用户名: 密码: 登录 | 邮箱入口
【HT】新闻公告 关于财政用户升级政务外网加密客户端通知 2014-06-10 2017年“元旦”假期售后服务信息 2012-04-28 2017年清明假期售后服务信息 2012-04-01 上海华堂推出IPSec/SSL一体化VPN网关 2011-12-29 现阶段如何进行网络安全管理? 2011-11-23 防火墙:网络安全的保障 2011-11-23 华堂UTM防火墙专治企业网络"阿硫克斯之踵" 2011-11-23 来自恶意广告的新威胁 2011-11-18 内网安全的市场概况和相关看法 2011-11-18 抛砖引玉 揭秘云计算安全问题 2011-11-18 华堂USB KEY为区县人大换届选举选民登记接入提供完美服务 2011-10-08 NEW!!区县人大换届选举上海人大重要通知下载地址 2011-09-29 区县人大选民登记安全接入商密key介绍 2011-09-28 区县人大选举安全接入商密key 问题集锦(1) 报错该如何解决? 2011-09-28 区县人大选民登记安全接入商密智能key下载专区 2011-09-28 政务外网云计算接入用户手册及驱动程序下载专区 2011-09-19 进步还是倒退?UTM与传统防火墙的对话 2011-09-06 提升UTM防火墙不再是传说 2011-09-06 上海华堂助某市财政局实现防火墙VPN一体化 2011-09-06 传统VPN防火墙 VS 下一代防火墙 2011-09-06 竞速下一代VPN防火墙 2011-09-06 春节假期售后服务联系信息 2010-02-04 元旦假期售后服务联系信息 2009-12-28 十一假期售后服务联系信息 2009-09-30 华堂产品荣获信息安全产品认证证书 2009-09-01 华堂公司受邀参加“商用密码产品成果展” 2009-08-18 SSL VPN安全网关首家通过国密局认证 2009-07-21 从绿坝软件看过滤技术 2009-06-15 端午节假期售后服务联系信息 2009-05-27 浅谈国产SSL VPN产品技术 2009-05-22 VPN隧道内安全防范 2009-05-12
     
您现在的位置:首页 >> 新闻公告 返回上一页  
【HT】产品目录
申请试用
【HT】客户名录
【HT】新品推荐
 
 
新闻公告    
上海华堂助某市财政局实现防火墙VPN一体化
上海华堂助某市财政局实现防火墙VPN一体化
虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。

虚拟专用网络允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。

虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。

一.财政局网络安全现状

运城财政局各个分支机构分部比较广泛,并且财政局之前并没有建设专用网络,财政局办公相对比较独立。随着信息化的发展,财政局一些重要的财务、社会保障系统软件在单机的情况下无法满足需要。

考虑到财政系统必须实现专网,才能使用主流的网络版财务软件,实现专网连接是首先要达到的目的。

1.1.用户需求分析

实现专网有多种方式,最好的方式是独立架设单独的线路实现,但是考虑到财政局目前资金投入状况,自己架设线路的成本很高,而且各个财政所分部在偏远的乡村。更增加架设专网的难度。

目前各个乡镇财政所总数为15个,每个乡所拥有的计算机数目和网络规模比较小,平均每个乡镇财政局,用于业务的电脑最多3台。而且财务软件属于C/S模式,每月申报次数不多。网络通讯所用带宽较少。

鉴于以上对运城财政局网络现状的分析,结合运城财政局日益发展的业务需求,我们认为运城财政局的对网络系统有如下两个个需求:

1)组建自己的专有宽带网络(以下简称:专网)

利用现有的多种宽带接入方式组建专网,不光满足了业务数据传输对实时性、稳定性的要求,更重要的是,对公司整体网络系统实现了统一有效的管理,从而对业务数据的传输安全提供的很好的保障。需求如下:

因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险:

来自internet的未经授权的对企业内部网的存取。

当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。

完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。

企业网络的全面安全要求保证:

保密-通讯过程不被窃听。

通讯主体真实性确认-网络上的计算机不被假冒。

2)建立有效的访问控制机制

只有对内部用户和外部用户的访问权限加以有效的控制才能保障公司网络长期有效地运行,为公司业务的发展创造良好的环境。

二.某财政局防火墙+VPN一体化解决方案

在VPN领域我们普遍应用的主要有,基于路由器的VPN;ISP提供的VPN;基于防火墙的VPN和专用的VPN设备几种,我们评估一下那种方案在性能,管理和费用适合的解决办法。

通过以上的表格我们看到,真正在实际应用的主要是防火墙+VPN此种方式。

2.1.方案设计简述

本方案采华堂防火墙设备,为省财政局和各个乡镇财政所建立网络访问控制和完善的vpn方案。

2.2.防火墙+VPN产品推荐

华堂防火墙采用了新型的网络芯片设计技术,这个区别于一般的PC休系架构表现在网络数据处理速度上能够达到线速,性能优越。该防火墙支持500个VPN通道和12800个并发连接,同时提供了80兆/秒的三重数据加密3DES能力和线速(wire-speed)防火墙的处理能力。

华堂防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙,可以保护用户的网络免于黑客的攻击,同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务,还提供了不同等级的网络带宽管理,让一些特殊的应用服务可以确保使用带宽。另外,还提供有因特网地址名称过滤、内容过滤、主动式入侵检测以及直接利用浏览器即可管理的简易操作等功能。因为有这个内建支持浏览器的管理接口,你可以在你现有的操作系统下利用你熟悉的浏览器操作来管理这个防火墙。

RFW-SME提供一个10/100Mbps的外网(WAN)接口,一个10/100Mbps的DMZ接口,以及三个10/100Mbps的内网接口。外网接口的IP地址支持下列三种模式:PPPoE,DHCP,或静态IP。根据用户的网络服务提供商所提供的服务方式,任选其中一种设定防火墙的对外IP地址参数。RFW-SME还提供有内建的DHCP(动态主机配置服务协议)服务功能,它可让内网接口上的主机由DHCP服务提供相对应的地址及其他信息,使得用户轻松管理所有的上网主机。

2.3.部署建议

根据财政局的网络结构特点,结合华堂防火墙的工作模式,制定如下几部分内容:网络地址的重新规划、防火墙的配置、LAN到LAN的VPN的实现。

1.网络地址的规划:

考虑到实现lan到lan的vpn访问和日常的管理,有必要将目前县级网络的地址重新规划。根据网络规模和日后扩展能力,规划后的地址如下:

2.防火墙的配置:

防火墙配置的前提条件:

用户接入互联网,接入方式可以是:固定IP、DHCP客户端、也可以通过PPPOE获得,用户采用的带宽为512k以上,建议采用1M。

防火墙的物理位置部署在各个分公司内网和互联网的唯一出口处。

防火墙的策略设置:

建立nat模式,隐藏企业内部网络结构。

制定不同的网络对象,可以根据部门业务特点进行划分;

根据不同的网络对象制定不同的访问控制策略,如业务网内用户不允许访问互联网资源。

允许业务网用户通过防火墙VPN连接地址网络。

3.LAN到LAN的VPN实现

在运城县的互联网出口处,配置瑞星RFW-100+防火墙,与各个分财政所RFW-SME防火墙进行VPN连接,省RFW-100+防火墙VPN设置主模式,财政所RFW-SME防火墙设置主动模式。

VPN建立过程如下:

.自动密钥 IKE”通道协商的第 1 阶段由如何认证和保护通道的提议交换组成。交换可以在两种模式的其中一种模式下进行: Aggressive mode ( 主动模式) 或 Main mode ( 主模式)。使用任一种模式时,参与者将交换可接受的安全服务提议,例如加密算法 (DES 和 3DES) 和认证算法 (MD5 和 SHA-1)

.当参与者建立了一个已认证的安全通道后,他们将继续执行“第 2 阶段”。在此阶段中,他们将协商 SA 以保护要通过 IPSec 通道传输的数据。与“第 1 阶段”的过程相似,参与者交换提议以确定要在 SA 中应用的安全参数。“第 2 阶段”提议还包括一个安全协议 - “封装安全性负荷” (ESP) 或“认证包头” (AH) - 和所选的加密和认证算法。如果需要“完全正向保密”(PFS),提议中还可以指定一个 Diffie-Hellman 组。

.两段分别进行连接,如果两端都可以访问到对方防火墙后面的地址,证明加密成功。

4.移动客户端到局域网的VPN连接

移动客户端进行VPN的连接条件:

分公司单位采用固定IP的接入方式

移动客户端要求WINDOWS2000以上操作系统

移动客户端拨号的实现:

采用pptp协议进行VPN的连接,设置DHCP地址池;

在NP防火墙中建立拨号用户,设置认证用户的帐户密码;

设置PPTP加密算法;

根据windows拨号向导,设置客户端拨号软件;

5.部署后的拓扑图

上一条: 传统VPN防火墙 VS 下一代防火墙 下一条: 提升UTM防火墙不再是传说
 
 
【HT】在线支持
上海 河北
浙江 广东
江苏 山西
安徽 湖北
河南 福建
江西 其它
       
工程师1 工程师2
工程师3 工程师4
工程师5 工程师6
 
 
 
上海市安顺路89弄7号 浦江大厦3201室 人才招聘 联系方式  eGroupWare 沪公网安备 31010502001641号
电话:021-52897632 Copyright©华堂网络 All Rights Reserved
飞五游戏下载