IPSec VPN在多分支企業中的應用
隨著社會經濟的發展,保險、餐飲、加油站等行業呈現快速增長的趨勢,連鎖分支機構數目隨之不斷增加。鑒于連鎖企業地理位置分散、網點眾多,為了便捷地掌握各網點的實時狀況,提高管理質量和效益,同時應對加入WTO和經濟全球化所帶來的挑戰,連鎖企業迫切需要建立自己的電子信息化系統,利用先進的IT技術提升經營管理的科技含量和服務水平,從而進一步提高工作效率,降低成本,增強抵御市場風險的能力。本文從連鎖企業業務發展考慮,介紹如何構建一個高安全、高可靠、全業務的信息化網絡。
IPSecVPN實現分支機構與總部互聯大型連鎖企業一般都有成千上萬個分支機構,如何將龐大的分支機構互聯起來?專線由于投資成本大、實施困難而很明顯是不現實的。VPN則成為多數企業普遍采納的解決方案。VPN(VirtualPrivateNetwork)技術是在公網上構建私有網絡的新興技術。為了防止在廣域網上傳輸日常業務數據時被惡意用戶竊聽、篡改和攻擊,采用VPN可以解決這些方面的憂慮。但是VPN網絡建設起來后覆蓋面廣、分支機構規模大,基于保障VPN業務穩定、減少日常維護工作量以及降低排障難度等前提,建議全網部署Site-to-Site方式的IPSecVPN,如圖1(以H3CSecPath系列防火墻為例)。
為了部署一個簡潔、穩定、可靠、易管理的VPN網絡,總部采用兩臺SecPathF1000-E防火墻并通過VRRP協議做冗余備份,布署在Internet出口,作為各分支機構設備SecPathF100-C聯網的中心節點。為了配置簡單并易于管理,SecPathF1000-E防火墻IKE協商采用Aggressive方式(即野蠻方式),同時IPSec策略采用模板方式。實際應用中,分支機構大都采用ADSL撥號或者LAN方式接入Internet。為了兼容這兩類接入采用Aggressive方式,以便在進行IKE自動協商密鑰時可以通過Name進行識別。因為ADSL撥號時IP地址是動態分配的,中心端設備無法固定分支機構設備的IP地址,而采用野蠻模式并通過名字進行識別可以解決這個問題。
安全策略部署保證業務和設備安全為了對業務進行精細化管理,可以通過在總部SecPathF1000-E防火墻上配置域間規則實現訪問控制;同時開啟DDOS防御保護出口防火墻和總部服務器免遭拒絕服務攻擊。對于分支機構來說,可以在SecPathF100-C防火墻上開啟攻擊防范策略和訪問控制策略。如果想實現防病毒、防垃圾郵件、行為審計和帶寬管理,分支機構可以采用UTM產品(如H3CSecPathUTM系列)。
BIMS實現實時監控、配置和版本管理大多數分支機構由于規模較小,而選擇通過比較經濟的ADSL方式接入中心端,如PPPoE撥號。由于分支機構的設備數量越來越龐大,且地理位置分散,很多設備通過DHCP獲取IP地址或位于NAT網關后面。對于傳統的SNMP網管來講,這些邊緣接入設備是其管理的一個盲區。傳統SNMP網管主要通過SNMP、Telnet等協議來實現對網絡設備的管理,這要求網管知道被管設備的IP地址,并且可以主動向設備發起請求并建立網絡連接。如果設備的IP地址不固定,就增加了主動管理的難度;如果被管設備位于NAT網關后面,網管根本無法主動與設備建立網絡連接,也就無法對這些設備進行管理。BIMS(BranchIntelligentManagementSystem)分支節點智能管理系統是H3C針對上述問題推出的解決方案,可以實現對動態獲取IP地址的設備或位于NAT網關后面的設備的集中、有效的監控和管理,尤其對于業務應用基本相同、數量龐大并且分布廣泛的網絡終端設備,BIMS會極大提高管理效率、節約管理成本。
通過BIMS對上萬個分支機構的SecPathF100-C進行統一的OS、補丁、配置、策略等集中管理和下發,大大減少了管理員的復雜工作。其主要功能如下:
實現對動態分配IP地址和位于NAT網關后面的設備的集中、有效的監控和管理;
實現設備配置文件和設備軟件等的自動更新,大大降低批量設備升級時管理員的工作量,提高工作效率;l保存設備的歷史配置文件,對設備故障的定位和恢復提供有力保障;
監控設備配置的變化,并可以自動恢復到管理員指定的標準配置;
使用普通PC即可實現對大量設備的管理,有效降低了維護成本。
實踐總結對于多分支機構的大型企業來說,不僅要求實現分支機構與總部的網絡互聯,更需要考慮對龐大分支機構設備的監控和維護。正是如此,中國平安保險、中國人壽保險、中石油加油站等大型連鎖機構都已成功部署了IPSecVPN系統。希望更多此類分支機構眾多的連鎖企業的信息化網絡互聯建設從中得到借鑒。
【編輯推薦】
