技术护航保应用
经过对多种国内外产品的现场测试,北车集团最终选定了美国NetScreen的集防火墙/VPN于一体的产品,并选择了北京安泰成发科技公司作为供货商。NetScreen产品 拥有专有芯片和多总线体系结构,同时内嵌高速RISC cpu和专用软件。NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器,使用状态检查的方法来实现动态的包过滤与链路层代理。同时,该防火墙集成了VPN功能,保证了数据在传输过程中的加密和解密。NetScreen产品支持IPSec标准,提供用户和信息的认证。另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能。
集团总部是虚拟专网的核心,它负责和20余个下属企业进行VPN通信。因此集团决定在总部配置一台NetScreen 204设备。 NetScreen 204能提供1000个VPN通道,防火墙速度达200M,3DES数据加密处理速度为200M,并发的数据会话可达128000个。
在下属企业的网络中,根据其交换数据量选择配置NetScreen 204或NetScreen 25产品。其中,NetScreen 25提供1000个VPN通道的连接能力,防火墙速度达100M,3DES数据加密处理速度为20M,并发的数据会话可达4000个,可以满足目前下属企业的数据量要求。
由于下属企业联入Internet采用不同的方式,存在着静态或动态IP地址连接到Internet的两种情况。对于静态IP地址连接到Internet的企业,按照一般网关到网关的方式实现与总部静态的VPN连接,对于动态IP地址连接到Internet的企业,利用NetScreen产品在外网接口上提供PPPoE特性,与集团总部建立动态的VPN 通道,从而可以建立整个集团的高速虚拟专网。
在NetScreen产品配置中,可以把网络原有的Proxy服务器放在NetScreen防火墙的DMZ区,对外提供一个公有地址,对内用私有地址和防火墙内部的主机进行通信。 在保护内部网络的同时,内部主机利用防火墙通过私有的通道和总部的数据服务器通信,无论是上传还是下载,整个过程是经过高度加密的,利用3DES/MD5加密/认证算法,可以较高级别地保证交易数据的完整性、安全性和保密性。VPN的建立是和防火墙的系统策略相关的,访问Internet的数据不走VPN的通道,可以实现VPN连接和Internet访问的同时处理。在防火墙的系统配置中,网络用户的Internet访问通过地址转化NAT的方式进行,并且可以设定两种应用的不同带宽,保证VPN通道数据的带宽为最大,从而使访问Internet的数据流量完全不影响私网数据的传送。
对于出差与家庭用户可以通过在计算机上安装NetScreen Remote VPN软件,配置相应的VPN策略,用户只需拨通本地ISP,即可与集团总部实现VPN连接,访问集团总部网络资源。为了预防由于Internet网络出现故障影响集团虚拟专网的使用,集团在总部NetScreen 204提供的DMZ区配置了一台远程访问服务器,开通16部电话用于远程VPN通讯。
