根据路由器安全特性设计的要求,HipER系列VPN安全网关提供了各种网络安全解决方案,以适应不同的应用需求,包括:
电子政务的VPN联网
和Internet的安全互联
通过Internet构建VPN
电子商务应用
教育系统校校通的应用
1、和Internet的安全互联
HiPER系列VPN安全网关提供了和Internet安全互联的解决方案,HiPER VPN安全网关主要是通过基于访问列表的包过滤和网络地址转换,实现以下的功能:
基于接口的包过滤
可以通过对访问列表中时间段参数的设置,实现对与时间相关的访问治理。
网管软件可以监控网络运行情况,以便用户的治理和控制。
外部主机无法直接访问内部服务器。外部主机A无法通过内部服务器的实际地址来访问它,而外部主机B则可以通过路由器设置的虚拟地址来访问内部服务器,这样就可以在一定程度上保护内部服务器。这是通过网络地址转换来实现的,若同时配置了带访问列表的网络地址转换,则还可以限制外部主机对内部服务器的服务访问类型(如HTTP、FTP等)。
内部主机可以路由器的治理下访问外部Server,在屏蔽内部网络地址信息的同时,还加强了对内部主机的治理。
2、通过Internet构建VPN
HiPER系列VPN安全网关通过Internet构建VPN的方案如。
通过专线方式进行远地办事机构网络互联的成本比较昂贵,且利用率低,可以通过Internet来实现网络的互联,在HIPER系列VPN路由器提供的IPSec-VPN方案中,用户不仅实现了这一目标,而且保证了网络传输的安全性。
HiPER系列VPN安全网关提供的方案具有以下功能:
外出人员可以通过当PSTN接入企业内部网络
外出人员可以通过当PSTN接入任一远程办公机构
远程办公机构可以通过路由器和企业内部网络建立安全通道
若干远地办事机构可以相互建立安全连接
HiPER所有的VPN产品都支持动态地址接入。也就是说,互联的节点无需采用固定地址,它们之间就可以建立VPN的连接。这种方式通过HiPER的DNS服务器,每次拨号时获得的地址,可以通过HiPER的DNS服务器分配一个固定的FQDN,也就是主机名+域名。因此,不管地址如何变化,外网访问它使用不变的主机名和域名。
3.上海一家连锁超市使用HiPER的例子
上海某连锁超市企业,共有300多家分店,市区和郊县都有。目前各个连锁店的接入方式因地而异,有使用上海电信ADSL的,也有使用上海电信的FTTB+LAN的,还有长城宽带等其他运营商的LAN接入。在实施VPN之前,他们使用一线通拨号或模拟线路进行数据传输,随着业务的拓展,以及治理的需要,该超市希望能够实现数据的实时传输,以及总部对各个分店的实时的视频监控。但是对于实时的数据传输,假如使用一线通拨号,一方面费用较高,另外一方面,无法满足视频监控的带宽需求。
根据客户的需求,我们为提供了一套基于宽带接入的VPN,视频监控一体化方案。
实现功能:
实现各个连锁分店与总部之间的VPN宽带网络连通
实现各个连锁分店与总部之间的POS机的数据同步传送
在监控中心对部分连锁超市进行图像传送,安装了监控用的摄像头
4.浙江某区教育网使用HiPER的例子
作为经济发达的省份,浙江省,其中一个区或者县拥有较多的学校。一般而言,学校内部的电脑配置和网络配置都不错,但是学校与学校之间的交流就很少。以前,学校也是经常通过窄带拨号上网,宽带发展了,很多学校都有接入和互联的需求,因此接入设备和互联设备的要求就突出来了。
学校的联网要求如下:每个学校都申请一个10M的光纤线路或者ADSL;要实现所有学校以及教委之间的互相访问;学校要接入Internet;有的学校有WWW服务器需要对外发布;保证安全性;学校电脑数量众多,需要保证学校的各个部门都可以上网;网络具有可扩展性,将来可能使用语音(VoIP)。
联网的方式是每个学校配置一台HiPER VPN安全网关,既充当学校内部电脑连上Internet的网关,也作为和教委互联的VPN网关。
由于需要接入Internet,就需要使用NAT地址转换功能,发布WWW服务器需要使用静态地址转换;对于学校之间以及和教委之间互联,就使用VPN功能,使用L2TP或者IPSec。对于安全性的考虑可以通过路由器的防火墙功能,假如需要更高的安全性可以配备专门的防火墙设备。
考虑到将来有网络内部会有VOIP设备,因为VOIP设备对带宽和时延敏感,这样需要路由支持流量控制功能。采用HiPER系列宽带安全网关可以实现QoS(Quality of Service),因此在未来的应用根据需要可以使用HiPER的QoS控制。
建立IP VPN以后为学校上网和互联提供了方便,学校和教委,学校和学校之间的信息传递更加顺利了。
结论
作为IP VPN网络的VPN安全网关需要提供较为先进的安全技术,包括备份技术、包过滤技术、网络地址转换、各种VPN隧道技术、密钥交换技术、高级的IPSec加密技术、可以选择多种经济的连接方式(用ADSL, FTTX+LAN,Cable Modem或ISDN),节省大量的专线费用 ,支持同时发起多个隧道,同时拨入和拨出,能提供多种网络安全解决方案,适应当前网络发展的需要。