您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 中小企业网络VPN解决方案
中小企业网络VPN解决方案中小企业网络VPN解决方案天津嘉仕科技发展有限公司2011-03-03中小企业网络VPN解决方案一、中小企业的VPN需求随着中小企业业务的发展,很多公司将业务拓展到外地,在外地建立分支机构,还有部分销售人员在外地进行业务拓展。为了总部和分支机构之间能够共享资源已经市场人员业务数据的及时上报,企业需要建立VPN隧道来实现上述需求。二、利用Internet搭建VPN网络的优势经济不再承担昂贵的固定线路的租费。连接长途分支时,采用Internet作为传输骨干是非常便宜的,但带宽却可以较高。灵活连接Internet的方式可以是10M、100M端口,也可以是2M或更低速的端口,还可以是便宜的DSL连接,甚至于拨号连接都可以连接Internet。可以连接到任意Internet通的地点,不受距离和运营商的网络限制。广泛IPSecVPN可以以低廉的价格连接少量的分支,也适合连接众多的分支。对社会保险行业、零售行业等众多的客户群,大量分支连接是IT部门领导头痛的事情。而IPSecVPN的核心设备的扩展性好,一个端口可以同时连接成千上万的分支,包括分支部门和移动办公的用户,而不需要SDH、DDN等一个端口对应一个远端用户。多业务远程的IP话音业务和视频也可传送到远端分支和移动用户,连通数据业务一起,为现代化办公提供便利条件,节省大量长途话费。安全IPSecVPN的显著特点就是它的安全性,这是它保证内部数据安全的根本。在VPN交换机上,通过多种方式保证层层安全。三、方案设计概述我司建议贵单位采用以下VPN配置方案:采用H3CSecPath系列VPN网关V100-E做为核心VPN网关,可以提供SSLVPN、IPSECVPN、L2TPVPN等VPN组网环境。分部采用F100-S防火墙,提供VPN隧道。总部和分部之中小企业网络VPN解决方案间建立IPSECVPN隧道,总部和移动办公用户可以采用L2TPVPN,也可以采用SSLVPN避免安装客户端的麻烦,具体情况依客户意愿来定。拓扑图如下:四、中小企业网络安全性设计1.vlan技术vlan技术出现的背景以太网是一种基于CSMA/CD(CarrierSenseMultipleAccess/CollisionDetect,载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术,这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如下图所示。中小企业网络VPN解决方案vlan技术的优点何在限制广播域。广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。增强局域网的安全性。VLAN间的二层报文是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需通过路由器或三层交换机等三层设备。灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。Vlan技术的具体应用贵单位下设近10个部门,可以把每个部门划分在不同的vlan里,在三层交换机上实现从功能。对于特殊的部门:如财务部,我们可以通过访问控制列表ACL禁止其他部门的访问,提高公司财务的安全和保密性。可以把领导放在单独的一个vlan里面,通过端口限速,限制一些部门的上网行为,提高领导对网络的高需求应用。五、设备介绍1.SecPathV100-E市场领先的VPN和安全防护功能:中小企业网络VPN解决方案l全面的VPN接入方式:支持Web方式接入、TCP方式接入和IP方式接入。用户可以根据各种远程接入方式之间安全性和访问能力的差异,选择接入方式。l细粒度控制:可以分别对三种VPN接入方式进行基于应用的控制,可以控制用户访问的URL、文件目录、服务器地址和资源。l免客户端:SecPathV100-E采用B/S架构,客户端无需安装任何软件。lVPN特性丰富:支持SSLVPN、IPSecVPN、L2TPVPN和GREVPN,可以满足企业用户不同的安全接入需求。l增强型状态安全过滤:支持基础、扩展和基于接口的三种状态检测包过滤技术,支持按照时间段进行过滤;支持应用层报文过滤协议,可监控每一个连接的状态信息,并能动态地过滤数据包。l抗攻击防范能力:支持DoS/DDoS等攻击防范、静态和动态黑名单、MAC和IP绑定等。l集中管理与审计:提供各种日志功能、流量统计和分析功能、事件监控和统计功能、邮件告警功能等。2.SecPathF100-S扩展性最强基于H3C先进的OAA开放应用架构,SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSLVPN等硬件业务模块,实现2-7层的全面安全。强大的攻击防范能力能防御DoS/DDoS攻击(如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控。丰富的VPN特性中小企业网络VPN解决方案集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTPURL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能。全面的认证服务支持本地用户、RADIUS、TACACS等认证方式,支持基于PKI/CA体系的数字证书(X.509格式)认证功能。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。六、方案设计特点高融合:(1)支持目前主流的各种VPN功能,包括MPLSVPN、IPSecVPN、SSLVPN等,一次投资多次受益。(2)高集成度,融合防火墙等安全功能,简化设备的部署和维护。高性能:(1)提供高性能的网络体验,高加密能力,对网络流量处理游刃有余。(2)高并发连接,可以连接更多的分支机构,方便您弹性扩容。易管理:(1)全部VPN设备提供中文WEB管理界面,方便操作。(2)可以选配H3C管理系统,无需出门即可完成全网管理。(3)可以选配VPN网络监控系统,轻松掌握网络状态。安全可靠:(1)专用的网络硬件平台,5年大规模应用的软件系统平台保障您的VPN网络顺畅稳定运行。(2)H3C专有应用状态过滤技术ASPF,有效抵御外来病毒蠕虫、黑客攻击,保障您的网络安全无忧。中小企业网络VPN解决方案(3)对于高安全性要求的企业可以选择防病毒模块,彻底阻止病毒的传播。
本文标题:中小企业网络VPN解决方案
链接地址:https://www.777doc.com/doc-3772070 .html