大型企业网络安全VPN解决方案 - 北京华大恒泰科技有限责任公司.doc

大型企业网络安全VPN解决方案 建 议 书 Watchguard Technologies Inc. 一．引 言 本建议书编写的目的是说明该企业网络安全改造项目的技术可靠性，说明并分析所建议的方案。可用于编制可行性研究报告及方案设计书的参考材料。考虑到该企业 网络中心目前的主要需求为VPN的实施，本建议书重点阐述VPN技术及相应的产品在项目中的应用，其它技术细节不再细述。 该企业拥有大型、丰富的管理运营网络，目前需要实现很大范围内总部与下面各企业分厂或远程分支机构之间联网和信息共享及数据传输。由于该企业 各企业分厂或远程分支机构每天都要将销售数据汇总到总部，因此其VPN网络的建立将为该企业网络中心总部、各企业分厂或远程分支机构之间办公及业务活动提供有安全保证的信息网络基础平台。该平台构成了该企业商务活动的平台，一旦建立将会在节省通讯费用、提高工作效率 、改进工作质量 、方便用户 、堵塞漏洞方面带来巨大的经济效益。而且也为今后的应用扩展（比如视频、语音、流媒体等）提供了基础的平台。 二．需求分析 针对目前该企业网络中心的现有环境和以后的网络要求，我们将对其进行网络优化改造，下面是改造后的VPN网络结构图： 从上面的结构图中可以看出，我们对该企业的网络进行了最佳优化，以前总部与下面各企业分厂或远程分支机构之间数据传输直接通过ADSL拨号传输，这样传输的数据没有经过任何加密，很容易被黑客窃取，数据的安全性得不到保证。而且，中心点和下面的分支机构也没有做链路冗余，缺乏保护性。当主链路不稳定时，直接会影响到总部与下面各企业分厂或远程分支机构的正常业务传输。现在，我们在该企业的网络出口增加两台Watchguard Freibox X2500作为与下面各企业分厂或远程分支机构连接的VPN网关，两台Firebox X2500相互之间做热备（Active-Standby）,保证了良好的网络冗余性。下面各企业分厂或远程分支机构安装Firebox SoHo6tc防火墙与中心点建立VPN隧道。出口有两根链路，一根通过DDN连接到Internet,另一根是ADSL备份链路。下面分支机构是两根ADSL链路，一根工作，另一根处于备用模式。正常情况下，该企业使用DDN专线与下面各企业分厂或远程分支机构进行数据传输，当DDN线路发生故障而中断时我们可以启用ADSL备用链路与分支点建立VPN连接。当中心点的某一台Firebox X2500发生故障时，另一台Firebox X2500将马上切换到工作模式，用户的正常访问不受影响。当远程分支机构主ADSL链路中断时，SoHo 6tc会自动切换到备用ADSL线路与中心点建立VPN隧道。通过这一系列的网络改造，我们将为该企业建设一个高效、安全、稳定的网络。 该方案有如下的优点： 良好的冗余性 如方案拓扑图示，在对现有网络资源调整后。该企业网络有二条网络接入途径； 网络中心有一根DDN专线将直接接入Internet，下面各企业分厂或远程分支机构通过ADSL链路和SoHo 6tc防火墙接入公司的VPN网络； 网络中心的另一根接入是ADSL备用线路，作为DDN的备份，当DDN链路中断时，Firebox X2500防火墙将通过备份链路与下面各企业分厂或远程分支机构的SoHo 6tc防火墙建立VPN连接； 在网络中心，Firebox X2500相互做HA保护，工作在Active-Standby模式；这样设备和链路均处于冗余保护模式，极大地提高了网络的可靠性。冗余的VPN网关可以很好地确保网上业务的连续性。 可靠的安全性和良好的兼容性 a、 网络中心的防火墙可以设置为状态包过滤和应用代理模式，而且Watchguard的防火墙可以支持路由、NAT和代理三种模式，NAT模式可以有效的隐藏受保护网络的内部真实IP地址，确保网络真实信息不被利用； b、 各个企业分厂或远程分支机构同总部之间依据不同的情况还可以来部署多种形式的VPN；本方案对于较大规模的企业分厂或远程分支机构同总部之间实施LAN-TO-LAN的VPN模式；对于较小规格的企业分厂或远程分支机构和分支用户我们可以采用LAN-TO-REMOTE客户端软件的方式。这可以有效的加密数据通道； c、 Watchguard的防火墙支持静态NAT端口Mapping功能，即你可以把一个真实的端口通过NAT映射到一个虚拟的端口，而且Watchguard还能做到邮件服务器和DNS服务器的伪装，这样黑客就不容易发现真实端口信息，保护网络安全； d、 Watchguard的IPSEC-VPN同其它牌子的VPN产品有着良好的兼容性，因为Firebox的产品早已通过了ICSA实验室的IPSEC-VPN认证。所以只