XX集团VPN网络建设解决方案.docVIP

XX集团 VPN网络建设解决方案 上海安达通信息安全技术有限公司 Shanghai Assured Data Info-Sec Technology Co., Ltd. 2003.4 目 录 第一章 项目情况介绍 1 1.1 项目背景 1 1.2 目前网络和应用现状分析 1 第二章 设计原则和设计思想 5 2.1 安全性原则 5 2.2 实用性原则 6 2.3 可靠性原则 6 2.4 可扩展性原则 6 2.5 易管理性原则 7 第三章 XX集团VPN网络建设方案 8 3.1 VPN技术简介 8 3.2系统设计功能分析 12 3.2.1 VPN系统对原有系统的兼容 12 3.2.2 VPN系统对原有网络的兼容 12 3.2.3 网络层的访问控制和身份认证 13 3.2.4 因地制宜的部署原则 14 3.2.5 为企业节省了费用开支 15 3.2.6 系统的易扩展性 15 3.3 产品选型 16 3.4 网络规划与产品部署 17 第四章 技术支持服务 20 4.1 技术支持与服务 20 4.2 用户培训 21 第五章 安达通公司简介 23 第一章 项目情况介绍 1.1 项目背景 以Internet网为主体的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。一方面，Internet网使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利；另一方面，面对信息的汪洋大海，人们往往感到无所适从，出现“信息迷向”的现象。特别是，Internet网是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet网上通过电子手段予以重现，信息犯罪愈演愈烈。网络的开放性，互连性，共享性程度的扩大，使网络的重要性和对社会的影响也越来越大，网络安全问题变得越来越重要。 目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，许多员工的办公不再仅仅局限于同一物理位置上的办公，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样协同工作。尤其是出现自然因素（如，目前的“非典”原因）而导致员工需要远程协同办公，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来传输远程办公员工与公司之间的信息交流。 XX集团作为国内知名企业，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，甚至也是内部员工十分感兴趣的内容，这提醒我们应该更加注重网络安全的建设。值得称道的是，公司领导已经对此引起了高度重视，并计划逐步进行卓有成效的防护工作。在这方面，合理借鉴市场先进经验与理念十分重要。 XX集团信息系统当前面临的首要问题和最大隐患是：边界安全防御与链路传输的加密。这也正是本方案中力求加以明确的地方。我们将通过认真和充分的系统分析将这些问题揭示出来并提供解决方法的建议。 1.2 目前网络和应用现状分析 XX集团总部设在杭州，企业网Intranet是以金顶苑总部大楼为中心，通过帧中继及网通的VPN与余杭一厂、八厂、杭州二厂区连接的企业广域网，其余各公司、各地办事处则通过拨号上网或宽带上网与总部服务器连接，已经初步建立起一套信息交互的网络体系。 总部网络通过电信的光纤接入互联网。在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。 目前，在网络上运行的OA等应用系统。 XX集团现在全国有26处分支机构，大多通过拨号或者宽带接入公司总部。 总部目前网络拓扑图如下： 图1-1 XX集团网络拓扑示意图 随着公司业务的迅速发展，各地分公司、办事处也相继多了起来，信息交互也越来越频繁，随着企业应用系统的实施，重要的数据和信息在网络中传输也也来越多，安全性要求也越来越重要，目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应XX集团对信息传输平台的要求了。 从经济角度考虑，电信部门提供的专线组网方式费用比较昂贵，由于XX集团是一个快速发展的现代企业，先后在北京、广州、上海、西安省内主要城市设立了多家多家紧密型的分销客户网络VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点，且VPN产品特有的具有对internet上的内部移动用户安全接入，可以彻底消除地域差异，实现可移动用户的网络互连及基于internet的可移动安全访问控制。因此，采用VPN方式组网对XX集团来说是一种现实可行的，完全可以满足公司员工在办事处、在外出差、在家秉承办公的业务需要。 下面是VPN与专线的综合比较： VPN技术 专线技术 安全性 非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里 比较高。但是，安全是建立在对电信部门相信的基础上，对电信运营商，无任何安全可言。 可扩展性 基于TCP/IP技术，接入方式灵