VPN技术方案Word格式文档下载.docx

VPN技术方案Word格式文档下载.docx

《VPN技术方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《VPN技术方案Word格式文档下载.docx（11页珍藏版）》请在冰豆网上搜索。

本方案是为国库集中支付网络安全互联的一套应用升级方案。

方案采用基于IPSec标准的虚拟专用网（VPN技术），把整个国库集中支付需要接入的预算单位和移动用户通过专用VPN设备和VPN客户端系统平滑升级，提升原有的访问速度，为系统的管理和业务构造一个便捷、保密，易管理的信息传输平台。

本方案中采用的专用VPN设备为上海安达通信息安全技术股份有限公司研制的SJW74系列VPN安全网关产品和安全客户端产品为基础，加入安达通“VPN移动接入加速系统”模块，该模块是融合了桌面终端控制技术和数据压缩技术，可以将传统的“Client—Site”的VPN远程接入速度提升10倍以上，使原来对带宽要求很高的C/S应用软件，能在甚至56Kmodem拨号的方式下通过VPN隧道顺畅运行。

同时，使用该加速系统后，对客户端性能要求大大降低，同时免安装应用软件客户端，部署和管理异常方便

在本方案中，采用安达通VPN产品实施安全的网络互联方案，保证关键业务系统的安全性，提高访问速度，并达到以下目标：

保护内部网络安全。

通过设置有效的安全策略，确保只允许符合安全策略的内外网络之间的访问与服务，保证内部网络免受外部攻击。

保证信息传输的机密性和不可篡改性。

SJW74VPN网关之间可以建立高强度的加密隧道，信息传输时，是以加密的形式传送的，并附加了认证信息，可以保证数据的保密性与不可篡改性。

对原有预算单位使用改变很小，但是速度比原来使用提升10倍以上，同时对系统管理员的管理工作大大减轻，基本实现零维护。

也可适用于财政各类应用系统的需要，同时也能满足将来业务扩展的需要：

如：

乡财县管系统、办公OA等系统。

3．方案示意与说明

目前，广西XX县财政局信息中心已经布署较高端ADTSJW74APRO安全网关，各预算单位、移动用户通过ADT安全客户端系统（安全客户端软件+KEY）接入到财政局内网访问国库系统，只要对原有的VPN网关的升级，加入“移动接入加速系统”模块，下属预算单位不需重新设置，就能体现VPN加速带来的快捷和方便性。

广西XX县财政局VPN移动加速平台系统方案如下图：

3.1广西XX县财政局VPN网络结构图

VPN网关部署在信息中心节点防火墙的后面，财政系统数据服务器和远程终端应用服务器放在的内网中，在不需要改变网络现状情况下，启用安达通“VPN移动接入加速系统”模块，VPN移动接入加速系统由安达通VPN网关和远程终端服务器组成。

移动用户登录VPN后，通过Web资源展示页面，即可直接访问远程终端服务器。

在终端服务器上安装用户应用系统的客户端程序（如：

下图中的“国库系统客户端”）。

图示例中，移动用户通过VPN隧道远程控制在该终端服务器上的国库客户端的运行，如同在局域网内访问应用服务器一样。

由于只在远程终端服务器和VPN移动用户间的VPN隧道中传输键盘、鼠标和显示画面等小数据量的信息，避免了C/S程序间的大量应用数据在VPN隧道中直接传输，所以应用软件的运行速度有了显著的提高。

再加上使用了数据压缩技术，使带宽的效率进一步得到提升。

下表是采用“VPN移动接入加速系统”前后，示例中国库集中支付系统客户端程序打开一个大数据量的表单时的运行速度对比。

总部采用2M光纤接入，预算单位用户2个，都采用512KADSL远程接入。

环境测试示意图

技术参数

（分部A）传统移动接入

（分部B）安达通移动接入加速

VPN移动用户地址

132.131.100.25/16

（VPN源地址）

132.132.100.25/16

国库系统客户端地址

（国库系统客户端直接安装在预算用户的电脑上）

132.133.100.31/16

（VPN目的地址:

终端服务器地址）

（国库系统客户端安装在总部的终端服务器上）

国库系统数据服务器地址

132.133.100.32/16

（VPN目的地址）

（移动客户不直接访问服务器）

操作完成的耗时

105s

2s

通过上表我们可以看到，对于远程应用解决方案来说，VPN移动接入加速系统具备比VPN较明显的优势。

3.2移动加速系统技术优势分析

3.2.1原有VPN技术

VPN（虚拟专用网）通过公众IP网络建立了私有数据传输通道，它让用户能够访问部署在远端的服务器网络和主机。

VPN是基于网络层协议IPSec实现的（基于链路层的PPTP和L2TP协议因为其安全缺陷已被弃用），它在公网上通过传输经过加密和认证的数据包，形式上建立了一个私有的隧道，在网络层实现了互联。

VPN本身的部署是非常复杂的：

在用户端，它需要在每个用户处安装VPN客户端软件，并针对不同的网络情况作不同的设置；

通过VPN方式远程部署的业务系统，在公网上传输的是真实的业务数据，数据量非常大，如果低带宽条件下运行，导致性能下降巨大甚至无法运行。

3.2.2VPN移动接入加速系统

VPN移动接入加速系统是基于Web方式实现的远程应用访问平台，它使得用户能够直接通过公网用IE浏览器很方便的访问部署在远端应用程序和业务系统。

VPN移动接入加速系统的用户端使用标准的Web浏览器（IE），在公网上只暴露出Web服务器供访问。

标准的安全Web架构使得系统的部署和管理都极为方便。

VPN移动接入加速系统是基于服务器计算的远程解决方案，它在公网上传输的是界面变更信息，任何业务数据都限制在企业内部网内，绝不会在公网中传输。

这种传输方式仅需极小的网络带宽，同时保证了企业数据安全。

VPN移动接入加速系统适用于任何形式的应用系统（包括C/S结构），不仅不需要改变原有的网络结构和应用系统，更不需要在原有的应用系统中加装任何软件或插件。

高适用性和非侵入式部署提升了整个方案的兼容性。

3.3可用性分析

3.3.1接入方式兼容性

Web方式是Internet上的通行证，无论采用何种方式接入Internet：

拨号、DSL、CableModem、LAN、GPRS、Wi-Fi、卫星，都可以使用浏览器来访问Web站点。

VPN方式对不同网络接入方式的兼容性较差，即使是不同厂家的设备之间也存在着互操作和互联问题。

另外，VPN方式使用了专用的端口，在许多防火墙环境中都是受限的。

VPN移动接入加速系统完全基于Web技术，能适应现在和未来的所有连接方式。

它使用标准的http/80或者443端口，在所有环境下都可以使用，例如：

用户在酒店等公共上网点或无线上网时，使用Web方式的VPN移动接入加速系统可以畅通无阻地访问部署在企业内部网中的应用，而VPN方式则存在严重的网络适应性问题。

3.3.2网络带宽需求

VPN移动接入加速系统仅传输用户的屏幕显示和键盘鼠标输入的变化数据，并经过了透明的压缩过程。

这种方式具有很低的带宽要求和带宽占用率，仅56Kbps拨号连接就可发起应用会话，稳定运行最低只需要十几Kbps的带宽。

因此VPN移动接入加速系统可以保证应用程序在各种带宽条件下能够平顺运行。

VPN技术是在远程用户和公司内部网络之间建立一条点对点的加密通道，需要在这条通道上传输大量应用数据，客户在实际应用VPN技术时，常会感到速度很慢得无法忍受。

特别是在大并发用户数的情况下，带宽要求的矛盾更加突出。

3.4安全性比较

3.4.1内部网络安全

因为安全网关一般部署在企业网络中Internet接入的路由器后或防火墙的后里，或者做出口设备（本身具有路由和防火墙功能）。

这种堡垒式的主机性能提供了独特的安全优势：

从Internet到企业数据中心没有直接的和物理上的路经，远程用户无法访问企业内部资源。

此外，VPN移动接入加速系统服务器仅开放标准的Web端口（80/443），这个端口是所有Web服务器使用的端口，容易进行安全防范，黑客侵入网络的机会非常少。

而在部署VPN后，整个内部网拓扑结构及其资源在Internet上可见的，远程用户能够访问内部网中的所有机器。

网管并没有一个简单的办法来控制和监视用户从哪里来以及在作些什么，稍有疏忽黑客即可直接访问到企业内部的服务器和数据库。

显然，VPN移动接入加速系统方式大大增强了远程访问的安全性：

系统管理员只需要对VPN移动接入加速系统服务器进行常规的Web服务器安全加固，无须因远程访问需求而对内部网机器作额外的安全考虑。

3.4.2传输链路安全

VPN移动接入加速系统安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。

无论在内部网络还是在Internet上数据都不是透明的，客户对资源的每一次操作都需要经过安全的身份验证和加密。

VPN在客户和网络资源边缘处建立通道，仅保护从客户到公司网络边缘连接的安全，所有运行在内部网络的数据是明文的，包括任何密码和在传输中的敏感数据。

3.4.3客户端安全

VPN移动接入加速系统工作时，服务器仅向远程用户的浏览器传输经压缩和加密后的屏幕变化数据，业务数据从来就没有在网上传输过，更不可能停留在内存或本地硬盘里。

使用VPN进行远程访问时，用户机器上需要安装和运行业务系统的客户端，它们直接接收了企业服务器发来的业务数据，并往往在本地硬盘写入临时或缓存数据。

我们很容易预见，当移动办公者的笔记本电脑被窃后，或者在不安全地点上网时，或者电脑中入侵了木马病毒时，机密的商业程序和关键数据泄露的可能性是多么大。

3.5管理性比较

3.5.1自身部署

使用VPN访问远程网络，客户端必须运行VPN专用软件。

这意味着网管不仅要在服务器端安装VPN设备，更要在每一台远程访问的计算机上安装VPN客户端程序。

当一个企业有成百上千个远程用户时，IT支持人员的工作量是非常巨大的。

特别是那些IT支持人员无法现场接触的计算机（例如偏远的异地办事处），指导用户下载和安装VPN客户端程序是件繁琐的事情。

VPN客户端程序的设置也极为繁琐，它需要对多个IP地址和网络属性进行配置，并且在不同的网络环境和接入方式下，配置项目和参数都是不同的。

即使是IT专业人士也很难掌握这些配置，更何况是不用层次的用户是非技术性的。

VPN移动接入加速系统在客户端使用标准的Web浏览器（IE），无须安装任何软件也无须作任何配置。

VPN移动接入加速系统在服务器端是即装即用的，不改变任何应用系统，在客户端方面完全实现零安装，大大降低了系统部署工作量和成本。

3.5.2应用系统部署

VPN方式下，远程用户不仅要安装VPN客户端，还要安装各种应用系统的客户端。

这些安装工作无法以自动化方式进行，必然耗费IT支持部门的大量人力和时间。

现代的软件系统更新升级频繁，新的应用系统也不断涌现，而在另一方面，用户的操作系统因为病毒和误操作等原因，经常需要重装。

每当升级或新增系统或重装，用户都需要安装相应的应用系统的客户端程序，它们随之给IT部门带来的是长期而频繁的咨询、技术支持、培训需求，加重了部门和企业负担。

以VPN移动接入加速系统来实现远程应用访问就不存在这些问题，它是