网康VPN网络建设方案建议书.doc

VPN网络建设方案建议书 VPN网络建设方案建议书 目 录 第一章 客户需求及相关技术介绍 2 前言 2 客户介绍 3 需求分析 4 第二章 VPN技术选型 5 1 IPSEC VPN 6 2 SSL VPN 6 3 IPSEC VPN与SSL VPN对比 7 3.1 IPSEC VPN的优点 7 3.2 SSL VPN的优点 7 3.4 SSL VPN产品特点 9 第三章 IPSEC&SSL VPN方案 10 1 网络拓扑结构 11 2 产品部署 11 第四章 北京网康科技产品优势 14 第五章 报价及工程实施 20 第一章 客户需求及相关技术介绍 前言 在网络技术迅速发展的今天，企业信息化已成为国际性发展趋势。但作为国民经济信息化的基础，企业信息化的建设和安全，同样越来越来受到国家和企业的广泛重视。 建立企业内部局域网，实现企业内部沟通畅通，是信息时代所有企业集团的共同需求。今天，企业大量的业务都已经要依赖互联网来开展，很难想象，一旦离开互联网，企业的整个业务将处于一个什么样的状态。但在目前的状况下，大多数的企业也都同时面临着一个共同的问题：随着公司规模的不断扩大，各地办事处、分公司纷纷建立，每个分公司都以自己的局域网“各自为政”，并且总公司与各分公司之间的专线维护费用和数据的安全传输。企业如何才能够安全、方便、快捷的建立起一个跨地区的企业网络系统，已经成为一个急需解决的问题。 如何寻找一种切实可行的解决方案，既能安全可靠地解决总部与分部、分部与分部相互之间的安全通信及信息交换，又能最大限度保护原有投资，已经成为企业网络建设的当务之急。 VPN技术方案的成熟，为这些企业用户提供了很好的解决之道，VPN技术能够提供可靠的数据加密、信息安全交换的能力，可采用的方案有点对点、用户对点、用户对用户的连接方式，能为企业的商业运作实现一个可靠、安全的数据传输网络。 集团公司要求最大可能地保证其所有的网络和系统可以得到充分的信任，可以获得良好的管理，并能够完全控制与IT基础结构相联系的安全风险水平。实现的总体目标是在不影响集团公司网络系统当前业务的前提下，实现对集团公司总公司和各分公司的网络的安全连接。 客户介绍 需求分析 ***********不论是实施前期还是后期的运行维护管理方面，地域分布广、工程点分布多，那么在项目施工前期的工程协调以及项目运行后的自动化管理如何将这些点有机的通过信息网络连接在一起是我们现在需要解决的问题，同时考虑运行后的系统扩展。 从目前的信息技术来看，具备这种特点的网络建议考虑采用VPN虚拟专用网络技术来实现我们的需求是最佳选择，以便于中心站统一管理、统一调度。 ***********不论是前期实施阶段还是后期的运行管理阶段，尤其是在后期运行后的综合自动化系统结构庞大，如何实现这一系统的高度自动化，其中首要条件是基础网络如何实现。 综合自动化系统划分为： 共7个子系统组成。根据系统运行需求设立中心站、分中心站、子中心站： 序号 类别 名称 位置 备注 1 2 3 3.1 3.2 3.3 3.4 3.5 3.6 **********中心站的网络建设已经初具规模，网络中部署了包括OA、E-MAIL等业务系统。这些系统不仅要给内部人员提供服务，也要给移动办公、外出的人员提供服务。因此，对SSL VPN设备的并发连接数和性能提出了较高的要求。 安全性 SSL VPN产品必须满足两个最基本的要求：第一，必须使用SSL 协议进行认证和加密，没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证；第二，可以直接使用浏览器进行操作，无需安装独立的客户端。 可用性 VPN系统的用户应该可以无缝地访问各种服务和应用，除了发起请求之外，其它访问过程应该对用户保持透明。 高性能 VPN设备通常需要完成加密、解密、传输、控制等大量的工作，性能是否充足是一个相当重要的参考因素。硬件VPN设备能够提供较好的性能表现，适用于性能要求较高的场合。在较大规模的应用环境中，更适合采用基于硬件的解决方案。 第二章 VPN技术选型 VPN即虚拟专用网(Virtal Private Network)，是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别 目前，用于企业内部自建VPN的主要有两种技术——IP Sec VPN和SSL VPN，IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联。 1 IPSEC VPN IPSec VPN是基于IPSec协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议：“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) 。AH为数据流提供数据完整性认证的服务。ESP为所传输数据提供加密和数据完整性认证的服务。 IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。在密钥的获取方面，IPSec提供了IKE协议，使通讯的双方能够通过安全的自动协商获得相同的密钥。 Transport Mode 将原IP包中的数据部分进行封装，从而提供了端对端的安全连接。Tunnel Mode 封装整个IP 包 ，从而建立网关到网关间的安全的虚拟的一跳（hop）。利用Tunnel Mode建立跨越Internet区域的连接两个网关的隧道，从而组成传统方式的VPN。 传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSec VPN， 这种形式的VPN被广泛地使用在企业中，用于安全连接位于异地的企业计算机资源。 2 SSL VPN Secure Sockets Layer （SSL/安全套接层）是由Netscape(网景)公司开发的用于在Internet上传递隐密的消息的协议。Netscape的安全套接层是利用RSA数据安全公司的公用密钥密码技术来实现的。RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统。 公用密钥加密技术使用不对称的密钥来加密和解密，每对密钥包含一个公钥和一个私钥，公钥是公开广泛分布，而私钥是隐密的，只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密。 认证是一个验明正身的过程，目的使一方能够确信对方就是它本身。 SSL安全协议主要提供三方面的服务： （1）认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上； （2）加密数据以隐藏被传送的数据； （3）维护数据的完整性, 确保数据在传输过程中不被改变。 与复杂的IPSec VPN相比，SSL VPN通过任何安装了WEB浏览器的设备都可以使用SSL通过互联网安全地访问公司企业的内部WEB应用，这是因为目前SSL技术已经内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为要有客户端软件。这一点对于拥移动和零散的用户访问总部提了极大的方便。通过SSL VPN是接入企业内部的应用，而不是企业的局域网络。SSL VPN利用浏览器本身只能做到访问B/S（浏览器/服务器）应用和访问ftp 服务。如果要实现桌面级的应用，比如传统的C/S（客户/服务器）结构的系统，SSL VPN仍然需要安装专门的客户端。 3 IPSEC VPN与SSL VPN对比 3.1 IPSEC VPN的优点 日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可，IPSec仍然是作为站点到站点的VPN事实上的标准。IPSec VPN通过在互联网上的两站点间创建隧道提供直接接入，一旦隧道创建，远程PC就如同物理地处于企业总部LAN中，为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSec VPN隧道连接，远程的办事处和移动用户就能几乎总部局域网的所有应用和资源，而不象SSL VPN具有一定的局限性。IPSec VPN的优点是：最适合局域网到局域网的通信，适用性更大。 3.2 SSL VPN的优点 无需安装客户端软件或客户端设备，只需通过Web浏览器即可以通过网页访问到企业总部的网络资源，免去了客户端的成本，维护、管理成本也大为降低。SSL VPN方案实施起来非常简单，只需要在企业的数据中心部署SSL VPN网关即可，无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可。SSL VPN的管理工作属于集中管理和集中维护模式，可以极大地降低管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点，而且还可代理访问公司内部资源。因此，这种方法可以非常安全的。为那些简单远程访问用户（仅需进入公司内部WEB、FTP网站或者进行Email通信），基于SSL 的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源。 为了让移动工作者、协办厂商、海外员工、企业合作伙伴或客户都能存取不同的企业资源，可考虑采用SSL VPN技术。SSL VPN 的设计可满足不同使用者的存取需求，以便随时随地安全地存取管理人员限定其存取的企业资源。如果使用者的身分或环境改变时，它还允许管理人员改变其存取方式即可存取的资源。经过设定后，SSL VPN 可检查终端设备是否符合安全政策规范，并根据检验结果限定可存取的资源，或告知使用者如何修订其联网设备。再搭配上严密的存取控管与终端设备防御功能，可消除未受保护终端设备、非信任网路，或未经授权使用者可能带來风险。在此情况下，SSL VPN 让使用者能够随时使用任何内建网络浏览器的电脑存取企业资源。 考虑选择IPSEC VPN还是SSL VPN可参考下面对比清单列表。 IT环境 IPSec VPN SSL VPN 连接类型 固定连接 短暂连接 设备类型 可控的公司设备 经常变动的设备 接入类型 Site-to-site 远程员工，合作伙伴，客户 访问控制 允许增强的接入管理策略 用户类型 IPSec VPN SSL VPN 远程办公室员工 √ √ IT维护员工 √ √ 移动员工 √ 临时人员 √ 顾问 √ 客户 √ 商业伙伴 √ 客户端网络和设备 IPSec VPN SSL VPN 设备类型 企业拥有并管理 无管理的 网络类型 信任的 不信任的 特别用途 远程或分支办公室 宾馆Internet访问；公共终端（网吧等）；客户或商业伙伴的PC；家庭网络 应用和内容 IPSec VPN SSL VPN 全网段，无需应用访问控制 √ √ 需要访问控制的网络，无论内网和准内网 √ Web应用 √ √ C/S应用 √ √ 内网应用 √ √ Email √ √ 文件服务器 √ √ 3.4 SSL VPN产品特点 在进行SSL VPN产品选型时，可遵循以下原则： 灵活性： SSL VPN产品应该可以最大限度不改变原有网络拓扑部署到用户网络中。可实现旁路和串联接入。可部署实现客户端与网关互联和网关与网关互联的VPN服务。 易用性： SSL VPN产品可实现客户端不安装客户端软件，不运行安全控件，即可通过SSL VPN安全隧道访问内部各种应用。 规范性： SSL VPN产品应遵循SSL协议规范，产品任何功能，任何访问均已SSL协议为基础实现。 应用支持完整性： SSL VPN产品可以实现客户端对各种B/S、C/S服务的访问。 安全性： SSL VPN产品应具有完整和丰富的认证功能来满足各种级别的认证等级需求。应具有细粒度的访问控制，实现不同用户允许访问的应用不同。应具有安全功能以保证内网服务器免受攻击和非法访问。应具备客户端安全性检测功能，保证接入安全。应具有强大的安全审计功能，以便管理员对用户访问进行跟踪。 高效性： SSL VPN产品可采用压缩技术、缓存技术以及专业的加速技术，提高信息传输效率，保障用户访问内部应用系统畅通迅速。 可靠性： SSL VPN产品可提供完整的冗余解决方案，可以做到主从热备，负载均衡以及集群部署，提高业务系统的整体性能和运行可靠性。 第三章 IPSEC&SSL VPN方案 ***********的网络建设已经初具规模，网络中部署了包括OA、等业务系统。这些系统不仅要给内部人员提供服务，包括未来与各个站点进行数据互联，也要给移动办公、外出的人员提供服务。基于客户未来发展的需要，北京网康科技建议采用IPSEC&SSL二合一的VPN产品解决方案，满足移动办公、外出人员的内网访问需求以及业务系统使用的需求，同时考虑贵单位未来发展的需要，预留与各下级分站点数据互联的IPSEC接口，节省设备投资，满足未来发展的需求。 1 网络拓扑结构 2 产品部署 根据以上需求分析，在中心端我们建议选择北京网康 ASG二合一 VPN 网关 NV 5000-25F来满足需求。主要参数如下表所示： 性能参数 并发用户:4000。 每秒新建用户：400用户/秒。 防火墙吞吐量：1.5Gbps SSL加密速率：500Mbps。 IPSEC 加密速率：710Mbps 硬件规格 网络接口：6个10/100/1000M自适应电口，4个SFP光接口。 串口：1个Console接口；1个MAG接口。 电源：交流单电源。 机箱：标准2U，可上机架。 MTBF：8万小时。 在具备一定规模局域网(用户在30个以上的时候)的分中心站采用网康科技ASG VPN网关NV3000-10来满足需求，当然如果前期用户较少的话我们可以先用客户端对网关的方式来代替，待用户规模起来后再用网关的方式取代客户端。NV3000-10主要参数如下表所示： VPN性能参数 并发用户:600。 每秒新建用户：60用户/秒。 防火墙吞吐量:200Mbps。 IPSEC加密速率：220Mbps。 SSL加密速率：150 Mbps。 硬件规格 网络接口：4个10/100兆自适应电口。 串口：1个Console接口。 电源：单电源。 机箱：标准1U，可上机架。 MTBF：8万小时。 在用户数量较少的子中心站或出差用户我们采取客户端对网关的方式来实现远程登录。 在远端用户访问专网资源的情况下，我们可以通过SSL VPN网关的web安全访问秘隧道隔离技术来限制用户是否可以访问互联网。 第四章 北京网康科技产品优势 我们相信，只有专业才能造就品质。网康科技的SSL VPN+IPsec系列产品远程访问系统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统，和商业VPN远程访问系统比较，我们的技术优势包括： 3.1安全性高 ASG VPN系统从加强对用户身份的鉴别和审计，对用户分组设置访问权限，以及访问行为进行管理和自动监控等方面同时入手，确保数据的保密性和安全性。 n 用户鉴别。除了使用用户名／口令方式进行用户认证，ASG VPN系统可以强制要求客户端使用数字证书来完成认证，同时数字证书与用户所使用的计算机绑定，用户的一个账号只能在某一台计算机上使用，实现用户的双因素认证，大大强化了认证强度和减少账号的出借外泄。 ASG VPN远程访问系统支持的用户鉴别机制包括： Ø ² 本地用户名、密码认证 Ø ² 数字证书 Ø ² LDAP认证 Ø ² CALIS认证 Ø ² RADIUS认证 Ø ² 硬件UKEY认证 Ø ² Token认证 n 可以基于用户组在网关和客户端设置两级访问策略限制并强制执行，规范用户的访问内容，彻底避免用户客户机的二次代理问题。 n 用户行为控制。ASG VPN系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动作的管理。如防止用户长时间登录到ASG VPN系统但不发生访问行为，浪费并发用户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户方可正常使用。 3.2全面的VPN解决方案 ASG VPN远程访问系统远程接入采用基于SSL协议的VPN技术，节点互联采用基于IPSEC协议的VPN 技术，充分发挥各种技术特点，这样无论从使用和管理上都实现了最大的安全化，以及简单最大化。 3.3使用简单、方便 传统的远程访问设备，如果在政府与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技ASG VPN远程访问系统采用专有的网络技术，可以灵活的部署于政府内部的任何位置，实现透明接入，不需要对政府的内部网络设备做任何的更改配置即可实现远程接入功能。 位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASG VPN远程访问系统充分考虑到了这点，无论是利用浏览器还是利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN远程访问系统能够通过以下网络接入方式来提供访问。 Ø ² 各种宽带连接 Ø ² 各种拨号连接，ADSL,PSTN,ISDN等等 Ø ² 各种无线连接，GPRS，CDMA等等 Ø ² 各种NAT环境，无需额外设置 Ø ² 通过代理服务器访问 3.4专用技术提高终端用户资源访问速度 ASG VPN远程访问系统通过两种方式来提高终端客户访问下载的速度。 第一种方式是通过采用ZLIB压缩格式来压缩传输的数据以提高传输速率。 第二种方式是通过采用TCP/UDP传输协议的最优化切换技术，该技术自动检测UDP通道的可用性以及性能状态，如果UDP通道可用并且性能良好，则优先使用UDP隧道进行数据的传送，否则自动切换TCP隧道进行数据的传送，在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。 3.5详尽的统计功能 ASG VPN远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。 用户审核管理模块主要功能： Ø n 现场注册 Ø n 用户信息比对和审核 Ø n 用户信息开户和登记表打印 Ø n 用户开通信息EMAIL通知 Ø n 用户管理 Ø ² 排序 Ø ² 查询 Ø ² 挂起／激活 Ø ² 销户 Ø ² 有效期操作 Ø n 操作员管理 Ø n 用户信息同步 3.6访问统计图标 注册统计模块是网康科技定制研发，行业中独有的，具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。 例如： Ø n 用户自定义注册 Ø n 管理员通过后台手动审核注册用户 Ø n 根据定义策略系统自动审核注册用户 Ø n 详细的登录日志（如图） n 强大的图表功能 （如图） 3.7分级管理功能 ASG VPN远程访问系统提供分级管理功能，通过运用分级管理，管理人员能够根据人员分配和管理的情况，分别分配不同的管理权限。ASG VPN远程访问系统分级管理功能如下： Ø n 添加系统管理员 Ø n 用户申请 Ø n 审核用户 Ø n 管理用户 Ø n 到期用户管理 Ø n 客户端总流量 Ø n 用户登陆统计 Ø n 用户登陆明细 Ø n NAT流量统计 Ø n 电子资源访问统计 Ø n 在线用户 Ø n 证书管理 Ø n 系统日志 3.8高扩展性 ASG VPN远程访问系统具有极高的可扩展性，充分保证了用户的现有投资。用户可以针对未来的使用需求进行灵活的产品扩展： n 增加并发用户，无需更换硬件设施 n 增加负载均衡功能，无需添加任何模块 n 增加高可用性功能，无需添加任何模块 综上所述，我们可以了解到ASG VPN系统不仅是一个VPN，而是一个专门为大型企业和政府部门以及其分支机构定制的以SSL VPN＋IPsec为核心的访问控制系统，是一个有效的电子资源的访问和管理工具。通过我们与众多使用单位的技术人员和管理人员交流、讨论，以及实际中的测试和使用，设计上充分听取用户的意见，系统既满足了终端用户的电子资源访问需求，同时也着重考虑和实现了ASG VPN系统与政府机构和企业业务流程的衔接以及对远程访问读者的行为的管理，以实现安全、可控的远程访问 第五章 报价及工程实施 解决方案报价 购买设备 型号 单价（元） 数量（台） 小计 NV5000-25F（内置100个用户许可） 1 NV3000-10（内置20个用户许可） 1 SSL用户许可 总计 设备安装过程安排 设备订货 10 天 安装 0．5天/每点 培训 0.5天/每点 可集中培训 设备保修 1年免费保修 终身有限保修 合同管理制度 1 范围 本标准规定了龙腾公司合同管理工作的管理机构、职责、合同的授权委托、洽谈、承办、会签、订阅、履行和变更、终止及争议处理和合同管理的处罚、奖励； 本标准适用于龙腾公司项目建设期间的各类合同管理工作，厂内各类合同的管理，厂内所属各具法人资格的部门，参照本标准执行。 2 规范性引用 《中华人民共和国合同法》 《龙腾公司合同管理办法》 3 定义、符号、缩略语 无 4 职责 4.1 总经理：龙腾公司经营管理的法定代表人。负责对厂内各类合同管理工作实行统一领导。以法人代表名义或授权委托他人签订各类合法合同，并对电厂负责。 4.2 工程部：是发电厂建设施工安装等工程合同签订管理部门；负责签订管理基建、安装、人工技术的工程合同。 4.3 经营部：是合同签订管理部门，负责管理设备、材料、物资的订购合同。 4.5 合同管理部门履行以下职责： 4.5.1 建立健全合同管理办法并逐步完善规范； 4.5.2 参与合同的洽谈、起草、审查、签约、变更、解除以及合同的签证、公证、调解、诉讼等活动，全程跟踪和检查合同的履行质量； 4.5.3 审查、登记合同对方单位代表资格及单位资质，包括营业执照、经营范围、技术装备、信誉、越区域经营许可等证件及履约能力（必要时要求对方提供担保），检查合同的履行情况； 4.5.4 保管法人代表授权委托书、合同专用章，并按编号归口使用； 4.5.5 建立合同管理台帐，对合同文本资料进行编号统计管理； 4.5.6 组织对法规、制度的学习和贯彻执行，定期向有关领导和部门报告工作； 4.5.7 在总经理领导下，做好合同管理的其他工作， 4.6 工程技术部：专职合同管理员及材料、燃料供应部兼职合同管理员履行以下职责： 4.6.1 在主任领导下，做好本部门负责的各项合同的管理工作，负责保管“法人授权委托书”； 4.6.2 签订合同时，检查对方的有关证件，对合同文本内容依照法规进行检查，检查合同标的数量、金额、日期、地点、质量要求、安全责任、违约责任是否明确，并提出补充及修改意见。重大问题应及时向有关领导报告，提出解决方案； 4.6.3 对专业对口的合同统一编号、登记、建立台帐，分类整理归档。对合同承办部门提供相关法规咨询和日常协作服务工作； 4.6.4 工程技术部专职合同管理员负责收集整理各类合同，建立合同统计台帐，并负责 21