AR46路由器也可作为VPN网关接入。为了提升AR46的加密性能,实际使用时可以将AR46和ENDE加密卡配合完成,该加密卡具有强劲的专用加密卡和加密芯片。同时,采用高性能的CPU、高速大容量内存也保障了优秀的加密性能。 VPN管理子系统
VPN管理子系统由两个组件组成:H3C VPN Manager系统以及H3C BIMS分支智能管理系统。VPN Manager可以简化VPN的部署和配置,可以完成对网路的VPN状态的监控。BIMS可以完成对后续设备进行升级配置和管理的需求。
H3C VPN Manager系统,以用户实际配置任务为驱动,提供IPSec VPN业务配置向导,指导用户进行IPSec VPN设备配置,构建VPN网络。在配置业务中,提供预定义配置参数功能,以方便高级用户预定义、重用配置信息。并提供缺省配置,以使用户初次使用本管理软件时,能快速配置IPSec VPN设备,而无需进行过多配置及软件使用学习。
为了避免在设备上留下冗余的配置信息,支持“清除”功能,能够在重新配置以及配置命令下发过程中出现失败的情况下,清除设备已配置的信息。为了管理方便,以网络域为配置单位,减少配置操作,对网络域的配置会自动赋予网络域内的全部设备,用户可一次性对网络域内所有设备进行相同配置部署。同时,用户也可指定某个设备的特殊配置。
BIMS分支智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。BIMS(Branch Intelligent Management System)可实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控和管理,尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时,BIMS会极大提高管理的效率,大大节约管理成本。同时,为了保证通讯安全,BIMS对传输的消息数据进行加密处理。 方案特点
1、组网灵活,使用范围广
H3C公司从企业用户业务需求、可靠性要求和投资规模等多方面综合考虑,量身打造了多种分支机构上联企业总部的解决方案,包含单链路单网关型、VPN网关备份型和双链路双网关型等多种方案。
方案采用支持NAT穿越和野蛮模式(中心节点通过设备ID名进行协商而不再需要地址信息检查)的方式,解决了分支机构用户通过NAT设备进入Internet和IP地址不固定的用户上网的两类问题,满足了企业用户分支节点接入的多样性需求。
2、管理简单明了
该方案提供专用的管理系统VPN MANAGER,直观友好、简单易用的图形管理界面,简化了管理员的维护操作。支持自动发现和构建VPN拓扑,直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。能够快速定位网络故障,为解决问题赢得时间。
3、企业分支设备集中配置
分支机构分布广、设备多、配置重复,往往给企业的IT管理带来了繁重的工作量,H3C公司的BIMS(分支智能管理系统)为解决这一问题营运而生。BIMS采用分支设备主动,网管被动的方式对分支的设备进行管理,网络连接由分支设备主动发起,公私网地址转换、动态IP地址、批量设备配置等难题迎刃而解。
4、全系列设备支持
该方案涵盖了H3C公司全系列中低端路由器、VPN网关等产品,为客户提供了多种经过验证、有保证的安全解决方案,企业用户可以根据自己的实际需要和投资规模找到最适合的选择。 典型组网应用
在实际的组网中,可以根据企业实际情况,采用灵活多样的组网方式,用最低的代价实现企业VPN接入需求。可以采用基本组网方案、VPN网关备份组网方案和高可靠性VPN组网方案。 基本组网方案
该组网方案采用单链路单网关方式,在总部局域网数据中心部署VPN Manager组件,实现对VPN网关的部署管理和监控,在总部局域网内部或Internet边界部署BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。
该方案主要面向对网络链路要求不高的小型分支机构,可根据企业实际情况采用IPSec VPN、IPSec over GRE VPN、GRE over IPSec VPN、L2TP over IPSec VPN等方式实现接入。 VPN网关备份组网方案 OA服务器
该组
网方案采用单链路双网关方式,对VPN网关进行了双机备份。
该方案面向对可靠性等指标提出了较高要求的用户。根据实际情况,可采用L2TP、VRRP、OSPF方式实现对网关间的备份。 高可靠性VPN组网方案
该组网方案在VPN网关备份的基础上,对于接入分支节点的链路也进行了备份。在进行链路备份时,不同链路分别接入到不同的ISP,主链路采用光纤接入,备份链路采用ADSL进行热备。为了增强VPN网关的稳定性,在VPN网关节点部署双VPN网关,利用该VPN双网关可以有效的提高系统的可靠性。同时,对于业务分支节点较大的企业,可以通过有效配置实现业务的负载分担。
该方案主要面向特别重要、对可靠性要求非常高的分支机构,但其实现的成本也最高。
边界安全解决方案
前言
随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制,主要体现在以下几个方面:
网络隔离需求:
主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
攻击防范能力:
由于TCP/IP协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险,常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。
病毒抵御能力:
网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透,后门木马和垃圾邮件侵袭的不断,影响企业用户的正常工作,甚至威胁的企业生存。如何识别和处理病毒,抵御未知病毒,降低网络风险成为急需解决的问题。
网络可视化监控:
网络流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能,是网络管理的基础。如果可以图形化界面和直观全面的展现各种统计信息,就能够帮助管理人员可掌握网络状况,增强了网络的风险防范能力。
网络优化需求:
对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的QoS机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如支持WEB和EMAIL过滤,支持P2P识别并限流等能力。
用户管理需求:
对于接入局域网、广域网或者Internet的内网用户,都需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 方案概述
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次