資源描述:
《寶界云vpn實(shí)現(xiàn)分支互聯(lián)互通解決方案》由會(huì)員上傳分享��,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫����。
1�、寶界云VPN實(shí)現(xiàn)分支互聯(lián)互通解決方案一��、用戶需求1、用戶在全國(guó)各地有多個(gè)分支機(jī)構(gòu),希望實(shí)現(xiàn)分支之間的互聯(lián)互通�。各個(gè)分支都有自己的應(yīng)用服務(wù)器需要被移動(dòng)終端用戶遠(yuǎn)程訪問2����、各分支機(jī)構(gòu)公網(wǎng)IP地址已經(jīng)被其他出口網(wǎng)關(guān)設(shè)備占用����,無法單獨(dú)分配給VPN設(shè)備公網(wǎng)IP地址��。3�、實(shí)現(xiàn)移動(dòng)辦公用戶一次VPN撥號(hào)��,就能同時(shí)訪問所有分支網(wǎng)絡(luò)的被許可訪問的應(yīng)用服務(wù)器。4����、某個(gè)分支網(wǎng)絡(luò)中斷�����,并不影響其他分支之間互聯(lián)互通,防止了單點(diǎn)故障����。5�、盡量減少互聯(lián)后引起的網(wǎng)絡(luò)安全問題�����,防止病毒跨網(wǎng)絡(luò)傳播。6��、各分支移動(dòng)終端類型多種多樣�����,要求VPN客戶端兼容性好。二�����、方案總體
2���、說明1、考慮到客戶端操作系統(tǒng)���、網(wǎng)絡(luò)環(huán)境的多樣性�,減少客戶端的維護(hù),本方案不采用一個(gè)VPN客戶端向多個(gè)VPN設(shè)備發(fā)起鏈接�����,同時(shí)建多條VPN隧道的思路��,特別是安卓���、蘋果手機(jī)無法實(shí)現(xiàn)建立多條隧道連接���。2、本方案寶界云VPN客戶端支持各種版本的WINDOWS32/64位操作系統(tǒng)��、安卓操作系統(tǒng)�。3、本方案網(wǎng)關(guān)與網(wǎng)關(guān)的互聯(lián)不采用傳統(tǒng)IPSEC互聯(lián)技術(shù)�����,而創(chuàng)新采用云VPN互聯(lián)技術(shù)�。4、創(chuàng)新的采用了分布式VPN通道服務(wù)�,使所有分支的VPN設(shè)備都可以在內(nèi)網(wǎng)單臂方式部署���,不占用外網(wǎng)IP,不會(huì)成為互聯(lián)網(wǎng)出口的性能瓶頸���。如果采用IPSEC?VPN互聯(lián)����,需要
3�、所有分支的VPN設(shè)備必須有公網(wǎng)IP地址�。5、任何分支網(wǎng)絡(luò)斷了�,都不會(huì)影響其他分支互聯(lián)互通。6��、移動(dòng)終端撥號(hào)都是撥本分支的外網(wǎng),不需要跨省撥號(hào)���,撥號(hào)網(wǎng)絡(luò)速度快���。7��、系統(tǒng)提供應(yīng)用發(fā)布功能��,支持B/S����,C/S��,T/S應(yīng)用程序�,尤其是與微軟終端服務(wù)結(jié)合����,可提高10倍VPN訪問速度。8����、系統(tǒng)提供應(yīng)用授權(quán)功能�����,VPN用戶只能訪問自己許可的服務(wù)器��,及指定的應(yīng)用���。三����、方案網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓樸方案說明1����、總部及各分支各部署一臺(tái)寶界云VPN。2����、通過寶界云VPN設(shè)備實(shí)現(xiàn)上海à北京、上海à武漢�����、上海à深圳雙向互聯(lián)互通�����,通過分布式VPN通道技術(shù),每個(gè)分支的云V
4����、PN設(shè)備都向其他分支的云VPN設(shè)備建立多個(gè)互聯(lián)加密隧道。3����、通過設(shè)置安全策略限制總部與各分支服務(wù)器之間的數(shù)據(jù)通訊��,例如端口限制�����、IP地址限制�����。4�、在各分支的寶界云VPN設(shè)備上分別創(chuàng)建自己部門的VPN移動(dòng)用戶賬號(hào)5、各分支的移動(dòng)用戶首先撥號(hào)至本分支的寶界云VPN設(shè)備,然后通過分支之間的SSLVPN互聯(lián)隧道���,實(shí)現(xiàn)互通��。6���、針對(duì)手機(jī)或平板電腦用戶����,安卓操作系統(tǒng)可通過安裝寶界VPN的APP�、蘋果操作系統(tǒng)可通過自帶的PPTPVPN客戶端����,撥入對(duì)應(yīng)分支VPN設(shè)備后����,訪問各分支的應(yīng)用服務(wù)器。四����、寶界云VPN相關(guān)配置4.1、VPN服務(wù)端設(shè)置30網(wǎng)段
5、是SSLVPN使用網(wǎng)段SSLVPN服務(wù)端參數(shù)設(shè)置外網(wǎng)撥通SSLVPN后允許訪問的內(nèi)部網(wǎng)段SSLVPN服務(wù)端參數(shù)設(shè)置PPTP使用150網(wǎng)段PPTPVPN服務(wù)端參數(shù)設(shè)置分布式VPN通道參數(shù)設(shè)置遠(yuǎn)端的內(nèi)網(wǎng)主機(jī)能訪問的對(duì)端的網(wǎng)段本地及遠(yuǎn)端通道地址4.2、SSLVPN應(yīng)用發(fā)布外網(wǎng)用戶登錄上VPN網(wǎng)絡(luò)后,可以訪問其允許訪問的一些應(yīng)用�?�?梢园哑髽I(yè)內(nèi)部網(wǎng)絡(luò)的B/S應(yīng)用(客戶關(guān)系管理CRM���、辦公自動(dòng)化OA�、WEB進(jìn)銷存系統(tǒng))通過加密和授權(quán)的方式發(fā)布在公網(wǎng)上���,并可對(duì)遠(yuǎn)程VPN用戶按角色定義其訪問權(quán)限����,不同權(quán)限的用戶可以訪問不同的WEB應(yīng)用���。傳統(tǒng)的端口映
6、射方式發(fā)布B/S應(yīng)用,由于沒有任何安全防范加密措施,離職人員、競(jìng)爭(zhēng)對(duì)手可以隨意的訪問企業(yè)WEB應(yīng)用,猜測(cè)用戶密碼�,刺探重要企業(yè)財(cái)務(wù)����、客戶資料數(shù)據(jù)���。可通過如下進(jìn)行發(fā)布���。4.3、VPN賬號(hào)管理1����、賬號(hào)的安全管理用戶帳號(hào)與證書,特征碼等綁定1、賬號(hào)與應(yīng)用綁定用戶帳號(hào)對(duì)應(yīng)能訪問的指定應(yīng)用?4.4��、VPN客戶端登陸1、windows客戶端登陸VPN地址可以是動(dòng)態(tài)域名或公網(wǎng)IP用戶名和口令是管理員分配的���,并可以結(jié)合證書�。1�、安卓客戶端登陸1、PPTPVPN客戶端登陸4.5���、不同分支包過濾安全策略例如對(duì)網(wǎng)段192.168.21.0只允許通過HTT
7���、P協(xié)議,做如下安全策略����。圖中所示,對(duì)訪客網(wǎng)段做了安全策略����,Net21網(wǎng)段只允許訪問HTTP應(yīng)用,其他不允許�����。允許訪問HTTP80上網(wǎng),不允許訪問其他的��,可以增加多個(gè)安全規(guī)則���。安全策略項(xiàng)目包括:序號(hào)��、啟用�����、源地址���、目標(biāo)地址、服務(wù)���、動(dòng)作��、響應(yīng)�、時(shí)間��、備注。序號(hào):策略序號(hào)越小�,策略優(yōu)先級(jí)越高����。啟用:打勾后則本條策略是啟用。源地址、目標(biāo)地址:可以是在左邊網(wǎng)絡(luò)內(nèi)定義的主機(jī)����、服務(wù)器�、接口地址、網(wǎng)絡(luò)、地址段、域名、地址組任一對(duì)象。用鼠標(biāo)將左邊定義的網(wǎng)絡(luò)對(duì)象拖動(dòng)至源地址��、目標(biāo)地址處,即可�。服務(wù):可以是在左邊服務(wù)內(nèi)定義的TCP、UDP�����、ICMP��、其它
8��、服務(wù)��、服務(wù)組任一對(duì)象����。用鼠標(biāo)將左邊定義的服務(wù)對(duì)象拖動(dòng)至源地址��、目標(biāo)地址處����,即可。動(dòng)作:可以是接受�、拒絕�、丟棄三種操作�����。四、方案優(yōu)缺點(diǎn)5.1、優(yōu)點(diǎn):1���、VPN流量分流����,充分利用了各分支出口帶寬2、互為熱備�,不會(huì)因?yàn)槟骋痪€路出問題,造成所
