企业VPN方案Word格式文档下载.docx
- 文档编号:17329053
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:22
- 大小:33.96KB
企业VPN方案Word格式文档下载.docx
《企业VPN方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《企业VPN方案Word格式文档下载.docx(22页珍藏版)》请在冰豆网上搜索。
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,企业的VPN网络构建着力于“实用性、高起点、前瞻性、扩展性”.具体的我们遵循了以下原则:
2。
1.建设目标
在完成了企业的VPN网络建设后,将为应用系统提供统一、安全、高速、可靠的网络传输平台,具体能够实现以下目标:
1)网络互联
可实现“企业总部-分公司-分支机构”及各分公司、分支机构之间的安全互连,为内部应用系统的运行提供互连互通、安全可控、自主管理的网络平台。
2)独立性
能够根据用户的需要有选择地对需要的业务数据进行加密,不需要加密的数据和Internet接入业务可以不受到影响.
3)网络安全性
安全周边安全:
VPN安全网关融合了VPN、路由、上网行为管理、防火墙等功能,可对外来及内部攻击进行主动防御,更能保证整个网络平台的安全及每个局域网内部的安全。
上海艾泰有限公司VPN安全网关其内置防火墙其抗攻击能力优异。
信息传输安全:
通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式,保证信息传输的完整性、保密性及不可抵赖性,把安全真正掌握在用户手里。
可靠性:
上海艾泰科技VPN安全网关性能稳定可靠,其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。
4)系统扩展和变更的灵活性
系统VPN网络的扩展非常容易,同时又不会带来安全隐患。
5)网络通讯效率
此次网络建设所选用的设备具有很高的加密速率,不会影响网络的通讯效率。
为各种网络应用提供统一管理的、透明的网络传输平台。
6)高性价比
本项目实施后不但解决了很高的信息数据传输安全性,而且不会影响网络传输性能.本方案不仅满足今天的需求,而且支持未来扩展。
本方案提供了完整的思路,具有极高的性能价格比和投资回报率。
2.2。
设计目标
对企业的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。
具体的我们遵循了以下原则:
1)安全性原则
上海艾泰科技有限公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入和信息的泄露,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。
2)可靠性原则
这套网络安全系统是用户的主营业务平台.它的稳定可靠关系重大,信息平台的运行不稳定甚至瘫痪将严重影响企业的正常运作,将给为用户带来不便和不可低估的损失。
因此可靠性是平台运行的首要保证.
上海艾泰科技有限公司将采用相应的手段保证系统、网络和数据的稳定可靠性,关键节点采用负载均衡、平台备份就是其中的重要策略。
3)先进性原则
在系统建设方案,具有相当的先进性,并能够通过对VPN设备和软件的不断升级,确保系统的技术领先性和持续发展性。
4)实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;
另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
5)可扩展性原则
系统建设应该是统一规划、分步实施、逐步完善的的过程。
我企业在该方案的设计中充分考虑它的可扩展性,使系统能够方便的扩展。
6)可推广性原则
该方案具有很强的推广性,可根据实际情况逐步扩展网点数量。
7)易管理性原则
网络系统的管理和维护工作也是至关重要的。
在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;
同时又要设计规范但不失灵活的工作流程.
上海艾泰科技有限公司提供“安全网管平台”对VPN安全网关、移动客户进行统一管理。
8)兼容性原则
VPN系统是网络层安全设备,对各种网络应用透明;
上海艾泰科技有限公司的VPN安全网关遵循标准的IPSEC\PPTP\L2TP协议,在网络层对IP数据包进行加密,对网络中的数据流做访问控制,因此,对于应用系统是完全透明的。
同时依靠上海艾泰科技有限公司强大的研发能力,能够为用户提供特殊的定制性需求。
9)对移动用户的支持
从近期的统计数据可以看到,笔记本电脑的销售量已经超过了传统的台式电脑,这直接反映了越来越多的人开始青睐于“移动办公”的工作和生活方式.非典期间,众多的企业也采用了工作人员在家办公的方式,渡过那段非常时期。
如何将越来越多的移动用户纳入企业整体网络,帮助移动用户安全、方便的访问企业资源,也是VPN网络需要解决的问题.
移动用户不可能带着硬件设备来接入VPN网络,有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能,采用PPTP虚拟拨号的方式接入总部,只有基本的用户名密码验证,安全级别非常低;
另外不能同时访问内网和Internet,也造成了极大的不便.好一点的VPN产品都有独立的VPN客户端软件,解决上述缺陷。
上海艾泰科技有限公司VPN对移动用户也提供了强大的支持。
移动用户不但能够接入企业VPN网络,而且能够获取与在局域网内时相同的内网IP地址,并能够通过该IP地址与内部网络相互通信。
这就使得移动用户不但可以访问企业网络,同时在外出时、也能够被局域网所找到,完全象在同一个局域网内一样。
VPN的发展迎合了用户对更低成本、更高性价比的追求,已经在各行各业开始出现广泛的应用。
不同规模的企业、不同的业务模式,相应的对VPN产品的要求也不尽相同.但上述几点,是用户在选择VPN产品时基本都会面临的主要问题,只有适合自身业务需求和未来发展的产品,并且整体投资适度、性价比高,才是最好的产品。
1.实施方案
针对企业的业务需求,并综合VPN特性,满足要求的方案如下:
●总部部署UTT5830GVPN防火墙,分公司部署UTT3640VPN防火墙、分支机构部署UTT2512VPN防火墙,建立VPN局域网实现公司、分公司、分支机构之间互连互访的功能。
对于出差或在异地办公的人员以及乡统计所,亦可以通过VPN客户端软件与企业或者分支机构发起VPN连接,实现VPN隧道连接。
●企业内部访问Internet的功能,实现宽带共享,实现上网行为管理.
●通过WA1800N或HiPER510W做无限覆盖,实现移动上网.
●由于全网均采用宽带连接,边缘节点并发连接过多时会造成中心节点负载过重,导致宕机,或者发生中心接点带宽不够的现象.此时,可以利用UTT系列VPN安全网关独有的基于CBQ或者CBT技术来对边缘节点进行带宽的分配和管理,合理分配分部用于VPN连接的带宽,实现总部带宽的负载均衡。
2.实施步骤:
(1)考虑到企业“企业总部-分公司—分支机构”的三级管理模式,企业通过接入宽带或ADSL(固定IP或动态IP皆可)安装艾泰安全网关UTT5830G,分公司安装UTT3640,各分支机构分别安装安全网关UTT2512或个人移动软件。
(2)在企业的VPN防火墙UTT5830G上配置总部虚拟IP池(该地址段为总部局域网内未被使用的IP地址,可与总部局域网同网段或不同网段,设置时请注意不要包含已经被使用的IP),使得通过VPN接入到总部的移动用户能够从这个IP池中获得与总部局域网相同网段的局域网IP地址;
(3)针对总部需开放资源情况设定总部VPN内网服务设置,以便为各接入用户分配相应权限(如物流系统,财务、办公系统、OA、邮件等不同系统的访问权限);
(4)在VPN防火墙UTT5830G上配置VPN内的QOS,为各种重要应用分配更高的优先级别,以便在网络繁忙时为这些重要应用保留更高的带宽;
(5)在所有需要联入总部的移动终端计算机上安装移动软件,配置好总部分配的账号,接入总部后即可实现对总部各种应用服务器的访问。
(6)考虑到接入Internet后存在的安全隐患,建议在防火墙上设置过滤规则及NAT,为防止外网的攻击设置防火墙的过滤规则(并使用自检测功能进行检测),同时为内网用户设定访问Internet的权限(分用户组,不同用户组可独立分配不同的上网权限,可基于URL和IP设定);
3.企业VPN网络解决方案
●企业网络整体解决方案拓扑图
●企业内网安全拓扑图
●VPN拓扑图:
●无线网络解决方案拓扑图
●网络推荐产品
推荐
类型
VPN防火墙
中心交换机
接入交换机
无线路由器
无线AP
带机量
基本型
UTT3000
SG3224F
SG1224F
510W
WA1800N
200台
实惠型
UTT4840G
300台
加强型
UTT5830G
SG2124F
500台
3.4.应用效果:
(1)VPN应用:
总部所有局域网内网络化的应用都可以在分支机构和移动用户上实现扩展,包括文件共享、文件型数据库、音频和视频的传输等;
总部及分公司、分支机构之间可以根据权限进行互相访问.
(2)QOS应用:
基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送,防火墙的QOS在整个带宽基础上为VPN保留合理的带宽,避免网内用户的上网行为对VPN造成影响,而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽,在网络繁忙时优先传送更重要的数据(如对数据库查询等),而智能的QOS在网络空闲时可充分利用所有带宽。
(3)备份线路:
总部或者分支机构由于计算机或Internet线路造成的故障均可通过备份设备、备份线路或多线路带宽复用的方式实现切换,由于可实现平滑切换,确保VPN应用不因主机故障或Internet线路故障受到影响。
(4)防火墙:
基于状态检测的包过滤防火墙可实现防止来自Internet的攻击和入侵,自检测功能防止因为规则设定不当带来的安全隐患。
防火墙内含有NAT、DHCP、QOS、自动拨号、基于URL的访问控制等多种功能模块。
(5)访问控制:
总部和分支机构可对局域网内所有用户的上网权限进行控制,能够限制用户对Internet特定资源的访问权限,可实现用户分组和独立的权限设定,所有限制或允许可基于服务、URL或是IP地址,设置灵活方便.
(6)快速转发:
支持快速转发,吞吐量最高转发能力可达210KPPS(64byte小包).
(7)上网行为管理:
防止带宽资源滥用、防止无关网络行为影响工作效率、记录上网轨迹满足法规要求、为网络管理与优化提供决策依据、防止病毒木马等网络风险、低成本且有效推行IT制度等.
3.5。
安装及维护方案:
由于艾泰产品可以通过远程控制等方式进行安装和调试,如果需要针对网络具体情况对原有功能进行扩充或修改,只需总部管理员通过远程控制等方式对该网络软件进行配置即可,所有配置均可直接在软件界面上完成,无需工作人员到场,如果有技术上的难题需要配合,上海艾泰科技有限公司可通过远程技术支持完成(电话、邮件或在许可的情况下直接远程控制),可大大降低维护的工作量和费用。
另外上海艾泰科技有限公司用于远程管理的系统(DNET),可以在动态IP的情况下对远程局域网进行远程监控,帮助用户解决产品维护问题,而无需到场.
6。
方案优点:
(1)安全可靠:
市企业可以自由定义授权接入的用户。
区县企业和移动用户在接入局域网后的操作权限可进行详细设置,避免因权限过大造成安全隐患。
(2)使用便捷:
所有配置在完成后无需人工干预,自动拨号系统使得将代理服务器当作设备使用成为可能,只需按下开机按钮,无需任何操作即可实现自动拨号、VPN、防火墙、NAT代理自动运行;
(3)性能出众:
VPN能够支持高达200个节点的局域网,可支持100个用户的同时接入和访问。
(4)轻松移动:
对于出差或在异地办公的人员、乡统计所亦可以通过VPN客户端软件想企业或者所属的分支机构发起VPN连接,实现VPN隧道连接。
(5)便于扩展:
网络结构可通过简单设置进行调整,可组成星型、网状和混合型网络结构,VPN网络的构建和拆除非常方便,可迅速实现分支机构和移动用户的增加和删除;
分支机构和移动用户可利用VPN接入与总部相连的远端网络,实现应用扩展。
100个用户并发接入的支持确保网络扩容的可能,不会因为产品容量受限造成未来扩展隐患。
(6)运行稳定:
可轻松实现备份方案,在Internet线路出现故障的情况下可迅速实现平滑切换,确保网络时刻可用;
可管理的网状网络在某些网络节点故障的情况下不会影响其它网络节点的使用,并且在Internet线路恢复以后故障的网络节点能够在1-2分钟内恢复正常工作。
第四章.相关设备简介
●UTT2512VPN防火墙
UTT2512
UTT2512安全网关/VPN防火墙专为小型企业、学校、小型分支机构等设计。
UTT2512采用IntelIXP533MHzCPU硬件核心,全面提升硬件平台性能,更高处理能力,更快转发速率满足高速网络需求!
UTT2512使用艾泰科技自主研发的ReOS网络操作系统,融合上网行为管理、网络安全管理、网络维护管理于一身,除具备智能NAT、防火墙、带宽管理、IP/MAC绑定、业务管理等宽带路由器常见的功能之外,还具备安全性强、易用性好、性价比高等突出特点。
UTT2512支持IPSec、L2TP以及PPTP等多种形式的VPN功能,可以通过Site—to-Site或远程拨号的多种方式建立互联互通的VPN网络
关
键
特
性
支持DSL,FTTX+LAN和CableModem等多种宽带接入方式
支持上网行为管理+网络安全管理+网络维护管理
支持快速转发,吞吐量最高可达200M,最多140KPPS
最大NAT并发会话数高达30K
支持NAPT、NAT以及路由的混合使用
支持NAT静态映射(最多50条),支持DMZ主机
内置防火墙,能够有效防止ARP欺骗、端口扫描、DoS/DDoS、冲击波、震荡波等病毒攻击
支持个性化配置,提供按需定制的个性化服务
提供全局、工作组、个人三级管理体系,灵活管理内网用户
支持策略库在线更新功能
支持单键管制QQ/MSN/P2P
支持单键绑定内网主机的ARP信息
支持带宽管理,可限制单机带宽;
提供内网主机上传/下载速率排行榜
支持NAT会话数限制,可限制单机会话数;
提供内网主机NAT会话数排行榜
基于地址、协议和端口的包过滤(最多100条)
基于站点、URL和关键字的应用层过滤(最多100条)
支持DHCP服务器和DHCP客户端,支持DHCP手工绑定(最多80条)
支持IP/MAC绑定(最多80条),可设置上网黑名单和白名单
支持IP/MAC全部绑定和自动绑定功能,配置更加简单智能
支持自定义用户工作组(最多20个)
支持PPPoEServer功能(最多配置50个帐号)
支持时间段管理(最多10条)
支持网络时间同步
支持UPnP
支持DDNS
支持DNS代理
支持MAC地址克隆
支持静态路由(最多253条),动态路由RIPI和RIPII
支持多个L2TP/PPTP/IPSec的VPN穿透
提供WEBUI和CLI(命令行)双管界面,支持远程管理
提供标准的SNMP接口,可供远程SNMP服务器管理
提供系统日志功能,可通过远程SYSLOG服务器记录
支持配置文件备份与导入
支持WEB、TFTP多种升级方式,方便功能扩展
提供多种监控和诊断方式,可动态监控网络运行情况、用户上网行为
VPN功能
支持IPSec、L2TP以及PPTPVPN,它们可结合使用
最多可配5条VPN隧道,并发5条
支持使用动态地址构建VPN隧道
可实现网关到网关以及远程拨号的VPN
支持星型连接和网状连接
L2TPOverIPSec和IPSecOverL2TP
L2TP/PPTP
L2TP服务器/客户端
PPTP服务器/客户端
PAP、CHAP验证方式
IPSec
支持自动IKE或者手动建立IPSec隧道
ESP和AH协议
DES、3DES和AES128/192/256位加密算法
SHA—1和MD5认证算法
Diffie—Hellman组1、2和5交换算法
主模式和野蛮模式
抗重播
IPSecNAT穿透
DPD探测
提供IPSec客户端软件
详
细
规
格
端口
LAN口
4个RJ-45端口(10/100M自适应、正反线自适应)
WAN口
1个RJ-45端口(10/100M自适应、正反线自适应)
CPU
IXP533MHz
FLASH
2M
内存
16M
尺寸(长×
宽×
高)
230mm×
140mm×
44mm
工作环境
温度
0-40℃
高度
0—4000m
相对湿度
10—90%,不结露
电源
输入功率
最大5W,正常3W
交流电压
180V~240V
支持的协议和标准
IP,TCP,ARP,UDP,ICMP,NAT,反向NAT,DHCP,SNTP,触发式路由更新,TELNET,HTTP,TFTP,PPP,SNMP,PPPoE,PAP,CHAP,SYSLOG
路由协议
静态路由,动态路由RIPI和RIPII
管理和配置
WEBUI,CLI
●UTT3640安全网关/VPN防火墙
UTT3640
UTT3640安全网关/VPN防火墙专为中小型企业、宽带社区、学校等机构设计,是高性能路由器、VPN网关、专业防火墙的完美结合体,不仅能提供常见宽带路由器的各种功能,并提供强大的网络安全和网络监控功能,还支持L2TP/PPTP/IPSec多种形式的VPN,具备极高的性价比,是中小型企业安全接入Internet和VPN互连的首选设备.
四WAN口提供多出口的选择,支持线路实时备份和负载均衡;
支持电信/网通智能策略路由,实现电信流量走电信、网通流量走网通,彻底解决互联互通问题。
支持快速转发,吞吐量最高可达200M,最多170KPPS
最大NAT并发会话数高达60K
支持多线路负载均衡和实时备份,支持网通、电信智能策略路由
支持NAT会话数限制,可限制单机会话数;
基于地址、协议和端口的包过滤防火墙(最多200条)
支持URL和关键字过滤
支持DNS请求过滤
支持MAC地址过滤
支持地址组对象管理(最多100条)
支持服务组对象管理(最多100条)
基于对象(源地址组、目的地址组和服务组)的高级防火墙策略(最多200条)
支持DHCP服务器、DHCP客户端和DHCP中继,支持DHCP手工绑定(最多350条)
支持IP/MAC绑定(最多350条),可设置上网黑名单和白名单
基于端口的VLAN
支持端口镜像
支持静态路由(最多512条),动态路由RIPI和RIPII
提供WEBUI和CLI(命令行)双管界面,支持远程管理
提供标准的SNMP接口,可供远程SNMP服务器管理
支持WEB、TFTP多种升级方式,方便功能扩展
支持IPSec、L2TP以及PPTPVPN,它们可结合使用
最多可配50条VPN隧道,并发30条
SHA-1和MD5认证算法
Diffie-Hellman组1、2和5交换算法
内置4个交换式RJ-45端口(10/100M自适应、正反线自适应)
4个RJ—45端口(10/100M自适应、正反线自适应)
IntelIXP533M
4M
32M
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 VPN 方案