随着技术的进步,许多有异地分支机构的公司和企事业单位都需要建立跨地区的内部网络,每家公司的分支机构的分布也越来越广,公司各分支机构之间为了共享商业资料,需要各分支机构之间在保证资料存储和传输安全的前提下共享资料,并且解决方案要尽可能的减少投入,同时也要降低后续维护的成本。
项目建设背景
企业VPN联网的目的是,以公司总部为中心点,并已成立省级分公司30个,同时各省级分公司下属地市级办事处若干。现各分支机构均已建成各种规模的具有不同Internet接入方式的独立局域网络。现需要各分公司和办事处机构通过NASI系列VPN防火墙产品建立虚拟私有网络和公司总部交换大量的业务数据,同时要保证数据的安全性,既防止数据不在网络上被恶意的窃取和篡改。
具体项目实施
通过Internet公共网络通讯的数据容易遭受恶意的攻击,为保证数据通信的安全性,我们提供基于VPN的网络联接方案和NASI品牌VPN设备!考量各方面的因素,以及分支机构的网络规模不同,我们将整个VPN网络划分为二个不同的分布式VPN网络连接构成。既省级分公司同总公司建立一级VPN网络连接,省级分公司同下属地市级分公司建立独立的二级VPN网络连接。方案中总公司做为数据的集中点,为保证其连接速度和连接响应时间,选用NASI 防火墙BV-700或BV-703 作为VPN 的SERVER端接入服务器,并利用其高性能的防火墙功能建立更安全的内部网络。在省级分公司采用NASI BV-603(规模中等级别)或NASI BV-601(规模小型级别)做为第一级VPN联接的CLIENT端,同总公司建立VPN连接;同时做为第二级VPN联接的SERVER端。对于地市级的分支机构,采用NASI NS-1000做做为第二级VPN联接的CLIENT端,同上属的省级分公司建立VPN连接。对于Internet直接接入的单个用户,比如出差在外的公司员工,可采用Windows操作系统自带的VPN拨号终端,通过PPTP或IPSec的隧道协议直接连接到总公司或省级分公司。
企业VPN联网建设方案最终解决方案。(具体如下图所示)
方案项目特点
1、NASI BV-703/BV-700/BV-603/BV-601为硬件防火墙可增加网络安全,其具备IPSec的VPN协议。
2、NASI NS-1000虽然是VPN路由器,但其具备软件防火墙SPI(状态数据包检测防火墙),以及可以防御DoS的网络攻击!而且具备168位IPSec的VPN协议。
3、IPSec(IP Security)的VPN协议是现在公认的安全性能最高的VPN协议。其属于第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
4、NASI NS-1000具备VPN隧道自动拨接功能,开机自动拨通Internet之后,会自动拨接VPN的服务器端,无须大量的网络维护工作。
NASI产品特点
1、 NASI BV-703 采用VIA 1G CPU、16M FLASH、128M内存,提供频宽管理、权限管制,日志记录、可同时连接300个VPN隧道、流量统计、动态域名解析、网站过滤等
2、 NASI BV-601 采用WAVEPLUS MIPS CPU、16M FLASH、32M内存,提供频宽管理、权限管制,日志记录、可同时连接70个VPN隧道、流量统计、动态域名解析、网站过滤等
3、 NASI NS-1000 采用ARM-9 144MHz CPU、8M FLASH、16M内存,提供权限管制,日志记录、可同时连接5个VPN隧道、动态域名解析、网站过滤等
项目实施效果评估
这里提出的解决方案采用的都是NASI硬件式VPN产品。VPN 的资料均需在加密之后,才由公众网络传送至接收端,再由接收端设备加以解密。故每一个封包在整个传输过程中都经过加密、解密一次,而加密、解密均是相当消耗 VPN 设备运算能力的工作。硬件式的 VPN 产品将加密、解密的钥匙储存于内存中,故较不易被损坏,同时加密解密的速度较快,其运作效能一定比软件 VPN 产品有较好的效果,同时软件式的 VPN 产品通常较难以管理。
通过以上分析,我们发现采用这样的VPN网络拓扑结构,来实现分布网络之间的互联,作到信息资源的共享是完全可以替代以往的租用昂贵专用数字线路的方式。因此,这种安全可靠、费用低廉的VPN方案是值得每一个有需要虚拟私有网络联网的客户所采用。
