1、方案中使用的VPN多接口防火墙设备:
企业总部:安装一台普天网安PT-WA2000A防火墙,内置硬件VPN模块。主要技术参数:8个以太网接口,590Mbps吞吐量,1百万并发连接数,1200条并发VPN通道数。
企业分部:每个分部各安装一台普天网安PT-WA1000A防火墙,内置硬件VPN模块。主要技术参数:4个以太网接口,200Mbps吞吐量,35万并发连接数,120条并发VPN通道数。
2、网络优化:
普天网安防火墙可以在不改变原有网络拓扑结构和IP资源规划的情况下,平滑地接入到网络中,能适应各种中大型复杂网络环境;充分利用多接口将服务器置于DMZ安全区域,并将内网分组连接到不同的接口上,进行细化管理,利用Cos/Qos动态流量控制功能管理网络带宽和流量,保证内网重要用户的带宽和安全,充分优化原有网络结构。
3、VPN组网:
总部与分部之间无需铺设专线,无需花费昂贵的长途费用,总部及各分部只需接入互联网,即可实现总部与分部的互联;互联后的总部与分部形成一个虚拟的私有星型连接局域网络。总部领导置身于家中通过安装了VPN客户端软件的(或微软操作系统自带的PPTP/L2TP客户端软件)计算机(必须是可以上互联网的计算机,通过ADSL/VDSL/56k拨号及其它方式接入),即可联入企业网络登录到OA、ERP系统平台上实现家庭办公;领导出差在外,无论处于何地,只要身边有一台安装了VPN客户端软件(或微软操作系统自带的PPTP/L2TP客户端软件)的笔记本电脑和无线上网卡(CDMA 1X/GPRS),即可轻松联入企业网络实现移动办公。
3.1使用集成了安全网关的防火墙作为VPN网关的优点:
◆防火墙可以保护安全网关
◆因特网连接不依赖于安全网关
◆防火墙能够检测来自VPN的解密后的数据流,并记录日志
◆支持漫游用户
◆不需要给所有进入VPN的内部客户添加特殊路由
◆能够实现VPN与防火墙策略的无缝集成
如果使用路由器做VPN接入,由于路由器主要是起路由数据包的作用,并不是单纯的安全设备,所以从安全策略和访问控制等方面比起防火墙做接入要差很多,VPN接入的灵活性也要差很多。
如果使用单纯的VPN安全网关做VPN接入,这种设备在防火墙技术上要逊色不少,路由策略方面更是差很多。
因此使用集成了安全网关的防火墙作为VPN网关是最佳的选择。
3.2普天网安VPN技术:
普天网安VPN支持传输模式的VPN技术和隧道模式的VPN技术,通过这两种技术实现不同种类的VPN接入,形成了五彩缤纷的VPN接入。 普天网安VPN设备使用IPSec协议来实现VPN的技术。IPSEC是一个应用广泛,开放的VPN安全协议。通过IPSec协议,普天网安VPN提供以下安全服务:接入控制,数据完整性,数据源认证,防重放,加密,防传输流分析。普天网安VPN支持一系列加密算法如AES、DES、3DES、IDEA、Twofish、Blowfish、CAST-128等,支持X.509证书和共享密钥的认证方式,支持MD5和SHA等Hash算法。
4、跨区域办公、移动办公的实现:
整个组网过程中,原有的网络系统硬件和管理系统无需作任何改动;原局域网中实现的功能,譬如登录远程域控制器等无需作任何改动即可实现。一旦建立VPN网络,即刻实现远程实时运行OA、ERP系统,原局域网中可以在OA、ERP平台上实现的管理功能,VPN组网后的网络都可以轻松实现;并可实现总部与分部的跨区域联网办公,以及出差移动人员的移动联网办公,真正实现企业的无纸化办公。
5、灵活的网络安全策略控制:
普天网安防火墙安装在企业总部和分部网络的出入口上,将企业内网与外网(互联网)安全隔离,通过防火墙的访问控制规则和动作:Drop、Reject、FwdFast、Allow、NAT和SAT等,内网与外网的互相访问策略都可以在防火墙上轻松实现。其中FwdFast是直接转发数据包,而不进行基于状态的检测,这在企业网络因客观原因而欠合理的时候也可以把防火墙无缝地部署于其中,而无需损失安全性。
6、利用附加功能,提高投资回报率:
防火墙不仅可以为企业完成安全保障任务,还可以为企业提供更多的附加功能,这些功能包括对VLAN间路由的支持、对DHCP服务器的支持、对认证和计费的支持、对网络流量进行管理等一系列重要功能。当然这样的功能系列中也会包括用于提供更高安全性的GRE通道功能、PPTP、L2TP和IPSec VPN功能。
就是更换新的设备或者更换更好的线路。
1.为了网络运行所以对线路进行割接,和服务器定时维护一样。
2.性能提升,设备的更新。
3.线路扩容或者说重新调整环网的树模式。
4 .光路用光纤连接新老设备。
5 .数据电路割接用专用的数据电线来连接新老传输设备端子。
进行机房、网络割接前需要撰写详细的割接方案,流程,规范报部门及公司领导审批。具体主要包括以下内容:1.任务分工天耀公司全面负责项目实施、业务规划、项目安排及协调等工作; 用户方负责网络及设备、业务、用户等资料的提供和项目督导; 专线营运商负责线路及其他设备的安装及链路调通等工作。2.割接准备工作1)保持原ISP网络通畅,设备运行稳定可靠。 2)总部与分支设备运行稳定可靠。 3)总部与分支的业务运行正确。4)总部与分支链路设备配置备份保存,原网络拓朴状态配置保存。5) 网络拓朴状态更变相关部分的设备端口与线路标签明显标注,并预有备份端口与备份线路(电缆等)。6)模拟接入设备,路由正常,模拟网络流量按预期目标检测成功。 7)用户方申请确切的割接时间。3. 割接步骤1)再次确认总部与分支机构网络与业务运行正常。2)F5设备离线预配置。3)在时间窗口内,将F5设备接入网络中。4)在线配置F5设备,验证配置。5)配置网络设备与F5配套工作,配置暂不保存,配置验证。6)网络连通测试,网络测试效果。7)用户业务,检查业务测试效果。8)确认网络运行与业务运行正常。9)再次确认网络运行与业务运行正常。4. 回退 割接过程中如不成功,则按反程序进行回退。收集数据,分析情况。之后再确定选定时间进行再次割接。1)时间窗口内预留退回操作时间。2)在时间窗口预定时间内不能完成设备割接时,执行退回程序;3)回退流程:3.1)断开新设备网络连接;3.2)按原网络拓朴状态图进行设备连接,接好端口和线缆;3.3)复查端口和线缆连接的正确性;3.4)灰复原设备配置,检查设备配置正确性;3.5)检查、测试接口、线路运行情况;3.6)检测网络可用性,检测的用户业务用可性;4)收集、分析升级不能按时完成各种因素,撰写报告。5. 割接后续工作 业务测试及确认:1)按照本次割接所涉及的业务种类,制定详细业务证实、测试步骤及方法;2)用户方在割接完成后按照《割接后业务测试表》进行逐步、逐项业务测试、验证;3)集成商负责进行设备及业务的证实工作;4)业务割接后网络及大部分业务正常,但不可避免极少不正常的情况,经几方确认后,填写好《遗留问题及处理报告》、《完工报告》及《完工验收通知书》其他工作1)各设备做好系统、业务数据的备份; 2)割接后清理现场,保持正常的机房秩序。欢迎分享,转载请注明来源:夏雨云
评论列表(0条)