铭冠科技深信服方案技术说明
(1) 总部IDC数据中心业务网络出口位置部署台Sangfor深信服高端SSL VPN设备作为全国分支VPN接入的服务器端,由其来承载集团总部各种重要业务系统,并通过远程应用发布的方式,来实现分支用户使用各种智能端终安全快速的接入访问;同时,后续可在总部部署两台SSL VPN设备互为备份,达到冗余保障的要求,提供高稳定性的服务和数据交付;
(2) 总部数据中心单臂方式部署SC集中管理平台,全网设备统一接入集中管理;
(3) 利用总部的VPN服务器中的ipsec核心模块和各分支的MIG小设备进行IPSEC VPN隧道建立、通信;
(4) 各分支部署MIG多功能VPN网关设备,在各分支网关出口处都对私网IP段做隧道内NAT,解决各分支访问IDC机房时的IP冲突问题,同时根据各分支需要MIG设备还支持WIFI接入功能;
铭冠科技深信服IPSEC VPN组网说明
方案中集团总部和各分支之间通过SANGFOR IPSec VPN建立高速安全的VPN隧道,整网信息相当于局域网的传输,SANGFOR IPSec VPN具有以下特点:
(1)基于安全的IPSec协议、完备的接入鉴权机制
SANGFOR MIG网关遵循的是IPSec协议,IPSec是目前最为安全VPN协议。MIG加密使用AES128位加密算法,该加密算法是美国国防部采用的标准,比同等级别的3DES快3倍。SANGFOR VPN网关内置RADIUS服务,完成对接入分支、移动的用户名,密码认证。同时SANGFO MIG网关中使用了深信服公司的专利技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证。通过该认证方法,只有指定的机器才能接入。
(2)细致的VPN用户权限划分及隧道内流控技术
SANGFOR MIG网关采用VPN权限粒度分析技术,可以简单灵活的指定每个VPN用户的具体权限,可以细致到端口级别的权限,通过这项技术可以使得指定的资源只有授权的用户才能访问。同时为了保障组织带宽合理分配,VPN连接的稳定可靠,SANGFOR MIG增加了隧道内流控功能,在总部VPN设备上对VPN账户或组设定【发送/接受流量上限】,分支接入时此策略下发到分支或移动,分支或移动根据下发的策略进行流控,超过限制的包将被丢弃。
(3)便捷的IPSec VPN隧道内NAT技术
隧道内NAT可以实现在两个或多个分支间发生子网冲突的时候,对其中几个分支子网地址启用虚拟IP段进行NAT,保证访问总部的子网地址都是不同网段。其原理是:在两个或多个分支间发生子网冲突的时候,对其中几个分支子网地址进行NAT,对有冲突的分支账户启用虚拟IP段(可按需求配置多个虚拟IP网段),分支对虚拟网卡送来的数据先替换源IP为虚拟IP(即使用SNAT),主机号保持不变,之后发送到总部,对总部送回的数据根据之前的替换映射关系还原源IP之后在发送到虚拟网卡。这样有相同内网段的几个分支都可以同时连上总部。
具体实现方法是, 在总部的VPN设置->虚拟IP池,建立虚拟IP池:
网段数为分支之间冲突网段中需要转换的网段数目,可属于多个分支。然后在总部用户管理中为相应的分支建立用户,并在用户设置界面中的高级设置中的隧道内NAT中进行SNAT的源虚拟IP设置:
4
隧道内NAT转换前和转换后的IP地址是一一对应并且为固定对应的。如上图,源IP为192.168.2.100的源真实IP,转换之后的的源虚拟IP就为192.168.3.100,这个对应是固定不变的。
(4)多线路复用技术及VPN断线重连功能技术
SANGFOR MIG网关多线路复用技术是深信服公司的专利技术之一,通过该技术可以在两点间同时使用多条Internet 线路实现互联。一方面通过线路复用实现互联带宽叠加,大大增加大数据量业务的处理速度,另一方面,当其中的一条线路中断时,系统可以把负载自动切换到其他线路,使得互联线路不中断,大大增强VPN系统的稳定性。并且若故障线路恢复正常,VPN的连接隧道将自动愈合,保证了用户的重要应用持续、不间断地稳定运行。
(5)集成快速流压缩技术
SANGFOR MIG网关在IPSec 封装中集成了快速的压缩算法,同时也可以作为加密的加强。压缩算法采用LZO,比传统的ZIP快出近10倍,能很好的保证传输的实时性。在启动了该流压缩选项后,能极大的减少冗余数据流量,增大传输效率;平均而言,将传输效率提高到130%。因此,在大多数情况下,使用SANGFOR MIG网关传输数据比不使用VPN的直传数据还要快。
(6)完善的日志功能及简单方便的配置备份和恢复
SANGFOR MIG网关集成完善的日志服务,提供信息日志,告警日志,错误日志和调试日志等多种类型的日志,能极大的帮助网络管理员分析和维护整个网络系统。由于有独立的日志服务器,因此日志空间仅受管理员分配的存储空间的限制。SANGFOR MIG网关采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能,同时管理员还可以在本地配置好远程网络,利用配置恢复功能在远程导入配置。
(7)其他特色功能
隧道间路由,实现两点间在不直接建立VPN情况的互访
分支通过总部上网,总部可以控制分支互联网的访问行为
选路策略细化到用户,实现在多个最优线路上链路负载
(8)高易用性及快速部署
SANGFOR MIG可以与SC集中管理产品无缝的融入,方便管理IPSec VPN网络上的设备,全面综合地解决了大型VPN网络难于管理、安全隐患多和IT管理成本大的问题。通过SC强大灵活的管理手段,IT管理员位于任何地方都可以清晰直观的了解任意一台VPN设备的运行情况,并对出现的问题可以及时做出处理。
深信服SSL VPN组网说明
(1)远程应用发布EasyConnect
深信服EasyConnect远程应用发布解决方案通过SSL VPN和企业内网部署的终端服务器,将企业应用程序界面用图形的方式呈现于智能终端之上。在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问,解决企业用户通过iPhone、iPad、Android等智能终端访问的问题,实现业务数据快速迁移,同时保障业务系统数据不落地,存储在终端服务器,同时根据本地用户习惯,融入本地输入法、打印机、本地签名等提升用户使用便捷度。
(2)应用系统安全加固
在系统安全加固方面,采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。
由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
(3)专网内隧道逻辑隔离,构建统一应用平台
对于已经建立专线组网的分支,将应用系统以SSL VPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。根据不同分支客户、不同应用进行对应权限的开放/关闭,但分支用户登录SSL VPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发,对于用户权限外的应用,SSL VPN将自动阻断其连接,实现IDC对不同的客户访问权限进行精细划分和控制,防止恶意盗链。
(4)应用访问审计安全
SANGFOR SSL VPN网关提供了管理日志和服务日志两大类型日志。管理日志可提供管理员访问、操作日志,服务日志提供信息、告警、调试、错误日志,方便管理员对系统进行诊断。
管理日志
为了更好的了解VPN网关的运行、使用情况,SANGFOR SSL VPN还提供了独立的日志中心,仅需要在内网中使用一台主机安装日志中心软件并进行相应配置,即可将SSL VPN的各类详尽日志实时的同步到独立日志中心。
独立日志中心中详细记录包括用户访问日志、资源访问日志、安全日志、管理员日志、系统日志五大类型的日志,提供丰富的流量、流速、访问频度统计排行及报表,为管理员提供最为丰富的审计记录,便于日后的风险防范,同时也为进一步的网络规划、应用规划提供详尽的数据支持。
用户日志:用户访问日志(登录IP、访问资源、时间、认证方式)、用户活跃程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询;
资源日志:资源活跃程度统计、无效资源统计、资源流量排行及查询、资源流速趋势及查询等;
管理员日志:管理员操作日志(管理员IP、时间、管理员、行为、对象、操作结果、详情)等;
安全日志:告警日志(暴破登录攻击记录、CPU长时间占用过高记录、设备内存不足)、用户暴破登录、主从用户名非法访问记录等;
系统日志:分为信息、告警、错误、调试四个日志等级,记录包括防火墙、防Dos攻击、多线路状态检测、邮件告警、SSL VPN等多种系统日志。
(5)WebCache加速
每当进行Web页面访问时,Web页面中的JS、CGI动态元素被反复请求,每次都要占用带宽,严重影响了传输效率。
SANGFOR SSL VPN采用WebCache加速技术,利用浏览器缓存和字段检测实现动态元素的快速调取,提高动态页面的解析速度,实现用户访问的速度提升。
(6)Web优化
现在许多Web页面都是针对电脑进行设计的,一旦使用PDA、智能手机等手持移动终端访问,就会出现显示比例失调、访问速度慢的问题,用户的体验大大降低。
为了提升手持移动终端用户的SSL VPN使用效果,SANGFOR SSL VPN提出了Web优化技术,通过过滤策略、缩小策略、模糊化策略等对页面元素进行智能处理,非常好的的匹配手持移动终端用户的界面显示效果。同时,经过过滤、缩小、模糊化处理的页面元素所占的数据量也将缩减,传输速度将进一步提高。
Web优化技术支持通过黑白名单的方式进行资源的动态选择优化。
(7)IP Tunnel加速技术
SANGFOR SSL VPN采用IP Tunnel技术对于IP资源进行加速。将数据传输和控制命令传输通过UDP和TCP两条隧道并行,使用UDP隧道快速的传输数据,使用TCP隧道可靠的传输控制命令。在进行UDP握手时不成功,则立刻将数据切换回TCP隧道进行传输,最大的提供IP资源的访问速度。
深信服VPN集中管理平台SC说明
深信服集中管理平台产品可以实现对网络中的深信服产品进行集中式统一的管理,管理人员只需简单几步的操作即可对分布各地的网络设备进行统一管理、实时监控、异常告警、远程维护、智能升级。通过部署深信服集中管理平台,能够有效提高网络管理效率,降低管理成本,减轻管理员负担。
(1)实时监控、异常告警
通过深信服SC集中管理平台,IT管理人员可以实时查看到整个VPN网络的所有设备的运行情况和VPN链路状态并显示整网VPN设备的拓扑,同时对于分支网点设备的异常情况能作出细致的显示。并能实时查看到任何一台设备的历史日志,方便管理人员快速查找出设备故障的原因。
在线网点设备实时信息
网点异常实时信息
(2)统一配置、远程维护
通过SC中心端设备可对全网VPN进行配置信息和安全策略的经加密后集中下发,有效的统一的整网VPN设备的配置、安全策略的同时,大大减少了IT管理人员的工作量。
设备网点远程维护
客户案例参考
美特斯邦威
客户背景
“美特斯·邦威”是美特斯邦威集团自主创立的本土休闲服品牌。美特斯邦威集团公司于1995年创建于中国浙江省温州市,主要研发、生产、销售美特斯·邦威品牌休闲系列服饰。品牌名称凝聚了集团创始人周成建先生永不忘却的民族品牌情节和对于服饰文化的情有独钟。 在社会各界及广大消费者的关心与支持下,美特斯邦威集团迅速发展壮大。
需求分析
美特斯邦威全国有30多家分公司,海外有分支。零售体系分为直营店模式、加盟店模式。截止2010年,其门店总部达到3000+多家。原有VPN体系介绍:美特斯邦威很早就开始全网部署并使用了cisco vpn系统。但是多年使用下来出现了故障率高、易用性不强、扩展性不高、安全性不完善等典型的问题,针对这些问题,决定进行VPN系统的改造,最终选择了SANGFOR深信服科技。
深信服解决之道
部署说明:
1、总部数据中心业务网络出口位置部署两台Sangfor深信服高端VPN设备作为全国门店VPN接入的服务器端,上面承载各种重要的核心业务系统,两台设备同时互为备份,达到冗余保障的要求,提供高稳定性的服务和数据交付;
2、利用总部的VPN服务器中的ipsec核心模块和门店的IPSEC小设备进行IPSEC VPN隧道建立、通信;利用总部VPN服务器中的SSL模块给每个门店下发一个SSL授权,做为门店IPSEC硬件小设备的VPN备份---相当于全网用了ssl vpn备份了ipsec vpn;一套硬件解决了两个问题,ROI投资回报比非常高。
3、同时利用总部的SSL VPN模块给全国一级分公司办公人员以及总部部分经常会出差或下班后在家需要业务接入的人员下发SSL授权。可以让他们随时随地进行业务行为---这里做了严格资源权限划分,防止泄密和非法窜访等行为带来的损失。
4、未来美邦会利用sangfor ssl vpn中的安全沙盒功能对第三方合作伙伴进行业务数据和办公网的逻辑隔离,防止机密数据泄露。
铭冠科技专注网络安全上十年,诚信经营,提供专业服务!敬请联系我们!
广告
[产品型号] : 深信服VPN实现公司总部+分支组网方案
[销售价格] : 面议
[公司名称] : 广州铭冠信息科技有限公司
[公司地址] : 广州市天河区科韵北路119号棠韵大厦303
[联系电话] : 020-85546375/85548284/13560355825
[联 系 人]: 叶先生 sales@gzmcrown.com
