一、概述
在今年股市一片向好的情况下,不少证券企业都会考虑扩张企业,增强企业的竞争能力。但是由于行业自身的特殊要求,对信息保密性要求比较高。现在有不少的企业在发展过程中遇到一些难题,总公司在上海,分公司在北京、广州、武汉等地,还有部分在外工作的员工。还有个别实力比较强的企业,为客户提供特别的信息查询系统供客户实时查询,他们都需要访问总公司的业务系统。为了保障数据的安全,拟采用VPN将各公司的网络加以联机,每个点都可查询总公司的业务信息,而总公司每天可链接各办公地点查询相关的业务信息,让各公司业务信息同步。
由于每个分公司都有二、三十部计算机,所以希望每部计算机都可透过局域网ADSL对外联机,分公司、客户的业务系统可安全地连络到总公司的服务器。所传送的信息必须加以保密,以免对外泄露。考虑到工作在外的公司管理层及业务员也希望可以透过VPN可以进入总公司的服务器,查询业务系统。
考虑到各方面的需求,能以最经济的方式,把VPN建立起来,等到日后营业扩张,再升级到其他等级的设备,所以希望采用安全限制下,最经济的方案。
下面我们就以一个具体的例子来说明如何利用MPS网关服务器为证券公司提供一个安全可靠的VPN系统。
二、证券行业网络互联设计方案
建议采取以下的配置:
于总公司设备一部MPS-600E作为宽带路由器兼VPN网关,总部用户透过MPS-600E的WAN1联机,以ADSL、城域网或者其他上网方式上网;而各分公司及工厂则采用MPS-600LB作为上网络由器兼VPN网关。工作在外的员工,则可以在笔记本电脑或者台式计算机内建立一个Windows PPTP(拨号虚拟专网)的连接,直接连接到总公司或者各分公司的服务器。
本配置采用SSL VPN协议,SSL VPN协议为公认最安全的协议。许多市面上的网络设备都支持,所以日后扩展不是问题。而SSL-VPN提供的保密功能则可确保传输数据不会被中途拦截,遭受有心人士利用。本配置还支持PPTP VPN协议,用户在不需要安装专用的客户端程序,都可以在WINDOWS XP操作系统下连接到VPN 网络。
在总公司MPS-600E、MPS-600LB的局域网端口可用来向下连接交换器,而WAN2则可视需要,在LAN、WAN2之间变换。在LAN的模式下,可以直接连接服务器,在防火墙的保护下,对外提供服务。在WAN2的模式下,可以实现多线路负载均衡,实现多线路上网。或者作为备份线路,当WAN1无法联机的时候,局域网用户可用WAN2上网。
整个方案设计图如下:
本方案在总公司选用MPS-600E产品,而在各分公司及工厂则采用MPS-600LB产品,单机用户则采用Windows 2000或更新版本上的VPN用户端软件。
三、MPS企业网关功能特点
3.1 支持各种宽带联网方式
MPS系列网关服务器(以下简称MPS)支持各种宽带的接入方式,包括中国电信的ADSL、LAN网络快车,视讯宽带的CableModem、盈通的e家宽、网通的L2TP拨号、长城宽带以及各种城域网的接入方式。MPS支持各种接入的协议,包括PPPoE、DHCP、L2TP、PPTP等。支持各种接入模式的灵活组合,可以配置复杂的网络接入。一般的网络共享器只能支持单一接入模式,遇到复杂的接入就无可奈何。比如:网通的L2TP拨号接入,首先需要从DHCP服务器分配一个IP地址(这个地址并非公网的IP地质),然后再通过L2TP协议连接到出口服务器,才能获得真正的公网IP地址和互联网通信。MPS可以灵活的组合各种接入拨号,因而可以支持运行商提供的各种复杂接入方式。 MPS具备连接的断线自动重连功能,MPS网关一经设置,就可进入自动的工作状态。线路中断或者IP变换后,系统自动重新连接,完全无需人工干预,完善的故障检测和自动重连功能保证你可以轻松的畅游互联网。
3.2 特有的宽带线路捆绑功能
MPS支持多路宽带接入的捆绑,也就是说,一个MPS设备,可以同时使用2条或者3条线路接入,捆绑后共享给整个企业用户,提高用户的上网访问速度,并且节省了多台网络服务器。当然啦,这里的捆绑并不可能实现单条线路的速度增加,但是对于多线路同时访问,就可以使用到总体带宽。
3.3 支持大量连接的互联网共享功能
无论何种宽带接入方式,都可以通过MPS的NAT(网络地址转换)功能为内部网用户提供互联网的共享。而且该共享方式是透明的。如果用户是利用MPS的DHCP功能进行IP地址分配,就已经可以共享互联网,如果不是的,就只需要把网关设置为MPS的对内接口的IP地址就可以了。
局域网络里面的主机通过网关共享设备访问互联网时,共享设备要为每个TCP/IP连接维护连接的信息。MPS提供对大量并发连接访问的支持能力。MPS的不同型号可以支持数以万计的并发连接。也就是可以支持局域网内成百上千的主机通过单一IP地址对互联网进行访问。MPS-1600EX可以最多可以支持640,000的并发连接,完全可以支撑大型企业用户局域网络所有机器共享访问互联网的需求。
3.4 优越的网络吞吐性能
MPS服务器支持2M——100M的各种接入模式。MPS-800系列可以支持10M以上的数据吞吐量。MPS-1600EX可以支持 100M以上的数据吞吐能力。在设置防火墙规则后和流量控制规则后,数据吞吐能力没有明显的下降。已经可以满足企业级用户的宽带接入需求。
3.5 强大的防火墙功能
MPS提供基于状态监测的包过滤防火墙功能,通过简单的管理界面,可以方便、灵活地设置过滤规则。
包过滤功能作用在网络层和传输层,它可以根据分组包头源地址,目的地址和端口号、协议类型、标志位等众多信息对 数据包进行监控,确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
MPS防火墙可以实现双向的网络地址转换,即源地址转换和目的地址转换。局域网的主机通过源地址转换后通过唯一合法的IP地址访问外部,实现对外地址伪装,也就是上面提供的网络共享功能。目的地址转换,可以把对宽带接入的唯一合法地址的访问映射入局域网内部。只要拥有一个合法IP地址,你就可以在局域网内架设你的WWW服务器,邮件服务器,省去了托管主机的管理不变的麻烦,把网站搬回你家门口。
包过滤不需要用户软件的支撑,也不要求对客户机做特别的设置,也没有必要对用户做任何培训。当数据通过防火墙上时,用户甚至感觉不到包过滤功能的存在,只有在有些包在禁入和禁出时,用户才认识到网络上存在着防火墙。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。
MPS防火墙的高级功能可以防止各种拒绝服务(DOS)攻击(Syn flood、ICMP flood、UDP flood、Ping of Death、IP哄骗、Land Attack、tear drop? Attack、IP地址扫描、Win Nuke Attack等)。MPS驻守你的宽带入口,可以有效的阻挡黑客的恶意入侵,让你不再担心你的内部网络被非法入侵,公司的数据被非法窃取。
3.6 高性能的带宽管理功能
带宽管理技术是一种高层次的网络管理技术,可以对网络实时的传输速度进行测量,对网络拥塞情况进行监测并按照预先定义的优先级别,保证关键业务的网络带宽占用,从而避免了当网络产生瓶颈时,对一些关键业务的影响。这也正是我们所讲的QoS (Quality of Service)。MPS可以根据不同的IP地址和服务类别设置不同的带宽限制和优先级别,保证重要用户的带宽流量。
当网络空闲时,MPS可以相应提高访问的带宽,但前提是不影响高级别服务或用户的网络带宽。即系统保证所分配带宽的最低值,在高级别网络应用不用带宽的情况下,可以自动加大低端到服务器用户的带宽,以最大程度利用现有的网络资源。通过这个功能,就可以限制网吧用户的最高速度,而即使他在下载的时候,也不影响其他用户上网和进行网络游戏。
3.7专业的VPN功能
所谓虚拟专网就是利用互联网,通过数据加密的方式,分布在不同地理位置的网络建立安全的通信网络。
MPS使用我们自行开发了采用基于IP数据隧道的天匙(SkyKey)虚拟专网系统,为用户提供VPN功能。在组建VPN时,可以采用多种加密算法(56Bits BLOWFISH、DES、168Bits 3DES、MD5、RC4、SHA1、IDEA)对数据加密,保证数据安全传输。另外该系统支持多个网络互连的虚拟专网连接方式,只需要有一个中心连接点,其他网络都连上去这个中心点,就可以实现各个网络之间连起来的虚拟局域网。
为了实现和其他厂家的互连,MPS支持多种的VPN协议,PPTP、L2TP、IPSEC 。MPS可以作为PPTP、L2TP的客户端连接PPTP或者L2TP服务器,实现VPN连接。IPSEC VPN支持以Share Key的模式和标准IPSEC的设备互连。
另外,MPS还支持Microsoft 的PPTP协议,允许MS的客户端可以直接通过PPTP协议建立VPN连接,访问公司资源,实现远程办公。对于需要更安全的PPTP服务,我们还有专门的PPTP 网关产品,该产品和Radius结合,可以对PPTP的用户进入访问记录和统计。 |
