聯(lián)華地產(chǎn)公司組網(wǎng)解決方案續(xù)二
IPSec Vpn建立描述:
鑒于客戶(hù)對(duì)速度的要求,vpn的建立使用基于路由模式����。Juniper防火墻支持兩種模式的vpn建立,即路由模式和策略模式���,區(qū)別是路由模式依靠tunnel接口傳輸�,設(shè)備負(fù)載小����,所以速率相應(yīng)快��;策略模式不需要路由����,完全依靠策略來(lái)判斷數(shù)據(jù)的走向,對(duì)于設(shè)備本身的負(fù)載較大一些,所以傳輸速度也相應(yīng)慢一些�����,但有一個(gè)好處就是����,不會(huì)占用設(shè)備的tunnel,因?yàn)閠unnel接口是有限的���,SSG550M的tunnel接口僅有250個(gè)���,即僅支持250條路由模式的vpn���,而SSG550M宣稱(chēng)是1000條vpn以上,所以剩余750條隧道就必須使用策略方式實(shí)現(xiàn)。
SSG550M的接入必須采用靜態(tài)ip地址����,做為星狀結(jié)構(gòu)的vpn網(wǎng)絡(luò),中心端強(qiáng)烈建議使用靜態(tài)ip�����,以等待或保持vpn隧道的持繼狀態(tài)���。
根據(jù)要求�����,所以分支機(jī)構(gòu)的接入全部是各運(yùn)營(yíng)商的ADSL非對(duì)稱(chēng)傳輸線路���,為了很好的建立vpn�����,全局統(tǒng)一確定一個(gè)標(biāo)識(shí)用于vpn建立協(xié)商ID,如�,Juniper.com、juniper.com��、cisco.com等,建立民安網(wǎng)絡(luò)中心在我們部署的時(shí)候再行確定����。(此事關(guān)系到信息安全)
設(shè)備選型建議:
深圳總部采用兩臺(tái)cisco 3845或2851路由器做總匯聚路由設(shè)備;
各區(qū)區(qū)域總公司采用兩臺(tái)cisco 2811路由器做為區(qū)域匯聚路由設(shè)備��;
各區(qū)區(qū)域分公司均采用cisco 1841路由器作接入路由設(shè)備����;
防火墻設(shè)備可根據(jù)辦事處的規(guī)模及用戶(hù)數(shù)量,選擇juniper SSG 140、SSG20����、SSG5做為接入設(shè)備,參考點(diǎn)如下:人數(shù)在100-300之間推薦使用SSG140�����、人數(shù)在50-100之間推薦使用SSG20�、人數(shù)在50左右或以下推薦使用SSG5����。
為了提高日后部署的效率,建議在部署時(shí)總部統(tǒng)一配置��,然后根據(jù)ADSL帳號(hào)所在地�,分別將設(shè)備發(fā)往辦事處�����,然后吩咐辦事處人員將分支設(shè)備接入上線。
配置方式根據(jù)上述提到的�,在確定了統(tǒng)一的id標(biāo)識(shí)后�,然后在各設(shè)備上填入即可。
方案評(píng)比:
費(fèi)用方面:
鏈路費(fèi)用:1、Ipsec vpn線路是建立在internet之上的虛擬線路�,只需要原有的internet上網(wǎng)線路由采用一種虛擬和封裝技術(shù)完成便可�����,客戶(hù)只需支付上網(wǎng)線路費(fèi)用即可���;
2、MPLS-vpn線路建立比較方便��,但費(fèi)用較之ipsec vpn要貴一些��,以深圳到北京為例,開(kāi)通初裝費(fèi)為6000元���,月租為5000―6000元(由于是長(zhǎng)途鏈路)。
設(shè)備費(fèi)用:采用ipsec vpn方式與采用專(zhuān)線方式所需的產(chǎn)品費(fèi)用相當(dāng)�����,具體產(chǎn)品價(jià)格附后���,這塊可根據(jù)需采購(gòu)設(shè)備的數(shù)量來(lái)定�����;
維護(hù)費(fèi)用:采用上述任意一種方式組網(wǎng)后,強(qiáng)烈建議聘請(qǐng)一位網(wǎng)絡(luò)工程師做為內(nèi)部網(wǎng)絡(luò)的管理人員�,需獲得相應(yīng)的網(wǎng)絡(luò)認(rèn)證或網(wǎng)絡(luò)管理經(jīng)驗(yàn),如CCNA網(wǎng)絡(luò)助手或CCNP網(wǎng)絡(luò)工程師�����,最好是CCSP網(wǎng)絡(luò)安全工程師;
穩(wěn)定性方面:
鏈路:三種鏈路都相對(duì)穩(wěn)定����,但較之SDH最為穩(wěn)定,MPLS-vpn其次��,ipsec vpn再次之;
設(shè)備:推薦使用的cisco及juniper均是國(guó)外知名廠商生產(chǎn)����,穩(wěn)定性非常好。
利用率方面:
經(jīng)過(guò)我們長(zhǎng)時(shí)間的實(shí)現(xiàn)與測(cè)試���,SDH線路雖很穩(wěn)定����,但其真正的鏈路使用率也僅為70%,
MPLS-vpn使用率為70%����,ipsec vpn的利用率未定,因?yàn)楸仨毴Q定internet線路質(zhì)量及加
密設(shè)備的性能�,采用ipsec vpn的方式建議選用硬件級(jí)芯片來(lái)運(yùn)行加解密工作�����,這樣一來(lái)就
可以提高ipsec vpn線路的使用率����。
延時(shí)及速率方面:
MPLS-vpn與SDH傳輸?shù)难訒r(shí)及速率方面都很不錯(cuò)����,一般都可以達(dá)到運(yùn)營(yíng)商承諾的水準(zhǔn)����,ipsec vpn線路延時(shí)和速率也會(huì)受到Internet線路及加密設(shè)備的影響,如ADSL線路����,其上行為512Kpbs,而下行為2048Kpbs�����,本身的速率就是這樣��。但如果是電信IP城域網(wǎng)專(zhuān)線�����,例如2M線路���,其上下行均為2048Kpbs,速率就與2M的SDH或MPLS-vpn專(zhuān)線相同�,而且延時(shí)非常小。另外,如果再使用cpu級(jí)的路由器或防火墻進(jìn)行ipsec vpn封裝����,那么鏈路的速率就會(huì)更加降低��。所以如果采用ipsec vpn的方式組網(wǎng),建議選擇質(zhì)量好一些上網(wǎng)線路及性能好硬盤(pán)防火墻設(shè)備�����。
安全方面:
數(shù)據(jù)安全:就專(zhuān)線本身而言��,是由鏈路運(yùn)營(yíng)商提供給用戶(hù)的,本身的功能是承載數(shù)據(jù)并傳遞
數(shù)據(jù),但對(duì)數(shù)據(jù)的內(nèi)容和狀況不做任何的修改��,也不加任何的保護(hù)�����,攻擊者可以利用這點(diǎn)捕獲到客戶(hù)公司的數(shù)據(jù)���。(當(dāng)然也可以利用設(shè)備在專(zhuān)線的基礎(chǔ)之上加ipsec封裝)
Ipsec vpn本身的安全性是最高的,它是利用設(shè)備本身很強(qiáng)的加密及hash算法運(yùn)算而成的����,所有的數(shù)據(jù)內(nèi)容及狀況都經(jīng)過(guò)多次的加密及散列合成�����,至今無(wú)人可能破獲ipsec vpn內(nèi)的數(shù)據(jù)��。
訪問(wèn)安全:方案二中以專(zhuān)線方式組網(wǎng),是利用cisco路由器來(lái)互聯(lián),訪問(wèn)安全這塊可利用路由器的訪問(wèn)控制列表做一些控制�����。
方案一中利用防火墻可對(duì)基于狀態(tài)檢測(cè)的策略���、應(yīng)用層IPS檢測(cè)來(lái)對(duì)任何來(lái)訪或去訪的流量進(jìn)行控制。
病毒�����、木馬:利用專(zhuān)線的方式組網(wǎng),可以完成公司所需的基礎(chǔ)網(wǎng)絡(luò)的建設(shè)��,如果不加設(shè)安全設(shè)備�����,如防火墻或入侵防御系統(tǒng)�,其安全性還是得不到提高的���。網(wǎng)絡(luò)一旦建立,任何一個(gè)節(jié)點(diǎn)出現(xiàn)病毒感染都有可能感染給全公司的用戶(hù)pc甚至總部服務(wù)器���。因?yàn)檫@種基于路由器的簡(jiǎn)單的控制列表不能限制或檢測(cè)到應(yīng)用層的攻擊與病毒木馬等惡意行為��。改善的辦法就是增加新的安全設(shè)備,部署在主要通信干線上����,用以過(guò)濾過(guò)往的訪問(wèn)流量,對(duì)其中的各種流量進(jìn)行防病毒過(guò)濾和應(yīng)用層檢測(cè)(可參考改進(jìn)方法二)
Ipsec vpn稱(chēng)為虛擬專(zhuān)網(wǎng)���,一旦建立后可以達(dá)到專(zhuān)線組網(wǎng)一樣的效果。不錯(cuò)�,ipsec vpn本身可以對(duì)數(shù)據(jù)進(jìn)行加密,以防止他人截獲或篡改�����,但如果是病毒和木馬數(shù)據(jù)也仍然可以得到保護(hù)�,同時(shí)傳遞給對(duì)方��。所以方法一中雖提出了使用防火墻建立ipsec vpn,然后在防火墻上加載防病毒模塊及IPS模塊����,部署在匯聚點(diǎn)上���,對(duì)過(guò)往ipsec vpn的加密數(shù)據(jù)進(jìn)行病毒與木馬等代碼的檢測(cè)���。較之來(lái)說(shuō)使用方法一安全性要高一些����。
服務(wù)發(fā)布:現(xiàn)有的web及E-amil服務(wù)是通過(guò)cisco2851進(jìn)行發(fā)布的�,不能檢測(cè)攻擊與入侵���。
二個(gè)方案中����,利用防火墻的方式發(fā)布服務(wù),然后加載IPS可以對(duì)網(wǎng)絡(luò)攻擊及入侵進(jìn)行檢測(cè)并防御�����。較之來(lái)說(shuō)利用防火墻方式安全性要高一些。
聯(lián)華地產(chǎn)公司組網(wǎng)解決方案
聯(lián)華地產(chǎn)公司組網(wǎng)解決方案續(xù)一
