《【精品】VPN网络设计方案》由会员分享,可在线阅读,更多相关《【精品】VPN网络设计方案(18页珍藏版)》请在金锄头文库上搜索。
1、VPN网络设计方案合勤科技目录目录1. 网络设计方案11.1. 用户需求11.2. 网络拓扑设计11.3. 产品优势21.4. 网络维护21.5. 集中式网络管理平台42. 产品介绍62.1. 网关 ZyWALL USG 100 62.2. GS-1124A 103. 成功案例11X网络设计方案用户需要完成三个点网络连接,用以传输网络数据,因此需要使用虚拟专用网(VPN) 技术來实现。各分支机构分别使用一台USG100和一台GS1124A.1.2.网络拓扑设计VPN网络的实现,需要根据各个机构的规模大小,增加相应性能的VPN硬件网关來实 现,整个VPN网络建成后为CS结构,即总部(中心)连接所
2、有的分支机构和移动用户(客 户端)。各分支机构的网络情况基本相同,都是使用UGS100和GS-1124A,其VPN网络拓扑如下图所示:/ USG-100GS-1124AEb EbUSG-100GS-1124AVPN隧道采用了高强度的安全加密方式和强有力的身份验证机制,并U具有数据完整 性验证,防篡改等高级别安全措施,能够确保用户的信息万无一-失。VPN网络的建立对于使用者来说是透明的,分支机构之间的访问不会感到任何不便, 只要在应用软件中填入目标IP地址,即可以触发隧道,如同在局域网中使用各种应用一样 的方便。1.3. 产品优势通过了 ICSA认证的全状态检测防火墙可以保护网络和内部的虚拟应用
3、服务,如email,Web 浏览,服务器,文件传输等。-选择ICSA认证的ZyXEL病毒防护,或卡巴斯基实验室提供的杀毒引擎可以保护网络不 受病毒及间谍软件的威胁。-IDP功能使得您的网络能够抵御木4,嫦虫之类的危险元素的入侵使用IPSec VPN可以在远程办公室,合作伙伴与总部Z间建立可靠的安全连接,出差在 外或者家庭办公的用八可使使用SSL或L2TP VPN安全地接入公司的网络,而不再需要安 装VPN软件。-应用控制功能对以管控类似于MSN和BT之类的即时通讯软件和点对点下载软件。垃圾邮件过滤功能能够识别广告邮件和垃圾邮件,并将英标记或禁止。用八感知功能能够让您针对用八或用八纽來进行各种应
4、用和资源的控制。带宽管理能够让您为诸如VoIP湖视频会议等延时敏感型应用捉供更有保证的网络带宽。-多广域网接口,能够让您同时使用多条ISP线路接入互联网,实现负载均衡,提高网络的 吞吐昴,优化网络带宽的使用率,并口实现链路之间的故障备份,保证不间断的网络连接。在每次进行登陆的时候,您除了可以使用您的合法帐号和密码Z外,还可以输入山一次性 密码令牌 ZyWALL OTP生成的PIN码,以增强安全性保障。扩展卡插槽和USB接口,都可以连接3G无线网卡,增加3G接入链路14网络维护用户的的VPN网络是典型的CS (客户端一服务器)结构,也就是一个核心,众多分 支的连接方式。管理员平时可以通过远程Te
5、lnet或Web的方式对所有的设备进行管理。但 是区政府的VPN网络的规模比较庞大,此时再使用传统的管理方式显然会出现很大的困难, 而口会占用大量的人力资源以及维护成本,因此我们为网络规模较大的VPN用户配套提供 了一个集中式的远程VPN管理调试平台-Vantage CNM系统。使用该系统可以大大提高对 整个VPN网络管理的效率合准确性和一致性。关于该系统的详细介绍请参考下面一部分内 容015集中式网络管理平台Vantage CNM (Centralized Network Management)山ZyXEL自行研发的Vantage CNM中央网络管理 系统,是一个透过浏览器即可进行企业用户整
6、体网络管 理的完整解决方案,可协助网络管理员从任何地点轻松进行ZyXEL网络安全设备的设定、管理、监控、排障、 升级、备份等全部操作,使管理员能够确保所制定相关信息安全政策的一致性,并持续监控 所有网络设备,实时给沖必要的技术支持,将管理成本降至最低,并口能充分发挥所有设备 的效能。功能特色 冇观的网络设备与账号管控网络对象树(ObjectTree)功能可以让管理员建立七个层级的逻辑监视结构(LogicalView),可指定多个网络管理员管理同一个域;多名网管在协同管理同-个网络时,各白保有不同的管理权限,以维护其自主性;对彖树中的状态图标可让管理员立即得 知设备目前是否处于止常的工作状态,或
7、是遭到攻击。 组合式网管组件(Building Blocks, BBs)纽合式网管纽件是一种可重复使用的“设置信息”,用以迅速设定单一或多个网络设备。纽合式网管纽件可能是单一设备的完整的设定参数,也町能是一项小一功能的参数(如ACL、WLAN)o这项重要的功能,不仅让管理员可在多个网络设备中快速进行参数设定,还能确保网络设备间设定的一致性。使用Vantage CNM愈久,网络管理 员就能累积愈多的纽合式网管纽件,使用起来就更加方便快速。 韧体的升级与管理利用Vantage同时上载设备韧体至多个位于不同地点的网络设备來进行更新,可以节 省大杲时间及精力,还可减少鉛误发生的可能,并确保网络设备间韧
8、体的一致性;管 理员可设定在上载韧体时让Vantage CNM自动通知设备拥有者,并自动产生所有设 备韧体上载记录的详细报表。 弹指间即对完的VPN隧道网络管理员可以利用图形化接口进行VPN的设定先以鼠标点选网络设备,接着拖出一条虚拟通道拉向另一个网络设备,就能轻松地在网络设备之间建立VPN通 道。而通过预先设定好的“纽.合式网管组件”,让既使是非技术背景的管理员,也能在 耗费垠少精力的情形下,轻松地设定及管理这些VPN隧道。r EhBM Rtpiiv MectionMarneoyQnncZOHSMdm. ilOOOPIKE r ManualPxr IPQTvP#Q ConMRrOtOCd弹出
9、VPN设定界面,同时设 定两端的VPN配置。Pv*8hMdKy|123457fEncwtulaim|TunrMHCncrwfton AlpOfWvw1 zJentntMonohlhm|d“SALWTMluW zJAdTierttcateAAigonVimzJpeoooBAUtoTimtCBtCOMt)阿Pfd Forward Stcwcy 戸8)MvOroupNorzJrieud 网络活动记录(Log)与报警(Alarm)Vantage CNM的网络活动记录与报警功能,让信息安全功能发挥地更为淋漓尽致。网 络活动记录能够提供有关使用者账户与网络设备的详细信, Vantage CNM将收集到 的
10、信息进行统计和分析,转化为多种直观的图形显示;而报警的范围包含了设备硬件 无法运作、信息安全漏洞、黑客攻击,或者是试图非法登入Vantage CNM系统的请 刁J寸P QooonM/U4IMAttacks by Mem r D町2 产品介绍2.1.网关 ZyWALL USG100ICSA认证防火墙基于区域的访问控制列衣安全区域设定数据报状态检测DoS/DDoS保护用户感知策略执行用户自定义ALG入侵检测和保护-内嵌模式(路山/网桥)基于区域的IDP检杳自定义保护策略基于特征码的深度包检测特征库自动升级自定义特征码-流量异常检测和保护泛洪检测和保护协议异常检测和保护:HTTP/ICMP/TCP/
11、UDP防病毒ICSA认证ZyXEL防病毒或Kaspersky防病毒引擎基于流量的病毒检查病毒库囊括最活跃的流行病毒检杏 HTTP/FTP/SMTP/POP3/IMAP4 数据流白动病毒库升级杆无文件大小限制支持黑/白名单混合型VPNICSA认证的IPSec VPN力U密:AES/3DES/DES认证:SHA-1/MD5-密钥管理:Manual Key/IKE-完美前向保护:DH Group 15-NAT over IPSec VPN网关侦测/延时保护支持PKI (X.509)证书证书注册(CMP/SCEP)-Xauth认证支持IPSec 的L2TPSSL VPN无需客八端的远程安全接入(反向代
12、理模式)安全扩展(全隧道模式)统一策略执行支持双因素认证自定义用户登录应用控制-IM/P2P接入颗粒控制应用时间,带宽管理用户感知支持最新IM/P2P软件(基于IDP特征库)实时状态报告带宽管理带宽优先级基于策略的流竄整形最大/保证带宽带宽借用 垃圾邮件过滤区域之间的保护通过SMTP/POP3协议检查截取邮件支持黑/白名单支持DNSBL选择-状态报告高可用性设备HA (主备模式)设备失效保护链路监控配置自动同步多WAN 口负载均衡VPN HA (远程VPN网关冗余)-URL阻断,关键字阻断黑/白名单-阻止 Java Applet, Cookies,Active X动态URL过滤数据库(Blue
13、Coat支援门用户数限制无限制网络路山/桥接/混合模式二层端口捆绑Ethernet/PPPoE/PPTP基于标记的VLAN (802.1 Q)-虚拟接口 (接口别名)策略路山(用户感知)策略 NAT (SNAT/DNAT )RIP v1/v2O SPF-IP 纽播(IGMP v1/v2)-DHCP客户端/服务器/中继内置DNS服务器动态DNS认证内置用户数据库Microsoft Windows 活动目录外部LDAP/RADIUS用户数据库ZyWALL OTP(一次性密码)*合勤科技强制用户认证(透明认证)系统管理基于角色的管理支持多管理员登录多语言Web管理界面(HTTPS/HTTP)基于对象
14、的配置命令行接口 (Console/Web Console/SSH/TELNET )全面的本地tl志记录系统日志(支持4台日志服务器)-E-mail报警(支持2台邮件服务器)SNMP v2c (MIB-II)实时流量监控-系统配證文件恢复/管理基于文本的配置文件-FTP/FTP-TLS/Web 韧体升级详细的系统报告(Vantage Report)集中管理平台(Vantage CNM)3G支持WEP/WPA/WPA2加密传输PCMCIA: Wireless AC850*系列USB:华为E220*:非内置*:需耍有效注册.*:单独采购认证-ICSA认证防火墙ICSA 认证 IPSec VPNICSA认证防病毒遵循标准HSF (Hazardous Substance Free): RoHS and WEEEEMC: FCC Part 15 Class
