西安中兴APM 自助缴费机Internet 安全接入解决方案.doc

机密 西安中兴精诚通讯有限公司技术文件 PAGE 2 - APM 自助缴费机 Internet 安全接入解决方案 一 方案概论及示意图 GPRS通用无线分组业务(General Packet Radio Service)，是在GSM网络下开通的一种新型的分组数据传输技术。在传统虚拟专用网(Virtual Private Network，简称VPN)技术的基础上，GPRS方式可以为用户提供新的虚拟专用拨号网(Virtual Private Dailup Network，简称VPDN)的接入手段，可以实现移动办公、电子商务等丰富的移动数据业务应用。本方案提供一种在较低成本下快速搭建GPRS环境下的VPN解决方案。 图 1 中国移动 APM 机 Internet 安全接入解决方案 二 方案部署描述 为移动每一台接入 Internet 的 APM 自助服务终端设置一部GPRS调制解调器，通过具有GPRS业务的移动SIM卡拨号上网到Internet ；移动网络中心的 Internet 边界部署一台VPN 防火墙作为区域性的 APM 机 VPN 网络中心节点。中心节点与各 APM 机终端节点构成星形拓扑的 VPN 网络，各个 APM 终端与中心节点内部网络（中兴APM缴费机服务器）的通讯通过安全、稳定的 VPN 隧道传输。 客户端配置 1、安装好GPRS SIM卡，可以成功通过GPRS接入Internet。 2、在自组缴费机终端上创建“通过Internet连接到专用网络”的新连接，目的地主机的IP地址设置为VPN服务器Internet公网IP，高级安全设置为“质询握手身份验证协议(CHAP)”，VPN服务器类型设置为“第二层隧道协议(L2TP)”。 三 安全性分析 GPRS无线数据应用解决方案利用远程访问型IPSec VPN虚拟专网安全技术，在移动数据公网平台上构建数据中心与分散各地的远程业务点的企业虚拟专网，可保证远程业务点与网络中心服务器的安全连接。 1） 状态式防火墙检测 为了保护所有网络连接的安全性，利用状态式检测的动态数据包过滤的方法可以在一个数据包报头中收集有关信息包括源和目的 IP 地址。当有响应数据包到达时，防火墙将对照检测表中保存的相关会话的状态信息来对比数据包报头中包含的信息。如果二者匹配，响应数据包就被允许通过防火墙。如果不匹配，该数据包就会被丢弃。通过检测然后允许或拒绝要求通过一个接口接入网络的所有连接尝试，防火墙可以保护网络的安全。 在缺省情况下，防火墙会拒绝所有方向上的任何流量。 2） VPN 加密传输 IPSec VPN 是比较成熟、可信的 VPN 标准，通过这种加密、认证的 VPN 部署，可以保证传送的数据不易被窃听，不易被篡改。就这些目的来讲，所有符合IPSec 协议的 VPN 设备的功能是一致的；但就实现 VPN 的方式方法来讲，我们推荐的 NetScreen VPN 解决方案使您能够安全地连接分布式访问。 四 组网硬件 序号 硬件名称 1 VPN服务器 (带vpn功能的防火墙)一台 2 调制解调器(GPRS无线猫)若干 五 组网资源(移动公司提供) 序号 名称 1 公网IP(VPN服务器接入公网) 2 内网IP(VPN服务器接入内网) 3 GPRS 业务SIM 卡若干