使用HiPER系列VPN安全網(wǎng)關(guān)解決方案

2019-11-04 22:27:42

字體：大中小

供稿：網(wǎng)友

　　根據(jù)路由器安全特性設(shè)計的要求，HipER系列VPN安全網(wǎng)關(guān)提供了各種網(wǎng)絡(luò)安全解決方案，以適應(yīng)不同的應(yīng)用需求，包括：

　　電子政務(wù)的VPN聯(lián)網(wǎng)

　　和Internet的安全互聯(lián)

　　通過Internet構(gòu)建VPN

　　電子商務(wù)應(yīng)用

　　教育系統(tǒng)校校通的應(yīng)用

　　1、和Internet的安全互聯(lián)

　　使用HiPER系列VPN安全網(wǎng)關(guān)解決方案（圖一）

　　HiPER系列VPN安全網(wǎng)關(guān)提供了和Internet安全互聯(lián)的解決方案，HiPER VPN安全網(wǎng)關(guān)主要是通過基于訪問列表的包過濾和網(wǎng)絡(luò)地址轉(zhuǎn)換，實現(xiàn)以下的功能：

　　基于接口的包過濾

　　可以通過對訪問列表中時間段參數(shù)的設(shè)置，實現(xiàn)對與時間相關(guān)的訪問治理。

　　網(wǎng)管軟件可以監(jiān)控網(wǎng)絡(luò)運行情況，以便用戶的治理和控制。

　　外部主機無法直接訪問內(nèi)部服務(wù)器。外部主機A無法通過內(nèi)部服務(wù)器的實際地址來訪問它，而外部主機B則可以通過路由器設(shè)置的虛擬地址來訪問內(nèi)部服務(wù)器，這樣就可以在一定程度上保護內(nèi)部服務(wù)器。這是通過網(wǎng)絡(luò)地址轉(zhuǎn)換來實現(xiàn)的，若同時配置了帶訪問列表的網(wǎng)絡(luò)地址轉(zhuǎn)換，則還可以限制外部主機對內(nèi)部服務(wù)器的服務(wù)訪問類型（如HTTP、FTP等）。

　　內(nèi)部主機可以路由器的治理下訪問外部Server，在屏蔽內(nèi)部網(wǎng)絡(luò)地址信息的同時，還加強了對內(nèi)部主機的治理。

　　2、通過Internet構(gòu)建VPN

　　HiPER系列VPN安全網(wǎng)關(guān)通過Internet構(gòu)建VPN的方案如。

　　使用HiPER系列VPN安全網(wǎng)關(guān)解決方案（圖二）

　　通過專線方式進行遠地辦事機構(gòu)網(wǎng)絡(luò)互聯(lián)的成本比較昂貴，且利用率低，可以通過Internet來實現(xiàn)網(wǎng)絡(luò)的互聯(lián)，在HIPER系列VPN路由器提供的IPSec-VPN方案中，用戶不僅實現(xiàn)了這一目標(biāo)，而且保證了網(wǎng)絡(luò)傳輸?shù)陌踩浴?

　　HiPER系列VPN安全網(wǎng)關(guān)提供的方案具有以下功能：

　　外出人員可以通過當(dāng)PSTN接入企業(yè)內(nèi)部網(wǎng)絡(luò)

　　外出人員可以通過當(dāng)PSTN接入任一遠程辦公機構(gòu)

　　遠程辦公機構(gòu)可以通過路由器和企業(yè)內(nèi)部網(wǎng)絡(luò)建立安全通道

　　若干遠地辦事機構(gòu)可以相互建立安全連接

　　HiPER所有的VPN產(chǎn)品都支持動態(tài)地址接入。也就是說，互聯(lián)的節(jié)點無需采用固定地址，它們之間就可以建立VPN的連接。這種方式通過HiPER的DNS服務(wù)器，每次撥號時獲得的地址，可以通過HiPER的DNS服務(wù)器分配一個固定的FQDN，也就是主機名+域名。因此，不管地址如何變化，外網(wǎng)訪問它使用不變的主機名和域名。

　　3．上海一家連鎖超市使用HiPER的例子

　　上海某連鎖超市企業(yè)，共有300多家分店，市區(qū)和郊縣都有。目前各個連鎖店的接入方式因地而異，有使用上海電信ADSL的，也有使用上海電信的FTTB+LAN的，還有長城寬帶等其他運營商的LAN接入。在實施VPN之前，他們使用一線通撥號或模擬線路進行數(shù)據(jù)傳輸，隨著業(yè)務(wù)的拓展，以及治理的需要，該超市希望能夠?qū)崿F(xiàn)數(shù)據(jù)的實時傳輸，以及總部對各個分店的實時的視頻監(jiān)控。但是對于實時的數(shù)據(jù)傳輸，假如使用一線通撥號，一方面費用較高，另外一方面，無法滿足視頻監(jiān)控的帶寬需求。

　　根據(jù)客戶的需求，我們?yōu)樘峁┝艘惶谆趯拵Ы尤氲腣PN,視頻監(jiān)控一體化方案。

　　實現(xiàn)功能：

　　實現(xiàn)各個連鎖分店與總部之間的VPN寬帶網(wǎng)絡(luò)連通

　　實現(xiàn)各個連鎖分店與總部之間的POS機的數(shù)據(jù)同步傳送

　　在監(jiān)控中心對部分連鎖超市進行圖像傳送，安裝了監(jiān)控用的攝像頭

　　4．浙江某區(qū)教育網(wǎng)使用HiPER的例子

　　作為經(jīng)濟發(fā)達的省份，浙江省，其中一個區(qū)或者縣擁有較多的學(xué)校。一般而言，學(xué)校內(nèi)部的電腦配置和網(wǎng)絡(luò)配置都不錯，但是學(xué)校與學(xué)校之間的交流就很少。以前，學(xué)校也是經(jīng)常通過窄帶撥號上網(wǎng)，寬帶發(fā)展了，很多學(xué)校都有接入和互聯(lián)的需求，因此接入設(shè)備和互聯(lián)設(shè)備的要求就突出來了。

　　學(xué)校的聯(lián)網(wǎng)要求如下：每個學(xué)校都申請一個10M的光纖線路或者ADSL；要實現(xiàn)所有學(xué)校以及教委之間的互相訪問；學(xué)校要接入Internet；有的學(xué)校有WWW服務(wù)器需要對外發(fā)布；保證安全性；學(xué)校電腦數(shù)量眾多，需要保證學(xué)校的各個部門都可以上網(wǎng)；網(wǎng)絡(luò)具有可擴展性，將來可能使用語音（VoIP）。

　　聯(lián)網(wǎng)的方式是每個學(xué)校配置一臺HiPER VPN安全網(wǎng)關(guān)，既充當(dāng)學(xué)校內(nèi)部電腦連上Internet的網(wǎng)關(guān)，也作為和教委互聯(lián)的VPN網(wǎng)關(guān)。

　　由于需要接入Internet，就需要使用NAT地址轉(zhuǎn)換功能，發(fā)布WWW服務(wù)器需要使用靜態(tài)地址轉(zhuǎn)換；對于學(xué)校之間以及和教委之間互聯(lián)，就使用VPN功能，使用L2TP或者IPSec。對于安全性的考慮可以通過路由器的防火墻功能，假如需要更高的安全性可以配備專門的防火墻設(shè)備。

　　考慮到將來有網(wǎng)絡(luò)內(nèi)部會有VOIP設(shè)備，因為VOIP設(shè)備對帶寬和時延敏感，這樣需要路由支持流量控制功能。采用HiPER系列寬帶安全網(wǎng)關(guān)可以實現(xiàn)QoS(Quality of Service)，因此在未來的應(yīng)用根據(jù)需要可以使用HiPER的QoS控制。

　　建立IP VPN以后為學(xué)校上網(wǎng)和互聯(lián)提供了方便，學(xué)校和教委，學(xué)校和學(xué)校之間的信息傳遞更加順利了。

　　結(jié)論

　　作為IP VPN網(wǎng)絡(luò)的VPN安全網(wǎng)關(guān)需要提供較為先進的安全技術(shù)，包括備份技術(shù)、包過濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換、各種VPN隧道技術(shù)、密鑰交換技術(shù)、高級的IPSec加密技術(shù)、可以選擇多種經(jīng)濟的連接方式（用ADSL, FTTX+LAN，Cable Modem或ISDN），節(jié)省大量的專線費用，支持同時發(fā)起多個隧道，同時撥入和撥出，能提供多種網(wǎng)絡(luò)安全解決方案，適應(yīng)當(dāng)前網(wǎng)絡(luò)發(fā)展的需要。

上一篇：中興GSM網(wǎng)絡(luò)無縫覆蓋解決方案

下一篇：ECOM中小型網(wǎng)吧網(wǎng)絡(luò)解決方案