XX行业VPN解决方案
北京网康科技有限公司
目 录
第一章 酒店行业需求分析 ---------------------------------------------------- 3
1.1 背景 -------------------------------------------------------------------------------------------------------------- 3 1.2 需要达到的目标 ----------------------------------------------------------------------------------------------- 4 1.3 为什么选用VPN联网方式 ----------------------------------------------------------------------------------- 4
第二章 ASG VPN解决方案 ----------------------------------------------------- 7
2.1 网络拓扑图 ----------------------------------------------------------------------------------------------------- 7 2.2方案说明 --------------------------------------------------------------------------------------------------------- 7 2.3 方案特点 -------------------------------------------------------------------------------------------------------- 7 2.4 方案优势 -------------------------------------------------------------------------------------------------------- 8
第三章 产品优势 ----------------------------------------------------------- 10
3.1安全性高 ------------------------------------------------------------------------------------------------------- 10 3.2全面的SSL VPN解决方案 --------------------------------------------------------------------------------- 11 3.3使用简单、方便 --------------------------------------------------------------------------------------------- 11 3.4专用技术提高终端用户资源访问速度 ------------------------------------------------------------------ 11 3.5详尽的统计功能 --------------------------------------------------------------------------------------------- 11 3.6访问统计图标 ------------------------------------------------------------------------------------------------- 12 3.7分级管理功能 ------------------------------------------------------------------------------------------------- 14 3.8堆叠式的负载均衡 ------------------------------------------------------------------------------------------ 15 3.9容灾 ------------------------------------------------------------------------------------------------------------- 15 3.10高扩展性 ----------------------------------------------------------------------------------------------------- 15 3.11 线路冗余 --------------------------------------------------------------------------------------------------- 16
第四章 产品报价 -------------------------------------------------------- 16
4.1 产品报价 ----------------------------------------------------------------------------------------------------- 16 4.2 设备选型及介绍 ------------------------------------------------------------------------------------------- 18 4.3 设备参数 ---------------------------------------------------------------------------- 错误!未定义书签。 4.4 ASG VPN 产品图片-------------------------------------------------------------- 错误!未定义书签。
第五章 售后服务说明 -------------------------------------- 错误!未定义书签。
文档说明 编写日期 阅读对象 方案概要 2011.1201 XX酒店集团网络系统管理者 通过建立VPN设备互联,达到远程访问与各分支互联目的…… 版本 1.0
第一章 酒店行业需求分析
1.1 背景
随着人们生活水平的不断提高,旅游和餐饮成为了人们工作之余休闲放松的首选,旅游和餐饮行业在中国蓬勃发展,特别在经济发展较快、人均收入水平较高的地区,旅行社、中餐馆、西餐馆遍布城市的每个角落。诸多旅游和餐饮企业随着业务的增加,规模的扩大,呈现出了众多较大型、多元化经营、综合性服务特点,旅游和餐饮电子商务也已经普遍应用,旅游管理系统、旅游财务系统、餐饮管理系统、餐饮POS机付款系统都需要以实时、高效、准确的应用来代替以往的手工操作、传真、电话时代,进入到自身虚拟专用网络平台时代。
旅游和餐饮企业一般拥有众多的分散各地、各区的旅游营业报名点和连锁分店,为了更好的让下属营业点、异地分公司管理游客信息和旅游信息,连锁分店共享总部的数据信息,公司总部线路和人员安排,团队报名情况,众多旅游和餐饮企业都已经或者准备公司总部和个下属营业点,分公司,连锁分店之间构建信息化平台,启用一套旅游和餐饮管理系统。
通过网络汇集的大量数据和信息,通过互联网实时地、全方位、大容量转发,发挥了旅游和餐饮行业各种系统的作用。并通过在线实时向游客介绍国内各地旅游景点的情况和餐馆的菜式和分布,企业也可以通过虚拟网络平台实现在线报名,网上预定座位,预定车票、机票等众多业务,因此对信息化的要求也变得越加迫切。
各大旅游公司和餐饮连锁店通常采取数据集中管理的方式,公司总部是中央数据库,各营业点多数连锁分店由小型的局域网或者单机组成,针对这一现状网康科技提出了ASG VPN的解决方案,通过ASG VPN 网络设备,可使各分支营业点和连锁店的计算机与数据库所在的总部保持实时、不间断的联系。
XX酒店集团组建于XXXX年XX月,隶属XXXX集团公司,是以酒店旅游为核心业务的专业化公司。在北京、上海、天津、重庆、兰州等中心城市,已形成高星级商务酒店群;在
三亚、峨嵋、九寨、大连、青岛、苏州、无锡、桂林、北戴河等重点风景名胜,已拥有自己的旅游度假山庄和疗养院。可为各类会议、商务活动、出国考察、旅游、培训、疗养、度假等提供各种服务平台。
如何将各地酒店业务网络连网,将各个酒店所用的业务系统整合起来,以使得相应的客户信息管理与维护、酒店日常收支管理、各类业务应用系统可以安全、整合地管理;使相应的客户信息、财务信息可以方便查询,以便酒店可以更方便地接待客户并提供满意服务;而且,各地酒店如何接入总部系统与资源库,总部与各地酒店、各地酒店如何沟通……这些都是XX酒店集团希望解决的问题。
为了实现酒店整合管理与高效沟通,XX酒店集团计划部署一整套的网络互联解决方案,将各个分支酒店与总部网络互联,以实现各酒店业务系统的整合管理与高效沟通。目前,XX酒店集团总部部署IDC机房,设有Database,Application,Windows Server,Unix sever以及公司网站等众多服务器,集团希望能够利用强大的软硬件系统,实现网络的高稳定性、可管理性、可扩展性。
1.2 需要达到的目标
XX酒店集团本次网络建设的目标,主要是为了实现现有网络情况下的总部与分支酒店的互联。集团的重点需求集中在建成后网络的稳定性上,要求所构建的网络必须保证足够的稳定性来支撑XX酒店集团的运营业务。同时,集团对于网络的稳定性要求从诸多方面得到体现,这样就能保证网络在某一方面出现问题时,集团也能利用其他技术手段来支持网络连接的稳定性。
在满足了稳定性的同时,集团对整个网络的安全性、可操控性也提出了要求。集团要总部对下属的各分支酒店进行接入互联,以实现他们与总部的互联;并且要充分的保证网络的稳定性,这样就能保证在线路不稳定的情况下也能保证网络数据的正常传输,为业务的正常运营提供保证。
1.3 为什么选用VPN联网方式
需要考虑的问题
通过以上的要求,我们分析需要考虑的主要问题如下: A、在各种组网方式中进行选择。
进行异地网络互联,有四种方式。一是专线互连(如DDN、FR或ATM连接);二是远程拨号接入;三是直接利用Internet构筑起本公司的Intranet或Extranet;四是依赖于目前高速发展的Internet组建的VPN网络。其他的如微波,WLAN等方式在全省以及全国范围的需求下不做考虑。
B、必须考虑整个方案的安全性和稳定性、可管理性和可维护性,以及能够满足未来网络发展的需要。比如要考虑以后的IP语音与视频会议系统,这需要全网或者一个大区域内的互联互通。
C、要考虑网络建设容易程度与建成后的维护容易程度。 VPN的优势
在上面的几种选择方式中如果投入资金允许并且对稳定性和可靠性要求非常高的情况下,可考虑专线互连的方式。
远程拨号接入方式的特点是前期投入较少,只需要在公司总部和分公司等地安装拨号接入服务器,并且使用比较简单。但此种互联方式的弱点是速度慢(电话拨号最高只可达56Kbps),稳定性差,长时间使用必定带来高昂的长途电话费用。在现代信息化系统要求带宽和稳定性都较高的情况下,远程拨号接入方式不可取。
直接利用Internet构筑起本公司的Intranet或Extranet, Internet迅速发展无所不在以及诱人的低价位,的确令众多厂商开始采用这种办法,但是直接利用Internet只能进行WEB、E-MAIL等有限的应用,并且Internet天生的开放性使安全性又成了问题,公司的机密数据一旦在Internet传输,若没有安全性保障,其后果可想而知。
VPN是多种联网方式中最好的选择,那么VPN究竟有什么优势呢,它是不是能够解决企业考虑的问题?
VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为Intranet和Extranet的应用带来良好的前景。具体而言,VPN具有以下显著的优点: 1. 安全性高
企业通过公网实现跨地域的系统互联必然面临安全问题。用VPN构建网络具备相当高的安全性,主要有如下几点安全要素:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。 2. 降低成本
当使用Internet时,实际上只需要付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节省大量的通信费,此外,VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。 3. 容易扩展
支持多种接入实现方式,并且网络是动态的,可以随时增减用户,便于集中控制访问权限。如果想扩大VPN的容量和覆盖范围,做的事情很少,而且能立时实现:只需与新的ISP签约,建立帐户;或者与原有的ISP重签合约,扩大服务范围。 4. 完全控制主动权
VPN使企业可以使用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN组网技术与专线组网技术相比,优点是节省用户的通信费用,方便用户网络互联和灵活扩充,并且提高企业网络的可管理性;缺点是稳定性可靠性不如专线网络。
以上几个优点是市面上的VPN都具有的,但是单单具有上面这些特点的VPN还是不能解决企业考虑的问题。
我国互联网这几年发展迅速,特别是骨干网建设已经走在世界的前列。用户端的互联网接入技术,如ADSL、Cable或者是以太网都已经非常稳定可靠。但是,为什么在国外已经很普及的VPN的应用在国内还没有大规模的使用呢?究其原因,最根本的就是VPN这种技术还没有深入人心,并且传统的VPN设备使用复杂,需要专门的技术人员来实施。
综合考虑以上情况,在网络组建前期必须进行详尽的调查与测试,寻找一种适合组建大规模VPN网络的,专业智能的,“傻瓜式”的VPN产品来组建此通信网络。在方案中必须要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有很多VPN产品,那么究竟那一种VPN产品才是企业最好的选择呢?针对企业上面的需求,采用网康科技的ASG VPN解决方案正是一种非常好的解决方案。
第二章 应用安全网关VPN解决方案
2.1 网络拓扑图
这张图要换掉,换成实际的网络拓扑图
图一 VPN网络示意图
2.2方案说明
XX酒店集团网络规模较大,分支酒店都需要跟它通信,进行数据交换,这样就对稳定性要求更高,接入带宽要求更大,所以建议在总部使用ASGXXXX型号 设备。使用10M的上网专线接入Internet。因为需要对外提供访问服务,所以使用一个固定的公网IP地址。
ASGXXXX是具有高性能的VPN接入设备(中心点的终端设备),提供作为智能接入终端的所有功能,如高性能的防火墙,移动客户端接入服务,带宽管理,流量监控,统计汇总等。
分支酒店所处网络规模相对于专网接入中心点来说规模较小,仅仅需要接入总部ASGXXXX设备。所以,根据规模大小,建议使用在各分支酒店采用ASGXXXX终端设备,可采用上网专线接入和ADSL接入,不要求有固定的公网IP地址。
2.3 方案特点
ASG VPN系列设备在部署以后,可以达到以下效果:
安全性高,ASG VPN设备不但提供了构建IPSec VPN + SSL VPN 高安全性,同时提供企
业级的防火墙功能,用户安全策略,数据加密技术最大限度提高用户数据安全性; 扩展性好,通过ASG VPN构建企业VPN的解决方案本身的灵活性,为企业以后网络的扩
展提供很大的伸缩可能,企业可以根据自身的情况任意灵活的扩展; 实施周期短,只需简单的配置就可以达到整个集团网络互联的目的;
管理维护简单,既有简单友好的WEB配置界面,也有实时的日志功能,方便系统管理员
的维护和管理
2.4 方案优势
a、降低企业日常工作成本
根据Strategic Network指出,组建企业Intranet VPN网络和拨号VPN网络相比可以节省高达60%的日常成本,这个成本包括日常的维护和设备损耗的成本。拨号VPN网络要求应用VPN服务器需要进行拨号链接和应用访问双重负载,当拨号用户增多时,对企业中心网络的维护和设备损耗是极大的考验,并且大大提高了网络单点故障率。
而采用ASG VPN设备之后,就不再需要VPN服务器了,而是在总部和分支酒店的APN设备之间建立一条虚拟专线(俗称:隧道),这样总部的局域网和分支酒店的局域网就连在一起了,组成了一个更大的局域网,而且他们之间的访问是可以通过安全策略进行控制的,管理起来很方便。
b、降低设备购买成本
ASG VPN设备主要以VPN链接组网为主要功能,基于Intel NP高性能处理器为硬件架构。同时本身集成其他网络功能和服务。1台ASG VPN = 1台专业高性能网络防火墙+SSL VPN网关 + IPSec VPN网关,每个节点只需要一台ASG VPN设备就能担任3台专业网络设备的工作量,设备整合效率提高75%,如果考虑设备成本,单独购买和分别购买相比,节约网络整体成本90%以上。
c、降低企业管理和网络维护成本
ASG VPN设备提高良好的人机管理界面和功能,让企业在日常IT管理维护中节省可观的内部管理和支持成本,而且网康科技提供24小时全年无休的服务与支持,有技术经验丰富的人员快速解决企业IT故障问题。
通过ASG VPN设备构建起来的VPN专网中能够很容易实施OA、ERP、CRM等软件应用并进行远程互联,这将极大提高企业的工作效率,给企业带来无尽的效益。
通过ASG VPN对分支酒店网络流量可以进行分流,可以将一条线路专门用来上网,另一条线路专门用来在总部和分公司之间传输数据,这样既安全又通畅。
由于是网对网的连接,所以不再需要那么多的帐号和密码,只要给出差人员等不定点的用户分配帐号就可以了,方便管理。
采用ASG VPNN设备,与经销商的网络互联也非常方便、安全,接入简单,也可以对其
进行严格的访问控制。
d、提高企业数据远程传输安全稳定性
ASG VPN设备采用的是最安全的IPSec+SSL协议,通过该协议传输的数据是经过严格加密的,几乎不可能破解,这样数据在网络上传输的时候即使被黑客查看到也是乱码,而且可以VPN可以保证数据的完整性,就算黑客查看到也不可能进行修改。 e、提高企业内网安全性
如果集团内部IT服务通过网络出口直接向Internet开放,将带来很大的安全隐患。由于数据采用明文方式传输,而且缺乏严格的身份认证措施,集团内部重要数据(如财务等)一旦被不怀好意之人侦听,危害不言而喻。采用ASG VPN解决方案后,可以杜绝IT应用发布环节上的安全隐患。而且ASG VPN只需对外开放一个443端口,隐藏内部的服务区结构,并可对远程访问设置更高的权限粒度,实现更高的安全性。
通过APN的防火墙对内网单机进行全面安全防护,减少内部漏洞,得以全面防范病毒及木马入侵,可以降低由此带来的资料损失,硬件破坏等,以中等规模机构而言,可以降低由此带来的损失达10-50万/年。
第三章 产品优势
我们相信,只有专业才能造就品质。网康科技的SSL VPN+IPsec系列产品远程访问系统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统,和商业VPN远程访问系统比较,我们的技术优势包括:
3.1安全性高
ASG VPN系统从加强对用户身份的鉴别和审计,对用户分组设置访问权限,以及访问行为进行管理和自动监控等方面同时入手,确保数据的保密性和安全性。
用户鉴别。除了使用用户名/口令方式进行用户认证,ASG VPN系统可以强制要求客户端使用数字证书来完成认证,同时数字证书与用户所使用的计算机绑定,用户的一个账号只能在某一台计算机上使用,实现用户的双因素认证,大大强化了认证强度和减少账号的出借外泄。
ASG VPN远程访问系统支持的用户鉴别机制包括:
本地用户名、密码认证 数字证书 LDAP认证 CALIS认证 RADIUS认证 硬件UKEY认证 Token认证
可以基于用户组在网关和客户端设置两级访问策略限制并强制执行,规范用户的访问内容,彻底避免用户客户机的二次代理问题。
用户行为控制。ASG VPN系统可以为用户组提供独立的用户访问行为管理,通过设置空闲时长,在线时长,速度上限,访问流量上限等安全策略配合使用,实现对用户访问动作的管理。如防止用户长时间登录到ASG VPN系统但不发生访问行为,浪费并发用户数量;速度和流量监控可以有效地防止用户突发性或持续性的恶意下载,同时系统可以自动审查用户行为,发现违规可以自动切断该用户的连接,等待管理员审核并处理后重新激活用户方可正常
使用。
3.2全面的SSL VPN解决方案
ASG VPN远程访问系统无论是远程接入还是节点互联,全部使用基于SSL协议的VPN技术,这样无论从使用和管理上都实现了最大的安全化,以及简单最大化。
3.3使用简单、方便
传统的远程访问设备,如果在政府与分支机构见进行部署,需要对防火墙设备进行网络映射等相应配置,造成了不必要的麻烦。网康科技ASG VPN远程访问系统采用专有的网络技术,可以灵活的部署于政府内部的任何位置,实现透明接入,不需要对政府的内部网络设备做任何的更改配置即可实现远程接入功能。
位于不同地理位置的各个分支机构,可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASG VPN远程访问系统充分考虑到了这点,无论是利用浏览器还是利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN远程访问系统能够通过以下网络接入方式来提供访问。
各种宽带连接
各种拨号连接,ADSL,PSTN,ISDN等等 各种无线连接,GPRS,CDMA等等 各种NAT环境,无需额外设置 通过代理服务器访问
3.4专用技术提高终端用户资源访问速度
ASG VPN远程访问系统通过两种方式来提高终端客户访问下载的速度。 第一种方式是通过采用ZLIB压缩格式来压缩传输的数据以提高传输速率。
第二种方式是通过采用TCP/UDP传输协议的最优化切换技术,该技术自动检测UDP通道的可用性以及性能状态,如果UDP通道可用并且性能良好,则优先使用UDP隧道进行数据的传送,否则自动切换TCP隧道进行数据的传送,在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。
3.5详尽的统计功能
ASG VPN远程访问系统根据政府部门的具体情况以及管理人员提出的要求,开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、用
户活动明细、电子资源访问流量,可以使管理员随时掌握用户访问情况和资源访问情况。 用户审核管理模块主要功能:
现场注册
用户信息比对和审核 用户信息开户和登记表打印 用户开通信息EMAIL通知 用户管理 排序 查询 挂起/激活 销户 有效期操作 操作员管理 用户信息同步
3.6访问统计图标
注册统计模块是网康科技针对于图书馆定制研发,行业中独有的,具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。 例如:
用户自定义注册
管理员通过后台手动审核注册用户 根据定义策略系统自动审核注册用户 详细的登录日志(如图)
强大的图表功能 (如图)
3.7分级管理功能
ASG VPN远程访问系统提供分级管理功能,通过运用分级管理,管理人员能够根据人员分配和管理的情况,分别分配不同的管理权限。ASG VPN远程访问系统分级管理功能如下:
添加系统管理员 用户申请
审核用户 管理用户 到期用户管理 客户端总流量 用户登陆统计 用户登陆明细 NAT流量统计 电子资源访问统计 在线用户 证书管理 系统日志
3.8堆叠式的负载均衡
ASG VPN远程访问系统的负载均衡功能采用独创的堆叠式负载均衡,该负载均衡不需要额外的负载均衡设备,能够实现即插即用,无限堆叠。无需额外的系统和网络配置。能够满足系统无缝扩展的需求。
3.9容灾
ASG VPN远程访问系统提供高可靠性功能,避免了设备单点失败故障的发生,能够为总部的电子资源提供可靠稳定的远程访问。当采用容灾设备时,在主网关没有发生故障时,设备采用负载均衡功能,当主网关发生故障时,备份网关自动切换成为主网关。既减轻了单台远程访问设备的负载量,也提供了容灾。
3.10高扩展性
ASG VPN远程访问系统具有极高的可扩展性,充分保证了用户的现有投资。用户可以针对未来的使用需求进行灵活的产品扩展: 增加并发用户,无需更换硬件设施 增加负载均衡功能,无需添加任何模块 增加高可用性功能,无需添加任何模块
综上所述,我们可以了解到ASG VPN系统不仅是一个VPN,而是一个专门为大型企业和政府部门以及其分支机构定制的以SSL VPN+IPsec为核心的访问控制系统,是一个有效的电子资源的访问和管理工具。通过我们与众多使用单位的技术人员和管理人员交流、讨论,以及实际中的测试和使用,设计上充分听取用户的意见,系统既满足了终端用户的电子资源访问需求,同时也着重考虑和实现了ASG VPN系统与政府机构和企业业务流程的衔接以及对远程访问读者的行为的管理,以实现安全、可控的远程访问
3.11 线路冗余
ASG VPN系列硬件网关支持多路冗余、双机热备等功能彻底解决了因公网线路中断或设备故障引发的稳定性问题。ASG VPN 同时支持多条上网线路,多条上网线路全部正常时可以将各条线路叠加起来做为更大的网络出口。当其中某一条线路出现中段时,网关所承载的服务会自动切换到其它线路上,实现VPN服务不断,做到多线路的备份。
第四章 产品报价
4.1 产品报价
本方案讨论了组建VPN网络所需要的各种设备和部署地点,下面根据设备型号进行整个方案的报价,设备工作所需要的线路资源需要客户自己提供,不包含在本方案内。
购 买 设 备 类别 型号 市场价 优惠价 数量 上门服务费 远程服务费 合计 VPN 小计: 4.2 设备选型及介绍
根据XX酒店集团各节点的规模,结合网康科技的产品线结构,推荐选型如下: 序 号 1 2 3
设 备 型 号 产品描述 部 署 地 点 总部 分支酒店 数 量 1 18
因篇幅问题不能全部显示,请点此查看更多更全内容