VPN网络建设需求解决方案

XXXXXX由于业务发展需要,拟建立跨省范围内的VPN业务专网。VPN网络建立在互联网之上,使XXXXXX总部和各个分支机构的用户根据不同业务需要可灵活接入到VPN内部专网,所有用户依靠该网络还可按策略访问互联网。该方案的目的为实现每个分公司的局域网到总部局域网的互通和每个分公司的局域网互通

VPN的应用方案

    内部专网采用安全成熟的 IPsec VPN技术来建立VPN网络,VPN采用公司内联网的方案

 

 

图片4.png


 

VPN网络方案建议

根据XXXXXX的多层接入,并按需分配权限的特点,我们建议网络方案如下:

 

图片5.png


系统组成

根据需求,具有IPsec VPN和防火墙功能的千兆安全网关架设在XXXXXX总部,连接到互联网,提供VPN 主站点服务,允许各分支拨入。

分支机构选用千兆安全网关接入互联网,与总部建立IPsec VPN通道,根据权限访问专网资源。

集团中心VPN方案

做为XXXXXX总部,选用百兆安全网关做为出口,出口通过运营商接入互联网,支持来自互联网的VPN拨入。安全网关提供VPN和防火墙功能,可灵活控制内网用户访问互联网及VPN访问。建立动态域名(DDNS)服务器,直接连接到安全网关设备上。

各远程接入用户连接VPN方案

分支机构采用ADSL拨入接入互联网,安全网关使用动态IP地址,所有用户通过千兆安全网关接入互联网,利用安全网关防火墙功能控制互联网访问权限,并通过安全网关与集团总部或其他地区建立VPN,访问专用资源。

IPsec VPN 是建立一条双方信任的数据加密通道,通信的双方必须知道对端的IP信息,分支机构使用安全网关可以在总部IP固定的情况下,单项建立VPN连接请求,总部安全网关接收到该请求后得到分支VPN拨入设备的IP信息,从而建立双向的完整VPN通道。

VPN设备之间或者VPN设备与客户端设备之间在建立隧道的时候支持明密结合的隧道方式,也就是说:设在不同地理位置的分公司与总公司职员通过VPN设备可以象在同一局域网内部进行相互访问,资源共享,方便用户使用,经过VPN设备对穿越Internet的数据进行加密,保证数据的机密性。同时总部和分部都可以通过VPN设备做NAT访问Internet,保证了日常办公的正常进行,从而建立起明密结合VPN隧道,安全、便捷的进行网络应用和办公自动化的顺利、安全进行。

VPN是和防火墙集成在一起,因此在VPN建立隧道以后可以通过防火墙对建立VPN隧道双方进行访问控制,可以根据VPN访问的源和目的地址、源和目的的端口、IP协议号、VLAN信息等进行控制,保证了VPN互连以后企业网络的安全性。

安全网关设备管理

所有安全网关设备采用集中管理的方式,总部安装集中管理软件后通过与安全网关设备唯一匹配的密钥验证来与设备通信,实现远程集中管理。管理中心可以授权新增、更改、删除安全网关的包括路由、策略等所有配置。

VPN的优点

VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为InternetExtranet的应用带来良好的前景。VPN技术的主要目标是节省企业的通信费用,特别是替代企业已有的专线,并且提高企业网络的可管理性,降低企业的通信成本。具体而言,VPN具有以下显著的优点:

1、降低成本

当使用Internet时,实际上只需要付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节省大量的通信费,此外,VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。

2、容易扩展

支持多种隧道实现方式,并且网络是动态的,可以随时增减用户,便于集中控制访问权限。如果企业想扩大VPN的容量和覆盖范围,企业做的事情很少,而且能立时实现;企业只需与新的ISP签约,建立帐户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令就可以使Extranet路由器具有InternetVPN能力,路由器还能对工作站自动进行配置。

3、可随意与合作伙伴联网

在过去企业如想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建自助用线路或帧中继线路,有了VPN以后,这种协商毫无必要,真正达到了要连就连、要断就断。

4、完全控制主动权

VPN使企业可以使用NSP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

5、便于兼容

传统的远程拨号网络服务只支持注册的IP地址,限定了用户企业网络的访问。而VPN的实现支持多种网络层协议和没有注册的专用IP地址,很好的解决了Internet公网与专网的兼容性问题。

 

图片6.png


 

安全网关自身包含了防火墙模块,对包括DDoS等各类网络攻击有非常强有力的防范抵御功能。集中管理器与安全网关通信也是cast128位加密通信,保障管理的安全性。

安全网关稳定可靠

千兆安全网关选用NP架构平台,精简硬件架构,平均无故障时间超过40000小时,千兆安全网关具有4个对称设计的接口并集成了一个6个端口的交换机可满足日后网络扩展的需要。

功能实现

远程接入点采用专线或ADSL拨号接入,有固定IP地址或浮动IP地址。

远程接入点可以与在平台内的,具有接入功能的所有VPN网关建立连接,而且平台实现单点接入,全网访问。

异地机构采用浮动IP地址,可以直接进行数据交换,并能及时更新VPN路由表。

中心采用固定IP地址,所有异地机构采用浮动IP地址,异地机构之间的数据交换通过在总部注册动态地址,异地安全网关设备间通过动态域名方式建立VPN连接数据交换可以不通过中心。

 

江苏国骏信息科技有限公司在信息网络安全、运维平台建设、动漫设计、软件研发、数据中心领域具备十多年的行业沉淀。公司遵循信息安全整体性的IATF模型,从“人员素养”、“制度流程”、“技术产品”三个视角提供全面、可信的方案,业务涵盖咨询、评估、规划、管控、建设、培训等。


公司.png

江苏国骏信息科技有限公司——全面可信的信息安全服务商。

 


 


江苏国骏信息科技有限公司 苏ICP备17037372号-2 电话:400-6776-989; 0516-83887908 邮箱:manager@jsgjxx.com