总公司通过VPN与分公司连接方案 下载本文

总公司通过VPN与分公司连接方案

(以下文中所提及设备仅供参考)

项目建设需求

总公司与各分公司、旗舰店和移动VPN用户的连接是通过Internet采用VPN(VPN名词注解:虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。

在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。)方式进行连接,为保证内网的安全,需要使用具有VPN方式的防火墙,

满足各分公司、旗舰店和移动VPN用户连接到办公网的需求。要保护整个网络免受病毒、垃圾邮件和其他不适宜内容的侵扰,以保证办公网的网络安全。

华为SecPath 防火墙/VPN组网方案

方案说明

根据总公司信息平台建设的要求,我们配置了1台华为的高端安全网关SecPath 1000作为总公司的中心端设备、多台百兆安全网关SecPath 100F作为各分公司、旗舰店和移动VPN用户与总公司中心互联设备。

移动用户客户计算机安装VPN移动客户端软件SecPoint,另外可以配置SecKey USB Key存储用户端配置信息、用户数字证书以及用户名密码等信息,实现移动用户即插即用接入总公司信息中心内部局域网;

在本方案中配置的SecPath防火墙与VPN网关系统是一个基于自主版权的安全操作系统平台,是防火墙与VPN网关的集成产品,能够实现移动用户、局机关、区县局与省中心网络数据传输之间的加密、认证功能。

SecPath防火墙&VPN网关系统除具有强大的防火墙功能之外,作为众多移动用户的接入的VPN网关服务器端,它本身具有以下显著的特点:

高可用性

支持多种VPN业务,如IPSec VPN、L2TP VPN、GRE VPN、华为动态VPN等等,可以针对客户需求通过拨号、租用线、LAN等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。安全网关支持完备的加密解决方案,通过加密芯片,实现线速IPSec性能。

高易用性(集中管理/策略自动下发)

VPN Manger(QuidView组件)是VPN网络的控制管理部件,可以对VPN网关设备进行集中管理和控制。管理员可以在VPN隧道上操纵各个VPN网关:IPSEC策略的设置,监控隧道状态信息,远程调整隧道的建立。根据企业的实际需求制定全局策略,保证VPN网关隧道连接的可靠性和安全性。通过VPN Manager管理员可以进行全网VPN设备的部署和设置,同时可以通过实时监控对链路进行调整。真正实现VPN网络的Easy Manage。

图1. VPN Manager示例

另外,华为3ComBIMS(QuidView组件)智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。BIMS管理中心和被管理的设备通过定期通信完成设备的管理,管理协议可穿透防火墙,而且简单、易扩展。设备主动访问BIMS管理中心时,上报设备当前的配置文件、设备软件的特征信息,由BIMS管理中心来判断是否需要对设备进行更新,更新规则体现了该解决方案的智能性和易于管理的特点。

BIMS可以解决对获取的是动态IP地址或NAT网关后面的设备的集中管理,尤其是在对业务应用基本相同、数量庞大并且分布广泛的接入VPN网络终端设备进行管理时,该系统会极大提高管理的效率,大大节约管理成本,管理界面直观友好,维护简单方便。