项目背景分析

一、项目背景分析

xx公司已经应用计算机作为生产管理的工具。随着计算机技术和网络技术的不断发展和迅速在普及，xx公司的计算机应用和局域网络规模也在不断壮大。目前xx公司已经建立了三十个分公司（办事处），各分支机构内部也全部采用计算机作为业务工具，并建立了自己的局域网络，部分公司已经接入Interent。

随着xx公司业务发展的需求，各分公司有着越来越多的业务信息需要同总公司交互。但现阶段xx公司的计算机网络系统仍然局限于各分公司自己建设一个局域网，这些小的局域网只能满足分公司内部的网上办公系统，不能实现整个公司的网上办公需求。分公司与总公司的信息交流仍然使用传统的电话、传真、人力等方式，或者在没有进行任何安全措施保护的情况下使用互联网。对整个公司来说，分公司仍然是信息孤岛。xx公司的信息网络建设已经滞后于业务发展的步伐。新的ERP系统的使用也迫切地需要将各分公司与总公司的局域网连接在一起形成一个大的内部intranet广域网络。

公司的信息部门时刻跟踪最新技术的发展，发现VPN技术的应用已经完善，公司的计算机网络已经可以采用最新的VPN技术实现各分公司与总部网络之间的安全广域网连接。

目前，各种病毒、网络攻击等安全事件频繁发生，已经成为企业安全的一个重要威胁；技术的突破，已经使各种病毒具有了黑客工具的性质，一旦企业被病毒感染，会自动打开相应的端口或服务，使企业门户大开，而病毒通过互联网可以轻易的突破没有经过严密防护的企业内部网络，给企业带来各种威胁：开放服务、发出大量垃圾邮件或带病毒邮件等等。黑客和带黑客性质的病毒，不仅会破坏xx公司的运行环境，破坏机器上的数据，更有可能盗取机密的数据和信息！潜在的风险很难估计。

而在xx公司各地网络建设之初，因为没有专门针对安全方面进行专门设计，所以其现状是不能够满足本企业目前的安全需求的。比如没有采用必要的网络边界防御手段来抵抗来自外部的各种威胁，同时也没有采用必要的防病毒手段来抵抗当今变化各异的病毒。

防火墙系统，负责整个企业的边界防护，进行企业内部、外部沟通的安全桥梁，增加了防火墙系统，会将企业的安全防护级别提高一个层次，同时，还可以建立公司总部与分公司网路之间的VPN通道，更加合理、有效的利用公司现有资源，而不会造成信息泄露，因此，引进新的防火墙系统也是xx公司建立企业广域网安全系统的当务之急。

经过和xx公司的相关技术人员的接触和交流，在此基础上我公司给出本VPN 广域网络及安全系统建设的实现方案，侧重于企业的VPN系统，并考虑到信息的足够安全性。

二、VPN/防火墙需求分析

1、VPN技术介绍

虚拟专用网（ＶＰＮ）是一个通过公用网络（通常是因特网）建立的一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业内部网之间安全通信的虚拟专用线路。

虚拟专用网主要采用了两种技术：隧道技术与安全技术。隧道技术当前

主要有三种协议支持：PPTP，L2TP和IPsec。安全技术主要有MPPE、IPsec 等加密算法。隧道技术主要是完成IP数据包的二次封装，以实现企业私有地址在公网上的传输。为了保证传输的安全，需要一定的安全加密手段保证数据的私密性和完整性，在隧道和加密的技术上，IPsec已成为IP安全的一个应用广泛、开放的VPN安全协议。IPsec适应向Ipv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPsec用密码技术提供以下安全服务：接入控制，无连接完整性，数据源认证，防重放，加密，防传输流分析。IPsec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种是传输(transport)模式。在隧道模式下，IPsec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的。

IPsec 定义了一套用于保护私有性和完整性的标准协议。IPsec支持一系列加密算法如DES、3DES。它检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。IPsec可确保运行在TCP/IP协议上的VPN 之间的互操作性。

2、VPN技术的优势

1）信息的安全性。虚拟专用网络采用安全隧道技术向用户提供无缝的和安全的端到端连接服务，确保信息资源的安全。

2）方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network)，实现异地业务人员的远程接入，加强与

客户、合作伙伴之间的联系，以进一步适应虚拟企业的新型企业组

织形式。

3）方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现，从而减轻了企业内部网络管理的负担。同时

VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相

独立的特性，也便于用户进行网络管理。

4）显着的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络，从而节省了大量的投资成本及后续的运营维护成本。

3、安全需求分析

来自外网和内网的安全攻击均对xx公司整个网络构成安全威胁。从公司目前的网络现状来分析，主要的安全威胁来自以下几个方面：

1）总部关键服务器的安全威胁

2）支机构与总部交换数据时数据在传输过程中的安全威胁

3）自外部（Internet）的安全威胁

4）病毒的威胁

所有的安全漏洞都可能被利用成为安全攻击，进而对整个网络带来损害。

对于内联网/外联网的接口处实施流量管理，数据包过滤和监控，将会是保障网络安全的重要环节；同时建立与各分支机构之间的跨地域的VPN安全专有网络，满足信息交换的安全需求。

三、VPN/防火墙系统设计

1、网络结构分析

随着xx公司的不断发展壮大，企业的计算机应用和网络规模也越来越普及，总部与各个分支机构之间的沟通的需求也越来越大，因此通过信息化的手段来进行数据的交换和备份，给企业带来极大的工作便利性，促进了企业的生产发展。

同时，本着安全的原则，将公司的信息资源最大作用的发挥其作用也是本次网络建设的一个重要内容，因此，对xx公司网络先进行网络边界的划分，控制好外部网络对本企业的访问已经成为当务之急；而且由于xx公司的分支机构分布在各地，所以信息数据的交换将会通过不信任的公网，因此在总部和各分支机构之间建立基于IPSEC的VPN的访问机制也将成为本系统系统的一个不可或缺的因素。

作为一种边界访问控制手段，防火墙设计的基础就是有效的边界划分，以此区分不同安全控制级别的访问区域。根据分析，我们认为xx公司网络存在如下几种不同的边界：

1）内联网（VPN网络）

就是xx公司整个网络架构，包含总部、30个分支机构（以后可能扩充）。

2）外联网

指与xx公司网络相连的国际互联网（INTERNET）。

在每个网络区域内部根据服务器用途、访问对象、安全需求的不同，可进一步区分为不同的内部子网，从而增加了访问控制规划的边界参考点。

2、VPN/防火墙系统设计原则

在xx公司VPN/防火墙系统的设计过程中，我们始终遵循以下原则：

1）系统工程原则

在系统设计和实施过程中，严格遵循系统工程的观点和方法进行工作。自始至终考虑到系统的整体性、层次性、相关性、目的性、时间性

和环境的适应性。

2）用户第一的原则