【正文】 VPN 設(shè)備 —— VPN 安全網(wǎng)關(guān)將會串行的連接在總部的路由器之后，XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 13 頁 共 25 頁 并將作為分公司的路由設(shè)備為網(wǎng)絡(luò)提供路由，因此，在增加了這個設(shè)備后會不會影響原有正常的網(wǎng)絡(luò)訪問，比如 WEB、 MAIL、 DNS 等等是一個必須說明并確認的問題。在 XX 集團內(nèi)部，無論是目前已投入使用的多套應(yīng)用系統(tǒng)，還是以后的新系統(tǒng)，不管系統(tǒng)平臺如何，采用的結(jié)構(gòu)是傳統(tǒng)的 C/S 還是 B/S，都將可以平滑過渡到 VPN 網(wǎng)絡(luò)平臺上使用。 按照本方案建設(shè)的網(wǎng)絡(luò)安全系統(tǒng)，將在不改變應(yīng)用系統(tǒng)結(jié)構(gòu)和用戶的使用習慣已經(jīng)與正常訪問兼容的基礎(chǔ)之上，為 XX 集團的信息系統(tǒng)提供強有力的安全保障，并在移動接入、分支機構(gòu)網(wǎng)絡(luò)等方面為企業(yè)節(jié)省成本，帶來直接的效益。 下面為數(shù)據(jù)包的結(jié)構(gòu)： UDPT 封裝 標準 IP 報文 IP Tunnel Header UDP Header UDPT header IP virtual header IPSec headers(optional) Pay load XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 12 頁 共 25 頁 UDPT 包在經(jīng)過 ADT 引擎轉(zhuǎn)發(fā)時， ADT 引擎根據(jù) UDPT 包內(nèi)的 UDPT Header 域所指定的路由信息來更換 UDPT 包 IP Tunnel Header 域的源地址和目的地址，從而完成從一個私網(wǎng)成員到另一個私網(wǎng)成員的包轉(zhuǎn)發(fā)，而 UDPT 包內(nèi)部的 IP Virtual Header 的源地址和目的地址始終保持不變，保證了上層應(yīng)用中 IP 地址的完整性，從而實現(xiàn) IPSec、 SIP 等多媒體協(xié)議端到端通信的完整性 。 如果需要實現(xiàn)穿越 NAT 的安全連接，需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置 ADT 引擎（需要在 NAT 設(shè)備上為 ADT 引擎作靜態(tài)地址翻譯）或者在外網(wǎng)（公網(wǎng)）設(shè)置 ADT 引擎。 這樣 A 用戶和B 用戶還是建立不起來 或 SIP 會話連接，還是無法開 IP 視頻會議。而 A 用戶雖然一直在等待 B 用戶的初始化包，但 A 用戶卻永遠等不到 B 用戶的初始化包，這樣 A 用戶和 B 用戶永遠都建立不起來 或 SIP 會話連接，也就無法開 IP 視頻會議。 我們假設(shè)在 寬帶城域網(wǎng) 有兩個用戶 A 和 B，其中 A 用戶處在私網(wǎng)內(nèi)部， B 用戶是在Inter 公網(wǎng)上，這兩個用戶都 安裝了 IP 視頻會議終端，希望通過 寬帶城域網(wǎng)開個臨時的視頻會議。不但 IPsec 協(xié)議本身不能穿透 NAT 設(shè)備，就是常用的視頻、語音等通訊方式所用的 和 SIP 協(xié)議也不能穿透 NAT。 xxx 公司 的 “策略服務(wù)器 ”不但真正解決了全動態(tài)的 VPN 組網(wǎng)方案，還融入了 PKI 技術(shù)，采用基于數(shù)字證書的動態(tài) IKE 進行協(xié)商和認證，解決了大規(guī)模 VPN 組網(wǎng)的安全管理和安全認證技術(shù)。 Dynamic 管理服務(wù)器由 WEB 服務(wù)器、管理應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器組成。 xxx 公司 作為國內(nèi)領(lǐng)先的專業(yè) VPN 廠商，投入了很大的人力、財力，經(jīng)過一 段時間的攻關(guān)和研究，最終以 “策略服務(wù)器” 的方式解決了這個難題。 全動態(tài) VPN 組網(wǎng)方式 IPVPN 的聯(lián)網(wǎng)方式大致有三種： 固定 IP 與固定 IP； 固定 IP 與動態(tài) IP； 動態(tài) IP 與動態(tài) IP。最初 VPN 技術(shù)被設(shè)想為 Inte 節(jié)點的連接方式，后來它很快被公認為是一種遠端的接入技術(shù)，例如在一個遠程的 PC 或筆記本電腦用戶與他的公司本部之間建立的加密通道。 提供安全防護措施和訪問控制 :要有抵抗黑客通過 VPN 通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對 VPN 通道進行訪問控制（ Access Control）。 保證通道的機密性 :提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。 圖 31 VPN 組網(wǎng)示意圖 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 9 頁 共 25 頁 虛擬專網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件： 保證數(shù)據(jù)的真實性 ： 通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認（ IP Spoofing）的能力。 IPVPN 在使用了一些額外的安全技術(shù)后，解決了這一難題。世界上最大的 IP網(wǎng)絡(luò)就是 Inter。 在眾多的 VPN解決方案中， IPVPN脫穎而出，成為眾多企業(yè)組建 VPN的首選方案。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機構(gòu)就可以互相傳遞信息；同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾 信息網(wǎng)上，就可以連接進入企業(yè)網(wǎng)中。而任何 VPN 業(yè)務(wù)都是基于隧道技術(shù)實現(xiàn)的，隧道機制是 VPN 實施的關(guān)鍵。在該網(wǎng)中的主機將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于一個網(wǎng)絡(luò)之中。另外，通過網(wǎng)管平臺，可以實現(xiàn)遠程安全管理和本地管理等多種管理手段。 xxx 公司 提供“ PKI 網(wǎng)管平臺”對安全網(wǎng)關(guān)、移動客戶進行統(tǒng)一管理。 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 7 頁 共 25 頁 易管理 性原則 網(wǎng)絡(luò)系統(tǒng)的管理和維護工作也是至關(guān)重要的。 可擴展性原則 網(wǎng)絡(luò)安全互聯(lián)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實施、逐步完善的的過程。因此可靠性是平臺運行的首要保證。它的穩(wěn)定可靠關(guān)系重大，特別是具體業(yè)務(wù)項目。 實用性原則既要做到先進技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性相結(jié)合。 尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“ Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的 Firewall 技術(shù)具有不可比擬的優(yōu)勢，體現(xiàn)在：不僅具有 FireWall 的保護內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用 VPN 技術(shù)，可以解決 Firewall 所不能解決的外網(wǎng)用戶的安全接入問題 （在本方案中，導(dǎo)致可以直接省略“撥號服務(wù)器”），同時可以不受接入數(shù)量限制，這使整個網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。 我公司堅持以高度安全性為基本原則，有效地防止網(wǎng)絡(luò)的非 法侵入，保護關(guān)鍵的數(shù)據(jù)不XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 6 頁 共 25 頁 被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。 安全實時監(jiān)控也是屬于主動防御范疇。從技術(shù)角度來看，一個完善的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括以下三個方面： 1. 安全防護 2. 主動安全評估 3. 安全實時監(jiān)控 安全防護就是通過防火墻（在本方案中采用具備 Firewall 功能的安達通 “安全網(wǎng)關(guān)”）或網(wǎng)絡(luò)物理隔離等設(shè)備，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行控制；同時在應(yīng)用、主機上限制非法用戶進入，或者用戶越權(quán)訪問。 網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。我們在進行系統(tǒng)設(shè)計 時將提供多種手段保障系統(tǒng)的安全，對相關(guān)的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用數(shù)據(jù)庫提供嚴密的保護。具體的我們遵循了以下原則： 安全性原則 在公司網(wǎng)絡(luò)運行的各個環(huán)節(jié)中，都應(yīng)該嚴格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個公司業(yè)務(wù)運作的大局。 表 11 VPN 與專線比較表 綜上所述，如何快捷地解決 XX 集團的企業(yè)聯(lián)網(wǎng)問題，如何有效地解決企業(yè)巨額通訊費和專線租用費，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達到一個全面 加強，使網(wǎng)絡(luò)系統(tǒng)的每個部分都不會成為“木桶的最短一塊木板”是本系統(tǒng)方案要實現(xiàn)的目標。 升級 依賴于設(shè)備的升級，非常方便。 帶寬 使用各種廉價的寬帶介入方式，如：ADSL， Ether 等，一般在 1~100M。構(gòu)造全球的虛擬專網(wǎng)。 投資成本 設(shè)備一次性投入，不需要支出每月的運營費用，長期看來大幅度節(jié)省支出。 可擴展性 基于 TCP/IP 技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達，就可以方便擴展。 下面是 VPN 與專線的綜合比較： VPN 技術(shù) 專線技術(shù) 安全性 非常高，保護數(shù)據(jù)傳輸?shù)耐暾?、保密性、?可抵賴性；安全控制在用戶手里 比較高。 采用 VPN 方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴展性的優(yōu)點，且 VPN 產(chǎn)品特有的具有對 inter 上的內(nèi)部移動用戶安全接入，可以徹底消除地域差異，實現(xiàn)可移動用戶的網(wǎng)絡(luò)互連及基于 inter 的可移動安全訪問控制。 DDN、ADSL 等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應(yīng)用和管理問題。由于 XX 集團分支機構(gòu)和聯(lián)網(wǎng)網(wǎng)點數(shù)目眾多，知名度大，受攻 擊的幾率相對較大，一旦通過計算機終端進入公司總部服務(wù)器，后果將不堪設(shè)想。 從 經(jīng)濟角度考慮，電信部門提供的專線組網(wǎng)方式費用比較昂貴，由于 XX 集團是一個快速發(fā)展的現(xiàn)代企業(yè)， 先后在北京、廣州、上海、 南京、武漢、 西安 以及 省內(nèi)主要城市設(shè)立了多家 分支機構(gòu)，同時擁有 多家緊密型的 合作伙伴或 分銷客戶網(wǎng)絡(luò) ，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給 XX集團帶來很大的壓力。 XX 集團現(xiàn)在全國有 26 處分支機構(gòu)，大多通過撥號或者寬帶接入公司總部。在網(wǎng)絡(luò)的接口處部署了防火墻提供內(nèi)網(wǎng)訪問Inter 的路由并保證內(nèi)部網(wǎng)絡(luò)的安全。 目前網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀分析 XX 集團總部設(shè)在杭州， 企業(yè)網(wǎng) Intra 是以金頂苑總部大樓為中心，通過幀中繼及網(wǎng)通的 VPN 與余杭一廠、八廠、杭州二廠區(qū)連接的企業(yè)廣域網(wǎng)，其余各公司、各地辦事處則通過撥號上網(wǎng)