透明模式下VPN網絡構建

《透明模式下VPN網絡構建》由會員上傳分享，免費在線閱讀，更多相關內容在工程資料-天天文庫。

1、透明模式下VPN網絡構建該方案特點：在中國存在大量的行業(yè)專網，如：銀行、石化系統(tǒng)。這些網絡已經建成，系統(tǒng)龐大，而且業(yè)務系統(tǒng)不能因為網絡的改造而中斷（哪怕是短時間的中斷）；但是原有的網絡建設缺乏安全性考慮。如何在保持網絡原有設備，如：路由器、用戶的PC、服務器的所有網絡配置都不改變的情況下，實現(xiàn)網絡通訊的安全性（構建VPN網絡），就需要VPN設備能夠工作在“透明”模式下。在該模式下，VPN設備的加入，就像加入一段網線，完全不用調整原有網絡，包括終端設備的網絡配置；對用戶而言，VPN設備就象完全不存在一樣，所以叫做“透明”模式。本公司

2、安全網關可以工作在透明模式下，并建立VPN通道，實現(xiàn)網絡通訊數(shù)據的“安全性、完整性和不可抵賴性”。在透明模式下，支持VPN的網關很少，包括國外主流的VPN廠商，如：Netscreen，Sonicwall等。所以，本公司安全網關特別適合在專網中使用。方案概述：1、項目簡介隨著我國金融改革的進行，各個銀行紛紛將競爭的焦點集中到服務手段上，不斷加大電子化建設投入，擴大計算機網絡規(guī)模和應用范圍。但是，應該看到，電子化在給銀行帶來利益的同時，也給銀行帶來了新的安全問題，并且，這個問題現(xiàn)在顯得越來越緊迫。原因主要有三個：一是伴隨我國經濟體制改

3、革，特別是金融體制改革的深入、對外開放的擴大，金融風險迅速增大。防范和化解金融風險成了各級政府和金融部門非常關注的問題。二是當前計算機應用日益廣泛、計算機日趨網絡化，系統(tǒng)的安全性漏洞也隨之增加。多年以來，銀行迫于競爭壓力，不斷擴大電子化網點、推出新的電子業(yè)務，忽略了計算機管理制度和安全措施的建設，使計算機安全問題日益突出。三是計算機知識日益普及，金融網絡向國際化發(fā)展，計算機犯罪技術也在不斷提高，利用計算機犯罪的案件呈逐年上升趨勢，這也迫切要求銀行信息系統(tǒng)具有更高的安全防范體系。銀行信息系統(tǒng)安全性總的原則應該是：制度防內，技術防外。

4、所謂“制度防內”3，是要建立嚴密的計算機管理規(guī)章制度、運行規(guī)程，形成內部各層人員、各職能部門、各應用系統(tǒng)的相互制約關系，杜絕內部作案的可能性，并建立良好的故障處理反應機制，保障銀行信息系統(tǒng)的安全正常運行。“技術防外”主要是指從技術手段上加強安全措施，防止外部黑客的入侵。我們在不影響銀行正常業(yè)務與應用的基礎上建立銀行的安全防護體系，從而滿足銀行網絡系統(tǒng)環(huán)境要求。2、安全方案某市總部與各支行采用DDN專線互聯(lián)，上面?zhèn)鬏數(shù)氖侵匾臉I(yè)務數(shù)據，雖然是專線，但是也不能完全保證銀行業(yè)務安全，因此要對考慮到目前網上運行的業(yè)務需求以及將來業(yè)務的發(fā)展

5、，本方案對網絡系統(tǒng)進行全面的安全加強，主要實現(xiàn)以下目的：1）保障銀行中心系統(tǒng)的局域網不受來自外網的黑客攻擊，主要擔當防火墻功能；2）防止內/外部人員的非法訪問，特別是對內部員工的訪問控制和對黑客的抵御；3）確保網絡平臺上交換數(shù)據的安全性，杜絕互聯(lián)網上黑客的攻擊；同時實現(xiàn)遠程異地網絡的統(tǒng)一規(guī)劃和管理；4）方便內部授權員工（如：公司領導、出差員工等）從互聯(lián)網上異地遠程方便地、安全地訪問內部網絡，實現(xiàn)網絡的最大可用性；5）能主動對網絡的異常行為進行監(jiān)控，并作出回應，建立動態(tài)防護體系。為了實現(xiàn)上述目的，我們采用了如下圖所示的解決方案：網絡

6、拓撲圖在該市商業(yè)銀行網絡中心的網絡邊界采用硬件安全網關產品SGW25C，主要作用是對外防止黑客侵入，對內進行訪問控制，同時解決下屬單位以及授權員工通過互聯(lián)網安全接入的問題。SGW25C在這里主要發(fā)揮防火墻和VPN的雙重作用。3對于27個專線接入的支行，全部采用硬件安全網關產品SGW25B。所有的安全網關均工作在“透明”模式下。安裝這些安全網關設備的前后，原有網絡設備（路由器）和PC、Server等均沒有調整過任何配置，但卻實現(xiàn)了各分行和總行之間數(shù)據的加密傳輸。3