智软招投标智能构建平台方案

智软招投标智能构建平台方案内容摘要：

安全通连，那么 IPSec 几乎就是一种必然的选择。 2. VPN 的基本技术 目前， VPN 的实现主要采用四项技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 隧道技术（ Tunneling）：类似于点对点技术，它在公用网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。 隧道是由隧道协议形成的，分为第二、三层隧道协议。 南方智软 XXXX 招标公司 招标系统 建设规划方案书 12 由于受到 Inter 网络中 IP 地址资源短缺的影响，各企业内部网络使用的多为私有IP 地址，从这些地址发出的数据包是不能直接通过 Inter 传输的， 而必须代之以合法的 IP 地址。 有多种方法可以完成这种地址转换，如静态 IP 地址转换、动态 IP 地址转换、端口替换、数据包封装等，对于 VPN 而言，数据包封装（隧道）是最常用的技术。 数据包封装发生在 VPN 的发送节点，此时需将原数据包打包，添加合法的外层 IP包头，这个包可通过公网被传送到接收端的 VPN 节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。 几乎所有的 VPN 技术均采用了数据包封装技术，下图为 IPSec VPN 隧道模式下对数据包的封装过程： 加解密技术（ Encryption amp。 Decryption）：对明文进行足够强的加密后送到目 的地进行解密 ,从而达到保护远程数据传输过程中的安全。 密钥管理技术（ Key Management）：主要任务就是保证密钥在公网上能够安全的传输而不被窃取 ,如被窃取也有相应的手段进行二次防护。 使用者与设备身份认证技术（ Authentication）：正确分辨哪些设备是与本身相关且需要相互流通，并且让非法用户无法进入系统，多以电子证书的形式进行。 一个 VPN 和“虚拟隧道”模型的实例如图所示： 隧道封装后的数据包 原数据包 IP 头 Data 新 IP 头 AH Data IP 头 ESP 南方智软 XXXX 招标公司 招标系统 建设规划方案书 13 3. 一般 VPN 解决方案所面临的几个问题 管理配置复杂。 由于 VPN 技术上的专业性， 配置时需要专业人员进行指导，一般用户很难理解和正确使用。 客户端软件问题。 客户端软件提供的 VPN 往往不是基于标准 IPSec 的解决方案，同时由于客户端软件和操作系统内的个人防火墙及防病毒软件工作在网络模型的同一层，很容易产生软件冲突，引起操作系统故障，使用上存在很多局限性。 动态 IP 的网状联通性。 大部分的 VPN 产品即使支持下属机构采用动态拨号的方式接入，但不能实现两个动态拨号接入的下属机构相互通信。 NAT 穿越。 由于合法 IP 地址的有限性，现在的上网方式大都是以城域网的方式接入，也就是说 ISP 分配给用户的 IP 地址不是因特网的合法地址，而是一个私网地址，由 ISP 做一层 NAT 接入。 而 IPSec 协议与 NAT 具有不兼容性。 与第三方厂商产品兼容性问题 当不同的 VPN 厂商产品进行互联时，由于各自对于 IPSec 这个协议实现程度不同，南方智软 XXXX 招标公司 招标系统 建设规划方案书 14 各个厂商的产品很有可能不能进行通讯，当用户使用某一非标准 IPSed 的产品后，如想进行 VPN 网络扩充就不能选择其他产品，用户对产品的使用受到了限制，只有完全遵循 IPSec 标准开发的产品才能实现不同产品的互联 . 4. 天融信如何解决以上问题的 ? 天融信公司依靠自身的强大技术实力和长期实践经营， 已完全解决以上问题 1) 管理配置复杂。 提供基于本地串口和远程两种登录管理方式。 用户使用远程管理方式可以选择 SSH（加密通讯）和 Tel（不加密通讯）对设备进行配置，该方式适用于有网络管理经验的管理员；对不熟悉网络管理的用户，天融信还提供基于 windows 的 GUI 管理控制界面，管理员可以不用记忆复杂的配置命令，而仅通过点击鼠标就可完成全部配置工作。 2) 客户端软件问题 不但提供完整的 IPSec 协议实现，支持移动用户的 VPN 接入需求，而且内置完善的软件防火墙功能、支持 PPPoE 拨号协议、支持动态 VPN 策略下载、支持同时激活多条 VPN 隧道、支持内部主机共享上网连接和 VPN 隧道等强大的安全功能，所以其可以作为软件 VPN 网关安装在企业局域网的代理服务器上，作为硬件网关的备份或补充。 为了提高客户端软件的兼容性，天融信公司提供了新的安全思路，避开了个人防火墙和防病毒软件的工作层次，从而加强了天融信客户端软件的适用性，为用户提供了更多的方便。 3) 动态 IP 的网状联通性。 通过集中的 VPN 策略管理方式成功解决了双动态 IP 之间自动建立 VPN 隧道的问题。 网关接入因特网之后首先向总部部署的“ VPN 安全管理中心”进行注册 和身份认证，然后从 VPN 安全管理中心下载自己的 VPN 策略；同时 VPN 安全管理中心负责当策略参数发生改变时，实时通知在线的网关产品更新策略，从而确保所有的网关都能够获得最新的策略参数变化情况。 4) NAT 穿越。 IETF 专门为 IPSec 制定了“ NAT 穿越（ NATT）”协议草案，目前该草案的最新版本为 ，是 2020 年刚刚提出的。 协议中解决 NAT 穿越问题的基本原理是在 IPSec 封南方智软 XXXX 招标公司 招标系统 建设规划方案书 15 装好的数据包外再进行一次 UDP 的数据封装，这样当此数据包穿过 NAT 网关时，被修改的只是最外层的 IP/UDP 数据，而对其内部真正的 IPSec 数据没有进行改动；在目的主机处再把外层的 IP/UDP 封装去掉，就可以获得完整的 IPSec 数据包。 由于 NATT 协议标准制定的时间还比较短，大多数国内厂商还没有完全对该标准进行支持，而国外厂商也只有少数几家的产品针对新标准进行了升级。 天融信的全系列产品都支持最新的 NATT 标准。 由于 NAT 技术在国内的广泛应用，所以用户在选用 VPN设备时应该将这一功能作为一个重要的考核指标。 5) 与第三方厂商的产品兼容性问题 由于天融信公司的 VPN 产品完全遵循 IPSEC 协议标准进行开发，所以不存在该问题，可以顺利的和 国内外任何完全遵从 IPSEC 标准的产品进行互联互通。 6) 天融信公司定制了简单易用的 Windows 控制台，方便用户对设备进行管理，在产品的选择上也提供了国内最完整的产品线，同时提供硬件网关和软件网关为用户服务，完全满足用户的需求。 网络系统互联 VPN 解决方案 根据 XXXX 招标公司 网络互联的需求，我们采用天融信 VPN 系列产品提供整体网络互联 VPN 解决方案，解决其所面临的网络互访、传输保密、节点认证、增值服务、网络访问控制等问题。 1. 利用 IPSec VPN 技术建立 XXXX 招标公司 信息网 范围和对 象 IPSec VPN 不仅可以实现 XXXX 招标公司 低成本的的互连，还可保证隧道和数据安全，利用它建立起来的隧道更具有安全性和可靠性。 XXXX 招标公司 信息网络的数据加密传输安全建设，必须依照安全“平台化”的建设思想，针对系统业务的共性，构建一个“统一规划、统筹安排，统一标准、相互配套”的安全平台。 设计基本思路 根据我们的实际情况，我们建议采用 VPN 技术提供 XXXX 招标公司 网络互联 VPN安全解决方案，解决其所面临的网络互访、传输保密、节点认证、增值服务、网络访问控制等问题。 南方智软 XXXX 招标公司 招标系统 建设规划方案书 16 VPN 组网方案设计 利用天融信 VPN 系列产品组成的 XXXX 招标公司 VPN 网络： 在天融信 VPN 系列产品的帮助下， XXXX 招标公司 局域网络与各 下属机构 和移动/固定用户依托 Inter 构建成一个虚拟的专有网络系统，其感觉就象专用网络一样，XXXX 招标公司 可以统一地规划每个主机的 IP 地址（如： ），互访时，就像同在一个专用网络内一样的方便。 通过 VPN 接入 XXXX 招标公司 ，在采用天融信 VPN 设备实现互联的情况下，其配置情况如下所述： 1． 在 XXXX 招标公司 配置 1 台服务器作为“ VPN 安全管理中心”，负责 XXXX招标公司 整个 VPN 网络中 VPN 设备的证书生成、发放和管理，使得整个系统的 VPN设备能够以电子证书方式进行身份认证和隧道的建立（天融信 VPN 设备同时支持预共享密钥的身份认证和隧道建立方式），并对使用的天融信 VPN 设备进行管理；负责全网VPN 设备的管理工作，以简化中心和所有分支机构 VPN 设备的策略配置工作。 2． 在 XXXX 招标公司 的 Inter 接入口处配置“天融信 VPN 网关 NGVPN”作为 VPN 中心网关（需静态 IP）。 中心网关是整个 VPN 网络的中心部件，它首先要维护和各个 下属机构 /移动 /固定用户之间 的隧道和安全策略，还要保护安全管理中心，中心网关兼有功能完善的防火墙，工作方式支持桥、路由和混杂方式，可对转发的数据进行检测状态，可以防 IP 地址欺骗、端口扫描，抗 DoS/DDoS 攻击、 IP 碎片攻击、 SYN攻击、 DNS/RIP/ICMP 攻击等。 天融信 VPN 设备具有系统设置备份和快速恢复功能。 3． 各访问点 在 Inter接口处安装“天融信 VPN网关 NGVPNH或 NGVPNT或 NGVPNS”作为硬件网关。 各 VPN 网关首先可以实现它们的上网互联，在连入互联网的同时自动向 VPN 安全管理中心进行身份认 证，配置与之相关的 VPN 隧道即可和 公司服务器 进行联网，如需与其他分支进行通讯，可以采用隧道极联的方式，通过中心网关的隧道进行数据转发。 4． 移动 /固定用户在便携机上安装“天融信 VPN 客户端”，天融信 VPN 客户端支持当前各种主流接入方式，只需简单配置一下，即可和硬件网关建立隧道，进行安全通讯； 南方智软 XXXX 招标公司 招标系统 建设规划方案书 17 5． 由 XXXX 招标公司 网管人员负责 VPN 设备的证书发放工作，证书可有两种方式发放：一是采用文件方式发放，二是采用有口令保护的 USB KEY 方式发放，具体采用哪种方式由用户选择，两种方式可以并存。 为了保护所有在网络 上传输的重要数据信息，必须使用 VPN 系统对网上的重要数据进行加密处理，加密后的数据能够保护数据的机密性、源发性和完整性，其他人无法将伪造的信息在 VPN 隧道上传输；并且即使他人截获了数据信息，也无法对加密的信息进行破解。 XXXX 招标公司 作为中央节点，必须作为整个数据传输体系的中心服务器端，其他节点都是数据传输的客户端。 另外，在 XXXX 招标公司 VPN 解决方案中，从应用方式上分为 VPN 网关到 VPN网关的连接、 VPN 网关到 VPN 客户端的连接两种方式。 这样，本 VPN 解决方案在 VPN接入方式也分为两种形式： 即 XXXX 招标公司 节点（中央节点）与 各支点 之间的 VPN 方案采用 VPN 网关与VPN 网关的方式互连； XXXX 招标公司 节点（中央节点）与移动用户之间的方案则采用 VPN 客户端与VPN 网关方式的连接架构。 2. 解决方案配置及功能说明 天融信 VPN 安全管理中心 天融信 VPN安全管理中心是一套用于对整个建工 VPN网络进行集中统一管理的软件系统。 它由两个相对独立的子系统组成：安全策略服务器和 VPN 安全管理中心管理器，子系统可分别安装在不同的主机上，它们之间通过安全的网络通讯机制进行数据交换；安全策略服务器是一个基于 数据库的后台服务程序，可运行在 Windows 20 Linux系统平台上，主要完成： 存储并同步整个整个 XXXX 招标公司 VPN 网络中所部署的天融信 VPN 设备状态信息； 存储并下发预先制定的全局 VPN 安全策略； VPN 安全管理中心管理器是基于 Windows 的图形界面程序，它主要完成浏览、配南方智软 XXXX 招标公司 招标系统 建设规划方案书 18 置安全策略服务器所维护的 VPN 设备信息和 VPN 安全策略信息。 对任何一个天融信 VPN 产品节点，必须导入一个合法的数字证书，才能和其它 VPN节点进行基于电子证书的双向身份认证，进而协商建立安全加密隧道。 天融信 VPN 支持符合 标准的证书，可以从第三方独立 CA(比如天威诚信 CA)处获得证书，也可采用天融信 VPN 安全管理中心来自行生成、发放和管理自身的证书库 . 生成、签发、管理、废弃数字证书。 VPN 设备在线管理，通讯策略管理。 天融信 VPN 硬件安全网关 天融信 VPN 硬件网关由高可靠性的硬件、硬件密码模块和电子。