《{报关与海关管理}海关远程报关单证解决管理知识方案》由会员分享,可在线阅读,更多相关《{报关与海关管理}海关远程报关单证解决管理知识方案(44页珍藏版)》请在金锄头文库上搜索。
1、海关远程报关VPN解决方案建议(简要)Check Point目录1 前言32 设计目标和设计原则42.1 设计目标42.2 设计原则53 客户需求分析73.1 海关远程报关系统简介(略)73.2 目前需求分析73.3 采用IPSec VPN的好处74 方案设计104.1 网络拓扑114.2 方案说明114.3 安全管理建议135 推荐产品介绍145.1 推荐产品145.2 Check Point VPN-1 Power介绍145.3 Crossbeam X40介绍235.4 Check Point SmartCenter Power介绍285.5 Check Point VPN-1 Secur
2、eClient介绍366 产品目录价436.1 VPN-1 网关436.2 中央管理服务器软件436.3 VPN-1 客户端软件436.4 标准折扣441 前言随着Internet/Intranet技术的飞速发展和广泛应用,网络安全问题愈来愈突出,已成为当前一大热点。黑客技术的公开和有组织化,以及网络的开放性使得网络受到攻击的威胁越来越大。而人们对这一问题的严重性的认识和所具备的应付能力还远远不够。通常人们对内部网络的安全程度不了解,而实际情况是网络中的隐患到处都是;网络的环境在不断变化,加上管理不当,应用人员水平参差不齐,没有有效的方式控制网络的安全状况,我们理想中的安全与实际的安全程度存在
3、巨大的安全缝隙。随着业务的拓展,网络不断的扩展和日趋复杂,对外服务不断增多,因此保障网络的安全运行是非常重要的。如果网络在安全方面稍微有点漏洞,就有可能被黑客抓住,捣毁数据及网络,这样就会影响网络业务正常运行,直接带来无法估量的经济损失。在这种情况下,面对动态的、复杂的网络环境,市场上出现了众多不同种类的安全产品,可以说良莠不齐,怎样在众多产品中选择一款性价比最高的产品是我们的首要考虑和解决的问题。2 设计目标和设计原则2.1 设计目标系统设计的目标就是要建立一个具有高可靠性、高安全性、可扩展性、先进性和高性能的计算机网络应用系统,满足目前以及未来业务的发展需求。网络的可靠性:是指系统的冗错性
4、,系统在部分组件出现故障时能启用备用组件,以使系统能继续运行,防止出现中断。网络的安全性:包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。 机密性:确保信息不暴露给未授权的实体或进程。 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。 可控性:可以控制授权范围内的信息流向及行为方式。 可审查性:对出现的网络安全问题提供调查的依据和手段。网络的可扩展性:是指网络随着应用的增加仍能满足需求。这要求网络在设计时要求充分考虑未来的应用发展趋势,保证系统在应用不断增加的情况下仍能可
5、用。网络的先进性和高性能:是指系统设计是尽量选用成熟先进的技术,以避免刚建好的网络因不适用先进的网络技术或不适合与以后运用新的先进技术建立的网络互连而面临尴尬的局面。网络的先进性和高性能也是保证网络可扩展性的一个重要方面。2.2 设计原则在进行网络安全设计、规划时,应遵循以下原则:需求、风险、代价平衡分析的原则 :对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。综合性、整体性原则 :运用系统工程的观点、方法,分析网络的安全问题,并制
6、定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。 一致性原则 :这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。易操作性原则 :安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 适应性、灵活性原则 :安全措施必
7、须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。多重保护原则 :任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。体系化设计原则通过分析信息网络的层次关系,提出科学的安全体系和安全框架,确定需要划分的安全子系统;根据安全体系框架分析各个安全子系统存在的各种安全风险,从而采取针对性的安全措施,解决可能存在的安全问题。全局性、均衡性、综合性设计原则在不同安全子系统中,从全局出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解
8、决方案。3 客户需求分析3.1 海关远程报关系统简介(略)3.2 目前需求分析目前企业远程报关采用拨号方式,费用高且缺乏安全保障。故此项目希望采用当前技术最为成熟的IPSec VPN解决方案。3.3 采用IPSec VPN的好处对于企业用户来说,VPN提供了安全、可靠的 Internet访问通道,为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务,是方便快捷的企业私有网络。由于VPN的出现,用户可以从以下几方面获益: 1)实现网络通信安全 具有高度的安全性,对于现在的网络是极其重要的。远程报关需要绝对的安全,而VPN以多种方式增强了网络的智能和安全性。首先,它在隧道的起点,
9、在权威的认证服务器上,提供对分布用户的身份认证。另外,VPN支持安全和加密协议,如IPsec,从而保证数据传递的安全。 2)简化网络设计 企业用户可以使用VPN替代租用线路来实现分支机构的连接。这样可以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN远程用户通过拨号访问当地ISP与企业总部建立VPN,减少了在企业总部Modem Pool的配置,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。 3)降低成本,投资回报VPN可以立即且显著地降低成本。当使用Internet时,实际上只需付本地电话费,却收到了长途通信的效
10、果。因此,借助ISP来建立VPN,就可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护昂贵的WAN设备和远程访问设备,这些工作都可以交给ISP。VPN使用户降低以下的成本: 移动用户的通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。 租用线路成本。VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。对于租用国际线路的企业来说,这种节约是更为显著。对于话音数据,节约金额会进一步增加。对国内的用户来说,VPN最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号
11、方式联网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。主要设备成本。VPN通过支持拨号访问资源,使企业可以减少不断增长的调制解调器费用。另外,用户可以在单一的WAN接口中实现多种服务,从分支机构网络互联、商业伙伴的外联网终端,本地提供高带宽的线路连接到访问服务提供者,因此,只需要极少的WAN接口和设备。由于VPN可以实现完全管理,并且能够从中央进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外,由于VPN独立于初始协议,这就使得远程的接入用户可以继续使用原有设备,保护了用户在现有硬件和软件系统上的投资。 4)容易扩展 如果企业想扩大VPN的容量和
12、覆盖范围。企业需做的事情很少,而且能及时实现。不需要为等待搭建专线耗费宝贵的时间。在远程办公室增加VPN能力也很简单:通过远程访问方式或通过性能价格比非常好的VPN专用设备即可与总部实现VPN通信。 5)可随意与合作伙伴实现Extranet在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商变得非常简单:在业务上授权对方进行资源共享,通过权威的认证机构实现双方严格的身份认证即可。真正达到了要连就连,要断就断。 6)完全控制主动权 借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。例如,企业可以
13、把拨号访问交给ISP去做,由自己负责用户的身份查验、访问权限、安全性和网络变化管理等重要工作。 7)支持更多新兴应用 许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真等。4 方案设计根据用户需求,我们设计在报关用户的PC上安装VPN客户端,在报关服务器前部署VPN网关,实现远程访问IPSec VPN。4.1 网络拓扑4.2 方案说明(1)在报关服务器群前部署Check Point VPN-1 Power网关。VPN-1 Power 网关不仅具有强大的IPSec site-to-site VPN 和 client-t
14、o-site VPN能力,而且内置Check Point全球市场占有率第一的防火墙功能,同时还具有入侵防范和安全加速技术,可以满足连接和保护双重需求。在IPSec VPN技术中,通常采用预共享密钥和数字证书两种认证方式。预共享密钥使用方便,但安全性较差。故本方案建议采用数字证书。在Check Point中央管理服务器中已内置CA,可以发放证书供VPN使用。本方案中由于用户已有CA系统,故Check Point VPN网关和客户端均采用已有CA颁发的证书。Check Point VPN网关可以兼容全球各大主流厂商CA,如Entrust,Verisign,微软,Netscape等等。VPN网关的硬
15、件平台采用Check Point硬件合作伙伴Crossbeam的电信级平台X40。X40拥有单机高可用性特点,在一个机框内,可以实现电源冗余,风扇冗余,控制模块冗余,网络模块冗余和应用模块冗余。单台X40可以支持10万并发VPN隧道,如需支持到30万并发VPN隧道,3台可以基本满足要求。(2)在远程需要报关的PC上安装Check Point VPN-1 SecureClient VPN客户端软件,并申请数字证书。在申请报关业务前,首先需要进行VPN连接。VPN客户端和网关首先通过数字证书进行相互认证,如认证成功,则建立VPN隧道;如失败,则无法建立VPN,也就无法进行报关业务。VPN-1 SecureClient不仅具有全部IPSec VPN功能,同时还具有中央管理的个人防火墙功能。管理员可以在中央管理服务器上为远程客户端配置防火墙策略,远程客户端建立VPN连接到网关后,可以自动将属于他的安全策略下载到本地,从而对客户端本身进行防护。客户端的安全性,也可以进一步保证其所连接报关服务器的安全。VPN-1 S
