返回首页
当前位置: 主页 > 解决方案 >

StoneSoft VPN (虚拟专用网)安全解决方案

时间:0100-01-01 00:00:00 作者:软件中国 点击:516次
StoneSoft VPN (虚拟专用网)安全解决方案 应用领域 随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一
     StoneSoft VPN (虚拟专用网)安全解决方案

应用领域

随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN(虚拟专用网)以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。但是,并非所有的VPN(虚拟专用网)的建立都是一样的,数据保护协议以及加密技术日新月异,而Internet的可靠性却越来越阻碍着VPN 的普遍使用。Stonesoft 将高可用性防火墙和VPN 结合在一起,用独特的方案解决了这个难题。它使得 Internet的连接可用性和完整性更加安全。
StoneSoft 一直致力于开发新的安全工具和不间断服务,以便为客户提供创新性的安全解决方案,来满足他们的以下需求:
1 客户必须要确保其 VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问;
2 保证VPN 连接的高可用性,在Internet 访问失败时数据流不会发生中断,也不会丢失防火墙和外部网络之间的连接;
3 保证客户有效地利用有限的广域网资源,为重要数据提供可靠的带宽;
4 通过集中管理来改进安全策略,简化安装、配置、报表,降低系统管理总成本;
5 保证移动 VPN 用户接入公司VPN 网络时的安全性
 

StoneSoft VPN 应用方案

以下是StoneSoft为满足客户的VPN(虚拟专用网)需求,而结合了自身的高可用性、负载均衡、集成的中央管理等特性所提出的解决方案,重点介绍在应用了StoneSoft的VPN 安全

解决方案后客户所能获得的收益。

1、多链路(Multi Link)VPN
随着网络规模的不断扩大和网络应用的日益丰富,对客户来说,不仅仅需要加强管理网络资源和关注网络安全,而保证网络的连通性,解决单点故障所造成的VPN 网络问题日益成为需要重点关注的方面。
采用单链路接入的 VPN 应用,当ISP链路或者某一端的VPN设备发生故障,则会造成此VPN数据链路的中断,将无法再进行远程的VPN通讯。而采用一般的多链路接入的网络结构,虽然可以通过增加多条ISP线路来保证当其中的一条VPN链路发生故障时,其他的VPN链路可以被激活,切换,但VPN备份链路的闲置以及切换产生的延时,使得这样的VPN链路无法为客户提供高可用性和负载均衡的功能。
StoneGate拥有专利的多链路(Multi-Link)技术,为介于跨多个网络提供商之间的Internet访问和VPN提供了高可用性和负载均衡。


(a)高可用性
如果企业建立的VPN链路不具有良好的高可用性,哪怕只是几分钟的中断,也会造成企业不能顺利的完成工作,并且还会影响到企业网络的功能和安全性。而采用StoneGate多链路

技术所建立的VPN链接将为客户提供可靠的高可用性保障,当和StoneGate集群防火墙配套使用时,多链路VPN提供了容错、VPN 隧道和客户端连接之间的透明切换功能。甚至在没有集群防火墙时,多链路会将连接切到性能最好的ISP上面。

(b) VPN 负载均衡
StoneGate 的多链路技术将负载均衡应用于流进和流出的流量,选择最快的流出连接,使您的连接多样化,并且引入了故障切换选项,当VPN链路发生故障时,可以迅速切换,以获得更好的安全架构性能、容错以及成本管理等特性。通过最佳性能获得可持续的Internet连接,降低服务等待时间,和使用单个提供商相比,增加了企业网络的带宽。


利用StoneGate的多链路技术可以为客户提供简单容易的多ISP接入,提供VPN的隧道容错功能,提供VPN链路的负载均衡以及安全保障,保证整个链路的高可用性。使客户尽享多链路技术所带来的好处,保障 VPN 通讯安全均衡,永不间断。
利用 StoneGate 的多链路 VPN 技术可以为客户带来以下好处:

1 StoneGate 可以保证客户网络永远没有无法接入或连接失败的问题;
2 StoneGate 自动保持着到 Internet 之间的最快连接,降低 Internet 连接潜在的故障;
3 业界领先的Multi-Link VPN 技术可保证具有多个分支机构的客户能够建立多条VPN通道并且同时使用,从而对VPN通道也是一个完全的扩展;
4 实现多链路的负载均衡和透明的VPN隧道切换,客户无需增加第三方软件和硬件。

(c)QOS 保障 VPN 通讯流畅
为VPN通道提供端到端的QoS,保证VPN流量有一定的带宽,可以基于IP+User+Port 设定VPN流量在总流量中占有的百分比,保证最小占有带宽数,最大占有的带宽数等, 保证VPN 数据流的畅通。StoneGate 具有完善的带宽控制能力,可以根据端口、IP 地址、业务类型等各种方式,以 K 为单位进行精确的速率限制。可以根据不同的用户或网络应用进 行完善的网络资源调配和管理,提高网络效率,并保障重点应用例如 VPN 的高质量。


正如上述所言,我们方案中所选用的产品都支持 802.1p 和 DSCP。在数据包进入网络时,可以根据不同情况进行优先级划分和标记。可以根据应用设定802.1p优先级标记,在输出端口保证关键数据的优先通过。
同时,可以根据不同的应用(语音、视频等),进行DSCP的识别和标记,以便在数据包 通过 StoneGate 设备到达广域网(带宽较少时)进行 QoS 控制。还可以根据 StoneSoft设备支持 端口限速、线速访问控制、策略路由等特点,依据实际需求进行完善的接入点 QoS 保障。 也可以对应用数据流进行标记,让下一个 QoS  设备来匹配并且生效策略。例如:当数据包进入 StoneGate 设备时,由流入方向根据不同应用在以太网帧头(802.1q 包头)标记不同级别的 802.1p 标记位,同时根据不同应用在 IP 包头标记不同 DSCP 标记位。数

据帧在接入 StoneGate 输出端口输出时,根据 802.1p 标记进行优先级设定,不同优先级数据进入不同的 队列,保证网络关键应用的 QoS。当数据帧到达下一个 StoneGate 设备时(或支持标准 802.1p 标记设备),它在入口端读取以太网数据帧头的 802.1p 标记信息,然后根据 802.1p 信息,对IP 数据包进行 DSCP 的相应优先级标记,然后送到相应的输出端口,根据 DSC 标记进行 分类,保证高优先级数据先输出。

2、Mobile VPN 接入
企业需要他们的安全解决方案具有一定的灵活性,譬如员工可以在任何地方接入公司网络,包括家,机场以及酒店房间、大堂等场所,这里仅仅列举了一些地点为例。一方面企业 需要这种类型的连接,但是另一方面他们的移动用户却被置于公司的安全防护范围以外,这 使得移动用户很容易受到来自多种威胁的攻击,从而威胁到企业网络的安全。


StoneGate VPN 支持 site to site (两个 LAN 之间)和  client to site(远程用户与 LAN 之间)两种方式。StoneGate VPN  体系遵循 IPSEC 安全构架,这样他能够同其他的任何的 VPN 网 关协同操作,包括其他的网络安全设备或者 VPN 设备等。
StoneGate 可以使得管理员通过 VPN 引导所有的移动用户流量流经企业网关,从而使得企业的安全策略得到加强。移动用户仿佛置身于企业网内部一样,利用企业防火墙,防病毒软件以及入侵解决方案,从而免受攻击的威胁。移动用户能够象他们的办公室同事一样在企 业外面工作,StoneGate 为移动 VPN 用户提供了VPN HUB 功能,允许移动用户可以无缝连 接到所有的公司资源,无论这些资源是处于主地点还是处于其它 VPN 网关的后面。如果同时将 StoneGate 拥有的多链路专利结合起来,移动用户还可以享有不间断的连接,这组要基于 VPN 连接的透明切换技术。
这项功能由多种特性组成,包括VPN客户端的虚拟IP 地址,DHCP 中继支持以及为移动 VPN 用户设立的VPN HUB 拓扑等。

(a)VPN Client Failover
对于多个 ISP 情况下的VPN连接,StoneGate 拥有领先业界的 Multi-Link VPN 技术,即 通过在每一个 ISP 上建立一个 VPN 连接,然后将这些 VPN 联合形成一个具有故障冗余和负 载均衡功能的 VPN 隧道。多条 VPN Tunnel 都处于 Active 状态,同时处理 VPN 流量并且互 为冗余。对于有移动用户的需求,可以使用 StoneSoft VPN 客户端拨入网络内部,VPN 客户 端还提供一个报文过滤器,可阻止不需要的报文和连接;而且在多链路的情况下,当发现一个连接失效,VPN 客户标记为离线,然后可自动连接到然后可自动连接到下一个可用的 IP地址。

(b)  个人版防火墙
StoneGate 的 VPN Client 客户端除了可以进行 VPN 远 程的拨号连接外,本身还可以作为一个安装在客户 PC 机 或笔记本电脑上的个人版防火墙。在 VPN Client 客户端上内置了一个活动流量过滤器,通过它可以在客户访问Internet 时检测有害程序的应用安全特性,诸如间谍软件和特洛伊木马等,并组织他们在未经您允许的情况下就发送或接受信息。

他也可以检测一些授权程序的变化,检测其异常行为和影响。
StoneGate 的 VPN Client 产品可以为客户带来以下好处:
1 StoneGate 多链路 VPN 提供免费的 VPN Client,为移动用户提供了一个进入企业网的简单和中央管理的安全入口;
2 VPN Client 内置了活动流量过滤器,保护移动机器免受移动网络中未授权流量侵袭;
3 无论您在何地,都可以利用VPN Client 安全的开展业务,VPN Client 具备基本的个人防火墙功能,可以检测有害程序的应用安全特性,阻止它们未经您允许就发送接受信息。
3、中央管理
随着互联网蠕虫的出现和复杂的攻击手段不断增多,如今的网络安全情况远比过去复杂 的多。这样的网络环境以及为远程用户和商业合作伙伴提供远程访问的需要,都要求一个更 全面彻底的安全实施。多层次的保护将从网络边界上的防火墙开始并深入到网络内部,保护 敏感的部门、服务器、应用程序,甚至用户的个人电脑和笔记本。但是,这样的多层次安全 防护又导致了管理上的复杂。企业经常会被迫对各种安全产品使用不同的管理工具,或者牺 牲可管理性能,而片面追求最初设计时并非着眼于统一管理的所谓“统一管理系统”,其结 果就是低效,以及很高的培训成本,此外因为过分倚赖于管理员的有效管理整个系统环境的 能力,实际上降低了系统的整体安全能力。 相对的是,StoneGate 产品自设计开始就一直关 注并受益于统一管理系统的好处。

The StoneGate 管理中心形成了 StoneGate 平台的心脏,它给 StoneGate Firewall, VPN  以及IPS 解决方案提供统一管理。StoneGate 统一的安全管理对定义安全策略的结构化设计增 强了系统安全能力,使用拖放操作节约了很多时间,减少了系统管理员的工作。网络布局编 辑器显示了网络图中的 StoneGate 网元状态,有助于网络管理员发现和定位问题区域。可定 制的即时统计报表可以给出系统性能的实时反馈。报表可以帮助管理员发现短期趋势并做出 实时反应。中央储存器以及数据库存入了所有的配置信息,并在各种安全引擎和统一工具之间进行共享。 使网络管理员无需离开工作站,就可 以采取简单措施,远程中央升级全部系统。


(a) 日志与监控、报警系统
分析日志与监控网络 状态是网络管理员的一项 重要工作,通过防火墙的监控系统,网络管理员可以分析网络流量习性、吞吐量、防火墙负载以及防火墙的健康状况。
StoneGate  日志监控系统是一个非常强大的系统,并且有着非常有好的界面。在  StoneGateGUI 的主面板上,网络管理员可以适时的监视防火墙的每一个节点的状态、负载状况、历史 负载曲线图以及当前活动的连接。如果网络环境当中出现故障,日志系统将会产生故障报警,同样它也将记下来自黑客的攻击记录,以便于日后进行分析。StoneGate  应用专门的数据库来存储、调用日志信息,这样它的访问速度将比一般基于文件的日志系统更快。StoneGate  的日志系统包含所有专门的 日志特点,例如日志存档、日志调用、日志删除以及自定义日志安排。StoneGate 亦可透过内置的警报系统 ,  把警报透过电邮 (SMTP),  短信 (SMS),  SNMP,SYSLOG发送到指定的管理员,  使之可以第一时间知道防火墙状态.。
 (b) 报表工具
StoneGate 提供了一个报告工具,它能够概括和可视化系统事件数据以便发现网络使用 中的趋势和异常。它有大量的定制化和过滤特性,因此使它成为研究和记录特定的事件和模式的强力帮助。拥有它,你仅仅需要点击几次鼠标就从日志数据中生成图表,并且生成自动化、分布式和多种格式的报表。

StoneGate  的集中式管理可以为客户 带来以下好处:
1 为客户提供安全的网络架构以及端对端可靠性的统一配置,降低了复杂度,增加了系统安全以及服务可靠性。使客户节省日常事务的处理事件和成本,特别在涉及管理多个现场环境时尤其如此;
2 为客户提供统一的工具监控、生成报表以及事件处理。使用统一的工具增强了 客户网络的系统安全;
3 支持中央配置、中央备份以及远程升级,对于远程现场,客户无需任何安全和 网络专家,数分钟或者数小时就可以升级或者恢复系统,而不是需要花数天或者数周的时间才能完成。
 

总结
采用 StoneGate的多链技术,可以克服因特网服务不可靠性以及反应时间慢等难题,并 为客户提供多链路VPN的接入,以及VPN链路的负载均衡以及安全保障,保证整个链路的高 可用性。当和StoneGate集群防火墙配套使用时,多链路VPN提供了容错、VPN隧道和客户 端连接之间的透明切换功能。甚至在没有集群防火墙时,多链路会将连接切到性能最好的ISP 上面。您的数据流决不会因为Internet访问失败而发生中断,也不会丢失介于您的防火墙 和外部网络之间的连接。
客户可以从StoneGate的多链路VPN技术中享受其先进技术所带来的收益。多链路VPN功能的管理是通过StoneGate Management Center完成,  通过它,客户简化了安装、配置以及 报表等改进的安全策略管理,在降低系统管理总成本的同时,将潜在的错误降到最小。
StoneGate还免费的向客户提供VPN客户端-VPN Client, VPN Client作为StoneGate安 全解决方案的一个组成部分,包括了内置流量过滤器以保护移动用户。它的更新无需终端用 户介入即可完成。VPN Client可以完善的保护移动用户,且没有任何附加成本。

------分隔线----------------------------
推荐内容
  • Citrix 无间断商业运作解决方案

    Citrix 无间断商业运作解决方案 如今,我们比以前任何时候更加需要 Citrix 无间断商业运作解决方案,这是一个用于在业务被有意的或意外的中断之后,如何继续业务运作的解决方案的关键

  • 远程办公室接入解决方案

    远程办公室接入解决方案 分散在各地的办公室需要迅速、可靠、安全地访问关键性业务应用和信息---无论何时或何地。Citrix远程办公室接驳解决方案是一个已被无数事实证明了的解决方

  • 应用部署解决方案

    应用部署解决方案 要想在当今飞速发展的全球经济环境下取得成功,需要快速、灵活地部署新的应用,以改善商业进程并为你的员工提供他们所需的工具。 Citrix应用部署解决方案(C

  • 桌面虚拟化解决方案

    桌面虚拟化解决方案 从数据中心交付Windows桌面 采用Citrix XenDesktop可直接从您的数据中心,以更安全、更可靠、成本更低的方式交付虚拟Windows桌面,有效降低数据丢失的商业风险,并减

  • Citrix员工移动办公解决方案

    Citrix员工移动办公解决方案 现在,你的员工可以在任何需要的时候、在任何地方,轻松访问获取公司的资讯和应用程式。因为工作不再仅是意味着一个办公地点,而是代表着员工在做什么。

  • Citrix XenApp-应用交付的最佳选择

    Citrix XenApp-应用交付的最佳选择 从数据中心交付Windows应用 Citrix XenApp(更名前称为Citrix Presentation Server)是业界公认的以最低的成本,采用任何设备,通过任何网络连接方式,向所有用

Copyright 软件中国 -打造中国最专业的正版软件供应平台 2022-2023

昆仑永通(北京)信息技术有限公司版权所有 未经授权禁止复制或建立镜像

京ICP备10037049号-2