虚拟专用网VPN

一、市场背景

随着企业自身的发展壮大以及企业的区域化、跨国化，企业的分支机构不仅越来越多，而且普遍企业都会出现相互间的网络基础设施互不兼容的。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

在政府部门之间、跨地区的企业内部网络之间的互连，以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络，以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些互连方式价格非常昂贵，一般只有大型的企业可以承担。同时造成网络的重复建设和投资。

Internet的发展，推动了采用基于公网的虚拟专网的发展，从而使跨地区的企业的不同部门之间，或者政府的不同部门之间通过公共网络实现互连成为可能，可以使企业节省大量的通信费用和资金，也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题。

二、需求分析

1、如何保证企业内部的数据通过公共网络传输的安全性和保密性。

2、保证外出员工可以安全访问公司内部网络，确保数据安全传输。

3、多地分支的离散性以及信息数据集中化部署，需要实现异地网络的互联，保证用户的业务互联的安全。

4、保障第三人员业务系统的安全性，第三方用户在接入时需要严格的用户身份认证。根据用户身份授权对应系统的访问权限，实现内网应用系统接入的权限划分和安全控制。

三、网络部署

四、方案分析

虚拟专网技术（VPN）采用专用的网络加密和通信协议，可以使企业在公共网络上建立虚拟的加密通道，构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。针对现代企事业单位用户的实际需求，我们建议在中心点（一般来说是公司总部）使用专业的高性能的VPN设备，各个分支机构使用VPN设备实现各个节点的VPN互联。

总部：总部一般来讲是企业信息存放、处理的中心，网络内部主机数量多，数据流量大，安全性和实时性要求高；一般推荐采用高性能的VPN设备作为接入服务器。

分支机构：企业分支机构一般指分布在全国各地规模中等的分公司，公司内部建有中等规模的局域网，同时通过当地ISP提供的宽带接入方式接入因特网。安装一台VPN设备与总部的VPN设备做互联。

移动办公用户：可支持CDMA/GPRS及802.11b等无线移动接入，用户即使在乘坐车船甚至飞机的途中，可随时随地实现移动办公。

五、方案优势

1、安全的VPN系统

（1）所有经由VPN隧道进行传递的数据都是经过了AES/3DES加密算法的128-168位的加密，可以有效的防止数据的被窃听或篡改。

（2）严格的密钥认证，只有知道密钥的用户才可能接入，防止非法用户闯入，密钥由公司网管统一保管，可随时变更。

（3）iNAS数字证书技术，支持PKI认证体系，绑定VPN用户的计算机硬件信息(硬盘、CPU、网卡等)，只有用户名、密钥、用户数字证书全面通过认证才能接通，即便用户名和密码被人窃取，VPN网络依旧牢不可破。

（4）强大的内网管理功能，分支机构通过VPN连到总部局域网后，只能访问总部管理员为其分配的内网资源，不同的分支机构可设定不同的访问权限，避免有人利用内网进行恶意攻击，有效保障网络的安全。

2、高速的VPN系统

VPN设备采用内核驱动技术及数据流实时压缩算法(LZO)，可以使带宽利用率高达90%以上，特别适合于数据库、文件传输等应用。文件在传输过程中，最大压缩比可达180% 。

3、稳定的VPN系统

VPN设备支持全动态IP地址组网，同时支持各种接入方式，如 ADSL/PSTN/IP/GPRS/WLAN 等，因此用户接入的合法性、IP寻址的时效性就显的特别重要，为此我司专门开发了目录服务用于ADSL等动态IP上网的客户进行IP地址更新，可以保证用 户接入的合法性、VPN寻址的稳定性，真正实现专有（private）的内部网络。