发布时间 : 星期日 文章XX政府网络安全及VPN解决方案更新完毕开始阅读b0e71edeed630b1c59eeb5fa
XX政府网络安全及VPN解决方案 文档密级
5.3 省各厅局委办通过VPN互通方案
在厅局委内网A和厅局委内网B的网络出口部署IPSec VPN Gateway,在两个IPSec VPN Gateway之间建立IPSec隧道,穿越internet,实现IPSec VPN用户之间的横向互访并保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
5.4 政务外网VPN移动用户接入方案
政务外网VPN将为移动用户提供便捷的VPN接入方案,满足省内用户出差及非办公区办公时的安全访问政务外网的需求,网络拓扑如下:
2016-9-7
华赛机密,未经许可不得扩散
第12页, 共31页
XX政府网络安全及VPN解决方案 文档密级
移动办公用户通过VPN Client接入VPN Server网关,业务流程如下: 1) 移动办公用户终端接入Internet。
2) 在终端上运行VPN Client软件,选择或输入要接入的VPN Server的IP地址。 3) 输入用户名密码点击连接(对于不同的用户可在VPN Server上部署不同的安全策
略,如需要接入VPN、认证方式等);推荐采用CA+USBKEY方式显著提高安全性。 4) 完成认证后,VPN Client提示接入VPN网络,移动办公用户进行需要的数据访问。 移动办公用户访问MPLS的数据将导入NIP1000入侵检测系统,进行入侵检测,后续可考虑部署防病毒网关或其他安全检测设备,提高访问的安全性。
6 华赛VPN接入解决方案特点
6.1 全面的VPN业务支撑能力
? 华赛VPN整体解决方案能够提供L2TP、GRE、IP Sec、SSL VPN、MPLS VPN等多种VPN
接入方式,并支持DES、3DES、AES等多种加密算法,结合华赛公司全系列的VPN设备,提供完整的VPN解决能力。USG 2000/5000防火墙可支持高达1Gbps的3DES处理能力,提供高性能的LNS服务。
? 支持从Internet安全接入到MPLS VPN网络,通过一台USG防火墙的一个物理接口就
可以为Internet上的许多VPN分支机构接入到MPLS VPN提供服务。用户认证通过IKE来提供,可以提供基于证书的方式,也可以采用per-shared key的方式。通过IKE认证就可以知道该IP Sec隧道应该接入到哪个MPLS VPN中。USG系列防火墙对每个VPN保持了独立的转发资源,从源头上就可以控制不同VPN用户之间无法互访。 ? 支持Multi-VRF特性,可以为多个VPN保存独立的转发表项,这样可以从转发层面保
证了业务隔离。通过这种Multi-VRF技术可以在提供VPN业务的时候,支持私网地址重叠功能。
? 支持根验证功能:USG防火墙的根系统可以验证隧道对端,利用IKE进行身份验证、
密钥协商,建立起IP Sec隧道之后,就给这个IP Sec隧道标定了一个VPN。然后将IP Sec隧道的流量引入到对应的虚拟防火墙处理。这种方式的处理,可以给Internet的分支机构接入到VPN提供了技术保证,可以使得Internet上的分支机构
2016-9-7
华赛机密,未经许可不得扩散
第13页, 共31页
XX政府网络安全及VPN解决方案 文档密级
访问特定VPN。 ?
支持多个虚系统; USG防火墙的一个虚系统连接一个分支机构,由这个虚系统来验证隧道对端,利用IKE进行身份验证、密钥协商,建立的IP Sec隧道只能限定在这个虚系统内部。这种方式可以给VPN用户提供加密接入到骨干网提供了技术保证,可以使得分支机构在骨干网边缘通过加密方式接入到VPN,提供高可靠的VPN接入服务。 ?
接入控制权限严格, USG防火墙可以根据用户名、密码来控制访问VPN的接入权限,这样可以使得出差员工,超级用户(需要访问不同VPN资源)等不同的用户。支持采用Radius协议统一管理用户,可以提供双因子验证方式,采用令牌+固定口令的方式提供高可靠的接入服务。
6.2 领先的业务性能及高可靠的硬件体系
?
USG系列防火墙采用新一代电信级的硬件高速状态防火墙,强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。USG防火墙具有一个完整的安全方案技术体系,可以为用户提供综合的安全解决方案。 ?
USG 2000/5000防火墙采用NP(网络处理器)的硬件结构,可以支持10K以上的并发用户,提供1G吞吐量的VPN服务。 ?
USG系列防火墙支持双机备份组网方式,双机模式支持IP Sec/L2TP业务,可以通过双机提供更可靠安全的接入模式。在做VPN网关的同时,可以为整个企业网提供安全可靠的运行环境,保证整个企业网的安全。 ?
USG防火墙产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMP Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击的防御。同时,USG防火墙可以主动识别出数十种常见的攻击种类,很多种攻击种类造成的后果就是Dos形式的攻击,USG防火墙可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段,利用USG防火墙可以组建一个安全的防御体系,保证网络不遭受Dos攻击的侵害。 ?
USG系列防火墙支持使用TCP代理方式来防止SYN Flood类的Dos攻击,通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被USG防火墙丢弃。
2016-9-7
华赛机密,未经许可不得扩散
第14页, 共31页
XX政府网络安全及VPN解决方案 文档密级
6.3 图形化的便捷管理
政务外网VPN管理子系统由华赛VPN Manager系统构成;其主要功能是简化VPN业务的管理,增强了IP VPN的管理、维护和运营手段。
主要有以下特点:
? 所见即所得的业务预部署
在网管上进行离线的业务定义,直到确认无错后再下发的设备上使得业务生效,对运营商非常重要。VPN Manager可以离线地进行所有的业务定义,并且通过各种拓扑视图达到所见即所得的效果。 ? 配置变更监控功能
VPN Manager提供配置审计功能,自动定期地检查出网络业务管理系统和设备上当前配置的不一致性,发送告警给运维人员,并能提供配置变更的详细信息。 ? 现网业务的自动发现与还原
如果在安装Secospace VPN Manager之前,网络设备上已经部署了IPSec VPN业务。VPN Manager可以读取设备上的配置文件等数据,自动在VPN Manager上还原出IPSec VPN业务,从而避免部署后续业务时发生资源冲突,使得新老业务可以统一管理。 ? 方便的性能统计功能
VPN Manager提供实时性能数据查看功能,可对VPN业务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控,并提供历史性能数据分析功能。有助于用户了解当前网络运行的基本情况和性能状态,预防网络事故发生,预测网络运行状态。 ? 支持跨平台特性
VPN Manager基于华赛公司统一的VSM综合管理应用平台,既可以运行在Solaris操作系统下,也可以运行在Windows操作系统下。既可提供规模网络的高端解决方案,也可适应低成本的解决方案 ? 简单快捷的系统安装
提供图形化、向导式的安装和升级方式,系统自动设置静态参数和初始化数据。安装程序实现按需定制组件的功能。 ? 友好的人机界面
充分考虑用户的操作习惯,提供统一风格的告警、拓扑和业务配置管理界面,保
2016-9-7
华赛机密,未经许可不得扩散
第15页, 共31页