企业vpn方案

企业VPN网络建设解决方案目录第一章项目背景第二章设计原则和设计思想2.1.建设目标2.2.设计目标第三章企业VPN网络建设实施方案3.1．实施方案3.2.实施步骤3.3.企业VPN网络解决方案3.4．应用效果3.5.安装及维护方案3.6.方案优点第四章相关设备简介第五章效益分析与经费预算5.1系统运营费用和传统方案的比较5.2经费预算第六章艾泰科技专业和规范的服务——UTTCare第一章项目背景随着宽带Internet网络的普及，信息化的发展正在改变着企事业传统的运作方式。越来越多的企事业单位都在逐步依靠计算机网络、应用系统来开展业务，同时利用Internet来开展更多的商务活动。企业正越来越多的应用了计算机和各类应用软件和系统来处理单位业务，如何将位于全局不同地点的分支机构网络互联互通、数据安全上传，就成了必须解决的问题。远程私有网络的需求促进了VPN的诞生和高速发展。以往专用线路（如DDN）的高昂成本和长期的使用费，以及跨运营商的不便成为公司很大的成本负担，很多公司无法利用这种方式来建立自己的专网，而在Internet发展的早期，窄带线路的通信质量、带宽、以及资费，都无法满足企事业长期利用其来构建自身远程私有网络的需要，很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。但到了今天，各种宽带上网方式（如ADSL、城域网等）都在迅速发展，带宽和通信质量已经不在是瓶颈，资费也极大的降低，完全能够高效率、低成本的解决企业网络互联互通的需要。企业为了达到本单位内部信息共享，构成统一的网络工作平台，需要将总部与分支机构组成虚拟局域网，在企业总部布置UTT5830GVPN防火墙，分支机构通过UTT2512建立虚拟局域网，为统一的网络工作平台提供基础平台，同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的数据共享和远程应用，保证信息网络的安全。企业为了达到本单位内部信息共享，构成统一的网络工作平台，需要将总部与分支机构组成虚拟局域网，在企业总部布置UTT5830GVPN防火墙，分支机构通过UTT2512建立虚拟局域网，为统一的网络工作平台提供基础平台，同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的数据共享和远程应用，保证信息网络的安全。第二章建设目标和设计原则系统的总体设计思想是要体现技术的先进性和决策的前瞻性，企业的VPN网络构建着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则：2.1.建设目标在完成了企业的VPN网络建设后，将为应用系统提供统一、安全、高速、可靠的网络传输平台，具体能够实现以下目标：1）网络互联可实现“企业总部-分公司-分支机构”及各分公司、分支机构之间的安全互连，为内部应用系统的运行提供互连互通、安全可控、自主管理的网络平台。2）独立性能够根据用户的需要有选择地对需要的业务数据进行加密，不需要加密的数据和Internet接入业务可以不受到影响。3）网络安全性安全周边安全：VPN安全网关融合了VPN、路由、上网行为管理、防火墙等功能，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。上海艾泰有限公司VPN安全网关其内置防火墙其抗攻击能力优异。信息传输安全：通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式，保证信息传输的完整性、保密性及不可抵赖性，把安全真正掌握在用户手里。可靠性：上海艾泰科技VPN安全网关性能稳定可靠，其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。4）系统扩展和变更的灵活性系统VPN网络的扩展非常容易，同时又不会带来安全隐患。5）网络通讯效率此次网络建设所选用的设备具有很高的加密速率，不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。6）高性价比本项目实施后不但解决了很高的信息数据传输安全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。本方案提供了完整的思路，具有极高的性能价格比和投资回报率。2.2.设计目标对企业的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。具体的我们遵循了以下原则：1）安全性原则上海艾泰科技有限公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。2）可靠性原则这套网络安全系统是用户的主营业务平台。它的稳定可靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响企业的正常运作，将给为用户带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。上海艾泰科技有限公司将采用相应的手段保证系统、网络和数据的稳定可靠性，关键节点采用负载均衡、平台备份就是其中的重要策略。3）先进性原则在系统建设方案，具有相当的先进性，并能够通过对VPN设备和软件的不断升级，确保系统的技术领先性和持续发展性。4）实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。5）可扩展性原则系统建设应该是统一规划、分步实施、逐步完善的的过程。我企业在该方案的设计中充分考虑它的可扩展性，使系统能够方便的扩展。6）可推广性原则该方案具有很强的推广性，可根据实际情况逐步扩展网点数量。7）易管理性原则网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。上海艾泰科技有限公司提供“安全网管平台”对VPN安全网关、移动客户进行统一管理。8）兼容性原则VPN系统是网络层安全设备，对各种网络应用透明；上海艾泰科技有限公司的VPN安全网关遵循标准的IPSEC\PPTP\L2TP协议，在网络层对IP数据包进行加密，对网络中的数据流做访问控制，因此，对于应用系统是完全透明的。同时依靠上海艾泰科技有限公司强大的研发能力，能够为用户提供特殊的定制性需求。9）对移动用户的支持从近期的统计数据可以看到，笔记本电脑的销售量已经超过了传统的台式电脑，这直接反映了越来越多的人开始青睐于“移动办公”的工作和生活方式。非典期间，众多的企业也采用了工作人员在家办公的方式，渡过那段非常时期。如何将越来越多的移动用户纳入企业整体网络，帮助移动用户安全、方便的访问企业资源，也是VPN网络需要解决的问题。移动用户不可能带着硬件设备来接入VPN网络，有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能，采用PPTP虚拟拨号的方式接入总部，只有基本的用户名密码验证，安全级别非常低；另外不能同时访问内网和Internet，也造成了极大的不便。好一点的VPN产品都有独立的VPN客户端软件，解决上述缺陷。上海艾泰科技有限公司VPN对移动用户也提供了强大的支持。移动用户不但能够接入企业VPN网络，而且能够获取与在局域网内时相同的内网IP地址，并能够通过该IP地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络，同时在外出时、也能够被局域网所找到，完全象在同一个局域网内一样。VPN的发展迎合了用户对更低成本、更高性价比的追求，已经在各行各业开始出现广泛的应用。不同规模的企业、不同的业务模式，相应的对VPN产品的要求也不尽相同。但上述几点，是用户在选择VPN产品时基本都会面临的主要问题，只有适合自身业务需求和未来发展的产品，并且整体投资适度、性价比高，才是最好的产品。第三章企业VPN网络建设实施方案3.1.实施方案针对企业的业务需求，并综合VPN特性，满足要求的方案如下：●总部部署UTT5830GVPN防火墙，分公司部署UTT3640VPN防火墙、分支机构部署UTT2512VPN防火墙,建立VPN局域网实现公司、分公司、分支机构之间互连互访的功能。对于出差或在异地办公的人员以及乡统计所，亦可以通过VPN客户端软件与企业或者分支机构发起VPN连接，实现VPN隧道连接。●企业内部访问Internet的功能，实现宽带共享，实现上网行为管理。●通过WA1800N或HiPER510W做无限覆盖，实现移动上网。●由于全网均采用宽带连接，边缘节点并发连接过多时会造成中心节点负载过重，导致宕机，或者发生中心接点带宽不够的现象。此时，可以利用UTT系列VPN安全网关独有的基于CBQ或者CBT技术来对边缘节点进行带宽的分配和管理，合理分配分部用于VPN连接的带宽，实现总部带宽的负载均衡。3.2.实施步骤：（1）考虑到企业“企业总部—分公司-分支机构”的三级管理模式，企业通过接入宽带或ADSL（固定IP或动态IP皆可）安装艾泰安全网关UTT5830G，分公司安装UTT3640，各分支机构分别安装安全网关UTT2512或个人移动软件。（2）在企业的VPN防火墙UTT5830G上配置总部虚拟IP池（该地址段为总部局域网内未被使用的IP地址，可与总部局域网同网段或不同网段，设置时请注意不要包含已经被使用的IP），使得通过VPN接入到总部的移动用户能够从这个IP池中获得与总部局域网相同网段的局域网IP地址；（3）针对总部需开放资源情况设定总部VPN内网服务设置，以便为各接入用户分配相应权限（如物流系统，财务、办公系统、OA、邮件等不同系统的访问权限）；（4）在VPN防火墙UTT5830G上配置VPN内的QOS，为各种重要应用分配更高的优先级别，以便在网络繁忙时为这些重要应用保留更高的带宽；（5）在所有需要联入总部的移动终端计算机上安装移动软件，配置好总部分配的账号，接入总部后即可实现对总部各种应用服务器的访问。（6）考虑到接入Internet后存在的安全隐患，建议在防火墙上设置过滤规则及NAT，为防止外网的攻击设置防火墙的过滤规则（并使用自检测功能进行检测），同时为内网用户设定访问Internet的权限（分用户组，不同用户组可独立分配不同的上网权限，可基于URL和IP设定）；3.3.企业VPN网络解决方案企业网络整体解决方案拓扑图企业内网安全拓扑图VPN拓扑图：无线网络解决方案拓扑图网络推荐产品推荐类型推荐VPN防火墙推荐中心交换机推荐接入交换机推荐无线路由器推荐无线AP带机量基本型UTT3000SG3224FSG1224F510WWA1800N200台实惠型UTT4840GSG3224FSG1224F510WWA1800N300台加强型UTT5830GSG3224FSG2124F510WWA1800N500台3．4.应用效果：（1）VPN应用：总部所有局域网内网络化的应用都可以在分支机构和移动用户上实现扩展，包括文件共享、文件型数据库、音频和视频的传输等；总部及分公司、分支机构之间可以根据权限进行互相访问。（2）QOS应用：基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送，防火墙的QOS在整个带宽基础上为VPN保留合理的带宽，避免网内用户的上网行为对VPN造成影响，而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽，在网络繁忙时优先传送更重要的数据（如对数据库查询等），而智能的QOS在网络空闲时可充分利用所有带宽。（3）备份线路：总部或者分支机构由于计算机或Internet线路造成的故障均可通过备份设备、备份线路或多线路带宽复用的方式实现切换，由于可实现平滑切换，确保VPN应用不因主机故障或Internet线路故障受到影响。（4）防火墙：基于状态检测的包过滤防火墙可实现防止来自Internet的攻击和入侵，自检测功能防止因为规则设定不当带来的安全隐患。防火墙内含有NAT、DHCP、QOS、自动拨号、基于URL的访问控制等多种功能模块。（5）访问控制：总部和分支机构可对局域网内所有用户的上网权限进行控制，能够限制用户对Internet特定资源的访问权限，可实现用户分组和独立的权限设定，所有限制或允许可