03浙江石油VPN方案建议书1011.docVIP

浙江石油公司VPN方案建议书 联想(北京)有限公司 2002年10月 目 录 第一章 绪论 3 1.1 VPN的概念和功能 3 1.2 VPN的现状和优势 4 第二章 项目可行性分析 6 2.1 浙江石油网络互连的需求 6 2.2 浙江石油网络互连采用VPN的优势 6 2.2.1 高安全性 7 IPSec 7 IKE 8 防火墙技术 9 CA身份认证技术 10 远程安全管理 11 密钥安全存储和硬件加密技术 11 双机备份技术 12 日志审计 12 2.2.2 降低成本 13 2.2.3 高带宽高可用性 13 第三章 方案设计 15 3.1 设计原则 15 3.2 配置方案 15 3.3系统模块功能说明 17 3.3.1 安全管理中心 17 3.3.2 客户端 18 附件1：设备报价 20 附件2：基于VPN的联想视频会议解决方案 21 第一章 绪论 1.1 VPN的概念和功能 虚拟私有网络（VPN，Virtual Private Network）是一种利用公共网络来构建私人专用网络的技术，用于构建VPN的公共网络包括Internet、帧中继、ATM等，我们通常将利用帧中继、ATM等网络技术组建的VPN归为专线网络，而在Internet上构建的VPN则是基于IPSec技术提供的一系列加密认证技术以及密钥交换方案，使得在公共网络上组建的VPN具有和本地私有网络一样的安全性、可靠性和可管理性等特点。在本文中如果没有特别的说明，VPN就是特指这种建立在Internet上的利用IPSec技术的VPN。 “虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远程办事机构、出差工作人员以及业务合作伙伴，如下页图1.1所示。 图1.1 关键业务网络系统的典型架构 由图可知，关键业务网络系统的典型架构是由企业或政府部门的机构设置所决定。一般而言，一个典型的关键业务网络系统由一个总部、若干分支机构、数量不等的合作伙伴及移动远程用户所组成。除远程用户外，其余各部分均为规模不等的局域网所组成，其中总部局域网是整个网络系统的核心，为企业各类中心服务器所在地，同时也是网络管理中心。各部分之间的连接方式多种多样，包括远程拨号、专线、Internet等。从互联方式来看，VPN则可分为三种模式： 远程访问VPN（Access VPN）：远程访问可以使得移动用户访问公司的电子信箱和其他商业资源。通常这需要用户拨号到企业的modem池中，但是公司需要支付昂贵的长话费用；现在授权用户只需接入本地ISP的POP（Point Of Presence，接入服务提供点），就可以建立基于IPSec的VPN连接，远程访问总部的网络资源。 企业内部VPN（Intranet VPN）：Intranet将企业的各个分支机构连接在一起，共享应用程序和文件。虽然帧中继、ATM以及MPLS等技术也能完成这样的功能，但是它们都有缺陷，尤其是当企业业务遍及世界时，这些技术都不足以满足企业不断发展的需求，而且其昂贵的线路费用也是企业沉重的负担。现在VPN使用廉价的Internet网络资源，加上IPSec技术就可以组建Intranet，安全便捷的为企业提供信息共享服务。 企业外延VPN（Extranet VPN）：Extranet是多个企业之间的安全商业连接，企业通常利用Extranet与客户及供应商发展合作关系。由于连接费用、时间延迟以及访问可靠性等方面的制约，仅仅依靠传统的网络技术是很难完成这些任务的。VPN技术则是Extranet应用的理想解决方案，可以为企业提供快速、便宜而且安全的Internet连接，协助企业完成即定的商业目标。 1.2 VPN的现状和优势 在经济全球化的今天，越来越多的公司、企业开始在各地建立分支机构，开展业务，移动办公人员也随之剧增。在这样的背景下，这些 Telecomputer（在家办公或下班后继续工作的人员）和移动办公人员、远程办公室、总部以及客户之间必须建立连接通道。 传统的企业网组网方案中，要进行远程 LAN 到 LAN 互连，除了租用 DDN 专线或帧中继之外，并无更好的解决方法；对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的内部网；这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，VPN（Virtual Private Network）虚拟专用网的概念与市场随之出现。 VPN的优势： VPN技术的安全性：利用对称密码和非对称密码技术，VPN可以为用户提供身份认证、IP报文信息加密、信息完整性等安全保护功能。 利用VPN技术组建的网络费用比专线网络或帧中继网