一、方案概述
VPN 即虚拟专用网络,它是利用公用网如 Internet 来搭建企业的私人专用网络。当需要时,VPN 从公用网中独占一部分带宽,作为私有网来使用,并且采用加密的方式传输网络数据;当 VPN 通讯结束后,这部分带宽又还给公用网。“虚拟”的概念是相对传统专用网络搭建方式而言的,VPN 不需要建设远程连接,而是通过服务提供商提供的公用网来实现广域连接。
目前适用于商业企业的主流的 VPN 技术包括 IPSec VPN 技术和 SSL VPN 技术,IPSec VPN 和 SSL VPN 各有优缺点:
IPSec VPN 提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;因此,IPSec VPN 多用于“网――网”连接。大型企业的分支机构之间,多采用专用线路进行互联。但是,专线费用的高居不下,每月固定的大额支出,都使普通企业无法承受。在我国,幅员辽阔,众多企业的分支遍布全国。硬件IPSec VPN防火墙,可利用现有企业的普通INTERNET线路(如ADSL等),使多个分支机构可如专线般互联互通。时至今日,NETGEAR公司为商业企业设计的VPN防火墙已经部署在全国各地的连锁分支企业。同时,IPSec VPN防火墙也可同时接受安装了IPSec VPN的PC客户端远程访问公司内部网络,具有一定的灵活性。可惜IPSec VPN的PC客户端软件的安装,很大地限制了客户端的灵活连接。因此,SSL VPN为解决灵活的移动用户接入而生。
SSL VPN 主要针对移动用户灵活访问内部网络的需求而生。SSL VPN具有“零客户端”的特色架构,用户的PC无需安装类似IPSec VPN之类的软件来访问公司内部网络,特别适合于远程用户连接。因此,SSL VPN 广泛用于“移动客户――网”连接,用户可通过 Web 浏览器访问企业局域网中的 应用,只需要输入相应的用户名密码即可,是一种便捷的VPN连接方式。当然,具有灵活性的同时,SSL VPN 也存在一定安全风险。
二、NETGEAR VPN防火墙方案
2.1 NETGEAR 典型VPN网络拓扑示意图
以下是采用NETGEAR的VPN产品构建的典型网络拓扑图:
2.2 NETGEAR VPN方案详细介绍
如上图所示,公司总部和各个分支机构的通讯的属于典型的“局域网――局域网”的架构。多个局域网之间将有多个用户及服务器需要进行数据通信。在这种情况下, IPSec VPN 技术成为了首选。在总部及分支机构中,各部署一台具有IPSec VPN功能的设备,将可建立起一个跨越所有分公司的大型局域网。
同时,考虑到移动用户的接入,总部,或者大型分支机构的VPN防火墙均需要有SSL VPN的功能需求。不同的分公司员工可通过SSL VPN访问各自分公司的局域网内部。
为部署一套健康稳定的VPN方案,NETGEAR建议用户需要优先考虑几个关键因素:
l INTERNET带宽资源:总部与大型分支机构的VPN通道需要承担着各个分支机构连接进来的网络流量,需要有负载所有分支或者50%分支网络带宽的准 备。因此,总部与大型分支的INTERNET网络带宽,需要通过考察分支的访问流量,按照分支可用流量的总和来规划总部与大型分支的VPN带宽,避免带宽 问题成为VPN连接的瓶颈。另一方面,各个VPN分支之间的INTERNET建议尽量采用同个ISP的线路,避免ISP之间的网络延时与阻塞而影响整个 VPN网络的质量。
l INTERNET / VPN的访问用户数:VPN防火墙在负责VPN通道加密运算的同时,也承担着内网所有用户的INTERNET访问。因此,内网用户规模也是选择VPN防火 墙设备的一个重要参数。多少用户访问VPN、多少用户访问INTERNET,这个参数对于总部与所有分支均需要进行评估,是确定VPN防火墙型号的一个重 要参考数据。
l INTERNET端口数量:普通用户在使用VPN网络时,只需要使用到1个INTERNET端口来连接ISP。但是在考虑到INTERNET链路的冗余与 带宽扩展时,相当一部分用户将考虑2个以上的INTERNET端口。根据实际的需求来选择不同端口类型的VPN防火墙也是方案设计时的依据。
l VPN类型与数量:IPSEC VPN通道数量,直接决定了一台VPN设备能够与多少个分支机构进行连接,而SSL VPN数量则决定一台VPN设备能够接受多少个移动用户通过WEB来进行VPN访问。因此此两个参数将决定一个方案的最大VPN容量,是VPN防火墙参数的重中之重。
NETGEAR公司针对各种不同的用户规模需求,设计了由高端-中端-低端的各个层次的VPN防火墙。目前主流的型号由高端的SRX5308、中端的FVS336G及低端的FVS318G,用户可以根据实际情况,优化选择不同档次的 VPN 设备。有效的提高 VPN 网络的性能价格比。
VPN防火墙的选择,主要根据局域网中的用户数量、需要连接的VPN数量及VPN功能。在如图的案例中, SRX5308高端VPN防火墙毫无疑问成为总部的首选。SRX5308 VPN防火墙可承担总部局域网中数以百计的用户上网负载。SRX5308的IPSec VPN功能,将可接受由分公司连接过来的数十个VPN通道连接(最大连接125个分公司)。同时,SRX5308的SSL VPN功能,将可同时接受最多50个移动用户的基于Web的VPN访问。
针对较为大型的分公司,FVS336G的部署,将满足局域网中近百用户的上网访问需求。两个千兆 WAN 端口采用负载均衡或链路备份,以确保最大的吞吐量和可靠地连接到互联网上。而FVS336G的25个IPSec VPN通道的支持,承担分公司与总公司之间的VPN通道连接将绰绰有余。FVS336G也支持10个的SSL VPN连接,方便分公司的员工在出差及移动办公时方便快捷地通过Web连接到公司内部网络。
最后,在小型分公司或分支机构中,员工的数量少,流量小,此时企业需要一台小型的VPN防火墙来实现VPN连接的需求。FVS318G是目前业界少有的高速小型VPN防火墙,具备8个千兆的高速以太网局域网接口,已可作为小型公司的局域网交换机使用。其5个IPSec VPN通道的支持,完全可安全连接至分公司及总公司的内部局域网络。是小型分支实施VPN的不二选择。
2.3 NETGEAR 方案优势说明
由于 SSL VPN 的这些独特优势,SSL VPN 越来越被一些客户所接受。用户对VPN防火墙的需求,从早年的单纯IPSec VPN防火墙,已经上升至IPSec VPN与SSL VPN统一的统一VPN防火墙设备。作为业界领先的 VPN 设备制造商美国 NETGEAR 公司,在提供 IPSec VPN 接入技术的同时也提供了新型的 SSL VPN 接入设备―― SRX5308、FVS336G 及UTM系列等设备,为用户提供更加多样的选择和全方位的 VPN 互联解决方案,使用户能够从NETGEAR公司赢得:
1. 高速的多分支局域网VPN互联:NETGEAR公司引领IT技术潮流,即使是在低端的FVS318G、中端的FVS336G等VPN防火墙上,均提供全千兆的局域网及广域网接口,为企业提供高速的网络接入及VPN互联;
2. 零客户端的SSL VPN接入:随着移动互联技术的飞速发展,移动办公已经成为了工作中不可或缺的重要环节。而SSL VPN可为移动办公提供更好更快更易的接入。NETGEAR公司的大部分VPN防火墙及UTM系列的安全产品,均已内置了SSL VPN功能,无须另外付费,为客户的各项不同需求考虑周全。
3. SMART IT易配置:NETGEAR公司的设备秉承智能IT的理念,为所有VPN防火墙设计了一套简单易用的WEB管理界面,各种技术层次的IT管理人员均可轻松管理维护NETGEAR的VPN防火墙设备。
三、NETGEAR关键产品列表