XXXX有限公司干净VPN解决方案
xxxxxxxxxxxx有限公司
www.mycompany.com
2008年5月1日
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
前 言
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。
随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQL Server等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。
美国SonicWALL公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。一般来讲,UTM通常包括防火墙/VPN,网关防病毒和IPS,SonicWALL公司的UTM在此基础上又增加了反间谍软件服务,进一步确保企业信息安全。SonicWALL采用独一无二的逐个包扫描深度包检测引擎,无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护,彻底消除了网关设备对同时下载的文件数目和文件的大小的限制,从UTM技术上是一个突破。SonicWALL UTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
Xxxxxxxx有限公司. http://www.mycompany.com 第 1 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
SonicWALL还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule,迅雷下载)的通信进行控制,如封堵QQ,能够扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散。
采用高性能的专用硬件实现IPSec VPN的加解密,使得SonicWALL设备在3DES和AES算法具备同样出色的表现。对于分布式的企业,通过Internet建立VPN连接是安全经济的信息传输方式, 此外, SonicWALL的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁,而且还能阻挡企业其它分支机构通过VPN隧道带来的安全威胁,全面防止安全威胁在企业总部和分支机构之间通过VPN隧道进行扩散,实现干净的VPN功能。
第一章 用户需求分析
1、业务背景
xxxx有限公司是国内首屈一指的xxxx制造企业,业务遍及全国各省。物流,财务信息和客户需求的反馈传输需要确保安全,但是申请专线的费用很高。 Internet为企业的信息传输提供了一个经济有效的平台,然而安全问题值得担忧。目前有20多个办事处遍布全国各地,还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。
2、需求分析
信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一,集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员,而在外工作的业
Xxxxxxxx有限公司. http://www.mycompany.com 第 2 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部,并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前,一直是我集团期待解决的问题之一。
公司在国内的驻外人员分布在各省会城市,负责该省内的所有产品营销业务。由于需要及时和企业总部进行业务状况,客户反馈等信息的传输,这些业务数据在Internet上直接传输时又存在较高的安全风险,一旦这些数据被盗取或泄漏出去,必然会造成公司业务的严重损失。
初步需求如下:
20个分公司分别通过当地电信部门接入Internet。这些分支机构的网络要受到安全设备的防护,必须有防火墙设备,此外,为防止遭受病毒,黑客入侵的威胁,应用层的安全必须受到保护,设防火墙设备应该具备防病毒和防入侵的功能。 企业总部网络有重要的数据库系统,防止病毒和黑客的入侵极为重要。
由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输,高性能的VPN功能必须集成在设备内部,便于统一管理。此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库,移动用户必须通过VPN加密方式访问企业网络资源。
3.3方案目的
作为保护企业内部网免遭外部攻击,确保信息安全地通过Internet传输,最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备(即:防火墙+ VPN +网关防病毒+ IPS),通过设置有效的安全策略,做到对企业内部网的访问控制。为了方便远程/移动用户安全访问集团内部的机密资料,并为公司建立起安全经济的网络通信连接,故推荐配置使用基于深度包检测技术的UTM设备——美国SonicWALL UTM设备(防火墙 + VPN + 网关防病毒 + 入侵防御)。
SonicWALL系列UTM设备是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品,2005年第一,二两个季度连续在全球UTM设备销售数量和金额排名第一位。
SonicWALL采用软硬件一体化设计,在高性能多核并行处理的硬件平台上,利用
Xxxxxxxx有限公司. http://www.mycompany.com 第 3 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统,再加上世界领先的加密算法、身份认证技术以及网络防病毒技术,是一个强大的,集应用级防火墙、VPN,网关防病毒,防入侵(IPS)、内容过滤、,反间谍软件等多种安全策略为一体的,稳定可靠的高性能网络安全系统。其完善的产品系列和卓越的性能价格比为不同规模、不同行业、不同上网方式的用户提供安全、快速、灵活、超值的网络安全解决方案。(详情请参考附件1)。
可以在总部或某一地点统一管理分布在全球的SonicWALL防火墙设备,可以为不同地点的SonicWALL防火墙设备做不同的设置;建立报警中心,集中、实时的监控全球各地SonicWALL的运行状态和网络访问流量。
第二章 IPSec VPN技术核心
1.VPN概念
虚拟专用网(Virtual Private Network)技术是指在公共网络中建立专用网络,数据通过安全的\加密管道\在公共网络中传播。利用VPN技术,单位只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,单位还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入内联网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后内联网络发展的趋势。
简单的来说,VPN可以看作是内部网在公众信息网(宽带城域网)上的延伸,通过在宽带城域网中一个私用的通道来创建一个安全的私有连接,VPN通过这个安全通道将远程用户,分支机构,业务合作伙伴等机构的内联网连接起来,构成一个扩展的内联网络(如图2-1)。
办事处 VPN客户端 VPN网关 分部 公众信息网 VPN网关 总部 单机用户
Xxxxxxxx有限公司. http://www.mycompany.com 第 4 页
图2-1