VPN運(yùn)維解決方案
背景介紹
很多大型企事業(yè)單位、政府、組織隨著業(yè)務(wù)的迅速擴(kuò)展,在全國各地出現(xiàn)眾多分支結(jié)構(gòu),而有的分支機(jī)構(gòu)或者子公司甚至設(shè)立在海外。各分支機(jī)構(gòu)和總部之間,各分支機(jī)構(gòu)之間進(jìn)行大量的數(shù)據(jù)傳輸,如OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、報(bào)價(jià)系統(tǒng)、資料平臺(tái)等內(nèi)部資源的訪問次數(shù)非常頻繁,且數(shù)據(jù)流量也非常巨大。所以如何提供從發(fā)送端、傳輸鏈路到接收端全方位的整體安全解決方案,是各大企業(yè)信息管理者關(guān)注的焦點(diǎn)。
1.專線成本高、發(fā)布站點(diǎn)風(fēng)險(xiǎn)大
很多企業(yè)的信息管理者,在考慮總部與分支機(jī)構(gòu)互聯(lián)的方案時(shí),首先想到租賃專線實(shí)現(xiàn)總部與各分支之間的互聯(lián)互通,但動(dòng)輒每月幾萬到十幾萬的租賃費(fèi)用讓網(wǎng)絡(luò)管理者怯于向公司領(lǐng)導(dǎo)申請(qǐng)?jiān)撡M(fèi)用。如果把內(nèi)部服務(wù)器的IP地址全部映射到互聯(lián)網(wǎng)上面,讓分支員工通過互聯(lián)網(wǎng)任意訪問這些服務(wù),那么無異于將公司的全部網(wǎng)絡(luò)通信過程呈現(xiàn)在別有用心者的眾目睽睽之下,毫無秘密可言。
2.單純VPN設(shè)備功能簡單
聰明的CIO們?cè)诜艞壛俗赓U專線這個(gè)高富帥的方案后,轉(zhuǎn)向選擇專門的虛擬專線網(wǎng)絡(luò)設(shè)備構(gòu)建安全隧道實(shí)現(xiàn)安全互聯(lián),例如IPSec VPN設(shè)備可以實(shí)現(xiàn)總部與分支之間構(gòu)建安全的IPSec隧道??墒请S著公司很多擴(kuò)展,很多前方同事大部分時(shí)間不是在客戶那里,就是在去拜訪客戶的路上,并沒有固定的辦公區(qū)來通過IPSec VPN訪問公司資源。如果要解決這個(gè)問題,還需要部署支持終端安全接入的SSL VPN設(shè)備。單純的IPSec VPN或者SSL VPN分別部署在網(wǎng)絡(luò)中,不僅設(shè)備自身存在安全弊端,而且對(duì)于隨著設(shè)備數(shù)量的增加,成本會(huì)急劇上升,設(shè)備管理也會(huì)變得越來越復(fù)雜。
3.內(nèi)網(wǎng)安全與VPN連接同樣重要
部署了支持多種VPN隧道技術(shù)的設(shè)備,滿足了分支機(jī)構(gòu)固定辦公區(qū)和移動(dòng)用戶的安全訪問要求,但隨之也帶來了網(wǎng)絡(luò)攻擊不斷、病毒擴(kuò)散迅速的網(wǎng)絡(luò)安全隱患。在分支機(jī)構(gòu)的管理比較松散,使用U盤、移動(dòng)硬盤拷貝數(shù)據(jù)普遍存在,便攜式計(jì)算機(jī)在任何接入點(diǎn)都隨意接入互聯(lián)網(wǎng),且沒有定期殺毒和查木馬的習(xí)慣。如果員工將感染被病毒或者被種木馬的設(shè)備接入到公司網(wǎng)絡(luò)中,不僅會(huì)影響本分支機(jī)構(gòu)的網(wǎng)絡(luò),而且還會(huì)影響全公司的網(wǎng)絡(luò),因?yàn)楣揪W(wǎng)絡(luò)間的VPN互聯(lián),使分支機(jī)構(gòu)和總部的訪問像局域網(wǎng)一樣方便,病毒和木馬的擴(kuò)散也非常方便。
另一方面,由于大多數(shù)分支機(jī)構(gòu)的人員較少,每分支IT投入有限,如果再分別購買防火墻、IPS、AV防護(hù)等基本安全設(shè)備,也是一筆不菲的開銷,如何選取一種性價(jià)比高的解決方案成為信息安全管理者不得不面對(duì)的問題。所以對(duì)于安全產(chǎn)品而言,一體化的綜合解決方案是發(fā)展趨勢(shì)。
4.隨著VPN設(shè)備數(shù)量的增加維護(hù)越來越復(fù)雜
分支機(jī)構(gòu)越來越多,雖然給企業(yè)帶來了業(yè)務(wù)增長,但也給網(wǎng)絡(luò)管理帶來了挑戰(zhàn)。每個(gè)分支機(jī)構(gòu)的網(wǎng)絡(luò)管理者水平不一,而總部又無法監(jiān)控分支VPN設(shè)備的運(yùn)行情況。如果分支機(jī)構(gòu)VPN設(shè)備出現(xiàn)問題,只能從總部派人過去支持,既增加了人力投入成本,又不能在第一時(shí)間解決問題。由于分支機(jī)構(gòu)對(duì)VPN設(shè)備的維護(hù)具有一定的難度,所以如何能夠更好的管理和維護(hù)遠(yuǎn)端的VPN設(shè)備就成為了VPN方案中需要考慮的重要問題。
5.網(wǎng)絡(luò)環(huán)境多樣化,組網(wǎng)部署復(fù)雜
由于網(wǎng)絡(luò)運(yùn)營商的提供服務(wù)的多樣化,總部和每個(gè)分支機(jī)構(gòu)接入網(wǎng)絡(luò)的方式也不盡相同,有的分支機(jī)構(gòu)通過運(yùn)營商分配的固定IP接入網(wǎng)絡(luò),有的分支機(jī)構(gòu)則可能通過ADSL方式動(dòng)態(tài)分配的IP接入網(wǎng)絡(luò);有的分支與總部之間可以直接聯(lián)通,有的分支機(jī)構(gòu)與總部之間存在NAT地址轉(zhuǎn)換設(shè)備,可能將VPN設(shè)備地址隱藏。所以復(fù)雜的網(wǎng)絡(luò)環(huán)境,對(duì)VPN設(shè)備接入網(wǎng)絡(luò)的便捷性提出了更高的要求。
6.VPN網(wǎng)絡(luò)訪問體驗(yàn)差,影響效率
經(jīng)過認(rèn)真的分析和仔細(xì)的選擇,VPN網(wǎng)絡(luò)已經(jīng)部署成功,所有分支機(jī)構(gòu)和移動(dòng)辦公人員都能夠通過VPN安全的訪問公司資源,但VPN技術(shù)是通過在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立起來的加密隧道,所以在跨國、跨省、跨運(yùn)營商等長距離傳輸?shù)木W(wǎng)絡(luò)環(huán)境下,丟包較多、網(wǎng)絡(luò)延遲較大導(dǎo)致VPN訪問效率非常低。經(jīng)常出現(xiàn)訪問內(nèi)網(wǎng)OA系統(tǒng)卡頓、填寫財(cái)務(wù)報(bào)表提交失敗后重填、資料下載異常緩慢等現(xiàn)象,從而影響分支機(jī)構(gòu)和移動(dòng)辦公人員的工作效率,網(wǎng)絡(luò)管理者成為公司員工的吐槽對(duì)象。
解決方案
—經(jīng)濟(jì)安全的VPN網(wǎng)絡(luò)互聯(lián)解決方案
每個(gè)企業(yè)根據(jù)業(yè)務(wù)規(guī)模的不同,對(duì)網(wǎng)絡(luò)互聯(lián)的要求不同。對(duì)于分支機(jī)構(gòu)有固定辦公區(qū)域的用戶偏向于IPSec VPN組網(wǎng);對(duì)于沒有固定辦公區(qū)的分支機(jī)構(gòu),人員全部移動(dòng)辦公的企業(yè)更傾向于選擇SSL VPN方案組網(wǎng);對(duì)于既有固定辦公區(qū),也有大量的移動(dòng)辦公人員的公司,需要同時(shí)選擇IPSec VPN和SSL VPN的組網(wǎng)方案;對(duì)于一些成本壓力影響較大的中小企業(yè)或分支機(jī)構(gòu),只能選擇既有安全防護(hù),又能提供IPSec VPN和SSL VPN安全互聯(lián)的低成本一體化方案。
在仔細(xì)調(diào)研上述客戶需求的基礎(chǔ)上,飛塔推出的NGFW產(chǎn)品1臺(tái)設(shè)備即可提供經(jīng)濟(jì)安全的VPN網(wǎng)絡(luò)互聯(lián)解決方案,包括IPSec VPN、SSL VPN和L2TP over IPSec VPN等多種安全隧道技術(shù), 同時(shí)還能提供全方位的安全防護(hù)方案,包括各種網(wǎng)絡(luò)攻擊阻斷、入侵檢測與防護(hù)系統(tǒng)、病毒查殺、網(wǎng)址過濾等安全防護(hù)功能。飛塔的NGFW產(chǎn)品符合網(wǎng)絡(luò)安全設(shè)備功能融合、一體化發(fā)展的大趨勢(shì)。
總部部署方案:
在總部的網(wǎng)絡(luò)出口處部署飛塔NGFW產(chǎn)品,主要對(duì)外提供IPSec VPN隧道接口,實(shí)現(xiàn)與分支機(jī)構(gòu)的IPSec VPN隧道建立的對(duì)接;提供SSL VPN接入的門戶接口,實(shí)現(xiàn)移動(dòng)辦公用戶訪問內(nèi)網(wǎng)的安全接入;提供全面的安全防護(hù)功能,包括傳統(tǒng)防火墻功能、IPS、AV、URL過濾等安全防護(hù)功能,實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的安全隔離;同時(shí)開啟VPN加速功能,保證外部訪問的性能體驗(yàn)。
在總部的NGFW內(nèi)部部署飛塔安全管理中心設(shè)備SMC,該設(shè)備主要實(shí)現(xiàn)對(duì)全網(wǎng)NGFW產(chǎn)品的配置管理、安全狀態(tài)監(jiān)控、智能分析等綜合管理功能??偛康男畔踩芾碚呖梢酝ㄟ^該設(shè)備實(shí)現(xiàn)對(duì)所有邊界NGFW產(chǎn)品的統(tǒng)一部署和監(jiān)控分析。
分支部署方案:
在分支的網(wǎng)絡(luò)出口處部署1臺(tái)飛塔NGFW產(chǎn)品,主要實(shí)現(xiàn)與總部IPSec VPN隧道對(duì)接,分支機(jī)構(gòu)內(nèi)網(wǎng)用戶像訪問局域網(wǎng)一樣訪問總部網(wǎng)絡(luò)中的資源。同時(shí)提供全面的安全防護(hù)功能,包括傳統(tǒng)防火墻功能、IPS、AV、URL過濾等安全防護(hù)功能,實(shí)現(xiàn)分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)的安全隔離。
飛塔VPN解決方案價(jià)值
1.VPN與安全技術(shù)融合
隨著企業(yè)規(guī)模的不斷擴(kuò)大,對(duì)信息安全也越來越重視。不僅要保證各分支機(jī)構(gòu)與總部之間傳輸數(shù)據(jù)的保密性,還要保證病毒、木馬等網(wǎng)絡(luò)攻擊不能在分支機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)內(nèi)隨意擴(kuò)散。所以企業(yè)既要有多方式的VPN互聯(lián)方式,又要有全方位的安全防護(hù)功能。
飛塔NGFW產(chǎn)品能夠提供IPSec VPN、SSL VPN和L2TP over IPSec VPN等不同的VPN隧道技術(shù),既能滿足分支機(jī)構(gòu)和總部之間互聯(lián),有能滿足移動(dòng)辦公人員安全接入。多種VPN技術(shù)在1臺(tái)設(shè)備上實(shí)現(xiàn),方便用戶的網(wǎng)絡(luò)部署和設(shè)備維護(hù)。同時(shí)飛塔的NGFW產(chǎn)品是國內(nèi)第一款真正意思的下一代防火墻產(chǎn)品,在提供傳統(tǒng)防火墻基本防護(hù)功能的同時(shí),還能夠保持高性能的實(shí)現(xiàn)IPS、AV、URL過濾等下一代防火墻的安全防護(hù)功能。
2.設(shè)備集中管理提升網(wǎng)絡(luò)維護(hù)效率
一些大型企事業(yè)單位、政府、組織的網(wǎng)絡(luò)設(shè)備部署都是分布式的,總部部署了高端的VPN設(shè)備,分支機(jī)構(gòu)也要部署相對(duì)低端的VPN設(shè)備,對(duì)于這么多專業(yè)的VPN設(shè)備的管理也是不小的挑戰(zhàn)。隨著技術(shù)的發(fā)展,VPN設(shè)備的提供的功能越來越強(qiáng)大,所以要想讓這些功能全部發(fā)揮作用,配置也變得越來越復(fù)雜。而分支機(jī)構(gòu)的安全管理人員肩負(fù)本分支所有網(wǎng)絡(luò)設(shè)備和其他辦公設(shè)備的維護(hù)工作,對(duì)安全設(shè)備的管理水平參差不齊。分支機(jī)構(gòu)的VPN設(shè)備出現(xiàn)問題導(dǎo)致網(wǎng)絡(luò)不通,本地安全管理者無法定位并排查問題。網(wǎng)絡(luò)問題解決的速度慢、效率低非常影響公司正常業(yè)務(wù)的開展。
飛塔提供的安全管理中心SMC設(shè)備能夠?qū)崿F(xiàn)設(shè)備的集中管理、全網(wǎng)狀態(tài)監(jiān)控以及全局威脅分析等功能,可幫助已經(jīng)部署了多臺(tái)NGFW產(chǎn)品的用戶更好的降低管理成本、掌控全網(wǎng)安全狀態(tài),并且在全網(wǎng)大數(shù)據(jù)挖掘的基礎(chǔ)上實(shí)現(xiàn)強(qiáng)大的威脅預(yù)警和分析能力。
3.VPN流量加速,提升用戶訪問體驗(yàn)
隨著VPN設(shè)備的大量部署,用戶已經(jīng)實(shí)現(xiàn)了對(duì)公司資源的安全訪問,但訪問資源的體驗(yàn)效果卻成為用戶關(guān)心的問題。因?yàn)橥獠繂T工接入內(nèi)部網(wǎng)絡(luò)時(shí),如果出現(xiàn)訪問速度慢、體驗(yàn)效果差,首先投訴的就是網(wǎng)絡(luò)管理部門。導(dǎo)致VPN網(wǎng)絡(luò)訪問體驗(yàn)效果不好的根本原因是VPN隧道是建立在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的虛擬專用網(wǎng)絡(luò),所以總部出口帶寬瓶頸、零散分布的多分支機(jī)構(gòu)、跨廣域網(wǎng)的局域網(wǎng)應(yīng)用等都會(huì)對(duì)VPN用戶訪問網(wǎng)絡(luò)產(chǎn)生影響。
飛塔NGFW通過單邊加速技術(shù)優(yōu)化TCP連接過程。單邊加速協(xié)議通過擁塞避免機(jī)制,能夠快速準(zhǔn)確的預(yù)估網(wǎng)絡(luò)中可用帶寬,并根據(jù)估計(jì)值確定擁塞避免窗口,從而最大限度的利用網(wǎng)絡(luò)帶寬。單邊加速協(xié)議能夠快速檢測出丟包,并能快速準(zhǔn)確重傳該包,對(duì)時(shí)延較大,網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率,通過更改快速恢復(fù)過程中發(fā)送端可以用來提高發(fā)送速率的方法,提供更大的吞吐量。
4.靈活組網(wǎng)、方便部署
每一個(gè)客戶的網(wǎng)絡(luò)環(huán)境都存在很大差異,每個(gè)分支機(jī)構(gòu)通過運(yùn)營商接入網(wǎng)絡(luò)的方式不同,分支的VPN設(shè)備可能隱藏在NAT地址轉(zhuǎn)換設(shè)備的后面,個(gè)別場景需要VPN設(shè)備在網(wǎng)絡(luò)扮演網(wǎng)關(guān)的角色,而又有些場景不允許VPN設(shè)備串接到網(wǎng)絡(luò)中,總部的IPSec VPN設(shè)備與分支機(jī)構(gòu)的設(shè)備品牌不一樣。所以VPN設(shè)備需要支持各種網(wǎng)絡(luò)環(huán)境下組網(wǎng)與部署。
認(rèn)真分析用戶的各種應(yīng)用場景,通過在NGFW產(chǎn)品上開發(fā)的多種方便靈活的VPN組網(wǎng)方式,適應(yīng)客戶需求。主要體現(xiàn)在如下功能特點(diǎn):
支持中心為固定IP,分支機(jī)構(gòu)為ADSL這樣動(dòng)態(tài)IP的組網(wǎng)方式。
支持IPSec隧道2端均為動(dòng)態(tài)IP的DDNS組網(wǎng)方式
采用國際標(biāo)準(zhǔn)IPSec協(xié)議,保障不同廠家設(shè)備互聯(lián)的兼容性。
支持旁路、路由等多種部署方式。
支持對(duì)分支機(jī)構(gòu)間的互通,設(shè)置訪問控制,提供網(wǎng)內(nèi)隔離授權(quán)管理。
支持證書方式作為分支互聯(lián)的認(rèn)證手段,強(qiáng)化接入安全。