公司首页 | 公司产品 | 典型客户 | 注册购买 | 软件下载 | 解决方案 | 在线服务 | 关于汇笨 | 繁體中文
  网站首页 >> 解决方案
VPN连接网络的解决方案

作者:系统管理员 时间:2006-9-14 21:37:17 点此数:7526
该方案特点:

典型的大公司的网络连接架构。总部具有真实IP,各地分支机构采用多种接入方式:ADSL,Cable,Modem等接入Internet。通过安全网关在Internet上构建企业内部虚拟专用网络,并解决企业内部移动用户的远程接入问题。

方案概述:

1.目前网络的现状及需求
XX公司为实现办公自动化应用和内部WEB和MAIL服务,能实时地与全省各地市分支机构互联。为各地市分支提供办公自动化、WEB、MAIL服务,建设覆盖全省的信息服务网络。
目前XX公司总部通过100M宽带接入方式接入Internet。公司在全省各地设30个分支机构或办事处,通过ADSL、宽带或拨号方式接入Internet,分支机构或办事处需要实时将信息传送到公司总部,总部也需要将反馈的信息实时向分支机构或办事处下发。目前集团总部的一台高性能服务器,对分支机构或办事处提供MAIL、WEB和办公自动化应用服务。

网络示意图如下:
XX公司提出网络互联及安全总的需求:1个中心节点与30个分节点进行安全互联。加密要求:商密;处理速度:10Mbps以上;要求支持动态IP地址,支持CA认证。


目前的网络示意图

现在公司的情况是:总部通过光纤接入互联网,内部实现办公自动化和WEB、MAIL等服务。其它各地市与总部的信息交流主要是通过邮件来实现,现在无法实现办公自动化、WEB等服务。
随着公司业务的迅速发展,各地分公司、办事处也相继多了起来,信息交互也越来越频繁,随着企业ERP系统的实施,重要的数据和信息在网络中传输也越来越多,安全性要求也越来越重要,目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应XX公司对信息传输平台的要求了。
从经济角度考虑,电信提供的专线组网方式费用比较昂贵,由于XX公司是一个大型的现代化企业,在省内大部分城市设立了多家分支机构,同时拥有多家紧密型的合作伙伴或分销客户网络,相关需要联网的网点数目比较多,分部地区比较广,信息交互比较频繁,每月的巨额通讯费用和专线租用费会给XX集团带来很大的压力。
从安全方面考虑,电信提供的DDN、ADSL等传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏企业数据,给企业造成不可估量的损失;由于传输平台没有认证功能,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对企业的信息和数据造成很大的威胁;由于传输平台没有访问控制和安全隔离的功能,给外部非法人员提供了入侵的机会,非法人员可以通过专用的黑客程序(此类工具在Internet上可以任意下载),或者盗取授权员工的访问权限,进入公司网络系统内部,让“企业巨人折戟沉沙,使系统安全溃于蚁穴”。由于XX分支机构和联网网点数目众多,知名度大,受攻击的几率相对较大,一旦通过计算机终端进入公司总部服务器,后果将不堪设想。
从管理方面考虑,XX公司处于高速发展阶段,拥有的连锁网点和计算机终端较多,面临最紧迫的问题就是信息的汇总、连锁网点的信息交互以及计算机终端的集中管理。DDN、ADSL等组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。
从经营角度考虑,XX公司需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,增加企业的工作效率,提高企业的服务质量,加快企业的信息化建设,适应企业的快速发展,提升企业的良好形象。
综上所述,如何快捷地解决XX公司的企业联网问题,如何有效地降低企业的巨额通讯费用,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题,使整个网络的互联性得到极大提高,使整个网络的安全性达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。

2.目前网络系统互联问题及存在的安全隐患

2.1 网络系统互联问题:
XX公司针对现有业务,提出网络互联建设中心节点1个,分节点30个。网络系统如采用专线方式相比较VPN组网方式有诸多不足:(见下表)
VPN与专线技术对照表
VPN技术 专线技术
安全性 非常高,保护数据传输的完整性、保密性、不可抵赖性;安全控制在用户手里 比较高。但是,安全是建立在对电信部门相信的基础上,对电信运营商,无任何安全可言。
可扩展性 基于TCP/IP技术,接入方式灵活,只要网络可达,就可以方便扩展 依靠当地运营商的支持,扩展很不方便。
投资成本 设备一次性投入,不需要支出每月的运营费用,长期看来大幅度节省支出 专线费用很高,需要每月支付昂贵的专线租用费用,而且在初期要一次性投入路由器的费用
对移动用户的支持 能对Internet上的内部移动用户安全接入,彻底消除地域差异,构造全球的虚拟专网。 只能通过专线拉到的网络,不支持离开局域网的内部用户接胱ㄍ?BR>带宽 使用各种廉价的宽带接入方式,如:ADSL,Ethernet等,一般在1~100M。 由于价格昂贵,一般租用的带宽都比较窄(一般不超过2M)。
升级 依赖于设备的升级,非常方便。 依赖于电信部门。

由此可见,采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点,且我公司VPN产品特有的具有对Internet上的内部移动用户安全接入功能,可以彻底消除地域差异,实现可移动用户的网络互联及基于Internet的可移动安全访问控制。因此,采用VPN方式组网对XX公司来说是现实可行的,完全可以满足公司的业务需要。

2.2 网络系统存在的安全隐患:
目前办公自动化用户数据都通过公网(Internet)直接传输,因办公自动化网络传输的数据包含公司的业务敏感信息,属于商业机密,在公网上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获业务数据,如果这些数据被公布或篡改,对于XX公司而言,后果是非常严重的。
另一方面,如果公司总部的网络边界没有防火墙来保护内部网络,也没有做任何访问控制,这样就存在极大的安全隐患,外部网络可以随意访问服务器,一旦服务器的密码被暴力破解,或者黑客利用操作系统的某些漏洞进入了服务器,不但服务器中办公自动化系统的数据面临危险,而且黑客极易利用服务器作为跳板,转而攻击内部网络的机器,那么整个系统将无安全性可言。

3.网络规划与产品部署

3.1 XX公司总部设计方案
XX公司总部是整个XX公司的“心脏地带”,重要信息的交互、共享,重要数据的频繁传输,组成了XX公司的业务流。随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。随之而来,信息安全问题也会成为我们关注的焦点。
目前,XX公司总部的内部网络,通过电信网络直接接入Internet。考虑以后总部业务需求的发展和承担的重要任务,建议在总部网络出口处部署两台安达通的SGW25C型VPN硬件安全网关(安全网关综合利用了隧道技术、加密技术、认证技术来保护XX公司总部和分支机构内网的安全通讯、安全传输),实现“双机热备系统”。一台工作网关,一台备份网关,两台网关通过串口2的心跳线相连,并进行通讯。一旦工作网关发生故障,备份网关可以平滑接替工作网关进行工作,保证中心系统业务的不中断。

ADT SGW25C具有4个网络接口:内网口、外网口、DMZ口和扩展口。


VPN网络建设示意图

3.2 各地驻外机构设计方案
由于各地驻外机构需要与XX公司总部进行大量的信息交换,并且随着办公自动化系统的应用加深,物流、资金流在企业Intranet网上的频繁传输,为了保证总部与分支机构、分支机构与分支机构之间进行安全的信⒋洌颐强梢愿莞鞣种Щ沟牟煌榭觯直鸩渴鹬械投说挠布踩睾桶踩突Ф讼低车礁髯ね饣埂M保ㄒ榫哂凶油母髯ね饣共捎肁DSL或者宽带的方式接入Internet,并在网络出口处部署SGW25A Lite或SGW 25A硬件安全网关设备;建议在仅有少数终端的分支机构(如:办事处)采用Modem或ADSL的方式接入Internet,并在该代理上网的PC上安装安全客户端系统(配套USB KEY),从而达到和总部以及其他分支机构的VPN通讯。如下图:


分公司网络示意图

上图中SGW 25A部署在分支机构局域网的出口,既充当防火墙,对本地局域网实施有效保护;又充当VPN,和总部的安全网关建立VPN隧道。
在代理上网和拨号PC上装“安全客户端”软件,整个局域网内PC都通过该代理PC建立的VPN隧道安全接入总部。


办事处网络示意图

3.3 移动用户的远程安全接入
在外出差的移动用户可以通过安装在笔计本电脑上的“安全客户端”软件,随时通过当地的ISP(如:拨号上网)接入Internet。再使用该软件和远端的安全网关建立加密隧道,安全接入公司总部和各个分公司,并在任何地方使用公司内部的OA系统。
 
 相关文件

昆明汇笨科技有限公司  版权所有 电话: (86) 0871-68075509、13033340505、13629425407
KUNMING HB TECHNOLOGY CO.,LTD 地址:云南省昆明市高新区云南软件园产业基地5层502附13号
商务联系QQ:848124007、402400784、15524227 E_Mail: abmsoft@163.com 微信号:hbsoft2013

滇ICP备08001596号-1