VPN網絡結構要求

申請免費試用、咨詢電話：400-8352-114

　　一、 公司需求 　　1. VPN網絡結構要求 　　泰康人壽總部在北京，全國各省共有28個分公司、支公司，總部與分公司是采用DDN專線連接;每個分公司下屬幾十甚至上百個營銷管理部，這一級的網絡連接方式由于節(jié)點分散、資費各異的原因，有VPN、城域網專線、撥號等各種形式。 　　為了保證營銷管理部與分公司直到總公司的數據交互訪問的安全性和可管理性，并且為以后可能會擴展的數據、語音應用提供安全高效的網絡平臺，需要構建總部與全國28個各分公司、支公司，近1000個營銷管理部之間的遠程業(yè)務系統(tǒng)基于VPN的安全網絡應用平臺，達到兩級管理、集中匯總、授權訪問。 　　因此，整體VPN網絡建設的框架為:總公司-分公司的一級VPN管理網絡;分公司-營銷管理部的二級VPN管理網絡;并且提供總公司-分公司通過VPN提供DDN線路備份方案，總部特定應用的移動辦公方案，營銷管理部-總部的VPN線路備份方案等功能。 　　結構如同所示: 　　1.1 VPN網絡基本需求(兩級管理、集中匯總、授權訪問): 　　總部-分公司 　　目前總部與分公司之間已經通過專線構建了專用網絡。建設這一級VPN網絡的目的，一是總部可以對所有分公司的VPN網絡有審核與監(jiān)管功能，而是可以作為專線線路的備份，實現總部與分公司之間的雙路互訪。 　　分公司-經營部 　　分公司與經營部之間的VPN網絡是建設重點，要求分公司與經營部之間能夠在VPN平臺上相互通訊，分公司直接對下屬的營銷管理部有管理權限。 　　經營部分別接入所屬的分公司，再由分公司到總部，網絡結構清晰，由分公司來直接管理各下屬經營部的接入權限和使用權限，總部起審核監(jiān)管作用。 　　1.2 VPN網絡擴展應用需求 　　移動辦公 　　出差在外的移動人員，也可以通過VPN網絡、訪問總部/分公司/經營部的資源。SINFOR VPN的多級接入鑒權體系使得總部/分公司/經營部的VPN網絡具備完善的權限管理手段，只允許授權的移動用戶接入和使用特定資源，避免不必要的安全隱患。 　　總部-經營部的VPN備份 　　經營部訪問總部可以通過兩種方式。一是通過到分公司的VPN網絡、再經過分公司和總部的專線網絡，實現與總部的信息互通;另一方案也可以直接通過VPN網絡，與總部互相訪問，這只有在特殊情況下，經過總部網絡管理部門授權，由總部網絡管理人員分配VPN策略才能連接。 　　語音視頻的高效低成本傳輸 　　基于全公司的多級VPN網絡，通過SINFOR VPN的多線路復用專利技術，疊加上網帶寬的情況下，可以效果很好地進行語音、視頻信號的傳輸，減少遠程固定電話費用和會議的差旅費用。 　　二、 解決方案 　　綜合考慮上述需求，泰康人壽整體VPN網絡解決方案采用深信服科技的SINFOR DLAN產品線中的安全網關SINFOR DLAN M5400、M5100、S5100、零配置CA認證的客戶端SINFOR DKEY、集中安全管理中心SINFOR DLAN SC ，達到同時監(jiān)控和管理部署各級的VPN網關/終端和數千個VPN網絡節(jié)點。整體部署圖如下: 　　1.總部-分公司-營銷管理部的VPN網絡規(guī)劃 　　泰康總部與28個分公司專線連接，各分公司通過IP規(guī)劃授權對總部數據庫進行各業(yè)務系統(tǒng)的訪問，數據匯總到公司總部中心機房。 　　1、 總部實施VPN總服務器端，建立VPN網絡的一級平臺，各分公司建立VPN網絡的二級平臺，一級平臺與二級平臺連接，對二級平臺的連接情況有連接信息集中匯總功能，并對DDN專線有線路備份功能。 　　2、 分公司實施VPN二級服務器端，建立VPN網絡的二級平臺，通過平臺的管理授權，授權下級營銷管理部通過符合管理要求的VPN客戶端接入分公司，再經過分公司與總部的專線，通過IP規(guī)劃授權對總部數據庫進行業(yè)務系統(tǒng)的訪問，數據匯總到公司總部中心機房。 　　3、 下級營銷管理部實施VPN的客戶端，通過計算機硬件綁定(HARD CA認證)、使用人員身份綁定(KDEY雙因素身份認證)技術，按照分公司的IP規(guī)劃和用戶管理，授權訪問指定資源。 　　4、 總部的一級平臺，支持總部人員的移動辦公。 　　5、 總部的一級平臺，能夠通過平臺的管理授權，對于一些特殊情況下的營銷管理部提供接入，具備提供營銷管理部-總部的VPN線路備份方案。 　　三、 方案特點: 　　1、 可管理性和安全性結合 　　通過深信服科技的VPN集中安全管理平臺，泰康人壽實施完VPN以后達到分級管理、集中匯總，IP管理，證書管理，訪問權限管理的四項網絡管理要求。既保證高安全性又得到很好的可管理性。 　　●分級管理、集中匯總 　　通過專業(yè)的VPN多級遠程配置維護功能技術，實現總部的VPN總服務器端能夠對分公司的VPN服務器端的管理設置和連接情況有監(jiān)管的管理。同時能夠有連接日志的匯總。 　　●IP管理 　　建立的所有連接都遵循授權總部的IP規(guī)劃管理原則，達到所有連接都能夠按照總部或分公司指定的IP地址或者IP地址段進行安全管理。 　　●證書管理 　　所有的VPN客戶端連接，都必須符合指定到每一臺計算機終端、每一個操作使用人員的安全管理標準。通過成熟的VPN產品技術達到驗證終端設備的硬件配置信息證書管理、驗證操作人員的雙因素認證USB口 KEY的電子證書管理。實現固定機器、指定人員的連接訪問。 　　●訪問權限管理 　　對所有客戶端的連接，都能夠指定一個上級VPN服務器分配的IP地址，能夠對每一個客戶端到上級VPN網絡的訪問哪些方面的資源，哪些具體服務有很好的訪問權限管理。 　　2、適應性和擴展性 　　●適應國內所有環(huán)境和國內使用習慣。 　　圖形化的中文界面，傻瓜化的操作界面和友善的頁面提示，適合計算機水平參差不齊的各級部門使用人員。 　　●支持所有上網方式。 　　支持ADSL撥號的動態(tài)IP，小區(qū)寬帶、大樓寬帶的私有IP等各種上網情況，支持穿透防火墻、NAT設備，支持包括WLAN、 GPRS 、CDMA2000、WCDMA 等各種Internet接入方式。便于移動辦公。 　　●實施擴展方便，可以遠程配置。 　　可以遠程實施和部署，可導入導出配置，極大的減少VPN產品的實施成本和方便將來擴展。移動客戶端可使用USB Key 加載安全信息，實現零配置。 　　3、廠商自主產權、用戶自主控制 　　●深信服科技作為國內技術領先的VPN研發(fā)廠商，有直接技術服務，并可對方案有一些特定需求，能得到及時有效的升級服務。 　　●所有VPN網絡管理環(huán)節(jié)由用戶自主控制，包括動態(tài)尋址、加密、認證等機制都由用戶掌握。 　　4、高容量、低價格 　　SINFOR VPN超大的容量支持2000條VPN通道，5000個網絡節(jié)點，2000個移動用戶的同時接入，超大的容量足以滿足大部分客戶的需求?？呻S時隨地的接入。用戶只需要一次性購買一套軟件的成本和當地接入INTERNET成本就可永久性地使用。性價比高，降低了企業(yè)的總體擁有成本(TCO)。 　　●軟硬件一體化 　　既提供軟件形式的VPN系統(tǒng)，也提供基于Sinfor Linux安全操作系統(tǒng)的硬件VPN產品。用戶既可以在原有硬件設施上部署軟件VPN，保護以前的IT投資;也可以直接部署Sinfor DLAN硬件網關，專用的安全平臺將提供更可靠的運行環(huán)境。Sinfor DL