【正文】 在 XX 集團公司的總部，考慮到數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等重要部分都部署在此，可以部署一臺高性能的 SGW25C VPN 安全網(wǎng)關(guān)。 同時，通過 VPN 安全網(wǎng)關(guān)靈活的訪問控制功能，可以允許安全接入和普通接入并存，即對重要的服務(wù)器，重要的用戶，實施 VPN 安全隧道連接，而對于普通的服務(wù) 器、普通的用戶也可以實現(xiàn)明文的訪問。 在總部可以對所有的用戶進行控制，如果想停止某個分公司或移動用戶對總部子網(wǎng)的訪問，只需要在 CA 中心將其證書廢除即可，體現(xiàn)了統(tǒng)一的管理能力。只有在 IKE 密鑰協(xié)商成功以后， VPN 安全網(wǎng)關(guān)才會把服務(wù)器的返回數(shù)據(jù)通過加密發(fā)送到客戶端；對進來的數(shù)據(jù)進行完整性校驗和解密。 網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證 VPN 系統(tǒng)在網(wǎng)絡(luò)層實現(xiàn)了訪問控制和身份認(rèn)證功能。 為滿足以上二點采用的各種技術(shù)和 VPN 安全加密功能都可以同時發(fā)揮作用， VPN 安全網(wǎng)關(guān)將根據(jù)數(shù)據(jù)包的 IP 地址和端口（五元組）信息自動地對 IP 數(shù)據(jù)包作出相應(yīng)地處理，達(dá)到以上的目的。 2） 內(nèi)網(wǎng)主機眾多，可是公有 IP 地址有限，要訪問互聯(lián)網(wǎng)必須通過地址轉(zhuǎn)換來實現(xiàn)，VPN 安全網(wǎng)關(guān)的地址池映射功能可以滿足提供內(nèi)部網(wǎng)絡(luò)上互聯(lián)網(wǎng)的要求，并且還可以對上網(wǎng)的主機和時間段作出控 制。對于某些少數(shù)在網(wǎng)絡(luò)通信中使用不固定端口的應(yīng)用，還可以通過靜態(tài)地址映射來達(dá)到目的，即將整個服務(wù)器映射成公有地址。下面將就這二點分別闡述。 VPN 系統(tǒng)對原有網(wǎng)絡(luò)的兼容 由于根據(jù)網(wǎng)絡(luò)設(shè)計 VPN 設(shè)備 —— VPN 安全網(wǎng)關(guān)將會串行的連接在總部的路由器之后，XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 13 頁 共 27 頁 并將作為分公司的路由設(shè)備為網(wǎng)絡(luò)提供 路由，因此，在增加了這個設(shè)備后會不會影響原有正常的網(wǎng)絡(luò)訪問，比如 WEB、 MAIL、 DNS 等等是一個必須說明并確認(rèn)的問題。在 XX 集團內(nèi)部，無論是目前已投入使用的多套應(yīng)用系統(tǒng)，還是以后的新系統(tǒng)，不管系統(tǒng)平臺如何，采用的結(jié)構(gòu)是 傳統(tǒng)的 C/S 還是 B/S，都將可以平滑過渡到 VPN 網(wǎng)絡(luò)平臺上使用。 按照本方案建設(shè)的網(wǎng)絡(luò)安全系統(tǒng)，將在不改變應(yīng)用系統(tǒng)結(jié)構(gòu)和用戶的使用習(xí)慣已經(jīng)與正常訪問兼容的基礎(chǔ)之上，為 XX 集團的信息系統(tǒng)提供強有力的安全保障，并在移動接入、分支機構(gòu)網(wǎng)絡(luò)等方面為企業(yè)節(jié)省成本，帶來 直接的效益。 下面為數(shù)據(jù)包的結(jié)構(gòu)： UDPT 封裝 標(biāo)準(zhǔn) IP 報文 IP Tunnel Header UDP Header UDPT header IP virtual header IPSec headers(optional) Pay load XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 12 頁 共 27 頁 UDPT 包在經(jīng)過 ADT 引擎轉(zhuǎn)發(fā)時， ADT 引擎根據(jù) UDPT 包內(nèi)的 UDPT Header 域所指定的路由信息來更換 UDPT 包 IP Tunnel Header 域的源地址和目的地址，從而完成從一個私網(wǎng)成員到另一個私網(wǎng)成員的包轉(zhuǎn)發(fā)，而 UDPT 包內(nèi)部的 IP Virtual Header 的源地址和目的地址始終保持不變，保證了上層應(yīng)用中 IP 地址的完整性，從而實現(xiàn) IPSec、 SIP等多媒體協(xié)議端到端通信的完整性 。 如果需要實現(xiàn)穿越 NAT的安全連接，需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置 ADT引擎（需要在 NAT 設(shè)備上為 ADT 引擎作靜態(tài)地址翻譯）或者在外網(wǎng)（公網(wǎng)）設(shè)置 ADT 引擎。 這樣 A 用戶和B 用戶還是建立不起來 或 SIP 會話連接，還是無法開 IP 視頻會議。而 A 用戶雖然一直在等待 B 用戶的初始化包，但 A 用戶卻永遠(yuǎn)等不到 B 用戶的初始化包，這樣 A 用戶和 B 用戶永遠(yuǎn)都建立不起來 或 SIP 會話連接，也就無法開 IP 視頻會議。 我們假設(shè)在 寬帶城域網(wǎng) 有兩個用戶 A 和 B，其中 A 用戶處在私網(wǎng)內(nèi)部， B 用戶是在Inter 公網(wǎng)上，這兩個用戶都安裝了 IP 視頻會議終端，希望通過 寬帶城域網(wǎng)開個臨時的視頻會議。不但 IPsec 協(xié)議本身不能穿透 NAT 設(shè)備，就是常用的視頻、語音等通訊方式所用的 和 SIP 協(xié)議也不能穿透 NAT。 安達(dá)通公司的 “策略服務(wù)器 ”不但真正解決了全動態(tài)的 VPN 組網(wǎng)方案，還融入了 PKI 技術(shù)，采用基于數(shù)字證書的動態(tài) IKE 進行協(xié)商和認(rèn)證，解決了大規(guī)模 VPN 組網(wǎng)的安全管理和安全認(rèn)證技術(shù)。 Dynamic 管理服務(wù)器由 WEB 服務(wù)器、管理應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器組成。 安達(dá)通公司作為國內(nèi)領(lǐng)先的專業(yè) VPN 廠商，投入了很大的人力、財力，經(jīng)過一段時間的 攻關(guān)和研究，最終以 “策略服務(wù)器” 的方式解決了這個難題。 全動態(tài) VPN 組網(wǎng)方式 IPVPN 的聯(lián)網(wǎng)方式大致有三種： 固定 IP 與固定 IP； 固定 IP 與動態(tài) IP； 動態(tài) IP 與動態(tài) IP。最初 VPN技術(shù)被設(shè)想為 Inte 節(jié)點的連接方式，后來它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù)，例如在一個遠(yuǎn)程的 PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。 提供安全防護措施和訪問控制 :要有抵抗黑客通過 VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對 VPN通道進行訪問控制（ Access Control）。 保證通道的機密性 :提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。 圖 31 VPN 組網(wǎng)示意圖 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 9 頁 共 27 頁 虛擬專網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件： 保證數(shù)據(jù)的真實性 ： 通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（ IP Spoofing）的能力。 IPVPN在使用了一些額外的安全技術(shù)后，解決了這一難題。世界上最大的 IP網(wǎng)絡(luò)就是 Inter。 在眾多的 VPN解決方案中， IPVPN脫穎而出，成為眾多企業(yè)組建 VPN的首選方案。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機構(gòu)就可以互相傳遞信息；同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以連接進入企業(yè)網(wǎng)中。而任何 VPN業(yè)務(wù)都是基于隧道技術(shù)實現(xiàn)的，隧道機制是 VPN實施的關(guān)鍵。在該網(wǎng)中的主機將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于一個網(wǎng)絡(luò)之中。另外，通過網(wǎng)管平臺，可以實現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管理手段。 安達(dá)通公司提供“ PKI 網(wǎng)管平臺”對安全網(wǎng)關(guān)、移動客戶進行統(tǒng)一管理。 XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 7 頁 共 27 頁 易管理性原則 網(wǎng)絡(luò)系統(tǒng)的管理和維護工作也是至關(guān)重要的。 可擴展性原則 網(wǎng)絡(luò)安全互聯(lián)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實施、逐步完善的的過程。因此可靠性是平臺運行的首要保證。它的穩(wěn)定可靠關(guān)系重大，特別是具體業(yè)務(wù)項目。 實用性原則既要做到先進技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性相結(jié)合。 尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“ Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的 Firewall 技術(shù)具有不可比擬的優(yōu)勢，體現(xiàn)在：不僅具有 FireWall 的保護內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用 VPN 技術(shù)，可以解決 Firewall 所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導(dǎo)致可以直接省略“撥號服務(wù)器”），同時可以不受接入數(shù)量限制，這使整個網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。 我公司堅持以高度安全性為基本原則，有效地防止網(wǎng)絡(luò)的非法侵入，保護關(guān)鍵的數(shù)據(jù)不XX 集團 VPN 網(wǎng)絡(luò)建設(shè)解決方案 第 6 頁 共 27 頁 被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。 安全實時監(jiān)控也是屬于主動防御范疇。從技術(shù)角度來看，一個完善的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括以下三個方面： 1. 安全防護 2. 主動安全評估 3. 安全實時監(jiān)控 安全防護就是通過防火墻（在本方案中采用具備 Firewall 功能的安達(dá)通“安全網(wǎng)關(guān)”）或網(wǎng)絡(luò)物理隔離等設(shè)備，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行控制；同時在應(yīng)用、主機上限制非法用戶進入，或者用戶越權(quán)訪問。 網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。我們在進行系統(tǒng)設(shè)計時將提供多種手段保障系統(tǒng)的安全，對相關(guān)的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用數(shù)據(jù)庫提供嚴(yán)密的保護。具體的我們遵循了以下原則： 安全性原則 在公司網(wǎng)絡(luò)運行的各個環(huán)節(jié)中，都應(yīng)該嚴(yán)格注意安 全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個公司業(yè)務(wù)運作的大局。 表 11 VPN與專線比較表 綜上所述，如何快捷 地解決 XX 集團的企業(yè)聯(lián)網(wǎng)問題，如何有效地解決企業(yè)巨額通訊費和專線租用費，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達(dá)到一個全面加強，使網(wǎng)絡(luò)系統(tǒng)的每個部分都不會成為“木桶的最短一塊木板”是本系統(tǒng)方案要實現(xiàn)的目標(biāo)。 升級 依賴于設(shè)備的升級，非常方便。 帶寬 使用各種廉價的寬帶介入方式，如：ADSL， Ether 等，一般在 1~100M。構(gòu)造全球的虛擬專網(wǎng)。 投資成本 設(shè)備一次性投入，不需要支出每月的運營費用，長期看來大幅度節(jié)省支 出。 可擴展性 基于 TCP/IP技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達(dá)，就可以方便擴展。 下面是 VPN與專線的綜合比較： VPN技術(shù) 專線技術(shù) 安全性 非常高，保護數(shù)據(jù)傳輸?shù)耐暾?、保密性、不可抵賴性；安全控制在用戶手? 比較高。 采用 VPN 方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴展性的優(yōu)點，且 VPN 產(chǎn)品特有的具有對 inter上的內(nèi)部移動用戶安全接入，可以徹底消除地域差異，實現(xiàn)可移動用戶的網(wǎng)絡(luò)互連及基于 inter 的可移動安全訪問控制。 DDN、ADSL 等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能 解決大規(guī)模的應(yīng)用和管理問題。由于 XX集團分支機構(gòu)和 聯(lián)網(wǎng)網(wǎng) 點數(shù)目眾多，知名度大，受攻擊的幾率相對較大，一旦通過計算機終端進入公司總部服務(wù)器，后果將不堪設(shè)想。 從經(jīng)濟角度考慮，電信部門提供的專線組網(wǎng)方式費用比較昂貴，由于 XX集團是一