网康VPN网络建设方案建议书

VPN网络建设方案建议书PAGE5VPN网络建设方案建议书目录TOC\o"1-3"\h\z第一章 客户需求及相关技术介绍 3前言 3客户介绍 4需求分析 4第二章VPN技术选型 51IPSECVPN 62SSLVPN 63IPSECVPN与SSLVPN对比 73.1IPSECVPN的优点 73.2SSLVPN的优点 73.4SSLVPN产品特点 9第三章IPSEC&SSLVPN方案 101网络拓扑结构 112产品部署 11第四章北京网康科技产品优势 14第五章报价及工程实施 203.53.6**********中心站的网络建设已经初具规模，网络中部署了包括OA、E-MAIL等业务系统。这些系统不仅要给内部人员提供服务，也要给移动办公、外出的人员提供服务。因此，对SSLVPN设备的并发连接数和性能提出了较高的要求。安全性SSLVPN产品必须满足两个最基本的要求：第一，必须使用SSL协议进行认证和加密，没有采用SSL协议的VPN产品自然不能称为SSLVPN，其安全性也需要进一步考证；第二，可以直接使用浏览器进行操作，无需安装独立的客户端。可用性VPN系统的用户应该可以无缝地访问各种服务和应用，除了发起请求之外，其它访问过程应该对用户保持透明。高性能VPN设备通常需要完成加密、解密、传输、控制等大量的工作，性能是否充足是一个相当重要的参考因素。硬件VPN设备能够提供较好的性能表现，适用于性能要求较高的场合。在较大规模的应用环境中，更适合采用基于硬件的解决方案。第二章VPN技术选型VPN即虚拟专用网(VirtalPrivateNetwork)，是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别目前，用于企业内部自建VPN的主要有两种技术——IPSecVPN和SSLVPN，IPSecVPN和SSLVPN主要解决的是基于互联网的远程接入和互联。1IPSECVPNIPSecVPN是基于IPSec协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议：“AuthenticationHeader”(AH)和“EncapsulatingSecurityPayload”(ESP)。AH为数据流提供数据完整性认证的服务。ESP为所传输数据提供加密和数据完整性认证的服务。IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。在密钥的获取方面，IPSec提供了IKE协议，使通讯的双方能够通过安全的自动协商获得相同的密钥。TransportMode将原IP包中的数据部分进行封装，从而提供了端对端的安全连接。TunnelMode封装整个IP包，从而建立网关到网关间的安全的虚拟的一跳（hop）。利用TunnelMode建立跨越Internet区域的连接两个网关的隧道，从而组成传统方式的VPN。传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSecVPN，这种形式的VPN被广泛地使用在企业中，用于安全连接位于异地的企业计算机资源。2SSLVPNSecureSocketsLayer（SSL/安全套接层）是由Netscape(网景)公司开发的用于在Internet上传递隐密的消息的协议。Netscape的安全套接层是利用RSA数据安全公司的公用密钥密码技术来实现的。RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统。公用密钥加密技术使用不对称的密钥来加密和解密，每对密钥包含一个公钥和一个私钥，公钥是公开广泛分布，而私钥是隐密的，只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密。认证是一个验明正身的过程，目的使一方能够确信对方就是它本身。SSL安全协议主要提供三方面的服务：（1）认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上；（2）加密数据以隐藏被传送的数据；（3）维护数据的完整性,确保数据在传输过程中不被改变。与复杂的IPSecVPN相比，SSLVPN通过任何安装了WEB浏览器的设备都可以使用SSL通过互联网安全地访问公司企业的内部WEB应用，这是因为目前SSL技术已经内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为要有客户端软件。这一点对于拥移动和零散的用户访问总部提了极大的方便。通过SSLVPN是接入企业内部的应用，而不是企业的局域网络。SSLVPN利用浏览器本身只能做到访问B/S（浏览器/服务器）应用和访问ftp服务。如果要实现桌面级的应用，比如传统的C/S（客户/服务器）结构的系统，SSLVPN仍然需要安装专门的客户端。3IPSECVPN与SSLVPN对比3.1IPSECVPN的优点日益增加的对SSLVPN的关注并不能降低对传统IPSecVPN解决方案价值的认可，IPSec仍然是作为站点到站点的VPN事实上的标准。IPSecVPN通过在互联网上的两站点间创建隧道提供直接接入，一旦隧道创建，远程PC就如同物理地处于企业总部LAN中，为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSecVPN隧道连接，远程的办事处和移动用户就能几乎总部局域网的所有应用和资源，而不象SSLVPN具有一定的局限性。IPSecVPN的优点是：最适合局域网到局域网的通信，适用性更大。3.2SSLVPN的优点无需安装客户端软件或客户端设备，只需通过Web浏览器即可以通过网页访问到企业总部的网络资源，免去了客户端的成本，维护、管理成本也大为降低。SSLVPN方案实施起来非常简单，只需要在企业的数据中心部署SSLVPN网关即可，无需在各分支机构部署硬件或软件设备。SSLVPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可。SSLVPN的管理工作属于集中管理和集中维护模式，可以极大地降低管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点，而且还可代理访问公司内部资源。因此，这种方法可以非常安全的。为那些简单远程访问用户（仅需进入公司内部WEB、FTP网站或者进行Email通信），基于SSL的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源。为了让移动工作者、协办厂商、海外员工、企业合作伙伴或客户都能存取不同的企业资源，可考虑采用SSLVPN技术。SSLVPN的设计可满足不同使用者的存取需求，以便随时随地安全地存取管理人员限定其存取的企业资源。如果使用者的身分或环境改变时，它还允许管理人员改变其存取方式即可存取的资源。经过设定后，SSLVPN可检查终端设备是否符合安全政策规范，并根据检验结果限定可存取的资源，或告知使用者如何修订其联网设备。再搭配上严密的存取控管与终端设备防御功能，可消除未受保护终端设备、非信任网路，或未经授权使用者可能带來风险。在此情况下，SSLVPN让使用者能够随时使用任何内建网络浏览器的电脑存取企业资源。考虑选择IPSECVPN还是SSLVPN可参考下面对比清单列表。IT环境IPSecVPNSSLVPN连接类型固定连接短暂连接设备类型可控的公司设备经常变动的设备接入类型Site-to-site远程员工，合作伙伴，客户访问控制允许增强的接入管理策略用户类型IPSecVPNSSLVPN远程办公室员工√√IT维护员工√√移动员工√临时人员√顾问√客户√商业伙伴√客户端网络和设备IPSecVPNSSLVPN设备类型企业拥有并管理无管理的网络类型信任的不信任的特别用途远程或分支办公室宾馆Internet访问；公共终端（网吧等）；客户或商业伙伴的PC；家庭网络应用和内容IPSecVPNSSLVPN全网段，无需应用访问控制√√需要访问控制的网络，无论内网和准内网√Web应用√√C/S应用√√内网应用√√Email√√文件服务器√√3.4SSLVPN产品特点 在进行SSLVPN产品选型时，可遵循以下原则：灵活性： SSLVPN产品应该可以最大限度不改变原有网络拓扑部署到用户网络中。可实现旁路和串联接入。可部署实现客户端与网关互联和网关与网关互联的VPN服务。易用性： SSLVPN产品可实现客户端不安装客户端软件，不运行安全控件，即可通过SSLVPN安全隧道访问内部各种应用。规范性： SSLVPN产品应遵循SSL协议规范，产品任何功能，任何访问均已SSL协议为基础实现。应用支持完整性： SSLVPN产品可以实现客户端对各种B/S、C/S服务的访问。安全性： SSLVPN产品应具有完整和丰富的认证功能来满足各种级别的认证等级需求。应具有细粒度的访问控制，实现不同用户允许访问的应用不同。应具有安全功能以保证内网服务器免受攻击和非法访问。应具备客户端安全性检测功能，保证接入安全。应具有强大的安全审计功能，以便管理员对用户访问进行跟踪。高效性： SSLVPN产品可采用压缩技术、缓存技术以及专业的加速技术，提高信息传输效率，保障用户访问内部应用系统畅通迅速。可靠性： SSLVPN产品可提供完整的冗余解决方案，可以做到主从热备，负载均衡以及集群部署，提高业务系统的整体性能和运行可靠性。第三章IPSEC&SSLVPN方案***********的网络建设已经初具规模，网络中部署了包括OA、等业务系统。这些系统不仅要给内部人员提供服务，包括未来与各个站点进行数据互联，也要给移动办公、外出的人员提供服务。基于客户未来发展的需要，北京网康科技建议采用IPSEC&SSL二合一的VPN产品解决方案，满足移动办公、外出人员的内网访问需求以及业务系统使用的需求，同时考虑贵单位未来发展的需要，预留与各下级分站点数据互联的IPSEC接口，节省设备投资，满足未来发展的需求。1网络拓扑结构2产品部署根据以上需求分析，在中心端我们建议选择北京网康ASG二合一VPN网关NV5000-25F来满足需求。主要参数如下表所示：性能参数并发用户:4000。每秒新建用户：400用户/秒。防火墙吞吐量：1.5GbpsSSL加密速率：500Mbps。IPSEC加密速率：710Mbps硬件规格网络接口：6个10/100/1000M自适应电口，4个SFP光接口。串口：1个Console接口；1个MAG接口。电源：交流单电源。机箱：标准2U，可上机架。MTBF：8万小时。在具备一定规模局域网(用户在30个以上的时候)的分中心站采用网康科技ASGVPN网关NV3000-10来满足需求，当然如果前期用户较少的话我们可以先用客户端对网关的方式来代替，待用户规模起来后再用网关的方式取代客户端。NV3000-10主要参数如下表所示：VPN性能参数并发用户:600。每秒新建用户：60用户/秒。防火墙吞吐量:200Mbps。IPSEC加密速率：220Mbps。SSL加密速率：150Mbps。硬件规格网络接口：4个10/100兆自适应电口。串口：1个Console接口。电源：单电源。机箱：标准1U，可上机架。MTBF：8万小时。在用户数量较少的子中心站或出差用户我们采取客户端对网关的方式来实现远程登录。在远端用户访问专网资源的情况下，我们可以通过SSLVPN网关的web安全访问秘隧道隔离技术来限制用户是否可以访问互联网。

第四章北京网康科技产品优势我们相信，只有专业才能造就品质。网康科技的SSLVPN+IPsec系列产品远程访问系统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统，和商业VPN远程访问系统比较，我们的技术优势包括：3.1安全性高ASGVPN系统从加强对用户身份的鉴别和审计，对用户分组设置访问权限，以及访问行为进行管理和自动监控等方面同时入手，确保数据的保密性和安全性。 用户鉴别。除了使用用户名／口令方式进行用户认证，ASGVPN系统可以强制要求客户端使用数字证书来完成认证，同时数字证书与用户所使用的计算机绑定，用户的一个账号只能在某一台计算机上使用，实现用户的双因素认证，大大强化了认证强度和减少账号的出借外泄。ASGVPN远程访问系统支持的用户鉴别机制包括： 本地用户名、密码认证 数字证书 LDAP认证 CALIS认证 RADIUS认证 硬件UKEY认证 Token认证 可以基于用户组在网关和客户端设置两级访问策略限制并强制执行，规范用户的访问内容，彻底避免用户客户机的二次代理问题。 用户行为控制。ASGVPN系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动作的管理。如防止用户长时间登录到ASGVPN系统但不发生访问行为，浪费并发用户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户方可正常使用。3.2全面的VPN解决方案ASGVPN远程访问系统远程接入采用基于SSL协议的VPN技术，节点互联采用基于IPSEC协议的VPN技术，充分发挥各种技术特点，这样无论从使用和管理上都实现了最大的安全化，以及简单最大化。3.3使用简单、方便传统的远程访问设备，如果在政府与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技ASGVPN远程访问系统采用专有的网络技术，可以灵活的部署于政府内部的任何位置，实现透明接入，不需要对政府的内部网络设备做任何的更改配置即可实现远程接入功能。位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASGVPN远程访问系统充分考虑到了这点，无论是利用浏览器还是利用专用客户端都能够登陆访问到总部的电子资源。ASGVPN远程访问系统能够通过以下网络接入方式来提供访问。 各种宽带连接 各种拨号连接，ADSL,PSTN,ISDN等等 各种无线连接，GPRS，CDMA等等 各种NAT环境，无需额外设置 通过代理服务器访问3.4专用技术提高终端用户资源访问速度ASGVPN远程访问系统通过两种方式来提高终端客户访问下载的速度。第一种方式是通过采用ZLIB压缩格式来压缩传输的数据以提高传输速率。第二种方式是通过采用TCP/UDP传输协议的最优化切换技术，该技术自动检测UDP通道的可用性以及性能状态，如果UDP通道可用并且性能良好，则优先使用UDP隧道进行数据的传送，否则自动切换TCP隧道进行数据的传送，在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。3.5详尽的统计功能ASGVPN远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。用户审核管理模块主要功能： 现场注册 用户信息比对和审核 用户信息开户和登记表打印 用户开通信息EMAIL通知 用户管理 排序 查询 挂起／激活 销户 有效期操作 操作员管理 用户信息同步3.6访问统计图标注册统计模块是网康科技定制研发，行业中独有的，具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。例如： 用户自定义注册 管理员