【文章內(nèi)容簡介】 司 網(wǎng)絡(luò)中部署一套 VPN 管理中心服務(wù)器， 用于 實現(xiàn)對全局所有 IPSec VPN 網(wǎng)關(guān)設(shè)備和 IPSec VPN 客戶端 的 集中 管理，包括 身份認(rèn)證，狀態(tài) 監(jiān)控， 配置管理，拓?fù)滹@示， VPN 客戶端 自動部署， VPN 策略的統(tǒng)一 下發(fā)等。 VPN 管理器（客戶端） 部署 在總 公司 及各省分公司 網(wǎng)絡(luò)中各 部署一 套 VPN 管理器 ，為各級管理員提供方便直觀的圖形管理工具，通過加密方式安全地訪問位于總公司網(wǎng)絡(luò)的 VPN 管理中心服務(wù)器， 完成對服務(wù)器的管理配置，對網(wǎng)絡(luò)設(shè)備的監(jiān)控，和對 VPN 網(wǎng)絡(luò)運行狀態(tài)的監(jiān)控。 VPN 產(chǎn)品選型 配置 建議 本次項目中，我們將在總公司和 部分 大型 中心支公司（接入數(shù)超過 20 用戶）網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口部署 IPSEC VPN 網(wǎng)關(guān)設(shè)備，對其他所有小型 中心支公司 、 支公司、 合作伙伴 等均在業(yè)務(wù)人 員計算機上部署 IPSEC VPN 客戶端軟件， 推薦 全部 采用天融信 公司自主研發(fā)的網(wǎng)絡(luò)衛(wèi)士 IPSec VPN 系列產(chǎn)品（包括網(wǎng)關(guān)設(shè)備和客戶端軟件）。我們將在總公司網(wǎng)絡(luò)中部署一套 VPN 集中管理軟件 —— 天融信安全策略統(tǒng)一管理系統(tǒng)，從而構(gòu)成完整的 IPSEC VPN 解決方案，滿足 XX 公司 的 VPN 全局部署和管理需要。 具體產(chǎn)品選型建議如下： ? 總公司 VPN 網(wǎng)關(guān) ? 建議采用一臺 天融信網(wǎng)絡(luò)衛(wèi)士 IPSEC VPN 網(wǎng)關(guān)（ TV6624） ，主要指標(biāo)如下： 1U 機型， 4 個 10/100BASETX； 2 個擴展插槽；最多可支持 8個百兆端口；最大隧 道數(shù) 5000 條； 加密速度 100M； 防火墻并發(fā)連接數(shù)： 120 萬 。采用該款設(shè)備完全可以滿足上千個 VPN 客戶端和幾十個 VPN 網(wǎng)關(guān)同時接入 總公司網(wǎng)絡(luò) 時的處理能力要求，并具備一定的 9 冗余。 ? 分支機構(gòu) VPN 網(wǎng)關(guān) ? 對于大型 中心支公司（接入數(shù)超過 20 用戶） ， 建議各采用一臺 天融信網(wǎng)絡(luò)衛(wèi)士 IPSEC VPN 網(wǎng)關(guān)（ TV6303） ，主要指標(biāo)如下： 1U 機型， 3個 10/100BASETX；最大 IPSEC 隧道數(shù) 25 條； 加密速度 20M； 防火墻并發(fā)連接數(shù)： 20 萬 。采用該款設(shè)備 完全可以滿足每個分支機構(gòu)網(wǎng)絡(luò)中多達(dá) 100 個用戶同時通過 VPN 隧道訪問總公司網(wǎng)絡(luò)時的處理能力要求。 ? VPN 客戶端 ? 對于其他 的 小型中心支 公司 （ 接入數(shù) 少于 20 用戶 ），所有 支公司、 合作伙伴 等 ， 建議 在 業(yè)務(wù)人員的計算機 上 安裝 天融信網(wǎng)絡(luò)衛(wèi)士 IPSEC VPN客戶端軟件（ IPSECVPNVRC） ；該產(chǎn)品的運行平臺支持 Windows 98/2021/XP/2021 操作系統(tǒng) 。 ? VPN 管理 系統(tǒng) ? 建議采用天融信網(wǎng)絡(luò)衛(wèi)士 安全 策略統(tǒng)一管理系統(tǒng)（ TSMTopPolicy），該產(chǎn)品由 TopPolicy 管理器、 TopPolicy 服務(wù)器和 TopPolicy 數(shù)據(jù)庫三個產(chǎn)品組件組成，其中： TopPolicy 數(shù)據(jù)庫主要用于存儲整個網(wǎng)絡(luò)中 VPN 網(wǎng)關(guān) 設(shè)備的 相關(guān) 信息及 VPN 安全策略 ； TopPolicy 服務(wù)器主要完成認(rèn)證設(shè)備、維護(hù)設(shè)備、維護(hù) VPN 隧道、維護(hù) VRC 信息等工作 ；TopPolicy 管理器是一個管理員使用的圖形界面程序，它主要完成對TopPolicy 服務(wù)器的管理配置，對 VPN 網(wǎng)關(guān) 設(shè)備的監(jiān)控， 及 對 VPN 網(wǎng)絡(luò)運行狀態(tài)的監(jiān)控。 TopPolicy 系統(tǒng)最大支持對 3000 臺設(shè)備 和 30000個 VRC 的集中管理，因此在 VPN 系統(tǒng)規(guī)模上提供了非常大的擴展空間。 具體產(chǎn)品選型配置 方案 如下： 序號 設(shè)備或軟件名稱 推薦產(chǎn)品 型號 簡要技術(shù)規(guī)格 數(shù)量 備注 10 1 VPN 網(wǎng)關(guān) 天融信網(wǎng)絡(luò)衛(wèi)士IPSEC VPN 網(wǎng)關(guān)（ TV6624） 1U 機 型 ， 4 個10/100BASETX； 2 個擴展插槽；最多可支持 8 個百兆端口； 最大隧道數(shù) 5000條； 加密速度 100M； 防火墻并發(fā)連接數(shù)： 120 萬 ；5 個客戶端許可 1 部署在 總公司 互聯(lián)網(wǎng)出口 天融信網(wǎng)絡(luò)衛(wèi)士IPSEC VPN 網(wǎng)關(guān)（ TV6303） 1U 機 型 ， 3 個10/100BASETX ； 最大IPSEC 隧道數(shù) 25 條； 加密速度 20M； 防火墻并發(fā)連接數(shù)： 20 萬 ； 5 個客戶端許可 10 部署在 20人 以上的 中心支 公司（暫定 10個） 互聯(lián)網(wǎng)出口 2 VPN 客戶端 天融信網(wǎng)絡(luò)衛(wèi)士IPSEC VPN 客戶端軟件（ IPSECVPNVRC） VPN 客戶端 光盤；如用戶不需要光盤，該軟件可免費 提供 0 部署在 20人以下的 中心支 公司、支公司、合作伙伴 的業(yè)務(wù)終端上 天融信網(wǎng)絡(luò)衛(wèi)士IPSEC VPN 客戶端許可（ IPSECVPNVRCLICENSE） 1 個客戶端使用許可；每個客戶端需要一個客戶端使用許可 995 3 VPN 管理系統(tǒng) 天融信網(wǎng)絡(luò)衛(wèi)士策略統(tǒng)一管理系統(tǒng)（ TSMTopPolicy） 用于 IPSEC VPN 網(wǎng)關(guān)設(shè)備和 VRC 等的集中監(jiān)控，集中管理，拓?fù)滹@示， VRC自動部署， VPN 策略的統(tǒng)一管理 1 部署在 總公司 局域網(wǎng)中 ； 需要 專門配備 一臺服務(wù)器 ，安裝 Windows操作系統(tǒng)，MySQL 數(shù)據(jù)庫及 IIS 服務(wù)器軟件 網(wǎng)關(guān)設(shè)備管理許可（ TSMTopPolicyGWLIC） License 數(shù)量控制可管理的網(wǎng)關(guān)設(shè)備的數(shù)量 11 可管理的VPN 網(wǎng)關(guān)設(shè)備包括總公司 1臺和 20人以上的中心支公司10 臺（暫定） 11 VRC 用戶管理許可（ TSMTopPolicyVRCLIC） License 數(shù)量控制可管理的客戶端 VRC 的數(shù)量 1000 可管理的VRC 包括 20人以下的 中心支 公司、支公司、合作伙伴 的業(yè)務(wù)終端 管理員認(rèn)證密鑰（ TopSECKEY） USB KEY，用于管理器的KEY 方式認(rèn)證 及 VPN 密鑰存儲 14 總公司 和13 個 省分公司 各部署一臺 VPN 管理器 VPN 管理策略 設(shè)計 我們將采用 天融信 網(wǎng)絡(luò)衛(wèi)士策略統(tǒng)一管理系統(tǒng)（ TSMTopPolicy） ， 實現(xiàn)對 XX公司 網(wǎng)絡(luò)中 的 VPN 設(shè)備運行狀態(tài)、 VPN 隧道信息、移動用戶接入等進(jìn)行集中管理。本節(jié)將對在 VPN 系統(tǒng)部署中的一些主要的管理策略及其具體實現(xiàn)方式進(jìn)行詳細(xì)說明。 設(shè) 備管理策略 天融信 TopPolicy 系統(tǒng)針對 VPN 設(shè)備的管理提出了域的概念，使得設(shè)備的管理集中而有序。在這種管理模型下，所有防火墻和 VPN 設(shè)備首先需要通過TPManager（ TopPolicy 管理器）添加到 TopPolicy 系統(tǒng)中，由 TPManager 根據(jù)相關(guān)網(wǎng)絡(luò)通訊策略統(tǒng)一集中地管理，大大提高了設(shè)備管理的簡單性和方便性。 安全 域管理 為了便于 XX 公司 根據(jù)其內(nèi)部組織管理機構(gòu) 對 VPN 系統(tǒng) 進(jìn)行管理， 天融信TopPolicy 系統(tǒng) 通過 類似 DNS 系統(tǒng)的樹型結(jié)構(gòu) 對網(wǎng)絡(luò)中的所有 VPN 網(wǎng)關(guān)進(jìn)行 分域 管理。如 圖 所示： 12 圖 VPN 網(wǎng)關(guān) 設(shè)備 管理結(jié)構(gòu) 注：圖中實線部分代表 VPN 隧道的實際連接，虛線部分代表對 VPN 設(shè)備的管理連接。 樹中的每個中間節(jié)點都是一個域，每一個域中都可以包括本域的 網(wǎng)絡(luò) 設(shè)備和“子域”， 天融信 TopPolicy 系統(tǒng)最多支持用戶定義三級子域。所有的節(jié)點構(gòu)成了完整的“企業(yè)域”。 網(wǎng) 關(guān) 設(shè)備通過“內(nèi)部域名”進(jìn)行唯一標(biāo)識，內(nèi)部域名為從根域開始的各級子域名加上網(wǎng)關(guān)名稱，通過“ .”符號連接組成的。比如：在 圖 中，一個從屬于“ jinan” /“ shandong”域中的 網(wǎng) 關(guān) 設(shè)備，其 設(shè)備名稱為“ Device1”，則該設(shè)備的內(nèi)部域名為： 。在整個 TopPolicy 系統(tǒng) 的 管理 過程中，均采用設(shè)備的內(nèi)部域名作為設(shè)備的唯一標(biāo)識。 13 設(shè)備管理 定義好管理域后，我們便可以將需要管理的 VPN 設(shè)備添加到相應(yīng)的域中 ，例如，將總公司的 VPN 網(wǎng)關(guān)添加到根域中，將各省分公司的 VPN 網(wǎng)關(guān)（如果有）添加到對應(yīng)的一級域中，將各中心支公司的 VPN 網(wǎng)關(guān)（如果有）添加到對應(yīng)的二級域中 。 如 圖 所示： 圖 添加要管理的 VPN 網(wǎng)關(guān)設(shè)備 TopPolicy 系統(tǒng)對被管理的 VPN 網(wǎng)關(guān)設(shè)備提供了基于數(shù)字證書的認(rèn)證方式。在上圖中，如果采用 TopPolicy 系統(tǒng)內(nèi)置的 CA 服務(wù)器為設(shè)備簽發(fā)證書，則可以選擇“生成證書”，結(jié)果是在管理員生成設(shè)備的同時，系統(tǒng)自動完成了為該設(shè)備向內(nèi)置 CA 服務(wù)器申請簽發(fā)證書，并將簽發(fā)好的證書自動保存到 TopPolicy 系統(tǒng)的證書庫中；如果采用用戶自己的 CA 服務(wù)器為設(shè)備簽發(fā)證書，則在添加設(shè)備時需要選擇“暫不生成證書”，則可以在任何需要證書的時候通過在新生成的設(shè)備圖標(biāo)上點擊鼠標(biāo)右鍵即可為該設(shè)備生成證書請求或?qū)氍F(xiàn)成的證書。 安全域和設(shè)備添 加完成后，其標(biāo)識 將出現(xiàn) TopPolicy 系統(tǒng)管理界面左側(cè)的樹形結(jié)構(gòu) 中，如 圖 所示。 14 圖 設(shè)備管理 設(shè)備監(jiān)控 TopPolicy 系統(tǒng)提供了對設(shè)備的實時監(jiān)控功能，主要包括對 CPU 信息、內(nèi)存信息、接口信息和連接信息等設(shè)備性能信息的監(jiān)控，以及對 VPN 網(wǎng)關(guān) 網(wǎng)關(guān)隧道的監(jiān)控和 VPN 客戶端 網(wǎng)關(guān)隧道 的監(jiān)控。對于要監(jiān)控的設(shè)備，需要將其加入“設(shè)備監(jiān)視列表”，當(dāng)設(shè)備在線時，管理員就可以方便地通過管理界面對設(shè)備的運行情況進(jìn)行監(jiān)控， 并 了解 當(dāng)前 與該設(shè)備相關(guān)的隧道信息，包括隧道狀態(tài)、 隧道 名稱 、隧道 對 端的設(shè)備名稱 、該設(shè)備遠(yuǎn)程客戶端的在線信息 等。 移動用戶 （ VRC） 管理策略 TopPolicy 系統(tǒng) 對 VPN 遠(yuǎn)程 客戶端（ VRC，或稱移動用戶 ）的管理 是通過移動用戶組來實現(xiàn)的 。 移動用戶組是具有相同屬性 、相同權(quán)限 的移動用戶的集合。管理員可以在 TopPolicy 系統(tǒng) 中設(shè)置移動用戶 組 ，并為其 進(jìn)行授權(quán) ， 然后 將每個 移動用戶添加到特定的組中以獲得其訪問權(quán)限， 而 不需要 對 每 個用戶 單獨 進(jìn)行權(quán)限分配 ，大大減少了管理的工作量 。 對于 XX 公司 ，我們建議為每個采用 VPN 客戶端方式訪問總公司網(wǎng)絡(luò)的分支機構(gòu)和合作伙伴分別定義一個移動用戶組， 并允許每個組訪問總公司 VPN 網(wǎng)關(guān)設(shè)備及其所在的域。每個分支機構(gòu)或合作伙伴機構(gòu)的業(yè)務(wù)人員都作為一個移動用戶，只能被分配到所在機構(gòu)的移動用戶組中，按照相應(yīng)組權(quán)限進(jìn)行 VPN 網(wǎng)絡(luò)訪問。 15 地址 管理 當(dāng)移動用戶上線時需要 獲取 一個合法的 IP 地址以便訪問相應(yīng)的網(wǎng)絡(luò)。 移動用戶 必須 屬于 某個 移動用戶組，并被分配該 VRC 組所在網(wǎng)段的 IP 地址。 對移動用戶 IP 地址的分配有兩種方式： 隨機分配 或手工 指定 。 （ 1） 隨機分配 IP 地址 TopPolicy 系統(tǒng)是通過地址池的方式來實現(xiàn)為移動用戶隨機分配虛擬 IP地址的。地址池的內(nèi)容包括： ? 用于為 VRC 用戶分配的子網(wǎng)地址 及 掩碼 （即地址網(wǎng)段） ? 可供 VRC 用戶使用的 DNS 服務(wù)器的 IP 地址 ? 可供 VRC 用戶使用的 WINS 服務(wù)器的 IP 地址 首先需要 從地址池中選取一個 IP 地址網(wǎng)段分配 給移動用戶組 ，當(dāng)屬于這個組的移動用戶 每次上線時 ， TopPolicy 系統(tǒng)便從該 組地址范圍內(nèi)隨機 地為其分配 一個 IP 地址 ，當(dāng)移動用戶下線時， TopPolicy 系統(tǒng) 將收回該地址。 （ 2）手工指定 IP 地址 管理員在創(chuàng)建移動用戶時可以為其手工指定 虛擬 IP 地址，此地址 必須 在該移動用戶所在分組的地址范圍內(nèi)。 一旦 指定了移動用戶的虛擬 IP 地址，則該移動用戶 每次上線時都使用這個 IP。 移動用戶組 （ VRC 組） 管理 TopPolicy 系統(tǒng)采用樹形結(jié)構(gòu)進(jìn)行移動用戶組的管理 ， 系統(tǒng) 支持添加多級移動用戶分組， 最多支持 10 級分組， 但各分組的權(quán)限 、驗證方式、地址池等均 不具有繼承性。 添加移動用戶組的操作如 圖 所示。 16 圖 添加移動用戶組 “地址網(wǎng)段” 下拉 框 用于從地址池中 選擇該 移動用戶 組 需 要使用的 IP 地址 段 ，即 在全局地址范圍中使用哪段地址作為該組的地址范圍 。 如果沒有為移動用戶手工指定地址，則從該范圍為其分配 IP 地址。 選擇“ 是否驗證口令”，表示 在該組中的移動 用戶 登錄時，需要驗證其密碼 ；選擇“是否驗證證書”，則 指該組中的移動用戶登錄時，需要驗證其證書 。 為保證移動用戶身份驗證過程的安全性，建議采用證書驗證方式。 當(dāng)該移動用戶組中的移動用戶上下線時， TopPolicy 系統(tǒng)會自動 給該移動用戶組管理員 發(fā)送郵件進(jìn)