【文章內容簡介】 網關同樣具備，本處不再贅述。如下圖：ADSL中型分支機構S J W 7 4 A 安 全 網 關. 移動辦公網點 VPN系統(tǒng)部署對于一些小型的分支機構及移動用戶，由于分支機構使用的 PC 數(shù)量不多（通常為 6~7 臺） ，只需要在需要遠程接入的 PC 上或代理上網的 PC 上（所謂“代理上網”指由該 PC 進行 ADSL 撥號或用其他接入方式接入，局域網內的其他 PC 通過該機器運行的代理軟件或 NAT 共享接入inter） ，安裝安達通安全客戶端軟件（使用 IPSec 協(xié)議）或采用 IE 瀏覽器（不用安裝專門的VPN 客戶端軟件，使用 SSL 協(xié)議） ，即可和總部的 VPN 安全網關建立安全連接。移動用戶可以使用“帳戶+口令 ”作為身份認證方式接入；也可以和 SureID(安達通 USB KEY) 配套使用，提高安全性保證身份不可仿冒。如下圖：代理上網服務器（ 安全客戶端或 I E 瀏覽器 ）ADSL小型分支機構移動點用戶（ 安全客戶端或 I E 瀏覽器 ）ADSL/CDMA. 全網 VPN系統(tǒng)部署示意圖和系統(tǒng)功能闡述VPN部署示意圖如下所示：11I n t e r n e tS J W 7 4 C 安 全 網 關（ 主 機 ）CDMA/ADSL… …服務器群ADSLX X 單位中心局域網ADSL移動用戶( I E 瀏覽器 )I P S e c 隧道S S L 隧道撥號服務器（ I E 瀏覽器 ）X X 單位下屬機構X X 單位下屬機構S J W 7 4 AX X 單位分部X X 單位總部S J W 7 4 C 安 全 網 關( 備 機 )網絡示意圖（原來沒有 Firewall）12I n t e r n e tS J W 7 4 C 安 全 網 關CDMA/ADSL… …服務器群ADSLX X 單位中心局域網X X 單位下屬機構ADSL移動用戶( I E 瀏覽器 )I P S e c 隧道S S L 隧道撥號服務器（ I E 瀏覽器 ）X X 單位下屬機構S J W 7 4 AX X 單位總部X X 單位分部S J W 7 4 C 安 全 網 關( 熱 備 )網絡示意圖（原來已經有 Firewall，并采用 “單臂連接”方式部署）在總部網絡的邊界處，部署 SJW74C 型安全網關，網關的 WAN口接 inter出口（沒有Firewall時） ，LAN 口接內網核心交換機；或采用“單臂連接”方式來部署 VPN 安全網關（用戶已經有 Firewall時） 。SJW74C 型安全網關是安達通 IPSec和 SSL合一的最新 VPN成果，移動用戶只需要使用 IE等主流互聯(lián)網瀏覽器，通過“帳戶+口令”或 USB KEY等認證方式，即可和網關建立 VPN隧道（使用 SSL+IPSec方式） ，接入內網，進而為各種 IP應用提供透明傳輸平臺。同時，SJW74C 網關也支持傳統(tǒng)的使用“安全客戶端”軟件（即：IPSec 客戶端）和網關建立 VPN隧道?？偛窟吔缣庍€可以部署“雙機熱備”系統(tǒng)，可以在主設備發(fā)生單點故障時進行無縫的切換，確保中心節(jié)點的高可靠性和不間斷運行。下屬分支機構通過部署 SJW74A安全網關，替代原來的路由器上網方式，在保證了 VPN隧道安全訪問的前提下，對分支機構的內網進行了有效的保護和控制；當總部主線路中斷時，分支機構可以自動聯(lián)入備份線路，保證業(yè)務的不中斷；SJW74A 網關內置強大的防火墻功能在提供上網和VPN加密通信的前提下保證了內網用戶不會被黑客和網絡病毒所侵犯。單點用戶和移動辦公網點的 PC上通過 ADSL撥號上網；安裝“VPN 安全客戶端”軟件（使用13IPSec協(xié)議）或直接使用 IE瀏覽器（使用 SSL協(xié)議） ，通過“帳戶+口令”或 USB KEY硬件認證的方式，和 VPN安全網關建立 VPN加密隧道，接入內網，進而為各種 IP應用提供透明傳輸平臺。下面主要從功能、性能和網管三方面來對系統(tǒng)作全方面闡述。如上部署網絡安全設備： VPN 可以實現(xiàn)以下幾方面功能：1） 實現(xiàn)分支機構（采用 VPN安全網關）或者移動用戶（采用安裝“安全客戶端”或使用 IE瀏覽器）通過互聯(lián)網遠程接入總部內網，建立 VPN加密隧道，安全訪問總部內網的各應用系統(tǒng)（包括 B/S和 C/S的應用） ，在訪問過程確保數(shù)據(jù)傳輸安全。2） 總部邊界處還可以部署“雙機熱備”系統(tǒng)，可以在主網關發(fā)生故障時，熱備網關自動接管進行無縫的切換，確保中心節(jié)點的高可靠性和不間斷運行。3） 在遠程接入（下屬機構撥號 PC和移動用戶）的計算機上，只需要插入經過管理員授權的 Usb Key（強身份認證載體）或使用“帳戶+口令”的方式，運行安全客戶端軟件或采用IE瀏覽器，即可與 VPN安全網關建立 VPN隧道，然后就可象在總部局域網內一樣使用各種應用軟件。另外，如果需要提高安全性（由 VPN設備管理員可在 VPN網關上開啟“主機綁定”功能，就可實現(xiàn) USB KEY和遠程接入的 PC機進行硬件綁定,這樣這個 USB KEY將只能在綁定的 PC機上使用。這樣可以提高安全性，使管理員嚴格指定的 PC才能接入總部，避免了下屬單位用戶從其他地方（如：家里）訪問 XX單位的總部內網，避免了信息泄露的威脅。也可以開啟“雙網隔離”功能，讓遠程接入的 PC終端在使用 VPN隧道時（即在和總部建立連網時） ，不能訪問互聯(lián)網中的其他地方（如：sina 等） ，進一步提高安全性。4） 安全網關能夠對 VPN訪問用戶進行分類，分成不同的用戶資源組，如：財務部、人事部、IT 部等（如下圖） 。分類的用戶可在網關上設定不同 VPN組的訪問控制策略，確保不同身份的用戶接入到內網后，只能訪問網管人員允許他能夠訪問的服務器/應用/指定的子網或PC（如：只允許 XX系/部門的用戶只能訪問某些應用系統(tǒng)） 。145） SJW74安全網關具有優(yōu)良的 Qos能力，可以為企業(yè)的關鍵應用（如：ERP、OA、視頻會議系統(tǒng)等）保留帶寬。這樣即使當網絡擁擠時，也能夠保障關鍵應用的暢通和盡量小的延時。ADT安全能夠將訪問控制策略與保留帶寬綁定，并能為這些應用設定優(yōu)先級，共有 8個處理等級可以設置。6） VPN安全網關對外網可以抵御黑客的入侵，并可和 Firewall一起，構成兩道網絡防護屏障。并可和 IDS聯(lián)動，為以后進一步加強總部內網的安全留下發(fā)展的空間。VPN 安全網關具備優(yōu)良的狀態(tài)檢測功能，可以防御外網對內部主機的端口掃描、各種 DoS/DDoS攻擊等惡意攻擊行為。SJW74C 安全網關采用 X86架構，4 個網口均采用 10/100M自適應接口。SJW74A安全網關采用嵌入式架構，2 個網口均采用 10/100M自適應接口。經上海信息安全測評認證中心專業(yè)測評：1） SJW74C 支持 800,000個內網并發(fā)會話數(shù)，5,000 個 VPN并發(fā)用戶；在高強度加密下，IPSec吞吐率為 100Mbps，防火墻吞吐率為 100Mbps 。2） SJW74A支持 200,000個內網并發(fā)會話數(shù)，300 個 VPN并發(fā)用戶；在高強度加密下，IPSec吞吐率為 10Mbps，防火墻吞吐率為 100Mbps 。3）遠程 VPN移動終端的高加密速度高達 30Mbps，所以不會對通過 ADSL上網的速度造成用戶感覺得到的影響，而且加/解密處理對各種應用軟件透明。15在建成了 VPN 網絡以后，不僅可以在 VPN 網絡上傳輸數(shù)據(jù)，而且可以傳輸語音、視頻。安達通 VPN安全網關能夠為 VOIP、視頻和其他需要優(yōu)先的網絡應用，保留帶寬和優(yōu)先處理，這樣當網絡擁擠時，也能夠保障視頻、VOIP 線路的暢通和話音質量。ADT 安全能夠將訪問控制策略與保留帶寬綁定，并能為這些應用設定優(yōu)先級，共有 8個處理等級可以設置。如下圖所示意：部署 VOIP 和視頻系統(tǒng)后的 VPN 網絡示意圖如下：Comment [k2]: 根據(jù)需要可刪除/ 保留16I n t e r n e tS J W 7 4 C 安 全 網 關CDMA/ADSL… …服務器群ADSLX X 單位中心局域網X X 單位下屬機構ADSL移動用戶I P S e c 隧道客戶端軟件X X 單位下屬機構I S P 1P B XS J W 7 4 AP B XV O I P 網關V O I P 網關X X 單位總部X X 單位分部 VPN集中網絡管理方案在本案中，由于采用了較多數(shù)量的 VPN安全網關，用戶需要：1）能夠實時監(jiān)控全網 VPN安全網關的運行狀態(tài)，及時發(fā)現(xiàn)節(jié)點故障；并可對設備的運行信息進行監(jiān)控和審計，自動形成各種報表，以方便管理或進行相關匯報。2）由于采用單機配置軟件 SureConsole對網關只能逐臺進行配置和管理，所以對于大規(guī)模的 VPN設備配置效率和復雜度都太高，所以需要一套 VPN集中網管系統(tǒng)，可以通過該系統(tǒng)方便直觀地描述出用戶的網絡拓撲、聯(lián)網需要和安全要求，系統(tǒng)自動生成 VPN通訊策略，并可自動分發(fā)到網關和客戶端的系統(tǒng)，進而 VPN設備可以自動聯(lián)網；簡化 VPN的部署過程，降低了錯誤配置帶來安全隱患的幾率。17在本項目中，我們通過在中心節(jié)點部署 SureManager安全網管服務器實時監(jiān)控全網安全網關的運行狀態(tài)：健康狀態(tài)、網絡流量以及 VPN隧道信息等，及時發(fā)現(xiàn)和診斷設備出現(xiàn)的故障，并提供多種告警手段；接收來自網關的日志信息，自動對這些海量日志數(shù)據(jù)進行分類和處理，自動形成各種報表。SureManager的部署示意如下圖：I n t e r n e tS J W 7 4 C 安 全 網 關CDMA/ADSL… …ADSLX X 單位中心局域網X X 單位下屬機構ADSL移動用戶( I E 瀏覽器 )I P S e c 隧道S S L 隧道撥號服務器（ I E 瀏覽器 ）X X 單位下屬機構I S P 1S J W 7 4 AX X 單位總部X X 單位分部S u r e M a n a g e r網管服務器SureManager 是部署、管理、監(jiān)控大中規(guī)模 VPN網絡的必備工具，基于 JAVA平臺。通過 SureManager安全網管平臺的集中監(jiān)控功能，可集中監(jiān)控 ADT系列安全網關以及 VPN客戶端。通過可視化界面，直觀描述 VPN網絡拓撲，自動生成和分發(fā) VPN通訊策略；實時監(jiān)控全網安全網關運行狀態(tài)。通過 SureManager安全網管平臺的集中策略管理和自動生成/分發(fā)功能，能夠根據(jù)用戶的網絡拓撲、安全要求和高級安全策略，集中定制 VPN網關的配置數(shù)據(jù)，然后通過策略服務平臺分發(fā)模18塊將配置分發(fā)到安達通 VPN安全網關和移動客戶，達到自動組網的目的。該功能有效幫助工程實施人員以及網絡管理員，提供對規(guī)劃和部署 VPN的支持，并對 VPN組網之后實施有效管理和維護，最大限度的降低 VPN的的運維成本，降低了差錯的可能，提高 VPN的易用性。信息傳輸采用加密和簽名處理，確保信息傳輸安全。SureManager主要具備以下功能：設備管理管理設備基本信息的管理，比如名字、IP、位置等基本信息。VPN 策略管理提供集中策略管理和自動生成/分發(fā)功能，能夠根據(jù)用戶的網絡拓撲、安全要求和高級安全策略，集中定制 VPN的配置數(shù)據(jù)，然后通過策略服務平臺分發(fā)模塊將配置分發(fā)到網關和客戶端，達到自動組網的目的。這樣大大簡化了 VPN的部署過程，也降低了錯誤配置帶來安全隱患的幾率。集中監(jiān)控實時監(jiān)控全網安全網關運行狀態(tài)，在線監(jiān)控設備運行狀態(tài)、網絡流量以及 VPN隧道信息，及時發(fā)現(xiàn)和診斷設備出現(xiàn)的故障，并提供多種告警手段。接收來自網關的日志信息，自動對這些海量日志數(shù)據(jù)進行分類和處理，自動形成各種可視化報表。SureManager安全網管服務器19設備監(jiān)控界面設備監(jiān)控界面Comment [k3]: 根據(jù)需要可刪除/ 保留20VPN策略管理界面 VPN集中認證方案在 VPN使用中，可采用基于“數(shù)字證書”的 VPN節(jié)點認證方式，主要是針對大規(guī)模的 VPN網絡構建（通常采用數(shù)十臺安全網關和上百個移動用戶終端） 。VPN設備間通常有兩種方式進行通訊雙方的身份認證：“預共享密鑰方式”和“數(shù)字證書認證方式” 。所謂“預共享密鑰方式” ，就是在通訊的網關之間預先約定一個共同的身份認證密碼（即：所謂的“預共享密鑰” ） ，通訊的雙方依靠這個共有的密鑰來鑒別對方的身份。只有在身份認證通過后，IKE 的過程才能繼續(xù)進行下去，進而協(xié)商出保護通訊隧道的加密密鑰；否則通訊立即會終止。這就意味著“預共享密鑰”非常重要，一旦泄密，很容易通過冒充，混入用戶的 VPN網絡。而且，為了安全起見，對預共享密鑰的設置最好采用隨機生成，有一定的長度，并且在一個 VPN網絡中，盡量作到通訊的每一對網關間就有一個獨有的預共享密鑰；并且從管理制度上，對預共享密鑰應當專人專門保管，以確保密鑰的安全性。這樣帶來的問題是當一個 VPN網絡規(guī)模很大時，預共享密鑰的數(shù)量勢必大幅度增加。如下圖所示：21　　　　　 基于 “預共享密鑰 ”的通訊方式上圖的 6 個 VPN 設備兩兩相互通訊（連接線代表需要建立的