VPN组网方案介绍.docx

《VPN组网方案介绍.docx》由会员分享，可在线阅读，更多相关《VPN组网方案介绍.docx（11页珍藏版）》请在优知文库上搜索。

1、VPN组网方案目录1 方案设计11.1 网络具体设计11.2 方案优势12 技术优势22.1 便捷的访问32.2 安全的访问32.3 快速的访问52.4 方便的管理82.5 高稳定可靠性保障91方案设计1.1 网络具体设计在总部通过网关/路由/单臂方式部署SSL/IPSecVPN-3150二合一VPN,分支点与总部构建IPSeCVPN通道，对分支用户实现透明的访问。较小的分公司和移动办公人员通过开通SSLVPN授权实现在电脑、PDA、智能手机等终端与总部VPN设置构建SSLVPN通道，实现分支和移动用户对总部应用的访问。1.2 方案优势1 .部署便利、使用方便：使用普通的ADSL、以太网接入线

2、路，通过SSL/IPSec二合一VPN设备、IPSeCVPN进行企业的整体部网，在总部与大型分支之间构建IPSeCVPN隧道，实现总部与分支、分支与分支之间安全、透明的互访，构建一张“大局域网”。小型分支和移动办公人员只需通过浏览器实现随时随地的SSLVPN接入，打破时间、地域的限制。2 .高速接入体验：速度性远超普通的VPN,提供了网络的高速和高可用性。在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品，具有特有的多线路复用技术、跨运行商智能选路技术、畅联技术、动态压缩技术等广域网加速技术的应用，通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果，从而保证了快速接入。3

3、 .应用的统一管理：通过SSLVPN对公司应用进行统一发布，实现对用户的应用使用权限划分、接入流量限制等等管理措施，保证各个用户的访问在授权范围内，不会对主要的系统造成影响和破坏。并支持日志数据中心，详细的记录了各个用户的访问日志和应用资源的使用情况，为以后的业务审计和网络规划提供了参考依据。4 .高安全性：通过SSLVPN的多种认证方式、多重安全机制保障了内部重要应用既实现了信息平台的共享，又实现了从应用发布、用户认证、用户接入乃至断开连接的一整套的高安全性。消除了企业信息平台共享的安全风险。5,性价比高，易于扩展：VPN只需要使用普通的ADSL线路就能实现VPN的网络连接，让分支和移动用户

4、轻松的访问，是一次性的投资。相对于专线需要每月高额的投资，无疑大大降低了企业的运营成本。而新增分公司或者员工移动办公需求增加，只需要增加一台设备或是开通移动授权即可，扩展性强，性价比高。2技术优势2.1 便捷的访问分公司使用IPSecVPN与总部的SSL/IPSecVPN建立起IPSecVPN通道，对于分公司的使用人员相当于透明部署，直接进入应用就可以实现访问。IPSeCVPN支持隧道间路由，构建总部与分支、分支与分支之间互通互访的“大局域网”。对于SSLVPN,是利用浏览器中内嵌的SSL协议，在移动客户端与总部的SSLVPN中建立一条SSLVPN通道。出差领导和员工、分公司员工只需要打开浏览

5、器登录相应的SSLVPN页面并通过认证，即可通过SSLVPN访问内网资源，不需要在终端上安装任何客户端软件。SSLVPN支持B/S和C/S应用的单点登录功能，实现只需要通过SSLVPN认证，无需反复输入各种系统的帐号密码就可以直接使用所有的远程应用。启动了单点登录功能在成功登陆SSLVPN页面直接跳转到对应用的资源列表页面，对于B/S资源直接点击就可以进入，对于C/S资源，通过启用该应用的客户端软件就可以直接使用，大大提高了访问应用的易用性。2.2 安全的访问VPN对于安全方面的定义分为接入的安全、传输的安全、资源的安全、断开的安全四个方面进行全面的保障。1 .接入的安全：单纯的帐号密码认证容

6、易遭到密码丢失、密码遭到破解等威胁，SSLVPN支持多种用户安全认证方式，从最基本的用户名密码认证到短信认证、硬件特征码认证、动态令牌认证、自建CA认证等多重认证方式。并支持与RadiUs、LDAP、第三方CA进行无缝的结合。并支持认证方式的“与”组合和“或”组合，可不同的终端安全要求对用户组、用户进行特定认证方式组合设置。支持根据客户端CPU、硬盘等提取的硬件特征码终端绑定功能，确保接入终端的确定性。并可通过客户端安全检查检测电脑终端的操作系统（版本及补丁）、杀毒软件、防火墙、注册表、硬盘文件、进程等信息进行接入的授权许可，阻断不安全终端进行接入，避免因为终端安全短板所带来的安全隐患问题。对

7、于仅适用用户名密码认证的用户，支持图形验证码、软键盘等多种密码安全策略，并支持针对IP和用户的防暴力破解，彻底瓦解黑客等其他别有用心的人通过密码暴破方式强行攻入内网的行为。2 .传输的安全:VPN通过DES/3DES/AES/RC4等多种国际主流加密算法对VPN传输数据进行强加密保证数据传输的安全。可选的VPN专线功能，让客户终端在登录了VPN之后断绝与外网除VPN之外的所有网络连接，消除了黑客以客户终端作为跳板窃取整个组织重要业务数据的威胁。3 .资源的安全：VPN从应用和用户角度出发，从权限安全、终端资源安全两个方面保证资源的完整安全性。IPSecVPN支持细粒度的访问权限控制，实现网与网

8、之间互访细致到IP加端口的控制，在有效进行资源访问授权的同时，大大降低了病毒的传播。SSLVPN支持针对特定用户、用户组进行资源、资源组的访问授权控制，防止越权访问。对于重要的应用，还支持通过相应的客户端检查结果进行资源的隐藏。彻底检查客户端的操作系统版本和补丁、进程、注册表、文件、接入线路IP、登录IP、时间和终端，让符合安全检查策略的终端享有授权范围内的所有应用访问权限，没有符合安全检查策略的终端只能使用普通的应用。VPN支持对特定用户、用户组进行资源的权限的划分，防止应用出现越权访问的情况。支持安全桌面功能（沙盒技术），将通过SSLVPN访问的应用置于该安全桌面中访问，访问时通过断绝本机

9、、网络、外设通信保证应用访问过程中的数据不可拷贝到本机。当用户退出SSLVPN后，所有安全桌面内访问的应用数据将一并销毁，防止重要资源数据在终端的泄漏。4 .断开的安全：对于移动用户，终端常置于不受保护的网络环境下，即使是VPN网络断开后我们也需要彻底清除访问记录，保证断开的安全。SSLVPN支持在用户结束访问并注销后，终端同时自动清除IE中的CoOkie、临时文件等遗留在客户端计算机上的信息，实现“零痕迹”访问，避免安全隐患。5 .3快速的访问VPN融合了多种广域网加速技术，速度性远超普通的VPN,提供了网络的高速和高可用性。在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品，通过

10、配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果。VPN通过数据削减、线路优化、传输优化三个方面全面提高接入访问速度。数据削减VPN采用了WAC加速引擎中专利“基于码流特征的数据优化”技术，能够大大降低广域网传输过程中的数据流量，根据实际的测试最多时甚至能够将流量减少95%以上。区别于一般的缓存技术存在数据更新滞后等问题，基于码流特征的数据优化采用数据流cache加速技术，通过数据包分片标签机制并结合优化的模式匹配算法，在保证数据实时性的同时大大降低数据传输量提高访问速度。支持平均传输效率为130%的LZO压缩和GZIP压缩，SSLVPN内置了数据压缩算法，对所有的传输数据进行压缩之

11、后、再传输，这就在无形中极大的提高了带宽。支持动态压缩策略,针对各种C/S应用进行压缩算法的动态选择，智能分析数据在压缩比与压缩速度之间选择最佳动态压缩算法进行数据压缩，达到压缩的最佳化，大大降低数据传输量的同时提高网络传输效率。支持WebCaChe技术动态缓存JS、CGl等Web元素，移动用户访问B/S应用时的数据交互次数和传输量，大幅提高移动用户的访问体验。线路优化针对不同运营商之间互访的高丢包、高延时的网络瓶颈问题，VPN独有的专利技术畅联技术(FLASHLINK)对线路传输机制进行优化，抚平瓶颈保证网络传输质量。拥有专利多线路技术，支持多条线路之间的带宽叠加和智能选路。对于总部或者分公

12、司网络拉有多条线路的情况，启用多线路的带宽叠加功能，成倍的扩大出口带宽提高线路总吞吐率。对于移动接入用户，进行线路接入速度的探测实现客户端到总部采用速度最优线路进行接入，保证网络访问的时时领先，尤其是在总部使用不同运营商线路的同时对移动接入用户的线路优化效果极佳。传输优化通过改善数据的传输机制确保在高丢包的恶劣网络环境下同样能够保持较高的传输质量和速度，尤其是对使用PDA、智能手机等VPN无线访问方式，大幅提升用户的访问体验。对于使用PDA、智能手机等无线访问方式的移动用户，VPN支持Web优化技术通过对Web页面元素进行优化，调整页面结构，避免因页面本身架构的问题而导致无线终端上显示变形的情

13、况。支持资源负载均衡技术，实现资源多服务器情况下进行用户访问的动态负载均衡，整体提高服务器的使用率，优化访问效果。6 .4方便的管理VPN系统采用GUI图形界面管理，维护简便。并提供了完善的日志服务、故障诊断等工具，方便总部管理员对系统的维护和管理。支持外置数据中心与设备实时同步设备的各项日志，详细的记录用户登录、访问资源、流量、设备告警等各项详细日志，并支持报表生成功能，便于管理员对内网和应用形成一个直观的感受，为网络的管理和优化提供参考。VPN支持多达16级的管理员的分级管理功能，内设管理权限最高的系统管理员。系统管理员之下可以根据公司的组织架构、网络和资源的管理等方面的综合考虑设置分级管

14、理员，管理VPN系统模块设置、资源权限、角色、用户等方面的内容。对于管理我们强调配置上的统一性，上级管理员可配置下级管理员强制继承其对用户认证、流量控制等方面的配置，保证整网认证安全性和流量分配上配置上的协调统一。同时下级管理员可选择继承上级设置的配置属性，或对其新建的用户等加强认证要求。在接入访问的管理上，VPN支持自定义分配每个IPSecVPN隧道流量，保证各个分支的访问的同样顺畅。同时VPN支持对移动接入用户/用户组进行流量和会话的限制，合理分配带宽。7 .5高稳定可靠性保障VPN通过VPN隧道、线路和设备三方面的全方位保证整个VPN网络的稳定性。支持隧道自愈技术，实时探测VPN隧道连接

15、情况，一旦检测到VPN拨号中断则在3秒内自动进行VPN重新拨号；对于线路中断的情况，通过隧道自愈技术，一旦检测到线路恢复，则立即进行隧道的重新建立，无需人为操作实现VPN网络的自动恢复。支持多线路技术实现多条线路之间的主备，可设备主线路组合备线路组，并可实现在主线路组、备线路组中分别进行带宽的叠加及负载均衡。当主线路组中的某条线路中断，则该条线路上的数据则自动切换到主线路组中的其他线路上；当主线路组中所有线路都无法使用时，则备线路组自动启用。充分的利用了各条线路，在保证线路的高稳定性下实现线路价值的最大化。SSIVP支持双机热备功能，通过心跳线连接主备机监测对方的状态并进行实时同步，当主机因为断电等原因无法正常使用时，则备机自动启用，保证了设备的高可靠性。