【正文】 可控的 接入 內(nèi)部網(wǎng)絡(luò)的方式？租用專線能解決安全，穩(wěn)定問(wèn)題，但成本高，靈活性差。使用 VPN能方便的建立集團(tuán)內(nèi)部之間安全通道，但同時(shí)也存在 接入終端的安全性 問(wèn)題 （怎樣保證 終端安全接入）， 通信 穩(wěn)定 可靠 性問(wèn)題（由于 INTERNET網(wǎng)絡(luò) 的不穩(wěn)定性及線路帶寬質(zhì)量問(wèn)題 造成 ）， 兼容性問(wèn)題（兼容多種接入終端，如移動(dòng)PC,PDA,GPRS 等 ） ,高效性問(wèn)題（如何保證通過(guò)有限的帶寬實(shí)現(xiàn)高速的接入）等。 所以安全可靠、穩(wěn)定高效、靈活是宏達(dá)集團(tuán) VPN系統(tǒng)建設(shè)的重點(diǎn) 。 這樣才能保障 整個(gè)集團(tuán)之間數(shù)據(jù)安 xx 集團(tuán) VPN 解決方案 第 4 頁(yè) 共 29 頁(yè) 4 全、可靠，順暢、簡(jiǎn)單的交換 。同時(shí)有效控制員工上網(wǎng)行為， 提高員工工作效率；規(guī)避內(nèi)部風(fēng)險(xiǎn)，提升內(nèi)網(wǎng)安全； 加強(qiáng)帶寬管理，確保關(guān)鍵業(yè)務(wù)；防止機(jī)密外泄，保護(hù)核心技術(shù)； 審計(jì)網(wǎng)絡(luò)行為，規(guī)范網(wǎng)絡(luò)使用也是集團(tuán)內(nèi)網(wǎng)網(wǎng)絡(luò)安全的基本建設(shè)。 客戶具體需求分析 通過(guò)以上分析可以看到，對(duì)于宏達(dá)集團(tuán)信息化安全方面有以下幾個(gè)方面需要企業(yè)的負(fù)責(zé)人和 IT管理人員加以解決： （ 1），怎樣滿足各級(jí)機(jī)構(gòu)人員對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，需要考慮數(shù)據(jù)傳輸?shù)陌踩?，高效性，易用性和?duì)終端設(shè)備的廣泛支持。 （ 2），對(duì)內(nèi)網(wǎng)員工的上網(wǎng)行為進(jìn)行規(guī)范 ，控制和審計(jì)；對(duì)使用 P2P下載軟件進(jìn)行流量管理，為不同的使用人員制定不同上網(wǎng)行為策略，對(duì)互聯(lián)網(wǎng)訪問(wèn)行為進(jìn)行有效管理，提升工作效率，防護(hù)內(nèi)網(wǎng)安全。 解決以上問(wèn)題一方面可以提高企業(yè)的效率，做到數(shù)據(jù)統(tǒng)一，實(shí)現(xiàn)遠(yuǎn)程移動(dòng)員工安全訪問(wèn)內(nèi)網(wǎng)，同時(shí)能夠?qū)?nèi)網(wǎng)用戶訪問(wèn)公網(wǎng)進(jìn)行管理，設(shè)定相關(guān)權(quán)限，對(duì)內(nèi)網(wǎng)進(jìn)行安全防護(hù)。 通過(guò)分析發(fā)現(xiàn) ： 目前在 宏達(dá)集團(tuán) 信息化建設(shè)過(guò)程中， 急需 解決以下問(wèn)題： 、 遠(yuǎn)程業(yè)務(wù)訪問(wèn)網(wǎng)絡(luò) 。 目前 集團(tuán)具有 多級(jí)分支機(jī)構(gòu)，需要組建統(tǒng)一的 集團(tuán) 遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)系統(tǒng)， 搭建業(yè)務(wù)訪問(wèn)平臺(tái)，實(shí) 現(xiàn)內(nèi)部各業(yè)務(wù)系統(tǒng)的高速安全運(yùn)轉(zhuǎn)，提 升 工作效率。 、 內(nèi)網(wǎng)管理問(wèn)題 ： 前 集團(tuán) 內(nèi)網(wǎng) 建設(shè) 中沒(méi)有專業(yè)的行為管理 及安全防護(hù)設(shè)備 ，存在眾多的惡意網(wǎng)絡(luò)訪問(wèn)行為，如員工肆意使用 BT、等 P2P工具下載電影等、 使用 PPLive在線看電視、看電影、聽(tīng)歌等，嚴(yán)重吞噬了有限的帶寬資源，不僅嚴(yán)重影響內(nèi)部關(guān)鍵應(yīng)用和業(yè)務(wù)的開(kāi)展，不受控的網(wǎng)絡(luò)訪問(wèn)也嚴(yán)重影響了工作效率 ，浪費(fèi)工作時(shí)間 。 發(fā)表反動(dòng)等非法言論，瀏覽情色網(wǎng)站等非法信息 等 ，嚴(yán)重?fù)p害公司形象。 遠(yuǎn)程互聯(lián) 需求 的滿足 各級(jí)組織機(jī)構(gòu)的遠(yuǎn)程訪問(wèn)， 領(lǐng)導(dǎo)出差在外需要進(jìn)行移動(dòng)辦公審批，都需 要納入到統(tǒng)一的互聯(lián)網(wǎng)訪問(wèn)平臺(tái)中來(lái)， 在此遠(yuǎn)程互聯(lián)方案中，需要滿足以 下要求： 數(shù)據(jù)的安全性 員工通過(guò)公網(wǎng)接入集團(tuán)內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互，所以數(shù)據(jù)的安全性需要首先考慮。針對(duì)不同的接入用戶訪問(wèn)總部的資源， 需要根據(jù)不同用戶分配不同的權(quán)限，并且對(duì)員工訪問(wèn)資源的行為進(jìn)行記錄和事后的審計(jì) 。 易用性 因?yàn)榻尤胗脩舯姸?，用戶?IT 水平參差不齊，該移動(dòng)接入系統(tǒng)需要界面友好 ，用戶使用簡(jiǎn)單方便，不需要安裝客戶端軟件，免維護(hù)；另外需要提供對(duì)應(yīng)用的集團(tuán)內(nèi)部應(yīng)用的全面 xx 集團(tuán) VPN 解決方案 第 5 頁(yè) 共 29 頁(yè) 5 支持。 高效性 系統(tǒng)本身的使用不能降低線路帶寬的利用率 ，同時(shí)能夠有效解決 各種不同網(wǎng)絡(luò)環(huán)境情況下互聯(lián)網(wǎng)對(duì)業(yè)務(wù)訪問(wèn)的影響。 對(duì)終端設(shè)備的普遍支持性 因?yàn)橐苿?dòng)用戶可能采用多種終端設(shè)備接入總部網(wǎng)絡(luò)，采用不同的操作系統(tǒng)，甚至采用手持設(shè)備， PDA，掌上電腦等，所以，需要提供對(duì)多種終端設(shè)備接入的支持。 對(duì)內(nèi)部員工上網(wǎng)行為的管理 固有的公網(wǎng)帶寬中的流量分為兩種：業(yè)務(wù)相關(guān)流量和非業(yè)務(wù)相關(guān)流量。 針對(duì)內(nèi)部員工 無(wú)關(guān)的 上網(wǎng)行為，需 要 進(jìn)行有效的管理和控制，如針對(duì)員工訪問(wèn)的公網(wǎng)網(wǎng)頁(yè)，使用 ， MSN等聊天軟件 ，使用 BT，迅雷等 P2P軟件下載，在線聽(tīng)音樂(lè)，在線視頻 ， 員工可能使用 游戲 或其他網(wǎng)絡(luò)游戲軟件娛樂(lè)，通過(guò)在線炒股軟件炒股等，內(nèi)部員工的所有網(wǎng)絡(luò)訪問(wèn)行為都需要進(jìn)行有效的控制和管理，對(duì)發(fā)生的網(wǎng)絡(luò)訪問(wèn)行為也要做到詳細(xì)的記錄，以便事后審計(jì)。 二、解決方案 設(shè)備選型及介紹 根據(jù)對(duì) 宏達(dá)集團(tuán) 需求的分析，本方案推薦 ： 在 公司 總部使用長(zhǎng)沙博華科技的兩臺(tái)YGVPNS3000X806 中 端 千兆 IPSEC/SSL VPN 安全網(wǎng)關(guān) ， 各下屬的 分 公司 使用YGVPNS3000X604或 YGVPNS3000X804 低端千兆 IPSEC/SSL VPN安全網(wǎng)關(guān)實(shí)現(xiàn) SSL VPN的互聯(lián)， 移動(dòng)辦 公人員 使用 SSLVPN 協(xié)議，實(shí)現(xiàn)移動(dòng)用戶和出差在外用戶安全便捷接入總部?jī)?nèi)部網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理。 博華科技 YGVPNS3000X806安全網(wǎng)關(guān) 設(shè)備 ，一方面可以對(duì)內(nèi)部用戶的上網(wǎng)行為進(jìn)行管理，監(jiān)控和審計(jì)，對(duì)用戶使用的 P2P下載軟件進(jìn)行流量帶寬管理，對(duì)不同的用戶組分配不同的權(quán)限和帶寬 。 另外， 設(shè)備 具有集成 來(lái)自歐洲領(lǐng)先殺毒廠商 FPort的網(wǎng)絡(luò)殺毒引擎模塊，集成 IPS 入侵防御系統(tǒng)，包含了已知的 3000 多種攻擊特征碼。 博華 科技的 IPSEC/SSL VPN設(shè)備 目前已經(jīng)成功運(yùn)行在政府、 大 中 型企業(yè)， 教育科研、電信、金融證券 、電網(wǎng)電力、石油石化、制造等行業(yè)。 設(shè)備選型列表： xx 集團(tuán) VPN 解決方案 第 6 頁(yè) 共 29 頁(yè) 6 設(shè)備型號(hào) 數(shù)量 部署位置 YGFWSS3000X806 IPSEC/SSL 二合一 VPN 安全網(wǎng)關(guān)安全網(wǎng)關(guān) 兩臺(tái) 部署于公司總部雙機(jī)熱備， 實(shí)現(xiàn)各下屬分局遠(yuǎn)程接入，及移動(dòng)辦公人員遠(yuǎn)程安全互聯(lián)，通過(guò) SSL 協(xié)議實(shí)現(xiàn)移動(dòng)辦公人員的遠(yuǎn)程接入 。 實(shí)現(xiàn)內(nèi)網(wǎng)安全管理， 對(duì)內(nèi)網(wǎng)員工的上網(wǎng)行為進(jìn)行規(guī)范，控制和審計(jì) 。 YGFWSS3000X604或 804 IPSEC/SSL 二合一 VPN安全網(wǎng)關(guān)安全網(wǎng)關(guān) 若干 部署于集團(tuán)各 分支 機(jī)構(gòu)， 實(shí)現(xiàn)各下屬分局遠(yuǎn)程接入總部 和下屬各 分支機(jī)構(gòu)的互訪 。 實(shí)現(xiàn)內(nèi)網(wǎng)安全管理， 對(duì)內(nèi)網(wǎng)員工的上網(wǎng)行為進(jìn)行規(guī)范，控制和審計(jì) 。 SSL VPN 使用授權(quán) 若干 應(yīng)用于移動(dòng)終端 的辦公接入和領(lǐng)導(dǎo)出差的遠(yuǎn)程接入 。 博華網(wǎng)龍 YGFWSS3000X806 IPSEC/SSL 二合一 VPN安全網(wǎng)關(guān)性能參數(shù)如下： 分類 功能 詳細(xì)指標(biāo) IPSec VPN 性能參數(shù) IPSec VPN 加密速度（ AES 128bits） 312 Mbps IPSec VPN 隧道數(shù) 1600 IPSec VPN 轉(zhuǎn)發(fā)時(shí)延 ms 并發(fā) IPSec客戶端數(shù) 1000 SSL VPN SSL VPN 加密速度 （ RC4 128bits） Mbps xx 集團(tuán) VPN 解決方案 第 7 頁(yè) 共 29 頁(yè) 7 性能參數(shù) SSL VPN并發(fā)會(huì)話數(shù) 180萬(wàn) SSL VPN 轉(zhuǎn)發(fā)時(shí)延 ms 并發(fā) SSL 用戶數(shù) 1000 每秒新建會(huì)話數(shù) 2萬(wàn) 防火墻性能參數(shù) 千兆端口吞吐率： 大包 100%， 64字節(jié)小包 % 全雙工吞吐量 FDT ≥ 4Gbps (64Bytes)、≥ 6Gbps (1518Bytes) 并發(fā)連接數(shù) ≥ 180萬(wàn)條 每秒新建連接數(shù) ≥ 20200條 /秒 端口數(shù)量 4個(gè)千兆電口 ,2個(gè)千兆光口 (可擴(kuò)展 ) 最大策略數(shù) 8000條 應(yīng)用層控制 P2P協(xié)議過(guò)濾 限制迅雷、 eDonkey、 eMule、 BT、FLASHGET、酷狗、超級(jí)旋風(fēng)、哇嘎、百度下吧、等非端口方式識(shí)別 IM協(xié)議 限制 、 MSN、 YAHOO、網(wǎng)易泡泡、新浪 UC、阿里旺旺等非端口方式識(shí)別 DPI+DFI 限制 PPS、 PPLIVE、 UUSEE、迅雷看看、風(fēng)行、 QVOD、皮皮影視、樂(lè)魚(yú)、 LIVE、沸點(diǎn)等非端口方式識(shí)別。 精準(zhǔn)限制 限制每秒并發(fā)連接數(shù)和特定服務(wù)最大并發(fā)連接數(shù) xx 集團(tuán) VPN 解決方案 第 8 頁(yè) 共 29 頁(yè) 8 流量管理 根據(jù)五元組方式，提供最大帶寬限制以及最小帶寬保障。每 IP流控方式（可精準(zhǔn)到１ KB。 URL限制和內(nèi)容過(guò)濾技術(shù) 過(guò)濾的內(nèi)容包括 URL等；并能阻擊非法關(guān)鍵字等。 抗擊 DOS/DDOS 可抗擊諸如 SYN/ACK flood、 UDP flood、 ICMP flood、 SYN、 FIN、Xmas等所有流行的 DDos攻擊，可阻止 TearDrop、 Land、 Jolt、IGMP Nuker、 Boink、 Smurf、Bonk、 BigPing、 OOB 等 DOS 攻擊。 電氣特性 電源 180240V 冗余電源 無(wú) 使用環(huán)境溫度 10~ 50 ℃ 使用環(huán)境濕度 5~90%， 非冷凝 尺寸 (cm) (W) (D) (H) 重量 12Kg 博華 YGFWSS3000X806 IPSEC/SSL 二合一 VPN安全網(wǎng)關(guān)性能參數(shù)如下： YGFWSS3000X806 xx 集團(tuán) VPN 解決方案 第 9 頁(yè) 共 29 頁(yè) 9 分類 功能 詳細(xì)指標(biāo) IPSec VPN 性能參數(shù) IPSec VPN 加密速度（ AES 128bits） Mbps IPSec VPN 隧道數(shù) 1200 IPSec VPN 轉(zhuǎn)發(fā)時(shí)延 ms 并發(fā) IPSec客戶端數(shù) 800 SSL VPN 性能參數(shù) SSL VPN 加密速度 （ RC4 128bits） Mbps SSL VPN并發(fā)會(huì)話數(shù) 120萬(wàn) SSL VPN 轉(zhuǎn)發(fā)時(shí)延 ms 并發(fā) SSL 用戶數(shù) 800 每秒新建會(huì)話數(shù) 防火墻性能參數(shù) 千兆端 口吞吐率： 大包 100%， 64字節(jié)小包 % 全雙工吞吐量 FDT ≥ (64Bytes)、≥ 4Gbps (1518Bytes) 并發(fā)連接數(shù) ≥ 120萬(wàn)條 每秒新建連接數(shù) ≥ 14000條 /秒 端口數(shù)量 4個(gè)千兆電口 xx 集團(tuán) VPN 解決方案 第 10 頁(yè) 共 29 頁(yè) 10 最大策略數(shù) 5000條 應(yīng)用層控制 P2P協(xié)議過(guò)濾 限制迅雷、 eDonkey、 eMule、BT、 FLASHGET、酷狗、超級(jí)旋風(fēng)、哇嘎、百度下吧、等非端口方式識(shí)別 IM協(xié)議 限制 、 MSN、 YAHOO、網(wǎng)易泡泡、新浪 UC、阿里旺旺等非端口方式 識(shí)別 DPI+DFI 限制 PPS、 PPLIVE、 UUSEE、迅雷看看、風(fēng)行、 QVOD、皮皮影視、樂(lè)魚(yú)、 LIVE、沸點(diǎn)等非端口方式識(shí)別。 精準(zhǔn)限制 限制每秒并發(fā)連接數(shù)和特定服務(wù)最大并發(fā)連接數(shù) 流量管理 根據(jù)五元組方式，提供最大帶寬限制以及最小帶寬保障。每IP流控方式（可精準(zhǔn)到１ KB。 URL限制和內(nèi)容過(guò)濾技術(shù) 過(guò)濾的內(nèi)容包括 URL等；并能阻擊非法關(guān)鍵字等。 抗擊 DOS/DDOS 可抗擊諸如 SYN/ACK flood、 UDP flood、 ICMP flood、 SYN、 FIN、Xmas等所 有流行的 DDos攻擊 ，可阻止 TearDrop、 Land、 Jolt、IGMP Nuker、 Boink、 Smurf、Bonk、 BigPing、 OOB 等 DOS 攻擊。 電氣特性 電源 180240V 冗余電源 無(wú) xx 集團(tuán) VPN 解決方案 第 11 頁(yè) 共 29 頁(yè) 11 使用