您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > WatchGuardUTMVPN网络技术方案v0.1
WatchGuardUTMVPN网络技术方案银兴科技QQ2236294174IWatchGuardTechnologies,Inc.集成防火墙/VPN功能............................................................................-8-5.3.全面的网络安全管理...............................................................................-9-5.3.1.生成网络活动报告........................................................................-9-5.3.2.网络活动实时监控......................................................................-10-5.3.3.多种告警方式.............................................................................-10-5.4.高级附加安全功能................................................................................-10-5.4.1.网关防病毒/入侵防御..................................................................-11-5.4.2.Web访问过滤和控制...................................................................-11-5.4.3.垃圾邮件过滤.............................................................................-12-第六章WatchGuard公司简介...........................................................................-13--1-WatchGuardTechnologies,Inc.网络需求分析本段主要描述以下内容:1、用户现有网络应用情况:拓扑、网络规模、主要应用等;2、面临哪些VPN方面的问题?有哪些明确的VPN组网需求?为准确、详细的描述以上问题,这部分资料和信息需要和用户进行深入沟通!示例:XXX是一个特大型的XXXX企业,主要经营石油、天然气勘探、开发、生产、炼制、储运、销售等业务,是一个按照现代企业制度运作,跨地区、跨行业、跨国经营的综合性公司。XXX在XX省各地分布着大量分支机构,本次项目的目标就是要组建一个安全、可靠、易维护的VPN网络,将省内的约400个分支机构和省中心连接在一起。省中心和各分支节点均已接入Internet,省中心有固定公网IP,各分支节点则通过512KADSL链路拨号接入Internet,每个分支节点约有2-5台联网PC。组建VPN网络的主要用途是用于中心节点和各分支节点之间安全、可靠、可控的传输数据。VPN网络建成后,既要能满足省中心定时安全访问分支节点硬盘录像资料的需求,又要保证省中心可以实时、安全、快速的完成各分支节点设备的远程管理。考虑到分支节点没有专业IT人员,各分支节点又分布广泛,VPN网络的可靠性、简易性、可维护性将是本次项目需要重点考虑的一个内容。-2-WatchGuardTechnologies,Inc.资源构建等同于专线的连接链路,同时保持高度的安全性、可靠性和强大的扩展性。它兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,能够充分利用现有网路资源,提供经济、灵活的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用,因此已经成为一种成熟的主流连接手段。本次项目,我们推荐选用的是基于IPSecVPN的联网技术。IPSec(Internet协议安全)是一个工业标准网络安全协议,由IPSec协议提供隧道安全保障,提供所有在网络层上的数据保护,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSecVPN是基于IPSec协议的VPN产品,不受接入带宽限制,通过在Internet上利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时,确保信息的安全性、完整性和真实性,它可以提供与昂贵的专线(DDN)类似的安全性,可靠性,可管理性和优先级别。IPSecVPN在提供工业级高安全性的同时,还具备以下突出的优势和特点:高安全性:IPSecVPN的显著特点就是它的安全性,通过高强度的加密、认证算法,集成的防火墙,应用层安全防护,结合RADIUS、LDAP、SecurID等多种身份认证方式,有效保证了VPN网络的整体安全;另外,分支节点VPN终端利用内置的防火墙功能,可以同时控制分支节点PC对Internet和VPN网络的访问,限制其访问的网络和应用,在确保安全的同时,也提供了足够的灵活性;-3-WatchGuardTechnologies,Inc.高可靠性:基于硬件设备的IPSecVPN网络提供了丰富的冗余机制,支持省中心中心网关的冗余部署,支持各分支节点VPN访问链路的冗余备份,这些都大大提高了VPN网络的整体可用性;经济优势:不再承担昂贵的固定线路的租费,各分支节点只承担本地的接入费用,无论分支多远,费用相同。另外,集成防火墙/VPN的设备功能强劲但造价低廉,并提供了良好的可管理性;增强的管理特性:IPSecVPN设备集成了直观、使用的集中管理软件,提供了实时有效的安全集中管理特性,省中心管理人员可以远程完成对VPN网络的整体监控和维护,实时监控、调整任一分支节点VPN终端的配置;可扩展性:IPSecVPN的核心设备具备良好的可扩展性,可以以低廉的价格连接大量的分支,各分支节点的VPN终端设备可以无需更换硬件的进行功能、性能的升级;支持多种应用:基于IPSecVPN的网络实现了真正的LAN-LAN的无缝互联,可以完美支持基于局域网的各种复杂网络应用,为用户网络应用的发展提供了有力的保障;灵活性:适用于任何的Internet接入方式,可以是10M、100M,也可以ADSL,一个IPSecVPN网络可以连接任意地点的分支;2.2.技术选型结论综合以上的分析,IPSec非常适用于大规模部署的LAN到LAN之间的虚拟专用网应用,完全符合本次VPN网络建设的需求和技术标准,能够达到项目建设后预期的目标。-4-WatchGuardTechnologies,Inc.网络及应用特点,结合实际需求,我们要求所选用的安全网关必须具备如下技术特点:(注:该部分需要结合实际需求描述,重点描述用户有明确需求的功能点)网络接入情况:中心点为固定公网IP,各分支为ADSL动态IP,这就要求选用的VPN产品和技术必需支持灵活的网络接入方式及网络拓扑;VPN网络规模及可扩展性:约有300-400个分支节点需要接入VPN网络,而且节点数还有可能会进一步增加,大量的VPN网络节点,随时可能增加的节点数量,要求采用的VPN产品和技术必须是经过大规模部署考验的成熟技术,网络建成后,应该很容易进行扩展;网络应用情况:用户要求VPN网络满足数据传输,远程管理的安全性、可靠性及可控性。这些都要求采用的VPN产品和技术提供高等级的安全加密、身份认证等特性,同时可以在省中心灵活控制各分支节点的访问权限;VPN网络管理:中心节点配备有专业的网络管理人员,但是各分支节点的工作人员没有能力管理、维护VPN。为了确保VPN网络可靠、有效的运行,采用的VPN产品和技术必须提供直观、统一、安全的集中管理和维护手段,满足省中心管理人员监控、调整VPN网络的需求;网络安全的整体防护:有了安全可靠的VPN网络传输数据,连接Internet的各分支节点及中心网络自身的安全也是必须要考虑的内容。来自Internet的攻击入侵、病毒等安全风险,都在威胁VPN网络系统的内部安全。为了确保VPN网络整体安全,确保今后可能扩展的各种网络应用的安全,采用的VPN产品必须具备良好的可扩展能力,可以根据网络应用的需要,扩展安全防护能力,比如:增加IPS功能、网关防病毒功能等;-5-WatchGuardTechnologies,Inc.产品选型结论根据以上分析,结合网络实际情况和招标文件的具体要求,在对多家厂商相关产品和技术分析比较后,我们推荐选用美国WatchGuard公司的Firebox产品实施本次项目。Firebox产品集成VPN功能,提供集中统一管理平台,实时管理、监控VPN网络运行,更提供了WatchGuard专利的
本文标题:WatchGuardUTMVPN网络技术方案v0.1
链接地址:https://www.777doc.com/doc-2855428 .html