Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
2.3 分部网络安全解决方案
各分公司由于人数少于25人,故选择SonicWALL TZ170 25用户的产品。100到200人的分支机构,采用NSA 2400 产品。 由于SonicWALL产品是UTM设备,防火墙和VPN二合一(同时有可选的网关防病毒,入侵检测和防御及反间谍软件功能),不用担心黑客的攻击。不象其他网络全产品公司,有些型号的产品是收购其他公司,所以不同型号的产品功能有很大区别,SonicWALL 全线产品都是SonicWALL 公司开发,具备同样的安全防护功能。SonicWALL 产品除了支持DDN专线等固定IP地址的线路外,还支持DHCP、PPPoE、PPTP或L2TP,甚至ISDN或电话线拨号。不用担心现在的购买的SonicWALL 产品,将来因公司的发展要更换线路而不适用。计算机在25台之内的分公司建议采用SonicWALL TZ 170 25用户,此建议只是作为参考,有时需要结合更具体的环境进行调整。
Xxxxxxxx有限公司. http://www.mycompany.com 第 15 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
TZ170 UTM设备除了防火墙,VPN功能之外, 还有可选得网关防病毒,入侵防御和反间谍软件功能,此外还能封堵QQ, MSN, BT等应用,提高工作效率。网关防病毒和入侵防御等还可以阻止通过VPN隧道传输过来的网络安全威胁。
2.4 VPN 解决方案
2.4.1 XX总部和分公司Site to site VPN VPN在网络中拓扑示意图如下图所示。
下面是VPN的实现过程。如图下图所示:
在两台VPN1(总部)和VPN2(分部)之间建立一个VPN通道。假设网络A中的主机A与网络B中的主机B之间进行通讯。A发出请求包,该数据包首先到达VPN1,VPN 1对其进行认证并加密,然后通过建立的VPN通道传送到VPN 2,VPN 2对该数据包进行认证并解密,然后将此包传送给主机B。反向的数据包同样经过这个过程。这样就能保证数据包通讯过程中的完整性,机密性。
Xxxxxxxx有限公司. http://www.mycompany.com 第 16 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
2.4.2 移动用户访问XX总部---Client to Site (客户端到总部) VPN
Client to Site (客户端到总部) VPN的连接过程如图3-2:
DHCP服务器 VPN网关 Internet VPN客户端 168bit加密隧道 IPSec VPN隧道 总部 移动用户
Site—Client VPN
图3-2
根据一个中心多个远程节点的设计方法,采用移动用户与总部网互联方式,即站到站(Site-Client)VPN连接方式,连接过程如下:
① 移动用户的VPN客户端向总部VPN网关发起连接请求,并发送第一阶段(Phase 1)用户验证和密匙信息(MD5或SHA1加密);
② 总部的VPN网关响应请求,并对移动发来的用户和密匙进行验证; ③ 如果第一阶段验证通过,主端发送第二阶段(Phase 2)验证挑战请求; ④ 从端发送第二阶段(Phase 2)用户验证和密匙信息(MD5或SHA1加密); ⑤ 如果第二阶段验证也通过,两端的VPN核心引擎开始采用168位(3DES)协调数据加密算法,从而建立标准的IPSec VPN通道,双方局域网内的用户即可在VPN通道内传送加密的用户数据,每个传送的数据包都会随机选择不同的密钥进行数据加密。
备注: SonicWALL VPN 客户端认证支持内部数据库认证,Radius ,RSA SecureID, 及第三方证书等等。
2.5 集团上网管理----集中上网 (可选的部署)
现在的工作已经离不开互联网,但由于互联网的种类繁多,很多和工作无关,甚至影响工作,所以控制上网非常重要,但如果要所有的分公司都单独控制上网,成本非常大。解决方法是集中上网,即整个集团都通过总部上网,然后再控制总部上网。这就要通过VPN 的技术控制。SonicWALL 的VPN 其中有以下的功能:
Xxxxxxxx有限公司. http://www.mycompany.com 第 17 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
www.ibm.comPCFirewallInternetFirewallServerVPN Tunnel
通过SonicWALL VPN 然后再通过总部的上互联网的出口再上网。然后结合现有
的代理服务器就能很好控制上网。
2.7 集中管理――SonicWALL 全球管理系统。
众所周知,分布式网络通常包括:公司总部、远程及分支机构、远程工作者和移动工作者。目前,网络环境日趋分布,越来越多的员工需要从远程点接入到公司网络。GMS 可以完全满足这一需求,它可以在中心一点管理全部的SonicWALL设备。
SonicWALL GMS 能够监测并管理上千台SonicWALL网络安全产品和客户端,并允许商业机构和服务提供商的网管员配置防火墙和其他SonicWALL服务,其中包括虚拟专用网(VPN)、防病毒、无线安全和网页内容过滤。网管员能够通过加密的VPN通道从中心为个体、群组或全球范围远程设置安全策略。
Xxxxxxxx有限公司. http://www.mycompany.com 第 18 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
2.8 方案特点
?
灵活性 —— Any –to -Any
SonicWALL VPN产品完全基于工业加密标准IPSec协议构建VPN加密通道,提
供Any-to-Any的VPN连接,如下图:
PSTN SonicWALL VPN客户端 操作系统:Windows 98/ME/NT/2000/XP 满足条件:网络层地址可到达VPN网关 网络接口:以太网/Modem/无线/GPRS/CDMA 宽带城域网网络连接 ISDN Cable Modem 其它专拨线拨方号号Xxxxxxxx有限公司. http://www.mycompany.com 式 第 19 页 宽带城域网 ADSL 远程VPN网关