WatchGuardUTMVPN网络技术方案v0.1

WatchGuardUTMVPN网络技术方案银兴科技QQ2236294174IWatchGuardTechnologies,Inc.集成防火墙/VPN功能............................................................................-8-5.3.全面的网络安全管理...............................................................................-9-5.3.1.生成网络活动报告........................................................................-9-5.3.2.网络活动实时监控......................................................................-10-5.3.3.多种告警方式.............................................................................-10-5.4.高级附加安全功能................................................................................-10-5.4.1.网关防病毒/入侵防御..................................................................-11-5.4.2.Web访问过滤和控制...................................................................-11-5.4.3.垃圾邮件过滤.............................................................................-12-第六章WatchGuard公司简介...........................................................................-13--1-WatchGuardTechnologies,Inc.网络需求分析本段主要描述以下内容：1、用户现有网络应用情况：拓扑、网络规模、主要应用等；2、面临哪些VPN方面的问题？有哪些明确的VPN组网需求？为准确、详细的描述以上问题，这部分资料和信息需要和用户进行深入沟通！示例：XXX是一个特大型的XXXX企业，主要经营石油、天然气勘探、开发、生产、炼制、储运、销售等业务，是一个按照现代企业制度运作，跨地区、跨行业、跨国经营的综合性公司。XXX在XX省各地分布着大量分支机构，本次项目的目标就是要组建一个安全、可靠、易维护的VPN网络，将省内的约400个分支机构和省中心连接在一起。省中心和各分支节点均已接入Internet，省中心有固定公网IP，各分支节点则通过512KADSL链路拨号接入Internet，每个分支节点约有2-5台联网PC。组建VPN网络的主要用途是用于中心节点和各分支节点之间安全、可靠、可控的传输数据。VPN网络建成后，既要能满足省中心定时安全访问分支节点硬盘录像资料的需求，又要保证省中心可以实时、安全、快速的完成各分支节点设备的远程管理。考虑到分支节点没有专业IT人员，各分支节点又分布广泛，VPN网络的可靠性、简易性、可维护性将是本次项目需要重点考虑的一个内容。-2-WatchGuardTechnologies,Inc.资源构建等同于专线的连接链路，同时保持高度的安全性、可靠性和强大的扩展性。它兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，因此已经成为一种成熟的主流连接手段。本次项目，我们推荐选用的是基于IPSecVPN的联网技术。IPSec(Internet协议安全)是一个工业标准网络安全协议，由IPSec协议提供隧道安全保障，提供所有在网络层上的数据保护，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSecVPN是基于IPSec协议的VPN产品，不受接入带宽限制，通过在Internet上利用安全、认证、加密等技术建立企业的专用线路，也就是一个安全的网络隧道（TUNNEL），在降低联网费用的同时，确保信息的安全性、完整性和真实性，它可以提供与昂贵的专线（DDN）类似的安全性，可靠性，可管理性和优先级别。IPSecVPN在提供工业级高安全性的同时，还具备以下突出的优势和特点：高安全性：IPSecVPN的显著特点就是它的安全性，通过高强度的加密、认证算法，集成的防火墙，应用层安全防护，结合RADIUS、LDAP、SecurID等多种身份认证方式，有效保证了VPN网络的整体安全；另外，分支节点VPN终端利用内置的防火墙功能，可以同时控制分支节点PC对Internet和VPN网络的访问，限制其访问的网络和应用，在确保安全的同时，也提供了足够的灵活性；-3-WatchGuardTechnologies,Inc.高可靠性：基于硬件设备的IPSecVPN网络提供了丰富的冗余机制，支持省中心中心网关的冗余部署，支持各分支节点VPN访问链路的冗余备份，这些都大大提高了VPN网络的整体可用性；经济优势：不再承担昂贵的固定线路的租费，各分支节点只承担本地的接入费用，无论分支多远，费用相同。另外，集成防火墙/VPN的设备功能强劲但造价低廉，并提供了良好的可管理性；增强的管理特性：IPSecVPN设备集成了直观、使用的集中管理软件，提供了实时有效的安全集中管理特性，省中心管理人员可以远程完成对VPN网络的整体监控和维护，实时监控、调整任一分支节点VPN终端的配置；可扩展性：IPSecVPN的核心设备具备良好的可扩展性，可以以低廉的价格连接大量的分支，各分支节点的VPN终端设备可以无需更换硬件的进行功能、性能的升级；支持多种应用：基于IPSecVPN的网络实现了真正的LAN-LAN的无缝互联，可以完美支持基于局域网的各种复杂网络应用，为用户网络应用的发展提供了有力的保障；灵活性：适用于任何的Internet接入方式，可以是10M、100M，也可以ADSL，一个IPSecVPN网络可以连接任意地点的分支；2.2.技术选型结论综合以上的分析，IPSec非常适用于大规模部署的LAN到LAN之间的虚拟专用网应用，完全符合本次VPN网络建设的需求和技术标准，能够达到项目建设后预期的目标。-4-WatchGuardTechnologies,Inc.网络及应用特点，结合实际需求，我们要求所选用的安全网关必须具备如下技术特点：（注：该部分需要结合实际需求描述，重点描述用户有明确需求的功能点）网络接入情况：中心点为固定公网IP，各分支为ADSL动态IP，这就要求选用的VPN产品和技术必需支持灵活的网络接入方式及网络拓扑；VPN网络规模及可扩展性：约有300-400个分支节点需要接入VPN网络，而且节点数还有可能会进一步增加，大量的VPN网络节点，随时可能增加的节点数量，要求采用的VPN产品和技术必须是经过大规模部署考验的成熟技术，网络建成后，应该很容易进行扩展；网络应用情况：用户要求VPN网络满足数据传输，远程管理的安全性、可靠性及可控性。这些都要求采用的VPN产品和技术提供高等级的安全加密、身份认证等特性，同时可以在省中心灵活控制各分支节点的访问权限；VPN网络管理：中心节点配备有专业的网络管理人员，但是各分支节点的工作人员没有能力管理、维护VPN。为了确保VPN网络可靠、有效的运行，采用的VPN产品和技术必须提供直观、统一、安全的集中管理和维护手段，满足省中心管理人员监控、调整VPN网络的需求；网络安全的整体防护：有了安全可靠的VPN网络传输数据，连接Internet的各分支节点及中心网络自身的安全也是必须要考虑的内容。来自Internet的攻击入侵、病毒等安全风险，都在威胁VPN网络系统的内部安全。为了确保VPN网络整体安全，确保今后可能扩展的各种网络应用的安全，采用的VPN产品必须具备良好的可扩展能力，可以根据网络应用的需要，扩展安全防护能力，比如：增加IPS功能、网关防病毒功能等；-5-WatchGuardTechnologies,Inc.产品选型结论根据以上分析，结合网络实际情况和招标文件的具体要求，在对多家厂商相关产品和技术分析比较后，我们推荐选用美国WatchGuard公司的Firebox产品实施本次项目。Firebox产品集成VPN功能，提供集中统一管理平台，实时管理、监控VPN网络运行，更提供了WatchGuard专利的