SSLVPN解决方案(5)

VPN组网方案建议书

2.4 天融信VONE产品规格

产品型号 2U机架式结构； TV-61830-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口），可扩展万兆接口；标配双电源 2U机架式结构； TV-61530-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口）； 标配双电源 2U机架式结构； TV-61330-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口）； 标配双电源 2U机架式结构； TV-61331-VONE 最大配置为26个接口，包括3个扩展槽位和2个10/100/1000BASE-T接口（作为HA口和管理口）； 单电源，可扩展为双电源 1U机架式结构； TV-61230-VONE 最大配置为26个接口，包括3个扩展槽和2个10/100/1000BASE-T接口（作为HA口和管理口） 1U机架式结构； 最大配置为26个接口，包括3个扩展槽和2个10/100/1000BASE-T接口（作为HA口和管理口） TV-61614-VONE 2U机架式结构；最大配置为12个接口，标配4个10/100/1000Base-T接口，1个扩展槽； 标配双电源 TV-61214-VONE 1U机架式结构；最大配置为12个接口，标配4个10/100/1000Base-T接口，1个扩展槽 1U机架式结构；最大配置为12个接口，标配4个10/100/1000Base-T接口，1个扩展槽 1U机架式结构；10个10/100/1000Base-T接口 1U机架式结构； 配置为6个10/100/1000BASE-T接口 1U机架式结构； 配置为4个10/100/1000BASE-T接口 桌面型结构； 4个10/100/1000MBase-T端口 硬件说明 TV-61030-VONE TV-61114-VONE TV-41710-VONE TV-41706-VONE TV-41604-VONE TV-21604-VONE

19

VPN组网方案建议书

第三章 XXX公司SSL VPN接入解决方案

根据XXX公司移动用户接入实际情况，我们采用天融信SSL VPN系列产品提供整体网络安全互联解决方案，解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。

3.1 VPN解决方案

VPN配置方案如下描述：

1． 在总部Internet出口处安装天融信TV-6830-VONE安全网关，其接入方式为采用路由

模式。另外，还可以在SSL VPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能，根据实际需要设置各个功能模块的具体安全防护策略，以确保中心本地网络免受各种外来威胁。天融信TV-6830-VONE网关最大可支持10000并发用户，完全满足目前应用及以后扩展的需求；

2． 在网关上根据不同用户的划分可以对用户进行角色和组的权限设定，这种设定可以细

致的划分每一个用户的访问权限，即可指定某用户在指定时间访问指定服务器的指定端口，从而保证了内网服务器的安全性；同时，为了保护内网服务器的安全，管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器，这样进一步对内网进行防护；

3． 移动用户要访问内网服务器时，仅需打开浏览器，输入公开的服务器地址及自己的用

户名口令（或者直接用证书的形式访问，免除输入用户名口令的麻烦），即可访问授权的内部资源，由于各种访问资源的权限已经由管理员设定好，用户可以直接点击资源连接进行访问；

4． 对于管理员的操作及用户的访问，天融信VPN网关提供详细的日志查询功能（包括管

理员、用户及服务器），可以很容易的看到各种状态。还可以在线管理（禁用，踢下线）用户，日志为标准Syslog格式，可导入其他日志查看器查看。 5． 使用天融信SSL VPN实现的远程接入如下图所示：

20

VPN组网方案建议书

图4.1 XXX公司SSL VPN网络结构

通过部署天融信SSL VPN设备组建的企业移动办公网络，网络结构简单，维护成本低，用户只需使用浏览器就可以做到安全的连接网络，并能针对不同的用户，给予不同的应用权限。因此通过天融信SSL VPN很好的解决了“随时随地”的网络资源安全共享的需求。

21

VPN组网方案建议书

3.2 本解决方案的主要特点

? 设计全面：全面的安全防护解决方案，帮助用户打造高效率和高安全性的网络平台； ? 功能强大：同时提供防火墙、VPN、入侵防御、内容过滤、流量管理及安全审计等功能，

从而构建主动防御、多层次防御的企业安全保障体系，从容应对各种外来威胁； ? 整体协防：各防御模块之间相互协同工作，全面提升系统的整体安全水平，缔造更可信

的网络；

? 健壮性：VONE设备基于专用安全操作系统，具有良好的自身安全性； ? 透明性：现有业务系统和网络结构无须做任何调整或只需做少量改动； ? 适应性：能很好适应系统网络结构的调整和发展；

? 互通性：VONE内置的Ipsec功能可与采用国际标准Ipsec的设备之间互通互联； ? 高性能：开启各项安全功能后，天融信VONE网关的处理性能和数据转发速率仍能够

保持高水准，完全能够满足互联网出口的接入速率，不会成为传输瓶颈； ? 便于实施：安装、维护简单快速，可随时进行而不影响正常业务；

? 低成本：一机多能，大大降低了安全产品的采购、部署和运营成本，使用户获得最大的

投资回报；

? 扩展性：天融信VONE网关产品采用模块化设计，具有极强的扩展性，可以随着用户

网络的扩展平滑升级。

22