设为首页加入收藏
021-51099690
首页|走近宁博|电信宽带|东方有线|网通宽带|3G上网卡|解决方案|语音业务|产品中心|优质客服| 
     解决方案
     网络堵塞解决方案
     监控解决方案
     学校网络解决方案
     网络存储方案
     网络安全解决方案
     智能楼宇解决方案
 
     热门推荐
  长城商务领航10M 2580元/月
  电信IPMAN高速光纤10M 5980元/月
  电信EPON 15M光纤1990元/月
  联通沃动车6M免费升8M 1600元/月
  联通沃快车10M优惠价480元/月
  东方有线超享专线6M 292元/月
  驻地光纤独享专线4M 500元/月
  小企业首选ADSL 4M宽带130元/月
  联通沃专线10M 8700元/月
 
 网络安全解决方案更多  
安全管理系统VPN解决方案

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2007年8月18日

 

 

 

目  录

 

第一章      用户需求. 2

第二章      需求分析. 3

第三章      设备选型. 4

3.1       SGW 25B Pro安全网关特点... 4

3.2       SGW 25B Pro安全网关优势... 4

3.3       SGW 25B Pro安全网关功能介绍... 5

3.3.1     VPN功能... 5

3.3.2     防火墙功能... 5

3.3.3     管理功能... 6

3.3.4     其他功能... 6

3.4       性能指标... 6

第四章      建议方案. 8

4.1       网络结构分析... 8

4.2       Internet接入方式... 8

4.2.1     网关Internet接入方式... 8

4.2.2     客户端Internet接入方式... 8

4.3       全动态IP VPN解决方案... 8

4.4       安全网关客户端... 9

4.4.1      客户端软件特点... 9

4.4.2      客户端软件功能... 9

4.4.3      客户端软件性能... 10

4.4.4      安全客户端管理系统... 10

4.5       网络拓扑图... 11

第五章      报价. 12

 

 

 

 

 

 

 

 

 

 

 


 

第一章         用户需求

 

1、设在华东地区的终端用户需要通过VPN拨号方式访问位于上海虹桥机场的华东地区管理局机房的服务器,最终将有100个终端用户通过VPN访问。

2、服务器上运行的是基于web和文件系统应用的服务

3、 目前管理局的机房通过动态IP的ADSL上网。

4、其他分支机构是通过如电话拨号、ADSL、DDN、FR或光纤等各种上网方式。

5、由于对安全性方面的考虑,终端用户需要通过硬件密钥的身份认证和管理局服务器相连。

6、VPN性能稳定可靠。

7、 客户端有硬件设备加强安全验证。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第二章           需求分析

 

客户担负着对华东地区的航空安全管理,所以对IT系统的稳定性和安全性有极高的要求。

为了能确保数据在公网上安全、稳定的传输,防火墙+VPN技术是最佳的选择方案,防火墙技术在华东管理局已有成功的应用,在这里就不在重复分析。以下是是对VPN技术的具体分析。

相同的应用要求下,VPN 方式比专网方式节省大约30%-60%的费用。

相比较互联网的各种连接方式,VPN 能够提供最大限度的安全效果。

通信链路上的窃听无法通过防火墙进行防护,与此有关的安全技术是虚拟专用网络技术——VPN技术。

VPN技术通过加密和认证来对因特网上传输的数据进行安全保护,在VPN系统中,我们把网络分为两部分:因特网和私有网络。通过因特网中的VPN技术,我们把广域上的私有网络连接起来,整个网络在通信中,处于因特网中的数据传输是经过认证和加密的。

以下,我们将对对用户的需求做进一步的分析

根据华东管理局的要求,我们觉得VPN方案中的网关对客户端类型,比较适合客户的需求,即在管理局机房设置VPN网关设备,在终端用户的PC上安装客户端程序,通过Internet就可以访问VPN网关,从而访问机房的应用服务器。

对于华东管理局目前的网络现状,网关和客户端都没有固定IP地址,这是在VPN应用中技术比较复杂的应用,但是可以通过策略服务器解析动态IP的方式来解决这个技术问题。

根据华东管理局的要求,由于拨号VPN的方式有一个安全隐患就是帐号的管理不善容易威胁网络的安全性,如果客户端能安装有安全验证的硬件,就能对网络的安全性更进一步保护。考虑制作USB接口的SURE ID钥匙卡,完全能满足需求。

 

 

 

 

 

 

 

 

 

第三章         设备选型

 

针对我们对客户VPN需求的分析,我们将采用SGW 25B Pro安全网关作为中国航空华东地区管理局航空安全管理系统VPN解决方案项目的网关设备。

 

3.1   SGW 25B Pro安全网关特点

安全网关SGW25系列产品是集“VPN、防火墙、IDS”技术于一体的新型的网络边界安全设备,它有效地实现了“主/被动安全防御”的完美结合,并特别突出其强大的VPN功能,是当今网络安全技术发展的主流方向。

安全网关全部采用嵌入式硬件平台和嵌入式实时操作系统,高性能,低功耗,高可靠。产品线覆盖从SOHO办公,到大中型企业以及运营商级骨干网络;安全网关集中管理和监控平台支持各种规模的安全网关组建的VPN网络的管理和监控。突破了各种技术障碍,能够提供针对任何网络环境下,安全网关以及客户端VPN互连和Firewall防御的解决方案。

SGW 25B Pro是一款具有3个10/100M自适应以太网口,中高性能的安全网关,适合部署在中型企业。
    该设备的IPSec吞吐率为 37Mbps (使用3DES+SHA算法,在AH+ESP通道模式下),有三个10/100M自适应以太网口(WAN/LAN/DMZ);支持PPPoE,可以在WAN口上接ADSL Modem的网口,通过ADSL接入广域网。

 

3.2               SGW 25B Pro安全网关优势

严格遵守IPSec和IKE规范,能和Nescreen、CheckPoint、Cisco等主流VPN设备互通;

支持全动态IP VPN互联解决方案,适合中国企业互联特点;

支持IPSec-NAT穿透(NATT),适合中国城域宽带网(采用“非真实IP地址”上网)特点;

支持完全透明的“网桥”模式,并能在桥模式下建立VPN隧道,适合在银行、证券、电力、石化等专网中使用;

全状态检测Firewall模块、完备的NAT/NAPT功能和IDS微引擎,抵抗常见网络层攻击,并能和国产主流IDS设备互动;

支持动态IP的DMZ服务功能(即:可利用动态域名解析,通过动态IP接入,对外提供Web、Mail等服务);

支持VLAN Trunk,并能够在VLAN环境下构建VPN连接;

支持Windows移动客户端(Win98/Me/2000/XP),移动客户端也支持IPsec NATT;

支持基于“数字证书”的运营模式,适合大规模VPN网络;

支持QoS、DHCP和静态路由,PPPoE拨号,双机热备等;

完善的安全网关集中管理平台,本机/远程日志存储;

性能优异:100M设备3DES+SHA加密速率高达70Mbps,1000M设备3DES+SHA加密速率高达200Mbps;支持密码委批准的国产加密卡;

 

3.3               SGW 25B Pro安全网关功能介绍

3.3.1           VPN功能

设计完全遵守IPSec和IKE标准;可保护子网间、主机间、子网与主机间的安全通讯;支持传输和隧道模式;

支持基于数字证书和预共享密钥两种设备认证方式,并能与ADT的企业数字证书系统(Sure CA)无缝整合,也可应用符合X.509标准的第三方颁发的VPN设备数字证书;
支持多种密码算法:DES、3DES、SHA、DH、RSA以及国家专控密码算法等,符合国家密码产品管理规范;

支持NAT穿透(NAT-T),并能够实现VPN互连的“双向NAT穿透”;

基于时间和流量双重要素的动态SA管理,并支持手工添加/删除静态SA;

支持移动客户使用安全客户端软件(SureClient)进行安全接入;

支持通过DDNS或ADT策略服务器进行动态IP地址间的VPN安全互连;

独特的“隧道保活”技术,能够确保设备间加密通道的时时连通;

可以独立为每个VPN加密隧道进行“状态检测”和独立分配带宽,确保高安全性和高度的灵活性;

支持透明模式(桥模式)下,VPN设备的安全互连;以及不同模式(路由模式和透明模式)下安全网关间的VPN互连;

支持VLAN Trunk,并能支持在VLAN划分的情况下,跨交换机对VLAN子网进行VPN互连;

支持PPPoE协议,支持:ADSL、Cable Modem、ISDN、FTTB、DDN等各种接入方式;

 

3.3.2           防火墙功能

基于六元组的IP包过滤;端口、协议、地址和时间相结合的访问控制机制;

优秀的状态检测引擎,可以独立为每个防火墙访问控制策略进行状态检测;

DMZ区安全隔离内网与对外提供服务的服务器;

正反向网络地址映射功能,灵活支持:NAT、NAPT和地址池;

支持IP与MAC地址绑定;支持和IE无缝整合的用户访问认证;

抵抗多种DoS,DDos攻击;可自定义TCP/UDP/ICMP的Syn Flood攻击检测策略;

基于Hash表的快速转发功能,极大提高Firewall吞吐率;

 

3.3.3                管理功能

独创的基于数字证书的网络管理,与ADT集中管理和监控平台无缝整合;集中管理软件统一管理各种型号的ADT SGW25系列安全网关,并能够实现对多台安全网关同时配置;

提供基于GUI配置软件,实现通过串口和网口的本地和远程管理;

管理员可以方便地选择“在线”或“离线”配置;

基于预共享密码或数字证书的网络管理员身份认证和管理指令加密,充分确保远程管理的数据传输的安全性;

支持本地日志和远程日志服务器,支持email报警,能够对日志信息进行定制,并将日志信息导出保存;

支持ADT远程监控平台,能够实时监控整个自有VPN网络中的每台安全网关的运行情况;

 

3.3.4                其他功能

支持双机热备份;

支持8个级别的QoS,并能为每个访问控制策略独立分配带宽;支持带宽的严格锁定和可借用方式;

支持DHCP;

支持静态路由和多播转发;

支持本机ARP表清空和Ping、远程重启等功能;

支持对网口的工作方式的手动设定或自适应模式;

在线代码升级,并支持升级代码签名,防止设备代码被非法篡改;

 

3.4               性能指标

 

性能指标

型号

SGW 25B Pro

Real time clock

Lithium Battery

端口

1*10/100M Ethernet WAN
1*10/100M Ethernet LAN
1*10/100M Ethernet DMZ
2*DB9 console port

支持的标准算法

DES、3-DES、RSA、SHA、Diffie-Hellman

支持专用密码算法

由国家密码管理委员会批准和认可的密码算法

支持的协议及标准

TCP/IP(IP,ICMP,ARP等)、IPSec、OpenPKI、SCMP(Simple Cert Management Protocol)、PPPoE(可通过WAN口外接ADSL Modem)

密钥交换体制

IKE,手工交换密钥

IPSec吞吐率(3DES+SHA在ESP模式)

37Mbps

支持的最大IPSec(加密)并发隧道数

1000

Firewall吞吐率

200Mbps(双向传输速率)

支持的最大内网并发会话数

150,000

推荐内网同时上网PC数量

< 1000台

双机热备

支持

外形尺寸

44(宽)*23.2(深度)*4.5(高度)cm

功能指示LEDs

Power(黄),Work(绿),Warn(红);4个lan/wan口状态指示(LNK & ACT)

重量

3.6kg

工作电流/电压

2.5A/220v

工作温度

0~60℃

平均无故障工作时间

≥60000h

 

 

 

 

 

 

 

 

 

第四章         建议方案

 

4.1   网络结构分析

针对客户对VPN网络的具体需求,我们建议采用客户端对网关的VPN解决方案,各个客户端通过Internet拨入中心机房网关,从而访问web应用服务器,并通过进行安全验证,保证网络的安全性。

 

4.2   Internet接入方式

 

4.2.1      网关Internet接入方式

目前在中心机房已使用ADSL拨号上Internet的方式,这种Internet接入方式的优点:1、接入成本低;2、连接方便。缺点是:1、通过ADSL拨号获得的IP是动态的。但是通过策略服务器解析动态IP的方式,能解决动态IP接入的问题。以下有专门的介绍。

 

4.2.2      客户端Internet接入方式

VPN客户端的Internet接入方式可以是多种方式的。比如电话拨号上网、ADSL、有线通、FR、DDN和光纤等。

 

4.3   全动态IP VPN解决方案

由于整个系统没有固定IP,所以还要借用托管在电信为全移动IPVPN客户提供的公共的策略服务器(不需要用户维护,能够确保用户VPN专网的绝对安全。也可以由用户自建,如:放在用户的电信托管机房),该策略服务器主要用于用户各个局域网交换通讯时,网关的IP地址。此服务器仅负责地址的转换,.不涉及传输的内容.

每个拨号网关(硬/软件)在接入internet时,首先在策略服务器中相应的目录下注册自己当前的IP。实际应用中发起VPN通讯这一方,只需知道策略服务器的公网地址,就可以获得公司其他分支机构的VPN网关目前的IP地址以及公司网络的拓朴结构,并与通讯对端建立相应的VPN连接。

策略服务器”管理系统由DynamicVPN管理服务器、网络管理员和DynamicVPN网元组成。Dynamic管理服务器由WEB服务器、管理应用服务器、数据库服务器组成。WEB服务器负责以WEB服务的形式对外提供各种管理服务,管理应用服务器完成具体的逻辑与业务处理功能,数据库服务器负责保存DynamicVPN管理所需要的各种数据,它可以是关系数据库和/或LDAP服务器。

策略服务器”不但真正解决了全动态的VPN组网方案,还融入了PKI技术,采用基于数字证书的动态IKE进行协商和认证,解决了大规模VPN组网的安全管理和安全认证技术。

 

4.4   安全网关客户端

4.4.1       客户端软件特点

安全客户端(SureClient)软件用于解决移动用户通过互联网接入内部私网的问题。客户端软件有Windows 98/Me/2000/XP下的版本,结合SureID(主要用于"数字证书"和"本地私钥"的安全存储,密码运算,真随机数的产生等),可以构建"主机---主机"、"主机---安全网关"的VPN隧道(如下图),是移动用户安全接入安全网关保护的内网的理想的解决方案。
   客户端软件不依赖于网络接口,可以用Modem,ISDN,ADSL,Ethernet card等多种方式上网。

 

4.4.2       客户端软件功能

支持Windows 98/2000/XP/Me的客户端软件,与计算机采用的网络接入方式无关,兼容拨号上网,ADSL,以太网等各种接入方式。使用及其简单,VPN功能启用后,完全对各种网络应用软件透明,并不影响用户访问Internet。

支持各种方式的网络接入;

在SureID的硬件内完成公钥的各种密码处理,数字证书及相关网络信息存储在SureID上;

支持IPSEC;支持DES, 3DES,RSA,DH,SHA,MD5等多种密码算法;

基于预共享密钥和数字证书的IKE;

支持ADT动态策略服务器,能够连接拨号接入的动态IP接入的安全网关;

支持NAT环境下,VPN隧道的建立(NATT);

支持VPN隧道保持;

开放的密钥管理:支持PKI X.509公钥密钥管理;

配置简单,易于操作,使用对用户透明;

内置防火墙功能,可以阻断外网连接和控制访问Internet;

简单易用的日志功能;

可实现SureID和计算机绑定(加强版);

 

4.4.3       客户端软件性能

开启VPN功能后, 在Pentium 733上Windows2000下测试,约为9Mbps的3DES+SHA的运算速度,近20Mbps的DES+SHA运算速度;

 

4.4.4       安全客户端管理系统

移动用户的管理由安全客户端管理系统完成。该系统完成对安全网关客户端(移动用户)的管理:移动用户与安全网关间VPN策略设置;用户SureID制作、废除和补发等。
    通过该管理系统,安全网关的管理员能够方便地管理安全网关的所有移动客户端。

 

 

 

 

 

 

 

4.5   网络拓扑图

 

 

 

 

 


 

第五章         报价

 

编号

项目描述

数量

单价

小计

备注

1

SGW25B Pro 3口中高等性能1U机架式安全网关

 

 

 

2

安全客户端软件,安全网关客户端软件(每套配一个USB KEY)

 

 

 

3

安全客户端USB KEY 制作

 

 

 

设置公钥密码、数字证书、网络参数

4

VPN安装调试服务

 

 

 

安装调试网关部分,设置安全策略、数字证书、加密协议、编写终端用户操作手册、策略服务器设置

5

策略服务器服务费

 

 

 

策略服务器提供动态IP解析,第一年费用免费,第二年起每年收费500元

总计:

 

 

 

 

  
上海宁博网络信息技术有限公司 版权所有,违权必究  业务咨询:51099690 传真:52953907  管理登录
沪ICP备07001541号-1