总公司通过VPN与分公司连接方案
项目建设需求
总公司与各分公司、旗舰店和移动VPN用户的连接是通过Internet采用VPN(VPN名词注解:虚拟专用网络的功能是:在公用网络
上建立专用网络
,进行加密
通讯。在企业网络
中有广泛应用。VPN
网关通过对数据包
的加密和数据包目标地址的转换实现远程访问
。)方式进行连接,为保证内网的安全,需要使用具有VPN方式的防火墙,满足各分公司、旗舰店和移动VPN用户连接到办公网的需求。要保护整个网络免受病毒、垃圾邮件和其他不适宜内容的侵扰,以保证办公网的网络安全。 华为SecPath 防火墙/VPN组网方案
方案说明
软件发布
根据总公司信息平台建设的要求,我们配置了1台华为的高端安全网关SecPath 1000作为总公司的中心端设备、多台百兆安全网关SecPath 100F作为各分公司、旗舰店和移动VPN用户与总公司中心互联设备。 移动用户客户计算机安装VPN移动客户端软件SecPoint,另外可以配置SecKey USB Key
存储用户端配置信息、用户数字证书以及用户名密码等信息,实现移动用户即插即用接入总公司信息中心内部局域网;
在本方案中配置的SecPath防火墙与VPN网关系统是一个基于自主版权的安全操作系统平台,是防火墙与VPN网关的集成产品,能够实现移动用户、局机关、区县局与省中心网络数据传输之间的加密、认证功能。
SecPath防火墙&VPN网关系统除具有强大的防火墙功能之外,作为众多移动用户的接入的VPN网关服务器端,它本身具有以下显著的特点:
高可用性
支持多种VPN业务,如IPSec VPN、L2TP VPN、GRE VPN、华为动态VPN等等,可以针对客户需求通过拨号、租用线、LAN等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。安全网关支持完备的加密解决方案,通过加密芯片,实现线速水控系统IPSec性能。
VPN Manger(QuidView组件)是VPN网络的控制管理部件,可以对VPN网关设备进行集中管理和控制。管理员可以在VPN隧道上操纵各个VPN晒东西网关:IPSEC策略的设置,监控隧道状态信息,远程调整隧道的建立。根据企业的实际需求制定全局策略,保证VPN网关隧道连接的可靠性和安全性。通过VPN Manager管理员可以进行全网VPN设备的部署和设置,同时可以通过实时监控对链路进行调整。真正实现VPN网络的Easy Manage。
图1. VPN Manager示例
另外,华为3ComBIMS(QuidView组件)智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。BIMS管理中心和被管理的设备通过定期通信完成设备的管理,管理协议可穿透防火墙,而且简单、易扩展。设备主动访问BIMS管理中心时,上报设备当前的配置文件、设备软件的特征信息,由natr-241BIMS管理中心来判断是否需要对设备进行更新,更新规则体现了该解决方案的智能性和易于管理的特点。
BIMS可以解决对获取的是动态IP地址或NAT网关后面的设备的集中管理,尤其是在对业务应用基本相同、数量庞大并且分布广泛的接入VPN网络终端设备进行管理时,该系统会极大提高管理的效率,大大节约管理成本,管理界面直观友好,维护简单方便。
图2. BIMS示例
安全便捷的的移动用户接入
在本项目中采用了华为3Com公司SecPoint VPN客户端为用户实现移动接入功能。SecPoint VPN客户端使远端用户只要能够通过诸如拨号、ADSL和小区宽带等接入到Internet,就可以和总部的VPN网关之间建立L2TP隧道,从而访问公司企业内部网(Intranet)上的相关资源。
Quidway® SecPoint VPN客户端软件提供了强大的安全策略,包括IPSec、IKE和NAT穿越等,大大强化了VPN系统的安全性。IPSec使特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
Quidway® SecPoint VPN客户端软件支持还可以与Quidway® SecKey认证方式结合,通过USB Key的方式存储用户的密钥或数字证书、SecPoint VPN客户端配置信息等,加强身份认证的安全强度,减少SecPoint用户身份信息被盗用的风险,同时减少SecPoint的配置管理工作,最终可以帮助企业实现优化大规模移动VPN回生电阻用户接入的部署工作。
Quidway® SecPoint VPN客户端软件支持与路由器的握手机制、备份LNS服务器,支持VPN隧道的多种认证方式。稻壳发电Quidway® SecPoint VPN满足了客户对客户端软件操作简单,界面友好,支持多个配置,支持配置文件的导入导出的需求,极大地方便了用户的管理。
