作为一种成熟有效的低成本广域网互联解决方案,通过VPN技术实现远程安全接入已经得到了普遍的接受和广泛的应用。通过VPN,可以让远程的分支机构、移动办公用户乃至于合作伙伴在一个类似于局域网的环境下协同工作。
在所有VPN技术中,IPSec VPN是公认的最佳的网络到网络VPN解决方案,广泛应用于总部和分支机构之间的互联。IPSec是标准的网络安全协议,它可以提供透明的IP层加密通讯服务,加密强度根据选择的加密算法不同而有所区别。由于是基于IP层进行加密,所以与上层协议与应用无关,对各种应用的支持较好。
但是IPSec VPN不支持路由协议的透传,因此在进行需要透传路由协议的相对复杂组网的时候会遇到困难。为了解决这一难题,业内也开发了很多解决方案,其中最佳的就是利用GRE隧道技术与IPSec技术相结合的组网方式。
在移动用户接入时,相对于IPSec VPN需要额外安装客户端以及需要对客户端进行比较复杂的配置的缺点,SSL VPN提供了更加简便的无客户端的移动用户接入解决方案。SSL VPN使用了面向HTTP应用的SSL协议对TCP协议进行加密。由于SSL协议得到了浏览器的广泛支持,因此在使用SSL VPN的时候不需要安装客户端和进行复杂的配置,只需要使用浏览器即可。同时结合ActiveX控件,SSL VPN可以实现对非HTTP应用的支持,以及VPN客户端接入时的安全校验等功能。
在进行VPN设计时应当考虑以下问题:
■ 分析业务的实际需求,综合采用多种VPN技术,灵活网络设计。一般说来,网络到网络比较适合接入采用IPSec VPN,远程办公用户接入比较适合采用SSL VPN,而在需要透传路由协议的情况下,则需要使用GRE VPN承载IPSec VPN的方法。
■ 考虑到不同的远程接入网络/远程接入用户的业务需求不同,应用采用分域的方法进行VPN设计。比如分支机构与合作伙伴通过VPN接入的时候就应该接入不同的域。
■ 与通过专线进行广域网设计类似,在设计时要考虑对蠕虫病毒等恶意流量的防护问题。
■ 在多数情况下,用于VPN连接的互联网链路往往同时也是访问互联网的链路,因此在进行设计时,要考虑与边界防护设计的融合问题。
■ 充分考虑统一安全策略部署,与统一配置管理问题。
典型组网
DPtech远程安全接入解决方案综合应用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多种VPN技术,为用户提供多样的、高可靠性的远程安全接入解决方案,实现分支机构、合作伙伴、移动用户的一体化远程安全接入。同时根据实际情况,应用杭州迪普科技有限公司的防火墙、UTM和IPS产品,提供了全面的L2~7层安全防护,统一的安全策略部署与配置管理能力,以及与边界防护解决方案的融合能力。
功能与优势
■ 网络级的性能
迪普相关产品基于APP-X硬件平台,可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。不会因为增加了新的设备而使得应用的性能出现下降。
■ 网络适应性
迪普相关产品基于Conplat软件平台,提供了丰富的网络适应性,可以在IPv6、MPLS等复杂网络环境下良好的工作。设备部署的时候,可不受网络环境的限制,也不需要大面积调整网络结构。
■ 丰富的VPN组网能力
综合应用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多种VPN技术,提供了丰富的VPN接入手段和组网方法。
■ 完善的L2~7安全保护
通过DPtech防火墙、UTM和IPS产批为核心,提供了完善的L2~7层安全保护能力。可有效抵御VPN内的病毒传播,以及抵御来自于互联网的攻击。
■ 虚拟化安全服务
所有产品都支持虚拟化功能,可以虚拟成为多个独立设备使用。这在分域设计以及多种安全策略并存的环境下,可以有效的降低安全策略设计的复杂性。
■ 快速部署及排错
所有设备都支持统一管理,能对所有设备进行统一系统软件升级、策略集中下发,提供了快速部署及排错能力。
■ 完善的高可靠性保障
根据组网方式的不同,可支持链路备份、VRRP、路由备份等多种高可靠性设计,提供微秒级的故障切换能力。