报警内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。支持邮件、NETBIOS、声音、SNM

23、P、控制台等多种组合报警方式。带宽管理QoS流量整形QOS带宽管理。根据IP、协议、网络接口、时间定义带宽分配策略。支持最小保证带宽和最大限制带宽。支持分层的带宽管理。优先级支持8级优先级控制。高可用性双机热备支持双机热备（Active-Active，与Active-Standby两种模式）。支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复正常情况时抢回主设备状态。支持VPN网关的双机热备功能。其它功能支持链路备份功能。支持双系统引导。支持Watchdog功能。配置管理配置方式支持WEB图形配置、命令行配置。支持本地配置、远程配置。支持基于SSH、SSL的安全配置。命令行支

24、持配置命令分级保护。支持中英文。支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本。与当前通用的网络管理平台兼容，如HP Openview 等。系统升级支持双系统升级。支持远程维护和系统升级。支持TFTP升级。报文调试提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。支持发送虚拟报文。配置恢复可以进行配置文件的备份、下载、删除、恢复和上载。时钟调整支持网络时钟协议SNTP，可自动根据NTP服务器时钟调整本机时间。工作环境工作温度、湿度：温度040摄氏度，相对湿度595%（非冷凝）;存储温度：-4070摄氏度；可以提供冗余电源，规格：电压：AC 90-260V频率：47-63HZ输入电流：8.0/5.0A 115/230V功率：400W （千兆/最大）、260W（百兆/最大）物理尺寸（宽x高x深）：426*88.5*464mm/12kg（千兆）、426*44*330mm/5.7kg（百兆）