VPN 技術解決方案
責編:admin |2014-12-30 16:34:23背景介紹
很多大型企事業單位、政府、組織隨著業務的迅速擴展,在全國各地出現眾多分支結構,而有的分支機構或者子公司甚至設立在海外。各分支機構和總部之間,各分支機構之間進行大量的數據傳輸,如OA系統、財務系統、報價系統、資料平臺等內部資源的訪問次數非常頻繁,且數據流量也非常巨大。所以如何提供從發送端、傳輸鏈路到接收端全方位的整體安全解決方案,是各大企業信息管理者關注的焦點。
1.專線成本高、發布站點風險大
很多企業的信息管理者,在考慮總部與分支機構互聯的方案時,首先想到租賃專線實現總部與各分支之間的互聯互通,但動輒每月幾萬到十幾萬的租賃費用讓網絡管理者怯于向公司領導申請該費用。如果把內部服務器的IP地址全部映射到互聯網上面,讓分支員工通過互聯網任意訪問這些服務,那么無異于將公司的全部網絡通信過程呈現在別有用心者的眾目睽睽之下,毫無秘密可言。
2.單純VPN設備功能簡單
聰明的CIO們在放棄了租賃專線這個高富帥的方案后,轉向選擇專門的虛擬專線網絡設備構建安全隧道實現安全互聯,例如IPSec VPN設備可以實現總部與分支之間構建安全的IPSec隧道。可是隨著公司很多擴展,很多前方同事大部分時間不是在客戶那里,就是在去拜訪客戶的路上,并沒有固定的辦公區來通過IPSec VPN訪問公司資源。如果要解決這個問題,還需要部署支持終端安全接入的SSL VPN設備。單純的IPSec VPN或者SSL VPN分別部署在網絡中,不僅設備自身存在安全弊端,而且對于隨著設備數量的增加,成本會急劇上升,設備管理也會變得越來越復雜。
3.內網安全與VPN連接同樣重要
部署了支持多種VPN隧道技術的設備,滿足了分支機構固定辦公區和移動用戶的安全訪問要求,但隨之也帶來了網絡攻擊不斷、病毒擴散迅速的網絡安全隱患。在分支機構的管理比較松散,使用U盤、移動硬盤拷貝數據普遍存在,便攜式計算機在任何接入點都隨意接入互聯網,且沒有定期殺毒和查木馬的習慣。如果員工將感染被病毒或者被種木馬的設備接入到公司網絡中,不僅會影響本分支機構的網絡,而且還會影響全公司的網絡,因為公司網絡間的VPN互聯,使分支機構和總部的訪問像局域網一樣方便,病毒和木馬的擴散也非常方便。
另一方面,由于大多數分支機構的人員較少,每分支IT投入有限,如果再分別購買防火墻、IPS、AV防護等基本安全設備,也是一筆不菲的開銷,如何選取一種性價比高的解決方案成為信息安全管理者不得不面對的問題。所以對于安全產品而言,一體化的綜合解決方案是發展趨勢。
4.隨著VPN設備數量的增加維護越來越復雜
分支機構越來越多,雖然給企業帶來了業務增長,但也給網絡管理帶來了挑戰。每個分支機構的網絡管理者水平不一,而總部又無法監控分支VPN設備的運行情況。如果分支機構VPN設備出現問題,只能從總部派人過去支持,既增加了人力投入成本,又不能在第一時間解決問題。由于分支機構對VPN設備的維護具有一定的難度,所以如何能夠更好的管理和維護遠端的VPN設備就成為了VPN方案中需要考慮的重要問題。
5.網絡環境多樣化,組網部署復雜
由于網絡運營商的提供服務的多樣化,總部和每個分支機構接入網絡的方式也不盡相同,有的分支機構通過運營商分配的固定IP接入網絡,有的分支機構則可能通過ADSL方式動態分配的IP接入網絡;有的分支與總部之間可以直接聯通,有的分支機構與總部之間存在NAT地址轉換設備,可能將VPN設備地址隱藏。所以復雜的網絡環境,對VPN設備接入網絡的便捷性提出了更高的要求。
6.VPN網絡訪問體驗差,影響效率
經過認真的分析和仔細的選擇,VPN網絡已經部署成功,所有分支機構和移動辦公人員都能夠通過VPN安全的訪問公司資源,但VPN技術是通過在公共網絡基礎設施上建立起來的加密隧道,所以在跨國、跨省、跨運營商等長距離傳輸的網絡環境下,丟包較多、網絡延遲較大導致VPN訪問效率非常低。經常出現訪問內網OA系統卡頓、填寫財務報表提交失敗后重填、資料下載異常緩慢等現象,從而影響分支機構和移動辦公人員的工作效率,網絡管理者成為公司員工的吐槽對象。
解決方案
—經濟安全的VPN網絡互聯解決方案
每個企業根據業務規模的不同,對網絡互聯的要求不同。對于分支機構有固定辦公區域的用戶偏向于IPSec VPN組網;對于沒有固定辦公區的分支機構,人員全部移動辦公的企業更傾向于選擇SSL VPN方案組網;對于既有固定辦公區,也有大量的移動辦公人員的公司,需要同時選擇IPSec VPN和SSL VPN的組網方案;對于一些成本壓力影響較大的中小企業或分支機構,只能選擇既有安全防護,又能提供IPSec VPN和SSL VPN安全互聯的低成本一體化方案。
在仔細調研上述客戶需求的基礎上,網康科技推出的NGFW產品1臺設備即可提供經濟安全的VPN網絡互聯解決方案,包括IPSec VPN、SSL VPN和L2TP over IPSec VPN等多種安全隧道技術, 同時還能提供全方位的安全防護方案,包括各種網絡攻擊阻斷、入侵檢測與防護系統、病毒查殺、網址過濾等安全防護功能。網康科技的NGFW產品符合網絡安全設備功能融合、一體化發展的大趨勢。
總部部署方案:
在總部的網絡出口處部署網康NGFW產品,主要對外提供IPSec VPN隧道接口,實現與分支機構的IPSec VPN隧道建立的對接;提供SSL VPN接入的門戶接口,實現移動辦公用戶訪問內網的安全接入;提供全面的安全防護功能,包括傳統防火墻功能、IPS、AV、URL過濾等安全防護功能,實現內網與外網的安全隔離;同時開啟VPN加速功能,保證外部訪問的性能體驗。
在總部的NGFW內部部署網康安全管理中心設備SMC,該設備主要實現對全網NGFW產品的配置管理、安全狀態監控、智能分析等綜合管理功能。總部的信息安全管理者可以通過該設備實現對所有邊界NGFW產品的統一部署和監控分析。
分支部署方案:
在分支的網絡出口處部署1臺網康NGFW產品,主要實現與總部IPSec VPN隧道對接,分支機構內網用戶像訪問局域網一樣訪問總部網絡中的資源。同時提供全面的安全防護功能,包括傳統防火墻功能、IPS、AV、URL過濾等安全防護功能,實現分支機構內部網絡與外網的安全隔離。
網康VPN解決方案價值
1.VPN與安全技術融合
隨著企業規模的不斷擴大,對信息安全也越來越重視。不僅要保證各分支機構與總部之間傳輸數據的保密性,還要保證病毒、木馬等網絡攻擊不能在分支機構與總部之間的網絡內隨意擴散。所以企業既要有多方式的VPN互聯方式,又要有全方位的安全防護功能。
網康NGFW產品能夠提供IPSec VPN、SSL VPN和L2TP over IPSec VPN等不同的VPN隧道技術,既能滿足分支機構和總部之間互聯,有能滿足移動辦公人員安全接入。多種VPN技術在1臺設備上實現,方便用戶的網絡部署和設備維護。同時網康的NGFW產品是國內第一款真正意思的下一代防火墻產品,在提供傳統防火墻基本防護功能的同時,還能夠保持高性能的實現IPS、AV、URL過濾等下一代防火墻的安全防護功能。
2.設備集中管理提升網絡維護效率
一些大型企事業單位、政府、組織的網絡設備部署都是分布式的,總部部署了高端的VPN設備,分支機構也要部署相對低端的VPN設備,對于這么多專業的VPN設備的管理也是不小的挑戰。隨著技術的發展,VPN設備的提供的功能越來越強大,所以要想讓這些功能全部發揮作用,配置也變得越來越復雜。而分支機構的安全管理人員肩負本分支所有網絡設備和其他辦公設備的維護工作,對安全設備的管理水平參差不齊。分支機構的VPN設備出現問題導致網絡不通,本地安全管理者無法定位并排查問題。網絡問題解決的速度慢、效率低非常影響公司正常業務的開展。
網康科技提供的安全管理中心SMC設備能夠實現設備的集中管理、全網狀態監控以及全局威脅分析等功能,可幫助已經部署了多臺NGFW產品的用戶更好的降低管理成本、掌控全網安全狀態,并且在全網大數據挖掘的基礎上實現強大的威脅預警和分析能力。
3.VPN流量加速,提升用戶訪問體驗
隨著VPN設備的大量部署,用戶已經實現了對公司資源的安全訪問,但訪問資源的體驗效果卻成為用戶關心的問題。因為外部員工接入內部網絡時,如果出現訪問速度慢、體驗效果差,首先投訴的就是網絡管理部門。導致VPN網絡訪問體驗效果不好的根本原因是VPN隧道是建立在公共網絡基礎設施上的虛擬專用網絡,所以總部出口帶寬瓶頸、零散分布的多分支機構、跨廣域網的局域網應用等都會對VPN用戶訪問網絡產生影響。
網康NGFW通過單邊加速技術優化TCP連接過程。單邊加速協議通過擁塞避免機制,能夠快速準確的預估網絡中可用帶寬,并根據估計值確定擁塞避免窗口,從而最大限度的利用網絡帶寬。單邊加速協議能夠快速檢測出丟包,并能快速準確重傳該包,對時延較大,網絡狀況較差的情況能夠有效的提升帶寬利用率,通過更改快速恢復過程中發送端可以用來提高發送速率的方法,提供更大的吞吐量。
4.靈活組網、方便部署
每一個客戶的網絡環境都存在很大差異,每個分支機構通過運營商接入網絡的方式不同,分支的VPN設備可能隱藏在NAT地址轉換設備的后面,個別場景需要VPN設備在網絡扮演網關的角色,而又有些場景不允許VPN設備串接到網絡中,總部的IPSec VPN設備與分支機構的設備品牌不一樣。所以VPN設備需要支持各種網絡環境下組網與部署。
網康科技認真分析用戶的各種應用場景,通過在NGFW產品上開發的多種方便靈活的VPN組網方式,適應客戶需求。主要體現在如下功能特點:
支持中心為固定IP,分支機構為ADSL這樣動態IP的組網方式。
支持IPSec隧道2端均為動態IP的DDNS組網方式
采用國際標準IPSec協議,保障不同廠家設備互聯的兼容性。
支持旁路、路由等多種部署方式。
支持對分支機構間的互通,設置訪問控制,提供網內隔離授權管理。
支持證書方式作為分支互聯的認證手段,強化接入安全。
總結
網康的NGFW設備,在提供多種VPN接入技術的同時,也提供了全方位的安全防護功能;在保證各種功能穩定運行的同時,也提升用戶通過VPN訪問內網資源的體驗,所以網康科技能夠為企業提供低成本一體化VPN網絡互連方案。SMC可以實現對部署在遠端的NGFW設備進行集中管理和狀態監控,方便網絡管理者對全網安全狀態的及時了解與分析。
下一篇:網康之美的集團部署方案