山西運城財政局虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)

1、.：.；山西運城財政局虛擬公用網(wǎng)絡(luò)可以實現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互銜接。虛擬公用網(wǎng)絡(luò)可以利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的根底設(shè)備為用戶創(chuàng)建隧道，并提供與公用網(wǎng)絡(luò)一樣的平安和功能保證。虛擬公用網(wǎng)絡(luò)允許遠程通訊方，銷售人員或企業(yè)分支機構(gòu)運用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由根底設(shè)備以平安的方式與位于企業(yè)局域網(wǎng)端的企業(yè)效力器建立銜接。虛擬公用網(wǎng)絡(luò)對用戶端透明，用戶好象運用一條公用線路在客戶計算機和企業(yè)效力器之間建立點對點銜接，進展數(shù)據(jù)的傳輸。虛擬公用網(wǎng)絡(luò)技術(shù)同樣支持企業(yè)經(jīng)過Internet等公共互聯(lián)網(wǎng)絡(luò)與分支機構(gòu)或其它公司建立銜接，進展平安的通訊。這種跨越Internet建立的VPN

2、銜接邏輯上等同于兩地之間運用廣域網(wǎng)建立的銜接。雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡(luò)的根底上，但是用戶在運用VPN時覺得好像在運用公用網(wǎng)絡(luò)進展通訊，所以得名虛擬公用網(wǎng)絡(luò)。一.運城財政局 HYPERLINK security.zdnet/files/list-0-0-158435-1-1.htm o 網(wǎng)絡(luò)平安 網(wǎng)絡(luò)平安現(xiàn)狀運城財政局各個分支機構(gòu)分部比較廣泛，并且財政局之前并沒有建立公用網(wǎng)絡(luò)，財政局辦公相對比較獨立。隨著信息化的開展，財政局一些重要的財務(wù)、社會保證系統(tǒng)軟件在單機的情況下無法滿足需求。思索到財政系統(tǒng)必需實現(xiàn)專網(wǎng)，才干運用主流的網(wǎng)絡(luò)版財務(wù)軟件，實現(xiàn)專網(wǎng)銜接是首先要到達的目的。1.1.用戶需求

3、分析實現(xiàn)專網(wǎng)有多種方式，最好的方式是獨立架設(shè)單獨的線路實現(xiàn)，但是思索到財政局目前資金投入情況，本人架設(shè)線路的本錢很高，而且各個財政所分部在偏遠的鄉(xiāng)村。更添加架設(shè)專網(wǎng)的難度。目前各個鄉(xiāng)鎮(zhèn)財政所總數(shù)為15個，每個鄉(xiāng)所擁有的計算機數(shù)目和網(wǎng)絡(luò)規(guī)模比較小，平均每個鄉(xiāng)鎮(zhèn)財政局，用于業(yè)務(wù)的電腦最多3臺。而且財務(wù)軟件屬于C/S方式，每月申報次數(shù)不多。網(wǎng)絡(luò)通訊所用帶寬較少。鑒于以上對運城財政局網(wǎng)絡(luò)現(xiàn)狀的分析，結(jié)合運城財政局日益開展的業(yè)務(wù)需求，我們以為運城財政局的對網(wǎng)絡(luò)系統(tǒng)有如下兩個個需求：1組建本人的專有寬帶網(wǎng)絡(luò)以下簡稱：專網(wǎng)利用現(xiàn)有的多種寬帶接入方式組建專網(wǎng)，不光滿足了業(yè)務(wù)數(shù)據(jù)傳輸對實時性、穩(wěn)定性的要求，更重

4、要的是，對公司整體網(wǎng)絡(luò)系統(tǒng)實現(xiàn)了一致有效的管理，從而對業(yè)務(wù)數(shù)據(jù)的傳輸平安提供的很好的保證。需求如下：由于VPN利用了公共網(wǎng)絡(luò)，所以其最大的弱點在于缺乏足夠的平安性。企業(yè)網(wǎng)絡(luò)接入到internet，暴顯露兩個主要危險： internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 當(dāng)企業(yè)經(jīng)過INTERNET進展通訊時，信息能夠遭到竊聽和非法修正。 完好的集成化的企業(yè)范圍的VPN平安處理方案，提供在INTERNET上平安的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完好性和嚴(yán)密性。 企業(yè)網(wǎng)絡(luò)的全面平安要求保證： 嚴(yán)密-通訊過程不被竊聽。 通訊主體真實性確認-網(wǎng)絡(luò)上的計算機不被冒充。 2建立有效的訪問控制機制只需對

5、內(nèi)部用戶和外部用戶的訪問權(quán)限加以有效的控制才干保證公司網(wǎng)絡(luò)長期有效地運轉(zhuǎn)，為公司業(yè)務(wù)的開展發(fā)明良好的環(huán)境。二.運城財政局 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻VPN一體化處理方案在VPN領(lǐng)域我們普遍運用的主要有，基于路由器的VPN；ISP提供的VPN；基于 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻的VPN和公用的VPN設(shè)備幾種，我們評價一下那種方案在性能，管理和費用適宜的處理方法。處理方案性能費用管理評價路由器VPN

6、路由器在除了負擔(dān)其本身功能外還將負擔(dān)VPN系統(tǒng)這將要求其性能高，特別是在加強加密算法時性能將有較大影響路由器的價錢較高，特別是在添加了加密功能后費用可觀操作性不佳并且在挪動用戶上運用不變費用較高并且實施要求較大的網(wǎng)絡(luò)改動ISP提供的VPN如ISP的用戶較少使VPN運用能夠會比較順暢但是ISP有大量用戶時，其平安性和性能都有待考證ISP將根據(jù)用戶的帶寬來收取費用，國內(nèi)提供此種效力的ISP較少無法快捷的管理和維護，只能受控于ISP運用ISP 的VPN要思索各地分公司當(dāng)?shù)豂SP能否提供此種效力并且能否可以相互連通基于 HYPERLINK security.zdnet/files/list-0-0-1

7、56293-1-1.htm o 防火墻 防火墻的VPN性能主要由帶寬和其設(shè)備性能決議，普遍的在用戶中運用不定，以廠商而定各主要廠商都提供集中管理設(shè)備可集中管理管理便利大多情況此種方案運用廣泛性能和價錢得到用戶的一定公用VPN設(shè)備由于專有設(shè)備，性能高。投入較大，功能單一單個產(chǎn)品單獨管理，在網(wǎng)絡(luò)中與現(xiàn)有網(wǎng)絡(luò)設(shè)備重疊放置；初次投入較高，需求運用人員有較高的平安素養(yǎng)經(jīng)過以上的表格我們看到，真正在實踐運用的主要是 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻VPN此種方式。2.1.方案設(shè)計簡述本方案采用瑞星中小企業(yè)級 H

8、YPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻設(shè)備，為省財政局和各個鄉(xiāng)鎮(zhèn)財政所建立網(wǎng)絡(luò)訪問控制和完善的vpn方案。2.2. HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻VPN產(chǎn)品引薦我們采用瑞星NP全功能 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻RFWSME和企業(yè)級 HYPERLINK security.zdnet/files/list-0-0-

9、156293-1-1.htm o 防火墻 防火墻RFW100運城財政局實現(xiàn)VPN的銜接和訪問控制，瑞星NP HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻具有如下功能：瑞星全功能NP HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻采用了新型的網(wǎng)絡(luò)芯片設(shè)計技術(shù)，這個區(qū)別于普通的PC休系架構(gòu)表如今網(wǎng)絡(luò)數(shù)據(jù)處置速度上可以到達線速，性能優(yōu)越。該 HYPERLINK security.zdnet/files/list-0-0-156293-1

10、-1.htm o 防火墻 防火墻支持500個VPN通道和12800個并發(fā)銜接，同時提供了80兆/秒的三重數(shù)據(jù)加密3DES才干和線速wire-speed HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻的處置才干。瑞星全功能NP HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻整合了多種平安防護功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最正確選擇。RFW-SME擁有通用 HYPERLINK security.zdnet/files/list-0-0-1

11、56293-1-1.htm o 防火墻 防火墻功能、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、自動式入侵檢測IDS、虛擬專網(wǎng)VPN、帶寬管理、內(nèi)容過濾、以及戰(zhàn)略管理等功能。經(jīng)過架設(shè)瑞星全功能NP HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻，可以維護用戶的網(wǎng)絡(luò)免于黑客的攻擊，同時也協(xié)助 用戶利用因特網(wǎng)的資源建構(gòu) HYPERLINK security.zdnet/files/list-0-0-158435-1-1.htm o 網(wǎng)絡(luò)平安 網(wǎng)絡(luò)平安機制及虛擬專網(wǎng)效力，還提供了不同等級的網(wǎng)絡(luò)帶寬管理，讓一些特殊的運用效力可以確保運用帶寬。另

12、外，還提供有因特網(wǎng)地址稱號過濾、內(nèi)容過濾、自動式入侵檢測以及直接利用閱讀器即可管理的簡易操作等功能。由于有這個內(nèi)建支持閱讀器的管理接口，他可以在他現(xiàn)有的操作系統(tǒng)下利用他熟習(xí)的閱讀器操作來管理這個 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻。RFW-SME提供一個10/100Mbps的外網(wǎng)(WAN)接口，一個10/100Mbps的DMZ接口，以及三個10/100Mbps的內(nèi)網(wǎng)接口。外網(wǎng)接口的IP地址支持以下三種方式：PPPoE，DHCP，或靜態(tài)IP。根據(jù)用戶的網(wǎng)絡(luò)效力提供商所提供的效力方式，任選其中一種設(shè)定 H

13、YPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻的對外IP地址參數(shù)。RFW-SME還提供有內(nèi)建的DHCP(動態(tài)主機配置效力協(xié)議)效力功能，它可讓內(nèi)網(wǎng)接口上的主機由DHCP效力提供相對應(yīng)的地址及其他信息，使得用戶輕松管理一切的上網(wǎng)主機。2.3.部署建議根據(jù)運城財政局的網(wǎng)絡(luò)構(gòu)造特點，結(jié)合瑞星SME HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻的任務(wù)方式，制定如下幾部分內(nèi)容：網(wǎng)絡(luò)地址的重新規(guī)劃、 HYPERLINK security.zdn

14、et/files/list-0-0-156293-1-1.htm o 防火墻 防火墻的配置、LAN到LAN的VPN的實現(xiàn)。1.網(wǎng)絡(luò)地址的規(guī)劃：思索到實現(xiàn)lan到lan的vpn訪問和日常的管理，有必要將目前縣級網(wǎng)絡(luò)的地址重新規(guī)劃。根據(jù)網(wǎng)絡(luò)規(guī)模和日后擴展才干，規(guī)劃后的地址如下：編號地理位置主機數(shù)目網(wǎng)絡(luò)地址1財政所13010.10.1.0/242財政所23010.10.2.0/243。3010.10.3.0/2443010.10.4.0/24510.10.5.0/24610.10.6.0/24710.10.7.0/24810.10.8.0/242. HYPERLINK security.zdnet/

15、files/list-0-0-156293-1-1.htm o 防火墻 防火墻的配置： HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻配置的前提條件：用戶接入互聯(lián)網(wǎng)，接入方式可以是：固定IP、DHCP客戶端、也可以經(jīng)過PPPOE獲得，用戶采用的帶寬為512k以上，建議采用1M。 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻的物理位置部署在各個分公司內(nèi)網(wǎng)和互聯(lián)網(wǎng)的獨一出口處。 HYPERLINK security.zdnet/fil

16、es/list-0-0-156293-1-1.htm o 防火墻 防火墻的戰(zhàn)略設(shè)置：建立nat方式，隱藏企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)造。 制定不同的網(wǎng)絡(luò)對象，可以根據(jù)部門業(yè)務(wù)特點進展劃分； 根據(jù)不同的網(wǎng)絡(luò)對象制定不同的訪問控制戰(zhàn)略，如業(yè)務(wù)網(wǎng)內(nèi)用戶不允許訪問互聯(lián)網(wǎng)資源。 允許業(yè)務(wù)網(wǎng)用戶經(jīng)過 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻VPN銜接地址網(wǎng)絡(luò)。 3.LAN到LAN的VPN實現(xiàn)在運城縣的互聯(lián)網(wǎng)出口處，配置瑞星RFW-100+ HYPERLINK security.zdnet/files/list-0-0-156293-

17、1-1.htm o 防火墻 防火墻，與各個分財政所RFWSME HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻進展VPN銜接，省RFW100 HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻VPN設(shè)置主方式，財政所RFWSME HYPERLINK security.zdnet/files/list-0-0-156293-1-1.htm o 防火墻 防火墻設(shè)置自動方式。VPN建立過程如下：自動密鑰 IKE通道協(xié)商的第 1 階段由如何認證

18、和維護通道的提議交換組成。交換可以在兩種方式的其中一種方式下進展: Aggressive mode ( 自動方式) 或 Main mode ( 主方式)。運用任一種方式時，參與者將交換可接受的平安效力提議，例如加密算法 (DES 和 3DES) 和認證算法 (MD5 和 SHA-1)當(dāng)參與者建立了一個已認證的平安通道后，他們將繼續(xù)執(zhí)行“第 2 階段。在此階段中，他們將協(xié)商 SA 以維護要經(jīng)過 IPSec 通道傳輸?shù)臄?shù)據(jù)。與“第 1 階段的過程類似，參與者交換提議以確定要在 SA 中運用的平安參數(shù)?！暗?2 階段提議還包括一個平安協(xié)議 “封裝平安性負荷 (ESP) 或“認證包頭 (AH) 和所選的加密和認證算法。假設(shè)需求“完全正向嚴(yán)密(PFS)，提議中還可以指定一個 Diffie-Hellman 組。兩段分別進展銜接，假設(shè)兩端都可以訪問到對方 HYPERLINK security.zdnet/files/list-