文档介绍：远程安全接入解决方案技术建议书
杭州华三通信技术有限公司
目录
1. 远程接入模式分析 4
2. VPN技术介绍 4
. VPN定义 4
. VPN的类型 5
Access VPN 5
VPN 6
VPN 6
. VPN的优点 6
. 隧道技术 7
二层隧道协议 7
三层隧道协议 7
. 加密技术 9
. 身份认证技术 10
3. H3C安全建设理念 11
. 智能安全渗透网络简介 11
. 智能安全渗透网络——局部安全 12
. 智能安全渗透网络——全局安全 12
. 智能安全渗透网络——智能安全 12
4. XX系统远程安全接入解决方案 13
. XX系统远程安全接入需求分析 13
. 解决方案设计原则 14
5. XX系统远程安全接入解决方案 17
. 远程接入安全解决方案 17
. 大型分支接入 17
. 中小分支合作伙伴接入 18
. 移动用户接入方式 19
. 可靠性方案 20
. 双出口备份 20
. 双机备份 22
. 快速切换 23
. VPN管理系统 25
. 轻松部署安全网络 25
. 直观展示VPN拓扑 26
. 全方位监控网络性能 26
. 快速定位网络故障 27
. BIMS分支智能管理系统 28
. 统一安全管理中心 30
6. 总结 31
远程接入模式分析
随着网络,尤其是网络经济的发展,为提高沟通效率和资源利用效率,建立分支与总部、机构与机构之间的具有保密性的网络连接是十分必要的。此外,工作人员出差时也需要访问系统内部的一些信息资源,这时同样需要建立保密的网络连接。怎样为这些分支、机构、出差人员提供一个安全、经济、方便和高效的安全接入方式,成为XX系统亟需解决的一个问题。
建立保密的网络连接一种方案是使用专线,其基本方式是进行每个层次之间的专线方式连接,通过这种方式可以实现的星形结构的全局网络连接,基本满足分支与总部、机构与机构之间的数据传输需求,但是这种方式存在非常大的两个缺点:第一是不灵活,不能满足出差人员随时随地接入的需求;第二是费用高,专线方式的网络连接需要支付高昂的专线租用费用。
另外一种方式是通过拨号的方式,通过利用PSTN/ISDN的模拟电话线路,移动用户主机配置的调制解调器,采用拨号的方式,登录到公司内部的拨号服务器,实现远程对公司内部资源的访问。这种方式的优点在于比较灵活,PSTN电话线路资源比较容易获得。缺点在于网络连接性能低,PSTN电话最多提供64K带宽,相对现在的宽带网络,已经基本不可用,而且此方式没有任何安全措施,数据在传输过程中存在很大的安全风险。
随着VPN技术的发展,VPN技术已经成为一种非常成熟的网络连接方式,VPN具有高性价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势,已经被广泛替代专线用来进行广域网络的衔接,下面我们将以VPN模式为核心,提供H3C全面的VPN解决方案。
VPN技术介绍
VPN定义
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual work),、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图
1所示。
VPN应用示意图
由图可知,企业内部资源享用者只需连入本地ISP即可访问中心或者相互通信。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
VPN的类型
VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网( VPN)和企业扩展虚拟网(VPN),这三种类型的 VPN分别与传统的远程访问网络、相对应。
Access VPN
随着当前移动办公的日益增多,。对于出差流动员工、远程办公人员和远程小办公室,Access 建立私有的网络连接。ess VPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。
Access VPN的结构有两种类型,一种是