Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
长和信息沟通模式的变革。
第三章 xxxx有限公司VPN解决方案
考虑目前具体情况,推荐基于IPSec核心技术的高性能加密产品来组建XXXX公司VPN网络---SonicWALL UTM ( 防火墙 + VPN + 网关防病毒 + IPS)。SonicWALL 防火墙和VPN 是当前国际最先进的网络技术之一,销售数量占据全球第一位。
1. 方案设计原则
VPN方案的设计至少包含以下原则:高安全性、最优化网络、完善的管理等。 1.1 高安全性
由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。确保VPN通道上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。 提供动态密匙交换功能,提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击内联网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
Xxxxxxxx有限公司. http://www.mycompany.com 第 10 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
1.2 最优化网络
充分有效地利用当前有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 1.3 完善的管理
一个完善的VPN管理系统是必不可少的。我们构建VPN的管理目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括加密管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2. XXXX有限公司VPN解决方案
根据XXXX有限公司当前的网络状况,,提出本解决方案。 2.1网络结构设计
网络结构如图:
Xxxxxxxx有限公司. http://www.mycompany.com 第 11 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
方案: 中央采用多核专用安全处理器,16个64位专用安全处理器并行处理流量,吞吐量可达5.5Gbps, VPN吞吐量可达到4Gbps. UTM功能为可选项,如果采用UTM功能,可以防止病毒和入侵通过VPN隧道进入企业总部的网络。这就是我们说的“干净的VPN”功能。NSA E7500在开启网关杀毒情况下最大吞吐量可达1.8Gbps,开启IPS的情况下最大吞吐量可达1.2Gbps, 同时开启网关杀毒和IPS最大吞吐量可达1Gbps。 此外,E7500还附送2000个IPSec VPN客户端授权。
考虑到分公司的规模,分公司采用NSA2400, SonicWALL TZ170 25 用户设备。 所有的移动用户在笔记本电脑上安装SonicWALL VPN客户端软件GVC,随时随地方便快捷地与企业总部甚至分支建立VPN连接,安全地访问企业的信息。此外,如果考虑大量移动用户,
Xxxxxxxx有限公司. http://www.mycompany.com 第 12 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
合作伙伴用户和细粒度访问控制,可以在现有方案基础上增加SSL VPN设备,实现更灵活的移动用户访问控制。 SonicWALL有两台SSL VPN产品线可供用户选择。
企业总部与各个分公司建立点到点的VPN隧道,出差在外的移动用户与企业总部的NSA
E7500建立客户端VPN连接。这样分布式企业的所有网络出口入口都受到防火墙的保护,分公司与总公司及移动用户与总公司的通信都受VPN隧道的保护,如果启用网关防病毒,入侵防御和反间谍软件功能,则所有地点的内部网络都受到应用层的安全防护。 此外,SonicWALL UTM设备能够阻断病毒,入侵在企业各个分公司和总公司之间通过VPN隧道的传播。 间谍软件会造成企业或个人的敏感信息的泄漏,SonicWALL防间谍软件功能使SonicWALL能够中断来自计算机中已存在的间谍软件的后台通信,同时通过扫描并屏蔽间谍软件感染的电子邮件以及检测自动安装的ActiveX 控件的方式阻止间谍软件的传播。
SonicWALL NSA 系列UTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
SonicWALL还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule,迅雷下载)的通信进行控制,如封堵QQ,MSN,迅雷,能够扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散。
2.2总部网络安全方案
Xxxxxxxx有限公司. http://www.mycompany.com 第 13 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
鉴于XX公司的网络环境和规模,方案设计采用NSA E7500设备,SonicWALL NSAE7500有4 个10/100/1000Mbps自适应端口和4个SFP光接口插槽,一个专用的1000Mbps心跳口,用于HA。 支持无限用户, 支持多达10,000条点到点VPN 隧道,并附送2000个客户端VPN隧道授权,能够满足公司总部与分公司数据传输和内部访问的安全需要.
公司总部的局域网接在LAN口上,防火墙会阻止所有未经许可的访问到LAN口上的电脑;通过这种解决方案有效地保证公司局域网、各类服务器免受来自互联网黑客的各种攻击。移动用户采用VPN 客户端和总部连接。
客户还可以购买网关防病毒,入侵检测和防御及反间谍软件服务,确保应用层的安全,防护针对Windows操作系统和数据库诸如Oracle和SQL Server的攻击,还可以阻断不必要的应用如QQ 等等,提高员工的工作效率。
Xxxxxxxx有限公司. http://www.mycompany.com 第 14 页