VPN项目解决方案模板.doc

宝安鸿基地产集团股份 VPN解决方案 网康科技目 录 第一章 地产行业需求分析31.1 背景31.2 需要达到的目标41.3 为什么选用VPN联网方式4第二章 ASG VPN解决方案72.1 网络拓扑图72.2方案说明72.3 方案特点82.4 方案优势8第三章 产品优势103.1安全性高103.2全面的SSL VPN解决方案113.3使用简单、方便113.4专用技术提高终端用户资源访问速度113.5详尽的统计功能113.6访问统计图标123.7分级管理功能143.8堆叠式的负载均衡153.9容灾153.10高扩展性15311 线路冗余16第四章产品报价1741 产品报价1742 设备选型及介绍1843 设备参数1844 ASG VPN5400产品图片19第五章售后服务说明20文档说明编写日期2012.05.17版本1.0阅读对象鸿基地产集团网络系统管理者方案概要通过建立VPN设备互联，达到远程访问与各分支互联目的第一章 地产行业需求分析1.1 背景宝安鸿基地产集团股份（以下简称“宝安鸿基集团”），前身为宝安县所属集体所有制性质的搬运装卸运输企业，成立于1950年。1989年8月经市政府批准改组为部股份公司；1993年12月又经市政府报省、国家相关部门批准，改组为公开向社会发行股票的股份。1994年2月经中国证监会批准向社会公众发行股票，同年8月在交易所上市（原股票名：深鸿基，现股票名：宝安地产，股票代码：000040），是国老牌上市企业。2010年末总股本为4.69亿股，总资产逾28.32亿元。2009年6月，集团公司股权结构进行了重大调整，中国宝安集团股份（中国宝安，股票代码：000009）全资企业中国宝安集团控股成为集团公司第一大股东，对宝安鸿基集团的快速发展给予了强有力的支撑。宝安鸿基新一届董事局和经营班子组成后，确立了“加快推进产业结构调整，着力打造集团型地产上市公司”的发展战略，一年多来，通过产业结构、资产结构、人员结构、组织结构、业务架构等一系列调整，已转型为专业房地产上市公司，并制定了房地产业务中长期发展规划，大力开发新项目，积极储备土地资源，力争在不远的将来集团公司部分重要经营指标进入国房地产上市公司前列。宝安鸿基在国成立了多家区域性的房地产开发公司，已开发的 “江南系列”、“汉唐系列”、“现代宜居系列”等住宅产品，在业界享有较高的知名度和美誉度，其中“鸿翠苑”项目获得市优质工程“金牛奖”，宝安地产以“匠心筑造生活”的理念和强大的品牌影响力，赢得客户的追捧和好评。宝安鸿基地产集团是以地产旅游为核心业务的专业化公司。在*分公司等中心城市，已形成高星级商务地产群；在、峨嵋、九寨、北戴河等重点风景名胜，已拥有自己的旅游度假山庄和疗养院。可为各类会议、商务活动、出国考察、旅游、培训、疗养、度假等提供各种服务平台鸿基地产投资的物业和开发楼盘。如何将各地地产业务网络连网，将各个地产所用的业务系统整合起来，以使得相应的客户信息管理与维护、地产日常收支管理、各类业务应用系统可以安全、整合地管理；使相应的客户信息、财务信息可以方便查询，以便地产可以更方便地接待客户并提供满意服务；而且，各地地产如何接入总部系统与资源库，总部与各地地产、各地地产如何沟通这些都是鸿基地产集团希望解决的问题。为了实现地产整合管理与高效沟通，鸿基地产集团计划部署一整套的网络互联解决方案，将各个分支地产与总部网络互联，以实现各地产业务系统的整合管理与高效沟通。目前，鸿基地产集团总部部署IDC机房，设有Database，Application，Windows Server，Unix sever现有和将来VPN将服务的应用。以及公司等众多服务器，集团希望能够利用强大的软硬件系统，实现网络的高稳定性、可管理性、可扩展性。1.2 需要达到的目标鸿基地产集团本次网络建设的目标，主要是为了实现现有网络情况下的总部与分支地产的互联。集团的重点需求集中在建成后网络的稳定性上，要求所构建的网络必须保证足够的稳定性来支撑鸿基地产集团的运营业务。同时，集团对于网络的稳定性要求从诸多方面得到体现，这样就能保证网络在某一方面出现问题时，集团也能利用其他技术手段来支持网络连接的稳定性。在满足了稳定性的同时，集团对整个网络的安全性、可操控性也提出了要求。集团要总部对下属的各分支地产进行接入互联，以实现他们与总部的互联；并且要充分的保证网络的稳定性，这样就能保证在线路不稳定的情况下也能保证网络数据的正常传输，为业务的正常运营提供保证。1.3 为什么选用VPN联网方式需要考虑的问题通过以上的要求，我们分析需要考虑的主要问题如下：A、在各种组网方式中进行选择。进行异地网络互联，有四种方式。一是专线互连（如DDN、FR或ATM连接）；二是远程拨号接入；三是直接利用Internet构筑起本公司的Intranet或Extranet；四是依赖于目前高速发展的Internet组建的VPN网络。其他的如微波，WLAN等方式在全省以及全国围的需求下不做考虑。B、必须考虑整个方案的安全性和稳定性、可管理性和可维护性，以及能够满足未来网络发展的需要。比如要考虑以后的IP语音与视频会议系统，这需要全网或者一个大区域的互联互通。C、要考虑网络建设容易程度与建成后的维护容易程度。VPN的优势在上面的几种选择方式中如果投入资金允许并且对稳定性和可靠性要求非常高的情况下，可考虑专线互连的方式。远程拨号接入方式的特点是前期投入较少，只需要在公司总部和分公司等地安装拨号接入服务器，并且使用比较简单。但此种互联方式的弱点是速度慢（拨号最高只可达56Kbps），稳定性差，长时间使用必定带来高昂的长途费用。在现代信息化系统要求带宽和稳定性都较高的情况下，远程拨号接入方式不可取。直接利用Internet构筑起本公司的Intranet或Extranet， Internet迅速发展无所不在以及诱人的低价位，的确令众多厂商开始采用这种办法，但是直接利用Internet只能进行WEB、E-MAIL等有限的应用，并且Internet天生的开放性使安全性又成了问题，公司的数据一旦在Internet传输，若没有安全性保障，其后果可想而知。VPN是多种联网方式中最好的选择，那么VPN究竟有什么优势呢，它是不是能够解决企业考虑的问题？VPN是计算机网络的新技术，它将使Internet成为一种商业工具，并为Intranet和Extranet的应用带来良好的前景。具体而言，VPN具有以下显著的优点：1安全性高企业通过公网实现跨地域的系统互联必然面临安全问题。用VPN构建网络具备相当高的安全性，主要有如下几点安全要素：保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。 保证通道的性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。2降低成本当使用Internet时，实际上只需要付短途费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费，此外，VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。3容易扩展支持多种接入实现方式，并且网络是动态的，可以随时增减用户，便于集中控制访问权限。如果想扩大VPN的容量和覆盖围，做的事情很少，而且能立时实现：只需与新的ISP签约，建立；或者与原有的ISP重签合约，扩大服务围。4完全控制主动权VPN使企业可以使用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。VPN组网技术与专线组网技术相比，优点是节省用户的通信费用，方便用户网络互联和灵活扩充，并且提高企业网络的可管理性；缺点是稳定性可靠性不如专线网络。以上几个优点是市面上的VPN都具有的，但是单单具有上面这些特点的VPN还是不能解决企业考虑的问题。我国互联网这几年发展迅速，特别是骨干网建设已经走在世界的前列。用户端的互联网接入技术，如ADSL、Cable或者是以太网都已经非常稳定可靠。但是，为什么在国外已经很普及的VPN的应用在国还没有大规模的使用呢？究其原因，最根本的就是VPN这种技术还没有深入人心，并且传统的VPN设备使用复杂，需要专门的技术人员来实施。综合考虑以上情况，在网络组建前期必须进行详尽的调查与测试，寻找一种适合组建大规模VPN网络的，专业智能的，“傻瓜式”的VPN产品来组建此通信网络。在方案中必须要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有很多VPN产品，那么究竟那一种VPN产品才是企业最好的选择呢？针对企业上面的需求，采用网康科技的ASG VPN解决方案正是一种非常好的解决方案。第二章 应用安全网关VPN解决方案2.1 网络拓扑图图一 VPN网络示意图2.2方案说明鸿基地产集团网络规模较大，分支地产都需要跟它通信，进行数据交换，这样就对稳定性要求更高，接入带宽要求更大，所以建议在总部使用ASG鸿基鸿基型号 设备。使用10M的上网专线接入Internet。因为需要对外提供访问服务，所以使用一个固定的公网IP地址。ASG鸿基鸿基是具有高性能的VPN接入设备（中心点的终端设备），提供作为智能接入终端的所有功能，如高性能的防火墙，移动客户端接入服务，带宽管理，流量监控,统计汇总等。分支地产所处网络规模相对于专网接入中心点来说规模较小，仅仅需要接入总部ASG鸿基鸿基设备。所以，根据规模大小，建议使用在各分支地产采用ASG鸿基鸿基终端设备，可采用上网专线接入和ADSL接入，不要求有固定的公网IP地址。2.3 方案特点ASG VPN系列设备在部署以后，可以达到以下效果：Ø 安全性高，ASG VPN设备不但提供了构建IPSec VPN + SSL VPN 高安全性，同时提供企业级的防火墙功能，用户安全策略，数据加密技术最大限度提高用户数据安全性；Ø 扩展性好，通过ASG VPN构建企业VPN的解决方案本身的灵活性，为企业以后网络的扩展提供很大的伸缩可能，企业可以根据自身的情况任意灵活的扩展；Ø 实施周期短，只需简单的配置就可以达到整个集团网络互联的目的；Ø 管理维护简单，既有简单友好的WEB配置界面，也有实时的日志功能，方便系统管理员的维护和管理2.4 方案优势a、降低企业日常工作成本根据Strategic Network指出，组建企业Intranet VPN网络和拨号VPN网络相比可以节省高达60%的日常成本，这个成本包括日常的维护和设备损耗的成本。拨号VPN网络要求应用VPN服务器需要进行拨号和应用访问双重负载，当拨号用户增多时，对企业中心网络的维护和设备损耗是极大的考验，并且大大提高了网络单点故障率。而采用ASG VPN设备之后，就不再需要VPN服务器了，而是在总部和分支地产的APN设备之间建立一条虚拟专线（俗称：隧道），这样总部的局域网和分支地产的局域网就连在一起了，组成了一个更大的局域网，而且他们之间的访问是可以通过安全策略进行控制的，管理起来很方便。b、降低设备购买成本ASG VPN设备主要以VPN组网为主要功能，基于Intel NP高性能处理器为硬件架构。同时本身集成其他网络功能和服务。1台ASG VPN = 1台专业高性能网络防火墙+SSL VPN网关 + IPSec VPN网关，每个节点只需要一台ASG VPN设备就能担任3台专业网络设备的工作量，设备整合效率提高75%，如果考虑设备成本，单独购买和分别购买相比，节约网络整体成本90%以上。c、降低企业管理和网络维护成本ASG VPN设备提高良好的人机管理界面和功能，让企业在日常IT管理维护中节省可观的部管理和支持成本，而且网康科技提供24小时全年无休的服务与支持，有技术经验丰富的人员快速解决企业IT故障问题。通过ASG VPN设备构建起来的VPN专网中能够很容易实施OA、ERP、CRM等软件应用并进行远程互联，这将极大提高企业的工作效率，给企业带来无尽的效益。通过ASG VPN对分支地产网络流量可以进行分流，可以将一条线路专门用来上网，另一条线路专门用来在总部和分公司之间传输数据，这样既安全又通畅。由于是网对网的连接，所以不再需要那么多的和密码，只要给出差人员等不定点的用户分配就可以了，方便管理。采用ASG VPNN设备，与经销商的网络互联也非常方便、安全，接入简单，也可以对其进行严格的访问控制。d、提高企业数据远程传输安全稳定性ASG VPN设备采用的是最安全的IPSecSSL协议，通过该协议传输的数据是经过严格加密的，几乎不可能破解，这样数据在网络上传输的时候即使被黑客查看到也是乱码，而且可以VPN可以保证数据的完整性，就算黑客查看到也不可能进行修改。e、提高企业网安全性如果集团部IT服务通过网络出口直接向Internet开放，将带来很大的安全隐患。由于数据采用明文方式传输，而且缺乏严格的身份认证措施，集团部重要数据（如财务等）一旦被不怀好意之人侦听，危害不言而喻。采用ASG VPN解决方案后，可以杜绝IT应用发布环节上的安全隐患。而且ASG VPN只需对外开放一个443端口，隐藏部的服务区结构，并可对远程访问设置更高的权限粒度，实现更高的安全性。通过APN的防火墙对网单机进行全面安全防护，减少部漏洞，得以全面防病毒及木马入侵，可以降低由此带来的资料损失，硬件破坏等，以中等规模机构而言，可以降低由此带来的损失达1050万/年。第三章 产品优势我们相信，只有专业才能造就品质。网康科技的SSL VPN+IPsec系列产品远程访问系统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统，和商业VPN远程访问系统比较，我们的技术优势包括：3.1安全性高ASG VPN系统从加强对用户身份的鉴别和审计，对用户分组设置访问权限，以及访问行为进行管理和自动监控等方面同时入手，确保数据的性和安全性。n用户鉴别。除了使用用户名口令方式进行用户认证，ASG VPN系统可以强制要求客户端使用数字证书来完成认证，同时数字证书与用户所使用的计算机绑定，用户的一个账号只能在某一台计算机上使用，实现用户的双因素认证，大大强化了认证强度和减少账号的出借外泄。ASG VPN远程访问系统支持的用户鉴别机制包括：Ø ²本地用户名、密码认证Ø ²数字证书Ø ²LDAP认证Ø ²CALIS认证Ø ²RADIUS认证Ø ²硬件UKEY认证Ø ²Token认证n可以基于用户组在网关和客户端设置两级访问策略限制并强制执行，规用户的访问容，彻底避免用户客户机的二次代理问题。n用户行为控制。ASG VPN系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动作的管理。如防止用户长时间登录到ASG VPN系统但不发生访问行为，浪费并发用户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户方可正常使用。3.2全面的SSL VPN解决方案ASG VPN远程访问系统无论是远程接入还是节点互联，全部使用基于SSL协议的VPN技术，这样无论从使用和管理上都实现了最大的安全化，以及简单最大化。3.3使用简单、方便传统的远程访问设备，如果在政府与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技ASG VPN远程访问系统采用专有的网络技术，可以灵活的部署于政府部的任何位置，实现透明接入，不需要对政府的部网络设备做任何的更改配置即可实现远程接入功能。位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASG VPN远程访问系统充分考虑到了这点，无论是利用浏览器还是利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN远程访问系统能够通过以下网络接入方式来提供访问。Ø ²各种宽带连接Ø ²各种拨号连接，ADSL,PSTN,ISDN等等Ø ²各种无线连接，GPRS，CDMA等等Ø ²各种NAT环境，无需额外设置Ø ²通过代理服务器访问3.4专用技术提高终端用户资源访问速度ASG VPN远程访问系统通过两种方式来提高终端客户访问下载的速度。第一种方式是通过采用ZLIB压缩格式来压缩传输的数据以提高传输速率。第二种方式是通过采用TCP/UDP传输协议的最优化切换技术，该技术自动检测UDP通道的可用性以及性能状态，如果UDP通道可用并且性能良好，则优先使用UDP隧道进行数据的传送，否则自动切换TCP隧道进行数据的传送，在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。3.5详尽的统计功能ASG VPN远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。用户审核管理模块主要功能：Ø n现场注册Ø n用户信息比对和审核Ø n用户信息开户和登记表打印Ø n用户开通信息EMAIL通知Ø n用户管理Ø ²排序Ø ²查询Ø ²挂起激活Ø ²销户Ø ²有效期操作Ø n操作员管理Ø n用户信息同步3.6访问统计图标注册统计模块是网康科技针对于图书馆定制研发，行业中独有的，具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。例如：Ø n用户自定义注册Ø n管理员通过后台手动审核注册用户Ø n根据定义策略系统自动审核注册用户Ø n详细的登录日志（如图） n强大的图表功能 （如图） 3.7分级管理功能ASG VPN远程访问系统提供分级管理功能，通过运用分级管理，管理人员能够根据人员分配和管理的情况，分别分配不同的管理权限。ASG VPN远程访问系统分级管理功能如下：Ø n添加系统管理员Ø n用户申请Ø n审核用户Ø n管理用户Ø n到期用户管理Ø n客户端总流量Ø n用户登陆统计Ø n用户登陆明细Ø nNAT流量统计Ø n电子资源访问统计Ø n在线用户Ø n证书管理Ø n系统日志3.8堆叠式的负载均衡ASG VPN远程访问系统的负载均衡功能采用独创的堆叠式负载均衡，该负载均衡不需要额外的负载均衡设备，能够实现即插即用，无限堆叠。无需额外的系统和网络配置。能够满足系统无缝扩展的需求。3.9容灾ASG VPN远程访问系统提供高可靠性功能，避免了设备单点失败故障的发生，能够为总部的电子资源提供可靠稳定的远程访问。当采用容灾设备时，在主网关没有发生故障时，设备采用负载均衡功能，当主网关发生故障时，备份网关自动切换成为主网关。既减轻了单台远程访问设备的负载量，也提供了容灾。3.10高扩展性ASG VPN远程访问系统具有极高的可扩展性，充分保证了用户的现有投资。用户可以针对未来的使用需求进行灵活的产品扩展：n增加并发用户，无需更换硬件设施n增加负载均衡功能，无需添加任何模块n增加高可用性功能，无需添加任何模块综上所述，我们可以了解到ASG VPN系统不仅是一个VPN，而是一个专门为大型企业和政府部门以及其分支机构定制的以SSL VPNIPsec为核心的访问控制系统，是一个有效的电子资源的访问和管理工具。通过我们与众多使用单位的技术人员和管理人员交流、讨论，以及实际中的测试和使用，设计上充分听取用户的意见，系统既满足了终端用户的电子资源访问需求，同时也着重考虑和实现了ASG VPN系统与政府机构和企业业务流程的衔接以及对远程访问读者的行为的管理，以实现安全、可控的远程访问311 线路冗余ASG VPN系列硬件网关支持多路冗余、双机热备等功能彻底解决了因公网线路中断或设备故障引发的稳定性问题。ASG VPN 同时支持多条上网线路，多条上网线路全部正常时可以将各条线路叠加起来做为更大的网络出口。当其中某一条线路出现中段时，网关所承载的服务会自动切换到其它线路上，实现VPN服务不断，做到多线路的备份。第四章 产品报价41 产品报价本方案讨论了组建VPN网络所需要的各种设备和部署地点，下面根据设备型号进行整个方案的报价，设备工作所需要的线路资源需要客户自己提供，不包含在本方案。购 买 设 备类别型号市场价优惠价数量上门服务费远程服务费合计VPN小计：42 设备选型及介绍根据鸿基地产集团各节点的规模，结合网康科技的产品线结构，推荐选型如下：序 号设 备 型 号产品描述部 署 地 点数 量1总部12分支地产183