安全管理系统VPN解决方案
目 录
第一章 用户需求. 2
第二章 需求分析. 3
第三章 设备选型. 4
3.1 SGW 25B Pro安全网关特点... 4
3.2 SGW 25B Pro安全网关优势... 4
3.3 SGW 25B Pro安全网关功能介绍... 5
3.3.1 VPN功能... 5
3.3.2 防火墙功能... 5
3.3.3 管理功能... 6
3.3.4 其他功能... 6
3.4 性能指标... 6
第四章 建议方案. 8
4.1 网络结构分析... 8
4.2 Internet接入方式... 8
4.2.1 网关Internet接入方式... 8
4.2.2 客户端Internet接入方式... 8
4.3 全动态IP VPN解决方案... 8
4.4 安全网关客户端... 9
4.4.1 客户端软件特点... 9
4.4.2 客户端软件功能... 9
4.4.3 客户端软件性能... 10
4.4.4 安全客户端管理系统... 10
4.5 网络拓扑图... 11
第五章 报价. 12
第一章 用户需求
1、设在华东地区的终端用户需要通过VPN拨号方式访问位于上海虹桥机场的华东地区管理局机房的服务器,最终将有100个终端用户通过VPN访问。
2、服务器上运行的是基于web和文件系统应用的服务。
3、 目前管理局的机房通过动态IP的ADSL上网。
4、其他分支机构是通过如电话拨号、ADSL、DDN、FR或光纤等各种上网方式。
5、由于对安全性方面的考虑,终端用户需要通过硬件密钥的身份认证和管理局服务器相连。
6、VPN性能稳定可靠。
7、 客户端有硬件设备加强安全验证。
第二章 需求分析
客户担负着对华东地区的航空安全管理,所以对IT系统的稳定性和安全性有极高的要求。
为了能确保数据在公网上安全、稳定的传输,防火墙+VPN技术是最佳的选择方案,防火墙技术在华东管理局已有成功的应用,在这里就不在重复分析。以下是是对VPN技术的具体分析。
相同的应用要求下,VPN 方式比专网方式节省大约30%-60%的费用。
相比较互联网的各种连接方式,VPN 能够提供最大限度的安全效果。
通信链路上的窃听无法通过防火墙进行防护,与此有关的安全技术是虚拟专用网络技术——VPN技术。
VPN技术通过加密和认证来对因特网上传输的数据进行安全保护,在VPN系统中,我们把网络分为两部分:因特网和私有网络。通过因特网中的VPN技术,我们把广域上的私有网络连接起来,整个网络在通信中,处于因特网中的数据传输是经过认证和加密的。
以下,我们将对对用户的需求做进一步的分析
根据华东管理局的要求,我们觉得VPN方案中的网关对客户端类型,比较适合客户的需求,即在管理局机房设置VPN网关设备,在终端用户的PC上安装客户端程序,通过Internet就可以访问VPN网关,从而访问机房的应用服务器。
对于华东管理局目前的网络现状,网关和客户端都没有固定IP地址,这是在VPN应用中技术比较复杂的应用,但是可以通过策略服务器解析动态IP的方式来解决这个技术问题。
根据华东管理局的要求,由于拨号VPN的方式有一个安全隐患就是帐号的管理不善容易威胁网络的安全性,如果客户端能安装有安全验证的硬件,就能对网络的安全性更进一步保护。考虑制作USB接口的SURE ID钥匙卡,完全能满足需求。
第三章 设备选型
针对我们对客户VPN需求的分析,我们将采用SGW 25B Pro安全网关作为中国航空华东地区管理局航空安全管理系统VPN解决方案项目的网关设备。
3.1 SGW 25B Pro安全网关特点
安全网关SGW25系列产品是集“VPN、防火墙、IDS”技术于一体的新型的网络边界安全设备,它有效地实现了“主/被动安全防御”的完美结合,并特别突出其强大的VPN功能,是当今网络安全技术发展的主流方向。
安全网关全部采用嵌入式硬件平台和嵌入式实时操作系统,高性能,低功耗,高可靠。产品线覆盖从SOHO办公,到大中型企业以及运营商级骨干网络;安全网关集中管理和监控平台支持各种规模的安全网关组建的VPN网络的管理和监控。突破了各种技术障碍,能够提供针对任何网络环境下,安全网关以及客户端VPN互连和Firewall防御的解决方案。
SGW 25B Pro是一款具有3个10/
该设备的IPSec吞吐率为 37Mbps (使用3DES+SHA算法,在AH+ESP通道模式下),有三个10/
3.2 SGW 25B Pro安全网关优势
严格遵守IPSec和IKE规范,能和Nescreen、CheckPoint、Cisco等主流VPN设备互通;
支持全动态IP VPN互联解决方案,适合中国企业互联特点;
支持IPSec-NAT穿透(NATT),适合中国城域宽带网(采用“非真实IP地址”上网)特点;
支持完全透明的“网桥”模式,并能在桥模式下建立VPN隧道,适合在银行、证券、电力、石化等专网中使用;
全状态检测Firewall模块、完备的NAT/NAPT功能和IDS微引擎,抵抗常见网络层攻击,并能和国产主流IDS设备互动;
支持动态IP的DMZ服务功能(即:可利用动态域名解析,通过动态IP接入,对外提供Web、Mail等服务);
支持VLAN Trunk,并能够在VLAN环境下构建VPN连接;
支持Windows移动客户端(Win98/Me/2000/XP),移动客户端也支持IPsec NATT;
支持基于“数字证书”的运营模式,适合大规模VPN网络;
支持QoS、DHCP和静态路由,PPPoE拨号,双机热备等;
完善的安全网关集中管理平台,本机/远程日志存储;
性能优异:
3.3 SGW 25B Pro安全网关功能介绍
3.3.1 VPN功能
设计完全遵守IPSec和IKE标准;可保护子网间、主机间、子网与主机间的安全通讯;支持传输和隧道模式;
支持基于数字证书和预共享密钥两种设备认证方式,并能与ADT的企业数字证书系统(Sure CA)无缝整合,也可应用符合X.509标准的第三方颁发的VPN设备数字证书;
支持多种密码算法:DES、3DES、SHA、DH、RSA以及国家专控密码算法等,符合国家密码产品管理规范;
支持NAT穿透(NAT-T),并能够实现VPN互连的“双向NAT穿透”;
基于时间和流量双重要素的动态SA管理,并支持手工添加/删除静态SA;
支持移动客户使用安全客户端软件(SureClient)进行安全接入;
支持通过DDNS或ADT策略服务器进行动态IP地址间的VPN安全互连;
独特的“隧道保活”技术,能够确保设备间加密通道的时时连通;
可以独立为每个VPN加密隧道进行“状态检测”和独立分配带宽,确保高安全性和高度的灵活性;
支持透明模式(桥模式)下,VPN设备的安全互连;以及不同模式(路由模式和透明模式)下安全网关间的VPN互连;
支持VLAN Trunk,并能支持在VLAN划分的情况下,跨交换机对VLAN子网进行VPN互连;
支持PPPoE协议,支持:ADSL、Cable Modem、ISDN、FTTB、DDN等各种接入方式;
3.3.2 防火墙功能
基于六元组的IP包过滤;端口、协议、地址和时间相结合的访问控制机制;
优秀的状态检测引擎,可以独立为每个防火墙访问控制策略进行状态检测;
DMZ区安全隔离内网与对外提供服务的服务器;
正反向网络地址映射功能,灵活支持:NAT、NAPT和地址池;
支持IP与MAC地址绑定;支持和IE无缝整合的用户访问认证;
抵抗多种DoS,DDos攻击;可自定义TCP/UDP/ICMP的Syn Flood攻击检测策略;
基于Hash表的快速转发功能,极大提高Firewall吞吐率;
3.3.3 管理功能
独创的基于数字证书的网络管理,与ADT集中管理和监控平台无缝整合;集中管理软件统一管理各种型号的ADT SGW25系列安全网关,并能够实现对多台安全网关同时配置;
提供基于GUI配置软件,实现通过串口和网口的本地和远程管理;
管理员可以方便地选择“在线”或“离线”配置;
基于预共享密码或数字证书的网络管理员身份认证和管理指令加密,充分确保远程管理的数据传输的安全性;
支持本地日志和远程日志服务器,支持email报警,能够对日志信息进行定制,并将日志信息导出保存;
支持ADT远程监控平台,能够实时监控整个自有VPN网络中的每台安全网关的运行情况;
3.3.4 其他功能
支持双机热备份;
支持8个级别的QoS,并能为每个访问控制策略独立分配带宽;支持带宽的严格锁定和可借用方式;
支持DHCP;
支持静态路由和多播转发;
支持本机ARP表清空和Ping、远程重启等功能;
支持对网口的工作方式的手动设定或自适应模式;
在线代码升级,并支持升级代码签名,防止设备代码被非法篡改;
3.4 性能指标
|
|
性能指标 |
|
型号 |
SGW 25B Pro |
|
Real time clock |
Lithium |
|
端口 |
1*10/ |
|
支持的标准算法 |
DES、3-DES、RSA、SHA、Diffie-Hellman |
|
支持专用密码算法 |
由国家密码管理委员会批准和认可的密码算法 |
|
支持的协议及标准 |
TCP/IP(IP,ICMP,ARP等)、IPSec、OpenPKI、SCMP(Simple Cert Management Protocol)、PPPoE(可通过WAN口外接ADSL Modem) |
|
密钥交换体制 |
IKE,手工交换密钥 |
|
IPSec吞吐率(3DES+SHA在ESP模式) |
37Mbps |
|
支持的最大IPSec(加密)并发隧道数 |
1000 |
|
Firewall吞吐率 |
200Mbps(双向传输速率) |
|
支持的最大内网并发会话数 |
150,000 |
|
推荐内网同时上网PC数量 |
< 1000台 |
|
双机热备 |
支持 |
|
外形尺寸 |
44(宽)*23.2(深度)*4.5(高度)cm |
|
功能指示LEDs |
Power(黄),Work(绿),Warn(红);4个lan/wan口状态指示(LNK & ACT) |
|
重量 |
|
|
工作电流/电压 |
|
|
工作温度 |
0~ |
|
平均无故障工作时间 |
≥60000h |
第四章 建议方案
4.1 网络结构分析
针对客户对VPN网络的具体需求,我们建议采用客户端对网关的VPN解决方案,各个客户端通过Internet拨入中心机房网关,从而访问web应用服务器,并通过进行安全验证,保证网络的安全性。
4.2 Internet接入方式
4.2.1 网关Internet接入方式
目前在中心机房已使用ADSL拨号上Internet的方式,这种Internet接入方式的优点:1、接入成本低;2、连接方便。缺点是:1、通过ADSL拨号获得的IP是动态的。但是通过策略服务器解析动态IP的方式,能解决动态IP接入的问题。以下有专门的介绍。
4.2.2 客户端Internet接入方式
VPN客户端的Internet接入方式可以是多种方式的。比如电话拨号上网、ADSL、有线通、FR、DDN和光纤等。
4.3 全动态IP VPN解决方案
由于整个系统没有固定IP,所以还要借用托管在电信为全移动IP的VPN客户提供的公共的策略服务器(不需要用户维护,能够确保用户VPN专网的绝对安全。也可以由用户自建,如:放在用户的电信托管机房),该策略服务器主要用于用户各个局域网交换通讯时,网关的IP地址。此服务器仅负责地址的转换,.不涉及传输的内容.
每个拨号网关(硬/软件)在接入internet时,首先在策略服务器中相应的目录下注册自己当前的IP。实际应用中发起VPN通讯这一方,只需知道策略服务器的公网地址,就可以获得公司其他分支机构的VPN网关目前的IP地址以及公司网络的拓朴结构,并与通讯对端建立相应的VPN连接。
“策略服务器”管理系统由DynamicVPN管理服务器、网络管理员和DynamicVPN网元组成。Dynamic管理服务器由WEB服务器、管理应用服务器、数据库服务器组成。WEB服务器负责以WEB服务的形式对外提供各种管理服务,管理应用服务器完成具体的逻辑与业务处理功能,数据库服务器负责保存DynamicVPN管理所需要的各种数据,它可以是关系数据库和/或LDAP服务器。
“策略服务器”不但真正解决了全动态的VPN组网方案,还融入了PKI技术,采用基于数字证书的动态IKE进行协商和认证,解决了大规模VPN组网的安全管理和安全认证技术。
4.4 安全网关客户端
4.4.1 客户端软件特点
安全客户端(SureClient)软件用于解决移动用户通过互联网接入内部私网的问题。客户端软件有Windows 98/Me/2000/XP下的版本,结合SureID(主要用于"数字证书"和"本地私钥"的安全存储,密码运算,真随机数的产生等),可以构建"主机---主机"、"主机---安全网关"的VPN隧道(如下图),是移动用户安全接入安全网关保护的内网的理想的解决方案。
客户端软件不依赖于网络接口,可以用Modem,ISDN,ADSL,Ethernet card等多种方式上网。
4.4.2 客户端软件功能
支持Windows 98/2000/XP/Me的客户端软件,与计算机采用的网络接入方式无关,兼容拨号上网,ADSL,以太网等各种接入方式。使用及其简单,VPN功能启用后,完全对各种网络应用软件透明,并不影响用户访问Internet。
支持各种方式的网络接入;
在SureID的硬件内完成公钥的各种密码处理,数字证书及相关网络信息存储在SureID上;
支持IPSEC;支持DES, 3DES,RSA,DH,SHA,MD5等多种密码算法;
基于预共享密钥和数字证书的IKE;
支持ADT动态策略服务器,能够连接拨号接入的动态IP接入的安全网关;
支持NAT环境下,VPN隧道的建立(NATT);
支持VPN隧道保持;
开放的密钥管理:支持PKI X.509公钥密钥管理;
配置简单,易于操作,使用对用户透明;
内置防火墙功能,可以阻断外网连接和控制访问Internet;
简单易用的日志功能;
可实现SureID和计算机绑定(加强版);
4.4.3 客户端软件性能
开启VPN功能后, 在Pentium 733上Windows2000下测试,约为9Mbps的3DES+SHA的运算速度,近20Mbps的DES+SHA运算速度;
4.4.4 安全客户端管理系统
移动用户的管理由安全客户端管理系统完成。该系统完成对安全网关客户端(移动用户)的管理:移动用户与安全网关间VPN策略设置;用户SureID制作、废除和补发等。
通过该管理系统,安全网关的管理员能够方便地管理安全网关的所有移动客户端。
4.5 网络拓扑图
第五章 报价
|
编号 |
项目描述 |
数量 |
单价 |
小计 |
备注 |
|
1 |
SGW25B Pro 3口中高等性能1U机架式安全网关 |
|
|
|
|
|
2 |
安全客户端软件,安全网关客户端软件(每套配一个USB KEY) |
|
|
|
|
|
3 |
安全客户端USB KEY 制作 |
|
|
|
设置公钥密码、数字证书、网络参数 |
|
4 |
VPN安装调试服务 |
|
|
|
安装调试网关部分,设置安全策略、数字证书、加密协议、编写终端用户操作手册、策略服务器设置 |
|
5 |
策略服务器服务费 |
|
|
|
策略服务器提供动态IP解析,第一年费用免费,第二年起每年收费500元 |
|
总计: |
|
|
|||
公司名称:上海环合信息技术有限公司
联 系 人:裴俊海
联系电话:021-52680738
公司传真:021-52681592
在线咨询
