办公局域网安全策略VPN与流量控制篇.docx
- 文档编号:8871683
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:10
- 大小:113.53KB
办公局域网安全策略VPN与流量控制篇.docx
《办公局域网安全策略VPN与流量控制篇.docx》由会员分享,可在线阅读,更多相关《办公局域网安全策略VPN与流量控制篇.docx(10页珍藏版)》请在冰点文库上搜索。
办公局域网安全策略VPN与流量控制篇
办公局域网安全策略
——VPN与流量控制篇
项目名称
办公局域网安全策略VPN与流量控制篇
班级名称
计科0801班
姓名
栗俊恒
学号
080102060069
指导老师
杨在华
一、使用VPN的必要性1
二、VPN的可行性3
2.1技术的可行性3
2.2经济的可行性3
2.3社会可行性3
三、VPN的技术方案5
3.1需求分析5
3.2使用的网络逻辑结构图6
3.3技术方案6
四、VPN技术投入的造价9
五、流量控制的必要性11
5.1企业网络带宽资源由于缺少监管造成带宽分配不合理11
5.2一般大中型企业职工人数众多,企业网内Pc终端数量较多11
六、流量控制的可行性13
6.1技术的可行性13
6.2经济的可行性13
6.3社会的可行性13
七、流量控制的技术方案15
7.1流量控制捕捉和分类15
7.2流量控制监视(分析)15
7.3控制策略15
八、资金预算17
一、使用VPN的必要性
VPN,即虚拟专用网(VirtualPrivateNetwork,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。
VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN是Internet技术迅速发展的产物。
大量Internet通信基础网络或ISP的公共骨干网的建立使人们想到,如果可以保证在低成本的公用通信网络中安全地进行数据交换,就可以使企业以更低的成本连接其办事处、流动工作人员及业务合作伙伴,显著节省使用专用网络的长途费用,降低公司建设自己的广域网(WAN)的成本,而且同时实现信息资源的充分利用。
VPN技术使这种设想成为可能:
通过采用隧道技术,将企业网的数据封装在隧道中进行传输。
通信中双方首先要明确地确认对方的真实身份,进而在公用通信设施中建立一条私有的专用通信隧道,利用双方协商得到的通信密钥处理信息,从而实现在低成本非安全的公用网络上安全的交换信息的目的。
VPN实际上就是一种服务,用户感觉好像直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。
VPN可以为企业和服务提供商带来以下益处:
采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;
VPN能够充分利用现有的网络资源,提供经济、灵活的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用,在近几年得到了迅速的应用。
二、VPN的可行性
2.1技术的可行性
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2经济的可行性
VPN能够大幅度地降低拨号线路和专用线路的月收费。
它的设计理念很简单:
用户把呼叫发送到本地POP点,然后在互联网上通过隧道传输呼叫,从而节约长途电话费。
采用集中式信息访问的企业通常使用专线或帧中继连接远程站点。
这些专用线路会产生大幅开支,而且这种开支会因站点之间带宽的增加和距离的延长而增加,因此这些连接成为WAN维护中一项最大的开支。
要使站点到站点VPN的方式降低这方面的成本,公司可以通过互联网建立费用较低的连接来代替昂贵的专用链路,大大降低租用链路的费用——因为互联网连接对距离是不敏感的。
当一个企业自行组建VPN时,客户的费用主要由三个部分组成:
一次性投资(如开户费、设备费等)、接入费(即按用户的端口数、带宽等来收费)和通话使用费。
从一次性投资和接入费来说,相比单独建设PBX或CENTREX、移动集团电话等都具有优越性。
有关的机构估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%~45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%~80%。
而且,开发新业务的高成本又会提高客户在网络应用方面的边际成本。
但是,如果采用VPN服务的话,则客户不需要在业务应用开发方面投入,它的成本主要来自通信使用费。
2.3社会可行性
VPN服务还在于其简单便捷的特性。
在传统专网上,如果客户要实现新业务应用的话,一般要求客户自己来设计应用新的技术和业务,而在VPN上,企业更集中于主营业务,提高竞争力,同时还能实现专业化程度更强的网络运行维护管理。
企业通过VPN建立高效的内部或外部网络,严格的安全控制及简便的安装更为企业带来便捷。
通过VPN服务还能帮助企业客户拓展一系列基于Web的新商机。
VPN不仅降低了远程访问的成本,更具战略意义:
VPN提供了可以对互联网延伸到的各个地方进行的访问的能力;VPN支持丰富而灵活的下一代通讯。
VPN最大的价值还体现在安全性上,它可以使任何被授权的客户在空闲的带宽中建立自己的安全链路。
有专家指出,VPN极有可能象传真和电子邮件那样,彻底改变人们的生活。
三、VPN的技术方案
3.1需求分析
实从办公系统的网络结构进行需求分析,该系统主要需要实现内网和外网的安全身份认证和SSL通道的建立及数据库的安全访问,具体情况如下。
要求能通某公数据/邮件服务器,使用者是外部移动办公用户或分支机构的职员。
要求能通过Internet访问办公应用服务器,使用者是外部移动办公用户或分支机构的职员。
要求能通过Internet访问企业后台财务系统和人事系统服务器,使用者是外部移动办公用户或分支机构的职员。
VPN服务器通过本地数据库的方式来完成用户身份认证。
VPN服务器根据用户/用户组的方式来决定用户的访问权限。
VPN服务器为客户端与服务器的通信提供SSL加密服务。
VPN提供300客户端license。
与客户端的接入方式无关,客户端可能通过拨号、代理、NAT等方式连接,无论用哪种连接方式,都能可以通过访问服务器,而不必修改应用程序。
3.2使用的网络逻辑结构图
图3-1
3.3技术方案
针对上述需求,EverLinkSRACGateway作为直接连接局域网内部的服务器的中间设备,安放在内部网络的DMZ区,配置两个IP地址,一个为内部地址,一个为外部地址。
它完成的功能是在已经建立的安全通道的基础上根据用户提交的用户名/口令确定用户的身份和使用权限,然后为用户建立符合用户身份可以访问的服务器之间的安全通道。
在SRACGateway和用户之间的通信都是经过SSL加密的安全通道进行传输的,保证信息传输的安全性。
同时,所有对服务器的访问必须通过SRAC服务器,这样即使系统受到攻击也是对SRAC服务器的攻击,从而增强了对各应用服务器的保护。
在防火墙上屏蔽外网用户对内网服务器的访问,保证了未经许可不能访问内网服务器。
在防火墙后面的Switch上安装EverLinkSRACGateway,该服务器采用双网卡形式,一块网卡分配DMZ区的IP地址,一块网卡接内部网络,分配内部IP地址。
利用SRACGateway的用户管理功能,增加新用户和用户组。
在SRACGateway上新增到各个服务器的安全通道。
为每一用户组分配可访问的安全通道,安全通道对该组中的任何成员开放。
当授权用户要访问服务器时,先访问SRACGateway,SRACGateway根据用户帐号为用户提供授权的安全通道。
用户利用SRAC提供的安全通道访问对应的内网服务。
非授权的用户对安全通道的访问将会被拒绝。
同时实现了数据在Internet上的传输是经过SSL加密的。
这样一来,不仅实现了基于用户名/口令的的身份认证,同时实现了SSL的传输加密,安全性将大大提高。
采取了上述方案之后,整个的网络将是一个安全可控的体系。
四、VPN技术投入的造价
序号
名称
数量
价格
1
VPN路由器
3
400
2
VPN服务器
1
4000
3
WEB服务器
1
2000
4
人力
1
1200
5
总计
8400
五、流量控制的必要性
随着Internet的飞速发展,企业办公对互联网的依赖性越来越强,一张高效的网络是企业办公的必要保障,而目前很多企业的企业网络结构都相对简单,大多企业对企业网内流量没有采用QOS服务质量控制和流量控制,随着企业信息化建设的不断发展,各种网络应用、职工规模及流量快速增长,网络带宽扩容的压力与日俱增,主要存在的问题如下:
5.1企业网络带宽资源由于缺少监管造成带宽分配不合理
网络使用效率较低,无法了解企业网络带宽真正应用情况。
重要办公应用的运行没有网络带宽保障,对外提供的应用服务质量无法保证,甚至在关键时候出现网络阻塞情况。
5.2一般大中型企业职工人数众多,企业网内Pc终端数量较多
普通的企业网络由于缺乏有效的监管设备无法监控到每一台终端的具体流量。
这样就可能存在职工在工作时间下载大量与工作无关的文件,占用网络带宽。
特别是使用P2P等点对点传输软件(如BT、电驴)、以及工作时间看视频会占用企业网内绝大多数的带宽资源t导致企业网络的拥塞和服务质量的下降,影响企业的工作效率。
为了解决上述存在的问题,保证企业能够拥有一张高效的办公网络,以提高工作效率和节约工作成本,需要采取必要的技术手段对BT、迅雷及视频流等大量耗费带宽资源的应用进行一定程度的监测和控制甚至封杀,以达到提高企业网络办公效率的目的。
六、流量控制的可行性
6.1技术的可行性
流量控制通常的做法是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号。
流量控制器基本的功能模块为队列、分类和过滤器。
由于目前流量控制种类繁多,网络管理员在管理时通常都采用分类的方式进行。
对于流量控制管理来说,除了应具有上述的流量识别、流量分析和流量控制的功能之外,我们一般还希望其具有和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系的功能,以提升整个网络的安全防护能力,从而更好地保证流量控制。
比如,流量特征识别分析就是一种必要的流量管理手段。
它能够主动发现诸如DDoS攻击、病毒和木马等异常流量,较好地弥补其他网络安全设备如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等的不足,提升其主动发现安全威胁的能力,并能够及时向其他网络安全设备发出告警,从安全威胁源头开始就进行主动的防御。
此外,具备流量识别能力的流量控制管理还能够获取并保存流量控制的网络层信息(例如,源/目的IP地址、应用端口、用户标识ID等信息),通过这些信息,网络管理者能够对安全威胁进行溯源定位。
6.2经济的可行性
具备流量控制能力的流量控制管理还能够对严重影响业务运营者收入的未经许可的其他业务进行抑制。
比如,对于VoIP业务,我们可以通过对VoIP信令流量和媒体流量的关联检测和统计分析,以及通过截断媒体数据包、伪装信令报文等方式对流量进行管理。
还可以通过综合使用网络层、传输层和应用层检测技术,对未经许可的宽带私接用户采取中断连接、主动告警、分时控制等多种管理动作。
6.3社会的可行性
流量控制能够帮助流量控制管理实现业务资源的调度,并能够获得业务资源使用、业务状态的实时情况。
当某一网络应用业务服务器负载较大时,可以进行全局的业务资源负载均衡,以平均地承担业务请求;同时也能够对用户的业务请求进行调度,决定是否继续响应用户新的业务请求,并根据用户的优先级优先响应高优先级用户的业务请求,以提升业务运营效率。
将流量控制能力添加到流量控制管理中,能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度,如对HTTP、FTP、SMTP以及P2P等应用进行管理,尤其是对P2P流量进行抑制来提升传统数据业务的用户体验度。
七、流量控制的技术方案
7.1流量控制捕捉和分类
这是进行流量控制管理的第一步。
只有通过设置捕捉点,对流量控制进行捕捉和分类,才能进行后续的分析和控制工作。
这里特别需要强调的是,流量控制分类可以非常宏观化,也可以细化。
比如TCP、UDP、ICMP等分类就比较宏观,而HTTP、FTP甚至是诸如Kazza、Skype等P2P流量的分类和识别就比较细化了。
在日常工作中,网络管理员可以采用Wireshark、TCPDump等知名的报文捕捉和分析软件进行流量捕捉和分类工作。
7.2流量控制监视(分析)
监视用来显示流量的运行状况,帮助找出问题所在和执行相应的管理策略。
应用程序和网络管理能够收集分类、展示和收集信息,包括带宽利用率、活跃的主机和网络效率以及活跃的应用程序。
该目标可以通过采用市面上常见的NTOP等可视化分析管理工具来协助网络管理员在实际工作中实现。
7.3控制策略
流量控制分析的下一步是根据优先级别分配带宽资源。
分配的依据可以是主机、应用等等,特别需要考虑的是注意将消耗资源的P2P程序或者音频视频下载等进行滞后考虑。
具体操作时可以应用流行的流量控制工具来进行和实现,如进行分类监视和控制流量控制,这样,我们就可以将流量控制有效管理起来,将原来无序的流量控制变得有序起来。
八、资金预算
流量控制器1个:
1500X1=1500
人力:
1500
其他:
3000
总计:
6000
序号
名称
数量
价格
1
流量控制器
1
1500
2
人力
1
1500
3
其他
3000
4
总计
6000
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 办公 局域网 安全策略 VPN 流量 控制