VPN系统设计方案.doc

XXX VPN系统设计方案 目 录 第一章 系统设计目标与原则 3 2.1设计目标 3 2.2 设计原则 3 第二章 关键技术介绍 5 3.1 VPN概述 5 3.2 VPN技术 5 3.2.1 密码技术 6 3.2.2 身份认证技术 6 3.2.3 隧道技术 6 3.2.4 密钥管理技术 7 3.3 IPSec技术概述 7 3.3.1 IKE协议 8 3.3.2 AH协议 8 3.3.3 ESP协议 9 3.3.4 IPSec协议标准 10 3.3.5 IPSec实现的安全功能 10 3.4 L2TP 技术介绍 11 3.5 SSL VPN技术介绍 11 第三章 系统总体设计方案 12 4.1方案说明 12 4.1.1XXX总部 12 4.1.2下属分支机构 12 4.1.3移动办公人员 12 4.2方案特点 12 4.3方案设计拓扑图 13 第四章 系统功能 14 5.1 VPN系统组成 14 5.1.1 VPN网关 14 5.1.2 VPN客户端 14 5.2 VPN网关功能 14 5.3 VPN接入设备功能 15 5.4 VPN客户端功能 15 第五章 结论 1 第一章 系统设计目标与原则 2.1设计目标 基于目前XXX整体网络结构和业务需求，为保证各级单位和移动用户能够安全的访问XXX局域网服务器资源，我们推荐使用VPN解决方案。根据需求分析，此次XXX办公系统VPN网络的建设目标是：在原有网络通信资源的基础上，逐步建成覆盖范围大、安全必威体育官网网址强、稳定高效的安全网络系统，最终实现XXX与下属单位整个办公系统可靠的、稳定的运行。 具体的设计目标为： （1）覆盖范围大：整个VPN系统的建设为XXX和其下属分支单位提供了一个可靠的、可信的网络环境。 （2）安全必威体育官网网址强：运用密码加密与信息安全验证技术，实施整体安全必威体育官网网址策略，实现网络和信息应用两个层次上的安全保护；实现各类信息分层次的密码保护。 （3）采用先进技术：遵循国内相关的法律法规和通用的标准，采用国内、国际先进成熟的安全技术保证ERP系统数据传输过程中数据的机密性、完整性和可用性。 同时，在满足业务需求、降低总的成本、方便管理和便于扩展等前提下，从安全性及高性能的角度出发，虚拟专用系统方案。按照系统工程的设计方法VPN建设应自顶向下地统一规划、统一设计、渐进获取、分布实施，遵循以下原则：安全性原则充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。 先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。 可推广性原则：方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。 可扩展性原则：IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。 兼容性原则：要求系统的标准化程度高，可以做到不同应用系统间的完全兼容；同时，也可以根据特殊的要求给出不兼容的设计。 可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。虚拟专用网络可以实现不同网络之间的连接。能够利用公共网络Internet）的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障对用户透明，用户好象使用一条专用线路在计算机和企业之间建立连接，进行数据的传输。虽然VPN建立在公共网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以虚拟专用网络。Internet或其它公共网络的基础设施为用户创建隧道在分增多、时，网络结构趋于复杂，费用昂贵VPN作为一种综合的网络安全方案，包含了很多重要的技术，主要四项RFC 2341，Layer 2 Forwarding） PPTP（RFC 2637，Point-to-Point Tunneling Protocol） L2TP（RFC 2661，Layer Two Tunneling Protocol） 第三层隧道协议是在网络层进行的，把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有以下几种： IPSec（IP Security），是目前最常用地VPN解决方案，详见2.2节。 GRE（RFC 2784，General Routing Encapsulation） 3.2.4 密钥管理技术 密钥管理技术要解决的问题是如何在公共网络上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 3.3 IPSec技术概述 IPSec（IP Security）是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSec不是一个单独的协议，而是一套协