VPN技术解决方案.docx
《VPN技术解决方案.docx》由会员分享,可在线阅读,更多相关《VPN技术解决方案.docx(17页珍藏版)》请在冰点文库上搜索。
VPN技术解决方案
远程安全接入解决方案
1. VPN建设中您是否被以下问题困惑着:
1.1. 功能单一导致应用受限
赵先生是一家公司的网络管理员,可是最近遇到了难题:
以往公司总部需要与分公司频繁的传输业务数据,所以购买了IPSecVPN设备,通过加密可以是总部与分公司虚拟的连接起来。
可是最近总公司开始抓销售业绩,无论销售人员是否出差都要及时的将项目情况输入总部的数据库中。
这怎么办呢?
按照小赵多年的经验,要实现这样的要求必须要SSLVPN技术才能实现。
但是当初购买的设备只能提供IPSecVPN功能,要想实现SSLVPN功能就要另外采购设备,而使用两台VPN设备,无论是配置还是管理都面临着很大的问题。
随着企业所处的商业环境日益复杂,单纯的IPSecVPN或者SSLVPN都会暴露出自身的弊端。
而且对于安全产品而言,融合已经成为一种趋势,因此设备的集成度以及升级能力都成为了VPN方案中必须考虑的部分。
1.2. 设备频繁重启导致数据传输中断
深圳某物流公司CIO李总近日非常烦恼,“自从我们的VPN设备正式上线运行后,就没有好好的休息过,每天都在担心设备是不是出了什么问题。
说来也怪,这些设备有的时候运行起来非常稳定,一星期都不会出现问题。
有的时候就三间两头的断线重启,而且还查不出什么问题。
物流数据全部要通过VPN传输,经常有人不能及时取到发送的货物,引起纠纷。
”
李总的困惑也是非常具有典型性的。
现在国内的安全市场鱼龙混杂,大大小小的VPN设备厂商林立,生产的VPN设备也是五花八门,经常有小作坊式的VPN厂商采用基于普通PC架构的工控机安装免费的VPN软件作为VPN设备销售。
这样的VPN设备由于其硬件和软件架构的不稳定性,还是无法满足企业生产经营使用,长时间持续运行会无故宕机、重启。
1.3. 分支机构跨度大导致设备管理困难
上海某集团的设备处王经理看着桌面上一摞摞的报销单据头疼,“近些年来,得益于国家的政策和自身的努力,我们集团的业务蒸蒸日上,在全国各地开设了分公司。
为了保证财务等重要数据的实时传送,采用了**厂家的VPN方案。
方案实施初期一切都运转正常,可是时间长了就免不了对各分公司的设备配置进行升级或者调整。
可是这些设备都不支持集中管理,而我们集团懂技术的人又不多。
只好让总部的技术人员出差才能解决问题,这来来回回光是差旅费就很惊人啊。
本来想可以节省资金的方案反而浪费了大量的人力物力。
”
分支设备维护永远是企业比较头疼的问题,分支机构往往缺少专业网络技术人员。
因此对VPN设备的维护对于分支机构具有一定的难度,如何能够更好的管理和维护远端的VPN设备就成为了VPN方案中需要考虑的重要问题。
1.4. 内网病毒泛滥导致营业系统瘫痪
以下是某企业信息中心张主任的抱怨:
“自从U盘、移动硬盘这些东西越来越普遍,我的网络中问题也越来越多了。
经常有员工违反企业规定在内部对信息安全的规定,用U盘互相拷贝文件,造成病毒传染。
还有些员工把在家里感染病毒的便携式计算机接入公司网络,更糟的是公司的网络使用VPN都连接了起来!
外地的电脑感染了病毒还经常感染到北京总部,弄得网络时断时续。
经常被领导批评,又找不到好的解决办法,对于外地的分公司鞭长莫及啊!
”
相信这也是很多企业都经历过的事情。
在企业运营中,病毒会毁坏财务等重要等数据造成相当的经济损失,经常性的病毒感染将会严重影响企业的正常运转,使业务无以为继。
其实,无论是功能单一、经常宕机、管理困难、还是内网病毒泛滥,归结到一起就是企业的VPN网络平台不够健壮安全。
目前企业的网络应用越来越多,包括视频、语音、ERP等等;企业规模不断壮大,分支机构数量不断增多,移动办公需求旺盛,对VPN网络的建设带来了苛刻的考验。
要想保证企业的数据新干线永续工作,就必须从融合、稳定、易用、安全四个标准来选择VPN设备。
2. 健壮的VPN网络
一个健壮的VPN网络应该具有哪些特征呢?
H3C总结了健壮的VPN网络的四大要素:
融合扩展、稳定运行、容易管理、安全可靠。
2.1. 多种VPN技术融合——一次投资多次收益
企业的数据互联需求根据企业的不同而存在很大的差异,偏重于总部与分公司互联的企业,往往采用IPSecVPN技术;而方便员工迅速连接总部的企业则会选择SSLVPN技术。
但是随着企业信息化的不断进步,网络化成为了趋势:
一方面需要企业不同分支机构互联;另外移动办公人员也需要连接总部。
这时候与其购买两套系统,不如选择融合的VPN设备。
根据目前VPN技术的发展,IPSecVPN与SSLVPN已经成为VPN技术的主流应用,对于一些行业来说还会用到MPLSVPN。
在VPN设备的选择方面,VPN种类支持的多少将会直接影响到企业的投资效果。
多种VPN技术相融合能够减少企业发展过程中的技术约束,为企业带来一次投资多次收益的良性发展。
H3C始终关注VPN技术的研究与发展,顺应客户需求,推出了同时支持IPSecVPN、SSLVPN、MPLSVPN的新型融合VPN设备SecPathV100-E。
2.2. 长时间稳定运行——解决VPN稳定性问题
企业的VPN网络中运行着ERP、财务等重要数据,这些数据对于企业来说就像血液对于人体一样至关重要,任何时间VPN网络的不稳定都会导致直接的经济损失。
因此VPN设备的稳定运行是最重要的因素。
VPN设备能否稳定运行取决于几个方面:
1. VPN设备的硬件平台,是运行VPN功能的硬件基础,分为专用硬件平台以及通用硬件平台,前者是针对VPN应用设计的硬件加速系统,性能高且稳定性好,最适合企业对于高性能高稳定的设备要求。
2. VPN设备的软件平台,与硬件平台类似,软件平台分为专用VPN软件平台和通用计算机软件平台。
其特点也与硬件平台类似,专用VPN软件平台采用模块化设计,处理与控制相分离,效率高,稳定性好。
3. 设备的设计水平,要生产一台基于专用平台的可以稳定运行的VPN设备,需要很深的技术积累,这对于很多设备提供商来说,是一道很高的技术门槛。
H3C专业防火墙/VPN设备自2002年推出后,已经在全国各行业得到广泛应用,该系列产品具有基于MIPS嵌入式芯片的专用硬件及H3CCommware软件平台,成熟稳定的应用验证了用户对于产品高可靠性的要求。
2.3. 远程设备管理简单化——解决VPN设备管理难问题
VPN方案实施完毕后,后期的管理和维护就成为一个比较头疼的问题。
由于企业VPN设备的分布式部署特点,再加上分支机构/公司并不具备专业的VPN管理人员,这就要求所选设备要容易配置,可以远程管理和监控设备的运行状态。
企业的VPN方案必须在设计时就充分考虑远程监控和管理的问题,需要提供远程集中管理、批量配置下发、全中文界面和图形化管理等功能。
WEB图形化管理界能够降低管理人员的使用难度,远程集中管理和批量配置下发可以极大地减轻管理人员的工作量,减少企业的出差费用等非必要支出。
H3C针对VPN应用特点推出了VPNManager*软件,实时监控VPN网络运行情况;更针对困惑用户许久的多VPN分支网点设备的配置和管理问题,开发了H3CBIMS分支智能管理系统*。
*VPNManager软件可以轻松构建IPSecVPN网络,有效监视VPN网络的运行,并监控VPN网络性能,快速定位设备故障,从而方便用户在VPN上开展各项业务。
*BIMS(BranchIntelligentManagementSystem)分支网点智能管理解决方案,可以实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中监控和管理;在对业务应用基本相同、数量庞大并且分布广泛的网络边缘设备进行管理时,BIMS更会极大提高管理效率,大量节约管理成本。
2.4. 抗病毒防攻击——解决网络安全性问题
随着Internet的迅速普及,全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也层出不穷,这可谓网络如江湖,到处暗藏杀机,稍不小心就会中招。
另一方面随着U盘等个人数据存储产品和便携式计算机的普及,企业内部的病毒传播更加难以控制。
企业必须把病毒限制在最小的范围以内,最大程度的降低企业的损失。
要想解决VPN网络中的安全问题,企业的每个互联网/VPN出口都需要单独部署防护设备,抵御其他节点的病毒蠕虫攻击。
部署独立的防火墙设备可以解决该问题,但是会带来额外的成本和管理上的问题,也就是VPN设备和防火墙设备在配合中可能使经过VPN隧道的用户在防火墙中被阻拦;而分支机构的数据在通过防火墙后,又无法创建VPN。
因此常见的做法是通过网络技术和软硬件技术的结合,将防火墙组件和VPN组件有机结合。
协调统一地集成在一款设备中,可以在保证VPN安全接入的同时,为企业网络安装了一套安全防护的外套:
可以将病毒蠕虫等恶意数据遏制在网关处,保障企业总部和分支机构的数据安全。
另外,对于安全需求较高的企业也可以考虑部署防病毒网关,彻底防止各种病毒的传输。
H3CASM防病毒插卡是拦截病毒传播的有力武器,以插卡形式与SecPath安全网关融合,与专业防病毒厂商强强联合,支持FTP、HTTP、SMTP、POP3协议,可以对40+万种病毒进行病毒查杀。
2.5. H3C解决之道
安全性差、不稳定、管理难、功能单一这四大问题是已经部署了和计划部署VPN的企业常遇到的,也是管理人员最为头疼的问题。
通过对这三大问题内在原因的深入分析,我们也总结出了一系列解决办法,下面列举出了存在的问题,解决办法和涉及的相关技术。
VPN网络现象
存在问题
H3CVPN方案解决之道
功能单一
只提供单一种类VPN
提供融合性VPN设备,可以同时提供基于MPLS、IPSec、SSL等技术的VPN功能
不稳定
设备不稳定
基于MIPS嵌入式芯片的专用硬件及H3CCommware软件平台
5年的大规模VPN应用案例
运营商线路故障
VPN链路备份,故障自动切换技术
管理难
配置难
中文WEB方式管理
集中管理难
VPNManager软件
BIMS(BranchIntelligentManagementSystem)分支网点智能管理解决方案
安全性差
网络病毒
专业防病毒模块SecPath ASM(瑞星)
黑客攻击
专用防火墙攻击防范技术(L3-L4)
作为国内网络以及安全设备的领导厂商,H3C公司始终关注客户的需求,以客户需求为导向来开发产品和设计方案。
通过对目前企业的VPN市场进行深度调研,H3C公司基于自身强大的研发实力,推出了面向广大企业用户的完善的VPN解决方案,为广大企业用户提供了集安全与稳定于一体的理想解决方案。
VPN方案组网部署图:
H3CVPN方案中所推荐使用的设备,都是专门针对广大企业用户开发的。
H3C致力于为企业提供可靠,高效、易管理的VPN网络,并且这些设备已经在全国众多的大型企业用户中得到了长时间、稳定的使用,能让企业用户感到放心。
方案特色:
1、高融合:
i. 支持目前主流的各种VPN功能,包括MPLSVPN、IPSecVPN、SSLVPN等,一次投资多次受益。
ii. 高集成度,融合防火墙等安全功能,简化设备的部署和维护。
2、高性能:
i. 提供高性能的网络体验,高加密能力,对网络流量处理游刃有余。
ii. 高并发连接,可以连接更多的分支机构,方便您弹性扩容。
3、易管理:
i. 全部VPN设备提供中文WEB管理界面,方便操作。
ii. 可以选配H3C分支管理系统,无需出门即可完成全网管理。
iii. 可以选配VPN网络监控系统,轻松掌握网络状态。
4、安全可靠
i. 专用的网络硬件平台,5年大规模应用的软件系统平台保障您的VPN网络顺畅稳定运行。
ii. H3C专有应用状态过滤技术ASPF,有效抵御外来病毒蠕虫、黑客攻击,保障您的网络安全无忧。
iii. 对于高安全性要求的企业可以选择防病毒模块,彻底阻止病毒的传播。
3. H3C数据新干线企业VPN典型方案推荐
3.1. 小型企业标准型VPN方案:
⇨ 分支机构数量:
少于20个
⇨ 核心终端数量在50台以下,分支终端数量30台以下
⇨ 推荐设备清单和特点
设备名称
设备选型
功能
核心节点设备
H3CSecPathF100-S
或H3CSecPathF100-M
IPSecVPN核心设备
分支节点设备
H3CSecPathF100-C
IPSecVPN经济型接入设备,3年大规模部署的经典产品,稳定可靠
3.2. 小型企业增强型VPN方案:
⇨ 分支机构数量:
少于100个
⇨ 定义规模:
核心终端数量在200台以下,分支终端数量30台以下
⇨ 推荐设备清单和特点
设备名称
设备选型
功能
核心节点设备
H3CAR18-63-1
IPSecVPN核心设备,千兆处理能力,高性价比
分支节点设备
H3CSecPathF100-C
IPSecVPN经济型接入设备,3年大规模部署的经典产品,稳定可靠
3.3. 中型企业标准型VPN方案:
⇨ 分支机构数量:
少于50个
⇨ 定义规模:
核心终端数量在100台以下,分支终端数量30台以下
⇨ 推荐设备清单和特点
设备名称
设备选型
功能
核心节点设备
H3CSecPathF100-A-SI
或H3CSecPathF100-A
默认配置为IPSecVPN核心设备,可选配硬件ASM模块提供防病毒能力,经典主流产品
分支节点设备
H3CSecPathF100-C
IPSecVPN经济型接入设备,3年大规模部署的经典产品,稳定可靠
集中管理须选配
核心集中管理软件
H3CBIMS分支管理软件
可以针对企业分支的IPSecVPN设备进行集中配置管理
核心VPN网络检测软件
H3CVPNManager
可以监控企业的VPN网络运行状态
3.4. 中型企业增强型VPN方案:
⇨ 分支机构数量:
少于60个
⇨ 定义规模:
核心终端数量在150台以下,分支终端数量30台以下
⇨ 推荐设备清单和特点
设备名称
设备选型
功能
核心节点设备
H3CSecPathV100-E
默认配置支持IPSec+SSLVPN核心设备,可选配ASM防病毒模块,一台设备的价格=多台设备的功能,超高性价比
分支节点设备
H3CSecPathF100-C
IPSecVPN经济型接入设备,3年大规模部署的经典产品,稳定可靠
集中管理须选配
核心集中管理软件
H3CBIMS分支管理软件
可以针对企业分支的IPSecVPN设备进行集中配置管理
核心VPN网络检测软件
H3CVPNManager
可以监控企业的VPN网络运行状态
3.5. 大型企业标准型VPN方案:
⇨ 分支机构数量:
少于100个
⇨ 定义规模:
核心终端数量在200台以下,分支终端数量30台以下
⇨ 推荐设备清单和特点
设备名称
设备选型
功能
核心节点设备
H3CSecPathF100-E
默认配置为IPSecVPN核心设备,可选配硬件ASM防病毒模块,高端百兆产品,3DES加密性能高达200Mbps
分支节点设备
H3CSecPathF100-C
IPSecVPN经济型接入设备,3年大规模部署的经典产品,稳定可靠
或H3CMSR20-10
IPSecVPN接入设备
集中管理须选配
核心集中管理软件
H3CBIMS分支管理软件
可以针对企业分支的IPSecVPN设备进行集中配置管理
核心VPN网络检测软件
H3CVPNManager
可以监控企业的VPN网络运行状态
3.6. 大型企业增强型VPN方案:
⇨ 分支机构数量:
少于200个
⇨ 定义规模:
核心终端数量在500台以下,分支终端数量50台以下
⇨ 推荐设备清单和特点
设备名称
设备选型
功能
核心节点设备
H3CSecPathF1000-C
默认配置为IPSecVPN核心设备,可选配硬件SSLVPN模块或者ASM防病毒模块,超值千兆核心设备
分支节点设备
H3CSecPathF100-S
IPSecVPN接入设备,高达30M的加密能力
H3CMSR20-10
IPSecVPN接入设备
集中管理须选配
核心集中管理软件
H3CBIMS分支管理软件
可以针对企业分支的IPSecVPN设备进行集中配置管理
核心VPN网络检测软件
H3CVPNManager
可以监控企业的VPN网络运行状态
3.7. 移动办公解决方案:
3.7.1. 商业融合VPN解决方案:
设备名称
设备选型
功能
核心节点设备
H3CSecPathV100-E
默认配置支持IPSec+SSLVPN核心设备,可选配ASM防病毒模块,一台设备的价格=多台设备的功能,超高性价比
移动办公软件
浏览器插件(内置、免费、无需安装)
SSLVPN接入客户端软件
3.7.2. 商业IPSecVPN解决方案:
设备名称
设备选型
功能
核心节点设备
H3CSecPath系列防火墙均可
默认配置支持IPSecVPN核心设备
移动办公软件
H3CInodeIPSecVPN客户端
USBKey
可以提供移动办公人员远程拨入,需要安装IPSecVPN客户端
3.7.3. 解决方案:
Secpath防火墙基础上扩展SSLVPN功能:
设备名称
设备选型
功能
核心节点设备
H3CSecPathF100-M及以上型号防火墙
可扩展SSLVPN模块,提供弹性扩展能力
核心节点新增SSLVPN模块
硬件SSLVPN模块
硬件SSLVPN模块,使核心节点VPN设备支持SSLVPN功能
移动办公软件
浏览器插件(内置、免费、无需安装)
SSLVPN接入客户端软件
3.8. VPN防病毒解决方案:
设备名称
设备选型
功能
核心节点设备
H3CSecPathF100-A-SI及以上型号防火墙
默认配置支持IPSecVPN核心设备,可选配ASM防病毒模块,一台设备的价格=两台设备的功能,超高性价比
核心节点防病毒模块
H3CASM防病毒模块
插入防火墙的扩展槽中,提供对FTP、HTTP、SMTP等五种协议的病毒过滤
4. H3C解决方案定购信息
方案模块
方案特性描述
典型实现产品
移动办公解决方案
商业融合VPN方案(SSL/IPSEC/MPLSVPN)
核心节点
H3CSecPathV100-E
移动客户端软件
核心节点下发(无需安装,免费使用)
商业IPSECVPN方案
核心节点
H3CSecPath系列防火墙/VPN设备均可
移动客户端软件
H3CInodeIPSecVPN客户端
防病毒解决方案
核心防病毒插卡
H3CASM防病毒模块(SecPathF100-M/A/E,F1000-C/S支持)
小型企业标准型VPN方案
核心节点
H3CSecPathF100-S或F100-M
分支节点
H3CSecPathF100-C
小型企业增强型VPN方案
核心节点
H3CAR18-63-1
分支节点
H3CSecPathF100-C
中型企业标准型VPN方案
核心节点
H3CSecPathF100-A或F100-A-SI
分支节点
H3CSecPathF100-C
核心集中管理软件(选配)
H3CBIMS分支管理软件
核心VPN网络检测软件(选配)
H3CVPNManager
中型企业增强型VPN方案
核心节点
H3CSecPathV100-E
分支节点
H3CSecPathF100-C
核心集中管理软件(选配)
H3CBIMS分支管理软件
核心VPN网络检测软件(选配)
H3CVPNManager
大型企业标准型VPN方案
核心节点
H3CSecPathF100-E
分支节点
H3CSecPathF100-C/MSR20-10
核心集中管理软件(选配)
H3CBIMS分支管理软件
核心VPN网络检测软件(选配)
H3CVPNManager
大型企业增强型VPN方案
核心节点
H3CSecPathF1000-C
分支节点
H3CMSR20-10/H3CSecPathF100-S
核心集中管理软件(选配)
H3CBIMS分支管理软件
核心VPN网络检测软件(选配)
H3CVPNManager
升级会员 