【正文】 準支持服務(wù)內(nèi)容如下： ? 系統(tǒng)啟動服務(wù) ? 每年有限次現(xiàn)場服務(wù) ? 遠程診斷服務(wù) ? 電話咨詢服務(wù) ? （面對面或書面的）產(chǎn)品咨詢服務(wù) ? 當(dāng)年增強版本更換 ? 產(chǎn)品信息服務(wù) ? 電子郵件及在線服務(wù) 用戶培訓(xùn) xxx 公司 將負責(zé)對用戶進行網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)培訓(xùn)?；谶@幾種類型的產(chǎn)品，形成了一個以 CA 為核心、網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件 /設(shè)備相互聯(lián)動、密切配合的構(gòu)建在 PKI 平臺上的網(wǎng)絡(luò)安全系統(tǒng)。 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 23 頁 共 25 頁 第五章 xxx 公司 簡介 xxx 公司是在國家信息安全東部基地（上海浦東）成立的專門從事 PKI 網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)安全應(yīng)用中間產(chǎn)品研發(fā)、生產(chǎn)和銷售的公司，主要解決互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的安全問題。當(dāng)系統(tǒng)投入使用后，測試工作要不斷進行，只有這樣才能發(fā)現(xiàn)新錯誤，以便及時解決。普通數(shù)據(jù)包通過 XX 防火墻到達 XX 集團內(nèi)部網(wǎng)絡(luò)，實現(xiàn)包狀態(tài)檢測和訪問控制功能。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。 針對不用對象采用不同產(chǎn)品，這樣就發(fā)揮了各自產(chǎn)品的特性，組成了一個有機的 VPN網(wǎng)絡(luò)體系。即 VPN 系統(tǒng)與原有的網(wǎng)絡(luò)系統(tǒng)完全兼容，絕不會因建設(shè)了 VPN 系統(tǒng)而導(dǎo)致原有的正常訪問中斷或改變方式。 ADT引擎是一個專用 UDPT(即 UDP 隧道 )數(shù)據(jù)包的路由轉(zhuǎn)發(fā)軟件，放置在網(wǎng)絡(luò)邊緣，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)流量。 第一種的聯(lián)網(wǎng)方式是比較傳統(tǒng)的方式，技術(shù)上實現(xiàn)最容易，目前的防火墻等設(shè)備就可以實現(xiàn)這種功能；第二種的 VPN 聯(lián)網(wǎng)方式對于目前大多數(shù)專業(yè)的 VPN 廠商也基本能解決；而第三種方式即動態(tài) IP 與動態(tài) IP 之間的 VPN 通訊卻成了很多廠商和科研機構(gòu)望而卻步的技術(shù)難題，實現(xiàn)起來并解決大規(guī)模的實際應(yīng)用就更加困難。使用 VPN 有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。隨著使用的普及，信息平臺的運行不穩(wěn)定甚至癱瘓將嚴重影響企業(yè)的形象，也將給為企業(yè)帶來不便和不可低估的損失。 隨著計算機網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，xxx 公司 時刻強調(diào)高度的安全性。因此，采用 VPN 方式組網(wǎng)對 XX 集團來說是一種現(xiàn)實可行的，完全可以滿足公司員工在辦事處、在外XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 4 頁 共 25 頁 出差、在家秉承辦公的業(yè)務(wù)需要。 XX 集團信息系統(tǒng)當(dāng)前面臨的首要問題和最大隱患是：邊界安全防御與鏈路傳輸?shù)?加密。 XX 集團作為國內(nèi)知名企業(yè)，信息的敏感性決定了它們歷來都是各種居心叵測者的重要關(guān)注對象，甚至也是內(nèi)部員工十分感興趣的內(nèi)容，這提醒我們應(yīng)該更加注重網(wǎng)絡(luò)安全的建設(shè)。 DDN、ADSL 等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應(yīng)用和管理問題。 表 11 VPN 與專線比較表 綜上所述，如何快捷地解決 XX 集團的企業(yè)聯(lián)網(wǎng)問題，如何有效地解決企業(yè)巨額通訊費和專線租用費，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達到一個全面 加強，使網(wǎng)絡(luò)系統(tǒng)的每個部分都不會成為“木桶的最短一塊木板”是本系統(tǒng)方案要實現(xiàn)的目標。 實用性原則既要做到先進技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性相結(jié)合。而任何 VPN 業(yè)務(wù)都是基于隧道技術(shù)實現(xiàn)的，隧道機制是 VPN 實施的關(guān)鍵。最初 VPN 技術(shù)被設(shè)想為 Inte 節(jié)點的連接方式，后來它很快被公認為是一種遠端的接入技術(shù)，例如在一個遠程的 PC 或筆記本電腦用戶與他的公司本部之間建立的加密通道。 這樣 A 用戶和B 用戶還是建立不起來 或 SIP 會話連接，還是無法開 IP 視頻會議。 2） 內(nèi)網(wǎng)主機眾多，可是公有 IP 地址有限，要訪問互聯(lián)網(wǎng)必須通過地址轉(zhuǎn)換來實現(xiàn)，VPN 安全網(wǎng)關(guān)的地址池映射功能可以滿足提供內(nèi)部網(wǎng)絡(luò)上互聯(lián)網(wǎng)的要求，并且還可以對上網(wǎng)的主機和時間段作出控制。 對于小規(guī)模的辦事處出差員工和公司領(lǐng)導(dǎo)，使用安全客戶端軟件。目前已經(jīng)擁有“ PKI 安全網(wǎng)關(guān) SGW 系列、安全網(wǎng)關(guān)客戶端軟件、 PKI 網(wǎng)管平臺、單 /雙密鑰體系的企業(yè) CA 系統(tǒng)、數(shù)字證書載體 SureID 系列、證書中間件”等產(chǎn)品。 目前， XX 集團總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)經(jīng)由 XX 防火墻直接接入 Inter。 保修維護服務(wù) 對在保修期內(nèi)的軟硬件產(chǎn)品設(shè)備提供保修服務(wù)（火災(zāi)、地震等人力 不可抗拒的因素造成的設(shè)備損壞除外）： 提供 7*24 維修服務(wù)，提供 7*24 小時響應(yīng)的聯(lián)系電話及聯(lián)系人，提供遠程訪問維護功能，隨時受理電話咨詢，一旦有故障能隨時聯(lián)系到人。 ， xxx 公司 將派項目開發(fā)人員對貴單位技術(shù)人員 和操作人員進行現(xiàn)場實際操作培訓(xùn)。 3）WiseKEY 系列；主要作為數(shù)字證書的客戶端載體和安全終端。 對系統(tǒng)管理員進行培訓(xùn)，使其熟悉系統(tǒng)的使用和維護，以利于以后的系統(tǒng)管理工作。 XX 集團 VPN 建設(shè)網(wǎng)絡(luò)拓撲圖如下： 圖 34 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)示意圖 防火墻 路由器 同步 modem 主交換機 交換機 交換機 交換機 同步 modem 同步 modem 余杭一廠（老余杭） 余杭八廠（老余杭） 杭州二廠（汽車北站附近） 全國 26 處辦事處（除西藏）的工作站 撥號或?qū)拵暇W(wǎng)連接 Inter 光纖專線 Inter 路由器 幀中繼專線 網(wǎng)通 VPN骨干網(wǎng) 路由器 路由器 路由器 路由器 光纖收發(fā)器 出差用戶 安全客戶端 VPN 安全網(wǎng)關(guān) VPN 安全網(wǎng)關(guān) VPN 安全網(wǎng)關(guān) XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 20 頁 共 25 頁 第四章 技術(shù) 支持服務(wù) xxx 公司 的技術(shù)服務(wù)部門將提供優(yōu)質(zhì)服務(wù)以保證整個系統(tǒng)運行的穩(wěn)定、高效和安全。另外， xxx 公司 SGW 網(wǎng)關(guān)系列具有 PPOE 撥入模塊，支持 ADSL撥號功能，可以節(jié)省專用的撥號服務(wù)器，節(jié)省設(shè)備投入。 除此之外， VPN 安全網(wǎng)關(guān)本身具備靜態(tài)路由功能，在分公司使用 VPN 安全網(wǎng)關(guān)，可以代替路由器實現(xiàn)路由和地址映射功能，因此可以為每個分公司節(jié) 省一臺路由器， VPN 安全網(wǎng)關(guān)的平均工作無故障時間為 15000 小時，可以達到一般路由器的可靠性，這樣也大大節(jié)省了企業(yè)的投入成本，帶來了效益。 同時，通過 VPN 安全網(wǎng)關(guān)靈活的訪問控制功能，可以允許安全接入和普通接入并存，即對重要的服務(wù)器，重要的用戶，實施 VPN 安全隧道連接，而對于普通的服務(wù)器、普通的用戶也可以實現(xiàn)明文的訪問。 VPN 系統(tǒng)對原有網(wǎng)絡(luò)的兼容 由于根據(jù)網(wǎng)絡(luò)設(shè)計 VPN 設(shè)備 —— VPN 安全網(wǎng)關(guān)將會串行的連接在總部的路由器之后，XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 13 頁 共 25 頁 并將作為分公司的路由設(shè)備為網(wǎng)絡(luò)提供路由，因此，在增加了這個設(shè)備后會不會影響原有正常的網(wǎng)絡(luò)訪問，比如 WEB、 MAIL、 DNS 等等是一個必須說明并確認的問題。不但 IPsec 協(xié)議本身不能穿透 NAT 設(shè)備，就是常用的視頻、語音等通訊方式所用的 和 SIP 協(xié)議也不能穿透 NAT。 圖 31 VPN 組網(wǎng)示意圖 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 9 頁 共 25 頁 虛擬專網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件： 保證數(shù)據(jù)的真實性 ： 通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認（ IP Spoofing）的能力。 xxx 公司 提供“ PKI 網(wǎng)管平臺”對安全網(wǎng)關(guān)、移動客戶進行統(tǒng)一管理。 安全實時監(jiān)控也是屬于主動防御范疇。構(gòu)造全球的虛擬專網(wǎng)。 XX 集團現(xiàn)在全國有 26 處分支機構(gòu)，大多通過撥號或者寬帶接入公司總部。XXXX XX集團 VPN網(wǎng)絡(luò)建設(shè)解決方案 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 2 頁 共 25 頁 目 錄 第一章 項目情況介紹 .................................................. 1 項目背景 ............................................................... 1 目前網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀分析 ................................................. 1 第二章 設(shè)計原則和設(shè)計思想 ............................................. 5 安全性原則 ............................................................. 5 實用性原則 ...........................