东软IPSecVPN组网方案V2张

1、东软IPSec VPN组网方案一需求背景目前公司总部、各分公司的各自局域网已成型，由于没有建立安全、可靠的网络连 接，导致总部与分公司之间也无法实现内部多种资源信息的共享，相互之间形成了信 息的孤岛。而由于办公需求，设立的分公司的员工需要访问总部的服务器进行数据传输，如果 通过不安全而又开放的网络直接进行数据传输，这些不经加密的重要数据如果遭到窃 取，将带来的损失将无法估量。二、方案设计基于信息传输安全至上的原则，同时还要考虑到组网的便利性以及节约成本等方面 的需求，方案采用通过东软VPN网关建立基于IPSEC VPN的方式进行组网。分支机构公司总部方案说明:在总部网络出口部署一台东软NVPN

2、6K VPN网关设备作为IPSec VPN中心网关， 在各分公司网络出口分别部署一台东软NVPN6K VPN网关设备作为IPSec VPN接入网 关，从而实现总部网络与各分公司之间通过NVPN6K VPN设备建立IPSec VPN隧道， 实现各分公司用户透明的访问总部服务器，同时还集成了企业级的状态防火墙，进一 步保障了敏感数据的传输安全。三设备参中心区VPN:指标项规格参数产品图片型号NVPN6K-ACSV3网络接口1000Base-T RJ45*6Console 接口RJ45*1USB 接口2扩展槽1电源交流单/交流冗余外观1U标准设备IPSec VPN加密流量1.1GbpsSSL VPN

3、加密流量840MbpsVPN最大并发用户数4000默认并发用户数5扩展槽0电源交流单外观1U标准设备IPSec VPN加密流量500MbpsSSL VPN加密流量500MbpsVPN最大并发用户数500默认并发用户数5、方案优势组网方便.易于扩展：东软NVPN6K VPN网关只需要使用普通的上网线路就能构建整网的IPSec VPN网络。 通过IPSec VPN设备之间构建VPN隧道实现总部与分公司支之间的互联，并支持隧道 间路由实现分公司与分公司之间的通过总部进行互联，在整个组织的所有点之间构建 “大局域网”。让各终端用户在无需安装任何客户端软件和插件的情况下，在权限范 围内访问全网应用。对于

4、以后其他新分公司的建立，也只需要新增一台IPSec VPN设备，使用分支接入 的普通上网线路，就可以实现新分公司分完全纳入整个“大局域网”，扩展方便。IPSec/SSL 一体化：东软NVPN6K VPN遵循的是IPSEC协议，IPSEC是目前最为安全VPN协议，东软 VPN网关内置AES/DES/3DES/RSA等多种加密算法，支持MD5/SHA-1等标准HASH 算法，可通过IPSEC在网络上建立安全可信的隧道，分公司终端与总部服务器之间的 数据都是通过安全隧道传递。高稳定性：东软NVPN6K VPN网关的IPSec VPN技术是通过VPN隧道、线路和设备三方面的 全方位保证整个VPN网络的

5、稳定性。支持隧道自愈技术，实时探测VPN隧道连接情况， 一旦检测到VPN拨号中断则在3秒内自动进行VPN重新拨号；对于线路中断的情况， 通过隧道自愈技术，一旦检测到线路恢复，则立即进行隧道的重新建立，无需人为操 作实现VPN网络的自动恢复。此外东软NVPN6K VPN网关还支持双机热备功能，故障时秒级切换，保证了设备的高可靠性。管理便利、安全：针对接入用户的访问权限控制提供细致到端口的双向权限分配，实现分公司访问总 部、总部访问分公司、分公司访问分公司的全方位的权限细化，并在一定程度上减少 了病毒、木马等跨网传播的可能。、东软VPN网关技术优势东软公司是全球领先的网络安全产品和安全服务提供商，

6、不断践行维护网络安全的 使命与责任，致力于为全球用户提供全方位、高性能和智能化的网络安全解决方案。东软NVPN6K VPN网关支持LDAP动态组和安全组，对于一些使用LDAP来管理用 户的大型企业来说，能最大限度的利用LDAP资源，支持LDAP里的安全组的属性，使 得LDAP里的用户组在东软NetEye VPN网关中可以直接使用，无需管理员另行维护。在确保网络稳定的前提下，东软NVPN6K VPN网关极大提升了处理性能和综合安全 防护能力。同时，产品集成了用户并发限制、在线时长控制、闲置时长控制等多种方 式，保证了用户合理地使用VPN资源。并且，在东软NetEyeVPN网关图形用户界面 （GU

7、I）的实时监控状态栏中，可以实时地监控用户的接入情况，观察整个VPN系统 的运行状况。中心区：东软NetEye VPN网关招标参数指标指标项规格要求硬件型号NVPN6K-ACSV3网络接口1000Base-T RJ45*6Console 接口RJ45*1USB 接口2外观1U标准设备性能加密流量IPSec VPN 加密流量 l.IGbps;SSL VPN 加密流量 840MbpsVPN最大并发用户数4000默认配置并发用户数5功能三合一功能支持同时支持IPSec VPN和SSLVPN。IPSEC VPN 特性支持 3DES、AES、TWOFISH、SERPENT、BLOWFISH、CAST 高

8、强度加密 算法。使用MD5、SHA1、SHA2算法保证数据的完整性。支持全部通过动态公网IP地址建立VPN，支持城域网虚拟IP和公 网IP之间建立VPN。支持网到网的Intranet VPN.支持ikev2SSL VPN特性支持隧道模式SSL VPN，支持客户端到中心和客户端与客户端之间 的网络访问能力。支持 Web 模式 SSL VPN,支持 Http https ftp rdp ssh telnet 协 议支持AES、DES、3DES、MD5、RC4、RSA加密，支持加载扩展安全算 法模块支持与现有用户数据库的快速结合，支持LDAP、ActiveDirectory、RADIUS、eDire

9、ctory 第三方认证方式。LDAP动态组和安全组SSO单点登陆细粒度控制,支持全网隔离，限制病毒和木马传播。多平台、多浏览器支持支持用户访问记录审计和报表，支持站点资源访问统计和历史查 询。支持超时检测和自动断线功能。支持管理员设定邀请码用户自行注册功能。大大节省管理员工作 量。支持VPN访问策略，结合时间控制策略，设定局域网用户上网及使 用VPN资源的权限。可实时监控用户接入情况，在线中断用户，实时监控系统运行状 况。可配置限制用户在线时间防火墙内建状态检测防火墙。可基于IP，MAC、协议和端口制订访问控制策略支持NAT流量监控可实时监控VPN设备各网口流量，内网单机实时流量，对流量进行

10、排名。查看移动拨入用户流量，统计站点访问量。管理方式Web图形化管理日志可支持SYSLOG日志服务器，通过独立的第二方日志服务器，形成图 像化监控界面。日志回滚机制.其他通过序列号修改授权数本地和远程升级，获得新特性。资质产品资质计算机信息系统安全专用产品销售许可证；提供一种事件的检测方 法及装置专利证书;提供一种SYN洪水攻击的防御方法和装置自主知 识产权证明；产品厂家应为CNCERT网络安全应急服务支撑单位证书 （国家级）涉及国家秘密的计算机信息系统集成甲级资质证书计算机信息系统集成企业一级资质证书国家信息安全服务资质认证证书信息安全风险评估服务一级资质 国家信息安全服务资质认证证书应急处

11、理一级资质 国家信息安全漏洞库技术支撑单位产品成熟度达到CMMI5认证中国互联网网络安全威胁治理联盟成员单位证书；厂家通过信息安全等级保护安全建设服务机构能力评估合格认证 提供原厂浙江跟公司服务承诺函分支机构:东软NetEye NVPN5K-ACSV3网关招标参数指标指标项规格要求硬件型号NVPN5K-ACSV3网络接口1000Base-T RJ45*6Console 接口RJ45*1USB 接口2外观1U标准设备性能加密流量IPSec VPN 加密流量 500Mbps;SSL VPN 加密流量 500MbpsVPN最大并发用户数500默认配置并发用户数5功能三合一功能支持同时支持IPSec

12、VPN和SSLVPN。IPSEC VPN 特性支持 3DES、AES、TWOFISH、SERPENT、BLOWFISH、CAST 高强度加密 算法。使用MD5、SHA1、SHA2算法保证数据的完整性。支持全部通过动态公网IP地址建立VPN，支持城域网虚拟IP和公 网IP之间建立VPN。支持网到网的Intranet VPN.支持ikev2SSL VPN特性支持隧道模式SSL VPN，支持客户端到中心和客户端与客户端之间 的网络访问能力。支持 Web 模式 SSL VPN,支持 Http https ftp rdp ssh telnet 协 议支持AES、DES、3DES、MD5、RC4、RSA加

13、密，支持加载扩展安全算 法模块支持与现有用户数据库的快速结合，支持LDAP、ActiveDirectory、RADIUS、eDirectory 第三方认证方式。LDAP动态组和安全组SSO单点登陆细粒度控制,支持全网隔离，限制病毒和木马传播。多平台、多浏览器支持支持用户访问记录审计和报表，支持站点资源访问统计和历史查 询。支持超时检测和自动断线功能。支持管理员设定邀请码用户自行注册功能。大大节省管理员工作量。支持VPN访问策略，结合时间控制策略，设定局域网用户上网及使 用VPN资源的权限。可实时监控用户接入情况，在线中断用户，实时监控系统运行状 况。可配置限制用户在线时间防火墙内建状态检测防火墙。可基于IP，MAC、协议和端口制订访问控制策略支持NAT流量监控可实时监控VPN设备各网口流量，内网单机实时流量，对流量进行 排名。查看移动拨入用户流量，统计站点访问量。管理方式Web图形化管理日志可支持SYSLOG日志服务器，通过独立的第二方日志服务器，形成图 像化监控界面。日志回滚机制.其他通过序列号修改授权数本地和远程升级，获得新特性。资质产品资质计算机信息系统安全专用产品销售许可证；提供一种事件的检测方 法及装置专利证书;提供一种SYN洪水攻击的防御方法和装置自主知 识产权证明