虚拟专用网VPNPPT课件.ppt

虚拟专用网VPN 虚拟局域网事管11 1左景雷新强 华圣药业VPN应用实例客户背景浙江湖州华圣医药药材有限公司成立于2000年9月26日 是一家集批发 零售于一体的大型股份制医药企业 公司主要经营中成药 中药材 中药饮片 化学药制剂 化学原料药 抗生素 生化药品 生物制品 麻醉药品 精神药品 第二类 第三类医疗器械 保健食品等等 涵盖了所有医疗机构所需的物品 且每年以60 以上的速度增加丰富经营品种 在业务不断提升的同时 公司狠抓企业内部管理工作 实施GSP网络化管理并于2002年率先通过了国家GSP认证 公司于2004年组建了浙江湖州华圣医药零售连锁有限公司 下属药店29家 其中直营门店14家 加盟连锁店15家 华圣药材作为湖州地区最大的医药连锁机构 公司的管理层 除了需要随时了解每天的货品销售情况 更要实时掌握公司庞大的资金运作情况 库存情况以及各种经营 财务数据 基于以上的公司状况 华圣药材较早建立了内部网络来进行公司管理与处理业务 公司原有的一套医药管理系统 因为考虑到公司数据传输的安全性与保密性 只能在内部网络运用 而华圣药材分布在各地的分支 数据的传输 原先只能通过一些聊天工具或邮件传送 甚至用U盘来进行人工传递 无论哪种方法 都存在安全隐患和时效性差的缺陷 华圣医药急需一种方案来解决如上问题 公司通过反复考察 确定了采用VPN的联网方式 通过ADSL让各分支互联 起初采用的设备为一台带VPN功能的路由器 所有分支使用PPTP协议客户端拨入 由于选择的设备功能不强 无法承受华圣药材巨大的数据量 不仅无法保障安全性问题 而且网络的速度极端的缓慢 偶然的机会 华圣药材看到了温州飘蕾服饰使用艾泰科技的HiPER4520VF和HiPER2231CSVPN安全网关架构的VPN系统 不仅解决了各分支安全互联互通的问题 而且同时一并解决了各分支网络接入问题 华圣药材于第一时间找到了艾泰科技在杭州的代理商 通过全面的测试 最终确定了采用艾泰HiPERVPN安全网关作为公司VPN联网方案的接入设备 2 方案概述公司总部放置一台较高性能的HiPER3300VFVPN安全网关 保证数据的实时传输 根据实际需要 在分店的局域网内采用高性价比的HiPER3100VFVPN安全网关或HiPER2510VFVPN安全网关 对于个别小型的单机分支节点 可采用HiPERIRSec客户端接入总部 同样可达到访问传达信息的目的 另外 由于员工可能在家或出差在外时依然需要办公 则也采用HiPERIRSec客户端接入 可满足移动用户随时随地实现移动办公 HiPERVPN安全网关系列是为互联网应用开发的整合式VPN安全网关 集VPN NAT 防火墙和流量控制为一体 它具备高效的加密算法 优化的硬件设计和简单易用的管理界面 可以作为中小型VPN汇聚和接入的首选 方便的部署到网络中 网络架构1 医疗机构总部 在总部Internet接入口处采用高性能的HiPER3300VFVPN安全网关作为接入服务器 HiPER3300VF是艾泰科技针对现代企事业用户的实际需求 精心研制的新一代基于IPSEC的VPN宽带安全网关 主要用于VPN网络的中心节点 具备IPSec L2TP PPTP等VPN功能 它们可结合使用 允许L2TP PPTP IPSecESP透明通过 支持客户端或服务器工作模式 支持使用动态地址构建VPN隧道 可实现网关到网关的连接和移动用户的接入 最多可配置128条VPN隧道 并发40条 同时带有防火墙 流量控制 智能NAT和双WAN口 管理和监控等功能 2 医疗机构分部 对于拥有多台主机的分部 在Internet接口处安装HiPER3100VFVPN安全网关或HiPER2510VFVPN安全网关 接入总部 实现各分公司的上网互联 对于只有一台主机的分部采用HiPERIPSec客户端接入总部 3 移动办公用户 也采用HiPERIPSec客户端接入 采用IPSec PPTP L2TP协议接入数据中心 可支持CDMA GPRS等无线移动接入 员工即使在乘坐车船的途中 也可随时随地实现移动办公 3 实施效果采用HiPERVPN安全网关系列产品作为VPN系统的运用设备之后 大大提升了公司管理系统的效率及安全效果 方便了与各分店的业务沟通 同时HiPER3300VFVPN安全网关具备很强的NAT功能 MAC地址绑定功能 以及流量管理功能 方便了公司的内网管理和上网控制 经过一段时间的运行 华圣药材对HiPERVPN安全网关非常满意 作出了安全 快速 稳定 强大的评定 华圣药材表示 信息化将是企业今后发展的关键 我们将开办更多的分支机构来满足广大民生的需求 上海艾泰科技有限公司的HiPERVPN安全网关系列产品非常适合我们中小型企业 帮助我们企业实现腾飞的梦想 祝愿艾泰科技在信息化接入和普及化上大展宏图 4 VPN的概念 虚拟专用网指的是依靠ISP Internet服务提供商 和其它NSP 网络服务提供商 在公用网络中建立专用的数据通信网络的技术 在虚拟专用网中 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路 而是利用某种公众网的资源动态组成的 所谓虚拟 是指用户不再需要拥有实际的长途数据线路 而是使用Internet公众数据网络的长途数据线路 所谓专用网络 是指用户可以为自己制定一个最符合自己需求的网络 5 vpn优点 由于VPN是在Internet上临时建立的安全专用虚拟网络 用户就节省了租用专线的费用 在运行的资金支出上 除了购买VPN设备 企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用 也节省了长途电话费 这就是VPN价格低廉的原因 6 需求的出现 随着商务活动的日益频繁 各企业开始允许其生意伙伴 供应商也能够访问本企业的局域网 从而大大简化信息交流的途径 增加信息交换速度 这些合作和联系是动态的 并依靠网络来维持和加强 于是各企业发现 这样的信息交流不但带来了网络的复杂性 还带来了管理和安全性的问题 7 需求的出现 随着自身的的发展壮大与跨国化 企业的分支机构不仅越来越多 而且相互间的网络基础设施互不兼容也更为普遍 因此 用户的信息技术部门在连接分支机构方面也感到日益棘手 8 集团VPN的部署 集团内部网络资源 分公司网络资源 营业点内部网络 营业点内部网络 Internet Internet 分公司网络资源 营业点内部网络 营业点内部网络 Internet VPN通道 VPN通道 VPN通道 VPN通道 9 虚拟专用网络的基本用途 通过Internet实现远程用户访问 虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源 10 VPN的安全技术 目前VPN主要采用四项技术来保证安全 这四项技术分别是隧道技术 Tunneling 加解密技术 Encryption Decryption 密钥管理技术 KeyManagement 使用者与设备身份认证技术 Authentication 11 隧道技术 隧道技术是VPN的基本技术 类似于点对点连接技术 它在公用网建立一条数据通道 隧道 让数据包通过这条隧道传输 隧道是由隧道协议形成的 分为第二 三层隧道协议 第二层隧道协议是先把各种网络协议封装到PPP中 再把整个数据包装入隧道协议中 这种双层封装方法形成的数据包靠第二层协议进行传输 第二层隧道协议有L2F PPTP L2TP等 L2TP协议是目前IETF的标准 由IETF融合PPTP与L2F而形成 主要应用于构建远程访问虚拟专网 12 隧道技术 第三层隧道协议是把各种网络协议直接装入隧道协议中 形成的数据包依靠第三层协议进行传输 第三层隧道协议有VTP IPSec等 主要应用于构建企业内部虚拟专网 IntranetVPN 和扩展的企业内部虚拟专网 ExtranetVPN 13 隧道技术如何实现 创建隧道的过程类似于在双方之间建立会话 隧道的两个端点必须同意创建隧道并协商隧道各种配置变量 如地址分配 加密或压缩等参数 14 加解密技术 加解密技术是数据通信中一项较成熟的技术 VPN可直接利用现有技术 15 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取 现行密钥管理技术又分为SKIP与ISAKMP OAKLEY两种 SKIP主要是利用Diffie Hellman的演算法则 在网络上传输密钥 在ISAKMP中 双方都有两把密钥 分别用于公用 私用 16 身份认证技术 身份认证技术最常用的是使用者名称与密码等方式 17 VPN的应用模式 针对不同的用户要求 VPN有三种解决方案 远程访问虚拟网 AccessVPN 企业内部虚拟网 IntranetVPN 和企业扩展虚拟网 ExtranetVPN 这三种类型的VPN分别与传统的远程访问网络 企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应 18 远程访问虚拟网络 AccessVPN 通过一个拥有与专用网络相同策略的共享基础设施 提供对企业内部网或外部网的远程访问 AccessVPN能使用户随时 随地以其所需的方式访问企业资源 AccessVPN包括模拟 拨号 ISDN 数字用户线路xDSL 移动IP和电缆技术 能够安全地连接移动用户 远程工作者或分支机构 VPN的应用模式 19 企业内部虚拟网 利用VPN特性可以在Internet上组建世界范围内的IntranetVPN 利用Internet的线路保证网络的互联性 而利用隧道 加密等VPN特性可以保证信息在整个IntranetVPN上安全传输 IntranetVPN通过