VPN是利用公共网络来构建的私有专用网络。 点击:1552 | 回复:4
发表于:2007-07-12 16:55:00
楼主
深圳市侨峰科技有限公司
联系人:陈工
电话:13424182635
欢迎来电咨询。
随着业务的发展,移动办公用户通过Internet远程接入企业内网VPN的需求日益明显。本文提供的方案为员工访问企业内部局域网提供了方便和安全的接入方法。该方案的特点是系统管理集成化、技术标准国际化,系统兼容性好,接入响应速度快。该方案主要由两大部分组成,一为接入系统,二为认证系统。该方案采用目前通行的设计思路,接入方式为IPSECVPN,采用动态密钥的身份认证,使用防火墙策略,可以保证移动用户接入企业内部网数据在传输上的安全。
一、远程VPN系统设计应满足的标准
远程VPN系统设计应满足的标准是网络在安全性、网络性能优化、VPN可管理性方面有良的好表现。
1.安全性
VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。VPN的安全性包含以下几个特征。
(1)隧道与加密:隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
(2)数据验证:在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。
(3)用户验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义。
(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,产生非法访问记录。
2.网络优化
构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
二层和三层的QoS一般具有以下功能。
(1)流分类:根据不同的用户、应用、服务器或URL地址等对数据流进行分类,然后才可以在不同的数据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的手段之一。
(2)流量整形与监管:流量整形是指根据数据流的优先级,在流量高峰时先尽量保证优先级高的数据流的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。
(3)拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张,进而提高网络的总体流量。
3.VPN管理
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标包括以下方面。
(1)减小网络风险:从传统的专线网络扩展到公用网络基础设施上,VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时,还要确保公司数据资源的完整性。
(2)扩展性:VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。
(3)经济性:保证VPN管理扩展性的同时不应过多地增加操作和维护成本。
(4)可靠性:VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故VPN可靠而稳定地运行是VPN管理必需考虑的问题。
(5)VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。
侨峰QF-M266 VPN基于侨峰安全操作系统Nova-Linux,并使用了侨峰科技多年来在VPN信息安全领域的研发成果。该系列产品在安全性、稳定性和易用性方面尤为突出。同时,侨峰QF-M266VPN产品得到了国内许多大客户(亿阳信通、中科安胜、联想网御等)的认可,并在许多行业得到应用。
产品功能
※ 网络支持
Ø 支持扩展拨号接口(外接MODEM或内置MODEM),适用于动态IP网络;
Ø 支持路由、透明、主机;
Ø 支持NAT穿透(单边NAT和双边NAT);
Ø 支持DDNS技术;
※ 产品特性
Ø 可与Cisco,Netscreen等主流VPN中心节点无缝集成;
Ø 安全强度高,采用对称和非对称加密算法相结合的技术。支持64bit、128bit对称加密算法,1024bit、2048bit非对称加密算法;
Ø 采用集中的、自动的策略管理与分发;
Ø 采用稳定可靠的操作系统,保证了自身的安全性;
Ø 模块化结构设计,可扩展性好,方便用户定制与升级;
Ø 遵循标准的IPSec、X.509和IKE密钥协商协议,实现了对上层应用的透明性和方便可靠的密钥管理;
Ø &nb
联系人:陈工
电话:13424182635
欢迎来电咨询。
随着业务的发展,移动办公用户通过Internet远程接入企业内网VPN的需求日益明显。本文提供的方案为员工访问企业内部局域网提供了方便和安全的接入方法。该方案的特点是系统管理集成化、技术标准国际化,系统兼容性好,接入响应速度快。该方案主要由两大部分组成,一为接入系统,二为认证系统。该方案采用目前通行的设计思路,接入方式为IPSECVPN,采用动态密钥的身份认证,使用防火墙策略,可以保证移动用户接入企业内部网数据在传输上的安全。
一、远程VPN系统设计应满足的标准
远程VPN系统设计应满足的标准是网络在安全性、网络性能优化、VPN可管理性方面有良的好表现。
1.安全性
VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。VPN的安全性包含以下几个特征。
(1)隧道与加密:隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
(2)数据验证:在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。
(3)用户验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义。
(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,产生非法访问记录。
2.网络优化
构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
二层和三层的QoS一般具有以下功能。
(1)流分类:根据不同的用户、应用、服务器或URL地址等对数据流进行分类,然后才可以在不同的数据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的手段之一。
(2)流量整形与监管:流量整形是指根据数据流的优先级,在流量高峰时先尽量保证优先级高的数据流的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。
(3)拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张,进而提高网络的总体流量。
3.VPN管理
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标包括以下方面。
(1)减小网络风险:从传统的专线网络扩展到公用网络基础设施上,VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时,还要确保公司数据资源的完整性。
(2)扩展性:VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。
(3)经济性:保证VPN管理扩展性的同时不应过多地增加操作和维护成本。
(4)可靠性:VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故VPN可靠而稳定地运行是VPN管理必需考虑的问题。
(5)VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。
侨峰QF-M266 VPN基于侨峰安全操作系统Nova-Linux,并使用了侨峰科技多年来在VPN信息安全领域的研发成果。该系列产品在安全性、稳定性和易用性方面尤为突出。同时,侨峰QF-M266VPN产品得到了国内许多大客户(亿阳信通、中科安胜、联想网御等)的认可,并在许多行业得到应用。
产品功能
※ 网络支持
Ø 支持扩展拨号接口(外接MODEM或内置MODEM),适用于动态IP网络;
Ø 支持路由、透明、主机;
Ø 支持NAT穿透(单边NAT和双边NAT);
Ø 支持DDNS技术;
※ 产品特性
Ø 可与Cisco,Netscreen等主流VPN中心节点无缝集成;
Ø 安全强度高,采用对称和非对称加密算法相结合的技术。支持64bit、128bit对称加密算法,1024bit、2048bit非对称加密算法;
Ø 采用集中的、自动的策略管理与分发;
Ø 采用稳定可靠的操作系统,保证了自身的安全性;
Ø 模块化结构设计,可扩展性好,方便用户定制与升级;
Ø 遵循标准的IPSec、X.509和IKE密钥协商协议,实现了对上层应用的透明性和方便可靠的密钥管理;
Ø &nb
发表于:2007-08-15 15:27:00
1楼
中小型企业互联方案
随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多。传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。由于种种原因,稍具规模的企业都不只一个办公场所,而是有总部、分公司、办事处、工厂或仓库等多个业务点。企业的应用系统(ERP、文件传输、内部实时邮件等)如何扩展到远程分支机构就成了众多企业的一个难题!
总部与分公司、工厂与写字楼、生产车间与仓库、生产工厂与销售部、分厂与总厂之间距离不一定很远,有时也只有几百公里,甚至几百米,可是用局域网的方法已经无法解决问题了。另外,用传统的 DDN、帧中继等方式来构建企业远程专网需要的成本很高!现在,侨峰VPN系列产品轻松帮您组建远程专用网络系统,加速信息流、资金流、物流的传递,降低运营成本。现以某公司的应用为例说明使用侨峰VPN组建企业远程专网。
用户需求
客户有两个工厂、一个销售部分别位于三个不同的地方,中间相距有几十公里远。客户有一套ERP系统,现只能在工厂甲处用,将来希望两个工厂可以共用这套系统以提高管理的水平和效益。作为公司在市场方面的前沿阵地的销售部希望可以随时查看公司的生产及库存状况,以便安排客户的订单和通知发货时间。最后,公司的高层或工作人员在出差时也希望可以查看公司的情况!
公司网络现状
两个工厂和销售部采用中国电信的普通拨号ADSL,全是动态IP上网,领导或员工出差时可以通过无线上网卡拨号上网。
实施方案
因为两个工厂要用同一个ERP软件,有时可能还有一些共享文档需要通过VPN传输,所以在每个工厂装一套qf VPN网关,这样两个局域网之间就可以互连互通了,就完全像在同一个局域网内了;销售部可以根据业务的需要选择安装qf VPN网关还是移动客户端,移动用户安装qf VPN移动客户端软件就可以了。
实施效果
这样两个工厂、销售部、移动用户在VPN搭建的虚拟专网上,可以进行局域网内允许的任何操作,公司的所有人都可以远程协同办公。效果图如下:
热门招聘
相关主题
- 西门子dpc31的开发包
[1870] - 现场总线应用实例(二)--智能...[3760]
- P-NET系列讲座(五):多网结构...[1866]
- RS485组网时应选何种双绞线?[1379]
- 关于工控论坛1[2636]
- 有需要WAGO得PROIBUS-DP GSD...[2225]
- 请问现场总现在电站自动化中...[1516]
- 现场总线控制系统分析[14865]
- P-NET系列讲座(八):第8层-信...[1824]
- 高效逻辑环[1599]
官方公众号
智造工程师
-
客服
-
小程序
-
公众号
工控网智造工程师好文精选
