设计思路
系统的可用性设计需考虑:选择合适的接入方式。SSL VPN设备通常以并联的方式接入网络,对网络结构不会产生影响。IPSEC VPN存在两种方式——串联,设备串在网络中,网络流量贯穿其中,设备故障将导致传输中断;并联,旁路方式接入网络,对网络结构不产生影响。因此,尽可能选择并联接入方式,避免对网络结构的影响。
选择便于扩展的设备及结构:VPN设备因性能问题都存在接入数量的限制,IPSECV PN 限制隧道数和移动用户接入数;SSLVPN限制用户接入数量。选择设备时,须考虑设备的扩展性,同时选择便于扩展的网络结构,并联方式不影响网络结构便于扩展。选择多种VPN技术以适应情况变化:IPSEC VPN
为网络层加密隧道,属全网接入方式,分支局域网通过网络建立隧道,或者用户通过移动客户端接入后,能够对内网的网络资源进行访问,不受业务提供方式限制。在某些用户没有移动客户端的情况下,SSL VPN凸显了不需要安装客户端的特点。因此,最好的方式是以IPSEC VPN接入为主,SSL VPN为辅。集中友好的管理方式:VPN设备使用时,证书管理、隧道管理和客户端分发是一件繁重的管理任务,强大的集中管理控制功能将大幅度减少管理工作量,提高系统的可用性。
系统的安全性设计需考虑:VPN设备实现身份认证和访问授权。为保证是合法用户的合法接入,并且只能访问授权内的办公资源用户进行身份认证和访问授权,I P S ECVPN 和SSL VPN技术都采用安全加密技术和身份认证技术保障数据的加密传输。
CleanVPN技术实现通信内容安全:选择具有防火墙、防病毒和内容过滤等功能的VPN网关,并且各功能相互融合, VPN数据进行检查从而拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全。
方案设计根据以上分析,推荐使用天融信VONE系列,该设备集IPSEC VPN、SSL VPN、防火墙、病毒过滤和认证功能为一体。该系列产品具有配套的集中管理软件策略统一管理系统TopPolicy,通过该管理软件实现证书、证书和客户端的集中管理和控制。
设备部署
●VPN网关设备部署:如图1所示,VPN网关设备并联部署在公司总部、各分支机构的防火墙之上。
●VPN客户端部署:在每台移动办公设备上统一安装客户端软件。
●VPN集中管理软件:TopPolicy分为服务器、管理控制器和数据库三部分,部署在公司总部安全服务器区的服务器上。
|
服 务 CIO 推 进 信 息 化 
