聯(lián)華地產公司組網解決方案續(xù)二
IPSec Vpn建立描述:
鑒于客戶對速度的要求�����,vpn的建立使用基于路由模式�����。Juniper防火墻支持兩種模式的vpn建立���,即路由模式和策略模式�,區(qū)別是路由模式依靠tunnel接口傳輸�����,設備負載小���,所以速率相應快;策略模式不需要路由���,完全依靠策略來判斷數(shù)據(jù)的走向���,對于設備本身的負載較大一些,所以傳輸速度也相應慢一些���,但有一個好處就是���,不會占用設備的tunnel,因為tunnel接口是有限的�����,SSG550M的tunnel接口僅有250個,即僅支持250條路由模式的vpn����,而SSG550M宣稱是1000條vpn以上,所以剩余750條隧道就必須使用策略方式實現(xiàn)���。
SSG550M的接入必須采用靜態(tài)ip地址�,做為星狀結構的vpn網絡���,中心端強烈建議使用靜態(tài)ip�,以等待或保持vpn隧道的持繼狀態(tài)�。
根據(jù)要求,所以分支機構的接入全部是各運營商的ADSL非對稱傳輸線路����,為了很好的建立vpn,全局統(tǒng)一確定一個標識用于vpn建立協(xié)商ID����,如,Juniper.com��、juniper.com、cisco.com等�,建立民安網絡中心在我們部署的時候再行確定。(此事關系到信息安全)
設備選型建議:
深圳總部采用兩臺cisco 3845或2851路由器做總匯聚路由設備���;
各區(qū)區(qū)域總公司采用兩臺cisco 2811路由器做為區(qū)域匯聚路由設備����;
各區(qū)區(qū)域分公司均采用cisco 1841路由器作接入路由設備�����;
防火墻設備可根據(jù)辦事處的規(guī)模及用戶數(shù)量��,選擇juniper SSG 140�、SSG20�、SSG5做為接入設備,參考點如下:人數(shù)在100-300之間推薦使用SSG140��、人數(shù)在50-100之間推薦使用SSG20���、人數(shù)在50左右或以下推薦使用SSG5���。
為了提高日后部署的效率,建議在部署時總部統(tǒng)一配置��,然后根據(jù)ADSL帳號所在地,分別將設備發(fā)往辦事處��,然后吩咐辦事處人員將分支設備接入上線�����。
配置方式根據(jù)上述提到的�,在確定了統(tǒng)一的id標識后,然后在各設備上填入即可�。
方案評比:
費用方面:
鏈路費用:1、Ipsec vpn線路是建立在internet之上的虛擬線路���,只需要原有的internet上網線路由采用一種虛擬和封裝技術完成便可���,客戶只需支付上網線路費用即可;
2����、MPLS-vpn線路建立比較方便,但費用較之ipsec vpn要貴一些��,以深圳到北京為例�,開通初裝費為6000元,月租為5000―6000元(由于是長途鏈路)。
設備費用:采用ipsec vpn方式與采用專線方式所需的產品費用相當����,具體產品價格附后,這塊可根據(jù)需采購設備的數(shù)量來定�;
維護費用:采用上述任意一種方式組網后,強烈建議聘請一位網絡工程師做為內部網絡的管理人員���,需獲得相應的網絡認證或網絡管理經驗�����,如CCNA網絡助手或CCNP網絡工程師����,最好是CCSP網絡安全工程師��;
穩(wěn)定性方面:
鏈路:三種鏈路都相對穩(wěn)定�����,但較之SDH最為穩(wěn)定�,MPLS-vpn其次����,ipsec vpn再次之�;
設備:推薦使用的cisco及juniper均是國外知名廠商生產��,穩(wěn)定性非常好�����。
利用率方面:
經過我們長時間的實現(xiàn)與測試�����,SDH線路雖很穩(wěn)定�����,但其真正的鏈路使用率也僅為70%����,
MPLS-vpn使用率為70%,ipsec vpn的利用率未定�,因為必須取決定internet線路質量及加
密設備的性能,采用ipsec vpn的方式建議選用硬件級芯片來運行加解密工作���,這樣一來就
可以提高ipsec vpn線路的使用率���。
延時及速率方面:
MPLS-vpn與SDH傳輸?shù)难訒r及速率方面都很不錯���,一般都可以達到運營商承諾的水準,ipsec vpn線路延時和速率也會受到Internet線路及加密設備的影響���,如ADSL線路���,其上行為512Kpbs,而下行為2048Kpbs����,本身的速率就是這樣。但如果是電信IP城域網專線���,例如2M線路���,其上下行均為2048Kpbs,速率就與2M的SDH或MPLS-vpn專線相同����,而且延時非常小�。另外����,如果再使用cpu級的路由器或防火墻進行ipsec vpn封裝�����,那么鏈路的速率就會更加降低�����。所以如果采用ipsec vpn的方式組網�,建議選擇質量好一些上網線路及性能好硬盤防火墻設備。
安全方面:
數(shù)據(jù)安全:就專線本身而言���,是由鏈路運營商提供給用戶的���,本身的功能是承載數(shù)據(jù)并傳遞
數(shù)據(jù),但對數(shù)據(jù)的內容和狀況不做任何的修改����,也不加任何的保護,攻擊者可以利用這點捕獲到客戶公司的數(shù)據(jù)��。(當然也可以利用設備在專線的基礎之上加ipsec封裝)
Ipsec vpn本身的安全性是最高的�����,它是利用設備本身很強的加密及hash算法運算而成的,所有的數(shù)據(jù)內容及狀況都經過多次的加密及散列合成�,至今無人可能破獲ipsec vpn內的數(shù)據(jù)。
訪問安全:方案二中以專線方式組網�����,是利用cisco路由器來互聯(lián)����,訪問安全這塊可利用路由器的訪問控制列表做一些控制。
方案一中利用防火墻可對基于狀態(tài)檢測的策略����、應用層IPS檢測來對任何來訪或去訪的流量進行控制。
病毒��、木馬:利用專線的方式組網�����,可以完成公司所需的基礎網絡的建設��,如果不加設安全設備��,如防火墻或入侵防御系統(tǒng)���,其安全性還是得不到提高的�。網絡一旦建立���,任何一個節(jié)點出現(xiàn)病毒感染都有可能感染給全公司的用戶pc甚至總部服務器����。因為這種基于路由器的簡單的控制列表不能限制或檢測到應用層的攻擊與病毒木馬等惡意行為��。改善的辦法就是增加新的安全設備���,部署在主要通信干線上���,用以過濾過往的訪問流量,對其中的各種流量進行防病毒過濾和應用層檢測(可參考改進方法二)
Ipsec vpn稱為虛擬專網�����,一旦建立后可以達到專線組網一樣的效果��。不錯���,ipsec vpn本身可以對數(shù)據(jù)進行加密�,以防止他人截獲或篡改,但如果是病毒和木馬數(shù)據(jù)也仍然可以得到保護���,同時傳遞給對方����。所以方法一中雖提出了使用防火墻建立ipsec vpn�����,然后在防火墻上加載防病毒模塊及IPS模塊����,部署在匯聚點上,對過往ipsec vpn的加密數(shù)據(jù)進行病毒與木馬等代碼的檢測���。較之來說使用方法一安全性要高一些���。
服務發(fā)布:現(xiàn)有的web及E-amil服務是通過cisco2851進行發(fā)布的,不能檢測攻擊與入侵�����。
二個方案中,利用防火墻的方式發(fā)布服務�����,然后加載IPS可以對網絡攻擊及入侵進行檢測并防御�。較之來說利用防火墻方式安全性要高一些�。
聯(lián)華地產公司組網解決方案
聯(lián)華地產公司組網解決方案續(xù)一
