中国移动nortelcontivityvpn产品精编.docxVIP

Lele was written in 2021 Lele was written in 2021 中国移动NortelContivityVPN产品精编 密 级： 文档编号： 项目代号： 中国移动Nortel Contivity1700 VPN产品安全配置手册 Version 中国移动通信有限公司 二零零四年十二月 拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 与文档的主要关系 目 录 TOC \o 1-3 \h \z \u Contivity VPN概述 简介 Contivity VPN可以在因特网上建立安全连接，提供路由、VPN、防火墙、带宽管理、加密、鉴权和数据完整性功能。Contivity VPN可以连接远程用户、分支机构、供应商和客户，同时利用公共网络的成本和性能优势且具备专用网络的安全性和控制优势。 分类及其工作原理 由于目前出差办公用户的的日益增多，远程用户需要及时地访问Intranet和Extranet。所采用的Contivity VPN实现AccessVPN的功能，即，对于出差流动员工，Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。 Access VPN方案采用的是用户发起（Client-initiated）的VPN连接。用户发起的VPN连接指的是以下这种情况：首先，远程用户通过服务提供点（POP）拨入Internet，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。 功能与定位 所需功能 需要提供内部信息安全访问通道，为内部工作人员及经常外出的工作人员提供信息传递及信息查询。使用人员预计数千名员工，其中有部分员工需要经常在公司外部进行移动办公。这些移动办公人员使用本机通过Internet，访问该企业的Web服务器，从而实现信息交互业务。 Contivity VPN功能 Contivity VPN 1700所提供的主要功能如下： 经济高效地将基于IP的远程接入扩展到需要500条隧道的位置。 单种设备可用作IP接入路由器、专用VPN设备或防火墙。 小巧的低成本产品可提供高端Contivity软件和管理性能。 支持隧道流量和非隧道流量的动态路由和负载平衡、先进的服务质量(QoS)和带宽管理性能。 可使用Contivity Configuration Manager、Web浏览器或命令行界面，通过安全的加密互联网隧道，进行集中式管理。 方案定位 由于移动办公用户需要通过拨号（或其他设备）接入Internet，访问该企业的Web服务器，实现信息交互。由于Internet的广泛性和开放性，给该企业的系统应用带来了很多安全隐患，给系统提出了信息加密传输、登陆身份认证需求。 如果使用“用户名＋密码”的方法验证移动用户的身份，在先进技术发展的背景下会存在诸多安全隐患：首先，用户可能具有多个应用系统的访问帐号，随着时间的推移，用户大多都无法记住自己在每个应用系统的用户名和密码，从而导致了系统管理员的维护工作大大增加。用户不断埋怨，工作人员工作压力越来越大。其次，用户名和密码在网上传输中很容易被窃取，现在已经有很多黑客软件，例如各种版本的网络嗅探器，通过网络监听就很容易截取用户名和密码。另外，用户设置的用户名和密码都有一些个人习惯，密码往往是和自己有关系的单词或数字，很容易被别人猜出。 移动办公人员通过互联网传递信息，由于互联网传输协议的开放性，使得传输的信息非常容易遭到窃听、截获、篡改等安全威胁。 因此，需要采用有加密传输与身份认证结合的安全机制，实现对访问用户的身份验、传输信道加密，确保身份真实的用户能够安全的访问系统、放心的传输数据。 Contivity VPN特点与局限性 易于部署和管理 Contivity VPN交换机具有全面的特性，可用于构建高性能、可扩展、安全的VPN接入。 Contivity VPN交换机易于在企业站点部署，可以支持多种接口，可以与现有的网络组件(如路由器、防火墙、服务器)互操作。 它具有一个功能强大的综合管理系统，可以在下列方面提供有效的VPN业务管理： 故障管理(如告警监视器、历史故障浏览器、故障顾问) 性能管理