VPN企业解决方案...

请大家帮忙顶一下，欢迎来电咨询。

QQ：276161264

MSN：tangjinsong007@hotmail.com

自己顶一个先

顶

不错，希望能再给点精彩的。。。

希望有用。

不是很具体呀

Vpn 稳定、安全、快速 1 Fortigate 防火墙 实现企业间VPN 上饶市房管局vpn 网络解决方案 江西上饶房管局 VPN 组网技术方案书 技术创造实力* 服务创造市场 文件编号：ENS－DSJT－04041103 客户名称：江西上饶房管局 设备制造商：台湾居易科技股份有限公司、美国飞塔科技 系统集成商：*************发展有限公司 Vpn 稳定、安全、快速 2 Fortigate 防火墙 实现企业间VPN 上饶市房管局vpn 网络解决方案 1.1 VPN 技术简介 VPN(虚拟专用网，Virtual Private Network)在国外已经快速的得到发展，2001 年全 球VPN 市场将达到120 亿美元， 它能够吸引许多公司、机构采用的最重要的原因就是能够节 约成本。VPN 是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极 佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全，虚拟专用网络 由此而得名。 VPN 的三个基本要素： A. IP 封装 VPN 系统的第一个基本要素是使用IP 封装。若一个IP 包包含其他IP 包时，就称为IP 封装。IP 封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一 个路由器分开，但是它们是通过许多网络路由器和网关分开的，这些路由器和网关也可能不 用同一个地址空间。 B. 加密的身份认证 密码身份认证用来安全有效地验证远程用户的身份，这样系统就可以判断出适合这个用 户的安全级别。如VPN 可使用密码身份认证来决定用户是否可以参与到加密通道中。 C. 数据有效负载加密 对于安全保障，相对企业级用户就显得十分重要，要保证公司内部的重要数据在VPN 上传输而不被其他的用户所获得，就需要在VPN 的虚拟信道中对IP 数据包进行加密，目前 最先进的IP 加密方法就是使用IPSec, IPSec 可有效地保护IP 数据包的安全。 1.2 VPN 的特点 在实际应用中，用户需要的是什么样的VPN 呢？一般情况下，一个高效、成功的VPN 应 Vpn 稳定、安全、快速 3 具备以下几个特点： 1.2.1 安全保障 虽然实现VPN 的技术和方式很多，但所有的VPN 均应保证通过公用网络平台传输数据的 专用性和安全性。在非面向连接的公用IP 网络上建立一个逻辑的、点对点的连接，称之为 建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的 发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN 直接构 建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访 问。Extranet VPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。 1.2.2 可扩充性和灵活性 VPN 必须能够支持通过Intranet 和Extranet 的任何类型的数据流，方便增加新的节点， 支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及 带宽增加的需求。 1.2.3 可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在VPN 管理方面，VPN 要求企业 将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些 次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以， 一个完善的VPN 管理系统是必不可少的。VPN 管理的目标为：减小网络风险、具有高扩展性、 经济性、高可靠性等优点。事实上，VPN 管理主要包括安全管理、设备管理、配置管理、访 问控制列表管理、QoS 管理等内容。 1.2.4 节约成本 据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于 那些以电话拨号方式连网存取数据的公司，采用VPN 则可以节约通讯成本50%-80%。 Vpn 稳定、安全、快速 4 Fortigate 防火墙 实现企业间VPN 上饶市房管局vpn 网络解决方案 一、方案背景： 上饶市房管局，其下有13 个县级房管局，现需求为：1、上饶市银行能监管到中心端市房管 局ERP 服务器，2、而各个县级的银行能监管到县及房管局的ERP 系统。这套ERP 管理系 统则是通过专网来实现访问与监管的，基于专线的昂贵成本，决定采用最新的VPN 技术（专 用虚拟通道）使其各县银行与县房管局在广域网中，很好的运行ERP 管理系统，考虑到数据、 隧道的安全和稳定性，与现内局域网络的安全，现决定采用专业病毒防火墙Fortigate 构建 本网络 二、规划目的： 1． 安全 蠕虫病毒的泛滥使网络安全另人担忧，要求网络规划后在安全性上有大的提高，数 据在遂道上的传输要经过高位数加密，使之在局域网内的电脑和数据很够在较安全的 一个环境下做交换和工作。 2． 稳定 内部网络的安全与VPN 隧道的稳定，大大提高数据交换的效率，所有银行可长期稳 定的与对应房管做VPN 隧道连接，方便管理和查询 3．快速 最短时间内有效无差错的完成数据之间的交换和上传，提高效率减短更新时间！ 三、规划要求 1> 所有现有网络均能够正常的上网，收发E-MAIL，与进行各项正常的网络服务。 Vpn 稳定、安全、快速 5 2> 能够很好的兼容ERP 管理软件，使之在整个VPN 网络中，正常有效的运行。 3> 局域网内电脑可随时与对应vpn 网络后的电脑进行有效的数据交换。 4> 数据要求快速、准确、稳定的不定时传输，抑制网络广播风暴。 5> 保护中心数据和所有接入互联网络LAN 的安全，能够教有效的阻止病毒和黑客的侵 入。 6> 在公司没有固定IP 的情况下，VPN 产品依然能够稳定正常工作。 四、方案具体实施 根据客户的实际情况，有以下两种方案可以选择： 方案一： 考虑到市房管局做为数据中心点的重要性与隧道数需要，计划使用美国飞塔 公司所生产研发的Fortigate-60A 病毒防火墙，而其下的13 个县房管局则采用 Fortigate-50A，相对应县房管的银行网络考虑到其行业的特殊性，建议采用 Fortigate 所开发的基于IPSEC 协议的软件FortiClent，共同搭建一个安全稳定 的vpn 网络。整个方案拓图如下： Vpn 稳定、安全、快速 6 该方案优点： 1. 高效安全体系：中心端和客户端均采用了Fortigate 硬件防火墙，所有 结点都能够实实在线病毒库更新。其内置samytec 病毒引擎，基于内容蕊片过滤 处理器。即使vpn 遂道上的数据都要被加密和进行检测。 2.扩展性较好：中心端采用FT60 采用硬件加密蕊片，支持40 条vpn 遂道 数，方便以后分点的延伸。中心端宽路接入比较广范，支持ADSL/光纤/有线电 视网等线路接入。支持动态ip 地址的vpn 的解决。如果其结合VOIP 网关使用， 均可以实现总部与各个分县的完全免费通话。 3.vpn 稳定性好：采用vpn 自动连接机制，只要有数据传输，vpn 网关主动 连接设备，无需人工干预。vpn 连接成功后，将保持一直连接状态。 4.可管理性好：中、日、英、多种基于web 方式的管理界面，支持多种管 理员权限的登录，可以远程维护和管理。 5.经济型：由于支持单机远程拔入，银行系统的某台电脑可以直接装免费的 vpn 拔号软件对FT60 进行拔号。拔通后，可以对市区的电脑进行管理、访问。 而市局电脑是无权访问银行端电脑 各银行单机拔入的简图如下： 银行办公电脑 Internal IP: 10.234.212.1 External IP: 211.161.113.19 FT50A 县房管中心 分支办公室 （动态IP地址） 出差用户 Internet Vpn 稳定、安全、快速 7 企业用Fortigate60A-50A 组建VPN 网络具有以下特点： n Fortigate 产品方案是具备防火墙、虚拟专用网（VPN），和入侵/阻断功能之外，同时 又把防病毒/蠕虫和内容过滤等应用层功能集中在一个专用、简易的平台上，是一套完 整的全方位网络与信息安全解决方案。 n 提供高性能最可靠性的企业专网，基于网络的病毒防御（ICSA 认证）能实时检测和清 除病毒和蠕虫。扫描进出的EMAIL 附件(SMTP,POP3,IMAP)和WEB 流量，让用户尽 可的放心的使用互联网 n NIDS（入侵检测）可选择的数据库（>11300），很好的监控来自内外部的攻击 n 业界标准的状态检测防火墙（ICSA 认证），安全可靠的系统防御，优良的性能和稳定性 可让企业可根据自己的安全策略进行配置，不再把安全交给ISP。 n 对业界标准的PPTP，L2TP 和IPSEC 完全支持，在获（ICSA 认证）且提供了廉价的无 处不在的网络服务和安全控制，支持远程用户的加密访问，提供了IPSEC 客户端软件 n 自动更新病毒和攻击数据库，同时可以支持远程服务器的主动“推送”更新，在保持网 络性能的基础下，消除病毒和蠕虫的威胁 n 基于专用的ASIC 硬件体系，提供了高性能和高可靠性。两个WAN 端口支持冗余、负 载均衡的连接到多个ISP。 n 内部嵌入TELNET 功能，能够对在同一个VDOMAIN 下的VHOST 进行远程登录、配置、维 护，能够最低限度的节约维护费用。 n 基于WEB（GUI）的配置界面提供了多语言支持，可通过拔入或Internet 远程维护 方案二： 考虑到市房管局做为数据中心点的重要性与隧道数需要，计划使用美国飞塔公司 所生产研发的Fortigate-60A 病毒防火墙，而其下的13 个县房管局和各银行端 则采用Draytek vigor2200E vpn 路由器网关。这个方案均采用硬件体系完成。 说明： 该方案有方案一的所有安全，稳定之特点。只是2200E 的带宽和cpu 的硬件参数 没有50A 强。对于vpn 数据传输的带宽要求不高的，是一个很好的选择。2200E 的硬件成本相对于50A 来说较便宜！ Vpn 稳定、安全、快速 8 五、硬件配置情况所有产品具体参数均见（附件） Fortigate-60A: FortiGate 60 系统是中型企业的理想解决方案。FortiGate 60 支持两条WAN 链路适合冗 余Internet 连接，还集成4 个交换端口节省了外部的Hub 或Switch，外部的设备直接连接到 FortiGate60 。2 个USB 端口满足将来增加设备的需要，例如连结拨号的调制解调器或其他 设备。非常适合中型商业机构、远程办公室、零售店和远程宽带地点，FortiGate 60 提供了 无与伦比的功能、速度和性价比。FortiGate 60 可以自动实现定期的更新，通过Fortinet 公司 的实时响应服务器提供了持续的更新以保护网络不受病毒，蠕虫，木马及其他攻击，随时随 地的安全保护。 Fortigate-50A: FortiGate 50A 病毒防火墙的服务环境包括了小型企业, 远程办公室，宽带家庭用户等。 FortiGate 50A 和高端产品一样体统了提供了高性能的基于网络的防病毒，内容过滤，防火 墙，VPN，IDS 功能。高可靠的性能通过ASIC 加速能力来为小型企业提供实时的网络安全 服务。FortiGate 50A 可以自动实现攻击数据库的更新，通过Fortinet 公司的实时响应服务器 提供了持续的更新以保护网络不受病毒，蠕虫，木马及其他攻击，随时随地的安全保护。 Draytek vigor2200e: 针对个人工作室(SOHO)及中小企业(SME)设计简易，最容易与ADSL/Cable 调制解调器 连结上网。Easy Internet Access via broadband technology by connecting to ADSL/Cable modem for SOHO！强大的VPN 功能，可提供分支点对总公司，移动人员对总公司及分支点 Vpn 稳定、安全、快速 9 对分支点的联机应用。WAN 提供高速10/100MbaseTX 高速网络，特别适合大量用户或需高流 量之客户群，如社区网络或光纤到大楼等服务。 动态网域服务功能(Dynamic DNS)提供非固定IP 用户可建立WWW.FTP 等伺服务，当ISP 变换不同网址时，仍可正常服务。 FORTIGATE系列硬件防火墙的技术特点及优势 ●性能强大 传统的防火墙和VPN设备不能阻止病毒和非法的网络内容进入网络内部，他们无法解 决对进入内部的邮件、文件和WEB页面进行应用层检测而花费巨大系统资源的问题，所以传 统的网络设备无法阻止来自网络的病毒和不适合的内容。 ●安全稳定 FORTIGATE病毒防火墙系列基于ASIC硬件体系结构，采用先进独特的行为加速处理和 内容分析系统技术（ABACAS），它克服了传统安全类产品在内容处理上的障碍，突破了以往 芯片设计、网络通信、安全防御及内容分析等诸多难点。 FORTIGATE病毒防火墙利用ASIC硬件技术进行数据包内容病毒扫描，保证了网络的性 能。它能够对进出FORTIGATE设备的数据流做实时病毒扫描处理，并且100%覆盖业界著名的 WILDLIST组织的病毒库，通过策略控制流经不同网络方向的病毒扫描或是阻断，提供了用户 手动、自动升级病毒库，或服务器推送式病毒库更新功能。FORTIGATE还具有防火墙、VPN、 NIDS和内容过滤等安全功能。 FORTIGATE系列防火墙独有的行为加速处理和内容分析系列技术（ABACAS），包括 FORTIASIC内容处理器和FORTIOS操作系统，提供了实时的内容处理。FORTIASIC内容处理芯 片系列包括强大的具有专利技术的扫描引擎，对数据包和文件进行模式匹配，在保证高性能 的流量下阻止多样化的内容攻击。FORTIASIC芯片同时包括集成的密钥加速引擎，保证了线 速的数据加密和认证，具有VPN功能。集成的VPN使FORTIGATE能够高速处理加密/解密数据。 FORTIOS内容处理操作系统是一个高可靠的、高安全的操作系统，可以保证所有的FORTIGATE 产品高效率、无阻塞的运行。 ●多种认证 Vpn 稳定、安全、快速 10 获得国际著名的ICSA四项认证，为世界唯一厂商， 获得国家信息安全测评认证中心证书 通过国家计算机病毒防治中心检验中心测试 2004年3月，FortiGate 3000荣获《计算机世界》企业级千兆防火墙“推荐产品奖” 2004年2月，FortiGate3600病毒防火墙荣获CRN测试中心推荐产品 2004年1月，FortiGate3600荣获《搜索网络》的“年度产品金奖” 2003年10月，FortiGate系列荣获《VARBusiness(增值商业务)》杂志安全产品“技术 革新最高奖” 2003年6月，FortiGate400病毒防火墙荣获《Internet Telephony》的“编辑选择奖” <PC MAGAZINE>亦对FORTIGATE系列产品给予了极高的评价。 ●通用性 与其它产品的兼容沟通性好。 Fortigate系列硬件防火墙的功能 ● 病毒检测与蠕虫防御 ICSA实验室认证 能够100%检测、消除感染现有网络的病毒和蠕虫。 实时的扫描SMTP、POP3、IMAP、HTTP和FTP流量的病毒特征码。 可自定义扫描文件的尺寸。 可清除隐含在ZIP、RAR压缩文件中的病毒和蠕虫。 消除VPN隧道的病毒和蠕虫，阻止远程用户的病毒传播。 ● 状态检测防火墙 ICSA实验室认证 符合工业标准的状态检测防火墙，容易配置策略。 多种工作模式，NAT地址转换模式、透明模式、路由模式。 可以根据不同的时间表定义安全策略。 Vpn 稳定、安全、快速 11 内建用户认证数据库，支持LDAP、RADIUS认证数据库 支持端口映射或DMZ功能 支持IP/MAC绑定，支持流量控制 ● 入侵检测/阻断 ICSA实验室认证 实时的基于网络的入侵检测/阻断 阻断已知的34种DOS、DDOS、操作系统和应用协议的漏洞攻击 检测超过1300种攻击特征库确保可靠的攻击检测管理 ● 虚拟专用网（VPN） ICSA实验室认证 支持PPTP、L2TP、IPSec以及透明模式下的VPN 支持自动IKE和手工密钥交换 支持DES、3DES、AES加密算法 支持PPTP、IPSec远程客户端 ● 内容过滤 根据URL、关键字、词组过滤阻止WEB站点及页面 提供全球6种不同语言内容的过滤 允许管理员设置专门的URL或关键字不被阻断 阻止网页的插件，例如ActiveX Java Applets 和Cookies 提供E-Mail过滤，针对关键字、黑名单、免过滤列表 ● 管理功能 支持英文、中文、日语、韩语等多种语言 通过IE浏览器采用图形化界面快速配置 可以通过HTTP、HTTPS远程登录管理 可能通过命令行界面，使用SSH、Telnet远程管理。 提供Console口或安全远程连接 Vpn 稳定、安全、快速 12 使用前面板简单的按键和LCD对接口地址快速设置 ● 日志和报告 可将日志记录到20G内部硬盘、远程Syslog主机或NetlQ Webtrends 防火墙表中心 可记录多种日志形式，流量、事件、攻击、和内容过滤日志。 可根据关键字、来源、目的、日期、和时间搜索日志记录。 提供7 种日志级别，用户自定义日志类型，将不同级别的日志记录到不同的目的地。 五、产品报价与质保 方案一： 产品指标代理价市场价数量 FT60A 9000 15000 1 FT50A 4500 6000 13 Vpn soft 免费 合计14 方案二： 产品指标代理价市场价数量 FT60A 9000 15000 1 2200E 1500 2500 13 Vpn soft 免费 合计14 方案三 产品指标代理价市场价数量 FT200 机架式，高端型号25000 33000 1 2200E 1100 2500 13 Vpn soft 免费 Vpn 稳定、安全、快速 13 合计14 所有产品硬件质保壹年。凭保修卡即可！ 上海华盖科技发展有限公司 2004 年10 月24 日

ding

鼎～～

8错

ding

谢谢，不知道怎么样。

学习中

支持技术贴

ding

好东西，顶一下

看来也可以了啊，，谢谢你们啊哈哈···

hao

顶一下，