一、 公司需求
1. VPN网络结构要求
泰康人寿总部在北京,全国各省共有28个分公司、支公司,总部与分公司是采用DDN专线连接;每个分公司下属几十甚至上百个营销管理部,这一级的网络连接方式由于节点分散、资费各异的原因,有VPN、城域网专线、拨号等各种形式。
为了保证营销管理部与分公司直到总公司的数据交互访问的安全性和可管理性,并且为以后可能会扩展的数据、语音应用提供安全高效的网络平台,需要构建总部与全国28个各分公司、支公司,近1000个营销管理部之间的远程业务系统基于VPN的安全网络应用平台,达到两级管理、集中汇总、授权访问。
因此,整体VPN网络建设的框架为:总公司-分公司的一级VPN管理网络;分公司-营销管理部的二级VPN管理网络;并且提供总公司-分公司通过VPN提供DDN线路备份方案,总部特定应用的移动办公方案,营销管理部-总部的VPN线路备份方案等功能。
结构如同所示:
1.1 VPN网络基本需求(两级管理、集中汇总、授权访问):
总部-分公司
目前总部与分公司之间已经通过专线构建了专用网络。建设这一级VPN网络的目的,一是总部可以对所有分公司的VPN网络有审核与监管功能,而是可以作为专线线路的备份,实现总部与分公司之间的双路互访。
分公司-经营部
分公司与经营部之间的VPN网络是建设重点,要求分公司与经营部之间能够在VPN平台上相互通讯,分公司直接对下属的营销管理部有管理权限。
经营部分别接入所属的分公司,再由分公司到总部,网络结构清晰,由分公司来直接管理各下属经营部的接入权限和使用权限,总部起审核监管作用。
1.2 VPN网络扩展应用需求
移动办公
出差在外的移动人员,也可以通过VPN网络、访问总部/分公司/经营部的资源。SINFOR VPN的多级接入鉴权体系使得总部/分公司/经营部的VPN网络具备完善的权限管理手段,只允许授权的移动用户接入和使用特定资源,避免不必要的安全隐患。
总部-经营部的VPN备份
经营部访问总部可以通过两种方式。一是通过到分公司的VPN网络、再经过分公司和总部的专线网络,实现与总部的信息互通;另一方案也可以直接通过VPN网络,与总部互相访问,这只有在特殊情况下,经过总部网络管理部门授权,由总部网络管理人员分配VPN策略才能连接。
语音视频的高效低成本传输
基于全公司的多级VPN网络,通过SINFOR VPN的多线路复用专利技术,叠加上网带宽的情况下,可以效果很好地进行语音、视频信号的传输,减少远程固定电话费用和会议的差旅费用。
二、 解决方案
综合考虑上述需求,泰康人寿整体VPN网络解决方案采用深信服科技的SINFOR DLAN产品线中的安全网关SINFOR DLAN M5400、M5100、S5100、零配置CA认证的客户端SINFOR DKEY、集中安全管理中心SINFOR DLAN SC ,达到同时监控和管理部署各级的VPN网关/终端和数千个VPN网络节点。整体部署图如下:
1.总部-分公司-营销管理部的VPN网络规划
泰康总部与28个分公司专线连接,各分公司通过IP规划授权对总部数据库进行各业务系统的访问,数据汇总到公司总部中心机房。
1、总部实施VPN总服务器端,建立VPN网络的一级平台,各分公司建立VPN网络的二级平台,一级平台与二级平台连接,对二级平台的连接情况有连接信息集中汇总功能,并对DDN专线有线路备份功能。
2、分公司实施VPN二级服务器端,建立VPN网络的二级平台,通过平台的管理授权,授权下级营销管理部通过符合管理要求的VPN客户端接入分公司,再经过分公司与总部的专线,通过IP规划授权对总部数据库进行业务系统的访问,数据汇总到公司总部中心机房。
3、下级营销管理部实施VPN的客户端,通过计算机硬件绑定(HARD CA认证)、使用人员身份绑定(KDEY双因素身份认证)技术,按照分公司的IP规划和用户管理,授权访问指定资源。
4、总部的一级平台,支持总部人员的移动办公。
5、总部的一级平台,能够通过平台的管理授权,对于一些特殊情况下的营销管理部提供接入,具备提供营销管理部-总部的VPN线路备份方案。
三、 方案特点:
1、 可管理性和安全性结合
通过深信服科技的VPN集中安全管理平台,泰康人寿实施完VPN以后达到分级管理、集中汇总,IP管理,证书管理,访问权限管理的四项网络管理要求。既保证高安全性又得到很好的可管理性。
l 分级管理、集中汇总
通过专业的VPN多级远程配置维护功能技术,实现总部的VPN总服务器端能够对分公司的VPN服务器端的管理设置和连接情况有监管的管理。同时能够有连接日志的汇总。
l IP管理
建立的所有连接都遵循授权总部的IP规划管理原则,达到所有连接都能够按照总部或分公司指定的IP地址或者IP地址段进行安全管理。
l 证书管理
所有的VPN客户端连接,都必须符合指定到每一台计算机终端、每一个操作使用人员的安全管理标准。通过成熟的VPN产品技术达到验证终端设备的硬件配置信息证书管理、验证操作人员的双因素认证USB口 KEY的电子证书管理。实现固定机器、指定人员的连接访问。
l 访问权限管理
对所有客户端的连接,都能够指定一个上级VPN服务器分配的IP地址,能够对每一个客户端到上级VPN网络的访问哪些方面的资源,哪些具体服务有很好的访问权限管理。
2、适应性和扩展性
l 适应国内所有环境和国内使用习惯。
图形化的中文界面,傻瓜化的操作界面和友善的页面提示,适合计算机水平参差不齐的各级部门使用人员。
l 支持所有上网方式。
支持ADSL拨号的动态IP,小区宽带、大楼宽带的私有IP等各种上网情况,支持穿透防火墙、NAT设备,支持包括WLAN、 GPRS 、CDMA2000、WCDMA 等各种Internet接入方式。便于移动办公。
l 实施扩展方便,可以远程配置。
可以远程实施和部署,可导入导出配置,极大的减少VPN产品的实施成本和方便将来扩展。移动客户端可使用USB Key 加载安全信息,实现零配置。
3、厂商自主产权、用户自主控制
l 深信服科技作为国内技术领先的VPN研发厂商,有直接技术服务,并可对方案有一些特定需求,能得到及时有效的升级服务。
l 所有VPN网络管理环节由用户自主控制,包括动态寻址、加密、认证等机制都由用户掌握。
4、高容量、低价格
SINFOR VPN超大的容量支持2000条VPN通道,5000个网络节点,2000个移动用户的同时接入,超大的容量足以满足大部分客户的需求。可随时随地的接入。用户只需要一次性购买一套软件的成本和当地接入INTERNET成本就可永久性地使用。性价比高,降低了企业的总体拥有成本(TCO)。
l 软硬件一体化
既提供软件形式的VPN系统,也提供基于Sinfor Linux安全操作系统的硬件VPN产品。用户既可以在原有硬件设施上部署软件VPN,保护以前的IT投资;也可以直接部署Sinfor DLAN硬件网关,专用的安全平台将提供更可靠的运行环境。Sinfor DLAN软硬件网关之间可以互通互联。
5、 投入产出比
l 无长期使用费用。
此网络建设在产品投入方面属于一次性费用,节约每年的固定线路费用,采用低成本的ADSL/宽带上网进行VPN网络互联,得到很好的带宽,且节点越多节约成本越大。
l 支持扩展应用。
由于整体VPN方案的管理功能,构建了安全高效的内部VPN网络,可以实现所有数据交互的应用,包括节约固定电话成本的VOIP和节约成本提高效率的视频会议。