遠端安全接入解決方案

摘要：作為一種成熟有效的低成本廣域網互聯解決方案，通過VPN技術實現遠端安全接入已經得到了普遍的接受和廣泛的應用。通過VPN，可以讓遠端的分支機構、移動辦公使用者乃至於合作伙伴在一個類似於區域網的環境下協同工作。

作為一種成熟有效的低成本廣域網互聯解決方案，通過VPN技術實現遠端安全接入已經得到了普遍的接受和廣泛的應用。通過VPN，可以讓遠端的分支機構、移動辦公使用者乃至於合作伙伴在一個類似於區域網的環境下協同工作。

在所有VPN技術中，IPSec VPN是公認的最佳的網路到網路VPN解決方案，廣泛應用於總部和分支機構之間的互聯。IPSec是標準的網路安全協議，它可以提供透明的IP層加密通訊服務，加密強度根據選擇的加密演算法不同而有所區別。由於是基於IP層進行加密，所以與上層協議與應用無關，對各種應用的支援較好。

但是IPSec VPN不支援路由協議的透傳，因此在進行需要透傳路由協議的相對複雜組網的時候會遇到困難。為了解決這一難題，業內也開發了很多解決方案，其中最佳的就是利用GRE隧道技術與IPSec技術相結合的組網方式。

在移動使用者接入時，相對於IPSec VPN需要額外安裝客戶端以及需要對客戶端進行比較複雜的配置的缺點，SSL VPN提供了更加簡便的無客戶端的移動使用者接入解決方案。SSL VPN使用了面向HTTP應用的SSL協議對TCP協議進行加密。由於SSL協議得到了瀏覽器的廣泛支援，因此在使用SSL VPN的時候不需要安裝客戶端和進行復雜的配置，只需要使用瀏覽器即可。同時結合ActiveX控制元件，SSL VPN可以實現對非HTTP應用的支援，以及VPN客戶端接入時的安全校驗等功能。

在進行VPN設計時應當考慮以下問題：

■ 分析業務的實際需求，綜合採用多種VPN技術，靈活網路設計。一般說來，網路到網路比較適合接入採用IPSec VPN，遠端辦公使用者接入比較適合採用SSL VPN，而在需要透傳路由協議的情況下，則需要使用GRE VPN承載IPSec VPN的方法。

■ 考慮到不同的遠端接入網路/遠端接入使用者的業務需求不同，應用採用分域的方法進行VPN設計。比如分支機構與合作伙伴通過VPN接入的時候就應該接入不同的域。

■ 與通過專線進行廣域網設計類似，在設計時要考慮對蠕蟲病毒等惡意流量的防護問題。

■ 在多數情況下，用於VPN連線的網際網路鏈路往往同時也是訪問網際網路的鏈路，因此在進行設計時，要考慮與邊界防護設計的融合問題。

■ 充分考慮統一安全策略部署，與統一配置管理問題。

典型組網

DPtech遠端安全接入解決方案綜合應用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多種VPN技術，為使用者提供多樣的、高可靠性的遠端安全接入解決方案，實現分支機構、合作伙伴、移動使用者的一體化遠端安全接入。同時根據實際情況，應用杭州迪普科技有限公司的防火牆、UTM和IPS產品，提供了全面的L2～7層安全防護，統一的安全策略部署與配置管理能力，以及與邊界防護解決方案的融合能力。

功能與優勢

■ 網路級的效能

迪普相關產品基於APP-X硬體平臺，可以在吞吐量、併發、新建連線、延時等方面提供網路級的效能。不會因為增加了新的裝置而使得應用的效能出現下降。

■ 網路適應性

迪普相關產品基於Conplat軟體平臺，提供了豐富的網路適應性，可以在IPv6、MPLS等複雜網路環境下良好的工作。裝置部署的時候，可不受網路環境的限制，也不需要大面積調整網路結構。

■ 豐富的VPN組網能力

綜合應用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多種VPN技術，提供了豐富的VPN接入手段和組網方法。

■ 完善的L2～7安全保護

通過DPtech防火牆、UTM和IPS產批為核心，提供了完善的L2～7層安全保護能力。可有效抵禦VPN內的病毒傳播，以及抵禦來自於網際網路的攻擊。

■ 虛擬化安全服務

所有產品都支援虛擬化功能，可以虛擬成為多個獨立裝置使用。這在分域設計以及多種安全策略並存的環境下，可以有效的降低安全策略設計的複雜性。

■ 快速部署及排錯

所有裝置都支援統一管理，能對所有裝置進行統一系統軟體升級、策略集中下發，提供了快速部署及排錯能力。

■ 完善的高可靠性保障

根據組網方式的不同，可支援鏈路備份、VRRP、路由備份等多種高可靠性設計，提供微秒級的故障切換能力。