总公司通过VPN与分公司连接方案样本

总公司通过VPN与分公司连接方案（如下文中所提及设备仅供参照）项目建设需求总公司与各分公司、旗舰店和移动VPN顾客连接是通过Internet采用VPN（VPN名词注解：虚拟专用网络功能是：在公用网络上建立专用网络，进行加密通讯。在公司网络中有广泛应用。VPN网关通过对数据包加密和数据包目的地址转换实现远程访问。）方式进行连接，为保证内网安全，需要使用品有VPN方式防火墙，满足各分公司、旗舰店和移动VPN顾客连接到办公网需求。要保护整个网络免受病毒、垃圾邮件和其她不适当内容侵扰，以保证办公网网络安全。华为SecPath防火墙/VPN组网方案方案阐明依照总公司信息平台建设规定，咱们配备了1台华为高品位安全网关SecPath1000作为总公司中心端设备、多台百兆安全网关SecPath100F作为各分公司、旗舰店和移动VPN顾客与总公司中心互联设备。移动顾客客户计算机安装VPN移动客户端软件SecPoint，此外可以配备SecKeyUSBKey存储顾客端配备信息、顾客数字证书以及顾客名密码等信息，实现移动顾客即插即用接入总公司信息中心内部局域网；在本方案中配备SecPath防火墙与VPN网关系统是一种基于自主版权安全操作系统平台，是防火墙与VPN网关集成产品，可以实现移动顾客、局机关、区县局与省中心网络数据传播之间加密、认证功能。SecPath防火墙&VPN网关系统除具备强大防火墙功能之外，作为众多移动顾客接入VPN网关服务器端，它自身具备如下明显特点：高可用性支持各种VPN业务，如IPSecVPN、L2TPVPN、GREVPN、华为动态VPN等等，可以针对客户需求通过拨号、租用线、LAN等方式接入远端顾客，构建Internet、Intranet、Access等各种形式VPN。安全网关支持完备加密解决方案，通过加密芯片，实现线速IPSec性能。高易用性（集中管理/方略自动下发）VPNManger(QuidView组件)是VPN网络控制管理部件，可以对VPN网关设备进行集中管理和控制。管理员可以在VPN隧道上操纵各个VPN网关：IPSEC方略设立，监控隧道状态信息，远程调节隧道建立。依照公司实际需求制定全局方略，保证VPN网关隧道连接可靠性和安全性。通过VPNManager管理员可以进行全网VPN设备布置和设立，同步可以通过实时监控对链路进行调节。真正实现VPN网络EasyManage。图1.VPNManager示例此外，华为3ComBIMS（QuidView组件）智能管理系统实现从网络管理中心来集中对网络设备管理，如配备文献下发、设备软件升级等。BIMS管理中心和被管理设备通过定期通信完毕设备管理，管理合同可穿透防火墙，并且简朴、易扩展。设备积极访问BIMS管理中心时，上报设备当前配备文献、设备软件特性信息，由BIMS管理中心来判断与否需要对设备进行更新，更新规则体现了该解决方案智能性和易于管理特点。BIMS可以解决对获取是动态IP地址或NAT网关背面设备集中管理，特别是在对业务应用基本相似、数量庞大并且分布广泛接入VPN网络终端设备进行管理时，该系统会极大提高管理效率，大大节约管理成本，管理界面直观和谐，维护简朴以便。图2.BIMS示例安全便捷移动顾客接入在本项目中采用了华为3Com公司SecPointVPN客户端为顾客实现移动接入功能。SecPointVPN客户端使远端顾客只要可以通过诸如拨号、ADSL和社区宽带等接入到Internet，就可以和总部VPN网关之间建立L2TP隧道，从而访问公司公司内部网（Intranet）上有关资源。Quidway®

SecPointVPN客户端软件提供了强大安全方略，涉及IPSec、IKE和NAT穿越等，大大强化了VPN系统安全性。IPSec使特定通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传播时私有性、完整性、真实性和防重放。Quidway®

SecPointVPN客户端软件支持还可以与Quidway®

SecKey认证方式结合，通过USBKey方式存储顾客密钥或数字证书、SecPointVPN客户端配备信息等，加强身份认证安全强度，减少SecPoint顾客身份信息被盗用风险，同步减少SecPoint配备管理工作，最后可以协助公司实现优化大规模移动VPN顾客接入布置工作。Quidway®

SecPointVPN客户端软件支持与路由器握手机制