根据客户要求,现做出如下解决办法和技术描述:
全网规划:(使用MPLS vpn专线组建一、二级,三级网络由ipsec vpn方式组建)
深圳总部:(推荐使用美国Juniper公司的SSG UTM防火墙)
鉴于总部是所有流量汇聚、病毒防护、入侵防御及攻击防护的中心点,所以建议架设更高级别的防火墙,推荐Juniper SSG 550M。同时加载AV防病毒、DI(IPS入侵防御)模块。
仍然采用原有的中国电信2M ip城域网接入方式,用以与现有使用电信线路的分公司进行ipsec vpn互联;
使用防火墙安全区域的功能,将现有深圳内网分成不同级别的区域,如trust区域、DMZ区域及untrust区域,区域之间的访问及ipsec vpn之间的访问经过防火墙严格控制,如分配在trust区域的员工访问DMZ区域的OA、E-mail服务器均必须过防火墙状态检测,同时可加载应用层过滤及病毒检测,以保证更高级别的访问安全。分公司的用户访问ipsec vpn对端深圳总部的OA服务器时同样也遵循这样的规则,这样就确保整体访问的安全以达到公司对安全的要求。
深圳总部与北京分部之间采用两线路备份式链接,采用MPLS-vpn链路。总部使用两台cisco 2851路由器做为连接专线所用设备,利用HSRP热备份路由协议区分主、备路由器,内网接口处接一台交换机做分线所用,然后再与防火墙相连。
在深圳防火墙再划出一个安全区域与两台cisco 3845或2851相连(实质上只用一条线连接到与路由器之间的交换机上即可),此举用于严格检测和防患所有分部通过MPLS及IPsec vpn线路进来访问深圳总部数据的安全。
出于安全的考虑,在juniper防火墙上启多层虚拟路由,划出trust-vr与公司内部的动态路由互动,划出untrust-vr连接internet,划分出dmz-vr与服务器群单独相连。总之不建议使用单一路由,因为会存在安全风险。黑客的攻击往往会借助这点,以查路由表的方式去获取相应的网络或信息资源,然后利用枚举法和探测法进行攻击。
Juniper SSG550M混合吞吐量为1G,ipsec vpn吞吐量为660M,因为Juniper公司的所有产品均是基于ASIC硬件的设备,所以在对ipsec vpn数据流进行加、解密时,能够高效、快速的进行,不会取耗CPU的任何资源。基于此,我们在部署vpn之间的协商时,为了保证数据传输的更安全,我们建议采用pre-3des-md5、nofps-esp-3des-md5加密及hash方式建立。
北京区域公司 :
以北京分公司做为北方网通线路通信的汇聚点,所有使用北方网通ADSL线路的分公司,全部以ipsec方式与北京分公司相连。在此建议北京的线路接入使用带固定IP地址,以方便ipsec vpn的配置工作。
Ipsec vpn隧道通道里可以承载数据信息,同时也可以传递病毒及木马。vpn一旦建立风险也随之而来,分支机构可以影响总部,总部也同样可以影响各分部,所以Juniper防火墙AV及DI功能可以对所有与之建立的vpn隧道进出流量进行应用层过滤及病毒检查,有效防止病毒、木马及黑客的攻击。
使用双线路MPLS vpn与深圳总部相连,选购cisco 2811路由器作为汇聚路由,通过专线把所有下属售楼单位与项目部数据请求送至深圳总部,两台cisco 2811同样采用HSRP热备份路由协议区分主备路由。
北京区域公司与北方的一些分公司拥用同级别网络部署,但为了提记网络访问效果和方便管理,在此规划将所有项目部及售楼处统一到各区区域公司网络处做汇聚,然后再向深圳总部交互信息请求。
北京区域出差人员安装IPsec vpn拨号程序,建立两个或多个拨号目的组,即可以建立与北京区域公司相连组,也可以也深圳总部及其它区域公司相连,连入后均实现的效果相同,均可与深圳总部的服务器进行通信。
上海区域公司
做为MPLS vpn专线接入,各级区域公司均相同,按照规划统一采购两台cisco 2811路由器做为汇聚级及热备份。
安全防火墙方面任采用原来思科ASA5510防火墙,按照ip城域网给出的配置完成设备配置,同时与下联Juniper SSG防火墙建立IPSEC vpn隧道。
同样为上海区域出差人员安装IPsec vpn拨号程序,建立两个或多个拨号目的组,即可以建立与北京区域公司相连组,也可以也深圳总部及其它区域公司相连,连入后均实现的效果相同,均可与深圳总部的服务器进行通信。
华东、华南区分公司:(华东、华南区以江苏分公司为例)
华东及华南区域内的所有分公司与区域总公司的级别相同,均直接采用cisco路由器与深圳总部通过MPLS vpn专线连接,所有数据直接通过专线进行路由。
建议采购cisco 1841路由器与深圳总部通过MPLS vpn专线相连,同时建议采购Juniper SSG5防火墙与深圳总部SSG 550防火墙建立IPsec vpn作为MPLS vpn专线备份线路,这样即能做到链路高可用也能解决分公司用户访问internet。
华北区分公司:(华北区以哈尔滨或沈阳分公司为例)
整个区分公司与区域公司级别相同,直接通过MPLS vpn线路与深圳相连,所有数据直接通过专线进行路由。
建议所有北区分公司采购Juniper SSG5防火墙作为访问Internet及MPLS vpn专线备份设备。同样采用IPsec vpn方式备份,但连接点与华东、华南区不同,北区各分公司IPsec vpn备份接入点必须是北区区域总公司,如北京区域公司。因为北区地区与南方深圳总部不属同一网络运营商,所以建立IPsec vpn会出现很多问题,导致时断时续甚至无法建立。
