分支机构VPN建设方案.pdfVIP

雪花啤酒各分支机构VPN 接入 解决方案 雪花啤酒 目录 1 项目概述2 2VPN 技术简介2 2.1IPSEC VPN 技术3 2.2 设计原则3 3VPN 解决方案4 3 。1 需求分析4 3.2 产品选型6 3.3 产品部署6 4VPN 产品功能及特点7 4.1 支持IPSEC 协议标准7 4.2 支持最新的NAT 穿越协议7 4 。3 支持双动态IP 地址间隧道8 4 。4 支持动态域名解析8 4.5 完善的VPN 网络集中管理功能8 4 。6 具备丰富的冗余备份方案9 4 。7 具备功能强大的VPN 软件包10 4.8 具备易用的管理配置界面10 4 。9 具备丰富的VPN 网关附加功能11 4 。10VPN 产品功能列表11 5 产品报价18 1 项目概述 雪花啤酒，如何提高办公网各个业务系统的数据传输的安全性已经成为雪 花啤酒当前急需解决的问题.精品文档放心下载 2 VPN 技术简介 虚拟专用网（VPN ）是一种以公用网络，尤其是Internet 为基础，综合运用感谢阅读 隧道封装、认证、加密、访问控制等多种网络安全技术，为企业总部、分支机构、精品文档放心下 载 合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术，包括和精品文档放心下 载 该技术相关的多种安全管理机制。VPN 的主要目标是建立一种灵活、低成本、感谢阅读 可扩展的网络互连手段，以替代传统的长途专线连接和远程拨号连接，但同时感谢阅读 VPN 也是一种实现企业内部网安全隔离的有效方式。VPN 技术需要解决的主要谢谢阅读 问题概括起来就是：实现低成本的互通和安全。 总部及各个分支机构通过公网实现跨地域的系统互联必然面临安全问题。 使用公用网络会导致机构间的传输信息容易被窃取 ,同时攻击者有可能通过公网 对机构的内部网络实施攻击，因此虚拟专用网的重点在于建立安全的数据通道， 该通道应具备以下的基本安全要素：谢谢阅读 保证数据的真实性,通信主机必须是经过授权的，要有抵抗地址假冒（ IP Spoofing ）的能力。谢谢阅读 保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子 篡改数据的能力。感谢阅读 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截 到的通道数据。感谢阅读 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过 VPN 通道攻击企业网 络的能力，并且可以对VPN 通道进行访问控制。谢谢阅读 需要强调指出的是：网络信息系统是由人参与的信息系统环境 ,建立良好的 安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基精品文 档放心下载 础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案.感谢阅读 2.1 IPSec VPN 技术 IPSec VPN 是基于IPSec 协议建立的虚拟专用网络。IPsec 中有两个独立的用感谢阅读 于安全传输数据的协议:“Authentication Header （AH) 和“Encapsulating Security 精品文档放心下载 Payload (ESP）。AH 为数据流提供数据完整性认证的服务.ESP 为所传输数据精品文档放心下载 提供加密和数据完整性认证的服务。 IPSec 协议通过AH 和 ESP 协议对传输的数据提供完整性认证和加密的安 全服务。在密钥的获取方面，IPSec 提供了 IKE 协议,使通讯的双方能够通过安 全的自动协商获得相同的密钥。精品文档放心下载 Transport Mode 将原 IP 包中的数据部分进行封装，从而提供了端对端的 安全连接.Tunnel Mode 封装整个 IP 包，从而建立网关到网关间的安全的虚拟 的一跳（hop）。利用Tunnel Mode 建立跨越 Internet 区域的连接两个网关的 隧道，从而组成传统方式的VPN.精品文档放心下载 传统形式的VPN 采用ESP 协议并工作在Tunnel 模式的IPSec VPN,这种形 式的VPN 被广泛地使用在企业中，