【正文】 可控的 接入 內(nèi)部網(wǎng)絡(luò)的方式？租用專線能解決安全，穩(wěn)定問題，但成本高，靈活性差。使用 VPN能方便的建立集團內(nèi)部之間安全通道，但同時也存在 接入終端的安全性 問題 （怎樣保證 終端安全接入）， 通信 穩(wěn)定 可靠 性問題（由于 INTERNET網(wǎng)絡(luò) 的不穩(wěn)定性及線路帶寬質(zhì)量問題 造成 ）， 兼容性問題（兼容多種接入終端，如移動PC,PDA,GPRS 等 ） ,高效性問題（如何保證通過有限的帶寬實現(xiàn)高速的接入）等。 所以安全可靠、穩(wěn)定高效、靈活是宏達集團 VPN系統(tǒng)建設(shè)的重點 。 這樣才能保障 整個集團之間數(shù)據(jù)安 xx 集團 VPN 解決方案 第 4 頁 共 29 頁 4 全、可靠，順暢、簡單的交換 。同時有效控制員工上網(wǎng)行為， 提高員工工作效率；規(guī)避內(nèi)部風(fēng)險，提升內(nèi)網(wǎng)安全； 加強帶寬管理，確保關(guān)鍵業(yè)務(wù)；防止機密外泄，保護核心技術(shù)； 審計網(wǎng)絡(luò)行為，規(guī)范網(wǎng)絡(luò)使用也是集團內(nèi)網(wǎng)網(wǎng)絡(luò)安全的基本建設(shè)。 客戶具體需求分析 通過以上分析可以看到，對于宏達集團信息化安全方面有以下幾個方面需要企業(yè)的負(fù)責(zé)人和 IT管理人員加以解決： （ 1），怎樣滿足各級機構(gòu)人員對內(nèi)部網(wǎng)絡(luò)的訪問，需要考慮數(shù)據(jù)傳輸?shù)陌踩裕咝?，易用性和對終端設(shè)備的廣泛支持。 （ 2），對內(nèi)網(wǎng)員工的上網(wǎng)行為進行規(guī)范 ，控制和審計；對使用 P2P下載軟件進行流量管理，為不同的使用人員制定不同上網(wǎng)行為策略，對互聯(lián)網(wǎng)訪問行為進行有效管理，提升工作效率，防護內(nèi)網(wǎng)安全。 解決以上問題一方面可以提高企業(yè)的效率，做到數(shù)據(jù)統(tǒng)一，實現(xiàn)遠(yuǎn)程移動員工安全訪問內(nèi)網(wǎng)，同時能夠?qū)?nèi)網(wǎng)用戶訪問公網(wǎng)進行管理，設(shè)定相關(guān)權(quán)限，對內(nèi)網(wǎng)進行安全防護。 通過分析發(fā)現(xiàn) ： 目前在 宏達集團 信息化建設(shè)過程中， 急需 解決以下問題： 、 遠(yuǎn)程業(yè)務(wù)訪問網(wǎng)絡(luò) 。 目前 集團具有 多級分支機構(gòu)，需要組建統(tǒng)一的 集團 遠(yuǎn)程網(wǎng)絡(luò)訪問系統(tǒng)， 搭建業(yè)務(wù)訪問平臺，實 現(xiàn)內(nèi)部各業(yè)務(wù)系統(tǒng)的高速安全運轉(zhuǎn)，提 升 工作效率。 、 內(nèi)網(wǎng)管理問題 ： 前 集團 內(nèi)網(wǎng) 建設(shè) 中沒有專業(yè)的行為管理 及安全防護設(shè)備 ，存在眾多的惡意網(wǎng)絡(luò)訪問行為，如員工肆意使用 BT、等 P2P工具下載電影等、 使用 PPLive在線看電視、看電影、聽歌等，嚴(yán)重吞噬了有限的帶寬資源，不僅嚴(yán)重影響內(nèi)部關(guān)鍵應(yīng)用和業(yè)務(wù)的開展，不受控的網(wǎng)絡(luò)訪問也嚴(yán)重影響了工作效率 ，浪費工作時間 。 發(fā)表反動等非法言論，瀏覽情色網(wǎng)站等非法信息 等 ，嚴(yán)重?fù)p害公司形象。 遠(yuǎn)程互聯(lián) 需求 的滿足 各級組織機構(gòu)的遠(yuǎn)程訪問， 領(lǐng)導(dǎo)出差在外需要進行移動辦公審批，都需 要納入到統(tǒng)一的互聯(lián)網(wǎng)訪問平臺中來， 在此遠(yuǎn)程互聯(lián)方案中，需要滿足以 下要求： 數(shù)據(jù)的安全性 員工通過公網(wǎng)接入集團內(nèi)部網(wǎng)絡(luò)進行數(shù)據(jù)交互，所以數(shù)據(jù)的安全性需要首先考慮。針對不同的接入用戶訪問總部的資源， 需要根據(jù)不同用戶分配不同的權(quán)限，并且對員工訪問資源的行為進行記錄和事后的審計 。 易用性 因為接入用戶眾多，用戶的 IT 水平參差不齊，該移動接入系統(tǒng)需要界面友好 ，用戶使用簡單方便，不需要安裝客戶端軟件，免維護；另外需要提供對應(yīng)用的集團內(nèi)部應(yīng)用的全面 xx 集團 VPN 解決方案 第 5 頁 共 29 頁 5 支持。 高效性 系統(tǒng)本身的使用不能降低線路帶寬的利用率 ，同時能夠有效解決 各種不同網(wǎng)絡(luò)環(huán)境情況下互聯(lián)網(wǎng)對業(yè)務(wù)訪問的影響。 對終端設(shè)備的普遍支持性 因為移動用戶可能采用多種終端設(shè)備接入總部網(wǎng)絡(luò)，采用不同的操作系統(tǒng)，甚至采用手持設(shè)備， PDA，掌上電腦等，所以，需要提供對多種終端設(shè)備接入的支持。 對內(nèi)部員工上網(wǎng)行為的管理 固有的公網(wǎng)帶寬中的流量分為兩種：業(yè)務(wù)相關(guān)流量和非業(yè)務(wù)相關(guān)流量。 針對內(nèi)部員工 無關(guān)的 上網(wǎng)行為，需 要 進行有效的管理和控制，如針對員工訪問的公網(wǎng)網(wǎng)頁，使用 ， MSN等聊天軟件 ，使用 BT，迅雷等 P2P軟件下載，在線聽音樂，在線視頻 ， 員工可能使用 游戲 或其他網(wǎng)絡(luò)游戲軟件娛樂，通過在線炒股軟件炒股等，內(nèi)部員工的所有網(wǎng)絡(luò)訪問行為都需要進行有效的控制和管理，對發(fā)生的網(wǎng)絡(luò)訪問行為也要做到詳細(xì)的記錄，以便事后審計。 二、解決方案 設(shè)備選型及介紹 根據(jù)對 宏達集團 需求的分析，本方案推薦 ： 在 公司 總部使用長沙博華科技的兩臺YGVPNS3000X806 中 端 千兆 IPSEC/SSL VPN 安全網(wǎng)關(guān) ， 各下屬的 分 公司 使用YGVPNS3000X604或 YGVPNS3000X804 低端千兆 IPSEC/SSL VPN安全網(wǎng)關(guān)實現(xiàn) SSL VPN的互聯(lián)， 移動辦 公人員 使用 SSLVPN 協(xié)議，實現(xiàn)移動用戶和出差在外用戶安全便捷接入總部內(nèi)部網(wǎng)絡(luò)進行業(yè)務(wù)處理。 博華科技 YGVPNS3000X806安全網(wǎng)關(guān) 設(shè)備 ，一方面可以對內(nèi)部用戶的上網(wǎng)行為進行管理，監(jiān)控和審計，對用戶使用的 P2P下載軟件進行流量帶寬管理，對不同的用戶組分配不同的權(quán)限和帶寬 。 另外， 設(shè)備 具有集成 來自歐洲領(lǐng)先殺毒廠商 FPort的網(wǎng)絡(luò)殺毒引擎模塊，集成 IPS 入侵防御系統(tǒng)，包含了已知的 3000 多種攻擊特征碼。 博華 科技的 IPSEC/SSL VPN設(shè)備 目前已經(jīng)成功運行在政府、 大 中 型企業(yè)， 教育科研、電信、金融證券 、電網(wǎng)電力、石油石化、制造等行業(yè)。 設(shè)備選型列表： xx 集團 VPN 解決方案 第 6 頁 共 29 頁 6 設(shè)備型號 數(shù)量 部署位置 YGFWSS3000X806 IPSEC/SSL 二合一 VPN 安全網(wǎng)關(guān)安全網(wǎng)關(guān) 兩臺 部署于公司總部雙機熱備， 實現(xiàn)各下屬分局遠(yuǎn)程接入，及移動辦公人員遠(yuǎn)程安全互聯(lián)，通過 SSL 協(xié)議實現(xiàn)移動辦公人員的遠(yuǎn)程接入 。 實現(xiàn)內(nèi)網(wǎng)安全管理， 對內(nèi)網(wǎng)員工的上網(wǎng)行為進行規(guī)范，控制和審計 。 YGFWSS3000X604或 804 IPSEC/SSL 二合一 VPN安全網(wǎng)關(guān)安全網(wǎng)關(guān) 若干 部署于集團各 分支 機構(gòu)， 實現(xiàn)各下屬分局遠(yuǎn)程接入總部 和下屬各 分支機構(gòu)的互訪 。 實現(xiàn)內(nèi)網(wǎng)安全管理， 對內(nèi)網(wǎng)員工的上網(wǎng)行為進行規(guī)范，控制和審計 。 SSL VPN 使用授權(quán) 若干 應(yīng)用于移動終端 的辦公接入和領(lǐng)導(dǎo)出差的遠(yuǎn)程接入 。 博華網(wǎng)龍 YGFWSS3000X806 IPSEC/SSL 二合一 VPN安全網(wǎng)關(guān)性能參數(shù)如下： 分類 功能 詳細(xì)指標(biāo) IPSec VPN 性能參數(shù) IPSec VPN 加密速度（ AES 128bits） 312 Mbps IPSec VPN 隧道數(shù) 1600 IPSec VPN 轉(zhuǎn)發(fā)時延 ms 并發(fā) IPSec客戶端數(shù) 1000 SSL VPN SSL VPN 加密速度 （ RC4 128bits） Mbps xx 集團 VPN 解決方案 第 7 頁 共 29 頁 7 性能參數(shù) SSL VPN并發(fā)會話數(shù) 180萬 SSL VPN 轉(zhuǎn)發(fā)時延 ms 并發(fā) SSL 用戶數(shù) 1000 每秒新建會話數(shù) 2萬 防火墻性能參數(shù) 千兆端口吞吐率： 大包 100%， 64字節(jié)小包 % 全雙工吞吐量 FDT ≥ 4Gbps (64Bytes)、≥ 6Gbps (1518Bytes) 并發(fā)連接數(shù) ≥ 180萬條 每秒新建連接數(shù) ≥ 20200條 /秒 端口數(shù)量 4個千兆電口 ,2個千兆光口 (可擴展 ) 最大策略數(shù) 8000條 應(yīng)用層控制 P2P協(xié)議過濾 限制迅雷、 eDonkey、 eMule、 BT、FLASHGET、酷狗、超級旋風(fēng)、哇嘎、百度下吧、等非端口方式識別 IM協(xié)議 限制 、 MSN、 YAHOO、網(wǎng)易泡泡、新浪 UC、阿里旺旺等非端口方式識別 DPI+DFI 限制 PPS、 PPLIVE、 UUSEE、迅雷看看、風(fēng)行、 QVOD、皮皮影視、樂魚、 LIVE、沸點等非端口方式識別。 精準(zhǔn)限制 限制每秒并發(fā)連接數(shù)和特定服務(wù)最大并發(fā)連接數(shù) xx 集團 VPN 解決方案 第 8 頁 共 29 頁 8 流量管理 根據(jù)五元組方式，提供最大帶寬限制以及最小帶寬保障。每 IP流控方式（可精準(zhǔn)到１ KB。 URL限制和內(nèi)容過濾技術(shù) 過濾的內(nèi)容包括 URL等；并能阻擊非法關(guān)鍵字等。 抗擊 DOS/DDOS 可抗擊諸如 SYN/ACK flood、 UDP flood、 ICMP flood、 SYN、 FIN、Xmas等所有流行的 DDos攻擊，可阻止 TearDrop、 Land、 Jolt、IGMP Nuker、 Boink、 Smurf、Bonk、 BigPing、 OOB 等 DOS 攻擊。 電氣特性 電源 180240V 冗余電源 無 使用環(huán)境溫度 10~ 50 ℃ 使用環(huán)境濕度 5~90%， 非冷凝 尺寸 (cm) (W) (D) (H) 重量 12Kg 博華 YGFWSS3000X806 IPSEC/SSL 二合一 VPN安全網(wǎng)關(guān)性能參數(shù)如下： YGFWSS3000X806 xx 集團 VPN 解決方案 第 9 頁 共 29 頁 9 分類 功能 詳細(xì)指標(biāo) IPSec VPN 性能參數(shù) IPSec VPN 加密速度（ AES 128bits） Mbps IPSec VPN 隧道數(shù) 1200 IPSec VPN 轉(zhuǎn)發(fā)時延 ms 并發(fā) IPSec客戶端數(shù) 800 SSL VPN 性能參數(shù) SSL VPN 加密速度 （ RC4 128bits） Mbps SSL VPN并發(fā)會話數(shù) 120萬 SSL VPN 轉(zhuǎn)發(fā)時延 ms 并發(fā) SSL 用戶數(shù) 800 每秒新建會話數(shù) 防火墻性能參數(shù) 千兆端 口吞吐率： 大包 100%， 64字節(jié)小包 % 全雙工吞吐量 FDT ≥ (64Bytes)、≥ 4Gbps (1518Bytes) 并發(fā)連接數(shù) ≥ 120萬條 每秒新建連接數(shù) ≥ 14000條 /秒 端口數(shù)量 4個千兆電口 xx 集團 VPN 解決方案 第 10 頁 共 29 頁 10 最大策略數(shù) 5000條 應(yīng)用層控制 P2P協(xié)議過濾 限制迅雷、 eDonkey、 eMule、BT、 FLASHGET、酷狗、超級旋風(fēng)、哇嘎、百度下吧、等非端口方式識別 IM協(xié)議 限制 、 MSN、 YAHOO、網(wǎng)易泡泡、新浪 UC、阿里旺旺等非端口方式 識別 DPI+DFI 限制 PPS、 PPLIVE、 UUSEE、迅雷看看、風(fēng)行、 QVOD、皮皮影視、樂魚、 LIVE、沸點等非端口方式識別。 精準(zhǔn)限制 限制每秒并發(fā)連接數(shù)和特定服務(wù)最大并發(fā)連接數(shù) 流量管理 根據(jù)五元組方式，提供最大帶寬限制以及最小帶寬保障。每IP流控方式（可精準(zhǔn)到１ KB。 URL限制和內(nèi)容過濾技術(shù) 過濾的內(nèi)容包括 URL等；并能阻擊非法關(guān)鍵字等。 抗擊 DOS/DDOS 可抗擊諸如 SYN/ACK flood、 UDP flood、 ICMP flood、 SYN、 FIN、Xmas等所 有流行的 DDos攻擊 ，可阻止 TearDrop、 Land、 Jolt、IGMP Nuker、 Boink、 Smurf、Bonk、 BigPing、 OOB 等 DOS 攻擊。 電氣特性 電源 180240V 冗余電源 無 xx 集團 VPN 解決方案 第 11 頁 共 29 頁 11 使用