第一章前言
以Internet為基礎(chǔ)的信息高速公路的迅猛發(fā)展，正以前所未有的速度和能力改變著人們的生活和工作方式，我們真正處于一個(gè)“信息爆炸”的時(shí)代。
一方面，Internet使得人們能夠跨越時(shí)空的限制，為學(xué)習(xí)、生活和工作帶來空前的便利；許多企事業(yè)單位不僅僅充分利用Internet的豐富資源，同時(shí)，為了企事業(yè)單位內(nèi)部的資源共享和信息傳輸，也紛紛建起了企事業(yè)單位內(nèi)部Intranet，達(dá)到企事業(yè)單位內(nèi)部資源的高度共享。甚至一些信息化建設(shè)程度較高的企事業(yè)單位已經(jīng)建起了Extranet，與其他政府機(jī)構(gòu)、合作伙伴也進(jìn)行了資源共享。
另一方面，面對(duì)信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息迷向”的現(xiàn)象。更嚴(yán)重的是Internet是一個(gè)無國(guó)界的虛擬信息社會(huì)，現(xiàn)實(shí)社會(huì)中的各種問題都會(huì)在Internet上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大，信息安全問題變得越來越重要。信息安全問題不僅僅涉及到國(guó)家的經(jīng)濟(jì)安全、金融安全，還涉及到國(guó)家的國(guó)防安全、政治安全和文化安全。對(duì)于企事業(yè)單位的重要信息和資源，也構(gòu)成了巨大威脅，致使一些企事業(yè)單位單位不敢聯(lián)網(wǎng)，把網(wǎng)絡(luò)互聯(lián)的優(yōu)勢(shì)完全拋棄，形成了一個(gè)一個(gè)信息孤島。
政府信息化的發(fā)展已經(jīng)成為當(dāng)代信息化的最重要的領(lǐng)域之一。據(jù)聯(lián)合國(guó)教科文組織在2000年的調(diào)查，89%的國(guó)家都在不同程度地推進(jìn)政府信息化的發(fā)展，并將其列為國(guó)家級(jí)的重要工作。
江澤民總書記明確指出：“四個(gè)現(xiàn)代化，那一化也離不開信息化。”我國(guó)的政務(wù)現(xiàn)代化也離不開信息化。
“兩會(huì)”前，朱總理提出：“電子政務(wù)的發(fā)展正在成為當(dāng)代信息化的最重要的領(lǐng)域之一。為了適應(yīng)國(guó)際形勢(shì)和我國(guó)經(jīng)濟(jì)建設(shè)與社會(huì)發(fā)展的需要，我國(guó)必須加快電子政務(wù)的發(fā)展?！痹诮衲甑摹墩ぷ鲌?bào)告》中，朱總理更明確指出，要“加快政府管理信息化建設(shè)，推廣電子政務(wù)，提高工作效率和監(jiān)管有效性。”
如何有效地利用網(wǎng)絡(luò)互聯(lián)的優(yōu)勢(shì)，提升XX證券系統(tǒng)信息化建設(shè)的速度,同時(shí)保證網(wǎng)絡(luò)和信息的安全共享，是擺在我們面前的迫切問題。虛擬私有網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)的出現(xiàn)，為我們提供了一個(gè)安全、經(jīng)濟(jì)、快捷、靈活的網(wǎng)絡(luò)安全互聯(lián)組網(wǎng)方案。結(jié)合的XX證券實(shí)際需求和現(xiàn)狀網(wǎng)絡(luò)，通過對(duì)必要性和可行性，實(shí)施效果、成本和風(fēng)險(xiǎn)，硬件和網(wǎng)絡(luò)方案等進(jìn)行了充分的調(diào)研和論證，提出了《XX證券VPN組網(wǎng)解決方案》。
根據(jù)項(xiàng)目計(jì)劃，將在XX證券中心機(jī)房和全國(guó)各營(yíng)業(yè)點(diǎn)部署VPN安全網(wǎng)關(guān)，實(shí)施安全訪問控制和各點(diǎn)之間的加密通信。

第二章項(xiàng)目情況介紹
2.1 目前網(wǎng)絡(luò)的現(xiàn)狀
目前，XX證券總部在電信申請(qǐng)了2個(gè)互聯(lián)網(wǎng)線路，一條線路用于同其他各營(yíng)業(yè)點(diǎn)（在全國(guó)共27個(gè)）進(jìn)行OA系統(tǒng)的信息傳輸，另外一條線路用戶內(nèi)部員工訪問互聯(lián)網(wǎng)。其他各營(yíng)業(yè)點(diǎn)均在本地電信申請(qǐng)ADSL線路。
目前的網(wǎng)絡(luò)示意圖如下：

圖2-1XX證券網(wǎng)絡(luò)示意圖
2.2 目前網(wǎng)絡(luò)系統(tǒng)存在的需求
1、應(yīng)用需求
目前，XX證券全國(guó)各營(yíng)業(yè)點(diǎn)需要實(shí)時(shí)訪問XX證券總部（武漢）應(yīng)用服務(wù)器（OA服務(wù)器、mail服務(wù)器等）。利用傳統(tǒng)的公網(wǎng)是無法快捷、安全地訪問內(nèi)部服務(wù)器。因?yàn)樗袛?shù)據(jù)在傳輸過程中都是以明文的，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞關(guān)鍵數(shù)據(jù)，給造成不可估量的損失。針對(duì)的相關(guān)應(yīng)用需求，我們建議采用VPN的組網(wǎng)方式，可以安全、方便地在XX證券和全國(guó)27各營(yíng)業(yè)點(diǎn)之間的“虛擬專用網(wǎng)絡(luò)”。
2、安全需求
目前XX證券應(yīng)用系統(tǒng)和重要數(shù)據(jù)都以明文在網(wǎng)絡(luò)進(jìn)行直接傳輸，因應(yīng)用系統(tǒng)的網(wǎng)絡(luò)傳輸數(shù)據(jù)體現(xiàn)了XX證券的重要情況和保密敏感信息，屬于高度機(jī)密，以明文在公共網(wǎng)絡(luò)上直接傳輸存在著很大的隱患，黑客或網(wǎng)絡(luò)運(yùn)營(yíng)商中的某些有不良居心的人員可以利用專用軟件在網(wǎng)絡(luò)結(jié)點(diǎn)設(shè)備或線路上截獲應(yīng)用系統(tǒng)或重要數(shù)據(jù)，如果這些數(shù)據(jù)被公布或透露給外界，對(duì)于來說，后果是非常嚴(yán)重的。
另一方面，各營(yíng)業(yè)點(diǎn)網(wǎng)絡(luò)直接和internet相連，這樣就存在極大的安全隱患，外部網(wǎng)絡(luò)可以隨意訪問內(nèi)部網(wǎng)絡(luò)，甚至控制內(nèi)部服務(wù)器，然后已內(nèi)部主機(jī)作為跳板，轉(zhuǎn)而攻擊網(wǎng)絡(luò)總部的服務(wù)器，那么整個(gè)系統(tǒng)將無安全性可言。
綜上所述，如何很好地解決“信息的共享和信息的安全問題”是本方案重點(diǎn)討論要解決的問題。使整個(gè)網(wǎng)絡(luò)的安全達(dá)到一個(gè)全面加強(qiáng)，使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。

第三章設(shè)計(jì)原則和設(shè)計(jì)思想
系統(tǒng)的總體設(shè)計(jì)思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性，著力于“實(shí)用性、高起點(diǎn)、前瞻性、擴(kuò)展性”。具體的我們遵循了以下原則：
3.1安全性原則
在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中，都應(yīng)該嚴(yán)格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個(gè)區(qū)政府正常辦公的大局。
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供多種手段保障系統(tǒng)的安全，對(duì)相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用數(shù)據(jù)庫(kù)提供嚴(yán)密的保護(hù)。同時(shí)，采用國(guó)際上最新的主流VPN技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性，同時(shí)可以為用戶盡可能地降低系統(tǒng)投入成本，實(shí)現(xiàn)高效益。
網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品，好的安全策略；另一方面，更為重要的是要有完善的安全管理制度。
3.2實(shí)用性原則
系統(tǒng)在設(shè)計(jì)上一方面將滿足雙向的數(shù)據(jù)傳送、實(shí)時(shí)處理的要求；另一方面，又采用國(guó)際上最先進(jìn)的技術(shù)，使系統(tǒng)完成后，保持一定時(shí)期的領(lǐng)先地位。
尤其是采用了目前國(guó)際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢(shì)，體現(xiàn)在：不僅具有FireWall的保護(hù)內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用VPN技術(shù)，可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導(dǎo)致可以直接省略“撥號(hào)服務(wù)器”），同時(shí)可以不受接入數(shù)量限制，這使整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù)，不僅強(qiáng)化了本身的抗攻擊能力，而且可以與IDS系統(tǒng)互動(dòng)。
實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實(shí)用性相結(jié)合。
3.3可靠性原則
這套網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)的門戶。它的穩(wěn)定可靠關(guān)系重大，特別是WEB網(wǎng)上服務(wù)等具體業(yè)務(wù)項(xiàng)目，隨著使用的普及，信息平臺(tái)的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響政府的形象，也將給為政府帶來不便和不可低估的損失。因此可靠性是平臺(tái)運(yùn)行的首要保證。
我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性，采用負(fù)載均衡技術(shù)、備份技術(shù)就是其中的重要策略。
3.4可擴(kuò)展性原則
網(wǎng)絡(luò)安全建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實(shí)施、逐步完善的的過程。我公司在該方案的設(shè)計(jì)中充分考慮它的可擴(kuò)展性，在實(shí)現(xiàn)基本的網(wǎng)絡(luò)被動(dòng)防護(hù)系統(tǒng)（安裝防火墻、VPN安全網(wǎng)關(guān)及其管理平臺(tái)）以及信息傳輸加密的前提下，為以后進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)防護(hù)系統(tǒng)，主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口，便于以后的擴(kuò)展以及與IDS等設(shè)備實(shí)現(xiàn)互動(dòng)。
3.5易管理性原則
網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平臺(tái)的易管理性，為平臺(tái)維護(hù)者提供方便的管理工具；同時(shí)又要設(shè)計(jì)規(guī)范但不失靈活的工作流程。另外，通過網(wǎng)管平臺(tái)，可以實(shí)現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管理手段。

第四章XX證券VPN組網(wǎng)建設(shè)方案
4.1 VPN技術(shù)簡(jiǎn)介
VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道），將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機(jī)將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。對(duì)企業(yè)而言，VPN可以替代傳統(tǒng)租用線來連接計(jì)算機(jī)或局域網(wǎng)等。而任何VPN業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是VPN實(shí)施的關(guān)鍵。數(shù)據(jù)通過安全的"加密管道"在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。
在眾多的VPN解決方案中，IP-VPN脫穎而出，成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運(yùn)行IP協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計(jì)初期并沒有過多地考慮安全問題，因此無法為用戶解決他們所擔(dān)心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后，解決了這一難題。
目前，國(guó)際主流的大多是基于Ipsec的VPN技術(shù)，該技術(shù)正在迅速走向成熟，而且它正處于興盛期。

圖4-1VPN組網(wǎng)示意圖
虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)傳輸通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：
保證數(shù)據(jù)的真實(shí)性：通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（IPSpoofing）的能力。
保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。
保證通道的機(jī)密性:提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。
提供動(dòng)態(tài)密匙交換功能:提供密匙中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。
提供安全防護(hù)措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問控制（AccessControl）。
虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障，大多數(shù)的VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點(diǎn)的連接方式，后來它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù)，例如在一個(gè)遠(yuǎn)程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期。
安達(dá)通公司作為國(guó)內(nèi)領(lǐng)先的專業(yè)VPN廠商，投入了很大的人力、財(cái)力，經(jīng)過一段時(shí)間的研究和攻關(guān)，提出了國(guó)內(nèi)領(lǐng)先的全動(dòng)態(tài)地址VPN的解決方案。安達(dá)通公司的解決方案不但真正解決了全動(dòng)態(tài)VPN的組網(wǎng)問題，還融入了PKI技術(shù)，采用基于數(shù)字證書的身份認(rèn)證機(jī)制，解決了大規(guī)模VPN應(yīng)用中的設(shè)備管理和網(wǎng)絡(luò)管理的難題。
4.2 產(chǎn)品選型
上海安達(dá)通信息安全技術(shù)有限公司（簡(jiǎn)稱ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的公司。公司將自己定位為：基于PKI的網(wǎng)絡(luò)安全傳輸平臺(tái)供應(yīng)商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺(tái)、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SureID系列、證書中間件”等產(chǎn)品。形成了一個(gè)以CA為核心，證書為靈魂，網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動(dòng)、密切配合的構(gòu)建在PKI平臺(tái)上的網(wǎng)絡(luò)安全系統(tǒng)。
安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測(cè)系統(tǒng)（IDS）互動(dòng)的功能；隨著系統(tǒng)的升級(jí)，ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測(cè)功能來增強(qiáng)“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。
另外，安達(dá)通公司的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢(shì)――解決了目前國(guó)際上的VPN技術(shù)的難題――非固定IP間的VPN通訊連接（如：通訊雙方均采用ADSL進(jìn)行連接）。
故此，我們建議目前的各XX證券組網(wǎng)方式改為VPN組網(wǎng)方案。
VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外，還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)（PSTN）提供的服務(wù)：如Modem撥號(hào)方式、ISDN、ADSL等。利用專線、幀中繼/ATM或以太網(wǎng)方式，從經(jīng)濟(jì)上和功能上不太適合的組網(wǎng)需求，利用電話線路的組網(wǎng)方式中，由于Modem撥號(hào)方式從技術(shù)上、管理上、安全上不太適合目前業(yè)務(wù)發(fā)展的需要。ADSL是電信力推的企事業(yè)單位上網(wǎng)模式，不但速度快、性能好、實(shí)時(shí)性好，針對(duì)的應(yīng)用特點(diǎn)和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟(jì)上也是前幾種組網(wǎng)方式所不能比擬的。
針對(duì)的實(shí)際需求和具體應(yīng)用，我們推薦此方案采用安達(dá)通公司的SGW25C、SGW25B、SGW25A等型號(hào)的硬件產(chǎn)品。
4.3網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署
1、總部設(shè)計(jì)方案
考慮到目前總部服務(wù)器的高安全性、高載荷和將來的發(fā)展，建議在總部業(yè)務(wù)線路（100M線路上）放置兩臺(tái)安達(dá)通SGW25C型VPN安全網(wǎng)關(guān)。為了避免出現(xiàn)單點(diǎn)故障，兩網(wǎng)關(guān)作雙機(jī)熱備。
利用安達(dá)通安全網(wǎng)關(guān)的VPN技術(shù)建立總部和下面各營(yíng)業(yè)點(diǎn)的“安全隧道”，實(shí)現(xiàn)總部和營(yíng)業(yè)點(diǎn)之間安全的VPN“虛擬專用通道”。
利用安達(dá)通安全網(wǎng)關(guān)的防火墻功能實(shí)現(xiàn)基本的訪問控制和安全隔離。普通數(shù)據(jù)包通過防火墻模塊到達(dá)XX證券內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)包狀態(tài)檢測(cè)和訪問控制功能。只有需要加密的數(shù)據(jù)和信息才可以通過安達(dá)通VPN網(wǎng)關(guān)到總部?jī)?nèi)部網(wǎng)絡(luò)，對(duì)于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進(jìn)行過濾和處理。
另外，作為VPN備份線路，建議在總部的另外一個(gè)出口（10M線路，用于內(nèi)部訪問互聯(lián)網(wǎng)）處步署一臺(tái)安達(dá)通SGW25B安全網(wǎng)關(guān)，當(dāng)業(yè)務(wù)線路出現(xiàn)故障（如路由器出現(xiàn)故障，被攻擊，或者電信部門調(diào)整線路）時(shí)，下面各營(yíng)業(yè)點(diǎn)可以同該網(wǎng)關(guān)（SGW25B）建立VPN通道，從而連接到內(nèi)部網(wǎng)絡(luò)。
2、全國(guó)各營(yíng)業(yè)點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)方案
目前各營(yíng)業(yè)點(diǎn)的使用adsl接入互聯(lián)網(wǎng)，鑒于其網(wǎng)絡(luò)流量不是很大的特點(diǎn)，建議在各營(yíng)業(yè)點(diǎn)步署安達(dá)通公司SGW25A安全網(wǎng)關(guān)，利用其VPN功能，可以通總部建立VPN通道，從而安全的連接到總部?jī)?nèi)部網(wǎng)絡(luò)；另外，利用其強(qiáng)大的防火墻功能，可以保護(hù)營(yíng)業(yè)點(diǎn)內(nèi)部網(wǎng)絡(luò)。
VPN組網(wǎng)結(jié)構(gòu)如下：

圖4-2XX證券VPN組網(wǎng)結(jié)構(gòu)示意圖

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101014/212731.html