| |
| SSL VPN 公司方案建议书 |
| |
| |
| 前 言 |
****** 网络工程是 ****** 的数据骨干网,它在高可靠性的光纤传输通道上建立高带宽、高性能的数据通信网络,满足虚拟专用网建设的需要。
我们本着先进性、现实性和经济性统一的原则进行网络设计,使网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点,能灵活地根据用户的需求提供网罗安全的服务保证,为数据、IP语音、视频等各类信息系统提供统一的虚拟专用网络平台。
本方案对 ****** 网络方案进行了描述,介绍了北京怡和信拓科技公司的SSL系列VPN设备配置。 |
| |
| |
| 主要业务内容及范围: |
· VPN解决方案——提供先进的安全、稳定、可靠的SSL VPN系列硬件和软件的;
· OEM业务——提供VPN、防火墙、远程接入等产品的OEM的定制服务;
· 集成解决方案——根据行业的实际需要提供更专业的、更有针对性的SSL VPN和CITRIX/VOIP等
综合解决方案;
· 增值服务——增值业务及其应用;
SSL 系列产品利用自身的平台,创建一个加强的安全工具,且该工具使用在所有标准Web浏览器中均是基于标准的安全接口层(SSL)。在没有与IPSEC相关的配置费用、使用成本和安全风险的情况下,或者在没有自定义外部网的成本和开发时间的情况下,用户能够获得他们所需要的访问。网络管理程序(管理员)允许不同的用户组(如雇员或公司合伙人)经授权访问企业资源(如基于Web的应用、email和收发讯息客户、文件服务器、客户/服务器应用和主机的服务器)。产品线被设计用于中小型的配置规模和满足企业等级需求所必要的性能可量测性和高效性特征。
SSL VPN 在中国已经广泛应用于政府机构、电信运营商、金融行业、商业连锁企业、物流、交通、电力等各行各业,遍及全国32个省市地区。
|
| |
| 建设原则 |
| |
| VPN 系统建设通常遵循以下几个原则: |
· 开放性:VPN系统应当符合开放性规范,方便今后对网络进行扩展和功能扩充,接入不同厂商多
种硬件设备、软件系统和网络产品。
· 扩展性:VPN系统设计应当考虑未来的拓扑结构、功能模块、处理能力和网上负载的扩展,应当易
于增加新设备、新的企业应用系统(如新ERP系统),随企业各部门信息化的逐步实现能不断延伸
和扩充,充分保护现有投资利益。
· 可靠性:VPN系统应当具备高容错和容灾能力,具有抵御外界环境和人为操作失误的能力,并且能
够在最短时间内进行故障排除和恢复,SSL VPN系统具有充分的容错设计,使系统的单点故障不影
响网络正常运行。构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供
可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生
网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据
能够被合理地先后发送,并预防阻塞的发生。 |
| 一般地,二层和三层的QoS具有以下功能: |
· 流分类:根据不同的用户、应用、服务器或URL地址等对数据流进行分类,然后才可以在不同的数
据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的
手段之一。
· 流量整形与监管:流量整形是指根据数据流的优先级,在流量高峰时先尽量保证优先级高的数据流
的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络
上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的
路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。
· 拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上
的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败同时进行重
传而引起更严重的资源紧张,进而提高网络的总体流量。
· 标准化:VPN系统使用的通信协议、管理协议和硬件接口必须符合国际标准,并应是现在和将来网
络技术发展的主流。
· 安全性:VPN系统对于受控资源必须建立一套安全机制防止非授权用户和假冒用户的访问。在VPN
设备和客户端之间使用双向认证,确保用户的合法性,充分保证信息系统的安全,同时不增加用户
使用的复杂性。VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突
出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源
或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 |
| VPN的安全性包含以下特征: |
· 隧道与加密:隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点
的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上
传送而不被非法窥视与篡改。
· 数据验证:在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重
新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整
性。
· 用户验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通
过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access
VPN和Extranet VPN具有尤为重要的意义。
· 防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的
内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访
问记录。
· 实用性:VPN系统选用的硬件设备和软件系统应当具有良好的性能价格比,设备的日常管理和维护
简单方便,经济实用。
· 易升级:VPN系统选用的网络设备和软件系统应当能够按照实际需要方便的升级。
· 可管理:VPN系统为达到便于管理的目的,所有网络设备使用基于标准的管理协议,能够进行远程
监视、控制和管理,支持客户机/服务器和WEB体系结构,符合计算机技术发展的方向。VPN要求
企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次
要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完
善的VPN管理系统是必不可少的。 |
| |
|
| |
