远程安全接入解决方案技术建议书V1.0.docx

远程平安接入解决方案技术建议书杭州华三通信技术有限公司HBCITOlP解决方案专家书目1. 远程接入模式分析42. VPN技术介绍42.1. VPN定义42.2. VPN的类型5AccessVPN5IntranetVPN6ExtranetVPN62.3. VPN的优点62.4. 隧道技术7二层隧道协议7三层隧道协议72.5. 加密技术92.6. 身份认证技术103. H3C平安建设理念113.1. 智能平安渗透网络简介113.2. 智能平安渗透网络一一局部平安123.3. 智能平安渗透网络一一全局平安123.4. 智能平安渗透网络一一智能平安124. XX系统远程平安接入解决方案134.1. XX系统远程平安接入需求分析134.2. 解决方案设计原则145. XX系统远程平安接入解决方案175.1. 远程接入平安解决方案175.1.1. 大型分支接入175.1.2. 中小分支合作伙伴接入185.1.3. 移动用户接入方式195.2. 牢靠性方案205.2.1. 双出口备份205.2.2. 双机备份225.2.3. 快速切换235.3. VPN管理系统255.3.1. 轻松部署平安网络255.3.2. 直观展示VPN拓扑265.3.3. 全方位监控网络性能265.3.4. 快速定位网络故障275.4. BIMS分支智能管理系统285.5. 统一平安管理中心306. 总结311. 远程接入模式分析随着网络，尤其是网络经济的发展，为提高沟通效率和资源利用效率，建立分支与总部、机构与机构之间的具有保密性的网络连接是特别必要的。此外，工作人员出差时也须要访问系统内部的一些信息资源，这时同样须要建立保密的网络连接。怎样为这些分支、机构、出差人员供应一个平安、经济、便利和高效的平安接入方式，成为XX系统亟需解决的一个问题。建立保密的网络连接一种方案是运用专线,其基本方式是进行每个层次之间的专线方式连接，通过这种方式可以实现的星形结构的全局网络连接，基本满意分支与总部、机构与机构之间的数据传输需求，但是这种方式存在特别大的两个缺点：第一是不敏捷，不能满意出差人员随时随地接入的需求；其次是费用高，专线方式的网络连接须要支付昂扬的专线租用费用。另外一种方式是通过拨号的方式，通过利用PSTN/ISDN的模拟电话线路，移动用户主机配置的调制解调器，采纳拨号的方式，登录到公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较敏捷，PSTN电话线路资源比较简洁获得。缺点在于网络连接性能低，PSTN电话最多供应64K带宽，相对现在的宽带网络，已经基本不行用，而且此方式没有任何平安措施，数据在传输过程中存在很大的平安风险。随着VPN技术的发展，VPN技术已经成为一种特别成熟的网络连接方式，VPN具有高性价比、强适应实力、具备很强的网络平安特性以及动态的扩展实力等优势，已经被广泛替代专线用来进行广域网络的连接，下面我们将以VPN模式为核心，供应H3C全面的VPN解决方案。2. VPN技术介绍2.1. VPN定义利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,VirtualPrivateNetwork),用于构建VPN的公共网络包括Intemet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样供应平安性、牢靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务供应商所供应的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。合作依年分H机构图LVPN应用示意图由图可知，企业内部资源享用者只需连入本地ISP即可访问中心或者相互通信。这对于流淌性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。2.2. VPN的类型VPN分为三种类型：远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(EXtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。2.2.1 AccessVPN随着当前移动办公的日益增多，远程用户须要刚好地访问Intranet和Extranet0对于出差流淌员工、远程办公人员和远程小办公室，ACCeSSVPN通过公用网络与企业的Intranet和EXtranet建立私有的网络连接。在ACCeSSVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道(TUnnel)连接来传输私有网络数据。AeCeSSVPN的结构有两种类型，一种是用户发起(Client-initiated)的VPN连接，另一种是接入服务器发起(NAS-initiated)的VPN连接。用户发起的VPN连接指的是以下这种状况：首先，远程用户通过服务供应点(PoP)拨入Intemet,接着，用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。在这种状况下，用户端必需维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接应用中，用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种状况下，所建立的VPN连接对远端用户是透亮的，构建VPN所需的协议及软件均由ISP负责管理和维护。2.2.2 IntranetVPNIntranetVPN通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN平安隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商供应的QoS机制，可以有效而且牢靠地运用网络资源，保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现牢靠的网络质量，但其不足是互联区域有较大的局限性。而另一方面，基于Internet构建VPN是最为经济的方式，但服务质量难以保证。企业在规划VPN建设时应依据自身的需求对以上的各种公用网络方案进行权衡。2.2.3 ExtranetVPNExtranetVPN是指利用VPN将企业网延长至合作伙伴与客户。在传统的专线构建方式下，Extranet通过专线互联实现，网络管理与访问限制须要维护，甚至还须要在Extranet的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建EXtrane3但此时须要为不同的EXtranet用户进行设置，而同样降低不了困难度。因合作伙伴与客户的分布广泛，这样的EXtranet建设与维护是特别昂贵的。因此，诸多的企业常常是放弃构建EXtranet,结果使得企业间的商业交易程序困难化，商业效率被迫降低。ExtranetVPN以其易于构建与管理为解决以上问题供应了有效的手段，其实现技术与AccessVPN和IntranetVPN相同。Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。2.3. VPN的优点利用公用网络构建VPN是个新型的网络概念，对于企业而言，利用Intemet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道，局域网互联费用可降低2040%,而远程接入费用更可削减6080%,这无疑是特别有吸引力的；VPN大大降低了网络困难度、VPN用户的网络地址可以由企业内部进行统一安排、VPN组网的敏捷便利等特性简化了企业的网络管理，另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的平安性。2.4. 隧道技术对于构建VPN来说，网络隧道（TUnneIing）技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建AccessVPN和ExtranetVPN；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建IntranetVPN和ExtranetVPNo2.4.1 二层隧道协议二层隧道协议主要有三种：PPTP（PointtoPointTunnelingProtocol,点对点隧道协议）、L2F（Layer2Forwarding,二层转发协议）和L2TP（Layer2TunnelingProtocol,二层隧道协议）。其中L2TP结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持，将是运用最广泛的VPN二层隧道协议。应用L2TP构建的典型VPN服务的结构如下图所示：图2.典型拨号VPN业务示意图2.4.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，早已出现的RFC1701GenericRoutingEncapsulation（GRE）协议就是一个三层隧道协议，此外还有IETF的IPSeC协议。GREGRE与IPinIP、IPXOVerIP等封装形式很相像，但比他们更通用。在GRE的处理中，许多协议的微小差异都被忽视，这使得GRE不限于某个特定的“XOVerY”应用，而是一种最基本的封装形式。在最简洁的状况下，路由器接收到一个须要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中，然后完全由IP层负责此报文的转发。原始报文的协议被称之为乘客协议，GRE被称之为封装协议，而负责转发的IP协议被称之为传递(DeIiVery)协议或传输(Transport)协议。留意到在以上的流程中不用关切乘客协议的详细格式或内容。整个被封装的报文具有下图所示格式：DeliveryHeader(TranSPOrtPrOtOCoI)GREHeader(EnCaPSUlatlOnProtOCOI)PayloadPaCka(PaSSengerPrOtOCd)图3.通过GRE传输报文形式IPSecIPSec(IPSecurity)是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Intemet网上传输时的私有性、完整性和真实性。IPSeC通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个平安协议来实现。而且此实现不会对用户、主机或其它Intemet组件造成影响，用户还可以选择不同的硬件和软件加密算法，而不会影响其它部分的实现。IPSec供应以下几种网络平安服务： 私有性一IPSeC在传输数据包之前将其加密.以保证数据的私有性； 完整性一IPSeC在目的地要验证数据包，以保证该数据包在传输过程中没有被修改； 真实性一IPSeC端要验证全部受IPSeC爱护的数据包； 防重放一IPSeC防止了数据包被捕获并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。IPSeC在两个端点之间通过建立平安联盟(SeCUrityASSOCiatiOn)进行数据传输。平安联盟定义了数据爱护中运用的协议和算法以及平安联盟的有效时间等属性。IPSec在转发加密数据时产生新的AH和/或ESP附加报头，用于保证IP数据包的平安性。IPSeC有隧道和传输两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算附加报头，且被加密，附加报头和加密用户数据被封装在一个新的IP数据包中；在传输方式中，只是传输层（如TCP、DP.ICMP）数据被用来计算附加报头，附加报头和被加密的传输层数据被放置在原IP报头后面。AH报头用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造的数据包。考虑到计算效率，AH没有采纳数字签名，而是采纳了平安哈希算法来对数据包进行爱护。AH没有对用户数据进行加密。AH在IP包中的位置如图所示（隧道方式）：IPlTCPlDatTQIP2AHIPlTCPData图4.AH处理示意图ESP将须要爱护的用户数据进行加密后再封装到IP包中，ESP可以保证数据的完整性、真实性和私有性。ESP头在IP包中的位置如下（隧道方式）：IPlTCPlDatrlOIP2AHIPITCPlDaC图5.ESP处理示意图AH和ESP可以单独运用，也可以同时运用。运用IPSeC,数据就可以在公网上平安传输,而不必担忧数据被监视、修改或伪造。IPSeC供应了两个主机之间、两个平安网关之间或主机和平安网关之间的数据爱护。在两个端点之间可以建立多个平安联盟，并结合访问限制列表（access-list）,IPSec可以对不同的数据流实施不同的爱护策略,达到不同的爱护效果。平安联盟是有方向性的（单向）。通常在两个端点之间存在四个平安联盟，每个端点两个，一个用于数据发送，一个用于数据接收。IPSeC的平安联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将特别困难，而且难以保证平安性。这时就要运用IKE自动地进行平安联盟建立与密钥交换的过程。2.5. 加密技术Internet密钥交换协议（IKE）用于通信双方协商和建立平安联盟，交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它恒久不在担忧全的网络上干脆传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥。其中的核心技术就是DH（DiffieHellman）交换技术。DH交换基于公开的信息计算私有信息，数学上已经证明，破解DH交换的计算困难度特别高从而是不行实现的。所以，DH交换技术可以保证双方能够平安地获得公有信息，即使第三方截获了双方用于计算密钥的全部交换数据，也不足以计算出真正的密钥。在身份验证方面，IKE供应了共享验证字(Pre-SharedKey)、公钥加密验证、数字签名验证等验证方法。后两种方法通过对CA(CertificateAuthority)中心的支持来实现。IKE密钥交换分为两个阶段，其中阶段1建立ISAKMPSA,有主模式(MainMOde)和激进模式(AggreSSiVeMOde)两种：阶段2在阶段IISAKMPSA的爱护下建立IPSecSA,称之为快速模式(QuickMode)oIPSecSA用于最终的IP数据平安传送。另外，IKE还包含有传送信息的信息交换(InformationalExchange)和建立新DH组的组交换(DHGroupExchange)o2.6. 身份认证技术IPSeC隧道建立的前提是双方的身份的得到了认证，这就是所谓的身份验证。身份验证确认通信双方的身份。目前有两种方式：一种是域共享密钥(Pre-Sharedkey)验证方法，验证字用来作为一个输入产生密钥，验证字不同是不行能在双方产生相同的密钥的。验证字是验证双方身份的关键。这种认证方式的优点是简洁，但有一个严峻的缺点就是验证字作为明文字符串，很简洁泄漏。另一种是PKI(rsasignatu验证方法。这种方法通过数字证书对身份进行认证，平安级别很高，是目前最先进的身份认证方式。公钥基础设施(PUbIiCKeyInfraStrUCtUre,简称PKI)是通过运用公开密钥技术和数字证书来确保系统信息平安并负责验证数字证书持有者身份的一种体系，它是一套软硬件系统和平安策略的集合，供应了一整套平安机制。PKl采纳证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，以在网上验证用户的身份。PKI为用户建立起一个平安的网络运行环境，运用户可以在多种应用环境下便利的运用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改：数据的有效性是指数据不能被否认。一个PKI系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的PKI存储库共同组成。PKl应用zy数字证书认证机构注册机构PKl存储库图6.PKI组成框图其中，认证机构用于签发并管理证书：注册机构用于个人身份审核、证书废除列表管理等：PKl存储库用于对证书和日志等信息进行存储和管理，并供应肯定的查询功能；数字证书是PKI应用信任的基础，是PKI系统的平安凭据。数字证书又称为公共密钥证书PKC(PublicKeyCertificate),是基于公共密钥技术发展起来的一种主要用于验证的技术，它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,可作为各类实体在网上进行信息沟通及商务活动的身份证明。证书是有生命期的，在证书生成时指定，认证中心也可以在证书的有效期到来前吊销证书，结束证书的生命期。3. H3C平安建设理念理念是人们对于不同事物从自身角度动身确定下来的正确看法,并用于指导人们的行为实践。正确的平安建设理念可以指导用户解决所面临的最主要的平安问题，将有限的资源投入到最有效的地方。H3C公司提出的智能平安渗透网络理念(intelligentSafePervasiveNetwork,简称iSPN)体现了H3C在网络信息平安方面专业和独到的见解，使其成为客户最可信任的平安建设指导思想。3.1. 智能平安渗透网络简介互联网的广泛应用，大大变更了企业业务流程的开展方式。但是，随着信息化建设的不断深化,网络平安问题也成为影响企业信息化建设的瓶颈。遭遇过由于网络平安问题带来的损失的企业，极简洁失去对网络的信任，从而错失许多商业机会，这时他们须要的是一个平安的保障，在享用互联网带来无限商机的同时保证业务的持续可用及信息平安。智能平安渗透网络(iSPN)提出了一个整体平安架构，从局部平安、全局平安、智能平安三个层面，为用户供应一个多层次、全方位的立体防护体系，使网络成为智能化的平安实体。局部平安针对关键问题点进行平安部署，抵挡最基础的平安威逼；全局平安利用平安策略完成产品间的分工协作,达到协同防卫的目的；智能平安在统一的平安管理平台基础上，借助于开放融合的大平安模型，将网络平安变为从感知到响应的智能实体。3.2. 智能平安渗透网络局部平安网络平安最基础的防护方式是关键点平安，即对出现问题的薄弱环节或有可能出现问题的节点部署平安产品，进行27层的威逼防范，当前企业绝大部分采纳的都是这种单点威逼防卫方式。这种局部平安方式简洁有效并有极强的针对性，适合网络建设已经比较完善而平安因素考虑不足的状况。在这种方式下，H3C强调通过“集成”来供应最佳的防卫效果，即通过在网络产品上集成平安技术、在平安产品上集成网络技术以及网络与平安的插卡集成等方式，实现了平安技术和网络技术在无缝融合上做出的第一步最佳实践。3.3. 智能平安渗透网络全局平安由于平安产品种类的不断丰富，使得局部平安可以应对企业的大部分基础网络平安问题。然而此时用户意识到，局部平安的防护手段相对比较孤立，只有将产品的相互协作作为平安规划的必备因素，形成整网的平安爱护才能抵挡日趋严峻的混合型平安威逼。为此，H3C推出了全局平安理念，借助于ITOlP的网络优势，通过技术和产品的协作，将网络中的多个网络设备、平安设备和各组件联动起来，并通过多层次的平安策略和流程限制，向用户供应端到端的平安解决方案。以H3C的端点准入防卫及平安事务分析机制为例，它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到平安爱护的范畴内。在统一的平安策略下，利用各部分组件的协同联动，保证网络各端点的平安性与可控性；同时,在统一的平台上进行平安事务的收集、整理、分析，可以做到整网平安风险的提前预防与刚好限制。3.4. 智能平安渗透网络智能平安随着网络建设的日趋完善，面对业务的平安已经成为新的发展方向。只有理解企业业务,将企业的业务需求及流程建设充分融合到网络平安建设中来，从信息的计算、通信及存储等信息平安状态动身，以面对应用的统一平安平台为基础，通过平安事务的实时感知、平安策略的动态部署、网络平安设备的自动响应，将智能的平安融入企业业务流程中，形成开放融合、相互渗透的平安实体，才能实现真正的网络平安智能化。帮助企业将业务信息的全部状态都限制在平安管理的范围内，这样的需求正是智能平安产生的原动力。目前，政府制定了网络平安相关的法律法规，促使各行业必需遵循肯定的平安标准，以帮助提高企业的攻击防范实力。为了帮助用户构建等级平安体系，实现按需防卫须要，H3C数十人的专业平安服务团队，借助严格完善的网络平安评估规范，对企业IT环境现状进行平安评估，并对企业网络结构及业务流程进行统一的平安询问和规划，为用户度身定制一整套闭环的平安建设方案，并通过培训提升企业平安管理人员的素养，保证平安性的持续。有了量身定制的建设方案与平安策略，如何将这样的方案落到实处是下一步的难题，网络威逼千变万化、多种多样，业内还没有任何一个平安厂家可以解决全部的平安问题。因此,为保证企业网络平安建设能符合将来发展趋势，须要建立一个由厂商、代理商和客户组成的大平安联盟，允许各个组织和个人都可以通过标准的接口将平安快速嵌入网络，实现弹性扩展与智能融合。H3C在智能平安中采纳开放应用架构(OAA,OPenApplicationArchitecture)为用户供应开放的硬件平台、标准的接口，允许第三方技术的无缝融合，从而将网络平安的边界打通，将业界的先进技术协作适当的平安策略，最终完成网络平安建设的蓝海战略。完善的平安管理体制是加强信息系统平安防范的组织保证。iSPN全局平安管理平台可以对全网的平安信息做到统一管理、统一下发平安策略以及统一分析平安数据，保证企业信息系统的平安运行。iSPN全局平安管理平台以开放的平安管理中心和智能管理中心为框架，将平安体系中各层次的平安产品、网络设备、用户终端、网络服务等纳入一个紧密的统一-管理平台中，通过平安策略的集中部署、平安事务的深度感知与关联分析以及平安部件的协同响应，在现有平安设施的基础上构建一个智能平安防卫体系，大幅度提高企业网络的整体平安防卫实力。H3C全局平安管理平台由策略管理、事务采集、分析决策、协同响应四个组件构成，与网络中的平安产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防卫体系。高效的平安解决方案不仅仅在于当平安事务发生时，我们能够快速察觉、精确定位，更重要的是我们能够刚好制定合理的、一样的、完备的平安策略，并最大限度的利用现有网络平安资源，通过智能分析和协同响应刚好应对各种真正的网络攻击。在局部平安、全局平安的基础上，H3CiSPN为实现这一目标而构建了专业平安服务、开放应用架构和可持续演进的全局平安管理平台，通过对防护、检测和响应等不同生命周期的各个平安环节进行基于策略的管理，将各种异构的平安产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在爱护现有网络基础设施投资的基础上有效应对新的平安威逼、大幅提升对企业基础业务的平安保障。2007年，H3C将以全新的iSPN理念协作先进的产品技术与日趋完善的面对应用解决方案，为企业打造一个领先的、全面的、可信任的IP平安平台。4. XX系统远程平安接入解决方案4.1. XX系统远程平安接入需求分析请依据详细项目状况添加描述举例:交通部交通部全国网络的建设目前已经全面绽开,随着交通系统应用的不断增多,各个业务单位对于网络的需求也越来越来越大,目前随着应用系统的建设，“交通政务信息网”和“道路运输数据交换平台网络”的建设需求日益迫切,下面简述一下这两个系统的建设思路。交通政务信息网概况交通政务信息网络成员单位194家分为8个组,第一组为各省、自治区交通厅计27个,其次组为各直辖市、安排单列市交通管理部门计19个,第三组为部内司局计17个，第四组为海事局、救捞局、中国船级社计29个,第五组为港航单位计28个单位,第六组是交通科研、教化、协会、学会、设计单位计20个,第九组为市级交通局计28个,第十组为县级交通局计26个。目前部机关各司局可以干脆连接交通行业专网（以后简称“专网”）,第一组和其次组的单位已经通过专线连接专网,并以INTERNETVPN连接作为备份,部机关的VPN接入设备是华为的产品,其它组的单位尚未与专网连接,其中第五组中的港口单位与水运司联网的80余家港口单位有重复,可以考虑与水运司的业务共享线路,不再重复建设。依据交通行业专网建设的总体思路,这些未连接专网的单位可以通过INTERNETVPN方式连接。道路运输数据交换平台网络概况依据“立足成果部省联动”的建设原则,部级道路运输数据交换平台的网络通信建设方案充分利用交通部信息化二期建设的成果,从平安性和经济性考虑,以交通部交通行业信息专网（SDH专网）作为数据交换的主要通讯方式,以交通行业虚拟信息专网作为应急备份网络。4.2. 解决方案设计原则在规划XX系统平安建设时，我们将遵循以下原则，供应完善的远程平安接入解决方案： PDCA原则信息平安管理的本质，可以看作是动态地对信息平安风险的管理，即要实现对信息和信息系统的风险进行有效管理和限制。标准ISOI54081（信息平安风险管理和评估规则）,给出了一个特别经典的信息平安风险管理模型，如下图所示：既然信息平安是一个管理过程，则对PDCA模型有适用性，结合信息平安管理相关标准BS7799(ISOI7799),信息平安管理过程就是PLAN-DO-CHECK-ACT(安排一实施与部署一监控与评估一维护和改进)的循环过程。 遵循统筹规划、分步实施原则解决方案是XX系统整体平安规划的一部分，必需在统一领导下，统筹规划，依据须要接入单位，逐步扩大网络覆盖面，增加网络功能。随着网络覆盖面的扩大及功能的增加，可以促进网上应用建设。网络和应用的建设相互推动，促使专网建设成良性循环。 坚持平安第一原则XX系统的承载数据具有高度的机密性，通过公共网络传输数据时，既要保证传输内容不被窃听、篡改，同时还要保证接入端的可信任，以及设备的抗攻击性，从而保证XX系统的整体平安性和牢靠性。 坚持好用性原则XX系统VPN系统的建设应从透亮性、友善性、有效性等几个方面考虑好用性的设计。透亮性是指平安机制的设置和运行对于一般用户应尽量透亮，使他感觉不到其存在。友善性是指对于包括平安管理中心在内的全部须要进行操作的人机界面应做到平安、简捷、便利。有效性一方面是指平安机制的设置的确达到设计要求，另一方面是指增加平安机制以后新增加的系统开销所带来的性能下降要在应用系统运行所能承受的范围之内。简易性也是VPN建设须要考虑的一个关键因素，对于营业网点或者移动用户，都必需供应最简洁的VPN网络接入方式，以保证VPN网络的部署不会对正常的网络应用造成影响。 坚持技术与管理亲密结合的原则任何平安系统的牢靠运行，必需有严格的管理，并把两者亲密结合起来。管理首先是管理人员，然后再通过被管理的人实现对VPN系统运行的限制和管理。要有完备的规章制度和切实可行的操作规程来规范各类人员的操作。任何平安系统或者一个分系统都必需把人考虑在内才是完备的。由于分支机构缺少足够的技术人员，因此VPN网络管理应当以区域集中管理为主要模式，因此VPN的建设必需供应足够的技术支撑实力，以实现这种管理模式的需求。 坚持前瞻性原则设计网络时即要考虑当前需求，也要考虑将来的需求，即要考虑单一应用需求也要考虑综合应用需求。目前政务信息主要是文字性的内容，数据流量相对较小，随着信息工作不断推动，将来势必会增加图片、音像、视频等多媒体信息，数据量会大量增加，对网络性能要求也会大大增加。另外我们也要考虑到其它的业务应用，如：电视会议、其它业务系统等。其它应用建设时涉及已经联网的可以不再单独建设，基于以上缘由网络建设时尽量做到具有前瞻性，保证在设备生命周期内能够满意业务须要。5. XX系统远程平安接入解决方案5.1. 远程接入平安解决方案依据XX系统的需求，建议依据如下的组网图进行建设：此处请补充依据客户实际组网做得方案建议图,以下图为例。眼器那IX熙2ScJrtVlMcylOgftf同时请依据详细用户需求,删除或增加下面的技术介绍章节:5.1.1.大型分支接入组网特点：/VPN内部须要建立统一的OSPF路由域。/VPN内部可以支持MPLS、IPX等非IP协议的网络。部署要点/两端的VPN网关的Loopback接口之间建立GRE隧道,然后将IPSec策略应用到Wan接口上从而建立IPSeC隧道，进行数据封装、加密和传输；/在GRE隧道接口上使能OSPF；方案特点/GRE的特点是可以承载多种协议，而IPSeC只能承载IP协议。假如企业网内有IPX、MPLS等应用，建议可以先借用GRE承载非IP协议，然后才能运用IPSec爱护GRE报文。/GRE是基于路由的，而IPSeC是基于策略。假如须要在企业网内统一规划路由方案，GREoverIPSec的方式逻辑就比较清楚。因为IPSeC的策略是针对GRE隧道的，而GRE隧道是基于路由的，所以整个VPN内的路由是统一的。/对业务流量，诸如路由协议、语音、视频等数据先进行GRE封装，然后再对封装后的报文进行IPSeC的加密处理。,不必配置大量的静态路由，配置简洁。/GRE还支持由用户选择记录Tunnel接口的识别关键字，和对封装的报文进行端到端校验；/GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致运用GRE会造成路由器数据转发效率有肯定程度的下降；5.1.2. 中小分支合作伙伴接入VPNManager组网特点：/VPN客户端设备相对来说比较简洁。部署要点/VPN客户端可以运用动态地址接入服务器，但为了防止客户端IPSec配置泄露造成的平安隐患，建议VPN客户端口采纳静态地址。同时，这样也便于运用VPNManager的配置管理功能。方案特点/组网简洁，易于部署；/由于IPSeC不能承载路由协议，须要在分支结构和园区网配置大量的静态路由。/单纯的IPSeC封装，对于带宽资源消耗较小；5.1.3. 移动用户接入方式组网特点组网特点：/移动用户敏捷接入，平安认证、数据爱护。部署要点,无须客户端软件,运用SSL完成用户身份认证和报文加密/认证方式多样，可包括本地认证、RadiUS认证、LDAP认证、AD认证、证书认证、双因素认证/VPN服务器侧可以考虑运用单台设备，也可以考虑运用双VPN服务器备份,接入方式敏捷，各种接入方式都可支持方案特点敏捷、平安H3C远程平安接入高牢靠性设计的核心理念就是增大网络冗余性的同时做到负载分担。衡量牢靠性设计优劣的标准就是网络异样业务流量中断时间。牢靠性设计重点体现在VPNSerVer的双出口备份、双机备份、负载分担和异样快速切换3个方面。5.2.1.双出口备份对于远程平安接入，出现故障更多的时候在于运营商链路的不行靠。而对于运营商链路传输的状况，H3C的L3MoNtor特性能够做到实时的监视，以保证VPN隧道的实时切换。传统的备份实现方式,通常依靠检测接口的物理UP、DoWn变更消息或者网络层协议UP、DoWn变更来触发主备切换。L3MOnitOr自动侦测特性利用ICMP的request/response报文，检测目的地的可达性，检测结果反馈到与之联动的备份功能模块，触发其主备切换，从而供应了基于网络层应用可达性的备份功能。1.3Monitor的整个工作流程如下：（1）首先，用户配置全局的L3Monitor自动侦测组：包括被监测的地址以及下一跳。另外还可以很敏捷地定义一些侦测策略。比如：配置侦测组的侦测周期、配置一次侦测中的最大重试次数、配置一次侦测的超时时间。另外，同一个侦测组的多个被侦测对象之间的关系可以配置为“与”或者“或"。假如当被侦测对象之间的关系为“与”时：有一个IP地址无法Ping通即认为该侦测组不行达，并不再侦测其余的地址；当侦测对象之间的关系为“或”时：有一个IP地址Ping通即认为该侦测组可达，并不再侦测其余的地址；（2）当某个备份功能希望运用该自动侦测组时，就通过吩咐与该自动侦测组关联；（3）自动侦测组在后台不断向被侦测对象发送ICMP探测报文，依据之前定义的侦测策略，如侦测次数、超时时间等等来推断当前被侦测对象是否可达；（4）自动侦测组在每次侦测结束时，向与之关联的备份模块发送消息通知自己这一轮检测的结果，这些模块，比如路由备份、接口备份或者VRRP就会依据AUtO-detect发送过来的目的地可达性消息确定是否进行主备切换。5.2.2. 双机备份双机备份是通过VRRP实现的。VRRP（VirtualRouterRedundancyProtocol,虚拟路由冗余协议）是一种容错协议。通常，一个网络内的全部主机都设置一条缺省路由（如下图所示，），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器R。UterA坏掉时，本网段内全部以RoUterA为缺省路由下一跳的主机将断掉与外部的通信。局域网组网方案VRRP就是为解决上述问题而提出的，它为具有多播或广播实力的局域网（如：以太网）设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器（包括一个YaSter即活动路由器和若干个BaCkUP即备份路由器）组织成一个虚拟路由器，称之为一个备份组。这个虚拟的路由器拥有自己的IP地址（这个IP地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的IP地址（如Master的IP地址为，BaCkUP的IP地址为）。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而并不知道详细的MaSter路由器的IP地址以及BaCkUP路由器的IP地址，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。假如备份组内的Master路由器坏掉，BaCkUP路由器将会通过选举策略选出一个新的MaSter路由器，接着向网络内的主机供应路由服务。从而实现网络内的主机不间断地与外部网络进行通信。5.2.3. 快速切换网络异样的状况有许多种。假如不考虑运营商的网络异样，VPN的异样主要有两大类:第一类是网关异样，包括网关瘫痪、重启等等；其次类是网关链路异样。在网络出现异样时，如何保证业务流量能够尽快复原？网关快速切换，这一切换由L3MOnitor发觉，VRRP实现。当主网关或其链路出现异样时，L3Monitor能够保证在12秒内发觉，通过VRRP34秒内完成主备网关的切换。而且为了保证网关切换后，网关内外的流量能同时切换到新的网关上，须要在