虚拟专用网VPN
一、市场背景
随着企业自身的发展壮大以及企业的区域化、跨国化,企业的分支机构不仅越来越多,而且普遍企业都会出现相互间的网络基础设施互不兼容的。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
在政府部门之间、跨地区的企业内部网络之间的互连,以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络,以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些互连方式价格非常昂贵,一般只有大型的企业可以承担。同时造成网络的重复建设和投资。
Internet的发展,推动了采用基于公网的虚拟专网的发展,从而使跨地区的企业的不同部门之间,或者政府的不同部门之间通过公共网络实现互连成为可能,可以使企业节省大量的通信费用和资金,也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题。
二、需求分析
1、如何保证企业内部的数据通过公共网络传输的安全性和保密性。
2、保证外出员工可以安全访问公司内部网络,确保数据安全传输。
3、多地分支的离散性以及信息数据集中化部署,需要实现异地网络的互联,保证用户的业务互联的安全。
4、保障第三人员业务系统的安全性,第三方用户在接入时需要严格的用户身份认证。根据用户身份授权对应系统的访问权限,实现内网应用系统接入的权限划分和安全控制。
三、网络部署
四、方案分析
虚拟专网技术(VPN)采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。针对现代企事业单位用户的实际需求,我们建议在中心点(一般来说是公司总部)使用专业的高性能的VPN设备,各个分支机构使用VPN设备实现各个节点的VPN互联。
总部:总部一般来讲是企业信息存放、处理的中心,网络内部主机数量多,数据流量大,安全性和实时性要求高;一般推荐采用高性能的VPN设备作为接入服务器。
分支机构:企业分支机构一般指分布在全国各地规模中等的分公司,公司内部建有中等规模的局域网,同时通过当地ISP提供的宽带接入方式接入因特网。安装一台VPN设备与总部的VPN设备做互联。
移动办公用户:可支持CDMA/GPRS及802.11b等无线移动接入,用户即使在乘坐车船甚至飞机的途中,可随时随地实现移动办公。
五、方案优势
1、安全的VPN系统
(1)所有经由VPN隧道进行传递的数据都是经过了AES/3DES加密算法的128-168位的加密,可以有效的防止数据的被窃听或篡改。
(2)严格的密钥认证,只有知道密钥的用户才可能接入,防止非法用户闯入,密钥由公司网管统一保管,可随时变更。
(3)iNAS数字证书技术,支持PKI认证体系,绑定VPN用户的计算机硬件信息(硬盘、CPU、网卡等),只有用户名、密钥、用户数字证书全面通过认证才能接通,即便用户名和密码被人窃取,VPN网络依旧牢不可破。
(4)强大的内网管理功能,分支机构通过VPN连到总部局域网后,只能访问总部管理员为其分配的内网资源,不同的分支机构可设定不同的访问权限,避免有人利用内网进行恶意攻击,有效保障网络的安全。
2、高速的VPN系统
VPN设备采用内核驱动技术及数据流实时压缩算法(LZO),可以使带宽利用率高达90%以上,特别适合于数据库、文件传输等应用。文件在传输过程中,最大压缩比可达180% 。
3、稳定的VPN系统
VPN设备支持全动态IP地址组网,同时支持各种接入方式,如 ADSL/PSTN/IP/GPRS/WLAN 等,因此用户接入的合法性、IP寻址的时效性就显的特别重要,为此我司专门开发了目录服务用于ADSL等动态IP上网的客户进行IP地址更新,可以保证用 户接入的合法性、VPN寻址的稳定性,真正实现专有(private)的内部网络。