解决方案模板

XXXX 行业行业 VPNVPN 解决方案解决方案 北京网康科技有限公司北京网康科技有限公司 目目 录录 第一章第一章 酒店行业需求分析酒店行业需求分析-3 3 1.1 背景-3 1.2 需要达到的目标-4 1.3 为什么选用 VPN 联网方式-4 第二章第二章 ASGASG VPNVPN 解决方案解决方案 -7 7 2.1 网络拓扑图-7 2.2 方案说明 -7 2.3 方案特点-8 2.4 方案优势-8 第三章第三章 产品优势产品优势-1010 3.1 安全性高-10 3.2 全面的 SSL VPN 解决方案-11 3.3 使用简单、方便-11 3.4 专用技术提高终端用户资源访问速度-11 3.5 详尽的统计功能-11 3.6 访问统计图标-12 3.7 分级管理功能-14 3.8 堆叠式的负载均衡-15 3.9 容灾-15 3.10 高扩展性 -15 311 线路冗余 -16 第四章第四章产品报价产品报价-1717 41 产品报价-17 42 设备选型及介绍-18 43 设备参数-18 44 ASG VPN 产品图片-19 第五章第五章 售后服务说明售后服务说明-2020 文档说明 编写日期2011.1201版本1.0 阅读对象XX 酒店集团网络系统管理者 方案概要通过建立 VPN 设备互联，达到远程访问与各分支互联目的 第一章第一章 酒店行业需求分析酒店行业需求分析 1.11.1 背景背景 随着人们生活水平的不断提高，旅游和餐饮成为了人们工作之余休闲放松的首选， 旅游和餐饮行业在中国蓬勃发展，特别在经济发展较快、人均收入水平较高的地区，旅行 社、中餐馆、西餐馆遍布城市的每个角落。诸多旅游和餐饮企业随着业务的增加，规模的 扩大，呈现出了众多较大型、多元化经营、综合性服务特点，旅游和餐饮电子商务也已经 普遍应用，旅游管理系统、旅游财务系统、餐饮管理系统、餐饮 POS 机付款系统都需要以 实时、高效、准确的应用来代替以往的手工操作、传真、电话时代，进入到自身虚拟专用 网络平台时代。 旅游和餐饮企业一般拥有众多的分散各地、各区的旅游营业报名点和连锁分店， 为了更好的让下属营业点、异地分公司管理游客信息和旅游信息，连锁分店共享总部的数 据信息，公司总部线路和人员安排，团队报名情况，众多旅游和餐饮企业都已经或者准备 公司总部和个下属营业点，分公司，连锁分店之间构建信息化平台，启用一套旅游和餐饮 管理系统。 通过网络汇集的大量数据和信息，通过互联网实时地、全方位、大容量转发， 发挥了旅游和餐饮行业各种系统的作用。并通过在线实时向游客介绍国内各地旅游景点的 情况和餐馆的菜式和分布，企业也可以通过虚拟网络平台实现在线报名，网上预定座位， 预定车票、机票等众多业务，因此对信息化的要求也变得越加迫切。 各大旅游公司和餐饮连锁店通常采取数据集中管理的方式，公司总部是中央数 据库，各营业点多数连锁分店由小型的局域网或者单机组成，针对这一现状网康科技提出 了 ASG VPN 的解决方案，通过 ASG VPN 网络设备，可使各分支营业点和连锁店的计算机与 数据库所在的总部保持实时、不间断的联系。 XX 酒店集团组建于 XXXX 年 XX 月，隶属 XXXX 集团公司，是以酒店旅游为核心业务的 专业化公司。在北京、上海、天津、重庆、兰州等中心城市，已形成高星级商务酒店群； 在三亚、峨嵋、九寨、大连、青岛、苏州、无锡、桂林、北戴河等重点风景名胜，已拥有 自己的旅游度假山庄和疗养院。可为各类会议、商务活动、出国考察、旅游、培训、疗养、 度假等提供各种服务平台。 如何将各地酒店业务网络连网，将各个酒店所用的业务系统整合起来，以使得 相应的客户信息管理与维护、酒店日常收支管理、各类业务应用系统可以安全、整合地管 理；使相应的客户信息、财务信息可以方便查询，以便酒店可以更方便地接待客户并提供 满意服务；而且，各地酒店如何接入总部系统与资源库，总部与各地酒店、各地酒店如何 沟通这些都是 XX 酒店集团希望解决的问题。 为了实现酒店整合管理与高效沟通，XX 酒店集团计划部署一整套的网络互联解决方 案，将各个分支酒店与总部网络互联，以实现各酒店业务系统的整合管理与高效沟通。目 前，XX 酒店集团总部部署 IDC 机房，设有 Database，Application，Windows Server，Unix sever 以及公司网站等众多服务器，集团希望能够利用强大的软硬件系统， 实现网络的高稳定性、可管理性、可扩展性。 1.21.2 需要达到的目标需要达到的目标 XX 酒店集团本次网络建设的目标，主要是为了实现现有网络情况下的总部与分支酒 店的互联。集团的重点需求集中在建成后网络的稳定性上，要求所构建的网络必须保证足 够的稳定性来支撑 XX 酒店集团的运营业务。同时，集团对于网络的稳定性要求从诸多方面 得到体现，这样就能保证网络在某一方面出现问题时，集团也能利用其他技术手段来支持 网络连接的稳定性。 在满足了稳定性的同时，集团对整个网络的安全性、可操控性也提出了要求。集团 要总部对下属的各分支酒店进行接入互联，以实现他们与总部的互联；并且要充分的保证 网络的稳定性，这样就能保证在线路不稳定的情况下也能保证网络数据的正常传输，为业 务的正常运营提供保证。 1.31.3 为什么选用为什么选用 VPNVPN 联网方式联网方式 需要考虑的问题需要考虑的问题 通过以上的要求，我们分析需要考虑的主要问题如下： A、在各种组网方式中进行选择。 进行异地网络互联，有四种方式。一是专线互连（如 DDN、FR 或 ATM 连接） ；二是远程 拨号接入；三是直接利用 Internet 构筑起本公司的 Intranet 或 Extranet；四是依赖于目 前高速发展的 Internet 组建的 VPN 网络。其他的如微波，WLAN 等方式在全省以及全国范 围的需求下不做考虑。 B、必须考虑整个方案的安全性和稳定性、可管理性和可维护性，以及能够满足未来网络发 展的需要。比如要考虑以后的 IP 语音与视频会议系统，这需要全网或者一个大区域内的互 联互通。 C、要考虑网络建设容易程度与建成后的维护容易程度。 VPNVPN 的优势的优势 在上面的几种选择方式中如果投入资金允许并且对稳定性和可靠性要求非常高的情况 下，可考虑专线互连专线互连的方式。 远程拨号远程拨号接入方式的特点是前期投入较少，只需要在公司总部和分公司等地安装拨号 接入服务器，并且使用比较简单。但此种互联方式的弱点是速度慢（电话拨号最高只可达 56Kbps） ，稳定性差，长时间使用必定带来高昂的长途电话费用。在现代信息化系统要求带 宽和稳定性都较高的情况下，远程拨号接入方式不可取。 直接利用 Internet 构筑起本公司的 IntranetIntranet 或 ExtranetExtranet， Internet 迅速发展无所 不在以及诱人的低价位，的确令众多厂商开始采用这种办法，但是直接利用 Internet 只能 进行 WEB、E-MAIL 等有限的应用，并且 Internet 天生的开放性使安全性又成了问题，公司 的机密数据一旦在 Internet 传输，若没有安全性保障，其后果可想而知。 VPNVPN 是多种联网方式中最好的选择，那么 VPN 究竟有什么优势呢，它是不是能够解决企 业考虑的问题？ VPN 是计算机网络的新技术，它将使 Internet 成为一种商业工具，并为 Intranet 和 Extranet 的应用带来良好的前景。具体而言，VPN 具有以下显著的优点： 1 1 安全性高安全性高 企业通过公网实现跨地域的系统互联必然面临安全问题。用 VPN 构建网络具备相当高 的安全性，主要有如下几点安全要素： 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能 力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据 的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数 据。 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过 VPN 通道攻击企业网络的能力，并 且可以对 VPN 通道进行访问控制。 2 2 降低成本降低成本 当使用 Internet 时，实际上只需要付短途电话费，却收到了长途通信的效果。因此， 借助 ISP 来建立 VPN，就可以节省大量的通信费，此外，VPN 还可以使企业不必投入大量的 人力和物力去安装和维护 WAN 设备和远程访问设备。 3 3 容易扩展容易扩展 支持多种接入实现方式，并且网络是动态的，可以随时增减用户，便于集中控制访问 权限。如果想扩大 VPN 的容量和覆盖范围，做的事情很少，而且能立时实现：只需与新的 ISP 签约，建立帐户；或者与原有的 ISP 重签合约，扩大服务范围。 4 4 完全控制主动权完全控制主动权 VPN 使企业可以使用 ISP 的设施和服务，同时又完全掌握着自己网络的控制权。比方说， 企业可以把拨号访问交给 ISP 去做，由自己负责用户的查验、访问权、网络地址、安全性 和网络变化管理等重要工作。 VPN 组网技术与专线组网技术相比，优点是节省用户的通信费用，方便用户网络互联和 灵活扩充，并且提高企业网络的可管理性；缺点是稳定性可靠性不如专线网络。 以上几个优点是市面上的 VPN 都具有的，但是单单具有上面这些特点的 VPN 还是不能解决 企业考虑的问题。 我国互联网这几年发展迅速，特别是骨干网建设已经走在世界的前列。用户端的互联 网接入技术，如 ADSL、Cable 或者是以太网都已经非常稳定可靠。但是，为什么在国外已 经很普及的 VPN 的应用在国内还没有大规模的使用呢？究其原因，最根本的就是 VPN 这种 技术还没有深入人心，并且传统的 VPN 设备使用复杂，需要专门的技术人员来实施。 综合考虑以上情况，在网络组建前期必须进行详尽的调查与测试，寻找一种适合组建 大规模 VPN 网络的，专业智能的， “傻瓜式”的 VPN 产品来组建此通信网络。在方案中必须 要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有 很多 VPN 产品，那么究竟那一种 VPN 产品才是企业最好的选择呢？针对企业上面的需求， 采用网康科技的 ASG VPN 解决方案正是一种非常好的解决方案。 第二章第二章 应用安全网关应用安全网关 VPNVPN 解决方案解决方案 2.12.1 网络拓扑图网络拓扑图 这张图要换掉，换成实际的网络拓扑图这张图要换掉，换成实际的网络拓扑图 图一 VPN 网络示意图 2.22.2 方案说明方案说明 XX 酒店集团网络规模较大，分支酒店都需要跟它通信，进行数据交换，这样就对稳定 性要求更高，接入带宽要求更大，所以建议在总部使用 ASGXXXX 型号 设备。使用 10M 的上 网专线接入 Internet。因为需要对外提供访问服务，所以使用一个固定的公网 IP 地址。 ASGXXXX 是具有高性能的 VPN 接入设备（中心点的终端设备） ，提供作为智能接入终端 的所有功能，如高性能的防火墙，移动客户端接入服务，带宽管理，流量监控,统计汇总等。 分支酒店所处网络规模相对于专网接入中心点来说规模较小，仅仅需要接入总部 ASGXXXX 设备。所以，根据规模大小，建议使用在各分支酒店采用 ASGXXXX 终端设备，可 采用上网专线接入和 ADSL 接入，不要求有固定的公网 IP 地址。 2.32.3 方案特点方案特点 ASG VPN 系列设备在部署以后，可以达到以下效果： 安全性高，ASG VPN 设备不但提供了构建 IPSec VPN + SSL VPN 高安全性，同时提供 企业级的防火墙功能，用户安全策略，数据加密技术最大限度提高用户数据安全性； 扩展性好，通过 ASG VPN 构建企业 VPN 的解决方案本身的灵活性，为企业以后网络的 扩展提供很大的伸缩可能，企业可以根据自身的情况任意灵活的扩展； 实施周期短，只需简单的配置就可以达到整个集团网络互联的目的； 管理维护简单，既有简单友好的 WEB 配置界面，也有实时的日志功能，方便系统管理 员的维护和管理 2.42.4 方案优势方案优势 a、降低企业日常工作成本 根据 Strategic Network 指出，组建企业 Intranet VPN 网络和拨号 VPN 网络相比可以 节省高达 60%的日常成本，这个成本包括日常的维护和设备损耗的成本。拨号 VPN 网络要 求应用 VPN 服务器需要进行拨号链接和应用访问双重负载，当拨号用户增多时，对企业中 心网络的维护和设备损耗是极大的考验，并且大大提高了网络单点故障率。 而采用 ASG VPN 设备之后，就不再需要 VPN 服务器了，而是在总部和分支酒店的 APN 设备之间建立一条虚拟专线（俗称：隧道） ，这样总部的局域网和分支酒店的局域网就连在 一起了，组成了一个更大的局域网，而且他们之间的访问是可以通过安全策略进行控制的， 管理起来很方便。 b、降低设备购买成本 ASG VPN 设备主要以 VPN 链接组网为主要功能，基于 Intel NP 高性能处理器为硬件架 构。同时本身集成其他网络功能和服务。1 台 ASG VPN = 1 台专业高性能网络防火墙+SSL VPN 网关 + IPSec VPN 网关，每个节点只需要一台 ASG VPN 设备就能担任 3 台专业网络设 备的工作量，设备整合效率提高 75%，如果考虑设备成本，单独购买和分别购买相比，节 约网络整体成本 90%以上。 c、降低企业管理和网络维护成本 ASG VPN 设备提高良好的人机管理界面和功能，让企业在日常 IT 管理维护中节省可观 的内部管理和支持成本，而且网康科技提供 24 小时全年无休的服务与支持，有技术经验丰 富的人员快速解决企业 IT 故障问题。 通过 ASG VPN 设备构建起来的 VPN 专网中能够很容易实施 OA、ERP、CRM 等软件应用并 进行远程互联，这将极大提高企业的工作效率，给企业带来无尽的效益。 通过 ASG VPN 对分支酒店网络流量可以进行分流，可以将一条线路专门用来上网，另 一条线路专门用来在总部和分公司之间传输数据，这样既安全又通畅。 由于是网对网的连接，所以不再需要那么多的帐号和密码，只要给出差人员等不定点 的用户分配帐号就可以了，方便管理。 采用 ASG VPNN 设备，与经销商的网络互联也非常方便、安全，接入简单，也可以对其 进行严格的访问控制。 d、提高企业数据远程传输安全稳定性 ASG VPN 设备采用的是最安全的 IPSecSSL 协议，通过该协议传输的数据是经过严格 加密的，几乎不可能破解，这样数据在网络上传输的时候即使被黑客查看到也是乱码，而 且可以 VPN 可以保证数据的完整性，就算黑客查看到也不可能进行修改。 e、提高企业内网安全性 如果集团内部 IT 服务通过网络出口直接向 Internet 开放，将带来很大的安全隐患。 由于数据采用明文方式传输，而且缺乏严格的身份认证措施，集团内部重要数据（如财务 等）一旦被不怀好意之人侦听，危害不言而喻。采用 ASG VPN 解决方案后，可以杜绝 IT 应 用发布环节上的安全隐患。而且 ASG VPN 只需对外开放一个 443 端口，隐藏内部的服务区 结构，并可对远程访问设置更高的权限粒度，实现更高的安全性。 通过 APN 的防火墙对内网单机进行全面安全防护，减少内部漏洞，得以全面防范病毒 及木马入侵，可以降低由此带来的资料损失，硬件破坏等，以中等规模机构而言，可以降 低由此带来的损失达 1050 万/年。 第三章第三章 产品优势产品优势 我们相信，只有专业才能造就品质。网康科技的 SSL VPN+IPsec 系列产品远程访问系 统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统，和商业 VPN 远 程访问系统比较，我们的技术优势包括： 3.13.1 安全性高安全性高 ASG VPN 系统从加强对用户身份的鉴别和审计，对用户分组设置访问权限，以及访问行 为进行管理和自动监控等方面同时入手，确保数据的保密性和安全性。 用户鉴别。除了使用用户名口令方式进行用户认证，ASG VPN 系统可以强制要求客 户端使用数字证书来完成认证，同时数字证书与用户所使用的计算机绑定，用户的一个账 号只能在某一台计算机上使用，实现用户的双因素认证，大大强化了认证强度和减少账号 的出借外泄。 ASG VPN 远程访问系统支持的用户鉴别机制包括： 本地用户名、密码认证 数字证书 LDAP 认证 CALIS 认证 RADIUS 认证 硬件 UKEY 认证 Token 认证 可以基于用户组在网关和客户端设置两级访问策略限制并强制执行，规范用户的访问 内容，彻底避免用户客户机的二次代理问题。 用户行为控制。ASG VPN 系统可以为用户组提供独立的用户访问行为管理，通过设置 空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动 作的管理。如防止用户长时间登录到 ASG VPN 系统但不发生访问行为，浪费并发用户数量； 速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查 用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户 方可正常使用。 3.23.2 全面的全面的 SSLSSL VPNVPN 解决方案解决方案 ASG VPN 远程访问系统无论是远程接入还是节点互联，全部使用基于 SSL 协议的 VPN 技 术，这样无论从使用和管理上都实现了最大的安全化，以及简单最大化。 3.33.3 使用简单、方便使用简单、方便 传统的远程访问设备，如果在政府与分支机构见进行部署，需要对防火墙设备进行网 络映射等相应配置，造成了不必要的麻烦。网康科技 ASG VPN 远程访问系统采用专有的网 络技术，可以灵活的部署于政府内部的任何位置，实现透明接入，不需要对政府的内部网 络设备做任何的更改配置即可实现远程接入功能。 位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆 到总部访问电子资源。ASG VPN 远程访问系统充分考虑到了这点，无论是利用浏览器还是 利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN 远程访问系统能够通过以下 网络接入方式来提供访问。 各种宽带连接 各种拨号连接，ADSL,PSTN,ISDN 等等 各种无线连接，GPRS，CDMA 等等 各种 NAT 环境，无需额外设置 通过代理服务器访问 3.43.4 专用技术提高终端用户资源访问速度专用技术提高终端用户资源访问速度 ASG VPN 远程访问系统通过两种方式来提高终端客户访问下载的速度。 第一种方式是通过采用 ZLIB 压缩格式来压缩传输的数据以提高传输速率。 第二种方式是通过采用 TCP/UDP 传输协议的最优化切换技术，该技术自动检测 UDP 通 道的可用性以及性能状态，如果 UDP 通道可用并且性能良好，则优先使用 UDP 隧道进行数 据的传送，否则自动切换 TCP 隧道进行数据的传送，在其它的成功方案应用实践证明该技 术能够有效的提高终端客户访问和下载速度。 3.53.5 详尽的统计功能详尽的统计功能 ASG VPN 远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门 的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、 用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。 用户审核管理模块主要功能： 现场注册 用户信息比对和审核 用户信息开户和登记表打印 用户开通信息 EMAIL 通知 用户管理 排序 查询 挂起激活 销户 有效期操作 操作员管理 用户信息同步 3.63.6 访问统计图标访问统计图标 注册统计模块是网康科技针对于图书馆定制研发，行业中独有的，具有用户自定义注 册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。 例如： 用户自定义注册 管理员通过后台手动审核注册用户 根据定义策略系统自动审核注册用户 详细的登录日志（如图） 强大的图表功能 （如图） 3.73.7 分级管理功能分级管理功能 ASG VPN 远程访问系统提供分级管理功能，通过运用分级管理，管理人员能够根据人员 分配和管理的情况，分别分配不同的管理权限。ASG VPN 远程访问系统分级管理功能如下： 添加系统管理员 用户申请 审核用户 管理用户 到期用户管理 客户端总流量 用户登陆统计 用户登陆明细 NAT 流量统计 电子资源访问统计 在线用户 证书管理 系统日志 3.83.8 堆叠式的负载均衡堆叠式的负载均衡 ASG VPN 远程访问系统的负载均衡功能采用独创的堆叠式负载均衡，该负载均衡不需要 额外的负载均衡设备，能够实现即插即用，无限堆叠。无需额外的系统和网络配置。能够 满足系统无缝扩展的需求。 3.93.9 容灾