迅博VPN应用方案及配置实例业务网和办公网分离.docx
- 文档编号:9490685
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:40
- 大小:1MB
迅博VPN应用方案及配置实例业务网和办公网分离.docx
《迅博VPN应用方案及配置实例业务网和办公网分离.docx》由会员分享,可在线阅读,更多相关《迅博VPN应用方案及配置实例业务网和办公网分离.docx(40页珍藏版)》请在冰点文库上搜索。
迅博VPN应用方案及配置实例业务网和办公网分离
迅博VPN安全应用方案—组网详解
------业务网和办公网隔离,组建高安全级VPN网络
一、迅博VPN产品介绍和应用领域
随着企业信息化和行业信息化的发展,VPN的应用逐渐普及;通过使用VPN技术,可以通过使用INTERNET网络作为承载,采用国际标准的安全体系,来实现安全隧道和数据加密,从而以低成本的实现专线联网的效果。
做为高性价比的底层远程联网平台,VPN可以适应于任何企业、行业及政府机关等应用领域;对于不同的企业及事业单位,由于企业规模的大小不同、组织机构有差异、具体的网络结构也不同,因此不同用户对VPN的需求又稍有差异,迅博VPN/防火墙针对不同用户、不同网络结构的特点,开发出VPN/防火墙/QOS预留带宽/双线ADSL捆绑及备份/中心点VPN负载均衡等多功能集成于一体的硬件VPN系列安全网关,可适应于多种复杂的网络结构和应用领域,主要的产品特点如下:
1、支持透明模式应用,穿透能力强,可放在路由器、防火墙或三层交换机后,支持任何INTERNET接入方式,不改变用户网络结构,具有很强的网络适应性。
2、所有的迅博VPN硬件型号都可以支持多网段划分管理,可以将企业应用划分不同的安全区,从而实现业务网和办公网的物理隔离,业务网专门实现管理、经营等敏感数据传输,办公网和INTERNET相联(实现客户服务及信息交流等)。
通过业务网和办公网分离,可以有效的保证企业数据的安全性,防止木马、病毒及各种黑客攻击行为。
传统上,只有大型企业及行业用户才能实现业务网和办公网隔离的功能,迅博VPN以先进的技术平台和高性价比产品,使广大中小型企业建立高安全性的远程网络成为现实。
3、迅博VPN具有强大的QOS功能,可以为VPN预留带宽,防止非关键应用对关键数据应用的争抢和影响。
对于带宽紧张的用户来说,VPN预留带宽可以轻松实现远程业务应用。
4、支持多ADSL线路捆绑及负载均衡功能,可以实现带宽捆绑及线路备份功能,对中小型企业来说,可以使用ADSL实现低成本的带宽扩展,对大型企业和行业用户来说,可以实现INTERNET及专线的实时热备功能,可以自动切换,不需人工干预。
5、支持独特的专线桥接功能,可以实现多级连网功能,特别适合于行业应用,例如国家、省、地区、县、乡镇的五级联网,部署及其简单,不需要改现有任何路由设置及网络结构。
6、支持多种特殊应用,如游戏隧道代理、大型的解除共享限制应用、网站白名单实现绿色上网等应用,并且支持硬件VPN和LINUX服务器互通,软件客户端和硬件VPN互通,客户端和客户端互通等功能。
7、部署和使用简单,最易使用的VPN,对于中小企业应用,会使用路由器就可以建立远程网络,对于防火墙高级应用可以采用全自动生成配置方式,对于大型行业应用,分支配置为零配置,由中心点集中管理和维护。
下面是专线桥接和业务网、办公网络隔离、透明模式组网的应用简介:
(一)、行业用户:
支持专线网络的扩展,可以很容易的将专线网扩展到远程接点
对于政府机关及大的行业用户来说,一般具有自己的内部专网,但大量的远程接点仍然无法接入到内部专网中去,通过迅博VPN的专线桥接技术,可以很容易的将远程接点纳入内部专网中来,而不需要考虑复杂的路由及网络结构。
典型的应用如统计局、药监局、航空订票等应用,只要远程接点通过VPN接入,即可实现访问内所有服务器功能,不必设置任何路由,也不必改变任何网络结构。
下面是网络结构示意图:
图一
网络结构说明:
上图是某统计局的VPN远程联网示意图,县统计局和地区局、省局以及国家统计局已经有专线建立专网,通过采用VPN桥接结束,各乡镇的统计部门可以访问省局和国家统计局的所有内部资源。
类似的应用包括各政府机关及航空订票等行业应用。
(二)、支持更加安全的远程专网建设,支持业务网和办公网隔离
企业信息化的发展,使众多大中型企业建立可以采用VPN技术建立自己的企业专网,而不必使用昂贵的电信专线组网。
但随着互联网的发展,网络安全问题越来越突出,非法攻击、木马病毒、非授权网络访问以及大流量的BT下载等应用,严重威胁着企业网络的安全,也影响着企业专网的网络质量。
因此,迅博VPN推出业务网和办公网隔离技术,通过使用迅博VPN产品,可以将内部领域网划分多个安全区域,办公应用和数据应用严格隔离,通过VPN实现访问控制,以防止木马、病毒、ARP欺骗等恶意软件扩散到数据服务器,同时通过划分安全区域,可以对不同的机器进行访问控制,设置不同的访问权限。
对于网络质量要求比较高的应用来说,迅博支持双线分流技术,VPN隧道所承载的数据流和办公流分离,这样可以很好的保障业务应用的带宽和质量,同时VPN所接入的两条INTERNET线路又可以互为备份,从而实现更可靠的企业远程专网。
下面是网络结构示意图:
图二
网络结构说明:
上图中总部采用NG2000,采用双线接入,总部网络划分为两个网段,192.168.10.0/24和192.168.9.0,将数据服务器和办公区的电脑进行隔离,办公区内的电脑可以访问数据服务器,但只能访问特定的协议和端口,这样,可以把病毒、木马以及ARP欺骗等恶意软件隔离。
此外,总部的两条线路中一条专门负责VPN隧道,负责远程业务数据通讯,另一条负责办公邮件、WEB等INTERNET访问。
这样,总部实现业务和办公数据分离。
分支机构采用NG520或NG320设备,也支持双INTERNET线路接入,除了实现线路备份功能,还实现分支机构业务数据和办公数据分流功能,即使同一台电脑,所访问的办公数据和业务数据也是分流的。
通过上述网络结构,可以很好的保证业务应用带宽和质量,保障业务网络的安全性和可靠性,特别适应于业务应用要求高的企业及行业用户。
(三)、具有强大的网络适应性,可以不改变现有网络结构实现VPN组网
VPN联网涉及远程接点,又受企业网络中的网络设备影响,因此在组网过程中的网络适应性非常重要,适应性强的网络设备可以快速部署,而不必改变现有的网络结构,对于一些大中型企业来说,尤为重要。
迅博VPN支持透明模式接入,可以放到路由器、防火墙、三层交换机后,仍然可以实现远程联网,同时用户不必关心两边的路由信息,迅博VPN产品可以实现全自动路由交换,从而方便了VPN网络的维护功能。
下面是透明模式应用网络结构示意图:
图三
网络结构说明:
上图中,某物流公司总部网络结构比较复杂,部署有路由器、防火墙、三层交换机等设备,迅博NG2000可放到三层交换机后,采用单线连接到二层交换机器,如同一台PC机一样接入,专门负责VPN数据的加密和远程通讯工作,远程VPN用户可以访问总部多个网段,而不需要改边任何路由设置。
这一切均采用迅博VPN透明接入技术,可以不改变网络结构,快速部署VPN网络。
二、方案配置实例-----业务网和办公网隔离
下面是高速公路收费站和分中心网络结构示意图:
图四高速公路收费站与分中心联网示意图
1、网络结构说明
上图为某高速收费站与分中心远程联网示意图,其中收费站采用ADSL拨号上网,有业务服务器以及办公室PC机两部分,要求业务服务器只能和分中心联网,和办公网、互联网隔离,这样可以保证业务数据的安全性。
分中心的业务服务器在三层交换机后,要求和互联网隔离、和办公网隔离。
具体的网络规划如下:
收费站业务网网段为10.11.186.0/255.255.255.192办公网网段为192.168.10.0/24
分中心的业务网段为10.11.185.0/255.255.255.192办公网网段为192.168.11.0/24
要求收费站的两个业务网能够互通,但不能访问任何其他网段。
2、VPN部署及实现思路
采用迅博NG1200实现上述功能,该产品支持多网段及高级防火墙功能,支持全动态路由,即可实现上述需求。
同时该产品还支持WEB、SSH、串口等配置界面,支持远程维护和实施,可以快速的部署VPN网络。
总体的VPN配置思路如下:
收费站的NG1200内网配置为192.168.10.1,接内部办公网交换机,外网线路1接ADSL,外网线路2当做一个独立网段使用,接业务网交换机,地址设置为10.11.186.62/255.255.255.192,VPN采用服务器模式,分配远程接入用户为硬件类型用户,远程加密采用128位加密,采用全自动路由交换技术。
分中心的NG1200内网配置为192.168.11.1,接内部办公网交换机,外网线路1接ADSL,外线线路2当做一个独立网络段使用,接三层交换机,地址设置为192.168.1.1/255.255.255.0,对应的三层交换机接口为192.168.1.2,同时在三层交换机上设置路由:
目的网段10.11.186.0/255.255.255.192下一跳设置为192.168.1.1.
此外在两台NG1200上还要设置动态路由:
收费站NG1200上设置路由,目的网段10.11.185.0/255.255.255.192网关10.1.0.21(对端VPN的虚拟IP,由中心点VPN决定)
分中心NG1200上设置路由,目的网段10.11.186.0.255.255.255.192网关10.1.0.1(对段VPN的虚拟IP,由中心点VPN决定)
如果是普通的VPN远程联网,不涉及到多网段隔离,则迅博VPN会自动完成路由的寻找及增加功能,不需要人工干预,本方案涉业务网、办公网及三层交换机网络,因此在每台VPN上需要手工增加一条路由。
然后再自动生成防火墙,选择两内网网段模式,自动生成,根据安全策略需要,适当修改规则即可。
然后编译防火墙。
到此,VPN/防火墙部署全部完成。
三、具体配置指南
在实施VPN时,首先将VPN当一路由器使用,确保VPN接入互联网,这样可以通过远程配置。
然后实现点对点的VPN联网,保证VPN的连通性,然后配置动态路由,然后配置防火墙。
假设VPN已经能够接入互联网(这一步骤比较简单,具体可参考配置说明书),下面是其他步骤的配置指南:
1、VPN配置说明
收费站采用服务器模式运行,分配给收费站的VPN一个接入用户名、密码及接入权限,下面是VPN为服务器模式下的配置示意图:
用户管理界面如下,可以增加用户、删除和编辑用户:
可以查看已经增加的用户列表:
分支(分中心)配置比较简单,输入分配的用户、密码等即可:
2、业务网、办公网等接口IP配置
收费站的配置界面如下,内网接办公网:
收费站业务网接口,采用第二条外网线路,做为内网网口:
分中心办公网接口IP:
分中心和三层交换机接口IP,采用外网线路2,选择为内网模式使用:
3、动态路由配置
对一般的企业应用,路由一般不需要配置。
下面收费站的路由设置:
分中心的路由设置:
4、防火墙配置
防火墙功能很多,配置比较复杂,但如果采用全自动生成安全策略的方式就比较简单了。
迅博公司内置办公网和业务网隔离的防火墙模式,只要点一下按纽就可以自动生成了,进如防火墙(高级)-》防火墙操作,选择“自动生成:
两内网网段模式”,然后点生成配置:
然后进防火墙(基本)-》规则设置
上图中lan1表示办公网,允许其访问互联网(net),同时默认它和业务网隔离。
然后进入防火墙(高级)-》防火墙操作,点编译防火墙,即可完成所有配置
四、注意的问题
在部署VPN时,一定搞清楚对方的网络结构及需求,然后做简单的IP规划、路由规划,尤其是网络结构复杂的情况下,最好用草图标注一下,然后根据上述步骤(接入互联网、网络接口配置、VPN配置、路由配置、防火墙配置)等进行具体配置,在做好规划后,具体的配置就比较简单了,在WEB界面设置就可以了。
此外,迅博VPN还支持SSH配置界面,对高级用户来说,可以进行高级定位。
采用putty软件(其他SSH客户端也可),即可进行维护:
五、迅博VPN的其他特点
1.总部VPN网关支持多线路接入,支持透明模式,可以不改变总部网络结构。
迅博NG2000VPN服务器可以支持双线路INTERNET接入,除了实现双线outbound负载均衡功能,还可以实现外部访问的inbound负载均衡功能,具备此功能的网关产品,才能真正支持应用级的负载均衡功能,如VPN、WEB服务、EMAIL服务等。
通过NG2000支持VPN策略路由及智能调度策略,可以实现网通和电信线路的快速互通,无论分支是哪个运营商,多可以自动选择最快线路与总部的NG2000互联。
除了可以解决分支和总部之间的不同运营商互通问题,分支之间还可以利用NG2000的VPNHUB模式实现快速互通。
同时,NG2000支持透明模式VPN,可以把NG2000放到防火墙/路由器后,从而总部可以不改变任何网络结构,建立VPN远程专网。
2、客户端VPN能够支持备线,支持断线自动重连,建立更加可靠的远程网络。
迅博分支网关支持双线outbount负载均衡功能,同时支持线路备份功能,可以在一条线路出现故障的情况下自动切换到另一条线路,切换时间可以由根据需要定制,其中线路切换时间可以在几秒内完成,VPN隧道切换可以在30秒内完成。
3.各区域节点可从本地交换网络中抽取不同网段的人员组成工作组,实现异地协同办公。
对于区域接点,可以通过设置,实现直连的网状结构组网(meshnetwork),以提高网络效率。
通过适当的IP地址规划和网络设计,通过在NG2000中设置访问策略和规则,可以对整个VPN区域进行访问控制,从而组成一个独立的VPN办公区域。
这个VPN办公区域可以和VPN业务区域隔离,从而保证业务和管理数据的分流,实现网络的可管理性和可维护性。
4、可以建立直连网络,实现一些特殊的应用,如视频会议
通过建立区域接点之间的VPN网状网,可以实现对带宽要求严格的视频会议应用,同时NG2000采用高性能的嵌入式平台,128位加密吞吐率可最高达到80M/S,可以保证高带宽下的视频应用。
此外,可以利用NG2000的防火墙功能,对VPN区域重新划分,划分独立的VPN视频子区域。
下图是区域中心直连网络结构示意图:
适应于视频应用的直连网状网
5.有较好的兼容性,可以透明的接入客户网络,而无需改动客户网络。
迅博VPN网关可以多种接入方式,支持专线/ADSL/CABLEMODEM/小区宽带/写字楼宽带等接入方式,可以支持多重NAT穿透,支持ADSL断线重联以及隧道重连功能。
同时,迅博VPN支持透明模式接入,可以在不改变现有网络结构的情况下部署VPN,通过将VPN接入到现有网络的交换机下,VPN网关如同一台PC机,专门实现VPN隧道加密通讯功能,这样可以保护客户已有的设备投资,又可以提高VPN网络的可维护性和安全性。
传统上,部署VPN网络涉及多个环节,如果VPN接点很多,IP网段规划就会非常复杂,路由设置也比较麻烦。
迅博VPN全线产品均可以支持全自动路由模式,在VPN网关配置过程中可以不用关心网段和路由问题,VPN网关会自动进行协议,自动增加路由。
同时,分支VPN网关支持防ARP欺骗病毒功能,即使网络其他机器感染此病毒,也不会造成VPN掉线现象。
6.支持多种协议应用,如TCP/IP/IPX/NETBIOS等。
通过总部和分支建立远程专网,可以实现远程数据实时交换平台,支持各种标准的TCP/IP应用,如FTP、邮件、文件共享等。
同时,通过VPN自带防火墙功能,可以对VPN接入用户进行策略管理,可以实现粒度更细的应用级控制,具体可以到端口、协议、IP地址、数据方向等控制,通过对VPN访问权限进行管理,除了安全方面的控制,还可以很好的避免因为某个分支网络干扰病毒、木马而对总部网络和其他分支网络造成冲击。
7.客户端可以检测服务端运行情况,并及时产生日志、报告。
客户端VPN可以生成网络日志,实时报告外网的接入情况、VPN的隧道情况以及网络流量、连接信息等功能。
同时客户端VPN还可以产生业务传输数据日志,可以实时生成文件传输的时间、传输方向、传输大小等信息。
通过日志信息,网络管理人员可以有效的监控VPN网络运行情况和数据交换情况,同时可以做为历史记录备案。
8. 客户端有较强的身份识别能力。
为了提高远程VPN接入的安全性,迅博VPN支持多种级别的认证安全性,首先客户端采用户名/密码的认证方式,用户和密码用中心点VPN服务器来管理,同时可以设置接入类别,不同用户类别不能混合使用用户和密码;此外迅博VPN还支持USBKEY数字证书认证方式,使接入认证具有金融级的安全性。
为了提高客户数据传输过程的合法性和完整,可以在VPN平台内部对传输的文件进行SHA1/SHA2或MD5身份处理,这样可以在应用层实现数据来源的唯一性和合法性。
下图展示了从多个层次实现VPN的安全传输技术。
VPN安全传输示意图
9. 简便的配置界面,维护难度应较低并确保稳定性。
迅博VPN采用良好的WEB配置界面,采用动态生成技术,可以实现传统GUI才能实现的接口功能,通过采用动态网页和嵌入式脚本技术,使开发友好的界面成为可能,使非专业人员都可以对VPN配置操作。
六、迅博VPN功能介绍
i.功能概述
为了在当今严峻的商业环境下获取成功,任何企业都需要一个稳定、安全的本地网络和远程网络环境,以构造您的信息平台,将企业信息化实时的扩展到您业务所触及的每一个角落。
迅博VPN/防火墙产品系列,可以帮助企业和行业用户构建这样一个安全、稳定、可管理的远程私有网络,它不仅仅是一个单一的远程联网产品,而是将传统的远程联网功能提高到一个新的高度。
首先它是一款易使用、易部署的安全产品,无论是中小型企业和复杂的行业网络应用,都可以在不改变网络结构、网络设备部署的情况下建立远程专网;同时,迅博VPN/防火墙产品将传统的安全技术扩展到多个层次,无论是增强的认证技术,还是扩展到7层的包过滤技术,无论是扩展到VPN远程网络的访问控制技术,还是强大的QOS/带宽管理技术,通过使用迅博VPN安全平台,使构造易维护的、可管理的安全网络更加简单和方便。
迅博VPN/防火墙集众多高性能功能模块于一体,将使企业扩张摆脱地域限制,摆脱术细节困扰,更快速的走向成功之路。
迅博长期致力于VPN、防火墙、多线路负载均衡路由器等安全产品开发,已经自主研发和生产了多款安全产品,应用于上千个远程网络。
其中,迅博VPN主要包括硬件VPN和软件VPN两大系列。
硬件VPN主要包括NG500、NNG1200、NG2000、NG3000等系列产品,以嵌入式LINUX为基础开发,具有稳定、安全、功耗低、性价比高等特点。
这些产品中,NG500是分支机构及中小型企业中心点组网的理想选择,该产品集成防火墙、访问控制和内容过滤功能,是高性价比的VPN安全网关。
NG1200、NG2000适合中型企业做为中心点VPN使用,具有强大的VPN管理功能,NG3000内置运营管理平台,特别适合大容量客户端接入。
软件VPN系列包括VPN客户端软件、VPN分支网关软件、VPN服务器软件等版本,支持WINDOWS2000/2003/XP等WIN32平台,同时也支持LINUX平台,可以和全系列硬件VPN产品互联互通,从而为用户提供最灵活的VPN解决方案。
迅博VPN系列产品均集成企业级防火墙、支持七层过滤功能,可以轻松的对QQ/MSN/BT/P2P等应用层软件进行控制,而无需做过多的IP规则,从三层IP包过滤升级到七层应用层过滤,使部署安全网络更方便、功能更简单。
同时,IP/MAC绑定功能使局域网用户接入更加安全可靠,迅博防火墙最多可支持1000条IP/MAC绑定规则,特别适合于大型网络使用。
此外,迅博防火墙还支持QOS和带宽管理,可以为VPN隧道及VOIP等应用预带宽,保证企业关键数据应用运行。
ii.产品主要技术特点
迅博VPN主要的产品功能特点如下:
南北方电信快速互通技术:
由于电信运营商的网络瓶径,对具有跨区域分支机构的公司来说,南、北方快速互通一直是迫切的问题,迅博VPN采用多线路、隧道识别、南北方自动路由等技术,可彻底解决南、北方VPN隧道快速互通问题,使企业扩展无需为地域差带来的问题而烦恼。
透明VPN/防火墙技术:
对于网络结构复杂的大中型企业和行业用户来说,因为涉及众多的路由器、防火墙,传统的VPN网络部署方式经常需要涉及网络结构、IP地址等变化,一方面增加了维护的复杂性,同时也容易造成带宽瓶径。
使用迅博VPN透明技术,可以将硬件VPN网关/防火墙做为网络中的一台普通电脑使用,但仍然可以实现加密、隧道及防火墙功能,从而可以在不改变现有网络拓扑结构的情况下快速部署VPN。
多线路负载均衡技术:
迅博公司在多个技术层次实现了负载均衡技术,一方面可以实现多线路负载均衡,提高INTERNET接入的健壮性,另一方面也支持平台层次的负载均衡,保证在一台硬件发生故障时,所有接入隧道及应用会自动切换到备份平台。
通过使用负载均衡技术,用户既可以建立更加可靠的VPN网络,又可以建立大容量的VPN服务器。
数据分流技术:
迅博VPN网关既是一个安全加密网关,又是一个流量管理网关,用户可以在协议层次对数据进行分流、灵活控制,如走VPN隧道的数据流,走INTERNET通道的数据流,使用该技术可以实现VOIP穿透、专线桥接扩展等功能,但同时不影响正常的上网和VPN应用。
VPN隧道交换技术:
迅博VPN率先实现HUB&SPOKE技术,如果选择该功能,远程接入的VPN客户端和分支网关,无论是何网络环境,均可以通过中心点快速交换,从而提高网络的可维护性,满足VOIP/视频等特殊应用。
全自动路由技术:
对于大的行业用户及企业来说,网络结构比较复杂,一方面是接入方式复杂,即有FR/DDN专线,又有ADSL、光纤等接入方式,同时网段也比较多,通常是多网段、多子网及多服务器。
如果要实现VPN远程接入,路由设置就比较复杂,通过采用迅博VPN全自动路由技术,可以不需对路由器进行任何变化,实现接入用户安全的访问所需服务器。
七层过滤防火墙技术:
迅博VPN既支持简单的过滤防火墙,又支持企业级防火墙,实现区域、策略、接口、规则、黑名单、IP-MAC绑定等定义和管理;同时采用领先的七层过滤技术,在应用层对QQ、MSN、BT等应用进行控制和管理,实现三层防火墙无法完成的功能。
安全平台技术:
迅博VPN、防火墙采用平台化技术开发,既支持WIN32、LINUX、FREEBSD、VXWORKS等操作系统平台,又支持ARM、MIPS、POWERPC、X86等CPU架构,平台化的开发方式,可以为用户提供更快、性价比更高的安全产品。
iii.主要组网结构
组网结构与企业的应用模式密切相关。
一般的企业都是一个总部带多个分支或移动客户端,要求分支和移动客户端能够访问总部网络,同时总部也可以访问分支和移动客户端的网络。
这种网络结构属于星型结构。
对于比较大的企业和行业用户来说,可能多级组织结构,即总部—分公司—办事处,要求分公司即可以访问总部网络,又可以访问办事处网络,这种网络属于三级网络结构。
对于特殊应用需求的用户来说,可能还要求各分支机构之间的网络也可以互通,如实现VOIP/视频会议等应用。
这种网络结构属于网状结构。
迅博NG500及以上档次的硬件产品都支持上述三种组网结构。
为了实现上述这些组网结构,迅博VPN产品支持三种工作模式:
服务器模式、分支模式以及网状模式,对应不同组网结模式。
下面是迅博VPN产品典型的组网特点示意图:
透明模式VPN组网结构:
上图中,迅博VPN工作在透明模式,可以不改变现有网络拓扑结构、不做任何IP地址变化的情况实现快速远程联网,同时可以极大的增加网络的可维护性和安全性。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 迅博 VPN 应用 方案 配置 实例 业务 公网 分离