某某集团VN安全方案.doc

某某集团VPN安全方案 　在此次XXX集团网络系统的安全建设中，网络安全的部署将依据应用业务的具体需求进行安全体系设计。我公司将根据此次公司XXX集团业务运营的具体需要，进行详尽合理的网络设计 ，提供一个高可靠性、高安全性的网络安全体系。 　　1.网络建设整体方案建议 　　在这部分中，我公司将根据公司XXX网络运营现状和具体发展需要提出完整的网络互连和系统安全解决方案。 　　1.1 网络建设需求分析 　　当前XXX集团总部在上海，共有20多家分支企业，由于系统运营的需要，要求20个分支企业和总部进行安全网络通信。由于专网费用过于昂贵,因此建议采用VPN技术构建集团的虚拟专网。根据现在的网络情况来分析，各分部有两种网络数据访问模式： 　　1．本企业到Internet网络的连接，需要访问互联网信息。 　　2．本企业到总部的数据下载、上传等保密数据的交互。 　　?根据以上公司系统业务运营模式和数据交换方式，其网络建设的重点要完成各分部到总部的专网连接和各部访问Internet的双重目标。 　　1.2? 网络建设原则 　　?????? 在本次公司XXX网络安全设计方案中，我们将遵循以下网络设计原则： 　　1.???? 切合实际应用，满足业务运营要求。 　　2.???? 提供简单、实用、完整的网络运营体系。 　　3.?????充分考虑公司XXX网络运营的未来发展 　　4.?????充分考虑公司XXX网络建设整体投资 　　5.?????提供方便、完善的网络运行监控和管理功能 　　1.3? 网络建设方案 　　根据以上的现有网络运营情况和具体业务要求，我们推荐XXX集团网络安全系统利用YISHANG（浙大网新）YISHANG高性能的防火墙设计构筑XXX集团的VPN网络。 　　在本方案中,我们充分利用IP VPN的网络技术,在原网络模型上完成各总部上Internet和业务数据保密传输的要求。 　　VPN是近年出现的一种新技术，它为企业的私网互连和上Internet提供了完整的解决方案。企业连接远程网络最直接的方法就是使用专线，但问题很多，最主要的如费用昂贵、维护困难、接入点的选择不灵活以及多节点连接的困难等。　　同时，企业既然已经接入Internet，却又要使用专线连接内部网，这无疑是一种资源浪费。Intranet既然可以采用Internet的技术（TCP/IP），那为什么不能利用Internet所已有的设施呢？基于这种想法，VPN技术出现了。 　　可以给VPN下一个简单的定义：采用TCP/IP安全技术，借助现有的Internet网络环境，在公共网络信道上建立的逻辑上的企业（这里的企业是一个广义的概念，可以指公司、机构、组织等）专用网络。 　　采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证企业内部信息在Internet上传输时的机密性和完整性，同时使用鉴别对通过Internet进行的数据传输进行确认。可以看出，这是一种广义的访问控制，即通过加密实现的访问控制（只有具有某种权力和知道密码的主体才能访问相应的客体）。 　　为了实现上述功能，实现VPN的部件必须处于内外部网络的边界处，事实上可以认为VPN是对防火墙的功能性延续，可以说，VPN从逻辑上扩大了内部网，从功能上扩展了防火墙。 　　实现VPN一般是在网络层对数据包进行处理，IETF的安全工作组提出的IP安全选项包括鉴别报头（Authentication Header）和安全负载封装（Encapsulating Security Payload）为在IP层实现的各种安全功能如鉴别、加密等提供了先决条件。 　　鉴别报头(AH)和安全负载封装(ESP)分别提供鉴别和机密性服务，根据选择的具体加密算法，还可能提供不可抵赖等服务。 　　其中的安全参数索引（SPI）是一个重要的概念，它用于指定AH和ESP的安全关联（Security Association），安全关联是一些安全参数的集合。 　　根据需要，ESP可以对IP数据包中的传输层段进行加密保护（传输模式），也可以对整个IP数据包进行加密保护（隧道模式）。 　　在隧道模式中，发送方对整个IP包进行加密，并附加一个新的IP报头，因此，它在隐藏数据的同时，还隐藏了本数据包源发方的信息。而这，正是提供了VPN功能的防火墙所需要的。通过使用隧道模式ESP，可以在不安全的公共信道上建立一个安全的IP隧道，利用业界最高加密级别IPSEC算法，实现数据的完整性校验、安全性传输，而且不需要内部网其他主机的参与，对企业内部用户完全透明，可行性强，管理方便。 　　在1999年底，IETF安全工作组完成了IPsec的扩展，在IPsec协议中加上ISAKMP(Inte