分支机构VPN建设方案.docVIP

雪花啤酒各分支机构VPN接入解决方案 雪花啤酒 目 录 TOC \o 1-4 \h \z \u 1 项目概述 3 2 VPN技术简介 4 2.1 IPSec VPN技术 5 2.2 设计原则 5 3 VPN解决方案 6 3.1 需求分析 6 3.2 产品选型 8 3.3 产品部署 8 4 VPN产品功能及特点 10 4.1 支持IPsec协议标准 10 4.2 支持最新的NAT穿越协议 10 4.3 支持双动态IP地址间隧道 10 4.4 支持动态域名解析 11 4.5 完善的VPN网络集中管理功能 11 4.6 具备丰富的冗余备份方案 12 4.7 具备功能强大的VPN软件包 13 4.8 具备易用的管理配置界面 13 4.9 具备丰富的VPN网关附加功能 14 4.10 VPN产品功能列表 14 5 产品报价 17  项目概述 雪花啤酒，如何提高办公网各个业务系统的数据传输的安全性已经成为雪花啤酒当前急需解决的问题。 VPN技术简介 虚拟专用网（VPN）是一种以公用网络，尤其是Internet为基础，综合运用隧道封装、认证、加密、访问控制等多种网络安全技术，为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术，包括和该技术相关的多种安全管理机制。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途专线连接和远程拨号连接，但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是：实现低成本的互通和安全。 总部及各个分支机构通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此虚拟专用网的重点在于建立安全的数据通道，该通道应具备以下的基本安全要素： 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。 需要强调指出的是：网络信息系统是由人参与的信息系统环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。 IPSec VPN技术 IPSec VPN是基于IPSec协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议：“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) 。AH为数据流提供数据完整性认证的服务。ESP为所传输数据提供加密和数据完整性认证的服务。 IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。在密钥的获取方面，IPSec提供了IKE协议，使通讯的双方能够通过安全的自动协商获得相同的密钥。 Transport Mode 将原IP包中的数据部分进行封装，从而提供了端对端的安全连接。Tunnel Mode 封装整个IP 包 ，从而建立网关到网关间的安全的虚拟的一跳（hop）。利用Tunnel Mode建立跨越Internet区域的连接两个网关的隧道，从而组成传统方式的VPN。 传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSec VPN， 这种形式的VPN被广泛地使用在企业中，用于安全连接位于异地的企业计算机资源。 设计原则 我们在对IPSEC VPN系统建设时遵循以下原则： 开放性 IPSEC VPN系统应当符合开放性规范，方便今后对网络进行扩展和功能扩充，接入不同厂商多种硬件设备、软件系统和网络产品。 扩展性 IPSEC VPN系统设计应当考虑未来的拓扑结构、功能模块、处理能力和网上负载的扩展，应当易于增加新设备、新的应用系统（如新ERP系统），随企业各部门信息化的逐步实现能不断延伸和扩充，充分保护现有投资利益。 可靠性 IPSEC VPN系统应当具备高容错和容灾能力，具有抵御外界环境和人为操作失误的能力，并且能够在最短时间内进行故障排除和恢复，IPSEC VPN系统具有充分的容错设计，使系统的单点故障不影响网络正常运行。 标准化 IPSEC VPN系统使用的通信协议、管理协议和硬件接口必须符合国际标准，并