xx集团vpn解决方案

xx集团vpn解决方案内容摘要：

环境温度 10~ 50 ℃ 使用环境湿度 5~90%， 非冷凝 尺寸 (cm) (W)(D) 45(H) 重量 7Kg 设备部署模式选择 博华龙芯 VPN 安全接入网关部署形式多样，可以采用旁路，串联，路由模式等多种 部署方式。 综合考虑节约成本，提高 网络效率，有效控制内网上网行为 ,网络环境的复杂程度等 考虑采用路由模式替换路由设备进行部署。 总部 采取 路由 模式 进行部署 ， 实现对内网所有用户的上网行为管理， 做各分支机构 VPN 远程接入 的 服务端 ，及移动办公用户接入总部。 各 分支机构 同样采取路由 模式进行部署，实现对内网所有用户的上网行为管理， 实现各 分支机构 远程接入 总部 服务端 及移动办公用户接入分支机构内部。 网络拓扑 具体部署 网络拓扑 如下 ： xx 集团 VPN 解决方案 第 12 页 共 29 页 12 长沙博华 IPSEC/SSLVPN 解决方案 主要技术优势 VPN 体系 特色功能 安全的 VPN 系统 ● 增 强客户端自身健壮性 由于移动客户端脱离了企业防火墙网关的防护，因此，客户端自身的健壮性成为安全防护的重要因素。 博华 VPN 产品提供了 ：（ 1） 全面的 客户端安全检查 功 能，可以强制要求客户端安装防病毒软件、最新的补丁或单机版防火墙之后才能够使用 VPN 接入内网。 （ 2） 同时，结合内网安全防御系统，可以进行更深层次的客户端安全检查，包括 非法外联检查、非法安装软件检查、非法运行程序检查、非法网关检查。 （ 3） 连接后 通过修改客户端的路由表， 自动切断其他网络连接等。 建立了一套完整的 VPN 客户端安全检查机制，基本杜绝了黑客突破第一 道大门的可能 ，同时采用 沙盒技术 ，简单的说就是虚拟桌面技术，可以充分保障非法木马，病毒跨网传播。 xx 集团 VPN 解决方案 第 13 页 共 29 页 13 ● 登陆终端的身份绑定 博华科技 VPN系列产品还在国内首先推出了 （ 1） 硬件特征码绑定和特征码自动学习功能 ，即使黑客获得了用户口令、证书、 USBKey，但他仍然无法用自己的电脑登陆，也就无法实施攻击。 这一技术，特别适用于移动办公用户。 移动办公人员将笔记本电脑的硬件特征码绑定后，只能通过这台指定的笔记本登陆 VPN，其它设备即便拥有口令、证书等，仍然无法登陆。 这不仅进一步确认了登陆终端的身份，更提高了安全性。 （ 2） 密码或者 传统的 CA证书认证方式都存在证书或密码被盗用的问题，为避免传统方案的泄密缺陷，博华科技采用 动态令牌认证。 给每个移动客户端发放动态令牌，验证码动态随时变化，类似网上银行认证系统，保证身份认证安全。 （ 3） 联动 LDAP/AD、 RADIUS 等第三方认证 ， 与客户网络内部已有的第三方服务器认证、域认证或者 CA 认证能无缝结合进行身份认。 （ 4）集成短信认证功能 ● 加强细粒度访问控制 针对传统 VPN 隧道内访问控制薄弱的问题，博华科技 VPN 系列产品可以通过 “ 对象机制 ” ，灵活的配置各种细粒度的隧道内访问控制策略。 只允许 VPN 客户端 访问必需的服务，杜绝非法访问，灵活指定每个用户的权限。 这样 还可以限制病毒通过一些不安全的端口（如 RPC）跨网传播。 并提供全面的访问日志记录和图形化的分析。 针对目前 VPN产品无法解决的非法用户通过 NAT转换到一个合法的地址，进而访问到内部网络资源的问题，博华科技 VPN 产品全面创新，推出了多重用户认证功能，彻底杜绝了非法用户通过 NAT 转换成合法地址、非法访问内部资源的安全隐患。 ● 多重认证，重点防护 针对内部重要服务器的保护问题，博华科技 VPN 系列产品提供了 多重用户认证功能 ， VPN用户登录后，可以对普通服务器进行 访问，如果需要访问重要的安全性要求高的服务器时，系统会要求用户再进行一次认证，这样可以确保黑客突破第一道屏障后，对重要服务器还有一层保护。 稳定 的 VPN 系统 ● 多线路互为备份 技术 为保证 VPN系统的高可靠性， 博华 VPN网关提供了两种备份方案。 方案 1： xx 集团 VPN 解决方案 第 14 页 共 29 页 14 在两个网络间架设两套 博华 VPN，正常情况下，数据都是经过主的 VPN系统传送，但主系统发生故障后，将自动切换到备用系统。 方案 2： 由于 VPN系统的不稳定往往是线路不稳定引起的，因此比较经济的解决方案是仅仅备份线路就可以了。 采用 长沙博华 的多线路绑定 的专利技术，可以保证，当一条线路出现故障后，数据自动倒换到其他正常的 Inter 线路上，从而保证 VPN 隧道不会因为单条 Inter 线路中断而中断。 ● 隧道自愈 功能 为了保证拨号网络的稳定性， 博华 VPN 网关中集成了自动拨号软件，在拨号中断后， 5秒内可以重拨。 网络物理连接恢复正常后， VPN隧道将在 1分钟内自动建立，从而保证系统迅速恢复。 ● 冗余容量设计 电信网经常因为话务高峰而瘫痪，数据网络也如此，如果网络设备的容量承载不了突然增长的业务负荷，那么系统就可能瘫痪。 博华 VPN 网关的设计容量大大超过一般用户 的实际容量，达到一个网关支持 4000个网络用户， 1024 条 VPN隧道 (硬件 1500条隧道 )， 80M的 VPN隧道带宽，这种冗余容量的设计保证 VPN网络即使遇到业务突发高峰，也能稳定运行。 ● 断点保持功能 我们经常碰到大容量数据传输快要 完成的时候突然网络中断，导致数据丢失，一切从头开始的的痛苦经历。 博华 VPN充分从用户角度出发，利用特有的 断点保持技术充分保证突发事件数据不丢失，隧道恢复后可以从断点处继续工作 ● 互为备份的 Web寻址技术 Web动态寻址技术是长沙博华公司专利技术，通过基于 Web的动态寻址，使得博华 VPN网关可以支持 ADSL等动态 IP拨号上网方式，无需固定 IP或有效 IP，为企业选择合适的 ISP 提供了极大的方便。 WebAgent 为一普通的文件，只要求网站支持ASP 或 PHP 即可。 我们的用户完全可以将 WebAgent 置于自己的网站上，建立完全属于自己的 VPN全套系统。 目前也有像动态域名等其他的动态寻址方法，但是一般都需要专门的第三方服务提供商，一方面会带来长期的服务成本，另一方面如果服务提供商停止服务，也会给用户带来不可预见的风险。 而 Web 寻址技术使用企业自身的 Web网站或虚拟空间帮助寻址，不增加额外费用， 也不依赖专门的服务提供 xx 集团 VPN 解决方案 第 15 页 共 29 页 15 商。 为保证寻址的稳定性，博华 VPN网关使用了互为备份的 WebAgent寻址机制，当第一个 WebAgent失效时，整个系统将会自动切换到备份的第二个 WebAgent。 因此， Web寻址技术相对其他寻址技术 (如动态 DNS)有如下优点 : 更稳定。 更节省成本。 不依赖于专门的第三方服务提供商，长期使用稳定可靠。 更安全。 高速的 VPN 系统 ● 易用的 多线路复用 技术 现在改善用户网络接入环境的方式主要为使用多家运营商的线路，这就决定了 SSL VPN产品必须要支持多条网络线路复用的功能，最好支持接入用户的智能选路，从而使接入 用户选择最快线路接入，少走冤枉路。 博华 VPN 网关采用多线路复用通过该技术可以在两点间同时使用多条 Inter 线路实现互联。 一方面可以 智能选路 ，达到最快接入。 另一方面通过 线路复用 实现互联带宽叠加，大大增加大数据量业务的处理速度，其次，当其中的一条线路中断时，系统可以把负载自动切换到其他线路，使得互联线路不中断，大大增强 VPN系统的稳定性。 ● 实用的 流 量优化技术 我们虽然快要改变移送用户网络接入环境的方式，但我们知道移动用户接入的网络状况则是不可控的，所以选用的 SSL VPN产品必须能通过自身的技术优势对各种各样的用户接入环境进行优化，如对全流量数据的压缩技术、针对跨运营商丢包比较严重的网络进行优化的技术等。 （ 1）博华 VPN 网关在封装中集成了 快速的压缩 算法 ，同时也可以作为加密的加强。 压缩算法采用 LZO，比传统的 ZIP快出近 10倍，能很好的保证传输的实时性。 在启动了该流压缩选项后，能极大的减少冗余数据流量，增大传输效率。 （ 2）博华 VPN 网关的低带宽特性采用 应用逻辑与用户界面显示分开方式 ，所有运算都在服务器上运行，在网络上仅仅传输鼠标、键盘等远端变化部分屏幕信息，即使是大型的 C/S软件也只要 30K的带宽就能稳定运行。 ● 强大的 智 能分流技术 我们知道有时候通过 VPN通道传输的业务数据仅占所有传输数据的极少部分，甚至不到 5％。 博华网关自带智能软路由功能，可以将非互联的数据（即直接访问Inter 数据）路由到本局域网的其他网关或路由设备 ，从而达到分离内外网数 xx 集团 VPN 解决方案 第 16 页 共 29 页 16 据和扩大出口带宽的目的；或者利用多条线路多个网关组成的集群同时接入众多的分支机构 ● 独创 VPN内部 QOS功能 我们知道防火墙中大都有 QOS功能区分不同业务的服务质量，但目前在 VPN还很少实现 QOS功能；这样就造成同一个 VPN隧道内无法按服务的重要性提供带宽。 往往在网络高峰时，不重要的业务占据了多数带宽，导致象财务数据， VOIP 等核心业务系统应用得不到快速响应，严重影响 VPN使用效果。 博华 VPN网关将独创的智能QOS分配技术应用于 VPN通道中。 通过该项技术，用户可以自定义不同服务的 QOS级别，并分配给不同级别的服务在 VPN隧道内的带宽比例，通过 预留带宽，保障带宽，最小带宽等弹性流控给相应服务分配带宽 ， 使重要服务得到充 分的保障。 易用 的 VPN 系统 ● 多种工作模式， 部署 灵活 很多单位网络部署好，如果以串联路由模式接入 VPN网关则必须改变客户网络拓扑结构，牵涉到大量设备配置网络结构，线路，配置的更改，非常麻烦且影响网络的稳定性。 博华 VPN系统支持旁路接入，串联桥接，串联路由等 多种工作模式 ，在不改变客户网络拓扑结构的情况下能轻松部署多级网络系统。 ● 强大的兼容性 ，兼容标准 IPSEC VPN 在部署多级互联网络系统时我们经常会遇到上下级之间采用 IPSEC VPN，同级之间采用 SSL VPN 互联的情况。 然大多数 VPN设备只是 单独的 IP SEC 或 SSL VPN 设备，无法解决。 博华 VPN内置 SSL/IPSEC 双 VPN模块 ，支持 VPN网络多级动态互联和容错。 ● 独创 NETMAP技术，部署简单方便 在部署 VPN多级网络时，我们经常会遇到几个单位之间内部局域网 IP 地址冲突问题。 大多的解决方案是进行 IP地址的重新规划。 确保各个单位之间内部局域网 IP地址不冲突。 这样会导致网络结改变调整， IP 地址固定，以后扩展升级困难。 博华 VPN特有的 NETMAP 功能通 过网络对网络的一对一地址转换， 完全透明化封装局域网 IP地址，使得各单位局域网不需要做任何的 网络调整和地址修改 ，轻松部署各种 互联网络系统。 ● 客户端实用方便 （ 1）因为接入用户众多，用户的 IT水平参差不齐，该移动接入系统需要界面友好， xx 集团 VPN 解决方案 第 17 页 共 29 页 17 用户使用简单方便，不需要安装客户端软件，免维护；（ 2）另外需要保证客户端访问相关应用程序的简单化；（ 3） 支持各种方式的接入。 博华科技通过：（ 1）提供多种客户端认证方式，可以选择是否安装客户端来提供有客户端的更安全认证和无客户端的预共享密钥认证，同时提供零配置的 USB KEY认证方式；（ 2）通过 C/S应用WEB化 ，直接将 C。