邁普SOHO方案：建VPN便宜又安全

2019-11-04 21:29:57

字體：大中小

來源：轉載

供稿：網友

　　　邁普公司推出的MPSec系列網絡安全產品（包括防火墻、VPN網關、系列安全路由器以及設備證書治理系統），可以提供各種網絡的安全解決方案。近日，邁普公司又推出了系列SOHO網絡安全產品（MPSec FW505、MPSec VPN3005以及MP800系列安全路由器）。SOHO網絡安全產品的推出，解決了采用ADSL等使用動態ip地址的網絡環境下組建VPN的問題。
　　　　
　　　　 網絡結構
　　　　
　　　　如圖所示，利用MPSec FW520、MPSec VPN3005、MPSec VPN VRC和MP800安全路由器組建星型VPN網。在該VPN網絡中，分支結構的用戶投資非常少。此方案支持固定、動態IP地址的分配方式，適用于不同線路類型用戶的接入，上端MPSec-FW520可以完成對網絡的流量治理、計費等功能。
　　　　
　　　　 網絡方案
　　　　
　　　　 中心結點 　　
　　　　在方案中，網絡中心放置一臺MPSec-FW520(帶VPN模塊)或MPSec VPN3020作為中心結點，提供VPN接入功能。該設備的IP地址采用固定的外網IP地址，以便下端采用動態IP地址的結點訪問。所有下端分支辦分室相互之間的通信需要通過MPSec-FW520來轉發完成。
　　

　　　　邁普公司動態IP地址網絡VPN解決方案圖　　　
　　　　 MPSec-FW520與兩個分支辦公室分別建立VPN隧道，并將報文在兩個隧道內轉發。它實現IPSec建安全隧道，并通過IKE實現密鑰協商和用戶認證。MPSec FW520支持邁普公司獨創的安全域技術，可以將不同的分支結構劃分為不同的安全域，同一個安全域中的不同結點之間可以進行通信，不同安全域之間不能通信。在一個安全域中，所有的結點網絡的IP地址采用統一規劃，不同安全域各自采用的IP地址可以重復?！　　?br />　　　　中心結點可采用雙機熱備份功能增強系統的可靠性。備份機與主機共用一個IP地址，之間采專心跳協議進行自動備份探測，兩臺相互備份的設備之間可以自動對配置文件進行備份。MPSec-FW520可以工作在路由方式或透明方式下，還支持防火墻功能?！　　?br />　　　　 邊沿結點 　　
　　　　分支用戶使用MPSec VPN3005或MP800安全路由器，作為接入網絡的設備。這兩款分支接入設備都支持ADSL、以太網絡的網絡接入方式，均采用標準IPSec實現VPN，并支持IKE以及邁普設備證書治理系統的在線證書治理并且支持第三方的證書?！　　?br />　　　　在網絡中，邊沿網絡設備可以采用固定IP地址或接受ISP分配的臨時動態IP地址。采用固定IP地址時，在設備上需要指定中心結點的IP地址，在中心結點上也需要設置分支結構的IP地址；當采用動態IP地址時，只需要在分支結構的設備上設置中心結點的IP地址，然后在中心結點給每一個分支機構分配一個用戶名、口令即可?！　?
　　　　 MPSec VPN3005支持DHCP Server/Client，在需要時可以為接在信任端口的內網主機分配IP地址，實現多臺PC同時上網，并支持防火墻功能。對于接在分支網絡的用戶，可以選擇上Internet或VPN進入公司內部網絡。當需要進入公司內部網絡時，網絡中的PC需要通過認證程序通過MPSec VPN3005/MP800的用戶認證?！　　?br />　　　　 移動用戶的接入 　　
　　　　移動用戶運行專用客戶端軟件，其他連接方式與其他分支用戶相同。　　
　　　　 方案優勢 　　
　　　　方案解決了分支機構在采用動態IP地址接入網絡環境下實現VPN的問題，使用戶既可以采用便宜的ADSL等寬帶接入方式保障帶寬，又可以采用硬件加密技術實現網絡通信保密。　　　
　　　　采用IPSec進行報文的隧道封裝，提供數據完整性保護和機密性保護。對數據的加密采用國密辦批準的SSP02A加密算法實現?！　　?br />　　　　進行隧道封裝時，提供多種強度隧道的選擇，可選擇只進行完整性保護、機密性保護或同時進行兩種保護，并提供多種算法供選擇。還可根據用戶要求嵌入用戶自已的算法。對于不同的用戶也可以采用不同的加密強度?！　?
　　　　投資少，用戶只需在中心結點選擇一臺高性能的設備，邊沿結點只需要選擇邁普公司的SOHO網絡安全設備即可。在這種應用下，邊沿結點的用戶只需與中心結點建立一個隧道，即可完成與所有用戶的通信，因此對于邊沿結點的VPN設備性能要求不高?！　?
　　　　可擴展性好。該方案由于每個結點都與中心結點連接，不存在相互建立連接的過程。因此添加設備時，不會對網絡造成結構上的影響，只須改變新加結點和中心結點的部分配置即可實現網絡的擴充?！　　?br />　　　　中心結點支持流量治理和計費功能，可以以用戶方式對下端進行控制?！　　?br />　　　　支持多種IP地址分配方式和多種類型的線路接入，適用于固定IP和動態IP，解決了動態IP接入的問題。

上一篇：ADSL寬帶接入及其網絡優化方案探討

下一篇：安全的低成本家庭上網方案