山西运城财政局虚拟专用网络结构

山西运城财政局虚拟专用网络可以实现不同网络的组件和资源之间的相互连接虚拟专用网络能够利用Inte门）et或其它公共互联网络的基础设施为用户创立隧道，并提供与专用网络一样的平安和功能保障虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Inteoet等公共互联网络的路由基础设施以平安的方式与位于企业局域网端的企业效劳器建立连接虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业效劳器之间建立点对点连接，进行数据的传输虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行平安的通讯这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络网络平安现状运城财政局各个分支机构分部比较广泛，并且财政局之前并没有建设专用网络，财政局办公相比照较独立随着信息化的开展，财政局一些重要的财务、社会保障系统软件在单机的情况下无法满足需要考虑到财政系统必须实现专网，才能使用主流的网络版财务软件，实现专网连接是首先要到达的目的实现专网有多种方式，最好的方式是独立架设单独的线路实现，但是考虑到财政局目前资金投入状况，自己架设线路的本钱很高，而且各个财政所分部在偏远的乡村更增加架设专网的难度目前各个乡镇财政所总数为15个，每个乡所拥有的计算机数目和网络规模比较小，平均每个乡镇财政局，用于业务的电脑最多3台而且财务软件属于C/S模式，每月申报次数不多网络通讯所用带宽较少鉴于以上对运城财政局网络现状的分析，结合运城财政局日益开展的业务需求，我们认为运城财政局的对网络系统有如下两个个需求1）组建自己的专有宽带网络（以下简称专网）利用现有的多种宽带接入方式组建专网，不光满足了业务数据传输对实时性、稳定性的要求，更重要的是，对公司整体网络系统实现了统一有效的管理，从而对业务数据的传输平安提供的很好的保障需求如下•因为利用了公共网络，所以其最大的弱点在于缺乏足够的平安性企业网络接入到暴露出两个主要危险:VPN internet,o来自的未经授权的对企业内部网的存取interneto当企业通过进行通讯时，信息可能受到窃听和非法修改INTERNET•完整的集成化的企业范围的平安解决方案，提供在上平安的双向通讯，以及透明的加密方案以保证数据的VPN INTERNET完整性和保密性•企业网络的全面平安要求保证o保密-通讯过程不被窃听通讯主体真实性确认-网络上的计算机不被假冒2）建立有效的访问控制机制只有对内部用户和外部用户的访问权限加以有效的控制才能保障公司网络长期有效地运行，为公司业务的开展创造良好的环境防火墙+VPN一体化解决方案在VPN领域我们普遍应用的主要有，基于路由器的VPN；ISP提供的VPN；基于防火墙的VPN和专用的VPN设备几种，解决方案性能费用管理评估路由器VPN路由器在除了负担路由器的价格较操作性不佳并且高，费用较高并且实其本身功能外还将特别是在增加在移动用户上使了加施要求较大的网负担VPN系统这将密功能后费用不变用可观络改动要求其性能高，特别是在增强加密算法时性能将有较大影响如ISP的用户ISP提供的VPN较少使VPN应用可ISP将根据用户的无法快捷的管理使用ISP的VPN能会比较顺畅但是带宽来收取费用，和维护，只能受控要考虑各地分公ISP有大量用户时，国内提供此种效于ISP劳司当地ISP是否其平安性和性能都的ISP较少提供此种效劳并有待考证且是否可以相互连通基于防火墙的VPN性能主要由带宽不定，以厂商而定各主要厂商都提大多情况此种方我们评估一下那种方案在性能，管理和费用适合的解决方法和其设备性能决供集中管理设备案应用广泛性能和定，普遍的在用户可集中管理管理价格得到用户的肯中使用便利定专用VPN设备由于专有设备，性投入较大，功能单单个产品单独管初次投入较高，需能高一理，在网络中与现要使用人员有较有网络设备重叠高的平安素养放置；通过以上的表格我们看到，真正在实际应用的主要是防火墙+VPN此种方式本方案采用瑞星中小企业级防火墙设备，为省财政局和各个乡镇财政所建立网络访问控制和完善的vpn方案

2.

2.防火墙+VPN产品推荐我们采用瑞星NP全功能防火墙RFW-SME和企业级防火墙RFW—100+运城财政局实现VPN的连接和访问控制，瑞星NP防火墙具有如下功能瑞星全功能NP防火墙采用了新型的网络芯片设计技术，这个区别于一般的PC休系架构表现在网络数据处理速度上能够到达线速，性能优越该防火墙支持500个VPN通道和12800个并发连接，同时提供了80兆/秒的三重数据加密3DES能力利线速（wire-speed）防火墙的处理能力瑞星全功能NP防火墙整合了多种平安防护功能，是建构中小型企业网络的最正确选择RFW-SME拥有通用防火墙功能、网络地址转换（NAT）、主动式入侵检测（IDS）、虚拟专网（VPN）、带宽管理、内容过滤、以及策略管理等功能通过架设瑞星全功能NP防火墙，可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网的资源建构网络平安机制及虚拟专网效劳，还提供了不同等级的网络带宽管理，让一些特殊的应用效劳可以确保使用带宽另外，还提供有因特网地址名称过滤、内容过滤、主动式入侵检测以及直接利用浏览器即可管理的简易操作等功能因为有这个内建支持浏览器的管理接口，你可以在你现有的操作系统下利用你熟悉的浏览器操作来管理这个防火墙RFW-SME提供一个10/100Mbps的外网（WAN）接口，一个10/100Mbps的DMZ接口，以及三个10/100Mbps的内网接口外网接口的IP地址支持以下三种模式PPPoE,DIICP,或静态IP根据用户的网络效劳提供商所提供的效劳方式，任选其中一种设定防火墙的对外IP地址参数RFW-SME还提供有内建的DHCP（动态主机配置效劳协议）效劳功能，它可让内网接口上的主机由DHCP效劳提供相对应的地址及其他信息，使得用户轻松管理所有的上网主机根据运城财政局的网络结构特点，结合瑞星SME防火墙的工作模式，制定如下儿局部内容网络地址的重新规划、防火墙的配置、LAN到LAN的VPN的实现

1.网络地址的规划:考虑到实现lan到lan的vpn访问和日常的管理，有必要将目前县级网络的地址重新规划根据网络规模和日后编号地理位置主机数目网络地址财政所1130财政所2230330430567扩展能力，规划后的地址如下:

2.防火墙的配置:防火墙配置的前提条件用户接入互联网，接入方式可以是固定、客户端、也可以通过获得，用户采用的带宽为以上，建议米IP DHCPPPPOE512k用IMo防火墙的物理位置部署在各个分公司内网和互联网的唯一出口处防火墙的策略设置建立模式，隐藏企业内部网络结构nat制定不同的网络对象，可以根据部门业务特点进行划分；根据不同的网络对象制定不同的访问控制策略，如业务网内用户不允许访问互联网资源允许业务网用户通过防火墙连接地址网络VPN在运城县的互联网出口处，配置瑞星RFW-100+防火墙，与各个分财政所RFW—SME防火墙进行VPN连接，省RFW—100+防火墙VPN设置主模式，财政所RFW-SME防火墙设置主动模式VPN建立过程如下.自动密钥IKE〃通道协商的第1阶段由如何认证和保护通道的提议交换组成交换可以在两种模式的其中一种模式下进行Aggressive mode（主动模式）或Main mode（主模式）使用任一种模式时，参与者将交换可接受的平安效劳提议，例如加密算法（DES和3DES）和认证算法（MD5和SHA-1）.当参与者建立了一个已认证的平安通道后，他们将继续执行“第2阶段〃在此阶段中，他们将协商SA以保护要通过IPSec通道传输的数据与“第1阶段〃的过程相似，参与者交换提议以确定要在SA中应用的平安参数“第2阶段〃提议还包括一个平安协议一“封装平安性负荷〃（ESP）或“认证包头〃（AH）-和所选的加密和认证算法如果需要“完全正向保密〃（PFS）,提议中还可以指定一个Diffie-Hellman组.两段分别进行连接，如果两端都可以访问到对方防火墙后面的地址，证明加密成功移动客户端进行VPN的连接条件分公司单位采用固定的接入方式IP移动客户端要求以上操作系统WIND0WS2000移动客户端拨号的实现采用协议进行的连接，设置地址池；pptp VPNDHCP在防火墙中建立拨号用户，设置认证用户的帐户密码；NP设置加密算法；PPTP根据拨号向导，设置客户端拨号软件;windows。