VPN技术方案 _原创精品文档.pdfVIP

.

VPN技术方案

6.1、概述

随着现代企业信息网络的不断发展，远程安全访问的需求也呈现

出迅猛的增长态势。如何实现安全、可控、随时随地可建立的远程接

入，成为越来越多的企业所面临的一个重大问题。

6.2、企业网络的新挑战

当今，随着网络业务的迅速发展，企业必须扩展其内网应用服务

资源和数据资源的访问领域，以满足越来越多的远程接入需求，比如

分支机构接入、合作伙伴接入、客户接入、出差员工接入、远程办公

接入等等。接入的网络环境也越来越复杂，接入的场景更是千变万化。

如何在保证内网安全的前提下，确保处于各种复杂的网络环境以及接

入场景的合法用户，能够安全接入内网，对现代企业网络提出了新的

挑战。

6.3、IPSec/SSLVPN一体化

IPSec（IPSecurity）是一组开放协议的总称，特定的通信方之

间在IP层通过加密与数据源验证，以保证数据包在Internet网上传

输时的私有性、完整性和真实性。IPSecVPN适用于site-to-site

的远程连接方式，但在point-to-site这方面却渐渐难以为继。

精品word文档

.

在这种情况下，SSLVPN应运而生。在保证通信的安全性的基础

上，SSLVPN实现了更加细致的访问控制能力，大大增强了对内网的

安全保护。同时，SSLVPN通信基于标准TCP/UDP，因而不受NAT限

制，能够穿越防火墙，使用户在任何地方都能够通过SSLVPN网关代

理访问内网资源，使得远程安全接入更加灵活简单。另外，使用SSL

VPN不需要安装任何客户端软件，只要用标准的浏览器就可以实现对

内网资源的访问。省去了客户端的繁琐的维护和支持工作，不仅极大

地解放了IT管理员的时间和精力，更提高了远程接入人员（如出差

员工）的工作效率，节省了企业的培训和IT服务费用；同时，也意

味着远程用户在进行远程访问时不会再受到地域的限制，不论是在公

共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有

网络，远程访问就没问题。

SSLVPN以其独特的技术优势，给出了理想的point-to-site安

全接入解决方案，受到越来越多IT管理者和企业的关注。但SSLVPN

并不能取代IPSecVPN，两种技术具备各自的特点，应用于不同的场

景。在局域网互连的site-to-site场景中，IPSecVPN仍然占有绝

对的优势。

为了既能实现企业多个局域网间的互连，又能更好地推动移动办

公应用，融合两种VPN技术，推出了SSL/IPSec一体化VPN平台：USG

安全接入网关。SVN弥补了单一VPN设备存在的不足，最大限度地发

挥了VPN给企业带来的方便性和易用性，为客户提供了完整的远程安

全接入解决方案。

精品word文档

.

6.4、融汇集团分析

6.4.1、融汇集团现状

1．融汇集团出口用户划分：分支机构、合作伙伴、客户、出差员

工、远程办公

2．融汇集团主要出口网络业务：对不同访问者开放的不同应用软

件、数据资源

3．融汇集团内部服务器保护：企业内部FTP、WEB、MAIL、数据

库服务器权限管理，需要进行具体应用的访问控制

4．融汇集团对用户权限的区分：需要对用户进行严格的认证、授

权

5．融汇集团内部安全区域的划分问题：不同部门内部资源权限

管理，需要对用户进行分组管理

6．融汇集团用户同时访问需求量：需要支持多个用户同时远程接

入，互不干扰

7．融汇集团内部部门划分数量：每个部门希望有一个独立网关，

有虚拟网关

6.4.2、融汇集团远程安全接入设计原则

根据融汇集团对远程安全接入的需求以及公司对安全接入的积

累，我们提出融汇集团远程安全接入设计必须满足以下原则：

精品word文档

.

1．安全性原则：充