1、广西XX县财政局VPN移动加速升级方案 XX科技股份5月前 言以Internet为代表全球性信息化浪潮日趋高涨,信息网络技术应用日益普及和广泛,应用层次正在深入,应用领域从传统、小型业务系统逐步向大型、关键业务系统扩展,经典如行政部门业务系统、金融业务系统、企业商务系统等。政府及机关一直是中国信息化先行者,政府网络建设已经比较完善。伴随“电子政务”建设深入深入,从以来、广西财政信息化建设关键改变显著,“金财工程”系统受重视程度继续加强;而办公自动化、信息安全和政府门户网站建设受重视程度显著加强。 根据国家网络安全管理要求,财政局内网和外网必需物理隔离、以保障含有国家机密信息“内网”绝对安全。但
2、伴随电子政务、网上办公、财政部门本身信息化业务系统等发展,财政部门和本身有业务关系机构、外界相关单位信息交互“外网”安全和互连互通就变得尤为必需。 尤其是广西全区实施“国库集中支付”系统,应用单位遍布于城县各地,下属单位也常常需要和所管辖财政局交互信息。同时,各地财政部门办事人员常常出差,移动办公需求也日益迫切,所以财政机构对远程接入到财政“内网”应用需求是显而易见,然而在各地实施“国库集中收付”系统后还存在部分应用上问题。1现实状况分析,广西XX县财政局国库集中支付网络广域网已经建设完成,各二级预算单位和县财政局构建一个VPN安全网络,在此基础上运行应用程序,保障系统安全。在县财政局中心机房
3、,配置一台安达通SJW74A PRO安全网关,各二级预算单位要和财政局内部服务器连接,必需先和SJW74A PRO安全网关建立安全隧道,另配置一套安达通用户端软件结合硬件加密USB KEY。依据了解广西XX县各二级预算单位大约有80多个,未来还会增加,预算单位支付终端要访问县财政局服务器,必需先运行ADT用户端软件,和县财政局SJW74A PRO安全网关建立安全隧道,在网络上运行加密数据。不正当(没有加密)单位无法和SJW74A PRO安全网关建立隧道,也就无法访问内部系统,这么确保了财政系统安全。 不过不少财政预算部门反应使用VPN后发觉,VPN能够接入访问业务系统,不过访问速度很慢,很影响
4、业务工作开展,究其原因有多个:a.)局域网中了蠕虫病毒造成网络堵塞。b.)用户大量下载,造成网络堵塞,影响业务应用c.)不一样运行商线路间连接不稳定。d.)公网线路不稳定,在接入网络设备上ping公网网关丢包比较频繁e.)终端用户使用软件是C/S架构,开发时对网络传输定义延时率要求过高,掉包后,出现超时断开连接,应用效果差.等等另外问题就是支付终端维护系统问题,预算单位电脑因为操作系统原因、或使用者电脑应用水平有限,在使用上,出现问题判定上有误,造成系统维护人员天天忙碌奔走在各个部门,不停回复处理预算单位用户计算机中应用软件出现多种故障,大大增加了单位维护成本。2处理方案本方案是为国库集中支付
5、网络安全互联一套应用升级方案。方案采取基于IPSec标准虚拟专用网(VPN技术),把整个国库集中支付需要接入预算单位和移动用户经过专用VPN设备和VPN用户端系统平滑升级,提升原有访问速度,为系统管理和业务结构一个便捷、保密,易管理信息传输平台。本方案中采取专用VPN设备为上海安达通信息安全技术股份研制SJW74系列VPN安全网关产品和安全用户端产品为基础,加入安达通“VPN移动接入加速系统”模块,该模块是融合了桌面终端控制技术和数据压缩技术,能够将传统“ClientSite”VPN远程接入速度提升10倍以上,使原来对带宽要求很高C/S应用软件,能在甚至56Kmodem拨号方法下经过VPN隧道
6、顺畅运行。同时,使用该加速系统后,对用户端性能要求大大降低,同时免安装应用软件用户端,布署和管理异常方便在本方案中,采取安达通VPN产品实施安全网络互联方案,确保关键业务系统安全性,提升访问速度,并达成以下目标:保护内部网络安全。经过设置有效安全策略,确保只许可符合安全策略内外网络之间访问和服务,确保内部网络免受外部攻击。确保信息传输机密性和不可篡改性。SJW74 VPN网关之间能够建立高强度加密隧道,信息传输时,是以加密形式传送,并附加了认证信息,能够确保数据保密性和不可篡改性。对原有预算单位使用改变很小,不过速度比原来使用提升10倍以上,同时对系统管理员管理工作大大减轻,基础实现零维护。也
7、可适适用于财政各类应用系统需要,同时也能满足未来业务扩展需要:如:乡财县管系统、办公OA等系统。3方案示意和说明现在,广西XX县财政局信息中心已经布署较高端ADT SJW74A PRO安全网关,各预算单位、移动用户经过ADT安全用户端系统(安全用户端软件+KEY)接入到财政局内网访问国库系统,只要对原有VPN网关升级,加入“移动接入加速系统”模块,下属预算单位不需重新设置,就能表现VPN加速带来快捷和方便性。广西XX县财政局VPN移动加速平台系统方案以下图: 3.1 广西XX县财政局VPN网络结构图VPN网关布署在信息中心节点防火墙后面,财政系统数据服务器和远程终端应用服务器放在内网中,在不需
8、要改变网络现实状况情况下,启用安达通“VPN移动接入加速系统”模块,VPN移动接入加速系统由安达通VPN网关和远程终端服务器组成。移动用户登录VPN后,经过Web资源展示页面,即可直接访问远程终端服务器。在终端服务器上安装用户应用系统用户端程序(如:下图中“国库系统用户端”)。图示例中,移动用户经过VPN隧道远程控制在该终端服务器上国库用户端运行,如同在局域网内访问应用服务器一样。因为只在远程终端服务器和VPN移动用户间VPN隧道中传输键盘、鼠标和显示画面等小数据量信息,避免了C/S程序间大量应用数据在VPN隧道中直接传输,所以应用软件运行速度有了显著提升。再加上使用了数据压缩技术,使带宽效率
9、深入得到提升。下表是采取“VPN移动接入加速系统”前后,示例中国库集中支付系统用户端程序打开一个大数据量表单时运行速度对比。总部采取2M光纤接入,预算单位用户2个,全部采取512K ADSL远程接入。环境测试示意图技术参数(分部A)传统移动接入(分部B)安达通移动接入加速VPN移动用户地址132.131.100.25/16(VPN源地址)132.132.100.25/16(VPN源地址)国库系统用户端地址132.131.100.25/16(VPN源地址)(国库系统用户端直接安装在预算用户电脑上)132.133.100.31/16(VPN目标地址:终端服务器地址)(国库系统用户端安装在总部终端服
10、务器上)国库系统数据服务器地址132.133.100.32/16(VPN目标地址)132.133.100.32/16(移动用户不直接访问服务器)操作完成耗时105s2s经过上表我们能够看到,对于远程应用处理方案来说,VPN移动接入加速系统含有比VPN较显著优势。3.2移动加速系统技术优势分析3.2.1 原有VPN技术 VPN(虚拟专用网)经过公众IP网络建立了私有数据传输通道,它让用户能够访问布署在远端服务器网络和主机。 VPN是基于网络层协议IPSec实现(基于链路层PPTP 和L2TP 协议因为其安全缺点已被弃用),它在公网上经过传输经过加密和认证数据包,形式上建立了一个私有隧道,在网络层
11、实现了互联。 VPN本身布署是很复杂:在用户端,它需要在每个用户处安装VPN用户端软件,并针对不一样网络情况作不一样设置;经过VPN方法远程布署业务系统,在公网上传输是真实业务数据,数据量很大,假如低带宽条件下运行,造成性能下降巨大甚至无法运行。3.2.2 VPN移动接入加速系统VPN移动接入加速系统是基于Web方法实现远程应用访问平台,它使得用户能够直接经过公网用IE浏览器很方便访问布署在远端应用程序和业务系统。VPN移动接入加速系统用户端使用标准Web浏览器(IE),在公网上只暴露出Web服务器供访问。标准安全Web架构使得系统布署和管理全部极为方便。 VPN移动接入加速系统是基于服务器计
12、算远程处理方案,它在公网上传输是界面变更信息,任何业务数据全部限制在企业内部网内,绝不会在公网中传输。这种传输方法仅需极小网络带宽,同时确保了企业数据安全。 VPN移动接入加速系统适适用于任何形式应用系统(包含C/S结构),不仅不需要改变原有网络结构和应用系统,更不需要在原有应用系统中加装任何软件或插件。高适用性和非侵入式布署提升了整个方案兼容性。3.3可用性分析3.3.1 接入方法兼容性 Web方法是Internet上通行证,不管采取何种方法接入Internet:拨号、DSL、Cable Modem、LAN、GPRS、Wi-Fi、卫星,全部能够使用浏览器来访问Web站点。VPN方法对不一样网
13、络接入方法兼容性较差,即使是不一样厂家设备之间也存在着互操作和互联问题。另外,VPN方法使用了专用端口,在很多防火墙环境中全部是受限。 VPN移动接入加速系统完全基于Web技术,能适应现在和未来全部连接方法。它使用标准http/80或443端口,在全部环境下全部能够使用,比如:用户在酒店等公共上网点或无线上网时,使用Web方法VPN移动接入加速系统能够通畅无阻地访问布署在企业内部网中应用,而VPN方法则存在严重网络适应性问题。3.3.2 网络带宽需求 VPN移动接入加速系统仅传输用户屏幕显示和键盘鼠标输入改变数据,并经过了透明压缩过程。这种方法含有很低带宽要求和带宽占用率,仅56Kbps拨号连
14、接就可提议应用会话,稳定运行最低只需要十几Kbps带宽。所以VPN移动接入加速系统能够确保应用程序在多种带宽条件下能够平顺运行。 VPN技术是在远程用户和企业内部网络之间建立一条点对点加密通道,需要在这条通道上传输大量应用数据,用户在实际应用VPN技术时,常会感到速度很慢得无法忍受。尤其是在大并发用户数情况下,带宽要求矛盾愈加突出。3.4安全性比较3.4.1 内部网络安全 因为安全网关通常布署在企业网络中Internet接入路由器后或防火墙后里,或做出口设备(本身含有路由和防火墙功效)。这种堡垒式主机性能提供了独特安全优势:从Internet到企业数据中心没有直接和物理上路经,远程用户无法访问
15、企业内部资源。 另外,VPN移动接入加速系统服务器仅开放标准Web端口(80/443),这个端口是全部Web服务器使用端口,轻易进行安全防范,黑客侵入网络机会很少。 而在布署VPN后,整个内部网拓扑结构及其资源在Internet上可见,远程用户能够访问内部网中全部机器。网管并没有一个简单措施来控制和监视用户从哪里来和在作些什么,稍有疏忽黑客即可直接访问到企业内部服务器和数据库。 显然,VPN移动接入加速系统方法大大增强了远程访问安全性:系统管理员只需要对VPN移动接入加速系统服务器进行常规Web服务器安全加固,无须因远程访问需求而对内部网机器作额外安全考虑。3.4.2传输链路安全 VPN移动接
16、入加速系统安全通道是在用户到所访问资源之间建立,确保端到端真正安全。不管在内部网络还是在Internet上数据全部不是透明,用户对资源每一次操作全部需要经过安全身份验证和加密。 VPN在用户和网络资源边缘处建立通道,仅保护从用户到企业网络边缘连接安全,全部运行在内部网络数据是明文,包含任何密码和在传输中敏感数据。3.4.3 用户端安全 VPN移动接入加速系统工作时,服务器仅向远程用户浏览器传输经压缩和加密后屏幕改变数据,业务数据历来就没有在网上传输过,更不可能停留在内存或当地硬盘里。 使用VPN进行远程访问时,用户机器上需要安装和运行业务系统用户端,它们直接接收了企业服务器发来业务数据,并往往
17、在当地硬盘写入临时或缓存数据。我们很轻易预见,当移动办公者笔记本电脑被窃后,或在不安全地点上网时,或电脑中入侵了木马病毒时,机密商业程序和关键数据泄露可能性是多么大。3.5管理性比较3.5.1 本身布署 使用VPN访问远程网络,用户端必需运行VPN专用软件。这意味着网管不仅要在服务器端安装VPN设备,更要在每一台远程访问计算机上安装VPN用户端程序。当一个企业有成百上千个远程用户时,IT支持人员工作量是很巨大。尤其是那些IT支持人员无法现场接触计算机(比如偏远异地办事处),指导用户下载和安装VPN用户端程序是件繁琐事情。 VPN用户端程序设置也极为繁琐,它需要对多个IP地址和网络属性进行配置,
18、而且在不一样网络环境和接入方法下,配置项目和参数全部是不一样。即使是IT专业人士也极难掌握这些配置,更何况是不用层次用户是非技术性。 VPN移动接入加速系统在用户端使用标准Web浏览器(IE),无须安装任何软件也无须作任何配置。VPN移动接入加速系统在服务器端是即装即用,不改变任何应用系统,在用户端方面完全实现零安装,大大降低了系统布署工作量和成本。3.5.2 应用系统布署 VPN方法下,远程用户不仅要安装VPN用户端,还要安装多种应用系统用户端。这些安装工作无法以自动化方法进行,肯定花费IT支持部门大量人力和时间。 现代软件系统更新升级频繁,新应用系统也不停涌现,而在其次,用户操作系统因为病
19、毒和误操作等原因,常常需要重装。每当升级或新增系统或重装,用户全部需要安装对应应用系统用户端程序,它们随之给IT部门带来是长久而频繁咨询、技术支持、培训需求,加重了部门和企业负担。 以VPN移动接入加速系统来实现远程应用访问就不存在这些问题,它是完全服务器零用户端计算模式。不仅全部应用系统变更、打补丁和升级全部在只须在企业总部数据中心进行,布署一个新应用系统也仅须在企业总部进行安装和调试,任何时候全部不需要接触远程用户计算机。3.5.3系统维护业务扩展 伴随财政系统应用发展,信息系统将随之发生改变,诸如:改变网络拓扑结构、改变网络接入方法、增加分支机构、增加移动办公人员、布署新业务信息系统等。
20、 使用VPN构建远程访问系统,每次信息系统变更时全部需要对系统内远程访问人员计算机进行调整,或进行网络参数设置,或安装新用户端程序,而且这些调整通常需要IT支持人员帮助。 使用VPN移动接入加速系统,不管信息系统怎样改变,远程用户仍然使用Web浏览器作为唯一用户端,甚至连访问URL地址全部不需改变,一切改变对远程用户全部是透明。对原有使用单位布署 原有已经使用上安达通VPN用户端软件连接预算单位,经过在信息中心网关升级调整后,也不需要安装VPN用户端和应用系统用户端,。我们也不再考虑用户使用什么操作系统,使用VPN移动接入加速系统,全部计算机上只需要一个用户端程序Web浏览器,全部权限管理全部
21、在数据中心集中进行。管理费用 VPN移动接入加速系统能够实现远程管理和监控,大大降低管理人员差旅费用和时间,做到对分支机构故障实时响应,提升对分支机构管理服务质量,降低维护和管理成本。 VPN移动接入加速系统能够实现远程培训和教育。经过网络进行培训,改变了以往人员集中开会培训方法,不仅节省了参与培训、组织会议人员和机构时间,提升了培训效率,更能够降低培训会议费和差旅费。 VPN移动接入加速系统含有监控和汇报功效,基于应用程序对用户跟踪监测,有利于IT人员分析应用情况,高效利用网络资源。4.项目所需设备清及报价依据广西XX县财政局信息中心网络情况及所需要设备升级,推荐采取下面设备:设备名称数量销
22、售价格描述ADT SJW74A PRO安全网关1台21,000.00此次是把原有SJW74A PRO安全网关更换成最新版本支持远程加速模块SJW74A PRO安全网关;该设备支持300,000个内网并发会话数;400个VPN并发隧道;在3DES+SHA算法通道模式下,最大IPSec吞吐率为20Mbps,百兆Firewall吞吐率;三个10/100M自适应以太网口,可定义2个WAN口;支持双机热备;并融合了桌面终端控制技术和数据压缩技术,能够将传统“ClientSite”VPN远程接入速度提升10倍以上。远程加速模块1套累计21,000.00注:需要更换原有ADT安全网关,升级到最新设备,并开通远程加速模块功效。5.成功案例用户单位项目介绍行业VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府VPN设备升级(移动加速)政府
浙ICP备2021020529号-1 | 浙B2-20240490 
