xxx学校SSL-VPN解决方案.docVIP

XX学校网康VPN解决方案 北京网康科技有限公司 2011年11月 目 录 TOC \o 1-3 \h \z \u 1. 需求分析 3 1.1 背景 3 1.2 需要达到的目标 4 1.3 为什么选用VPN联网方式 4 第二章 应用安全网关VPN解决方案 6 2.1 网络拓扑图 6 2.2方案说明 6 2.3 方案优势 7 2.3.1稳定性 7 2.3.2速度快 7 2.3.3安全性高 7 2.3.4使用简单、方便 9 2.3.5提高终端用户资源访问速度 9 2.3.6详尽的统计功能 10 2.3.7访问统计图标 11 2.3.8分级管理功能 13 2.3.9堆叠式的负载均衡 14 2.3.10容灾 14 2.3.11高扩展性 14 2.3.12线路冗余 15 2.3.13可管理性 15 需求分析 1.1 背景 随着信息技术和网络技术日新月异，XX学校业务进入全面、快速发展阶段，与其配套的应用系统的功能日益凸显。经过多年建设，XX学校已建成自身的校园办公系统（OA，EMAIL，FTP等等），且学校的老师和学生对于异地办公、移动办公等多种远程办公的需求越来越多，师生需要在校外通过Internet访问校园网和教育网的资源。 通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势。在解决节点对节点互联方面，可采用IPSec技术。在解决移动接入方面，可采用SSL VPN。因为传统IPSec VPN需要安装客户端，在面临越来越多的远程移动用户接入时，将带来诸如管理/维护成本、终端适应性等问题，而SSL VPN无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSL VPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性，解决了IPSec VPN在移动接入的不足之处。 本次学校的师生远程访问的需求，选择使用SSL VPN。 1.2 需要达到的目标 通过采购、安装、配置IPSec/SSL 一体化VPN网关及相关网络互联设备，在学校网络出口部署VPN设备。通过SSL VPN功能，只为师生开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对师生来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，让管理员不需再担心大范围客户端的安装和配置问题。 从整体上满足学校师生在任意时刻、任意地点都可通过Internet访问校内网络资源。 1.3 为什么选用VPN联网方式 （1） 安全性高 在校外通过Internet访问校内网络资源时必然面临安全问题。用VPN构建网络具备相当高的安全性，主要有如下几点安全要素： 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。 （2） 降低成本 当使用Internet时，实际上只需要付基本宽带费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费，此外，VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。 （3）容易扩展 支持多种接入实现方式，并且网络是动态的，可以随时增减用户，便于集中控制访问权限。 （4） 完全控制主动权 VPN使学校可以使用运营商的设施和服务，同时又完全掌握着自己网络的控制权。 综合考虑以上情况，在网络组建前期必须进行详尽的调查与测试，寻找一种适合组建大规模VPN网络的，专业智能的，“傻瓜式”的VPN产品来组建此通信网络。在方案中必须要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有很多VPN产品，那么究竟那一种VPN产品才是企业最好的选择呢？针对企业上面的需求，采用网康科技的ASG VPN解决方案正是一种非常好的解决方案。 第二章 网康VPN解决方案 2.1 网络拓扑图 图一 VPN网络示意图 2.2方案说明 XX学校VPN的并发用户数为1000人，建议在学校端部署一台NV3000-50 型号的ASG