【正文】 系統(tǒng)設(shè)計(jì)充分考慮各類使用人員的素質(zhì)、工作習(xí)慣、專業(yè)結(jié)構(gòu)、部門業(yè)務(wù)需求等諸多因素對(duì)系統(tǒng)產(chǎn)生的綜合影響，貫徹系統(tǒng)為人服務(wù)、為工作提供高效處理業(yè)務(wù)的手段，保障系統(tǒng)滿足業(yè)務(wù)需求的主導(dǎo)思想，注重突出各項(xiàng)系統(tǒng)功能的實(shí)用性，根據(jù)使用人員的身分，構(gòu)建不同的形式，人機(jī)界面友好，可操作性強(qiáng)。 4 3) 開放性和擴(kuò)充性 考慮到整個(gè)系統(tǒng)是一項(xiàng)總體規(guī)劃，并在這個(gè)大前提下分步驟實(shí)施的實(shí)際情況，必須將每一步的實(shí)施與總體規(guī)劃目標(biāo)結(jié)合在一起，系統(tǒng)在選取應(yīng)用平臺(tái)和系統(tǒng)設(shè)計(jì)時(shí)具有良好的開放性，除保證每個(gè)獨(dú)立系統(tǒng)的設(shè)計(jì)要求外，充分考慮到各個(gè) 系統(tǒng)互連，數(shù)據(jù)需要共享及交換。網(wǎng)絡(luò)系統(tǒng)及系統(tǒng)軟件平臺(tái)選擇開放性、互連性強(qiáng)的主流系統(tǒng)。在系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)用具有一定的二次開發(fā)功能，滿足用戶對(duì)系統(tǒng)自擴(kuò)充的需求。 4) 可靠性和安全性 除了網(wǎng)絡(luò)建設(shè)中硬件提供的可靠性及安全性保障外，在應(yīng)用系統(tǒng)設(shè)計(jì)中，充分考慮到可能出現(xiàn)的各種情況，采取相應(yīng)的技術(shù)措施，盡可能減少系統(tǒng)故障，保證系統(tǒng)具有良好、持續(xù)的運(yùn)行性能。整個(gè)系統(tǒng)涉及了大量不同權(quán)限的用戶和眾多業(yè)務(wù)職能不同的部門，設(shè)計(jì)提供良好的、級(jí)別不同的身份驗(yàn)證、訪問(wèn)控制措施，確保系統(tǒng)的安全性、完整性和可用性。對(duì)于受控資源必須建立一套安全 機(jī)制防止非授權(quán)用戶和假冒用戶的訪問(wèn)。在 VPN 設(shè)備和客戶端之間使用雙向認(rèn)證，確保用戶的合法性，充分保證信息系統(tǒng)的安全，同時(shí)不增加用戶使用的復(fù)雜性 5) 實(shí)時(shí)性 系統(tǒng)須具有快速的反應(yīng)能力，能夠及時(shí)準(zhǔn)確地將各類信息通過(guò)網(wǎng)絡(luò)傳送到位。 6) 可維護(hù)性 系統(tǒng)的規(guī)劃和設(shè)計(jì)充分考慮系統(tǒng)的可維護(hù)性，需要對(duì)系統(tǒng)進(jìn)行管理和調(diào)整，便于集中對(duì)系統(tǒng)的各種功能、安全級(jí)別、信息采集方式、性能分析、故障檢測(cè)和恢復(fù)等進(jìn)行維護(hù)工作。 7) 跨平臺(tái)特性 系統(tǒng)的設(shè)計(jì)充分考慮到整個(gè)網(wǎng)絡(luò)集成環(huán)境的復(fù)雜性，使應(yīng)用系統(tǒng)具有可分布性、跨平臺(tái)運(yùn)行特性，全面實(shí)現(xiàn)在不同平臺(tái) 穩(wěn)定運(yùn)行，完成各類信息的互相交換。 8) 標(biāo)準(zhǔn)化 SSL VPN 系統(tǒng)使用的通信協(xié)議、管理協(xié)議和硬件接口必須符合國(guó)際標(biāo)準(zhǔn)，并應(yīng)是現(xiàn)在和將來(lái)網(wǎng)絡(luò)技術(shù)發(fā)展的主流。 9) 可管理 SSL VPN 系統(tǒng)為達(dá)到便于管理的目的，所有網(wǎng)絡(luò)設(shè)備使用基于標(biāo)準(zhǔn)的管理協(xié)議，能夠進(jìn)行 5 遠(yuǎn)程監(jiān)視、控制和管理，支持客戶機(jī) /服務(wù)器和 WEB 體系結(jié)構(gòu)，符合計(jì)算機(jī)技術(shù)發(fā)展的方向。 第三節(jié)系統(tǒng)設(shè)計(jì) 設(shè)計(jì)目標(biāo) 1) CYLAN VPN 的安全性 CYLAN 內(nèi)核是 UCLINUX,基于專用的硬件平臺(tái)，可抵御任何強(qiáng)度的黑客的攻擊， CYLAN支持高級(jí)入侵檢 測(cè)，當(dāng)設(shè)備檢測(cè)到有攻擊時(shí)，設(shè)備會(huì)先記錄下黑客的 IP 地址和攻擊時(shí)間，然后斷開和黑客的連接。確保用戶的網(wǎng)絡(luò)安全； (軟件 VPN 抗攻擊的能力弱 )； CYLAN 產(chǎn)品的 VPN帳號(hào)信息全部存儲(chǔ)在本設(shè)備中 ,身份認(rèn)證過(guò)程也在本設(shè)備完成 ,不需要第三方的設(shè)備 。(國(guó)內(nèi)的絕大部分硬件 VPN 和軟件 VPN 都要依賴 VPN 廠商自己的服務(wù)器完成 ) CYLAN VPN 身份認(rèn)證采用目前最安全的 證書和數(shù)字簽名 RSA 技術(shù) ,可以確保用戶的身份信息在公網(wǎng)上不被惡意篡改 。目前銀行、 證券的網(wǎng)上支付都是采用 證書和數(shù)字簽名作為身份認(rèn)證的 方法，所以企、事業(yè)的安全是可以得到保證的； CYLAN VPN 在數(shù)據(jù)傳輸過(guò)程中選用加密強(qiáng)度更高、 算法更安全的 AES256 位的加密算法。 2) 具有的穩(wěn)定性 CYLAN 產(chǎn)品是專用硬件產(chǎn)品 ,硬件工藝成熟 ,而且硬件在出廠前都經(jīng)過(guò)嚴(yán)格的負(fù)載測(cè)試 ,能保證用戶在復(fù)雜的網(wǎng)絡(luò)環(huán)境全天候的使用而不死機(jī) 。CYLAN 所有產(chǎn)品平均持續(xù)無(wú)故障工作時(shí)間 5萬(wàn)小時(shí) (大約 ),普通電腦無(wú)法達(dá)到這種效果 ,所以軟件 VPN的穩(wěn)定性一定沒(méi)有硬件 VPN 的好。 CYLAN 能抵御病毒的攻擊 ,用戶不用擔(dān)心硬件 VPN 會(huì)被病毒破壞。 (軟件 VPN 很容 易被病毒攻擊 ,所以用戶要經(jīng)常把 WINDOWS系統(tǒng)重新安裝 ,再安裝軟件 VPN,用戶還要經(jīng)常的升級(jí)來(lái)減少系統(tǒng)漏洞 。軟件 VPN 也會(huì)影響到一些防火墻軟件和應(yīng)用軟件不能正常使用 ) 3) CYLAN VPN 的可管理性 CYLAN VPN 的管理平臺(tái)，可以為整個(gè)體系提供詳細(xì)的管理。網(wǎng)絡(luò)管理員可以根據(jù)功能需要靈活配置各種邏輯結(jié)構(gòu)。 4) CYLAN VPN 的易擴(kuò)展性 如果需要加入新的節(jié)點(diǎn)，以前的節(jié)點(diǎn)不用作任何的設(shè)置。這也是 CYLAN VPN 產(chǎn)品與眾不 6 同的地方。 5) CYLAN VPN 的易用性 易用性決定了 VPN 項(xiàng)目實(shí)施的難易程度、廣泛 推廣的可能性、維護(hù)成本高低的因素。在原有網(wǎng)絡(luò)互聯(lián)比較復(fù)雜的情況下，項(xiàng)目能否實(shí)施的關(guān)鍵因素。 總體設(shè)計(jì) 總公司 為了安全管理、科學(xué)管理、集中管理，注重信息技術(shù)在本 學(xué)院 的應(yīng)用?，F(xiàn)在要實(shí)現(xiàn) 使教師在家里可以訪問(wèn)學(xué)院的資源進(jìn)行備課和查詢資料 以實(shí)現(xiàn) 資源 的實(shí)時(shí)性。 為滿足系統(tǒng)應(yīng)用需求和從節(jié)約總部與下屬的聯(lián)網(wǎng)成本考慮，在方案的選擇過(guò)程中，我們要照顧到用戶應(yīng)用的可用性，安全性，兼顧帶寬的合理選擇和聯(lián)網(wǎng)成本 ,同時(shí)也會(huì)出現(xiàn)資源浪費(fèi)的情況，綜合考慮后決定采用 VPN 的方式組網(wǎng)。 該方式是目前政府機(jī)構(gòu)和集團(tuán)公司首選的廣域網(wǎng)組 網(wǎng)方式，是一種成熟的解決方案。 具體設(shè)計(jì) 各結(jié)算中心上網(wǎng)帶寬的選擇 結(jié)算中心目前的寬帶或 ADSL 上網(wǎng) ， 基本上 能夠 滿足 VPN 組網(wǎng)需求 ，對(duì)個(gè)別移動(dòng)結(jié)算中心沒(méi)有條件申請(qǐng) ADSL 的，可使用電話撥號(hào)的方式或 CDMA、 GPRS 都可滿足需求。因通過(guò) SSL 隧道， 20K 左右的帶寬基本可以滿足應(yīng)用需求。 鄭州總局設(shè)備 的選用 總局最好能以 10M 的寬帶上網(wǎng)，連接近 20 個(gè)下屬結(jié)算中心 ， 考慮到數(shù)據(jù)的安全、快速 ,還有以后的易擴(kuò)展性，這里在 SSL 的選型中，建議使用可支持 50 個(gè)并發(fā)的 SSL 100 型號(hào)。 產(chǎn)品選型 針對(duì)總部現(xiàn)有網(wǎng)絡(luò)現(xiàn) 狀，我們建議使用 賽藍(lán) SSL VPN 產(chǎn)品，它可滿足下屬各分部的需要。SSL VPN 利用兩種接入方式，一、 Web Browser 基于瀏覽器的接入 (可以訪問(wèn) Web 應(yīng)用程序和文件共享 )；二、桌面共享 一個(gè)即時(shí)下載的 Java 小應(yīng)用程序 (可訪問(wèn)客戶 /服務(wù)器應(yīng)用程序 )。 SSL VPN 能滿足所有你的遠(yuǎn)程接入需要。 SSL VPN 技術(shù)為你提供增強(qiáng)的靈活性，以便更好地配合學(xué)院的安全性和基礎(chǔ)結(jié)構(gòu)需要，同時(shí)給你的用戶一個(gè)統(tǒng)一的、容易的界面和一個(gè)簡(jiǎn)化的用戶經(jīng)驗(yàn)。 賽藍(lán) VPN 還提供了高可用性，它具有可靠的冗余能力，排除了單點(diǎn)故障 的可能性，減少系統(tǒng)停機(jī)時(shí)間，另外它還具有負(fù)載均衡的能力，提高系統(tǒng)的整體性能。 網(wǎng)絡(luò)拓?fù)鋱D 7 第二章 Cylan 產(chǎn)品介紹 Cylan SSL 系列 SSL 的英文全稱是“ Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”，它是Netscape 公司開發(fā)的一種協(xié)議標(biāo)準(zhǔn)，用于在不安全媒介上（如互聯(lián)網(wǎng)）提供安全通信。 SSL現(xiàn)在是一種 IETF（互聯(lián)網(wǎng)工程任務(wù)組）標(biāo)準(zhǔn)，可用于為電子商務(wù)和內(nèi)部保護(hù)系統(tǒng)提供安全的Web 訪問(wèn)，并能確保手提電腦等設(shè)備遠(yuǎn)程訪問(wèn)的完全性。 SSL 協(xié)議指定了在應(yīng)用程序（如 HTTP、Tele、 NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。 CYLAN SSL VPN 技術(shù)特點(diǎn) SSL VPN 無(wú)需在客戶端安裝客戶端軟件、實(shí)施和維護(hù)靈活簡(jiǎn)單、不受地址重疊影響、控制策略更加細(xì)化、總體擁有成本較低，而且由于 SSL VPN 不是打開一個(gè)網(wǎng)絡(luò)層通道，而只是提供了應(yīng)用層請(qǐng)求的網(wǎng)絡(luò)接口，所以提高了與 VPN 相關(guān)的整個(gè)系統(tǒng)的安全性。 8 高效認(rèn)證加密 SSL 安全功能組件包括三部分：認(rèn)證，在連接兩端對(duì) 服務(wù)器或同時(shí)對(duì)服務(wù)器和客戶端進(jìn)行驗(yàn)證；加密，對(duì)通信進(jìn)行加密，只有經(jīng)過(guò)加密的雙方才能交換信息并相互識(shí)別；完整性檢驗(yàn)，進(jìn)行信息內(nèi)容檢測(cè)，防止被篡改。保證通信進(jìn)程安全的一個(gè)關(guān)鍵步驟是對(duì)通信雙方進(jìn)行認(rèn)證， SSL 握手子協(xié)議負(fù)責(zé)這一進(jìn)程處理：客戶端向服務(wù)器提交有效證書，服務(wù)器采用公共密鑰算法對(duì)證書信息進(jìn)行檢驗(yàn)，以確認(rèn)終端用戶的合法性。 強(qiáng)大控制功能 SSL VPN 提供安全、可代理的增強(qiáng)遠(yuǎn)程安全接入功能。對(duì)加密隧道進(jìn)行細(xì)分，只有經(jīng)過(guò)認(rèn)證的用戶才能通過(guò) Inter 和企、事業(yè)網(wǎng)內(nèi)部資源訪問(wèn)。 CYLAN SSL VPN 還 能細(xì)化接入控制功能，將不同訪問(wèn)權(quán)限賦予不同用戶，實(shí)現(xiàn)伸縮性訪問(wèn)。 CYLAN SSL VPN 通信基于標(biāo)準(zhǔn) TCP/UDP協(xié)議傳輸，使得用戶能夠從任何地方接入。 CYLAN SSL VPN 系列 根據(jù)企、事業(yè)接入服務(wù)規(guī)模大小， CYLAN SSL 家族細(xì)分為三類： Cylan SSL50 是一款超低價(jià)位、高性價(jià)比的中、小企、事業(yè)級(jí)安全接入網(wǎng)關(guān)，適合部署在中小型企、事業(yè)數(shù)據(jù)總部，提供遠(yuǎn)程客戶端安全接入服務(wù)。 SSL50 設(shè)備支持 25 個(gè)并發(fā)用戶數(shù)，支持 B/S、C/S 應(yīng)用系統(tǒng)。 Cylan SSL100 是一款低價(jià) 位、高性價(jià)比的中、小企、事業(yè)級(jí)安全接入網(wǎng)關(guān)， SSL100 設(shè)備支持 50 個(gè)并發(fā)用戶數(shù)。支持 B/S、 C/S 應(yīng)用系統(tǒng)。 Cylan SSL200 是一款低價(jià)位、高性價(jià)比的的安全網(wǎng)關(guān)，適合部署在中型企、事業(yè)。該設(shè)備支持 100 個(gè)并發(fā)用戶數(shù)。支持 B/S、 C/S 應(yīng)用系統(tǒng)。 Cylan SSL620/630/650 這三款是高性價(jià)比安全接入服務(wù)安全網(wǎng)關(guān)，適合中、大型的企、事業(yè)。分別支持 250/350/500個(gè)并發(fā)用戶數(shù)量；支持硬件加解密、支持用戶數(shù)升級(jí)、可堆疊； SSL 與 IPSec VPN 應(yīng)用選擇 IPSec 是一個(gè)網(wǎng)絡(luò)層解決方案，提供“類似局域網(wǎng)”的企、事業(yè)網(wǎng)絡(luò)訪問(wèn)。此外， IPSec具備隧道設(shè)置功能，用于封裝非 IP 協(xié)議。 SSL 是 Web 瀏覽器的標(biāo)準(zhǔn)功能，所以，通過(guò)瀏覽器訪問(wèn)的虛擬專用網(wǎng)被稱為“無(wú)客戶端”的虛擬專用網(wǎng)絡(luò)。由于客戶端的連接無(wú)需任何特殊設(shè)置，基于 SSL 的解決方案更加易于實(shí)施， 9 能夠節(jié)約運(yùn)營(yíng)成本， SSL 的許多優(yōu)勢(shì)都源于其出色的易用性。 SSL 在應(yīng)用層工作，實(shí)質(zhì)上比網(wǎng)絡(luò)層解決方案更加安全。 對(duì)于分支機(jī)構(gòu)多而網(wǎng)絡(luò)規(guī)模小、移動(dòng)辦公人員多、或合作伙伴多而緊密的企、事業(yè)，運(yùn)行標(biāo)準(zhǔn)的 WEB 和 C/S 應(yīng)用，選擇 SSL 加密 技術(shù)的 SSL VPN 比選擇 IPSec VPN 會(huì)更加高效、經(jīng)濟(jì)。用戶可以根據(jù)自己企、事業(yè)的需求，構(gòu)建以 SSL VPN 或以 IPSec 為核心的企、事業(yè)資源（ OA、 ERP、 CRM、物流系統(tǒng)、 POS 系統(tǒng)等）安全訪問(wèn)網(wǎng)絡(luò)。 部署的解決方案需要考慮正在使用的應(yīng)用、傳統(tǒng)應(yīng)用與支持 Web 的應(yīng)用的區(qū)別、用戶訪問(wèn)網(wǎng)絡(luò)設(shè)備類型和位置、將解決方案集成到現(xiàn)有網(wǎng)絡(luò)中。 CYLAN 可以幫助您解決這些問(wèn)題，CYLAN 提供 IPSec、 SSL 兩種解決方案，他們可以結(jié)合使用，輕輕松松為企、事業(yè)搭建最經(jīng)濟(jì)、管理更方便的虛擬專用網(wǎng)，滿足企、事業(yè)對(duì)當(dāng)前和 未來(lái)的解決方案。 Cylan 訪問(wèn) 620 系列利用自身的平臺(tái)，創(chuàng)建一個(gè)加強(qiáng)的安全工具，且該工具使用在所有標(biāo)準(zhǔn) Web 瀏覽器中均是基于標(biāo)準(zhǔn)的安全接口層（ SSL）。在沒(méi)有與 IPSEC 相關(guān)的配置費(fèi)用、使用成本和安全風(fēng)險(xiǎn)的情況下，或者在沒(méi)有自定義外部網(wǎng)的成本和開發(fā)時(shí)間的情況下，用戶能夠獲得他們所需要的訪問(wèn)。網(wǎng)絡(luò)管理程序（管理員）允許不同的用戶組（如雇員或公司合伙人）經(jīng)授權(quán)訪問(wèn)企、事業(yè)資源（如基于 Web 的應(yīng)用、