VPN网络设计方案

VPN网络设计方案目录TOC\o"1—3"\h\z\u目录 i1. 网络设计方案 11。2. 网络拓扑设计 1_Toc"1。4。网络维护 21.5。集中式网络管理平台 4HYPERLINK\l”_Toc"2。 产品简介 62。1。 网关ZyWALLUSG100 62.2. GS—1124A 10HYPERLINK\l”_Toc"3. 成功案例 11网络设计方案顾客需求顾客需要完毕三个点网络连接，用以传播网络数据，因此需要使用虚拟专用网(VPN）技术来实现.各分支机构分别使用一台USG100和一台GS1124A。网络拓扑设计VPN网络的实现,需要根据各个机构的规模大小,增长对应性能的VPN硬件网关来实现，整个VPN网络建成后为CS构造,即总部(中心）连接所有的分支机构和移动顾客（客户端）。各分支机构的网络状况基本相似，都是使用UGS100和GS-1124A，其VPN网络拓扑如下图所示:VPN隧道采用了高强度的安全加密方式和强有力的身份验证机制，并且具有数据完整性验证，防篡改等高级别安全措施，可以保证顾客的信息万无一失。VPN网络的建立对于使用者来说是透明的，分支机构之间的访问不会感到任何不便，只要在应用软件中填入目的IP地址,即可以触发隧道，如同在局域网中使用多种应用同样的以便。1。3。产品优势通过了ICSA认证的全状态检测防火墙可以保护网络和内部的虚拟应用服务，如email，Web浏览，服务器，文献传播等。—选择ICSA认证的ZyXEL病毒防护,或卡巴斯基试验室提供的杀毒引擎可以保护网络不受病毒及间谍软件的威胁。-IDP功能使得您的网络可以抵御木马，蠕虫之类的危险元素的入侵-使用IPSecVPN可以在远程办公室，合作伙伴与总部之间建立可靠的安全连接，出差在外或者家庭办公的顾客可使使用SSL或L2TPVPN安全地接入企业的网络，而不再需要安装VPN软件。—应用控制功能可以管控类似于MSN和BT之类的即时通讯软件和点对点下载软件。-垃圾邮件过滤功能可以识别广告邮件和垃圾邮件，并将其标识或严禁。-顾客感知功能可以让您针对顾客或顾客组来进行多种应用和资源的控制。-带宽管理可以让您为诸如VoIP湖视频会议等延时敏感型应用提供更有保证的网络带宽。—多广域网接口,可以让您同步使用多条ISP线路接入互联网,实现负载均衡，提高网络的吞吐量,优化网络带宽的使用率，并且实现链路之间的故障备份，保证不间断的网络连接.-在每次进行登陆的时候，您除了可以使用您的合法帐号和密码之外，还可以输入由一次性密码令牌

ZyWALLOTP生成的PIN码，以增强安全性保障。-扩展卡插槽和USB接口,都可以连接3G无线网卡，增长3G接入链路1.4.网络维护顾客的的VPN网络是经典的CS（客户端—服务器)构造，也就是一种关键，众多分支的连接方式。管理员平时可以通过远程Telnet或Web的方式对所有的设备进行管理。不过区政府的VPN网络的规模比较庞大，此时再使用老式的管理方式显然会出现很大的困难,并且会占用大量的人力资源以及维护成本，因此我们为网络规模较大的VPN顾客配套提供了一种集中式的远程VPN管理调试平台—-VantageCNM系统.使用该系统可以大大提高对整个VPN网络管理的效率合精确性和一致性。有关该系统的详细简介请参照下面一部分内容。

1。5.集中式网络管理平台VantageCNM(CentralizedNetworkManagement）由ZyXEL自行研发的VantageCNM中央网络管理系统，是一种透过浏览器即可进行企业顾客整体网络管理的完整处理方案，可协助网络管理员从任何地点轻松进行ZyXEL网络安全设备的设定、管理、监控、排障、升级、备份等所有操作，使管理员可以保证所制定有关信息安全政策的一致性，并持续监控所有网络设备，实时予以必要的技术支持，将管理成本降至最低,并且能充足发挥所有设备的效能。功能特色直观的网络设备与账号管控网络对象树(ObjectTree）功能可以让管理员建立七个层级的逻辑监视构造（LogicalView)，可指定多种网络管理员管理同一种域;多名网管在协同管理同一种网络时,各自保有不一样的管理权限，以维护其自主性；对象树中的状态图标可让管理员立即得知设备目前与否处在正常的工作状态,或是遭到袭击.组合式网管组件（BuildingBlocks，BBs）组合式网管组件是一种可反复使用的“设置信息”，用以迅速设定单一或多种网络设备。组合式网管组件也许是单一设备的完整的设定参数,也也许是一项单一功能的参数(如ACL、WLAN)。这项重要的功能，不仅让管理员可在多种网络设备中迅速进行参数设定，还能保证网络设备间设定的一致性。使用VantageCNM愈久,网络管理员就能累积愈多的组合式网管组件，使用起来就愈加以便迅速。韧体的升级与管理运用Vantage同步上载设备韧体至多种位于不一样地点的网络设备来进行更新，可以节省大量时间及精力，还可减少错误发生的也许，并保证网络设备间韧体的一致性;管理员可设定在上载韧体时让VantageCNM自动告知设备拥有者,并自动产生所有设备韧体上载记录的详细报表。弹指间即可完的VPN隧道网络管理员可以运用图形化接口进行VPN的设定.先以鼠标点选网络设备，接着拖出一条「虚拟通道」拉向另一种网络设备，就能轻松地在网络设备之间建立VPN通道。而通过预先设定好的“组合式网管组件”，让既使是非技术背景的管理员，也能在花费至少精力的情形下,轻松地设定及管理这些VPN隧道。网络活动记录（Log）与报警（Alarm）VantageCNM的网络活动记录与报警功能,让信息安全功能发挥地更为淋漓尽致.网络活动记录可以提供有关使用者账户与网络设备的详细信息，VantageCNM将搜集到的信息进行记录和分析,转化为多种直观的图形显示；而报警的范围包括了设备硬件无法运作、信息安全漏洞、黑客袭击，或者是试图非法登入VantageCNM系统的祈求等等。产品简介网关ZyWALLUSG100

ICSA认证防火墙

—基于区域的访问控制列表

-安全区域设定

—数据报状态检测

-DoS/DDoS保护

—顾客感知方略执行

—顾客自定义ALG

入侵检测和保护

-内嵌模式(路由/网桥)

—基于区域的IDP检查

—自定义保护方略

-基于特性码的深度包检测

-特性库自动升级*＊

—自定义特性码

—流量异常检测和保护

-泛洪检测和保护

-协议异常检测和保护：HTTP/ICMP/TCP/UDP

防病毒

—ICSA认证ZyXEL防病毒或Kaspersky

防病毒引擎

-基于流量的病毒检查

-病毒库囊括最活跃的流行病毒

-检查HTTP/FTP/SMTP/POP3/IMAP4数据流

—自动病毒库升级＊*

—无文献大小限制

-支持黑/白名单

混合型VPNICSA认证的IPSecVPN

-加密:AES/3DES/DES

—认证：SHA—1/MD5

-密钥管理：ManualKey/IKE

-完美前向保护：DHGroup1/2/5

-NAToverIPSecVPN

-网关侦测/延时保护

—支持PKI（X。509）证书

-证书注册(CMP/SCEP)

-Xauth认证

-支持IPSec上的L2TP

SSLVPN

-无需客户端的远程安全接入（反向代理模式)

—安全扩展(全隧道模式)-统一方略执行

-支持双原因认证

—自定义顾客登录

应用控制

-IM/P2P接入颗粒控制

-应用时间，带宽管理

—顾客感知

—支持最新IM/P2P软件（基于IDP特性库）**

-实时状态汇报

带宽管理

-带宽优先级

—基于方略的流量整形

-最大/保证带宽

-带宽借用

垃圾邮件过滤

—区域之间的保护

-通过SMTP/POP3协议检查截取邮件

—支持黑/白名单

—支持DNSBL选择

-状态汇报

高可用性

—设备HA（主备模式）

-设备失效保护

-链路监控

—配置自动同步

—多WAN口负载均衡

—VPNHA(远程VPN网关冗余）

内容过滤

—URL阻断,关键字阻断

—黑/白名单

-制止JavaApplet,Cookies，ActiveX

-动态URL过滤数据库(BlueCoat支援)＊*

顾客数限制

-无限制

网络

—路由/桥接/混合模式

—二层端口捆绑

—Ethernet/PPPoE/PPTP-基于标识的VLAN(802。1Q）

—虚拟接口(接口别名）

-方略路由（顾客感知)

—方略NAT(SNAT/DNAT)

-RIPv1/v2

-OSPF

-IP组播（IGMPv1/v2)

-DHCP客户端/服务器/中继

-内置DNS服务器

-动态DNS

认证

-内置顾客数据库

-MicrosoftWindows活动目录

—外部LDAP/RADIUS顾客数据库

—ZyWALLOTP（一次性密码)**＊

-强制顾客认证（透明认证)

系统管理

-基于角色的管理

—支持多管理员登录

-多语言Web管理界面(HTTPS/HTTP）

—基于对象的配置

-命令行接口（Console/WebConsole/SSH/TELNET)

—全面的当地日志记录

—系统日志（支持4台日志服务器)

—E-mail报警(支持2台邮件服务器）

-SNMPv2c（MIB—II)

-实时流量监控

—系统配置文献恢复/管理

-基于文本的配置文献

-FTP/FTP—TLS/Web韧体升级

—详细的系统汇报(VantageReport）

-集中管理平台(VantageCNM)

3G

—支持WEP/WPA/WPA2加密传播

-PCMCIA:WirelessAC850＊系列

-USB：华为E220*

*:非内置

＊＊：需要有效注册.

＊＊＊：单独采购

认证

-ICSA认证防火墙

-ICSA认证IPSecVPN

-ICSA认证防病毒

遵照原则

—HSF（HazardousSubstanceFree）：RoHSandWEEE

-EMC:FCCPart15ClassB,CE—EMCClassB,C—Tick

ClassB，VCCIClassB

—Safety:CSAInternational（ANS/UL60950-1,CSA60950-1，EN60950-1,IEC60950—1)

硬件规格

—内存容量：256MBDDR2RAM/256MBFlash

—接口:GbEx7（RJ-45withLED)

—接口:速率自动协商，线序自适应

—控制口:RS-232(DB9F)

-拨号备份口:RS—232(DB9M）

-LED指示灯:PWR,SYS,AUX，CARD

-Reset按钮

-扩展卡插槽

-2个USB接口

物理规格

—可上架内含机架固定件

-尺寸：242(W）x175(D)x35.5（H)mm/9.5(W)x6。9（D)x1。4（H）inch

-重量:1。2Kg/2。6lbs

环境规定

—工作温度：0ºC～50ºC/32ºF～122ºF

-存储温度:-30ºC～60ºC/-22ºF～140ºF

—工作湿度：5%~90%（无冷凝)

电源规定

—输入：100～240V;1.2A,50～60Hz

—输出：12V;3。5A

GS—1124A规格阐明遵照原则IEEE802.310Base—TEthernetIEEE802。3u100Base—TxEthernetIEEE802.3ab1000Base-TEthernetIEEE802.3z1000Base—XEthernetIEEE802.3x流量控制IEEE802.1p分组服务优先级控制产品性能巨型帧支持10KbytesIEEE802.1p每个端口上两种优先队列支持不一样的类型传播.线速性能48Gbps不闭塞互换构架互换转发速率:38。7Mpps(1488000pps/1000Base-Tor1000Base-X)MAC地址表4KMACentries缓冲器500kB硬件规格22个1000Base—T+2个双重（RJ-45/SFPslot)千兆接口自动协商支持自动线序反转MDI/MDI—X,电源规定输入电压AC：100-240VAC，50/60Hz最大功率