電子政務(wù)中vpn應(yīng)用

電子政務(wù)中VPN應(yīng)用VPN產(chǎn)生背景：網(wǎng)絡(luò)基礎(chǔ)設(shè)施（NI）合作伙伴/客戶公司總部辦事處/SOHO公共網(wǎng)絡(luò)DDNADSL虛擬專用網(wǎng)vs專線網(wǎng)絡(luò)共性：1）為用戶單位所專用；2）實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一規(guī)劃和管理（象在LAN中）；差異：1）專線網(wǎng)絡(luò)：存在物理上連同的實(shí)際鏈路；2）VPN：利用公網(wǎng)（internet）實(shí)現(xiàn)可達(dá)，利用加密解決安全性，保證專用。VPN概念 VPN（VirtualPrivateNetwork）是指通過綜合利用訪問控制技術(shù)和加密技術(shù)，并通過一定的密鑰管理機(jī)制，在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)，保證數(shù)據(jù)在

“加密管道”中進(jìn)行安全傳輸?shù)募夹g(shù)。

合作伙伴/客戶公司總部辦事處/SOHO公共網(wǎng)絡(luò)VPN通道VPN設(shè)備VPN設(shè)備VPN設(shè)備VPNclient基于OSI參考模型的防護(hù)應(yīng)用層表示層會(huì)晤層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)晤層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層攻擊應(yīng)用層攻擊證書，動(dòng)態(tài)口令卡安全網(wǎng)關(guān)（VPN+Firewall）防護(hù)手段選用VPN的原因

VPN技術(shù)專線技術(shù)安全性非常高，保護(hù)數(shù)據(jù)傳輸?shù)耐暾?、保密性、不可抵賴性；安全控制在用戶手里比較高。但是，安全是建立在對(duì)電信部門相信的基礎(chǔ)上，對(duì)電信運(yùn)營商，無任何安全可言。可擴(kuò)展性基于TCP/IP技術(shù)，接入方式靈活，只要網(wǎng)絡(luò)可達(dá)，就可以方便擴(kuò)展。以來當(dāng)?shù)剡\(yùn)營商的支持，擴(kuò)展很不方便。投資成本設(shè)備一次性投入，不需要支出每月的運(yùn)營費(fèi)用，長期看來大幅度節(jié)省支出。專線費(fèi)用很高，需要每月支付昂貴的專線租用費(fèi)用，而且在初期要一次性投入路由器的費(fèi)用對(duì)移動(dòng)用戶的支持能對(duì)internet上的內(nèi)部移動(dòng)用戶安全接入，徹底消除地域差異。構(gòu)造全球的虛擬專網(wǎng)。只能聯(lián)通專線拉到的網(wǎng)絡(luò)，不支持離開局域網(wǎng)的內(nèi)部用戶接入專網(wǎng)。帶寬使用各種廉價(jià)的寬帶介入方式，如：ADSL，Ethernet等，一般在1~100M。由于價(jià)格昂貴，一般租用的帶寬都比較窄（一般不超過2M）。升級(jí)依賴于設(shè)備的升級(jí)，非常方便。依賴于電信部門。安全客戶端軟件骨干網(wǎng)絡(luò)SGW25DSGW25ALite安全網(wǎng)管平臺(tái)大型企業(yè)中型企業(yè)小企業(yè)/SOHOSGW25C-4SGW25BADT安全網(wǎng)關(guān)=VPN+狀態(tài)檢測Firewall+IDS微引擎SGW25BPro幾種典型用法1、各地機(jī)構(gòu)構(gòu)建遠(yuǎn)程VPN安全網(wǎng)絡(luò)（固定IP—固定IP，固定IP—?jiǎng)討B(tài)IP,動(dòng)態(tài)IP—?jiǎng)討B(tài)IP）用途：總部與分支機(jī)構(gòu)通過Internet/WAN安全互聯(lián)，形成“局域網(wǎng)”2、移動(dòng)辦公解決方案----原有撥號(hào)接入網(wǎng)絡(luò)用途：職員在外出差時(shí)可以通過Internet訪問單位內(nèi)部網(wǎng)絡(luò)資源2、移動(dòng)辦公解決方案----VPN網(wǎng)絡(luò)改造3、政府公務(wù)網(wǎng)虛擬專用網(wǎng)絡(luò)構(gòu)建----原有網(wǎng)絡(luò)結(jié)構(gòu)3、政府公務(wù)網(wǎng)虛擬專用網(wǎng)絡(luò)構(gòu)建----改造后的網(wǎng)絡(luò)用途：使不同的政府和事業(yè)單位之間進(jìn)行安全保密的通信(Extranet)；并進(jìn)行嚴(yán)格的訪問控制（“子網(wǎng)/網(wǎng)址范圍/主機(jī)”間的任意搭配）。4、不同事業(yè)單位間的虛擬專用網(wǎng)絡(luò)----LANtoLANExtranet4、不同事業(yè)單位間的虛擬專用網(wǎng)絡(luò)----ClienttoLANExtranet5、透明模式下VPN網(wǎng)絡(luò)的構(gòu)建

A.傳統(tǒng)的基于“預(yù)共享密鑰”的通訊模式（適合小規(guī)模VPN設(shè)備互聯(lián)模式）左邊的6個(gè)VPN設(shè)備相互通訊，需要約定15個(gè)密鑰；建設(shè)N個(gè)節(jié)點(diǎn)相互通訊，需要N*(N-1)/2個(gè)密鑰B.基于“數(shù)字證書”的通訊模式（適合大規(guī)模VPN設(shè)備互聯(lián)模式）CA：（certificateauthority）作為電子商務(wù)交易中受信任的第３方，承擔(dān)數(shù)字證書的簽發(fā)和驗(yàn)證。－－網(wǎng)絡(luò)上的公安局；數(shù)字證書：網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，由CA機(jī)構(gòu)頒發(fā)和驗(yàn)證。－－網(wǎng)絡(luò)上的身份證；6、大規(guī)模VPN構(gòu)建合作伙伴/客戶公司總部辦事處/SOHO公共網(wǎng)絡(luò)PKIGWPKIGWPKIGW公鑰基礎(chǔ)設(shè)施（PKI）CA中心個(gè)人證書載體SecureclientVPN通道6、大規(guī)模VPN構(gòu)建-基于證書的認(rèn)證模式7、安全網(wǎng)關(guān)和IDS互動(dòng)—原理圖7、安全網(wǎng)關(guān)和IDS互動(dòng)—網(wǎng)絡(luò)部署8、安全網(wǎng)關(guān)和Firewall聯(lián)合配置安達(dá)通安全網(wǎng)關(guān)技術(shù)優(yōu)勢嚴(yán)格遵守IPSec和IKE規(guī)范，能和Nescreen、CheckPoint、Cisco等主流VPN設(shè)備互通；支持全動(dòng)態(tài)IPVPN互聯(lián)解決方案，適合中國企業(yè)互聯(lián)特點(diǎn)；支持Ipsec-NAT穿透(NATT)，適合中國城域?qū)拵ЬW(wǎng)(采用“非真實(shí)IP地址”上網(wǎng))特點(diǎn)；支持完全透明的“網(wǎng)橋”模式，并能在橋模式下建立VPN隧道，適合在銀行、證券、電力、石化等專網(wǎng)中使用；全狀態(tài)檢測Firewall模塊、完備的NAT/NAPT功能和IDS微引擎，抵抗常見網(wǎng)絡(luò)層攻擊，并能和國產(chǎn)主流IDS設(shè)備互動(dòng)；支持動(dòng)態(tài)IP的DMZ服務(wù)功能（即：可利用動(dòng)態(tài)域名解析，通過動(dòng)態(tài)IP接入，對(duì)外提供Web、Mail等服務(wù)）；支持VLANTrunk，并能夠在VLAN環(huán)境下構(gòu)建VPN連接；支持Windows移動(dòng)客戶端（Win98/Me/2000/XP），移動(dòng)客戶端也支持IPsecNATT；支持基于“數(shù)字證書”的運(yùn)營模式，適合大規(guī)模VPN網(wǎng)絡(luò)；支持Qos、DHCP和靜態(tài)路由，PPPoE撥號(hào)，雙機(jī)熱備等；完善的安全網(wǎng)關(guān)集中管理平臺(tái)，本機(jī)/遠(yuǎn)程日志存儲(chǔ)；性能優(yōu)異