XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)解決方案

1、XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)解決方案目錄 TOC o 1-5 h z 第一章 項(xiàng)目情況介紹 1項(xiàng)目背景 1目前網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀分析 2第二章 設(shè)計(jì)原則和設(shè)計(jì)思想 7安全性原則 7實(shí)用性原則 8可靠性原則 9可擴(kuò)展性原則 9易管理性原則 9第三章 XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)方案 11VPN 技術(shù)簡(jiǎn)介 1.1系統(tǒng)設(shè)計(jì)功能分析 1.6VPN 系統(tǒng)對(duì)原有系統(tǒng)的兼容 1.7VPN 系統(tǒng)對(duì)原有網(wǎng)絡(luò)的兼容 1.8網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證 1.9因地制宜的部署原則 2.0為企業(yè)節(jié)省了費(fèi)用開支 2.1系統(tǒng)的易擴(kuò)展性 2.23.3 產(chǎn)品選型 2.2網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署 2.6第四章 技術(shù)支持服務(wù) 29技術(shù)支持與服

2、務(wù) 2.9用戶培訓(xùn) 3.1第五章 安達(dá)通公司簡(jiǎn)介 33第一章 項(xiàng)目情況介紹項(xiàng)目背景以 Internet 網(wǎng)為主體的信息高速公路的迅猛發(fā)展，正以前所未有的速度和 能力改變著人們的生活和工作方式，我們真正處于一個(gè)“信息爆炸”的時(shí)代。一 方面，In ternet網(wǎng)使得人們能夠跨越時(shí)空的限制， 為學(xué)習(xí)、生活和工作帶來空前 的便利；另一方面，面對(duì)信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息 迷向”的現(xiàn)象。特別是， Internet 網(wǎng)是一個(gè)無國(guó)界的虛擬信息社會(huì)，現(xiàn)實(shí)社會(huì)中 的各種問題都會(huì)在 Internet 網(wǎng)上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。 網(wǎng)絡(luò)的開放性， 互連性， 共享性程度的擴(kuò)大，

3、使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也 越來越大，網(wǎng)絡(luò)安全問題變得越來越重要。目前，隨著通訊技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的應(yīng)用普及和加深，許多員工 的辦公不再僅僅局限于同一物理位置上的辦公， 即使在辦事處、 分支機(jī)構(gòu)、 出差 在外、在家中，均可像在公司總部辦公一樣協(xié)同工作。 尤其是出現(xiàn)自然因素 （如， 目前的“非典”原因）而導(dǎo)致員工需要遠(yuǎn)程協(xié)同辦公，這就需要建立一個(gè)安全、 快捷、經(jīng)濟(jì)、方便的信息交互平臺(tái)， 來傳輸遠(yuǎn)程辦公員工與公司之間的信息交流。XX 集團(tuán)作為國(guó)內(nèi)知名企業(yè)，信息的敏感性決定了它們歷來都是各種居心叵 測(cè)者的重要關(guān)注對(duì)象， 甚至也是內(nèi)部員工十分感興趣的內(nèi)容， 這提醒我們應(yīng)該更 加注重網(wǎng)絡(luò)安全

4、的建設(shè)。 值得稱道的是， 公司領(lǐng)導(dǎo)已經(jīng)對(duì)此引起了高度重視， 并 計(jì)劃逐步進(jìn)行卓有成效的防護(hù)工作。 在這方面，合理借鑒市場(chǎng)先進(jìn)經(jīng)驗(yàn)與理念十 分重要。XX 集團(tuán)信息系統(tǒng)當(dāng)前面臨的首要問題和最大隱患是：邊界安全防御與鏈路傳輸?shù)募用堋＿@也正是本方案中力求加以明確的地方。 我們將通過認(rèn)真和充分的 系統(tǒng)分析將這些問題揭示出來并提供解決方法的建議。1.2目前網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀分析XX集團(tuán)總部設(shè)在杭州，企業(yè)網(wǎng)Intranet是以金頂苑總部大樓為中心，通過 幀中繼及網(wǎng)通的VPN與余杭一廠、八廠、杭州二廠區(qū)連接的企業(yè)廣域網(wǎng)，其余 各公司、各地辦事處則通過撥號(hào)上網(wǎng)或?qū)拵暇W(wǎng)與總部服務(wù)器連接，已經(jīng)初步建立起一套信息交互的

5、網(wǎng)絡(luò)體系?？偛烤W(wǎng)絡(luò)通過電信的光纖接入互聯(lián)網(wǎng)。在網(wǎng)絡(luò)的接口處部署了防火墻提供內(nèi) 網(wǎng)訪問In ternet的路由并保證內(nèi)部網(wǎng)絡(luò)的安全。目前，在網(wǎng)絡(luò)上運(yùn)行的0A等應(yīng)用系統(tǒng)。XX集團(tuán)現(xiàn)在全國(guó)有26處分支機(jī)構(gòu)，大多通過撥號(hào)或者寬帶接入公司總部?？偛磕壳熬W(wǎng)絡(luò)拓?fù)鋱D如下：全國(guó)26處辦事處（除西藏）的工作站防火墻撥號(hào)或?qū)拵暇W(wǎng)連接同步十IJ光纖收發(fā)器路由器modemInternet1y幀中繼專線網(wǎng)通VPN骨干網(wǎng)圖 1-1 XX 集團(tuán)網(wǎng)絡(luò)拓?fù)涫疽鈭D隨著公司業(yè)務(wù)的迅速發(fā)展，各地分公司、辦事處也相繼多了起來，信息交互 也越來越頻繁， 隨著企業(yè)應(yīng)用系統(tǒng)的實(shí)施， 重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也也 來越多，安全性要求也越

6、來越重要，目前僅僅依靠Modem 撥號(hào)、ADSL以及專 線的組網(wǎng)模式已經(jīng)越來越不適應(yīng) XX 集團(tuán)對(duì)信息傳輸平臺(tái)的要求了。從經(jīng)濟(jì)角度考慮，電信部門提供的專線組網(wǎng)方式費(fèi)用比較昂貴，由于 XX 集 團(tuán)是一個(gè)快速發(fā)展的現(xiàn)代企業(yè)，先后在北京、廣州、上海、南京、武漢、西安以 及省內(nèi)主要城市設(shè)立了多家分支機(jī)構(gòu)， 同時(shí)擁有多家緊密型的合作伙伴或分銷客 戶網(wǎng)絡(luò)，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點(diǎn)數(shù)目比較多， 分部地區(qū)比較廣， 信息交互比較頻繁， 每月的巨額通訊費(fèi)用和專線租用費(fèi)會(huì)給 XX 集團(tuán)帶來很大的壓力。從安全方面考慮，電信部門提供的幀中繼、 MPLS VPN、 DDN 、 ADSL 等 傳輸平臺(tái)沒有經(jīng)過加密處理， 重要數(shù)據(jù)

7、和信息均是以明文在網(wǎng)上傳輸， 如果別有 用心的人利用 Sniffer 等網(wǎng)絡(luò)監(jiān)聽分析工具， 極易篡改、竊取甚至破壞企業(yè)數(shù)據(jù)， 給企業(yè)造成不可估量的損失； 由于傳輸平臺(tái)沒有認(rèn)證功能， 企業(yè)內(nèi)部員工的越權(quán) 訪問、誤操作、有意或無意的泄密、甚至是少數(shù)員工惡意的破壞，都會(huì)對(duì)企業(yè)的 信息和數(shù)據(jù)造成很大的威脅； 由于傳輸平臺(tái)沒有訪問控制和安全隔離的功能， 給 外部非法人員提供了入侵的機(jī)會(huì)， 非法人員可以通過專用的黑客程序 （此類工具 在In ternet上可以免費(fèi)下載），或者盜取授權(quán)員工的訪問權(quán)限，進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部，讓“網(wǎng)絡(luò)巨人折戟沉沙，使系統(tǒng)安全潰于蟻穴的”。由于XX集團(tuán)分支 機(jī)構(gòu)和聯(lián)網(wǎng)網(wǎng)點(diǎn)數(shù)目眾多

8、，知名度大，受攻擊的幾率相對(duì)較大，一旦通過計(jì)算機(jī) 終端進(jìn)入公司總部服務(wù)器，后果將不堪設(shè)想。從管理方面考慮，XX集團(tuán)處于高速發(fā)展階段，擁有的分支機(jī)構(gòu)和計(jì)算機(jī)終 端較多，面臨最緊迫的問題就是信息的匯總、 分支機(jī)構(gòu)的信息交互以及計(jì)算機(jī)終 端的集中管理。DDN、ADSL等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強(qiáng) 大的管理平臺(tái)，也不可能解決大規(guī)模的應(yīng)用和管理問題。從經(jīng)營(yíng)角度考慮，XX集團(tuán)需要一個(gè)實(shí)時(shí)的、安全的、高速的、快捷的、穩(wěn) 定的信息交互平臺(tái)，來滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提 高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)，適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的 良好形象。采用VPN方式組網(wǎng)具有

9、投資成本低、高帶寬、高可靠性、高安全性以及靈 活的可擴(kuò)展性的優(yōu)點(diǎn)，且VPN產(chǎn)品特有的具有對(duì)in ternet上的內(nèi)部移動(dòng)用戶安 全接入，可以徹底消除地域差異，實(shí)現(xiàn)可移動(dòng)用戶的網(wǎng)絡(luò)互連及基于in ternet的可移動(dòng)安全訪問控制。因此，采用 VPN方式組網(wǎng)對(duì)XX集團(tuán)來說是一種現(xiàn)實(shí) 可行的，完全可以滿足公司員工在辦事處、在外出差、在家秉承辦公的業(yè)務(wù)需要。下面是VPN與專線的綜合比較：VPN技術(shù)專線技術(shù)安全性非常高，保護(hù)數(shù)據(jù)傳輸?shù)耐暾?性、保密性、不可抵賴性；安比較咼。但是，安全是建立在對(duì)電信部門相信的基礎(chǔ)上，對(duì)電信運(yùn)營(yíng)全控制在用戶手里商，無任何安全可言?？蓴U(kuò)展性基于TCP/IP技術(shù)，接入方式靈依靠

10、當(dāng)?shù)剡\(yùn)營(yíng)商的支持，擴(kuò)展很不活，只要網(wǎng)絡(luò)可達(dá)，就可以方方便。便擴(kuò)展。投資成本設(shè)備一次性投入，不需要支出專線費(fèi)用很高，需要每月支付昂貴每月的運(yùn)營(yíng)費(fèi)用，長(zhǎng)期看來大的專線租用費(fèi)用，而且在初期要一幅度節(jié)省支出。次性投入路由器的費(fèi)用對(duì)遠(yuǎn)程用能對(duì)in ternet上的內(nèi)部移動(dòng)用只能聯(lián)通專線拉到的網(wǎng)絡(luò)，不支持戶的支持戶安全接入，徹底消除地域差離開局域網(wǎng)的內(nèi)部用戶接入專網(wǎng)。異。構(gòu)造全球的虛擬專網(wǎng)。帶寬使用各種廉價(jià)的寬帶介入方由于價(jià)格昂貴，一般租用的帶寬都式，如：ADSL，Ethernet 等，比較窄（一般不超過2M ）。一般在 1100M。升級(jí)依賴于設(shè)備的升級(jí)，非常方便。依賴于電信部門。表1-1 VPN 與專線

11、比較表綜上所述，如何快捷地解決XX集團(tuán)的企業(yè)聯(lián)網(wǎng)問題，如何有效地解決企業(yè) 巨額通訊費(fèi)和專線租用費(fèi)，如何很好地解決“信息的共享和信息的安全問題”是 本方案重點(diǎn)討論要解決的問題，使整個(gè)網(wǎng)絡(luò)的互聯(lián)性得到極大提高， 使整個(gè)網(wǎng)絡(luò) 的安全性達(dá)到一個(gè)全面加強(qiáng)，使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一 塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo) 第二章 設(shè)計(jì)原則和設(shè)計(jì)思想系統(tǒng)的總體設(shè)計(jì)思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性， 著力于“實(shí)用 性、高起點(diǎn)、前瞻性、擴(kuò)展性” 。具體的我們遵循了以下原則：安全性原則在公司網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中， 都應(yīng)該嚴(yán)格注意安全的問題， 防止其中的任 一過程存在著安全的漏洞，從而影響整個(gè)公

12、司業(yè)務(wù)運(yùn)作的大局。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范， 在該方案中， 安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。 我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供 多種手段保障系統(tǒng)的安全， 對(duì)相關(guān)的網(wǎng)絡(luò)設(shè)備、 主機(jī)系統(tǒng)、 應(yīng)用數(shù)據(jù)庫(kù)提供嚴(yán)密 的保護(hù)。同時(shí)，采用國(guó)際上最新的主流 VPN 技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的 互通性和易用性，同時(shí)可以為用戶盡可能地降低系統(tǒng)投入成本，實(shí)現(xiàn)高效益。網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。 一方面需要好的安全技術(shù)產(chǎn)品， 好 的安全策略； 另一方面，更為重要的是要有完善的安全管理制度。 從技術(shù)角度來 看，一個(gè)完善的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括以下三個(gè)方面：安全防護(hù)主動(dòng)安全評(píng)估

13、安全實(shí)時(shí)監(jiān)控安全防護(hù)就是通過防火墻（在本方案中采用具備 Firewall 功能的安達(dá)通“安 全網(wǎng)關(guān)”）或網(wǎng)絡(luò)物理隔離等設(shè)備， 對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行控制； 同時(shí)在應(yīng)用、 主機(jī)上限制非法用戶進(jìn)入，或者用戶越權(quán)訪問主動(dòng)安全評(píng)估是基于安全防護(hù)的基礎(chǔ)上進(jìn)行的，在通過了安全防護(hù)之后，可 以借助安全工具或者是有經(jīng)驗(yàn)的安全專家來進(jìn)行安全評(píng)估。安全實(shí)時(shí)監(jiān)控也是屬于主動(dòng)防御范疇。 指在我們對(duì)網(wǎng)絡(luò)上的各種行為進(jìn)行監(jiān) 控，例如黑客攻擊一個(gè)系統(tǒng)之前， 往往需要了解這個(gè)系統(tǒng)的結(jié)構(gòu)或者漏洞， 他們 往往會(huì)利用網(wǎng)絡(luò)掃描工具對(duì)某個(gè)網(wǎng)段或者主機(jī)進(jìn)行掃描， 實(shí)時(shí)監(jiān)控系統(tǒng)能夠檢測(cè) 到這類行為。我公司堅(jiān)持以高度安全性為基本原則，有效

14、地防止網(wǎng)絡(luò)的非法侵入，保護(hù)關(guān) 鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。實(shí)用性原則系統(tǒng)在設(shè)計(jì)上一方面將滿足雙向的數(shù)據(jù)傳送、實(shí)時(shí)處理的要求；另一方面， 又采用國(guó)際上最先進(jìn)的技術(shù)，使系統(tǒng)完成后，保持一定時(shí)期的領(lǐng)先地位。尤其是采用了目前國(guó)際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS ” 技術(shù)的充分糅合， 較單純的 Firewall 技術(shù)具有不可比擬的優(yōu)勢(shì)， 體現(xiàn)在：不僅具 有 FireWall 的保護(hù)內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用 VPN 技術(shù)，可以解決 Firewall 所不能解決的外網(wǎng)用戶的安全接入問題 （在本方案中，導(dǎo)致可以直接省 略“撥號(hào)服務(wù)器”），同時(shí)可

15、以不受接入數(shù)量限制， 這使整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性大 幅度提高。利用 IDS 技術(shù)，不僅強(qiáng)化了本身的抗攻擊能力，而且可以與 IDS 系 統(tǒng)互動(dòng)。實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧， 又要使系統(tǒng)的高性能 與實(shí)用性相結(jié)合?？煽啃栽瓌t這套網(wǎng)絡(luò)安全系統(tǒng)是企業(yè)內(nèi)網(wǎng)的門戶。 它的穩(wěn)定可靠關(guān)系重大， 特別是具體 業(yè)務(wù)項(xiàng)目。隨著使用的普及， 信息平臺(tái)的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響企業(yè)的 形象，也將給為企業(yè)帶來不便和不可低估的損失。 因此可靠性是平臺(tái)運(yùn)行的首要 保證。我公司將采用相應(yīng)的手段保證系統(tǒng)、 網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性， 采用負(fù)載均 衡技術(shù)、備份技術(shù)就是其中的重要策略?？蓴U(kuò)展性原則網(wǎng)絡(luò)安全互聯(lián)建設(shè)應(yīng)

16、該是統(tǒng)一規(guī)劃、 分步實(shí)施、 逐步完善的的過程。 我公司 在該方案的設(shè)計(jì)中充分考慮它的可擴(kuò)展性， 在實(shí)現(xiàn)基本的網(wǎng)絡(luò)互聯(lián)以及 被動(dòng) 防護(hù) 系統(tǒng)（安裝“安全網(wǎng)關(guān)及其管理平臺(tái)” ，配發(fā)遠(yuǎn)程移動(dòng)客戶（安全網(wǎng)關(guān)客戶端） ） 以及信息傳輸加密的前提下， 為以后進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的 主動(dòng) 防護(hù)系統(tǒng)，主要包括 IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口，便于以后的 擴(kuò)展以及與 IDS 等設(shè)備實(shí)現(xiàn)互動(dòng)。易管理性原則網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。 在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平 臺(tái)的易管理性， 為平臺(tái)維護(hù)者提供方便的管理工具； 同時(shí)又要設(shè)計(jì)規(guī)范但不失靈 活的工作流程。安達(dá)通公司提供“ PKI 網(wǎng)

17、管平臺(tái)”對(duì)安全網(wǎng)關(guān)、移動(dòng)客戶進(jìn)行統(tǒng)一管理。另外，與“安全策略服務(wù)器”統(tǒng)一布署，可以統(tǒng)一管理安全網(wǎng)關(guān)、IDS、掃描系統(tǒng) 的安全策略。另外，通過網(wǎng)管平臺(tái)，可以實(shí)現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管 理手段。第三章 XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)方案VPN 技術(shù)簡(jiǎn)介1 、基于 IPsec 的 VPN 技術(shù)VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道）， 將遠(yuǎn)程的分支機(jī)構(gòu)、 商業(yè)伙伴、移動(dòng)辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技 術(shù)。在該網(wǎng)中的主機(jī)將不再感覺到公共網(wǎng)絡(luò)的存在， 仿佛所有的主機(jī)都處于一個(gè) 網(wǎng)絡(luò)之中。對(duì)企業(yè)而言， VPN 可以替代傳統(tǒng)租用線來連接計(jì)算機(jī)或局域網(wǎng)等。 而任何

18、VPN 業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是 VPN 實(shí)施的關(guān)鍵。數(shù) 據(jù)通過安全的 加密管道 在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線， 連接上本地的公眾信息網(wǎng)， 各地的機(jī)構(gòu)就可以互相傳遞信息； 同時(shí)， 企業(yè)還可以 利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備， 讓自己的用戶撥號(hào)到公眾信息網(wǎng)上， 就可以連 接進(jìn)入企業(yè)網(wǎng)中。使用 VPN 有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理 和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。在眾多的 VPN 解決方案中， IP-VPN 脫穎而出， 成為眾多企業(yè)組建 VPN 的 首選方案。 IP-VPN 是指在運(yùn)行 IP 協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn)的 VPN 。世界上最

19、大的 IP 網(wǎng)絡(luò)就是 Internet 。由于 Internet 正在使用的 IPv4 協(xié)議在設(shè)計(jì)初期并沒有過多 地考慮安全問題，因此無法為用戶解決他們所擔(dān)心的數(shù)據(jù)安全保密性。 IP-VPN 在使用了一些額外的安全技術(shù)后，解決了這一難題。目前，國(guó)際主流的大多是基于 Ipsec 的 VPN 技術(shù)，該技術(shù)正在迅速走向成 熟，而且它正處于興盛期?？?OOO 口口圖3-1 VPN組網(wǎng)示意圖虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：保證數(shù)據(jù)的真實(shí)性：通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)( IP Spoofing )的能力。保證數(shù)據(jù)的完整性：接收到的數(shù)據(jù)必須與發(fā)送

20、時(shí)的一致，要有抵抗不法分子 纂改數(shù)據(jù)的能力。保證通道的機(jī)密性：提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到 的通道數(shù)據(jù)。提供動(dòng)態(tài)密匙交換功能：提供密匙中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演(Replay )的功能，保證通道不能被重演。提供安全防護(hù)措施和訪問控制：要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的 能力，并且可以對(duì) VPN通道進(jìn)行訪問控制(Access Control )。虛擬專用網(wǎng)VPN可以使在In ternet中的信息交換有安全保障，大多數(shù)的 VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點(diǎn)的連接方式，后來 它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù)，例如在一個(gè)遠(yuǎn)程的PC或

21、筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟,而且它正處于興盛期2 、全動(dòng)態(tài) VPN 組網(wǎng)方式IP-VPN 的聯(lián)網(wǎng)方式大致有三種：1、固定IP與固定IP;2、固定 IP 與動(dòng)態(tài) IP；3、動(dòng)態(tài) IP 與動(dòng)態(tài) IP。第一種的聯(lián)網(wǎng)方式是比較傳統(tǒng)的方式， 技術(shù)上實(shí)現(xiàn)最容易， 目前的防火墻等 設(shè)備就可以實(shí)現(xiàn)這種功能; 第二種的 VPN 聯(lián)網(wǎng)方式對(duì)于目前大多數(shù)專業(yè)的 VPN 廠商也基本能解決;而第三種方式即動(dòng)態(tài) IP 與動(dòng)態(tài) IP 之間的 VPN 通訊卻成了 很多廠商和科研機(jī)構(gòu)望而卻步的技術(shù)難題， 實(shí)現(xiàn)起來并解決大規(guī)模的實(shí)際應(yīng)用就 更加困難。安達(dá)通公司作為國(guó)內(nèi)領(lǐng)先的專

22、業(yè) VPN 廠商，投入了很大的人力、財(cái)力，經(jīng) 過一段時(shí)間的攻關(guān)和研究，最終以 “策略服務(wù)器” 的方式解決了這個(gè)難題?！安呗苑?wù)器”管理系統(tǒng)由 DynamicVPN 管理服務(wù)器、網(wǎng)絡(luò)管理員和 DynamicVPN 網(wǎng)元組成。 Dynamic 管理服務(wù)器由 WEB 服務(wù)器、管理應(yīng)用服務(wù) 器、數(shù)據(jù)庫(kù)服務(wù)器組成。 WEB 服務(wù)器負(fù)責(zé)以 WEB 服務(wù)的形式對(duì)外提供各種管 理服務(wù)，管理應(yīng)用服務(wù)器完成具體的邏輯與業(yè)務(wù)處理功能， 數(shù)據(jù)庫(kù)服務(wù)器負(fù)責(zé)保 存 DynamicVPN 管理所需要的各種數(shù)據(jù)，它可以是關(guān)系數(shù)據(jù)庫(kù)和 / 或 LDAP 服 務(wù)器。安達(dá)通公司的 “策略服務(wù)器” 不但真正解決了全動(dòng)態(tài)的 VPN 組

23、網(wǎng)方案，還 融入了 PKI技術(shù)，采用基于數(shù)字證書的動(dòng)態(tài)IKE進(jìn)行協(xié)商和認(rèn)證，解決了大規(guī)模VPN 組網(wǎng)的安全管理和安全認(rèn)證技術(shù)。3、基于IP-VPN 中NAT穿透問題基于IPsec的VPN解決方案中NAT穿透問題一直是很多廠商以及客戶所 棘手的問題。不但I(xiàn)Psec協(xié)議本身不能穿透NAT設(shè)備，就是常用的視頻、語音 等通訊方式所用的H.323和SIP協(xié)議也不能穿透NAT。下面以A、B兩地實(shí)現(xiàn) 視頻會(huì)議為例，闡述一下 NAT穿透問題。我們假設(shè)在寬帶城域網(wǎng)有兩個(gè)用戶 A和B，其中A用戶處在私網(wǎng)內(nèi)部，B 用戶是在In ternet公網(wǎng)上，這兩個(gè)用戶都安裝了 IP視頻會(huì)議終端，希望通過寬 帶城域網(wǎng)開個(gè)臨時(shí)的

24、視頻會(huì)議。如下圖示，B用戶首先呼叫A用戶，B用戶發(fā)出 的H.323或SIP建立會(huì)話連接的初始化包發(fā)送到 A用戶網(wǎng)絡(luò)的NAT設(shè)備時(shí)，由 于NAT設(shè)備只做IP地址轉(zhuǎn)換的處理，因此不知道該如何將B用戶發(fā)來的H.323 或SIP建立會(huì)話連接的初始化包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的哪個(gè)用戶，只好將該初始化包丟 棄。而A用戶雖然一直在等待B用戶的初始化包，但A用戶卻永遠(yuǎn)等不到B用 戶的初始化包，這樣A用戶和B用戶永遠(yuǎn)都建立不起來 H.323或SIP會(huì)話連接， 也就無法開IP視頻會(huì)議。Private IP:10.1.1.xUnsolicited invitation packetsWaiting for cal on por

25、t 1720圖3-2 NAT穿透問題示意圖（一）另一種情況也一樣，由A用戶首先呼叫B用戶，如下圖示，A用戶發(fā)出的H.323或SIP建立會(huì)話連接的初始化包發(fā)送到 A用戶網(wǎng)絡(luò)的NAT設(shè)備時(shí)，由于 NAT設(shè)備只做IP地址轉(zhuǎn)換的處理，NAT設(shè)備將該IP包包頭中的A用戶私網(wǎng)地 址替換成自己的公網(wǎng)地址，這樣 A用戶發(fā)出的H.323或SIP建立會(huì)話連接的初 始化包才能夠發(fā)送B用戶處，B用戶上層的視頻會(huì)議應(yīng)用程序收到該初始化包， 并作出應(yīng)答，但是A用戶在發(fā)出H.323或SIP建立會(huì)話連接的初始化包時(shí)，在 上層應(yīng)用數(shù)據(jù)包中采用的地址是 A用戶的私網(wǎng)地址，這樣B用戶上層的視頻會(huì) 議應(yīng)用程序就會(huì)采用初始化包中上層應(yīng)

26、用數(shù)據(jù)包里的A用戶的私網(wǎng)地址來發(fā)送應(yīng)答包，由于A用戶的地址是私網(wǎng)地址，因此該應(yīng)答包就無法在公網(wǎng)上傳送。這樣A用戶和B用戶還是建立不起來H.323或SIP會(huì)話連接，還是無法開IP視 頻會(huì)議。Data with IP ANAT:address CData with IPBB | A Data with IP A/BPrivate IP:10.L1.1BUnsolicited invitation packets accepted by B圖3-3 NAT穿透問題示意圖（二）安達(dá)通公司作為國(guó)內(nèi)領(lǐng)先的專業(yè) VPN廠商，經(jīng)過一段時(shí)間的攻關(guān)和研究，初步解決了 NAT穿透問題，為企業(yè)構(gòu)建跨城域網(wǎng)的 VPN網(wǎng)

27、絡(luò)以及視頻、語音通訊的建立提供了解決方案如果需要實(shí)現(xiàn)穿越NAT的安全連接，需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置ADT引擎（需要在NAT設(shè)備上為ADT引擎作靜態(tài)地址翻譯）或者在外網(wǎng)（公 網(wǎng)）設(shè)置ADT引擎。ADT引擎是一個(gè)專用UDP-T（即UDP隧道）數(shù)據(jù)包的路由 轉(zhuǎn)發(fā)軟件，放置在網(wǎng)絡(luò)邊緣，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)流量。下面為數(shù)據(jù)包的結(jié)構(gòu)：UDP-T封裝標(biāo)準(zhǔn)IP報(bào)文入 入IPUDUDPIPIPSecPaTunnelP-Tvirtualheaders(optiy loadHeaderHeaderheaderheaderon al)UDP-T包在經(jīng)過 ADT引擎轉(zhuǎn)發(fā)時(shí)，ADT引擎根據(jù) UDP-T

28、包內(nèi)的UDP-T Header域所指定的路由信息來更換 UDP-T包IP Tunnel Header域的源地址和 目的地址，從而完成從一個(gè)私網(wǎng)成員到另一個(gè)私網(wǎng)成員的包轉(zhuǎn)發(fā)，而UDP-T包內(nèi)部的IP Virtual Header 的源地址和目的地址始終保持不變，保證了上層應(yīng)用 中IP地址的完整性，從而實(shí)現(xiàn)IPSec、H.323和SIP等多媒體協(xié)議端到端通信 的完整性。3.2系統(tǒng)設(shè)計(jì)功能分析企業(yè)建設(shè)安全的信息系統(tǒng)，一個(gè)前提是不能改變?cè)械膽?yīng)用方式，并且既要 保證安全的遠(yuǎn)程訪問（加密） ，又要和正常的直接訪問（明文）相兼容，適合多 種多樣的應(yīng)用需求。按照本方案建設(shè)的網(wǎng)絡(luò)安全系統(tǒng)， 將在不改變應(yīng)用系統(tǒng)

29、結(jié)構(gòu)和用戶的使用習(xí) 慣已經(jīng)與正常訪問兼容的基礎(chǔ)之上， 為 XX 集團(tuán)的信息系統(tǒng)提供強(qiáng)有力的安全保 障，并在移動(dòng)接入、分支機(jī)構(gòu)網(wǎng)絡(luò)等方面為企業(yè)節(jié)省成本，帶來直接的效益。VPN 系統(tǒng)對(duì)原有系統(tǒng)的兼容VPN安全網(wǎng)關(guān)遵循標(biāo)準(zhǔn)的Ipsec和IKE協(xié)議，在網(wǎng)絡(luò)層對(duì)IP數(shù)據(jù)包進(jìn)行加 密，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流做基于五元組的訪問控制， 因此， 對(duì)于應(yīng)用系統(tǒng)是完全透 明的，即上層的應(yīng)用程序感覺不到數(shù)據(jù)在傳輸過程中被加密； 也就是最終用戶感 覺不出使用了 VPN 前后在網(wǎng)絡(luò)系統(tǒng)上有什么不同，也不必對(duì)自己平時(shí)的使用習(xí) 慣做任何改變；應(yīng)用程序的開發(fā)商也不需要對(duì)在 VPN 上使用的系統(tǒng)做特別的修 改。在 XX 集團(tuán)內(nèi)部，無論

30、是目前已投入使用的多套應(yīng)用系統(tǒng)，還是以后的新系 統(tǒng)，不管系統(tǒng)平臺(tái)如何，采用的結(jié)構(gòu)是傳統(tǒng)的C/S還是B/S，都將可以平滑過渡 到 VPN 網(wǎng)絡(luò)平臺(tái)上使用。Ipsec 協(xié)議決定了只要在網(wǎng)絡(luò)傳輸上使用 TCP/IP 協(xié)議的應(yīng)用系統(tǒng)，都可以 在 VPN 平臺(tái)下正常運(yùn)行，然而在 TCP/IP 協(xié)議作為事實(shí)上的工業(yè)標(biāo)準(zhǔn)的今天， 任何新開發(fā)的應(yīng)用系統(tǒng)都是基于此的，因此對(duì)于將來的 ERP 等系統(tǒng)修改、擴(kuò)展 乃至增加系統(tǒng)等等， VPN 系統(tǒng)完全不需更改，不必要擔(dān)心應(yīng)用系統(tǒng)的兼容性問VPN 系統(tǒng)對(duì)原有網(wǎng)絡(luò)的兼容由于根據(jù)網(wǎng)絡(luò)設(shè)計(jì) VPN 設(shè)備 VPN 安全網(wǎng)關(guān)將會(huì)串行的連接在總部的路 由器之后， 并將作為分公司的路

31、由設(shè)備為網(wǎng)絡(luò)提供路由， 因此，在增加了這個(gè)設(shè) 備后會(huì)不會(huì)影響原有正常的網(wǎng)絡(luò)訪問，比如WEB、MAIL 、DNS 等等是一個(gè)必須說明并確認(rèn)的問題。這個(gè)問題可以分為二個(gè)方面來討論， 首先是內(nèi)部的服務(wù)器是否能象原來一樣 向外提供服務(wù)，其次是內(nèi)部網(wǎng)絡(luò)用戶是否能正常訪問互聯(lián)網(wǎng)( Internet )。下面 將就這二點(diǎn)分別闡述。1) 服務(wù)器單獨(dú)放在一個(gè)子網(wǎng)中，使用私有 IP 地址，對(duì)外是不可見的， 但可以通過在 VPN 安全網(wǎng)關(guān)上配置靜態(tài)端口映射，使得外部網(wǎng)絡(luò)可 以訪問到該服務(wù)器的某端口，而通常服務(wù)器都是通過TCP或UDP的 某一個(gè)的端口來提供服務(wù)(比如WEB使用TCP的80端口，DNS使 用 UDP 的

32、 53 端口等等)，因此對(duì)于絕大多數(shù)的應(yīng)用，都可以使用靜 態(tài)端口映射來滿足向外提供服務(wù)的需求。 對(duì)于某些少數(shù)在網(wǎng)絡(luò)通信中 使用不固定端口的應(yīng)用， 還可以通過靜態(tài)地址映射來達(dá)到目的， 即將 整個(gè)服務(wù)器映射成公有地址。這樣， XX 集團(tuán)公司中所有需要公開的 服務(wù)器都可以利用 VPN 安全網(wǎng)關(guān)的靜態(tài)端口映射和靜態(tài)地址映射向 外提供服務(wù)。2) 內(nèi)網(wǎng)主機(jī)眾多，可是公有 IP 地址有限，要訪問互聯(lián)網(wǎng)必須通過地址 轉(zhuǎn)換來實(shí)現(xiàn)， VPN 安全網(wǎng)關(guān)的地址池映射功能可以滿足提供內(nèi)部網(wǎng) 絡(luò)上互聯(lián)網(wǎng)的要求， 并且還可以對(duì)上網(wǎng)的主機(jī)和時(shí)間段作出控制。 同 樣，對(duì)于分公司的子網(wǎng)，也可以通過 VPN 安全網(wǎng)關(guān)的地址池映射功

33、能提供內(nèi)部主機(jī)的上網(wǎng)為滿足以上二點(diǎn)采用的各種技術(shù)和 VPN 安全加密功能都可以同時(shí)發(fā)揮作 用， VPN 安全網(wǎng)關(guān)將根據(jù)數(shù)據(jù)包的 IP 地址和端口（五元組）信息自動(dòng)地對(duì) IP 數(shù)據(jù)包作出相應(yīng)地處理，達(dá)到以上的目的。即 VPN 系統(tǒng)與原有的網(wǎng)絡(luò)系統(tǒng)完全 兼容，絕不會(huì)因建設(shè)了 VPN 系統(tǒng)而導(dǎo)致原有的正常訪問中斷或改變方式。網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證VPN 系統(tǒng)在網(wǎng)絡(luò)層實(shí)現(xiàn)了訪問控制和身份認(rèn)證功能。當(dāng)一個(gè)用戶需要訪問 受網(wǎng)關(guān)保護(hù)的服務(wù)器的信息時(shí)， VPN 安全網(wǎng)關(guān)首先根據(jù)預(yù)先配置的策略判斷對(duì) 方的 IP 地址是否授權(quán)的用戶， 如果有為對(duì)方配置的策略， 則開始 IKE 密鑰協(xié)商， 密鑰協(xié)商包含了身份認(rèn)

34、證的過程， 在基于 PKI 體系下的身份認(rèn)證能很好地確保網(wǎng) 絡(luò)訪問的安全性和唯一性。只有在 IKE 密鑰協(xié)商成功以后， VPN 安全網(wǎng)關(guān)才會(huì) 把服務(wù)器的返回?cái)?shù)據(jù)通過加密發(fā)送到客戶端； 對(duì)進(jìn)來的數(shù)據(jù)進(jìn)行完整性校驗(yàn)和解 密。只要策略配置適當(dāng)， VPN 安全網(wǎng)關(guān)本身沒有開放的端口，即使暴露在公網(wǎng) 上，也可以抵擋掃描、 DoS 等攻擊行為，一些假冒 IP 等等攻擊手段也無法攻擊 到網(wǎng)絡(luò)內(nèi)部，做到了對(duì)內(nèi)部子網(wǎng)很好的保護(hù)，以及很好的身份認(rèn)證功能。在總部可以對(duì)所有的用戶進(jìn)行控制， 如果想停止某個(gè)分公司或移動(dòng)用戶對(duì)總 部子網(wǎng)的訪問，只需要在 CA 中心將其證書廢除即可，體現(xiàn)了統(tǒng)一的管理能力。VPN 系統(tǒng)提供了

35、網(wǎng)絡(luò)層的訪問控制和身份認(rèn)證功能，保證只有經(jīng)過授權(quán)的 子網(wǎng)或客戶端才能接入 XX 集團(tuán)內(nèi)部網(wǎng)絡(luò)，保證了一個(gè)端到端的安全，在本身應(yīng) 用系統(tǒng)的身份認(rèn)證基礎(chǔ)上又增加了一道外圍防線， 更加增強(qiáng)了系統(tǒng)的健壯性和安 全性。同時(shí)，通過 VPN 安全網(wǎng)關(guān)靈活的訪問控制功能，可以允許安全接入和普通 接入并存，即對(duì)重要的服務(wù)器，重要的用戶，實(shí)施 VPN 安全隧道連接，而對(duì)于 普通的服務(wù)器、普通的用戶也可以實(shí)現(xiàn)明文的訪問。因地制宜的部署原則整個(gè) VPN 的安全體系由 VPN 安全網(wǎng)關(guān)、安全客戶端、 網(wǎng)管中心等多個(gè)部分 組成，通過因地制宜的合理配置部署， 既可以實(shí)現(xiàn)整體系統(tǒng)的安全性， 也達(dá)到了 一個(gè)網(wǎng)絡(luò)系統(tǒng)的優(yōu)化和用戶

36、使用的方便。在 XX 集團(tuán)公司的總部，考慮到數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等重要部分都部 署在此，可以部署一臺(tái)高性能的 SGW25C VPN 安全網(wǎng)關(guān)。如果要保證總部系統(tǒng) 的可靠性，可以采用雙機(jī)熱備方式，即在總部網(wǎng)絡(luò)的出口處部署兩臺(tái) SGW25C VPN 安全網(wǎng)關(guān)，做雙機(jī)熱備配置，如果主網(wǎng)關(guān)一旦發(fā)生故障當(dāng)機(jī)，備份網(wǎng)關(guān)就 會(huì)立即切換到工作狀態(tài)，接替主網(wǎng)關(guān)承擔(dān)系統(tǒng)的運(yùn)行，整個(gè)切換過程平滑透明， 不會(huì)對(duì)網(wǎng)絡(luò)應(yīng)用造成影響，在 10 秒以內(nèi)即可完成切換。在各地的分公司，各使用一臺(tái) SGW25B VPN 安全網(wǎng)關(guān)，以保證其整個(gè)子網(wǎng) 能安全接入到總部網(wǎng)絡(luò)，并提供其對(duì) Internet 訪問和控制。在全國(guó)各地的辦事

37、處， 如果規(guī)模大一些的， 可以部署一臺(tái) SGW25A VPN 安 全網(wǎng)關(guān)，以保證其整個(gè)子網(wǎng)能安全接入到總部網(wǎng)絡(luò)，并提供其對(duì) Internet 訪問 和控制。對(duì)于小規(guī)模的辦事處出差員工和公司領(lǐng)導(dǎo)，使用安全客戶端軟件。只需要在 他們的電腦上安裝一套“ VPN 安全網(wǎng)關(guān)客戶端”，在電腦 USB 口上插上網(wǎng)管人 員配的Sure ID （USB接口的鑰匙），輸入Sure ID的密碼，一點(diǎn)“連接”按鈕， 如果 Sure ID 里的策略和身份信息正確有效， 就馬上連接到了總部網(wǎng)絡(luò)， 使用總 部網(wǎng)絡(luò)內(nèi)的私有 IP 地址就可以對(duì)系統(tǒng)進(jìn)行安全的訪問。網(wǎng)管針對(duì)不同用戶可以配置不同的權(quán)限，即可以訪問的服務(wù)器不同，網(wǎng)絡(luò)

38、不 同等等。針對(duì)不用對(duì)象采用不同產(chǎn)品，這樣就發(fā)揮了各自產(chǎn)品的特性，組成了一個(gè)有 機(jī)的 VPN 網(wǎng)絡(luò)體系。為企業(yè)節(jié)省了費(fèi)用開支采用了 VPN 系統(tǒng)，相當(dāng)于在總部和各地分公司之間建立了安全的專用網(wǎng)絡(luò)， 就可以充分利用公共網(wǎng)絡(luò)的資源，在上面運(yùn)行包含企業(yè)內(nèi)部重要信息的應(yīng)用系 統(tǒng)。比較傳統(tǒng)的在總部分公司之間拉專線的方式，采用 VPN 解決方案，大幅度 降低了企業(yè)信息系統(tǒng)的投入成本，為企業(yè)帶來了直接的效益。并且在安全性上， 也得到了提高， 因?yàn)榧词故抢瓕＞€， 也需要通過網(wǎng)絡(luò)運(yùn)營(yíng)商， 而采用 VPN 方案， 則是真正的將安全掌握在了自己手中。相應(yīng)地，在采用安全客戶端軟件的移動(dòng)接入方式之前，大部分企業(yè)采用遠(yuǎn)程

39、 撥號(hào)到公司內(nèi)部網(wǎng)絡(luò)的方式接入遠(yuǎn)程訪問的問題。 這樣就相當(dāng)于打長(zhǎng)途電話， 如 果需要傳輸?shù)臄?shù)據(jù)稍多一些，其電話費(fèi)開銷是非常大的，本身傳輸速度慢不說， 而且有接入數(shù)量的限制，取決于總部端的 MODEM 的數(shù)量。而采用了安全客戶 端安全接入解決方案以后， 因?yàn)榭蛻舳藢?duì)接入方式不限， 如果寬帶接入就解決了 速度的問題， 最重要的是大大的減少了費(fèi)用， 因?yàn)橐朴糜脩糁灰尤氘?dāng)?shù)氐幕ヂ?lián) 網(wǎng)，比起打長(zhǎng)途電話， 費(fèi)用不在一個(gè)數(shù)量級(jí)， 另外客戶端接入的個(gè)數(shù)限制就小得 多，比如 SGW25C VPN 安全網(wǎng)關(guān)可以同時(shí)接受 1000 個(gè)客戶端的并發(fā)接入 （如 果撥號(hào)就需要支持 1000 個(gè) MODEM 接入）。除此

40、之外， VPN 安全網(wǎng)關(guān)本身具備靜態(tài)路由功能，在分公司使用 VPN 安全 網(wǎng)關(guān)，可以代替路由器實(shí)現(xiàn)路由和地址映射功能， 因此可以為每個(gè)分公司節(jié)省一 臺(tái)路由器， VPN 安全網(wǎng)關(guān)的平均工作無故障時(shí)間為 15000 小時(shí)，可以達(dá)到一般 路由器的可靠性，這樣也大大節(jié)省了企業(yè)的投入成本，帶來了效益。系統(tǒng)的易擴(kuò)展性VPN 系統(tǒng)建立以后，將來的擴(kuò)展非常方便，如果需要增加一個(gè)分公司或者 辦事處，在該地安裝一臺(tái) VPN 安全網(wǎng)關(guān)，總部只需要增加一條安全策略即可以 實(shí)現(xiàn)該分公司或者辦事處的接入。 如果增加一個(gè)移動(dòng)用戶， 只需要配發(fā)一個(gè) Sure ID 即可。因此擴(kuò)展非常簡(jiǎn)單。3.3 產(chǎn)品選型上海安達(dá)通信息安全技

41、術(shù)有限公司（簡(jiǎn)稱 ADT ）是一家專業(yè)致力于解決企 業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的安全問題。 公司將自己定位為： 基于 PKI 的網(wǎng)絡(luò)安全傳輸平臺(tái)供應(yīng)商。目前已經(jīng)擁有“ PKI 安全網(wǎng)關(guān) SGW 系列、安 全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺(tái)、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載 體 SureID 系列、證書中間件”等產(chǎn)品。形成了一個(gè)以 CA 為核心，證書為靈魂， 網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件 /設(shè)備相互聯(lián)動(dòng)、密切配合的構(gòu)建在 PKI 平臺(tái)上的網(wǎng)絡(luò)安全系統(tǒng)安全網(wǎng)關(guān)是一種結(jié)合防火墻、 VPN 技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且 具有和入侵檢測(cè)系統(tǒng)（IDS）互動(dòng)的功能；隨著系統(tǒng)的升級(jí)，AD

42、T安全網(wǎng)關(guān)SGW 系列產(chǎn)品， 還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測(cè)功能來增強(qiáng) “安全網(wǎng) 關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將 具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。另外，安達(dá)通公司的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢(shì)一一解決了目前 國(guó)際上的VPN技術(shù)的難題非固定IP間的VPN通訊連接（如：通訊雙方均采 用 ADSL 進(jìn)行連接）。而這一需求也恰恰是 XX 集團(tuán)多個(gè)分支機(jī)構(gòu)和聯(lián)網(wǎng)網(wǎng)點(diǎn)需 要相互進(jìn)行安全通訊的最經(jīng)濟(jì)、最貼切的解決方案。故此，我們建議XX集團(tuán)目前的Modem、ADSL、寬帶等聯(lián)網(wǎng)方式改為在 VPN 組網(wǎng)方案。VPN 組網(wǎng)

43、除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外， 還可以用于專用線路、 幀中繼 /ATM 鏈 路或普通的舊式電話網(wǎng)（PSTN ）提供的服務(wù)：如 Modem 撥號(hào)方式、ISDN、 ADSL 等。先行的專線 /ATM 方式，從經(jīng)濟(jì)上、管理上、安全上、經(jīng)營(yíng)上前面已 經(jīng)論證不太適合 XX 集團(tuán)的組網(wǎng)需求，利用 Modem 撥號(hào)方式、 ISDN 方式，針 對(duì) XX 集團(tuán)這樣的大型企業(yè)來說，從速度上、性能上、經(jīng)濟(jì)上、管理上均不太適 合XX集團(tuán)目前發(fā)展的需要，不過，針對(duì)目前小型的辦事處以及聯(lián)網(wǎng)終端不太多 的情況下，可以采用此種 VPN 組網(wǎng)方式。 ADSL 是電信力推的企業(yè)上網(wǎng)模式， 不但速度快、性能好、實(shí)時(shí)性好，針對(duì) XX 集團(tuán)

44、的應(yīng)用特點(diǎn)和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟(jì) 上也是前幾種組網(wǎng)方式所不能比擬的。另外，安達(dá)通公司 SGW 網(wǎng)關(guān)系列具有PPOE 撥入模塊，支持 ADSL 撥號(hào)功能，可以節(jié)省專用的撥號(hào)服務(wù)器，節(jié)省設(shè)備投入。故此，我們建議針對(duì)不同駐外機(jī)構(gòu)的實(shí)際應(yīng)用情況，采用基于Modem、寬帶以及基于ADSL結(jié)合的VPN組網(wǎng)方案。針對(duì)XX集團(tuán)的實(shí)際需求和具體應(yīng)用，我們推薦此方案采用安達(dá)通公司的SGW 25C-4、SGW 25B、SGW 25A 硬件產(chǎn)品以及 Sure Client軟件網(wǎng)關(guān)相結(jié) 合的產(chǎn)品解決方案。三種硬件型號(hào)的產(chǎn)品具體參數(shù)如下:項(xiàng)目安全網(wǎng)關(guān)快速參考型號(hào)SGW 25ASGW 25BSGW25C-4處理器Power P

45、C855TPe ntium3-866MSDRAM32MB128MBFlash/DOM4MB16MB操作系統(tǒng)RTOS端口1*10M Ethernet WAN1*10/100M Ethernet1*10/100M Ethernet LANWAN1*DB9 con sole port1*10/100M EthernetLAN1*10/100MEthernet DMZ1*10/100M EthernetEXT1*DB9 con sole port支持的標(biāo)準(zhǔn)算法DES、3-DES、IDEA （可選）、RSA、SHA支持專用密碼算法由國(guó)家密碼管理委員會(huì)批準(zhǔn)和認(rèn)可的密碼算法密碼加速引擎軟件硬件密碼芯片硬件P

46、CI密碼卡共同支持的協(xié)議及標(biāo)準(zhǔn)TCP/IP、Ipsec、NAT/NAPT、OpenPKI、SCMP、DHCP、靜態(tài)路由獨(dú)有支持的協(xié)議PPPoE（可通過 WAN 口外接 ADSL modem）密鑰交換體制IKE、Diffie-Hellmanipsec吞吐率800Kbps（3DES+SHA 在ESP隧道模式）5.76Mbps（3DES+SHA 在ESP隧道模式）60Mbps/40Mbps（3DES+SHA 在 ESP 隧 道模式”（國(guó)內(nèi)專用算 法）支持的最大ipsec并發(fā)隧道數(shù)501001000Firewall吞吐率9.9Mbps70Mbps支持的最大內(nèi)網(wǎng)并發(fā)會(huì)話數(shù)10，000130，000工作電

47、流/電壓0.8A/220v3A/220V工作溫度060 C060 C表3-1 ADT 硬件安全網(wǎng)關(guān)比較表3.4網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署1、XX集團(tuán)總部設(shè)計(jì)方案杭州總部是整個(gè)XX公司的“心臟地帶”，重要信息的交互、共享，重要數(shù) 據(jù)的頻繁傳輸，組成了 XX集團(tuán)的業(yè)務(wù)流。隨著企業(yè)信息化程度的不斷加深，各 種應(yīng)用系統(tǒng)會(huì)逐步得到應(yīng)用。隨之而來，信息安全問題也會(huì)成為我們關(guān)注的焦點(diǎn)。目前，XX集團(tuán)總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)經(jīng)由XX防火墻直接接入In ternet。考慮以后總部業(yè)務(wù)需求的發(fā)展，建議在總部網(wǎng)絡(luò)出口處再部署一臺(tái)安 達(dá)通的SGW25-4型VPN硬件安全網(wǎng)關(guān)（安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密 技術(shù)、認(rèn)證技

48、術(shù)來保護(hù)杭州總部和分支機(jī)構(gòu)內(nèi)網(wǎng)的安全通訊、安全傳輸）。XX防火墻與安達(dá)通SGW25-4型VPN安全網(wǎng)關(guān)采用并聯(lián)方案。普通數(shù)據(jù) 包通過XX防火墻到達(dá)XX集團(tuán)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)包狀態(tài)檢測(cè)和訪問控制功能。只 有需要走VPN線路的數(shù)據(jù)包或者需要加密的數(shù)據(jù)包才可以通過安達(dá)通VPN網(wǎng)關(guān)到達(dá)XX集團(tuán)網(wǎng)絡(luò)內(nèi)部，對(duì)于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進(jìn)行過濾和處理。ADT SGW25C-4具有4個(gè)網(wǎng)絡(luò)接口，一個(gè)用于內(nèi)網(wǎng)、一個(gè)用于外網(wǎng)、一個(gè) 作為與專門的入侵檢測(cè)設(shè)備進(jìn)行互動(dòng)的網(wǎng)絡(luò)接口，另一個(gè)作為EXT 口，用于以后的擴(kuò)展線路、備份線路或作為其他網(wǎng)絡(luò)接口來用。2、各地駐外機(jī)構(gòu)設(shè)計(jì)方案由于各地駐外機(jī)構(gòu)需要與杭州總部

49、進(jìn)行大量的信息交換，并且隨著ERP等應(yīng)用系統(tǒng)的應(yīng)用加深，物流、資金流在企業(yè)Intran et網(wǎng)上的頻繁傳輸，為了保證總部與分支機(jī)構(gòu)、分支機(jī)構(gòu)與分支機(jī)構(gòu)之間進(jìn)行安全的信息傳輸，故此，我們可以根據(jù)各分支機(jī)構(gòu)的不同情況，分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐 外機(jī)構(gòu)。同時(shí)，建議具有子網(wǎng)的各駐外機(jī)構(gòu)采用ADSL或者寬帶的方式接入In ternet，并在網(wǎng)絡(luò)出口處部署 ADT SGW 25B、SGW 25A 硬件安全網(wǎng)關(guān)設(shè)備； 建議在僅有一臺(tái)終端的分支機(jī)構(gòu)采用 Modem或ADSL的方式接入In ternet ， 并在該終端上安裝安達(dá)通公司的 Sure Client軟件網(wǎng)關(guān)，從而達(dá)到和總部以及其 他分

50、支機(jī)構(gòu)的VPN通訊。ADT SGW 25B、SGW 25A （兩款硬件設(shè)備在密碼加速引擎上和性能上略 有區(qū)別，詳細(xì)見參數(shù)比較表）具有2個(gè)網(wǎng)絡(luò)接口，一個(gè)用于內(nèi)網(wǎng)（防火墻模塊可 以有效做到安全隔離以及訪問控制機(jī)制，安全隔離機(jī)制保證了公司網(wǎng)絡(luò)與 In ternet等公共網(wǎng)絡(luò)的安全連接，訪問控制機(jī)制可以有效的控制各個(gè)分支機(jī)構(gòu)的 安全接入問題），一個(gè)可通過ADSL Modem 接入In ternet （由于該安全網(wǎng)關(guān)具 有PPOE模塊，節(jié)省了專用的撥號(hào)服務(wù)器）。目前，根據(jù)XX集團(tuán)的實(shí)際情況，由于某部門的特殊要求，建議先在總部與 余杭一廠各部署一套 ADT SGW25C、SGW25B來建立VPN通道，隨著

51、業(yè)務(wù)的 發(fā)展，逐步在各地分支機(jī)構(gòu)和分廠實(shí)施 VPN組網(wǎng)，在集團(tuán)內(nèi)進(jìn)行推廣應(yīng)用。XX集團(tuán)VPN建設(shè)網(wǎng)絡(luò)拓?fù)鋱D如下：防火墻圖 3-4 XX 集團(tuán) VPN 網(wǎng)絡(luò)建設(shè)示意圖第四章 技術(shù)支持服務(wù)安達(dá)通公司的技術(shù)服務(wù)部門將提供優(yōu)質(zhì)服務(wù)以保證整個(gè)系統(tǒng)運(yùn)行的穩(wěn)定、 高 效和安全。4.1 技術(shù)支持與服務(wù)1、安裝服務(wù) 安達(dá)通公司負(fù)責(zé)網(wǎng)絡(luò)安全設(shè)備的安裝調(diào)試、調(diào)優(yōu)工作。建立合理的項(xiàng)目建 設(shè)機(jī)制，保證工程的安裝服務(wù)質(zhì)量。安裝完畢后提供完整的技術(shù)文檔，內(nèi)容包括：系統(tǒng)的信息記錄、操作維護(hù)、 調(diào)試的方法以及常見故障處理等等。2、配件服務(wù) 提供配件服務(wù)，使故障設(shè)備得到維護(hù)。對(duì)一些維修周期長(zhǎng)的設(shè)備，提供相 似性能的設(shè)備，保證運(yùn)行

52、系統(tǒng)穩(wěn)定。3、保修維護(hù)服務(wù)對(duì)在保修期內(nèi)的軟硬件產(chǎn)品設(shè)備提供保修服務(wù)（火災(zāi)、地震等人力不可抗 拒的因素造成的設(shè)備損壞除外） ：提供 7*24 維修服務(wù)， 提供 7*24 小時(shí)響應(yīng)的聯(lián)系電話及聯(lián)系人， 提供遠(yuǎn)程 訪問維護(hù)功能， 隨時(shí)受理電話咨詢， 一旦有故障能隨時(shí)聯(lián)系到人。 系統(tǒng)發(fā)生故障通過遠(yuǎn)程拔號(hào)接入或者24小時(shí)派工程師到現(xiàn)場(chǎng)維護(hù)。4、后期維護(hù)服務(wù)系統(tǒng)錯(cuò)誤有可能在長(zhǎng)時(shí)間的運(yùn)行之后才能暴露出來，才能更容易的對(duì)問題進(jìn)行孤立和查找。當(dāng)系統(tǒng)投入使用后，測(cè)試工作要不斷進(jìn)行，只有這樣才能發(fā)現(xiàn) 新錯(cuò)誤，以便及時(shí)解決。因此定期派系統(tǒng)工程師上門或者遠(yuǎn)程拔號(hào)接入對(duì)整個(gè)系 統(tǒng)的資源進(jìn)行測(cè)試、維護(hù)和優(yōu)化（包括對(duì)系統(tǒng)軟硬

53、件設(shè)備的清理、網(wǎng)絡(luò)性能的維 護(hù)、優(yōu)化、性能調(diào)試等等維護(hù)服務(wù)，以使系統(tǒng)能夠長(zhǎng)久、可靠安全的運(yùn)行。在維 護(hù)服務(wù)保修期內(nèi)，免費(fèi)提供一些優(yōu)惠服務(wù)措施，包括提供軟件差補(bǔ)通知，安裝最 新的補(bǔ)丁程序等等，對(duì)于提供的應(yīng)用軟件包，如有新版本推出，應(yīng)建議用戶使用， 并為用戶提供升級(jí)安裝服務(wù)），實(shí)施跟蹤服務(wù)。5、標(biāo)準(zhǔn)支持服務(wù)從系統(tǒng)開始正式運(yùn)行，安達(dá)通公司將提供標(biāo)準(zhǔn)支持服務(wù)。標(biāo)準(zhǔn)支持服務(wù)內(nèi)容如下：*系統(tǒng)啟動(dòng)服務(wù)*每年有限次現(xiàn)場(chǎng)服務(wù)*遠(yuǎn)程診斷服務(wù)*電話咨詢服務(wù)* （面對(duì)面或書面的）產(chǎn)品咨詢服務(wù)*當(dāng)年增強(qiáng)版本更換*產(chǎn)品信息服務(wù)*電子郵件及在線服務(wù)4.2 用戶培訓(xùn)安達(dá)通公司將負(fù)責(zé)對(duì)用戶進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)培訓(xùn)。 通過對(duì)本

54、網(wǎng)絡(luò)各種 設(shè)備的性能、結(jié)構(gòu)、原理、維護(hù)管理技術(shù)和實(shí)際操作的講解，能使用戶掌握設(shè)備 配置、日常維護(hù)的方法和技巧，使用戶獨(dú)立進(jìn)行操作、糾錯(cuò)處理和設(shè)備測(cè)試，以 保證網(wǎng)絡(luò)開通后的正常安全運(yùn)行。 系統(tǒng)管理和技術(shù)人員的培訓(xùn)由安達(dá)通公司負(fù)責(zé) 組織，根據(jù)人員的知識(shí)結(jié)構(gòu)情況制定具體的培訓(xùn)計(jì)劃。對(duì)系統(tǒng)管理員進(jìn)行培訓(xùn)， 使其熟悉系統(tǒng)的使用和維護(hù)， 以利于以后的系統(tǒng)管 理工作。我們提供的培訓(xùn)服務(wù)分現(xiàn)場(chǎng)培訓(xùn)和專業(yè)培訓(xùn)， 先進(jìn)行專業(yè)培訓(xùn)， 提供系 統(tǒng)的理論知識(shí)、再進(jìn)行現(xiàn)場(chǎng)培訓(xùn)，以利于系統(tǒng)的掌握和今后系統(tǒng)的開發(fā)升級(jí)。1、安裝培訓(xùn)安裝培訓(xùn)在安裝的過程中進(jìn)行，最后安裝調(diào)試完畢后，做總結(jié)培訓(xùn)。 安裝培訓(xùn)目的是讓經(jīng)過專業(yè)培訓(xùn)的人員學(xué)以致用，理論結(jié)合實(shí)際，盡快掌握 實(shí)際使用中產(chǎn)品設(shè)備的特性，以利于系統(tǒng)的使用和維護(hù)。具體內(nèi)容：對(duì)產(chǎn)品設(shè)備的安裝、使用、維護(hù)、常見故障處理以及產(chǎn)品設(shè)備的特性，通過實(shí)際安裝中的培訓(xùn)，增強(qiáng)系統(tǒng)管理的實(shí)際操作水平。安裝完畢后，各個(gè)管理人員對(duì)操作流程進(jìn)行實(shí)際演練， 以確保安裝過程中 的知識(shí)學(xué)以致用。在系統(tǒng)軟硬件安裝完成后，安達(dá)通公司將派項(xiàng)目開發(fā)人員對(duì)貴單位技術(shù)人 員和操作人員進(jìn)行現(xiàn)場(chǎng)實(shí)際操作培訓(xùn)。2 、專業(yè)培訓(xùn)：對(duì)相關(guān)技術(shù)人員， 我們提供現(xiàn)場(chǎng)培訓(xùn)和專業(yè)培訓(xùn)， 先進(jìn)行專業(yè)培訓(xùn)， 提供系統(tǒng)的理論知識(shí)、再進(jìn)行現(xiàn)場(chǎng)培訓(xùn)，以利于系統(tǒng)的掌握和今后系統(tǒng)的開發(fā)升級(jí)以上各項(xiàng)服務(wù)的詳細(xì)描述參見