VPN解决方案.docx

1、VPN解决方案VPN解决方案第一章VPN(Virtual Private Network)概述虚拟私有网(Virtual Private Network ,VPN)，又称虚拟私有拨号网(Virtual Private Dialup Network ,VPDN)，是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟私有网。虚拟私有网实际上就是将Internet看作一种公有数据网

2、(Public Data Network)，这种公有网和ISDN/PSTN网在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。至于“虚拟”，则主要是相对现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用ISDN/PSTN物理线路相连的，而虚拟私有网提供的是Internet上的虚拟链路。这种利用Internet来组建私有网的方式对Internet服务提供商(ISP)和VPN用户都是有益的。使用VPN技术架设的网络相对于专线连接或ISDN/PSTN接入方式可

3、以为用户带来诸多的优点。1.费用低廉对于VPN用户而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，无疑是非常有吸引力的。如果愿意，企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的ISP来完成。2.高安全性虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建

4、在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。第二章 网络解决方案第一节：网络现状和系统需求应用需求现有公司总部为中心点，并已成立省级分公司30个，同时各省级分公司下属地市级分公司若干。现各分支机构已建成各种规模的具有不同Internet接入方式的独立局域网络。现需要各分公司机构通过NASI系列VPN防火墙产品建立虚拟私有网络和公司总部交换大量的业务数据，同时要保证数据的安全性，既防止数据不在网络上被恶意的窃取和篡改。第二节：VPN网络解决方案通过Internet公共网络通讯的数

5、据容易遭受恶意的攻击，为保证数据通信的安全性，我们提供基于VPN的网络连接方案和NASI品牌VPN设备：考量各方面的因素，以及分支机构的网络规模不同，我们将整个VPN网络划分为二个不同的分布式VPN网络连接构成。既省级分公司同总公司建立一级VPN网络连接，省级分公司同下属地市级分公司建立独立的二级VPN网络连接。方案中总公司做为数据的集中点，为保证其连接速度和连接响应时间，选用NASI BV-700/BV-703 作为VPN 的SERVER端接入服务器,并利用其高性能的防火墙功能建立更安全的内部网络。在省级分公司采用NASI BV-603(规模中等级别)或NASI BV-601(规模小型级别)

6、做为VPN的CLIENT端，同总公司建立VPN连接。对于地市级的分支机构，采用NASI NS-1000做VPN的CLIENT端，同上属的省级分公司建立VPN连接。对于Internet直接接入用户，可采用Windows操作系统自带的VPN拨号终端，通过PPTP或IPSec的隧道协议直接连接到总公司。VPN网络拓扑设计如下第三章 防火墙产品功能及特点介绍NASI BV-703 防火墙功能和特点：易于管理l NASI BV-703 对于网络存取规则(Po icy)的设定有群组(Group)的观念。您可定义一群使用者与依群服务项目(Service)，并以此来设定网络存取规则。例如您可将财物部门PC的I

7、P Address设定成一群组取名为“财务部”，再将DNS，SMTP 及 POP 的服务设定为一群组取名为“标准服务”，然后设定一网络存取规则为“允许财务部使用标准服务”，如此一来财务部的人员仅能使用 POP及 SMTP 来收发 E-Mail 而无法使用其它的服务，如 用 Web 浏览器来浏览Internet上的网页。l NASI BV-703 的工作排程(Sheduler)可让您设定您定期要做的工作，例如您想对公司内部网络的存取权限，在上班与下班时间想做不同的设定。或者您想让NASI BV-703定期将纪录文件E-Mail给您。l 完整的事件纪录功能，纪录您对 NASI BV-703 所做设

8、定的内容与时间，万一在网络出现不正常的情况时，让您在可随时检查之前是否有做了不当的设定。l 具备纪录统计分析功能，以图表的方式显示交通流量，使用者联机资料量及联机时间。l 经由Web浏览器管理接口，您可以很容易的将设定下载到您自己的计算机上，或是将先前储存的设定档上传到NASI BV-703。管理者更能够透过一台 NASI BV-703，新增各种不同的设定档，然后上载到个别的NASI BV-703。l 使用Web浏览器管理接口，您可以很容易的更新新版的韧体。本公司会在网站上公布新版的韧体。l 支持 Sys og Server，除了标准的监控记录外，NASI BV-703 还可以产生详细的事件纪

9、录网络记录到其它的Syslog Server。l NASI BV-703支持 静态路径 (Static Routes) 的设定，可设定为支持有内部路由器 (Router) 的环境 。l NASI BV-703 可以设定为DHCP Server，可以集中管理网络上PC的TCP/IP的设定。包含 IP Address，Subnet Mask，DNS Address 和 Gateway Address。l 无使用者人数的限制， 无网络扩充方面的问题。l 提供中文操作接口及线上说明文件，可让不习惯英文操作接口的管理者也可很容易地管理 NASI BV-703。高度的安全性l NASI BV-703 使用

10、一种状态封包检查(Stateful Inspection)的技术， 来过滤穿过防火墙到内部网络的封包，内定只允许由安全的内部网络使用者所主动建立的联机资料可由 Internet 进来，其它封包将会被阻挡。l NASI BV-703 的工作排程(Sheduler)可让您设定您定期要做的工作，例如您想对公司内部网络的存取权限，在上班与下班时间想做不同的设定。或者您想让NASI BV-703定期将纪录文件E-Mail给您。l 完整的事件纪录功能，纪录您对 NASI BV-703 所做设定的内容与时间，万一在网络出现不正常的情况时，让您在可随时检查之前是否有做了不当的设定。l 具备纪录统计分析功能，以

11、图表的方式显示交通流量，使用者联机资料量及联机时间。l 经由Web浏览器管理接口，您可以很容易的将设定下载到您自己的计算机上，或是将先前储存的设定档上传到NASI BV-703。管理者更能够透过一台 NASI BV-703，新增各种不同的设定档，然后上载到个别的NASI BV-703。l 使用Web浏览器管理接口，您可以很容易的更新新版的韧体。本公司会在网站上公布新版的韧体。l 支持 Sys og Server，除了标准的监控记录外，NASI BV-703 还可以产生详细的事件纪录网络记录到其它的Syslog Server。l NASI BV-703支持 静态路径 (Static Routes

12、) 的设定，可设定为支持有内部路由器 (Router) 的环境 。l NASI BV-703 可以设定为DHCP Server，可以集中管理网络上PC的TCP/IP的设定。包含 IP Address，Subnet Mask，DNS Address 和 Gateway Address。l 无使用者人数的限制， 无网络扩充方面的问题。l 提供中文操作接口及线上说明文件，可让不习惯英文操作接口的管理者也可很容易地管理 NASI BV-703。高度的安全性l NASI BV-703 使用一种状态封包检查(Stateful Inspection)的技术， 来过滤穿过防火墙到内部网络的封包，内定只允许由安

13、全的内部网络使用者所主动建立的联机资料可由 Internet 进来，其它封包将会被阻挡。l 具备网络攻击DoS (Denial of Service) 的侦测与阻挡，例如: Ping of Death， SYN Flood，ICMP/UDP Flood， Land Attack，IP Spoofing 等等。此类的攻击会随着一般操作系统(Windows or UNIX)漏洞的发现而增加，本公司会随时关心此种漏洞一但有所发现会立即修改韧体并主动通知用户更新韧体。l 提供追踪警示功能，NASI BV-703 会记录与安全相关的事件，您可以透过浏览器，利用 NASI BV-703提供的管理接口来观看

14、这些记录。另外，这些记录也可以透过 E-Mail 送给您。管理者也可以设定 NASI BV-703 立刻将紧急事件以 E-Mail 通知您，例如服务器正遭受DoS攻击。l NASI BV-703 具有 DMZ (De-Militarized Zone) ，允许 Internet 使用者透过防火墙存取您开放的服务器 ，如 Web 或 FTP 服务器。DMZ 与内部网络为完全独立的两个区域，可避免将开放的服务器置于内部网络所需冒的风险。虽然DMZ是开放的，但是 Internet 使用者仍需透过防火墙存取您开放的服务器，因此 NASI BV-703 依然保护DMZ上的服务器免受攻击l 易于管理l B

15、V-603/601对于网络存取规则(Policy)的设定有群组(Group)的概念。您可定义一群使用者与依群服务项目(Service)，并以此来设定网络存取规则。例如您可将财物部门PC的IP Address设定成一群组取名为财务部，再将DNS，SMTP及POP的服务设定为一群组取名为“标准服务”，然后设定一网络取存规则为“允许财务部使用标准服务”，如此一来财务部的人员仅能使用POP及SMTP来收发E-Mail而无法使用其它的服务，如用Web浏览器来浏览Internet上的网页l BV-603/601的工作排程(Sheduler)可让您设定您定期要做的工作，例如您想对公司内部网络的存取权限，在上

16、班与下班时间想做不同的设定。或者您想让BR-603/601定期将记录文件E-Mail给您。l 完整的事件记录功能，记录您对BV-603/601所做设定的内容与时间，万一在网络出现不正常的情况时，让您可随时检查之前是否有做了不当的设定。l 具备记录统计分析功能，以图表的方式显示交通流量，使用者联机资料量及联机时间。l 经由Web浏览器管理接口，您可以很容易的将设定下载到您自己的计算机上，或是将先前储存的设定档上传到BV-603/601。管理者更能够透过一台BV-603/601，新增各种不同的设定档，然后上载到其它的BV-603/601。l 使用Web浏览器管理接口，您可以很容易的更新新版的软件。

17、本公司会在网站上公布新版软件。l 支持Syslog Server，除了标准的监控记录外，BV-603/601还可以产生详细的事件记录网络记录到其它的Syslog Server。l BV-603/601支持静态路由(Static Routes)的设定，可设定为支持有内部路由器(Router)的环境。l BV-603/601支持地址转换NAT(Network Address Translation)和透明(Transparent)两种工作模式。l BV-603/601可以设定为DHCP Server，可以集中管理网络上PC的TCP/IP的设定。包含IP Address，Subnet Mask，DN

18、S Address和Gateway Address。l 无使用者人数的限制，无网络扩充方面的问题。提供中文操作接口，可让不习惯英文操作接口的管理者也可很容易地管理BV-603/601。l 高度的安全性l BV-603/601使用一种状态封包检查(Stateful Inspection)的技术，来过滤穿过防火墙到内部局域网的封包，内定只允许由安全的内部局域网使用者所主动建立的联机资料可由Internet进来，其它封包将会被阻挡。l 具备网络攻击DoS(Denial of Service)的侦测与阻挡，例如：Ping of Death，SYN Flood，ICMP/UDP Flood，Land A

19、ttack，IP Spoofing等等。此类的攻击会随着一般操作系统(Windows or UNIX)漏洞的发现而增加，本公司会随时关心此种漏洞一但有所发现发立即修改软件并主动通知用户更新软件。l 提供追踪警示功能，BV-603/601会记录与安全相关的事件，您可以透过浏览器，利用提供的管理接口来观看这些记录。另外，这些记录也可以透过E-Mail送给您，管理者也可以设定BV-603/601立刻将紧急事件以E-Mail通知您，例如服务器正遭受DoS攻击。l BV-603/601具有DMZ(De-Militarized Zone)，允许Internet使用者透过防火墙存取您开放的服务器，如Web或

20、FTP服务器。DMZ与内部局域网是完全独立的两个区域，可避免将开放的服务器置于内部局域网所需冒的风险。虽然DMZ是开放的，但是Internet使用者仍需透过防火墙存取您开放的服务器，因此BV-603/601依然保护DMZ上的服务器免受攻击。l NAT(Network Address Translation)将许多内部私人网络的IP地址透过一正式的Internet IP传送到Internet。如此更增加了安全性，因为内部IP不会传到Internet，在Internet上XX的使用者无法经由Internet进入内部局域网。除此之外，透过NAT可以使用成本较低的Internet联机方式，例如：xDS

21、L或Cable Modem，仅需向ISP申请一个帐号。l 易于设定的网络存取规则(Policy)，可以制定规则限制特定服务或应用方式，如ICQ不能由内部局域网传到Internet，亦可制定规则允许Internet上的使用者存取内部局域网或EMZ的公开网站。l 标准的IPSec虚拟私人网络VPN(Virtual Private Network)l VPN大幅降低企业通讯联机成本，BV-603/601 IPSec VPN模块以168Bits IPSec VPN标准的高效能加密传输技术，提供安全的网络防护，可以让您的分公司与您的内部局域网透过Internet建立一个虚拟企业网络，取代传统的以拨接或专

22、线高成本联机方式。无论远程是BV-603/601或是较小型的Office Gateway或是其它任何与IPSec兼容的VPN设备，BV-603/601都可以让您的总公司与分公司的网络间透VPN来互相存取资料。所有的通讯资料都经过加密并且验证过，BV-603/601支持IKE动态交换加解密的金钥匙(Key)。l VPN建立安全的远程用户存取(Remote Access)功能。越来越多的企业用户使用Internet与外地分公司，海外工厂，供货商，事业伙伴或全球外勤人员传送重要业务资料，建立私密信道的加密网络功能也更显重要，BV-603/601的IPSec VPN模块可以让您透过支持IPSec标准的

23、VPN Client软件，提供拨接或远程的使用者透过VPN来存取内部局域网上的资料。而联机过程都经过加密处理。l 应用代理服务器(Application Proxy Server)l 透过网页过滤(URL Filtering)功能，您可以用万用字符(Wildcard：*，?)或是以关键词(Key Word)来限制使用者浏览具有不雅内容网页。l 名称代理服务器(DNSProxy)，可转送内部PC要查询的名称。l 最高可同时建立VPN的信道数BV-603为300个，BV-601为70个。NASI NS-1000 VPN路由器功能和特点：产品简介：NASI最新推出的新一代防火墙宽频路由器NS-100

24、0，是针对目前广大的宽频用户，以及企业用户的使用者。NS-1000符合高效率，超优质之硬件式Firewall 防火墙宽频路由器，具备SPI(状态数据包检测防火墙)，以及可以防御DoS的网络攻击!该路由器与目前市面上的路由器最大热点在于使用了最新款的ARM-9 144Mhz RISC CPU处理器，其超高效能表现超越了所有的目前其它的宽频网络设备。配合内嵌式系统支持平台，整合了4 Port 10/100Mbps 高速以太网络自动侦测交换器，每一端口都具备MDI/X 自动判别跳线与非跳接网络线连结能力，整合原有系列宽频路由器产品，开发了此款具备防火墙之高效能设备：值得一提的是NAT转换效能最高可达

25、85Mbps以上(备注：NAT转换效能测试视测试封包大小以及档案传输与计算机间的存取能力而定，此测试数据(85Mbps)为使用Smartbit封包测试仪器所得数据，若为FTP双向测试转换效率约为3540Mbps以上)，加上URL /IP/MAC 等封包过滤以及防火墙等机制，实为商业与家用市场注入一番新风潮!以NS-1000 来说，其使用广泛与应用主力着重以下市场汰换旧式效能的只能做一般IP分享的设备具备MAC和IP段的访问控制，可以进行访问网站的限制提供VPN加密以及远程档案加密存取(VPN Secure Remote Access)提供防火墙的进阶功能应用(Block ActiveX,Jav

26、a,Cookie,Proxy恶意封包侵袭)提供总公司与分支机构之间的LAN to LAN 的加密传输功能.(IPSec VPN Turnel) NS-1000所提供的日志是标准防火墙才提供的。提供详细的日志表：具备分类查询的功能A、您可以浏览所有关于设备的任何信息。B、您可以只查看系统的记录信息，如设备是否正常启动，获得的WAN口IP是多少。C、访问日志，您可以查看到网络中的PC在做什幺事情，比如这个PC在浏览什幺网站，是否在玩QQ等！D、防火墙日志，可以查看到，当您设置了一些过滤功能时，有谁在尝试去访问和越过这种权限!E、VPN日志，您可以了解您VPN连线的具体情况，来判断问题所在!Bene

27、fits:产品特色：NS-1000-宽频防火墙路由器是一台完全支持标准网络安全通讯的内建硬件式防火墙的路由器装置，使用最新的高速处理器硬件ASIC高速，以及LAN/WAN 接口皆采用高速10/100Mbps 以太网络接口，最高转换效率可达85Mbps以上(NAT Throughput)。不论是网络教室或局域网络的NAT安全连接，完全不会感觉是使用NAT 转换!超优的Web 管理设定画面，可轻易使用 IE 或Netscape 浏灠器接口设定防火墙宽频路由器，不需要一堆专业知识，只要会使用IE 或 Netscape 轻易掌握所有网络安装与设定、保障安全以及方便联络全世界网络。透过远程操作管理模式(

28、Remote Access Management)，可在非产品端方便操作防火墙宽频路由器，使MIS or IT 人员方便的管理远程或分公司内部网络。WAN Port 使用10/100Mbps高速以太网络接口，LAN Port 内建4 Port 10/100Mbps Switch交换器，最适合一般企业与SOHO族与家庭使用，不需再买集线器!宽频路由器内建防火墙功能，并配合支持封包过滤、阻断服务 (Denial of Service， DoS),SYN Ack, 状态封包检查 (Stateful Packet Inspection-SPI)，阻断Cookies、 Java、Java script、

29、ActiveX等恶意封包等ADSL/Cable /LAN to LAN 等所有宽频网络皆可使用.内建PPPoE 拨接计时制ADSL软件，PC端上网不需外挂拨号程序。内建DHCP服务器，PC端安装最方便容易不需设定TCP/IP。LAN to WAN (NAT)封包传输率最高，可达85Mbps以上。NAT/NAPT 虚拟主机架设，不论动态或一个固定IP皆可架设网站。DHCP Client Table可实时监控网络PC端所使用的IP位置信息。上网时间可设定，如早上8:00下午6:00设定可上网,其它时间阻断所有通讯等应用，依照网络政策管理有效控制频宽与流量内建高阶防火墙使用之DMZ 虚拟接口,网络软

30、件应用最容易，语音视讯软件兼容度最佳-Microsoft Netmeeting,/MSN/ICQ2000(Net2Phone) 等阶可传文件或语音连接，群组式IP存取控制功能,轻松管制内部网络存取Internet资源(In/Outband Access Control).内建URL 网站存取控制功能(Web Access Control)轻松管制内部网络存取Internet及不当或管制之网站内容阅读.可支持 IP RIP V1/V2 Routing, Static 等网络路由协议，并具备Dial on Demand 与 封包过滤机制.支持标准SNMP v1,2 网络管理通讯协议，可搭配SNMP

31、网管软件使用.支持VPN 私有虚拟信道连接能力,IPSec 64/168 位DES,3DES加密,以及自动密钥管理IKE功能,验证演算加密支持MD5,SHA等,与市面上标准之IPSec 设备皆能互通(Support Client / Server mode)免费升级轫体(Fimeware upgrade)Highlights-重点功能介绍：领先业界的多功能宽频交换式路由器NS-1000 宽频防火墙路由器卓越先进的多用途宽频路由器，不论是使用高速双向的Cable Modem(有线电视)上网，或是使用单向的Cable Modem，都可透过内建的即插即用功能(Plug&Play)轻松分享高速宽频；另外若是使用ADSL 固接/拨接计时制(PPPoE),也可透过特殊的内建轫体(Fimeware)功能，只要填入ISP给予的帐号密码,轻松分享高速网络。若是既有网络IP 位置不足,也可使用，最高支持253个User ,或是作为网络区段分割管理,减轻网络中不当的广播封包干扰与降低网络效能,亦可将MIS 的操作与管理负担降到最低。 透过内部高品质4 Port 10/100Mbps Switch，以及WAN Port 独特设计10/100Mbps 高速以太网络界面，使得网络效能大幅提升至30Mbps以上NAT传输效能，整体网络拓朴设计