鉴于客户对速度的要求,vpn的建立使用基于路由模式。Juniper防火墙支持两种模式的vpn建立,即路由模式和策略模式,区别是路由模式依靠tunnel接口传输,设备负载小,所以速率相应快;策略模式不需要路由,完全依靠策略来判断数据的走向,对于设备本身的负载较大一些,所以传输速度也相应慢一些,但有一个好处就是,不会占用设备的tunnel,因为tunnel接口是有限的,SSG550M的tunnel接口仅有250个,即仅支持250条路由模式的vpn,而SSG550M宣称是1000条vpn以上,所以剩余750条隧道就必须使用策略方式实现。
SSG550M的接入必须采用静态ip地址,做为星状结构的vpn网络,中心端强烈建议使用静态ip,以等待或保持vpn隧道的持继状态。
根据要求,所以分支机构的接入全部是各运营商的ADSL非对称传输线路,为了很好的建立vpn,全局统一确定一个标识用于vpn建立协商ID,如,Juniper.com、juniper.com、cisco.com等,建立民安网络中心在我们部署的时候再行确定。(此事关系到信息安全)
深圳总部采用两台cisco 3845或2851路由器做总汇聚路由设备;
各区区域总公司采用两台cisco 2811路由器做为区域汇聚路由设备;
各区区域分公司均采用cisco 1841路由器作接入路由设备;
防火墙设备可根据办事处的规模及用户数量,选择juniper SSG 140、SSG20、SSG5做为接入设备,参考点如下:人数在100-300之间推荐使用SSG140、人数在50-100之间推荐使用SSG20、人数在50左右或以下推荐使用SSG5。
为了提高日后部署的效率,建议在部署时总部统一配置,然后根据ADSL帐号所在地,分别将设备发往办事处,然后吩咐办事处人员将分支设备接入上线。
配置方式根据上述提到的,在确定了统一的id标识后,然后在各设备上填入即可。
链路费用:1、Ipsec vpn线路是建立在internet之上的虚拟线路,只需要原有的internet上网线路由采用一种虚拟和封装技术完成便可,客户只需支付上网线路费用即可;
2、MPLS-vpn线路建立比较方便,但费用较之ipsec vpn要贵一些,以深圳到北京为例,开通初装费为6000元,月租为5000―6000元(由于是长途链路)。
设备费用:采用ipsec vpn方式与采用专线方式所需的产品费用相当,具体产品价格附后,这块可根据需采购设备的数量来定;
维护费用:采用上述任意一种方式组网后,强烈建议聘请一位网络工程师做为内部网络的管理人员,需获得相应的网络认证或网络管理经验,如CCNA网络助手或CCNP网络工程师,最好是CCSP网络安全工程师;
链路:三种链路都相对稳定,但较之SDH最为稳定,MPLS-vpn其次,ipsec vpn再次之;
设备:推荐使用的cisco及juniper均是国外知名厂商生产,稳定性非常好。
经过我们长时间的实现与测试,SDH线路虽很稳定,但其真正的链路使用率也仅为70%,
MPLS-vpn使用率为70%,ipsec vpn的利用率未定,因为必须取决定internet线路质量及加
密设备的性能,采用ipsec vpn的方式建议选用硬件级芯片来运行加解密工作,这样一来就
可以提高ipsec vpn线路的使用率。
MPLS-vpn与SDH传输的延时及速率方面都很不错,一般都可以达到运营商承诺的水准,ipsec vpn线路延时和速率也会受到Internet线路及加密设备的影响,如ADSL线路,其上行为512Kpbs,而下行为2048Kpbs,本身的速率就是这样。但如果是电信IP城域网专线,例如2M线路,其上下行均为2048Kpbs,速率就与2M的SDH或MPLS-vpn专线相同,而且延时非常小。另外,如果再使用cpu级的路由器或防火墙进行ipsec vpn封装,那么链路的速率就会更加降低。所以如果采用ipsec vpn的方式组网,建议选择质量好一些上网线路及性能好硬盘防火墙设备。
数据安全:就专线本身而言,是由链路运营商提供给用户的,本身的功能是承载数据并传递
数据,但对数据的内容和状况不做任何的修改,也不加任何的保护,攻击者可以利用这点捕获到客户公司的数据。(当然也可以利用设备在专线的基础之上加ipsec封装)
Ipsec vpn本身的安全性是最高的,它是利用设备本身很强的加密及hash算法运算而成的,所有的数据内容及状况都经过多次的加密及散列合成,至今无人可能破获ipsec vpn内的数据。
访问安全:方案二中以专线方式组网,是利用cisco路由器来互联,访问安全这块可利用路由器的访问控制列表做一些控制。
方案一中利用防火墙可对基于状态检测的策略、应用层IPS检测来对任何来访或去访的流量进行控制。
病毒、木马:利用专线的方式组网,可以完成公司所需的基础网络的建设,如果不加设安全设备,如防火墙或入侵防御系统,其安全性还是得不到提高的。网络一旦建立,任何一个节点出现病毒感染都有可能感染给全公司的用户pc甚至总部服务器。因为这种基于路由器的简单的控制列表不能限制或检测到应用层的攻击与病毒木马等恶意行为。改善的办法就是增加新的安全设备,部署在主要通信干线上,用以过滤过往的访问流量,对其中的各种流量进行防病毒过滤和应用层检测(可参考改进方法二)
Ipsec vpn称为虚拟专网,一旦建立后可以达到专线组网一样的效果。不错,ipsec vpn本身可以对数据进行加密,以防止他人截获或篡改,但如果是病毒和木马数据也仍然可以得到保护,同时传递给对方。所以方法一中虽提出了使用防火墙建立ipsec vpn,然后在防火墙上加载防病毒模块及IPS模块,部署在汇聚点上,对过往ipsec vpn的加密数据进行病毒与木马等代码的检测。较之来说使用方法一安全性要高一些。
服务发布:现有的web及E-amil服务是通过cisco2851进行发布的,不能检测攻击与入侵。
二个方案中,利用防火墙的方式发布服务,然后加载IPS可以对网络攻击及入侵进行检测并防御。较之来说利用防火墙方式安全性要高一些。
