vpn互聯(lián)解決方案

臺州港務(wù)局網(wǎng)絡(luò)建設(shè)解決方案（初步方案）概述臺州市港務(wù)局下屬6個分局需要建立一套互聯(lián)辦公系統(tǒng)，實現(xiàn)辦公自動化、內(nèi)部的Mail、WEB服務(wù)，網(wǎng)絡(luò)資源共享，能夠?qū)崟r與各分局互聯(lián)，建立覆蓋全市的信息網(wǎng)絡(luò)服務(wù)。本方案根據(jù)臺州港務(wù)局的整體規(guī)劃，結(jié)合省局的總體要求，采用整體規(guī)劃、分步實施的設(shè)計思想設(shè)計的。1、 目前網(wǎng)絡(luò)的現(xiàn)狀及需求臺州港務(wù)局考慮租用電信運營商的專線接入，總局和各分局以初步實現(xiàn)局域網(wǎng)辦公。分支機構(gòu)或辦事處需要實時將信息傳送到公司總部，總部也需要將反饋的信息實時向分支機構(gòu)或辦事處下發(fā)。對分支機構(gòu)或辦事處提供MAIL>WEB和辦公自動化應(yīng)用服務(wù)。網(wǎng)絡(luò)互聯(lián)及安全總的需求：1個中心節(jié)點與6個分節(jié)點進行安全互聯(lián)。整個系統(tǒng)能夠保障網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的安全。2、 目前網(wǎng)絡(luò)系統(tǒng)互聯(lián)問題及存在的安全隱患2.1網(wǎng)絡(luò)系統(tǒng)互聯(lián)問題：針對現(xiàn)有業(yè)務(wù)，提出網(wǎng)絡(luò)互聯(lián)建設(shè)中心節(jié)點1個，分節(jié)點6個。網(wǎng)絡(luò)系統(tǒng)如采用專線方式相比較VPN組網(wǎng)方式有諸多不足：（見下表）VPN技術(shù)專線技術(shù)安全性非常高，保護數(shù)據(jù)傳輸?shù)耐暾?、保密性、不可抵賴性；安全控制在用戶手里比較高。但是，安全是建立在對電信部門相信的基礎(chǔ)上，對電信運營商，無任何安全可言?？蓴U展性基于TCP/IP技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達，就可以方便擴展。依靠當(dāng)?shù)剡\營商的支持，擴展很不方便。投資成本設(shè)備一次性投入，不需要支出每月的運營費用，長期看來大幅度節(jié)省支出。專線費用很高，需要每月支付昂貴的專線租用費用，而且在初期要一次性投入路由器的費用對移動用戶的支持能對internet上的內(nèi)部移動用戶安全接入，徹底消除地域差異，構(gòu)造全球的虛擬專網(wǎng)。只能通過專線拉到的網(wǎng)絡(luò)，不支持離開局域網(wǎng)的內(nèi)部用戶接入專網(wǎng)。帶寬使用各種廉價的寬帶接入方式，如：ADSL，Ethernet等，一般在廣100M。由于價格昂貴，一般租用的帶寬都比較窄（一般不超過2M）升級依賴于設(shè)備的升級，非常方便。依賴于電信部門。由此可見，采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴展性的優(yōu)點，VPN產(chǎn)品特有的具有對internet上的內(nèi)部移動用戶安全接入功能，可以徹底消除地域差異，實現(xiàn)可移動用戶的網(wǎng)絡(luò)互聯(lián)及基于internet的可移動安全訪問控制。因此，采用VPN方式組網(wǎng)對臺州港務(wù)局網(wǎng)絡(luò)建設(shè)來說是現(xiàn)實可行的，完全可以滿足需要。2.2網(wǎng)絡(luò)系統(tǒng)存在的安全隱患：目前辦公自動化用戶數(shù)據(jù)都通過公網(wǎng)（Internet）直接傳輸，因辦公自動化網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包含公司的業(yè)務(wù)敏感信息，屬于商業(yè)機密，在公網(wǎng)上直接傳輸存在著很大的隱患，黑客或網(wǎng)絡(luò)運營商中的某些有不良居心的人員可以利用專用軟件在網(wǎng)絡(luò)結(jié)點設(shè)備或線路上截獲業(yè)務(wù)數(shù)據(jù)，如果這些數(shù)據(jù)被公布或篡改，對于臺州港務(wù)局而言，后果是非常嚴(yán)重的。另一方面，如果總局的網(wǎng)絡(luò)邊界沒有防火墻來保護內(nèi)部網(wǎng)絡(luò)，也沒有做任何訪問控制，這樣就存在極大的安全隱患，外部網(wǎng)絡(luò)可以隨意訪問服務(wù)器，一旦服務(wù)器的密碼被暴力破解，或者黑客利用操作系統(tǒng)的某些漏洞進入了服務(wù)器，不但服務(wù)器中辦公自動化系統(tǒng)的數(shù)據(jù)面臨危險，而且黑客極易利用服務(wù)器作為跳板，轉(zhuǎn)而攻擊內(nèi)部網(wǎng)絡(luò)的機器，那么整個系統(tǒng)將無安全性可言。3、網(wǎng)絡(luò)規(guī)劃從經(jīng)濟角度考慮，電信提供的專線組網(wǎng)方式費用比較昂貴，由于臺州港務(wù)局的下屬分局分布在不同的區(qū)縣，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給局里帶來很大的壓力。從安全方面考慮，電信提供的DDN、ADSL等傳輸平臺沒有經(jīng)過加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺沒有認(rèn)證功能，內(nèi)部員工的越權(quán)訪問、誤操作、有意或無意的泄密、甚全是少數(shù)員工惡意的破壞，都會對信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺沒有訪問控制和安全隔離的功能，給外部非法人員提供了入侵的機會，非法人員可以通過專用的黑客程序（此類工具在Interne上可以任意下載），或者盜取授權(quán)員工的訪問權(quán)限，進入公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部，使系統(tǒng)安全受到嚴(yán)重的威脅。由于臺州港務(wù)局分支機構(gòu)和聯(lián)網(wǎng)網(wǎng)點數(shù)目眾多，知名度大，受攻擊的幾率相對較大，一旦通過計算機終端進入公司總部服務(wù)器，后果將不堪設(shè)想。從管理方面考慮，現(xiàn)在網(wǎng)絡(luò)處于高速發(fā)展階段，計算機終端越來越多，面臨最緊迫的問題就是信息的匯總、分局和總局的信息交互以及計算機終端的集中管理。DDN、ADSL等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應(yīng)用和管理問題。從經(jīng)營角度考慮，臺州港務(wù)局需要一個實時的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺，來滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)，適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。綜上所述，如何快捷地港務(wù)局聯(lián)網(wǎng)問題，如何有效地降低企業(yè)的巨額通訊費用，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達到一個全面加強，使網(wǎng)絡(luò)系統(tǒng)的每個部分都不會成為“木桶的最短一塊木板”是本系統(tǒng)方案要實現(xiàn)的目標(biāo)。根據(jù)以上的分析臺州港務(wù)局的網(wǎng)絡(luò)建設(shè)采用VPN技術(shù)最為理想?。?）臺州港務(wù)局總部設(shè)計方案臺州港務(wù)局總部是整個港務(wù)局的“心臟地帶”，重要信息的交互、共享，重要數(shù)據(jù)的頻繁傳輸，組成了港務(wù)局的業(yè)務(wù)流。隨著企業(yè)信息化程度的不斷加深，各種應(yīng)用系統(tǒng)會逐步得到應(yīng)用。隨之而來，信息安全問題也會成為我們關(guān)注的焦點。目前，臺州港務(wù)局總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)直接接入1nternet?？紤]以后總部業(yè)務(wù)需求的發(fā)展和承擔(dān)的重要任務(wù)，建議在總部網(wǎng)絡(luò)出口處部署VPN硬件安全網(wǎng)關(guān)（安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)來保護臺州港務(wù)局總部和分支機構(gòu)內(nèi)網(wǎng)的安全通訊、安全傳輸），保證中心系統(tǒng)業(yè)務(wù)的不中斷。配備高性能服務(wù)器來處理網(wǎng)絡(luò)信息傳輸?shù)确?wù)。網(wǎng)絡(luò)構(gòu)架示意圖如下：（2） 各分局設(shè)計方案由于各分局需要與臺州港務(wù)局總部進行大量的信息交換，并且隨著辦公自動化系統(tǒng)的應(yīng)用加深，網(wǎng)絡(luò)數(shù)據(jù)在企業(yè)Intranet網(wǎng)上的頻繁傳輸，為了保證總部與分局、分局與分局之間進行安全的信息傳輸，我們在各分局分別部署硬件安全網(wǎng)關(guān)設(shè)備，達到和總部以及其他分局的VPN通訊。如下圖：（3） 移動用戶的遠程安全接