前言
目前隨著多媒體技術的發展,多媒體技術的發布實現了移動化和無人值守發展,而以前束縛移動化的發展主要是傳輸帶寬,在以前,需要用衛星通信等技術,隨著3G技術的發展,可以實現通過3G網絡實現遠程的信息傳輸,并通過3G VPN加密技術實現了信息的安裝傳輸。
一 VPN的概念
在經濟全球化的今天,越來越多的單位,開始在各地建立分支機構,開展移動業務,移動辦公人員也隨之劇增。在這樣的背景下,這有些移動信息需要通過3G網絡實現總部和移動分支之間建立連接通道以進行信息傳送。
傳統的互聯方案中,要進行遠地LAN 到 LAN互連,除了租用DDN專線或幀中繼或衛星通信之外,并無更好的解決方法。對于移動用戶與遠端用戶而言,只能通過撥號線路進入企業各自獨立的局域網。這樣的方案必然導致高昂的長途線路租用費。于是,虛擬專用網VPN(Virtual Private Network)的概念與市場隨之出現。其實虛擬專用網VPN技術并不是什么新鮮事物,早在1993年,歐洲虛擬專用網聯盟(EVUA)就成立了,力圖在全歐洲范圍內推廣VPN。然而卻是由于Internet的迅猛發展為VPN提供了技術基礎,全球化的企業為VPN提供了市場,才使得VPN開始遍布全世界。
虛擬專用網是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。虛擬專用網通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的主機都處于一個網絡之中。公共網絡仿佛是只由本網絡在獨占使用,而事實上并非如此,所以稱之虛擬專用。之所以采用虛擬專用網是因為VPN有以下幾方面優點:
• 降低成本
通過公用網來建立VPN與建立DDN、PSTN等專線方式相比,可以節省大量的費用開支。
• 容易擴展
如果用戶想擴大VPN的容量和覆蓋范圍,只需改變一些配置,或增加幾臺設備、擴大服務范圍。在遠程辦公室增加VPN也很簡單,只需通過作適當的設備配置即可。
• 完全控制主動權
企業可以利用公網或在網絡內部自己組建管理VPN。如果用戶利用ISP的設施和服務,那么用戶同時又完全掌握著自己網絡的控制權。比如,用戶可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。
• 全方位的安全保護
VPN不僅能在網絡與網絡之間建立專用通道,保護網關與網關之間信息傳輸的安全,而且能在企業內部的用戶與網關之間、移動辦公用戶和網關之間、用戶與用戶之間建立安全通道,建立全方位的安全保護,保證網絡的安全。
• 高的性價比
VPN致力于為網絡提供整體的安全性,是性能價格比比較高的安全方式。
• 使用和管理方便
VPN產品可以在網絡連接中透明地配置,而不需要修改網絡或客戶端的配置,非常方便使用。VPN產品可以實現集中管理,也就是在同一個地方實現對不同地方VPN的配置、監控和維護等。
• 投資保護
基于IPSEC的VPN的標準逐漸被大家接受,用戶網絡的改造和擴展有很好的保護。
IPSec協議
IPSec協議是一個應用廣泛,開放的VPN安全協議。IPSec適應向Ipv6遷移,它提供所有在網絡層上的數據保護,進行透明的安全通信。IPSec用密碼技術提供以下安全服務:接入控制,無連接完整性,數據源認證,防重放,加密,防傳輸流分析。 IPSec協議可以設置成在兩種模式下運行:一種是隧道(tunnel)模式,一種是傳輸(transport)模式。在隧道模式下,IPSec把IPv4數據包封裝在安全的IP包中。傳輸模式是為了保護端到端的安全性,即在這種模式下不會隱藏路由信息。隧道模式是最安全的,但會帶來較大的系統開銷。IETF安全工作組完成了IPSec的擴展,在IPSec協議中加上ISAKMP(Internet Security Association and Key Management Protocol)協議,密鑰分配協議IKE、Oakley。ISAKMP/IKE/Oakley支持自動建立加密、認證信道,以及密鑰的自動安全分發和更新。
IPSEC它定義了一套用于保護私有性和完整性的標準協議。IPSec支持一系列加密算法如DES、3DES、IDEA。它檢查傳輸的數據包的完整性,以確保數據沒有被修改,具有數據源認證功能。IPSec可確保運行在TCP/IP協議上的VPN之間的互操作性。
二、 BILLION 3G VPN應用方案
2.1、需求的提出和分析
一般來說,信息發布系統需要將信息中心的信息推送到各個信息點或者移動顯示服務點,每個服務點將配備2-3個顯示屏,用于日常的信息發布,各個服務點需要與總部的數據庫實現實時的通信,以實現實時數據更新。各個服務點分布在全市各個角落,有些地方距離電信的接入機房較遠,無法實現ADSL接入。特別是一些比較偏遠的地方,用傳統的有線方式,業務無法開展。3G業務的推出,由于其具有高帶寬,無需布線,只要電信運營商3G網絡覆蓋到地方,就可以通過3G實現上網,基于3G的通信就成為一種必要的手段,可以通過基于3G的VPN,解決ADSL VPN已經無法解決的移動性和無法布線的情況。
由于結算業務涉到信息的安全問題,因此在實現聯網的時候,必須考慮數據的安全問題,由于采用3G 接入,因此必須考慮3G接入安全,除此之外,由于服務器是通過電信運營商的專線方式接入到互聯網,特別容易受到互聯網上各種攻擊,因此必須考慮總部的服務器的安全。
目前,VPN技術做為一種數據安全加密技術在遠程網絡互聯中得到廣泛的應用,VPN(VirtualPrivate Network,虛擬私有網絡)是指將物理上分布在不同地點的網絡通過公用骨干網聯接而成邏輯上的虛擬子網,這里的公用網主要指Internt。為了保障信息在Internet上傳輸的安全性,VPN技術采用了認證、存取控制、機密性、數據完整性等措施,,以保證了信息在傳輸中不被偷看、篡改、復制。有效保證數據的完整和安全,目前主流的VPN技術主要采用IPSEC VPN,由于IPSEC VPN對IP層業務的良好支持,因此在本方案中,我們建議采用基于3G的IPSEC VPN 來實現網絡的安全互聯和數據安全保護。
2.2 產品解決方案
根據項目的實際情況和應用需求,我們建議采用采用基于3G 的IPSEC VPN來實現互聯,
具體方案:
在公司總部,建議采用運營商的光纖專線接入到3G運營商數據機房,在服務器前端部署一臺VPN防火墻,根據目前的需要的網絡的規模,在總部配置一臺BILLION BIGUARD 30 VPN安全網關,安全網關的防火墻可以有效防止互聯網上的各種攻擊和非法訪問,以保證服務器的安全,在數據傳輸安全方面,啟用防火墻的VPN功能,采用標準的IPSEC 實現與各分服務點的網絡互聯。BIGUARD 30 VPN防火墻最大支持30條IPSEC 隧道,可以滿足項目目前和以后的擴展的需要。
在各服務點,配置一臺BILLION BIPAC 7402X 3G無線VPN防火墻,設備內置了3G USB接口,只需要申請一個 運營商的3G 貓,實現3G無線接入,本地的顯示屏通過BIPAC 7402X ,通過運營商的3G VPDN實現安全互聯。通過IPSEC的VPN與總部的VPN防火墻實現安全的互聯,這樣,總部和分點形成一個局域網,實現網對網互聯。在3G的接入選擇上,可以選擇可上公網的3G業務,也可以選擇只可以互聯的3G VPDN,只可以傳輸數據,不可以上公網,資費相對較低。
三、方案的效果
1、總部配置VPN防火墻,可以有效防止各種黑客攻擊,增強對服務器的防護。
2、實現對內網的上網控制、BILLION的BIPAC 7402X是一臺功能強大的防火墻,可對分支的內網實現安全保護并且可以實現對內網的PC進行管制。
3、通過3G接入,突破有線的限制,部署快捷,3G VPDN,速度更快,資費更低
4、支持多種業務,由于IPSEC對IP業務的良好的支持,可以在VPN上實現數據安全傳輸和視頻和VOIP,真正實現3G多媒體通信。
盛達電業成立于1973年,為臺股上市公司(Taiex#3027),是亞洲環太平洋地區網絡通訊設備及電源設備與裝置的主要供應商之一。旗下之通訊事業處自1992年成立之來,針對家庭、電訊工作者和中小型企業用戶,致力于下一代網絡設備和網際網絡存取裝置的研發、制造與品牌銷售。盛達電業公司的網絡產品曾多次獲雜志媒體高度肯定,并在歐、美、中東、非洲、亞太地區等市場擁有廣大的客戶。 2009年3月份起,電源事業處除線性式電源供應器、交換式電源供應器與電源變壓器的研發與制造外,亦積極布局智能電網產品研發與制造,并于2010年1月起正式更名為「電源暨能源管理事業處」(Power & Energy Management Division,簡稱PEM Division)。藉由供應智能電網所需更有效率的節能減碳產品,期為環境保護與綠色地球盡一份力量。
盛永達科技(南京)有限公司是盛達電業股份有限公司的中國大陸分公司;2007年盛永達科技(南京)有限公司成立于南京, 秉承其一貫的充滿活力、穩健踏實的工作作風,專注中國,奉獻專業品質;致力為中國的電力公司、通信運營商、企業及家庭用戶提供科技領先的產品,適用的定制化解決方案與最完善的本地化服務。
“海內存知己,天涯皆BILLION —— 給您最安心的網絡解決方案”是盛永達科技專注為大陸市場用戶奉獻專業品質的體現。
