远程安全接入方案
1. VPN建设中您是否被以下问题困惑着:
1.1. 功能单一导致应用受限
赵先生是一家公司的网络管理员,可是最近遇到了难题:以往公司总部需要与分公司频繁的传输业务数据,所以购买了IPSec VPN设备,通过加密可以是总部与分公司虚拟的连接起来。可是最近总公司开始抓销售业绩,无论销售人员是否出差都要及时的将项目情况输入总部的数据库中。这怎么办呢?按照小赵多年的经验,要实现这样的要求必须要SSL VPN技术才能实现。但是当初购买的设备只能提供IPSec VPN功能,要想实现SSL VPN功能就要另外采购设备,而使用两台VPN设备,无论是配置还是管理都面临着很大的问题。
随着企业所处的商业环境日益复杂,单纯的IPSec VPN或者SSL VPN都会暴露出自身的弊端。而且对于安全产品而言,融合已经成为一种趋势,因此设备的集成度以及升级能力都成为了VPN方案中必须考虑的部分。
1.2. 设备频繁重启导致数据传输中断
深圳某物流公司CIO李总近日非常烦恼,“自从我们的VPN设备正式上线运行后,就没有好好的休息过,每天都在担心设备是不是出了什么问题。说来也怪,这些设备有的时候运行起来非常稳定,一星期都不会出现问题。有的时候就三间两头的断线重启,而且还查不出什么问题。物流数据全部要通过VPN传输,经常有人不能及时取到发送的货物,引起纠纷。”
李总的困惑也是非常具有典型性的。现在国内的安全市场鱼龙混杂,大大小小的VPN设备厂商林立,生产的VPN设备也是五花八门,经常有小作坊式的VPN厂商采用基于普通PC架构的工控机安装免费的VPN软件作为VPN设备销售。这样的VPN设备由于其硬件和软件架构的不稳定性,还是无法满足企业生产经营使用,长时间持续运行会无故宕机、重启。
1.3. 分支机构跨度大导致设备管理困难
上海某集团的设备处王经理看着桌面上一摞摞的报销单据头疼,“近些年来,得益于国家的政策和自身的努力,我们集团的业务蒸蒸日上,在全国各地开设了分公司。为了保证财务等重要数据的实时传送,采用了**厂家的VPN方案。方案实施初期一切都运转正常,可是时间长了就免不了对各分公司的设备配置进行升级或者调整。可是这些设备都不支持集中管理,而我们集团懂技术的人又不多。只好让总部的技术人员出差才能解决问题,这来来回回光是差旅费就很惊人啊。本来想可以节省资金的方案反而浪费了大量的人力物力。”
分支设备维护永远是企业比较头疼的问题,分支机构往往缺少专业网络技术人员。因此对VPN设备的维护对于分支机构具有一定的难度,如何能够更好的管理和维护远端的VPN设备就成为了VPN方案中需要考虑的重要问题。
1.4. 内网病毒泛滥导致营业系统瘫痪
以下是某企业信息中心张主任的抱怨:“自从U盘、移动硬盘这些东西越来越普遍,我的网络中问题也越来越多了。经常有员工违反企业规定在内部对信息安全的规定,用U盘互相拷贝文件,造成病毒传染。还有些员工把在家里感染病毒的便携式计算机接入公司网络,更糟的是公司的网络使用VPN都连接了起来!外地的电脑感染了病毒还经常感染到北京总部,弄得网络时断时续。经常被领导批评,又找不到好的解决办法,对于外地的分公司鞭长莫及啊!”
相信这也是很多企业都经历过的事情。在企业运营中,病毒会毁坏财务等重要等数据造成相当的经济损失,经常性的病毒感染将会严重影响企业的正常运转,使业务无以为继。
其实,无论是功能单一、经常宕机、管理困难、还是内网病毒泛滥,归结到一起就是企业的VPN网络平台不够健壮安全。目前企业的网络应用越来越多,包括视频、语音、ERP等等;企业规模不断壮大,分支机构数量不断增多,移动办公需求旺盛,对VPN网络的建设带来了苛刻的考验。要想保证企业的数据新干线永续工作,就必须从融合、稳定、易用、安全四个标准来选择VPN设备。
2. 健壮的VPN网络
一个健壮的VPN网络应该具有哪些特征呢?H3C总结了健壮的VPN网络的四大要素:融合扩展、稳定运行、容易管理、安全可靠。
2.1. 多种VPN技术融合——一次投资多次收益
企业的数据互联需求根据企业的不同而存在很大的差异,偏重于总部与分公司互联的企业,往往采用IPSec VPN技术;而方便员工迅速连接总部的企业则会选择SSL VPN技术。但是随着企业信息化的不断进步,网络化成为了趋势:一方面需要企业不同分支机构互联;另外移动办公人员也需要连接总部。这时候与其购买两套系统,不如选择融合的VPN设备。
根据目前VPN技术的发展,IPSec VPN与SSL VPN已经成为VPN技术的主流应用,对于一些行业来说还会用到MPLS VPN。在VPN设备的选择方面,VPN种类支持的多少将会直接影响到企业的投资效果。多种VPN技术相融合能够减少企业发展过程中的技术约束,为企业带来一次投资多次收益的良性发展。
H3C始终关注VPN技术的研究与发展,顺应客户需求,推出了同时支持IPSec VPN、SSL VPN、MPLS VPN的新型融合VPN设备SecPath V100-E。
2.2. 长时间稳定运行——解决VPN稳定性问题
企业的VPN网络中运行着ERP、财务等重要数据,这些数据对于企业来说就像血液对于人体一样至关重要,任何时间VPN网络的不稳定都会导致直接的经济损失。因此VPN设备的稳定运行是最重要的因素。
VPN设备能否稳定运行取决于几个方面:
1. VPN设备的硬件平台,是运行VPN功能的硬件基础,分为专用硬件平台以及通用硬件平台,前者是针对VPN应用设计的硬件加速系统,性能高且稳定性好,最适合企业对于高性能高稳定的设备要求。
2. VPN设备的软件平台,与硬件平台类似,软件平台分为专用VPN软件平台和通用计算机软件平台。其特点也与硬件平台类似,专用VPN软件平台采用模块化设计,处理与控制相分离,效率高,稳定性好。
3. 设备的设计水平,要生产一台基于专用平台的可以稳定运行的VPN设备,需要很深的技术积累,这对于很多设备提供商来说,是一道很高的技术门槛。
H3C专业防火墙/VPN设备自2002年推出后,已经在全国各行业得到广泛应用,该系列产品具有基于MIPS嵌入式芯片的专用硬件及H3C Comware软件平台,成熟稳定的应用验证了用户对于产品高可靠性的要求。
2.3. 远程设备管理简单化——解决VPN设备管理难问题
VPN方案实施完毕后,后期的管理和维护就成为一个比较头疼的问题。由于企业VPN设备的分布式部署特点,再加上分支机构/公司并不具备专业的VPN管理人员,这就要求所选设备要容易配置,可以远程管理和监控设备的运行状态。
企业的VPN方案必须在设计时就充分考虑远程监控和管理的问题,需要提供远程集中管理、批量配置下发、全中文界面和图形化管理等功能。WEB图形化管理界能够降低管理人员的使用难度,远程集中管理和批量配置下发可以极大地减轻管理人员的工作量,减少企业的出差费用等非必要支出。
H3C针对VPN应用特点推出了VPN Manager*软件,实时监控VPN网络运行情况;更针对困惑用户许久的多VPN分支网点设备的配置和管理问题,开发了H3C BIMS分支智能管理系统*。
*VPN Manager软件可以轻松构建IPSec VPN网络,有效监视VPN网络的运行,并监控VPN网络性能,快速定位设备故障,从而方便用户在VPN上开展各项业务。
*BIMS(Branch Intelligent Management System)分支网点智能管理解决方案,可以实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中监控和管理;在对业务应用基本相同、数量庞大并且分布广泛的网络边缘设备进行管理时,BIMS更会极大提高管理效率,大量节约管理成本。
2.4. 抗病毒防攻击——解决网络安全性问题
随着Internet的迅速普及,全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也层出不穷,这可谓网络如江湖,到处暗藏杀机,稍不小心就会中招。另一方面随着U盘等个人数据存储产品和便携式计算机的普及,企业内部的病毒传播更加难以控制。企业必须把病毒限制在最小的范围以内,最大程度的降低企业的损失。
要想解决VPN网络中的安全问题,企业的每个互联网/VPN出口都需要单独部署防护设备,抵御其他节点的病毒蠕虫攻击。部署独立的防火墙设备可以解决该问题,但是会带来额外的成本和管理上的问题,也就是VPN设备和防火墙设备在配合中可能使经过VPN隧道的用户在防火墙中被阻拦;而分支机构的数据在通过防火墙后,又无法创建VPN。
因此常见的做法是通过网络技术和软硬件技术的结合,将防火墙组件和VPN组件有机结合。协调统一地集成在一款设备中,可以在保证VPN安全接入的同时,为企业网络安装了一套安全防护的外套:可以将病毒蠕虫等恶意数据遏制在网关处,保障企业总部和分支机构的数据安全。
另外,对于安全需求较高的企业也可以考虑部署防病毒网关,彻底防止各种病毒的传输。
H3C ASM防病毒插卡是拦截病毒传播的有力武器,以插卡形式与SecPath安全网关融合,与专业防病毒厂商强强联合,支持FTP、HTTP、SMTP、POP3协议,可以对40+万种病毒进行病毒查杀。
2.5. H3C解决之道
安全性差、不稳定、管理难、功能单一这四大问题是已经部署了和计划部署VPN的企业常遇到的,也是管理人员最为头疼的问题。通过对这三大问题内在原因的深入分析,我们也总结出了一系列解决办法,下面列举出了存在的问题,解决办法和涉及的相关技术。
|
VPN网络现象 |
存在问题 |
H3C VPN方案解决之道 |
|
功能单一 |
只提供单一种类VPN |
提供融合性VPN设备,可以同时提供基于MPLS、IPSec、SSL等技术的 VPN功能 |
|
不稳定 |
设备不稳定 |
基于MIPS嵌入式芯片的专用硬件及H3C Comware软件平台 5年的大规模VPN应用案例 |
|
运营商线路故障 |
VPN链路备份,故障自动切换技术 |
|
|
管理难 |
配置难 |
中文WEB方式管理 |
|
集中管理难 |
VPN Manager软件 BIMS(Branch Intelligent Management System)分支网点智能管理解决方案 |
|
|
安全性差 |
网络病毒 |
专业防病毒模块SecPath ASM(瑞星) |
|
黑客攻击 |
专用防火墙攻击防范技术(L3-L4) |
作为国内网络以及安全设备的领导厂商,H3C公司始终关注客户的需求,以客户需求为导向来开发产品和设计方案。通过对目前企业的VPN市场进行深度调研,H3C公司基于自身强大的研发实力,推出了面向广大企业用户的完善的VPN解决方案,为广大企业用户提供了集安全与稳定于一体的理想解决方案。
VPN方案组网部署图:
H3C VPN方案中所推荐使用的设备,都是专门针对广大企业用户开发的。H3C致力于为企业提供可靠,高效、易管理的VPN网络,并且这些设备已经在全国众多的大型企业用户中得到了长时间、稳定的使用,能让企业用户感到放心。
方案特色:
1、 高融合:i. 支持目前主流的各种VPN功能,包括MPLS VPN、IPSec VPN、SSL VPN等,一次投资多次受益。 ii. 高集成度,融合防火墙等安全功能,简化设备的部署和维护。
2、 高性能:i. 提供高性能的网络体验,高加密能力,对网络流量处理游刃有余。ii. 高并发连接,可以连接更多的分支机构,方便您弹性扩容。
3、 易管理:i. 全部VPN设备提供中文WEB管理界面,方便操作。ii.可以选配H3C分支管理系统,无需出门即可完成全网管理。 iii.可以选配VPN网络监控系统,轻松掌握网络状态。
4、 安全可靠i.专用的网络硬件平台,5年大规模应用的软件系统平台保障您的VPN网络顺畅稳定运行。ii.H3C专有应用状态过滤技术ASPF,有效抵御外来病毒蠕虫、黑客攻击,保障您的网络安全无忧。 iii.对于高安全性要求的企业可以选择防病毒模块,彻底阻止病毒的传播。
3. H3C数据新干线企业VPN典型方案推荐
3.1. 小型企业标准型VPN方案:
c 分支机构数量:少于20个
c 核心终端数量在50台以下,分支终端数量30台以下
c 推荐设备清单和特点
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath F100-S 或H3C SecPath F100-M |
IPSec VPN核心设备 |
|
分支节点设备 |
H3C SecPath F100-C |
IPSec VPN经济型接入设备,3年大规模部署的经典产品,稳定可靠 |
3.2. 小型企业增强型VPN方案:
c 分支机构数量:少于100个
c 定义规模:核心终端数量在200台以下,分支终端数量30台以下
c 推荐设备清单和特点
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C AR 18-63-1 |
IPSec VPN核心设备,千兆处理能力,高性价比 |
|
分支节点设备 |
H3C SecPath F100-C |
IPSec VPN经济型接入设备,3年大规模部署的经典产品,稳定可靠 |
3.3. 中型企业标准型VPN方案:
c 分支机构数量:少于50个
c 定义规模:核心终端数量在100台以下,分支终端数量30台以下
c 推荐设备清单和特点
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath F100-A-SI 或H3C SecPath F100-A |
默认配置为IPSec VPN核心设备,可选配硬件ASM模块提供防病毒能力,经典主流产品 |
|
分支节点设备 |
H3C SecPath F100-C |
IPSec VPN经济型接入设备,3年大规模部署的经典产品,稳定可靠 |
集中管理须选配
|
核心集中管理软件 |
H3C BIMS分支管理软件 |
可以针对企业分支的IPSec VPN设备进行集中配置管理 |
|
核心VPN网络检测软件 |
H3C VPN Manager |
可以监控企业的VPN网络运行状态 |
3.4. 中型企业增强型VPN方案:
c 分支机构数量:少于60个
c 定义规模:核心终端数量在150台以下,分支终端数量30台以下
c 推荐设备清单和特点
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath V100-E |
默认配置支持IPSec+SSL VPN核心设备,可选配ASM防病毒模块,一台设备的价格=多台设备的功能,超高性价比 |
|
分支节点设备 |
H3C SecPath F100-C |
IPSec VPN经济型接入设备,3年大规模部署的经典产品,稳定可靠 |
集中管理须选配
|
核心集中管理软件 |
H3C BIMS分支管理软件 |
可以针对企业分支的IPSec VPN设备进行集中配置管理 |
|
核心VPN网络检测软件 |
H3C VPN Manager |
可以监控企业的VPN网络运行状态 |
3.5. 大型企业标准型VPN方案:
c 分支机构数量:少于100个
c 定义规模:核心终端数量在200台以下,分支终端数量30台以下
c 推荐设备清单和特点
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath F100-E |
默认配置为IPSec VPN核心设备,可选配硬件ASM防病毒模块,高端百兆产品,3DES加密性能高达200Mbps |
|
分支节点设备 |
H3C SecPath F100-C |
IPSec VPN经济型接入设备,3年大规模部署的经典产品,稳定可靠 |
|
或H3C MSR 20-10 |
IPSec VPN接入设备 |
集中管理须选配
|
核心集中管理软件 |
H3C BIMS分支管理软件 |
可以针对企业分支的IPSec VPN设备进行集中配置管理 |
|
核心VPN网络检测软件 |
H3C VPN Manager |
可以监控企业的VPN网络运行状态 |
3.6. 大型企业增强型VPN方案:
c 分支机构数量:少于200个
c 定义规模:核心终端数量在500台以下,分支终端数量50台以下
c 推荐设备清单和特点
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath F1000-C |
默认配置为IPSec VPN核心设备,可选配硬件SSL VPN模块或者ASM防病毒模块,超值千兆核心设备 |
|
分支节点设备 |
H3C SecPath F100-S |
IPSec VPN接入设备,高达30M的加密能力 |
|
H3C MSR 20-10 |
集中管理须选配
|
核心集中管理软件 |
H3C BIMS分支管理软件 |
可以针对企业分支的IPSec VPN设备进行集中配置管理 |
|
核心VPN网络检测软件 |
H3C VPN Manager |
可以监控企业的VPN网络运行状态 |
3.7. 移动办公解决方案:
3.7.1. 商业融合VPN解决方案:
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath V100-E |
默认配置支持IPSec+SSL VPN核心设备,可选配ASM防病毒模块,一台设备的价格=多台设备的功能,超高性价比 |
|
移动办公软件 |
浏览器插件(内置、免费、无需安装) |
SSL VPN接入客户端软件 |
3.7.2. 商业IPSec VPN解决方案:
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath系列防火墙均可 |
默认配置支持IPSec VPN核心设备 |
|
移动办公软件 |
H3C Inode IPSec VPN客户端 USB Key |
可以提供移动办公人员远程拨入,需要安装IPSec VPN客户端 |
3.7.3. 解决方案:Secpath防火墙基础上扩展SSL VPN功能:
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPathF100-M及以上型号防火墙 |
可扩展SSL VPN模块,提供弹性扩展能力 |
|
核心节点新增SSL VPN模块 |
硬件SSL VPN模块 |
硬件SSL VPN模块,使核心节点VPN设备支持SSL VPN功能 |
|
移动办公软件 |
浏览器插件(内置、免费、无需安装) |
SSL VPN接入客户端软件 |
3.8. VPN防病毒解决方案:
|
设备名称 |
设备选型 |
功能 |
|
核心节点设备 |
H3C SecPath F100- A-SI及以上型号防火墙 |
默认配置支持IPSec VPN核心设备,可选配ASM防病毒模块,一台设备的价格=两台设备的功能,超高性价比 |
|
核心节点防病毒模块 |
H3C ASM 防病毒模块 |
插入防火墙的扩展槽中,提供对FTP、HTTP、SMTP等五种协议的病毒过滤 |
4. H3C解决方案定购信息
|
方案模块 |
方案特性描述 |
典型实现产品 |
|
|
移动办公解决方案 |
商业融合VPN方案(SSL/IPSEC/MPLS VPN) |
核心节点 |
H3C SecPath V100-E |
|
移动客户端软件 |
核心节点下发(无需安装,免费使用) |
||
|
商业IPSEC VPN方案 |
核心节点 |
H3C SecPath系列防火墙/VPN设备均可 |
|
|
H3C Inode IPSec VPN客户端 |
|||
|
防病毒解决方案 |
核心防病毒插卡 |
H3C ASM防病毒模块(SecPath F100-M/A/E,F1000-C/S支持) |
|
|
小型企业标准型VPN方案 |
核心节点 |
H3C SecPath F100-S 或F100-M |
|
|
分支节点 |
H3C SecPath F100-C |
||
|
小型企业增强型VPN方案 |
核心节点 |
H3C AR18-63-1 |
|
|
分支节点 |
H3C SecPath F100-C |
||
|
中型企业标准型VPN方案 |
核心节点 |
H3C SecPath F100-A或F100-A-SI |
|
|
分支节点 |
H3C SecPath F100-C |
||
|
核心集中管理软件(选配) |
H3C BIMS分支管理软件 |
||
|
核心VPN网络检测软件(选配) |
H3C VPN Manager |
||
|
中型企业增强型VPN方案 |
核心节点 |
H3C SecPath V100-E |
|
|
分支节点 |
H3C SecPath F100-C |
||
|
核心集中管理软件(选配) |
H3C BIMS分支管理软件 |
||
|
核心VPN网络检测软件(选配) |
H3C VPN Manager |
||
|
大型企业标准型VPN方案 |
核心节点 |
H3C SecPath F100-E |
|
|
分支节点 |
H3C SecPath F100-C/ MSR20-10 |
||
|
核心集中管理软件(选配) |
H3C BIMS分支管理软件 |
||
|
核心VPN网络检测软件(选配) |
H3C VPN Manager |
||
|
大型企业增强型VPN方案 |
核心节点 |
H3C SecPath F1000-C |
|
|
分支节点 |
H3C MSR20-10/ H3C SecPath F100-S |
||
|
核心集中管理软件(选配) |
H3C BIMS分支管理软件 |
||
|
核心VPN网络检测软件(选配) |
H3C VPN Manager |
||
- 上一篇:没有啦
- 下一篇:基础网络架构解决方案 [2016/6/1]
