企业VPN方案.docx
- 文档编号:1284914
- 上传时间:2022-10-20
- 格式:DOCX
- 页数:22
- 大小:32.64KB
企业VPN方案.docx
《企业VPN方案.docx》由会员分享,可在线阅读,更多相关《企业VPN方案.docx(22页珍藏版)》请在冰豆网上搜索。
企业VPN方案
企业
VPN网络建设解决方案
第一章项目背景
第二章设计原则和设计思想
2.1.建设目标
2.2.设计目标
第三章企业VPN网络建设实施方案
3.1.实施方案
3.2.实施步骤
3.3.企业VPN网络解决方案
3.4.应用效果
3.5.安装及维护方案
3.6.方案优点
第四章相关设备简介
第五章效益分析与经费预算
5.1系统运营费用和传统方案的比较
5.2经费预算
第六章艾泰科技专业和规范的服务——UTTCare
第一章项目背景
随着宽带Internet网络的普及,信息化的发展正在改变着企事业传统的运作方式。
越来越多的企事业单位都在逐步依靠计算机网络、应用系统来开展业务,同时利用Internet来开展更多的商务活动。
企业正越来越多的应用了计算机和各类应用软件和系统来处理单位业务,如何将位于全局不同地点的分支机构网络互联互通、数据安全上传,就成了必须解决的问题。
远程私有网络的需求促进了VPN的诞生和高速发展。
以往专用线路(如DDN)的高昂成本和长期的使用费,以及跨运营商的不便成为公司很大的成本负担,很多公司无法利用这种方式来建立自己的专网,而在Internet发展的早期,窄带线路的通信质量、带宽、以及资费,都无法满足企事业长期利用其来构建自身远程私有网络的需要,很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。
但到了今天,各种宽带上网方式(如ADSL、城域网等)都在迅速发展,带宽和通信质量已经不在是瓶颈,资费也极大的降低,完全能够高效率、低成本的解决企业网络互联互通的需要。
企业为了达到本单位内部信息共享,构成统一的网络工作平台,需要将总部与分支机构组成虚拟局域网,在企业总部布置UTT5830GVPN防火墙,分支机构通过UTT2512建立虚拟局域网,为统一的网络工作平台提供基础平台,同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的数据共享和远程应用,保证信息网络的安全。
企业为了达到本单位内部信息共享,构成统一的网络工作平台,需要将总部与分支机构组成虚拟局域网,在企业总部布置UTT5830GVPN防火墙,分支机构通过UTT2512建立虚拟局域网,为统一的网络工作平台提供基础平台,同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的数据共享和远程应用,保证信息网络的安全。
第二章建设目标和设计原则
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,企业的VPN网络构建着力于“实用性、高起点、前瞻性、扩展性”。
具体的我们遵循了以下原则:
2.1.建设目标
在完成了企业的VPN网络建设后,将为应用系统提供统一、安全、高速、可靠的网络传输平台,具体能够实现以下目标:
1)网络互联
可实现“企业总部-分公司-分支机构”及各分公司、分支机构之间的安全互连,为内部应用系统的运行提供互连互通、安全可控、自主管理的网络平台。
2)独立性
能够根据用户的需要有选择地对需要的业务数据进行加密,不需要加密的数据和Internet接入业务可以不受到影响。
3)网络安全性
安全周边安全:
VPN安全网关融合了VPN、路由、上网行为管理、防火墙等功能,可对外来及内部攻击进行主动防御,更能保证整个网络平台的安全及每个局域网内部的安全。
上海艾泰有限公司VPN安全网关其内置防火墙其抗攻击能力优异。
信息传输安全:
通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式,保证信息传输的完整性、保密性及不可抵赖性,把安全真正掌握在用户手里。
可靠性:
上海艾泰科技VPN安全网关性能稳定可靠,其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。
4)系统扩展和变更的灵活性
系统VPN网络的扩展非常容易,同时又不会带来安全隐患。
5)网络通讯效率
此次网络建设所选用的设备具有很高的加密速率,不会影响网络的通讯效率。
为各种网络应用提供统一管理的、透明的网络传输平台。
6)高性价比
本项目实施后不但解决了很高的信息数据传输安全性,而且不会影响网络传输性能。
本方案不仅满足今天的需求,而且支持未来扩展。
本方案提供了完整的思路,具有极高的性能价格比和投资回报率。
2.2.设计目标
对企业的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。
具体的我们遵循了以下原则:
1)安全性原则
上海艾泰科技有限公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入和信息的泄露,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。
2)可靠性原则
这套网络安全系统是用户的主营业务平台。
它的稳定可靠关系重大,信息平台的运行不稳定甚至瘫痪将严重影响企业的正常运作,将给为用户带来不便和不可低估的损失。
因此可靠性是平台运行的首要保证。
上海艾泰科技有限公司将采用相应的手段保证系统、网络和数据的稳定可靠性,关键节点采用负载均衡、平台备份就是其中的重要策略。
3)先进性原则
在系统建设方案,具有相当的先进性,并能够通过对VPN设备和软件的不断升级,确保系统的技术领先性和持续发展性。
4)实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
5)可扩展性原则
系统建设应该是统一规划、分步实施、逐步完善的的过程。
我企业在该方案的设计中充分考虑它的可扩展性,使系统能够方便的扩展。
6)可推广性原则
该方案具有很强的推广性,可根据实际情况逐步扩展网点数量。
7)易管理性原则
网络系统的管理和维护工作也是至关重要的。
在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。
上海艾泰科技有限公司提供“安全网管平台”对VPN安全网关、移动客户进行统一管理。
8)兼容性原则
VPN系统是网络层安全设备,对各种网络应用透明;上海艾泰科技有限公司的VPN安全网关遵循标准的IPSEC\PPTP\L2TP协议,在网络层对IP数据包进行加密,对网络中的数据流做访问控制,因此,对于应用系统是完全透明的。
同时依靠上海艾泰科技有限公司强大的研发能力,能够为用户提供特殊的定制性需求。
9)对移动用户的支持
从近期的统计数据可以看到,笔记本电脑的销售量已经超过了传统的台式电脑,这直接反映了越来越多的人开始青睐于“移动办公”的工作和生活方式。
非典期间,众多的企业也采用了工作人员在家办公的方式,渡过那段非常时期。
如何将越来越多的移动用户纳入企业整体网络,帮助移动用户安全、方便的访问企业资源,也是VPN网络需要解决的问题。
移动用户不可能带着硬件设备来接入VPN网络,有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能,采用PPTP虚拟拨号的方式接入总部,只有基本的用户名密码验证,安全级别非常低;另外不能同时访问内网和Internet,也造成了极大的不便。
好一点的VPN产品都有独立的VPN客户端软件,解决上述缺陷。
上海艾泰科技有限公司VPN对移动用户也提供了强大的支持。
移动用户不但能够接入企业VPN网络,而且能够获取与在局域网内时相同的内网IP地址,并能够通过该IP地址与内部网络相互通信。
这就使得移动用户不但可以访问企业网络,同时在外出时、也能够被局域网所找到,完全象在同一个局域网内一样。
VPN的发展迎合了用户对更低成本、更高性价比的追求,已经在各行各业开始出现广泛的应用。
不同规模的企业、不同的业务模式,相应的对VPN产品的要求也不尽相同。
但上述几点,是用户在选择VPN产品时基本都会面临的主要问题,只有适合自身业务需求和未来发展的产品,并且整体投资适度、性价比高,才是最好的产品。
第三章企业VPN网络建设实施方案
3.1.实施方案
针对企业的业务需求,并综合VPN特性,满足要求的方案如下:
●总部部署UTT5830GVPN防火墙,分公司部署UTT3640VPN防火墙、分支机构部署UTT2512VPN防火墙,建立VPN局域网实现公司、分公司、分支机构之间互连互访的功能。
对于出差或在异地办公的人员以及乡统计所,亦可以通过VPN客户端软件与企业或者分支机构发起VPN连接,实现VPN隧道连接。
●企业内部访问Internet的功能,实现宽带共享,实现上网行为管理。
●通过WA1800N或HiPER510W做无限覆盖,实现移动上网。
●由于全网均采用宽带连接,边缘节点并发连接过多时会造成中心节点负载过重,导致宕机,或者发生中心接点带宽不够的现象。
此时,可以利用UTT系列VPN安全网关独有的基于CBQ或者CBT技术来对边缘节点进行带宽的分配和管理,合理分配分部用于VPN连接的带宽,实现总部带宽的负载均衡。
3.2.实施步骤:
(1)考虑到企业“企业总部—分公司-分支机构”的三级管理模式,企业通过接入宽带或ADSL(固定IP或动态IP皆可)安装艾泰安全网关UTT5830G,分公司安装UTT3640,各分支机构分别安装安全网关UTT2512或个人移动软件。
(2)在企业的VPN防火墙UTT5830G上配置总部虚拟IP池(该地址段为总部局域网内未被使用的IP地址,可与总部局域网同网段或不同网段,设置时请注意不要包含已经被使用的IP),使得通过VPN接入到总部的移动用户能够从这个IP池中获得与总部局域网相同网段的局域网IP地址;
(3)针对总部需开放资源情况设定总部VPN内网服务设置,以便为各接入用户分配相应权限(如物流系统,财务、办公系统、OA、邮件等不同系统的访问权限);
(4)在VPN防火墙UTT5830G上配置VPN内的QOS,为各种重要应用分配更高的优先级别,以便在网络繁忙时为这些重要应用保留更高的带宽;
(5)在所有需要联入总部的移动终端计算机上安装移动软件,配置好总部分配的账号,接入总部后即可实现对总部各种应用服务器的访问。
(6)考虑到接入Internet后存在的安全隐患,建议在防火墙上设置过滤规则及NAT,为防止外网的攻击设置防火墙的过滤规则(并使用自检测功能进行检测),同时为内网用户设定访问Internet的权限(分用户组,不同用户组可独立分配不同的上网权限,可基于URL和IP设定);
3.3.企业VPN网络解决方案
●企业网络整体解决方案拓扑图
●企业内网安全拓扑图
●VPN拓扑图:
●无线网络解决方案拓扑图
●网络推荐产品
推荐
类型
推荐
VPN防火墙
推荐
中心交换机
推荐
接入交换机
推荐
无线路由器
推荐
无线AP
带机量
基本型
UTT3000
SG3224F
SG1224F
510W
WA1800N
200台
实惠型
UTT4840G
SG3224F
SG1224F
510W
WA1800N
300台
加强型
UTT5830G
SG3224F
SG2124F
510W
WA1800N
500台
3.4.应用效果:
(1)VPN应用:
总部所有局域网内网络化的应用都可以在分支机构和移动用户上实现扩展,包括文件共享、文件型数据库、音频和视频的传输等;总部及分公司、分支机构之间可以根据权限进行互相访问。
(2)QOS应用:
基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送,防火墙的QOS在整个带宽基础上为VPN保留合理的带宽,避免网内用户的上网行为对VPN造成影响,而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽,在网络繁忙时优先传送更重要的数据(如对数据库查询等),而智能的QO
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 VPN 方案