【正文】 借助這四類產(chǎn)品，并將其與 PKI 技術(shù)有機(jī)結(jié)合，能夠構(gòu)造較為全面的網(wǎng)絡(luò)安全解決方案。 3）WiseKEY 系列；主要作為數(shù)字證書的客戶端載體和安全終端。 鑒于網(wǎng)絡(luò)安全發(fā)展要求和我們積累的產(chǎn)品研發(fā)基礎(chǔ)，我們會(huì)將主要精力集中在以下幾個(gè)方面： 1）安全網(wǎng)關(guān)產(chǎn)品系列（包含遠(yuǎn)程接入的客戶端軟件）；主要用于解決移動(dòng) IP 和固定IP 的網(wǎng)絡(luò)安全通信和安全防護(hù)問題。 目前已經(jīng)完成了基于“數(shù)字證書”的安全網(wǎng)關(guān) SGW 系列及其 Windows 安全客戶端軟件、單 /雙密鑰體系的 CA 系統(tǒng) ADT CA、證書載體 WiseKEY 系列、桌面安全套件 WiseWare 等產(chǎn)品的研發(fā)以 及產(chǎn)品化工作。 公司 的經(jīng)營范圍 : 信息安全領(lǐng)域的軟、硬件產(chǎn)品的研究、 開發(fā)、生產(chǎn)、銷售及相關(guān)的安全服務(wù)和安全系統(tǒng)集成。 以上各項(xiàng)服務(wù)的詳細(xì)描述參見 xxx公司 《技術(shù)支持服務(wù)規(guī)范》。 ， xxx 公司 將派項(xiàng)目開發(fā)人員對貴單位技術(shù)人員 和操作人員進(jìn)行現(xiàn)場實(shí)際操作培訓(xùn)。 XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 22 頁 共 25 頁 具體內(nèi)容： 、使用、維護(hù)、常見故障處理以及產(chǎn)品設(shè)備的特性，通過實(shí)際安裝中的培訓(xùn)，增強(qiáng)系統(tǒng)管理的實(shí)際操作水平。 安裝培訓(xùn) 安裝培訓(xùn)在安裝的過程中進(jìn)行，最后安裝調(diào)試完畢后，做總結(jié)培訓(xùn)。 對系統(tǒng)管理員進(jìn)行培訓(xùn)，使其熟悉系統(tǒng)的使用和維護(hù)，以利于以后的系統(tǒng)管理工作。通過對本網(wǎng)絡(luò)各種設(shè)備的性能、結(jié)構(gòu)、原理、維護(hù)管理技術(shù)和實(shí)際操作的講解，能使用戶掌握設(shè)備配置、日常維護(hù)的方法和技巧，使用戶獨(dú)立進(jìn)行操作、糾錯(cuò)處理和設(shè)備測試，以保證網(wǎng)絡(luò)開通后的正常安全運(yùn)行。 標(biāo)準(zhǔn)支持服務(wù) 從系統(tǒng)開始正式運(yùn)行， xxx 公司 將提供標(biāo)準(zhǔn)支持服務(wù)。因此定期派系統(tǒng)工程師上門或者遠(yuǎn)程拔號接入對整個(gè)系統(tǒng)的資源進(jìn)行測試、維護(hù)和優(yōu)化（包括對系統(tǒng)軟硬件設(shè)備的清理、網(wǎng) 絡(luò)性能的維護(hù)、優(yōu)化、性能調(diào)試等等維護(hù)服務(wù)，以使系統(tǒng)能XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 21 頁 共 25 頁 夠長久、可靠安全的運(yùn)行。 后期維護(hù)服務(wù) 系統(tǒng)錯(cuò)誤有可能在長時(shí)間的運(yùn)行之后才能暴露出來，才能更容易的對問題進(jìn)行孤立和查找。 保修維護(hù)服務(wù) 對在保修期內(nèi)的軟硬件產(chǎn)品設(shè)備提供保修服務(wù)（火災(zāi)、地震等人力 不可抗拒的因素造成的設(shè)備損壞除外）： 提供 7*24 維修服務(wù)，提供 7*24 小時(shí)響應(yīng)的聯(lián)系電話及聯(lián)系人，提供遠(yuǎn)程訪問維護(hù)功能，隨時(shí)受理電話咨詢，一旦有故障能隨時(shí)聯(lián)系到人。 配件服務(wù) 提供配件服務(wù)，使故障設(shè)備得到維護(hù)。建立合理的項(xiàng)目建設(shè)機(jī)制，保證工程的安裝服務(wù)質(zhì)量。 XX 集團(tuán) VPN 建設(shè)網(wǎng)絡(luò)拓?fù)鋱D如下： 圖 34 XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)示意圖 防火墻 路由器 同步 modem 主交換機(jī) 交換機(jī) 交換機(jī) 交換機(jī) 同步 modem 同步 modem 余杭一廠（老余杭） 余杭八廠（老余杭） 杭州二廠（汽車北站附近） 全國 26 處辦事處（除西藏）的工作站 撥號或?qū)拵暇W(wǎng)連接 Inter 光纖專線 Inter 路由器 幀中繼專線 網(wǎng)通 VPN骨干網(wǎng) 路由器 路由器 路由器 路由器 光纖收發(fā)器 出差用戶 安全客戶端 VPN 安全網(wǎng)關(guān) VPN 安全網(wǎng)關(guān) VPN 安全網(wǎng)關(guān) XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 20 頁 共 25 頁 第四章 技術(shù) 支持服務(wù) xxx 公司 的技術(shù)服務(wù)部門將提供優(yōu)質(zhì)服務(wù)以保證整個(gè)系統(tǒng)運(yùn)行的穩(wěn)定、高效和安全。 ADT SGW 25B、 SGW 25A（兩款硬件設(shè)備在密碼加速引擎上和性能上略有區(qū)別，詳細(xì)見參數(shù)比較表）具有 2 個(gè)網(wǎng)絡(luò)接口，一個(gè)用于內(nèi)網(wǎng)（防火墻模塊可以有效做到安全隔離以及訪問控制機(jī)制，安全隔離機(jī)制保證了公司網(wǎng)絡(luò)與 Inter 等公共網(wǎng)絡(luò)的安全連接，訪問控制機(jī)制可以有效 的控制各個(gè)分支機(jī)構(gòu)的安全接入問題），一個(gè)可通過 ADSL Modem接入 Inter（由于該安全網(wǎng)關(guān)具有 PPOE 模塊，節(jié)省了專用的撥號服務(wù)器）。 各地駐外機(jī)構(gòu)設(shè)計(jì)方案 由于各地駐外機(jī)構(gòu)需要與杭州總部進(jìn)行大量的信息交換，并且隨著 ERP 等應(yīng)用系統(tǒng)的應(yīng)用加深，物流、資金流在企業(yè) Intra 網(wǎng)上的頻繁傳輸，為了保證總部與分支機(jī)構(gòu)、分支機(jī)構(gòu)與分支機(jī)構(gòu)之間進(jìn)行安全的信息傳輸，故此，我們可以根據(jù)各分支機(jī)構(gòu)的不同情況，分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機(jī)構(gòu)。只有需要走 VPN 線路的數(shù)據(jù)包或者需要加密的數(shù)據(jù)包才可以通過安達(dá)通 VPN 網(wǎng)關(guān)到達(dá) XX 集團(tuán)網(wǎng)絡(luò)內(nèi)部，對于非法的數(shù)據(jù)包則可以利用 VPN 安全策略將其進(jìn)行過濾和處理。 XX 防火墻 與安達(dá)通 SGW254 型 VPN 安全網(wǎng)關(guān)采用并聯(lián)方案。 目前， XX 集團(tuán)總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)經(jīng)由 XX 防火墻直接接入 Inter。隨著企業(yè)信息化程度的不斷加深，各種應(yīng)用系統(tǒng)會(huì)逐步得到應(yīng)用。 針對 XX 集團(tuán)的實(shí)際需求和具體應(yīng)用，我們推薦此方案采用 xxx 公司 的 SGW 25CSGW 25B、 SGW 25A 硬件產(chǎn)品以及 Sure Client 軟 件網(wǎng)關(guān)相結(jié)合的產(chǎn)品解決方案。另外， xxx 公司 SGW 網(wǎng)關(guān)系列具有 PPOE 撥入模塊，支持 ADSL撥號功能，可以節(jié)省專用的撥號服務(wù)器，節(jié)省設(shè)備投入。先行的專線 /ATM方式，從經(jīng)濟(jì)上、管理上、安全上、經(jīng)營上前面已經(jīng)論證不太適合 XX 集團(tuán)的組網(wǎng)需求，利用 Modem 撥號方式、 ISDN 方式，針對 XX 集團(tuán)這樣的大型企業(yè)來說，從速度上、性能上、經(jīng)濟(jì)上、管理上均不太適合 XX 集團(tuán)目前發(fā)展的需要，不過，針對目前小型的辦事處以及聯(lián)網(wǎng)終端不太多的情況下，可以采用此種 VPN 組網(wǎng)方式。 故此，我們建議 XX 集團(tuán)目前的 Modem、 ADSL、寬帶等聯(lián)網(wǎng)方式改為在 VPN 組網(wǎng)方案。 另外， xxx 公司 的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢――解決了目前國際上的VPN 技術(shù)的難題――非固定 IP 間的 VPN 通訊連接（如：通訊雙方均采用 ADSL 進(jìn)行連接）。 安全網(wǎng)關(guān)是一種結(jié)合防火墻、 VPN 技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測系統(tǒng)（ IDS）互動(dòng)的功能；隨著系統(tǒng)的升級， ADT 安全網(wǎng)關(guān) SGW 系 列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的 入侵檢測功能來增強(qiáng)“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。目前已經(jīng)擁有“ PKI 安全網(wǎng)關(guān) SGW 系列、安全網(wǎng)關(guān)客戶端軟件、 PKI 網(wǎng)管平臺、單 /雙密鑰體系的企業(yè) CA 系統(tǒng)、數(shù)字證書載體 SureID 系列、證書中間件”等產(chǎn)品。 XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 16 頁 共 25 頁 產(chǎn)品選型 上海安達(dá)通信息安全技術(shù)有限公司（簡稱 ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng) 的網(wǎng)絡(luò)信息傳輸和管理的安全問題。如果增加一個(gè)移動(dòng)用戶，只需要配發(fā)一個(gè) Sure ID 即可。 除此之外， VPN 安全網(wǎng)關(guān)本身具備靜態(tài)路由功能，在分公司使用 VPN 安全網(wǎng)關(guān)，可以代替路由器實(shí)現(xiàn)路由和地址映射功能，因此可以為每個(gè)分公司節(jié) 省一臺路由器， VPN 安全網(wǎng)關(guān)的平均工作無故障時(shí)間為 15000 小時(shí)，可以達(dá)到一般路由器的可靠性，這樣也大大節(jié)省了企業(yè)的投入成本，帶來了效益。這樣就相當(dāng)于打長途電話，如果需要傳輸?shù)臄?shù)據(jù)稍多一些，其電話費(fèi)開銷是非常大的，本身傳輸速度慢不說，而且有接入數(shù)量的限制，取決 于總部端的 MODEM 的數(shù)量。并且在安全性上，也得到了提高，因?yàn)榧词故抢瓕＞€，也需要通過網(wǎng)絡(luò)運(yùn)營商，而采用 VPN 方案，則是真正的將安全掌握在了自己手中。 為企業(yè)節(jié)省了費(fèi)用開支 采用了 VPN 系統(tǒng)，相當(dāng)于在總部和各地分公司之間建立了安全的專用網(wǎng)絡(luò)，就可以充分利用公共網(wǎng)絡(luò)的資源，在上面運(yùn) 行包含企業(yè)內(nèi)部重要信息的應(yīng)用系統(tǒng)。 網(wǎng)管針對不同用戶可以配置不同的權(quán)限，即可以訪問的服務(wù)器不同，網(wǎng)絡(luò)不同等等。 對于小規(guī)模的辦事處出差員工和公司領(lǐng)導(dǎo)，使用安全客戶端軟件。 在各地的分公司，各使用一臺 SGW25B VPN 安全網(wǎng)關(guān)，以保證其整個(gè)子網(wǎng)能安全接入到總部網(wǎng)絡(luò)，并提供其對 Inter 訪問和控制。 在 XX 集團(tuán)公司的總部，考慮到數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等重要部分都部署在此，可以部署一臺高性能的 SGW25C VPN 安全網(wǎng)關(guān)。 同時(shí)，通過 VPN 安全網(wǎng)關(guān)靈活的訪問控制功能，可以允許安全接入和普通接入并存，即對重要的服務(wù)器，重要的用戶，實(shí)施 VPN 安全隧道連接，而對于普通的服務(wù)器、普通的用戶也可以實(shí)現(xiàn)明文的訪問。 在總部可以對所有的用戶進(jìn)行控制，如果想停止某個(gè)分公司 或移動(dòng)用戶對總部子網(wǎng)的訪問，只需要在 CA 中心將其證書廢除即可，體現(xiàn)了統(tǒng)一的管理能力。只有在 IKE 密鑰協(xié)商成功以后， VPN 安全網(wǎng)關(guān)才會(huì)把服務(wù)器的返回?cái)?shù)據(jù)通過加密發(fā)送到客戶端；對進(jìn)來的數(shù)據(jù)進(jìn)行完整性校驗(yàn)和解密。 網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證 VPN 系統(tǒng)在網(wǎng)絡(luò)層實(shí)現(xiàn)了訪問控制和身份認(rèn)證功能。 為滿足以上二點(diǎn)采用的各種技術(shù)和 VPN 安全加密功能都可以同時(shí)發(fā)揮作用， VPN 安全網(wǎng)關(guān)將根據(jù)數(shù)據(jù)包的 IP 地址和端口（五元組）信息自動(dòng)地對 IP 數(shù)據(jù)包作出相應(yīng)地處理，達(dá)到以上的目的。 2） 內(nèi)網(wǎng)主機(jī)眾多，可是公有 IP 地址有限，要訪問互聯(lián)網(wǎng)必須通過地址轉(zhuǎn)換來實(shí)現(xiàn)，VPN 安全網(wǎng)關(guān)的地址池映射功能可以滿足提供內(nèi)部網(wǎng)絡(luò)上互聯(lián)網(wǎng)的要求，并且還可以對上網(wǎng)的主機(jī)和時(shí)間段作出控制。對于某些少數(shù)在網(wǎng)絡(luò)通信中使用不固定端口的應(yīng)用，還可以通過靜態(tài)地址映射來達(dá)到目的，即將整個(gè)服務(wù)器映射成公有地址。下面將就這二點(diǎn)分別闡述。 VPN 系統(tǒng)對原有網(wǎng)絡(luò)的兼容 由于根據(jù)網(wǎng)絡(luò)設(shè)計(jì)