随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷,传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
1、需求分析
随着企业公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行商业活动。传统专线网基于现有的物理网络,对于客户来说,建设成本和使用费用昂贵,并且只能实现有限的专网访问,缺乏联网的灵活性。在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠、经济的安全连接(VPN),有特别重要的意义。
根据对企业内部网络系统的分析,我们发现企业的VPN需求主要在以下方面:
公司员工在家中或出差途中,需要接入到企业内部网络;
公司移动用户需要接入到企业内部网络;
公司分支机构需要接入到企业内部网络;
部分关键客户,合作伙伴需要接入到企业内部网络,进行正常业务;
客户端不需要安装任何软件,可以直接访问企业内网资源;
提高VPN系统的安全性。
因此在企业网络中安装VPN网关,同时支持IPSec和SSL VPN,可以有效解决远程接入问题。用户既不受地域限制,也不受接入方式限制,只要该用户能够接入Internet,便能够安全地接入企业网内部,同时可以不需要安装其他的客户端软件,只要有支持SSL的浏览器;不用更改现有网络结构,具有强有力的访问控制能力,可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。
2、解决方案
针对客户的需求,华为赛门铁克公司专门设计了满足客户需求的VPN网关SVN3000。SVN3000是面向运营商、企业、政府行业推出的优秀的SSL/IPSec一体化VPN网关设备。部署SVN3000,无需改变网络结构,可以直接单臂挂接到出入口防火墙或者路由器、交换机上,简单快捷。移动办公时,用户终端无需安装任何客户端软件,只需标准的Web浏览器即可对企业内网资源进行安全访问。在两个固定网络间进行通信时,能够通过SVN在两个网络间建立IPSec安全隧道,实现总部与分部网络之间的安全稳定互连。SVN3000基于华为赛门铁克公司专业的高可靠硬件平台和专用的实时操作系统,具备业界领先的系统安全性和可靠性,为企业员工、分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。
3、方案功能
IPSec/SSL一体化,结合了SSL VPN的安全性、易用性以及IPSec VPN在Site-to-Site方面的优势,最大限度地发挥了VPN给现代企业远程办公所带来的方便性和安全性。
支持多种密码算法,包括加密算法:3DES/DES、RC4、AES,Hash算法:MD5、SHA-1,非对称密码算法:RSA,保障数据传输的安全性、完整性。
为移动人员对各种内网资源的访问提供广泛的支撑,用户仅需要标准的浏览器就可以实现对内网Web资源、SMB/NFS文件系统的安全访问,支持对Notes、Telnet、SSH、MS RDP、VNC、FTP、Oracle等内网TCP应用的访问,同时提供了对基于IP的内网业务的全面访问支持。
提供SSL虚拟网关功能。SVN3000通过虚拟网关提供SSL VPN服务,每个虚拟网关相当于一个逻辑上独立可管理的SVN3000,可配置自有的用户、资源和访问控制规则。单台SVN最多可提供128个虚拟网关。一个虚拟网关可以对应一个独立的IP地址,也可以多个虚拟网关共享一个IP,为一个企业的不同部门或者多个企业使用一台设备进行独立的安全接入提供安全解决方案。
用户身份认证:可以通过在SVN3000上建立用户数据库,实现本地认证。同时,还支持多种外部认证系统,包括Radius、LDAP、x.509数字证书、USBKey+x.509数字证书。
授权:提供本地用户数据库授权方式LocalDB,支持外部Radius、LDAP组用户映射授权。
访问控制规则(ACL):能够对源IP、目的IP、Port、URL进行细粒度的访问控制。
支持管理员分类分级管理,不同的管理权限给出不同的管理角色。可分为系统管理员、虚拟网关管理员两类,每类分为超级管理员和普通管理员两级。
管理方式:提供SSL VPN可视化图形管理界面WEBUI,直观易用。同时,提供Console管理方式,支持SNMP(简单网络管理),满足不同管理员的操作习惯。
日志功能:分为用户日志、管理员日志和系统日志,记录用户/管理员上下线时间、操作行为、登录成功/失败,以及系统的运行和故障信息。
电信级的可靠硬件平台和专用实时操作系统,支持双机热备,确保了产品的可靠性、安全性。
4、方案特点
优异的端到端安全解决方案
SVN3000安全接入网关融合了IPSec和SSL两种先进的VPN技术,既可以通过Web浏览器实现无客户端的便捷访问,又能够实现端到端的网间互连。传输过程的强加密、身份认证方式的多样化、设备软硬件的安全、细粒度的内网资源授权访问控制,构成了层次化的点到端、端到端安全访问保障。
广泛的业务支撑
SVN3000安全接入网关对企业各种内网资源访问提供广泛的支撑。它可以支持用户通过标准Web浏览器访问复杂的内网Web页面、SMB/NFS文件系统,同样支持FTP、Oracle、Notes、Telnet、SSH、VNC、MS RDP等传统C/S应用的访问,同时也支持与应用无关的全IP层业务访问。
方便的部署和管理
SVN3000部署不改变网络结构,提供直观易用的中英文WebUI管理界面和丰富的帮助提示信息,管理员通过Web管理界面即可实时进行监控和管理。SVN3000同时提供标准的命令行管理方式,以满足不同管理员的操作习惯。
全面的认证、授权、日志支持
SVN3000安全接入网关自身提供LocalDB认证授权系统,同时也支持多种主流的外部认证系统,如:Radius、LDAP、X.509数字证书、USBKEY+数字证书等,为已具备成熟认证体系的企业提供了有效的支持,在很大程度上降低了支持和维护的成本。同时,提供系统日志、管理员日志和用户访问日志,方便管理员对日志的分析和审计。
领先的SSL虚拟网关技术
SVN3000提供SSL虚拟网关功能,单台设备可提供多达128个虚拟SSL VPN网关,所有的虚拟网关是逻辑上独立的,为不同部门和不同企业提供独立安全的访问体系。同时,支持运营,可为运营商提供多种运营模式。灵活方便,安全可控,为企业和运营商带来更高的投资回报。
电信级的高可靠性
SVN3000安全接入网关基于华为高可靠性硬件平台和专用的实时操作系统,具备优异的性能和更高的安全性,单机双电源,支持双机热备组网,确保网关设备高可用性的同时支持大规模部署,是一款电信级高可靠的SSL VPN网关。
5、部署方式
SVN3000组网方式灵活,部署简单,一般位于网络出入口防火墙之后,既可以单臂挂接在出入口防火墙或者交换机上,也可以双臂挂接在防火墙和交换机之间,不改变原有的网络拓朴结构,实施不影响业务正常运行。
SVN单臂组网方式
SVN双臂组网方式
SVN3000支持IPSEC VPN功能,可以与系列的Eudemon、USG安全网关建立Site to Site的IPSEC VPN安全链接,同时支持移动用户通过SSL方式访问。
6、产品规格
| 项目 |
SVN3000 |
| 最大并发用户数 |
1000 |
| 固定接口 |
3组10/100/1000M光电互斥口,1个配置口 |
| 扩展插槽 |
2 |
| 可靠性 |
双电源、双机热备 |
| 管理方式 |
支持命令行、Web配置管理、SNMP |
| 外形尺寸(mm)宽×深×高 |
436mm×420mm×44.45mm |
| 重量 |
6.0kg |
| 最大功率 |
60W |
| 输入电压 |
AC: 100~240V 50/60Hz |
| DC:-48 ~ -60V |
| 平均无故障间隔时间 |
12.67年 |
| 标准和协议 |
支持SSLv2.0、SSLv3.0、TLSv1.0等协议 |
