山西运城财政局虚拟专用网络结构

1、山西运城财政局虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑

2、上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。一.运城财政局 HYPERLINK /files/list-0-0-158435-1-1.htm o 网络安全 网络安全现状运城财政局各个分支机构分部比较广泛，并且财政局之前并没有建设专用网络，财政局办公相对比较独立。随着信息化的发展，财政局一些重要的财务、社会保障系统软件在单机的情况下无法满足需要。考虑到财政系统必须实现专网，才能使用主流的网络版财务软件，实现专网连接是首先要达到的目的。1.1.用户需求分析实现专网有多种种方式，最好好的方

3、式是独独立架设单独独的线路实现现，但是考虑虑到财政局目目前资金投入入状况，自己己架设线路的的成本很高，而而且各个财政政所分部在偏偏远的乡村。更更增加架设专专网的难度。目前各个乡镇财政所总数为15个，每个乡所拥有的计算机数目和网络规模比较小，平均每个乡镇财政局，用于业务的电脑最多3台。而且财务软件属于C/S模式，每月申报次数不多。网络通讯所用带宽较少。鉴于以上对运城财政局网络现状的分析，结合运城财政局日益发展的业务需求，我们认为运城财政局的对网络系统有如下两个个需求：1）组建自己的的专有宽带网网络（以下简简称：专网）利用现有的多种种宽带接入方方式组建专网网，不光满足足了业务数据据传输对实时时性、

4、稳定性性的要求，更更重要的是，对对公司整体网网络系统实现现了统一有效效的管理，从从而对业务数数据的传输安安全提供的很很好的保障。需需求如下：因为VPN利用用了公共网络络，所以其最最大的弱点在在于缺乏足够够的安全性。企企业网络接入入到inteernet，暴暴露出两个主主要危险： 来自interrnet的未未经授权的对对企业内部网网的存取。 当企业通过INNTERNEET进行通讯讯时，信息可可能受到窃听听和非法修改改。 完整的集成化的的企业范围的的VPN安全全解决方案，提提供在INTTERNETT上安全的双双向通讯，以以及透明的加加密方案以保保证数据的完完整性和保密密性。 企业网络的全面面安全要求

5、保保证： 保密-通讯过程程不被窃听。 通讯主体真实性性确认-网络络上的计算机机不被假冒。 2）建立有效的的访问控制机机制只有对内部用户户和外部用户户的访问权限限加以有效的的控制才能保保障公司网络络长期有效地地运行，为公公司业务的发发展创造良好好的环境。二.运城财政局局 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙VPPN一体化解解决方案在VPN领域我我们普遍应用用的主要有，基基于路由器的的VPN；IISP提供的的VPN；基基于 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙的VPPN和

6、专用的的VPN设备备几种，我们们评估一下那那种方案在性性能，管理和和费用适合的的解决办法。解决方案性能费用管理评估路由器VPN路由器在除了负负担其本身功功能外还将负负担VPN系系统这将要求求其性能高，特特别是在增强强加密算法时时性能将有较较大影响路由器的价格较较高，特别是是在增加了加加密功能后费费用可观操作性不佳并且且在移动用户户上使用不变变费用较高并且实实施要求较大大的网络改动动ISP提供的VVPN如ISP的用户户较少使VPPN应用可能能会比较顺畅畅但是ISPP有大量用户户时，其安全全性和性能都都有待考证ISP将根据用用户的带宽来来收取费用，国国内提供此种种服务的ISSP较少无法快捷的管理理

7、和维护，只只能受控于IISP使用ISP 的的VPN要考考虑各地分公公司当地ISSP是否提供供此种服务并并且是否可以以相互连通基于 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙的VVPN性能主要由带宽宽和其设备性性能决定，普普遍的在用户户中使用不定，以厂商而而定各主要厂商都提提供集中管理理设备可集中中管理管理便便利大多情况此种方方案应用广泛泛性能和价格格得到用户的的肯定专用VPN设备备由于专有设备，性性能高。投入较大，功能能单一单个产品单独管管理，在网络络中与现有网网络设备重叠叠放置；初次投入较高，需需要使用人员员有较高的安安全素养通过以上

8、的表格格我们看到，真真正在实际应应用的主要是是 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙VPPN此种方式式。2.1.方案设设计简述本方案采用瑞星星中小企业级级 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙设备，为为省财政局和和各个乡镇财财政所建立网网络访问控制制和完善的vvpn方案。2.2. HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙VPN产产品推荐我们采用瑞星NNP全功能 HYPERLINK /files/list-0

9、-0-156293-1-1.htm o 防火墙 防防火墙RFWWSME和和企业级 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火火墙RFW100运运城财政局实实现VPN的的连接和访问问控制，瑞星星NP HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙具有如下功功能：瑞星全功能能NP HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙采用了新型型的网络芯片片设计技术，这这个区别于一一般的PC休休系架构表现现在网络数据据处理速度上上能够达到线

10、线速，性能优优越。该 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火火墙支持5000个VPNN通道和122800个并并发连接，同同时提供了880兆/秒的的三重数据加加密3DESS能力和线速速（wiree-speeed） HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙的处理能力力。瑞星全功能能NP HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙整合了多种种安全防护功功能，是建构构中小型企业业网络的最佳佳选择。RFFW-SMEE拥有通用

11、 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防防火墙功能、网网络地址转换换（NAT）、主主动式入侵检检测（IDSS）、虚拟专专网（VPNN）、带宽管管理、内容过过滤、以及策策略管理等功功能。通过架架设瑞星全功功能NP HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火火墙，可以保保护用户的网网络免于黑客客的攻击，同同时也帮助用用户利用因特特网的资源建建构 HYPERLINK /files/list-0-0-158435-1-1.htm o 网络安全 网络安全全机制及虚拟拟专网服务，还还提供了不同

12、同等级的网络络带宽管理，让让一些特殊的的应用服务可可以确保使用用带宽。另外外，还提供有有因特网地址址名称过滤、内内容过滤、主主动式入侵检检测以及直接接利用浏览器器即可管理的的简易操作等等功能。因为为有这个内建建支持浏览器器的管理接口口，你可以在在你现有的操操作系统下利利用你熟悉的的浏览器操作作来管理这个个 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙。RFW-SSME提供一一个10/1100Mbpps的外网(WAN)接接口，一个110/1000Mbps的的DMZ接口口，以及三个个10/1000Mbpss的内网接口口。外网接口口的IP地址址

13、支持下列三三种模式：PPPPoE，DDHCP，或或静态IP。根根据用户的网网络服务提供供商所提供的的服务方式，任任选其中一种种设定 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙的对外IPP地址参数。RRFW-SMME还提供有有内建的DHHCP(动态态主机配置服服务协议)服服务功能，它它可让内网接接口上的主机机由DHCPP服务提供相相对应的地址址及其他信息息，使得用户户轻松管理所所有的上网主主机。2.3.部署建建议根据运城财政局局的网络结构构特点，结合合瑞星SMEE HYPERLINK /files/list-0-0-156293-1-1

14、.htm o 防火墙 防火墙的工作作模式，制定定如下几部分分内容：网络络地址的重新新规划、 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火火墙的配置、LLAN到LAAN的VPNN的实现。1.网络地址的的规划：考虑到实现laan到lann的vpn访访问和日常的的管理，有必必要将目前县县级网络的地地址重新规划划。根据网络络规模和日后后扩展能力，规规划后的地址址如下：编号地理位置主机数目网络地址1财政所130/2442财政所230/2443。30/244430/2445/2446/2447/2448/2442. HYPERLINK /files/l

15、ist-0-0-156293-1-1.htm o 防火墙 防火墙的配配置： HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙配置的前前提条件：用户接入互联网网，接入方式式可以是：固固定IP、DDHCP客户户端、也可以以通过PPPPOE获得，用用户采用的带带宽为5122k以上，建建议采用1MM。 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙的物理位位置部署在各各个分公司内内网和互联网网的唯一出口口处。 HYPERLINK /files/list-0-0-156293-1-1.htm o 防

16、火墙 防火墙的策略设设置：建立nat模式式，隐藏企业业内部网络结结构。 制定不同的网络络对象，可以以根据部门业业务特点进行行划分； 根据不同的网络络对象制定不不同的访问控控制策略，如如业务网内用用户不允许访访问互联网资资源。 允许业务网用户户通过 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙VPN连接接地址网络。 3.LAN到LLAN的VPPN实现在运城县的互联联网出口处，配配置瑞星RFFW-1000+ HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙，与各各个分财政所所RFWSSME

17、 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙进行VPNN连接，省RRFW1000 HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防火墙墙VPN设置置主模式，财财政所RFWWSME HYPERLINK /files/list-0-0-156293-1-1.htm o 防火墙 防防火墙设置主主动模式。VPN建立立过程如下：自动密钥钥 IKE”通通道协商的第第 1 阶段段由如何认证证和保护通道道的提议交换换组成。交换换可以在两种种模式的其中中一种模式下下进行: AAggresssive mod

18、e ( 主动模模式) 或 Main mode ( 主模式式)。使用任任一种模式时时，参与者将将交换可接受受的安全服务务提议，例如如加密算法 (DES 和 3DEES) 和认认证算法 (MD5 和和 SHA-1)当参参与者建立了了一个已认证证的安全通道道后，他们将将继续执行“第第 2 阶段段”。在此阶阶段中，他们们将协商 SSA 以保护护要通过 IIPSec 通道传输的的数据。与“第第 1 阶段段”的过程相相似，参与者者交换提议以以确定要在 SA 中应应用的安全参参数。“第 2 阶段”提提议还包括一一个安全协议议 “封封装安全性负负荷” (EESP) 或或“认证包头头” (AHH) 和和所选的加密密和认证算法法。如果需要要“完全正向向保密”(PPFS)，提提议中还可以以指定一个 Diffiie-Helllman 组。两段分别别进行连接，如如果两端都可可以访问到对对方 HYPERLINK /files/list-0-0-156293-1-1