SonicWALL_IPSec_VPN_方案模板_NSA_系列产品

XXXX有限公司干净VPN解决方案

xxxxxxxxxxxx有限公司

www.mycompany.com

2008年5月1日

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

前 言

随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。

随着技术的发展，各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，如针对Windows系统和Oracle/SQL Server等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的净荷部分。传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力，因为它们只查TCP/IP协议包头部分而不检查数据包的内容。此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。同时层出不穷的即时消息和对等应用如MSN，QQ，BT等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁，传统的防火墙设备已经不能满足客户的安全需求。

美国SonicWALL公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。一般来讲，UTM通常包括防火墙/VPN，网关防病毒和IPS，SonicWALL公司的UTM在此基础上又增加了反间谍软件服务，进一步确保企业信息安全。SonicWALL采用独一无二的逐个包扫描深度包检测引擎，无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护，彻底消除了网关设备对同时下载的文件数目和文件的大小的限制，从UTM技术上是一个突破。SonicWALL UTM设备能够并行扫描超过50种协议上的近25000种病毒，检测并阻断近2000种入侵威胁。

Xxxxxxxx有限公司. http://www.mycompany.com 第 １ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

SonicWALL还支持近百种签名对及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT下载、eMule，迅雷下载)的通信进行控制，如封堵QQ，能够扫描NetBIOS 协议，防止病毒通过Windows文件共享进行扩散。

采用高性能的专用硬件实现IPSec VPN的加解密，使得SonicWALL设备在3DES和AES算法具备同样出色的表现。对于分布式的企业，通过Internet建立VPN连接是安全经济的信息传输方式， 此外， SonicWALL的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁，而且还能阻挡企业其它分支机构通过VPN隧道带来的安全威胁，全面防止安全威胁在企业总部和分支机构之间通过VPN隧道进行扩散，实现干净的VPN功能。

第一章 用户需求分析

1、业务背景

xxxx有限公司是国内首屈一指的xxxx制造企业，业务遍及全国各省。物流,财务信息和客户需求的反馈传输需要确保安全，但是申请专线的费用很高。 Internet为企业的信息传输提供了一个经济有效的平台，然而安全问题值得担忧。目前有20多个办事处遍布全国各地，还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。

2、需求分析

信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一，集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员，而在外工作的业

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部，并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前，一直是我集团期待解决的问题之一。

公司在国内的驻外人员分布在各省会城市，负责该省内的所有产品营销业务。由于需要及时和企业总部进行业务状况，客户反馈等信息的传输，这些业务数据在Internet上直接传输时又存在较高的安全风险，一旦这些数据被盗取或泄漏出去，必然会造成公司业务的严重损失。

初步需求如下：

20个分公司分别通过当地电信部门接入Internet。这些分支机构的网络要受到安全设备的防护，必须有防火墙设备，此外，为防止遭受病毒，黑客入侵的威胁，应用层的安全必须受到保护，设防火墙设备应该具备防病毒和防入侵的功能。 企业总部网络有重要的数据库系统，防止病毒和黑客的入侵极为重要。

由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输，高性能的VPN功能必须集成在设备内部，便于统一管理。此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库，移动用户必须通过VPN加密方式访问企业网络资源。

3．3方案目的

作为保护企业内部网免遭外部攻击，确保信息安全地通过Internet传输，最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备（即：防火墙+ VPN +网关防病毒+ IPS），通过设置有效的安全策略，做到对企业内部网的访问控制。为了方便远程/移动用户安全访问集团内部的机密资料，并为公司建立起安全经济的网络通信连接，故推荐配置使用基于深度包检测技术的UTM设备——美国SonicWALL UTM设备（防火墙 + VPN + 网关防病毒 + 入侵防御）。

SonicWALL系列UTM设备是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品，2005年第一，二两个季度连续在全球UTM设备销售数量和金额排名第一位。

SonicWALL采用软硬件一体化设计，在高性能多核并行处理的硬件平台上，利用

Xxxxxxxx有限公司. http://www.mycompany.com 第 ３ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统，再加上世界领先的加密算法、身份认证技术以及网络防病毒技术，是一个强大的，集应用级防火墙、VPN，网关防病毒，防入侵（IPS）、内容过滤、，反间谍软件等多种安全策略为一体的，稳定可靠的高性能网络安全系统。其完善的产品系列和卓越的性能价格比为不同规模、不同行业、不同上网方式的用户提供安全、快速、灵活、超值的网络安全解决方案。（详情请参考附件1）。

可以在总部或某一地点统一管理分布在全球的SonicWALL防火墙设备，可以为不同地点的SonicWALL防火墙设备做不同的设置；建立报警中心，集中、实时的监控全球各地SonicWALL的运行状态和网络访问流量。

第二章 IPSec VPN技术核心

1.VPN概念

虚拟专用网（Virtual Private Network）技术是指在公共网络中建立专用网络，数据通过安全的\加密管道\在公共网络中传播。利用VPN技术，单位只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，单位还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入内联网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后内联网络发展的趋势。

简单的来说，VPN可以看作是内部网在公众信息网（宽带城域网）上的延伸，通过在宽带城域网中一个私用的通道来创建一个安全的私有连接，VPN通过这个安全通道将远程用户，分支机构，业务合作伙伴等机构的内联网连接起来，构成一个扩展的内联网络(如图2-1)。

办事处 VPN客户端 VPN网关 分部 公众信息网 VPN网关 总部 单机用户

Xxxxxxxx有限公司. http://www.mycompany.com 第 ４ 页

图2-1

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

2．VPN技术核心

2.1 VPN分类 VPN可分为三种类型：

?

远程访问虚拟网（Access VPN）

Access VPN是指单位员工或单位的小分支机构通过公网远程拨号的方式构筑的

虚拟网。

?

内部虚拟网（Intranet VPN）

Intranet VPN是指单位的总部与分支机构间通过公网构筑的虚拟网

?

扩展虚拟网（Extranet VPN）

Extranet VPN是指单位间发生收购、兼并或单位间建立战略联盟时，不同内联

网通过公网来构筑的虚拟网。

这三种类型的VPN分别与传统的远程访问网络、内部Intranet以及内联网和相关合作伙伴的内联网所构成的Extranet相对应。其中我们通常把Access VPN叫做拨号VPN，即VPDN；将Intranet VPN 和Extranet VPN统称为专线VPN。 2.2 VPN技术标准

VPN的具体实现是采用隧道技术，将内联网的数据封装在隧道中进行传输。隧道协议中最为典型的有GRE、IPSec、L2TP、PPTP、L2F等。其中GRE、IPSec属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。

L2TP与IPSec是与VPN相关的两个最重要的协议。IETF制定的与IPSec相关的RFC文档主要包括RFC2104、RFC2401～2409、RFC2451；而L2TP协议是由3Com、Cisco、Ascend、Microsoft及Bay等厂商共同制定的，其控制包和数据包都是在LAC和LNS间通过UDP/IP传输；此外MPLS、RADIUS、LDAP、VPMT等协议都有部分涉及到VPN。 IPSec协议

IPSec是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。IPSec实际上是一套协议包而不是一个单个的协议，这一点对于我们认

Xxxxxxxx有限公司. http://www.mycompany.com 第 ５ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

识IPSec是很重要的。自从1995年开始IPSec的研究工作以来， IETF IPSec工作组在它的主页上发布了几十个宽带城域网草案文献和12个RFC文件。其中，比较重要的有RFC2409 IKE互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH验证包头、RFC2406 ESP 加密数据等文件。 IPSec安全结构包括3个基本协议：

IPSec协议族 子协议 功能 ?

AH验证包头协议 IPSec验证 ESP封包安全协议 IPSec数据加密 IKE密钥管理协议 IPSec密钥交换加密 AH协议（Authentication Header）

IPSec认证包头（AH）是一个用于提供IP数据报完整性和认证的机制。其完整

性是保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（识别主机、用户、网络等）。AH本身其实并不支持任何形式的加密，它不能保证通过宽带城域网发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球宽带城域网的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP等）之间。

AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。消息文摘5算法（MD5）是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC－MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发

Xxxxxxxx有限公司. http://www.mycompany.com 第 ６ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

送的。

?

ESP封包安全协议

封包安全协议（ESP）包头提供IP数据报的完整性和可信性服务ESP协议是设

计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为宽带城域网发送的普通数据。这种模式的一种典型用法就是在Site－Site之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。

IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES－CBC算法。美国数据加密标准（DES）是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法。DES－CBC通过对组成一个完整的IP数据包（隧道模式）或下一个更高的层协议帧（传输模式）的8比特数据分组中加入一个数据函数来工作。DES－CBC用8比特一组的加密数据（密文）来代替8比特一组的未加密数据（明文）。一个随机的、8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES－CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES－CBC算法的有效性依赖于秘密密钥的安全，ESP使用的DES－CBC的密钥长度是56比特。目前最流行的安全加密标准提供3倍DES的算法，可以使用168比特的密钥长度进行数据安全加密。

?

密钥交换协议IKE

IKE属于一种混合型协议，由宽带城域网安全关联和密钥管理协议（ISAKMP）和

两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式。

Xxxxxxxx有限公司. http://www.mycompany.com 第 ７ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

IKE使用了两个阶段的ISAKMP：第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务；第二阶段，使用已建立的IKE SA建立IPsec SA 。

IKE共定义了5种交换。阶段1有两种模式的交换：对身份进行保护的“主模式”交换以及根据基本ISAKMP 文档制订的“野蛮模式”交换。阶段2 交换使用“快速模式”交换。IKE 自己定义了两种交换：①为通信各方间协商一个新的DiffieHellman 组类型的“新组模式”交换；②在IKE 通信双方间传送错误及状态消息的ISAKMP信息交换。

ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI）通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。

由于IPSec的存在，VPN的安全性得到了巨大的提高，从而使VPN广泛的应用成为广大单位用户的福音。VPN利于开展电子商务应用，扩展性好，不受地理位置限制，节约费用的优越性将得到充分的发挥，VPN的发展潜力巨大。

?

数据（隧道）加密深度

对于在宽带城域网络中，根据对每个数据包加密的手段实现密文隧道传递，是

IPSec VPN建立有效、安全数据传输的基本依据。为支持更高的数据安全（不可见）性能，加密深度成为评价IPSec VPN的优劣的重要标准。（下表为全球领先） 2.3 VPN的优势

VPN作为一种新技术的出现，带来了很多优点，给单位带来了无限的商机和发展机遇。VPN的主要优势有：

?

开展电子政/商务

有了VPN，各级政府和单位可以通过宽带城域网实现远程办公和会议，也可以

和用户直接远程谈判，协商业务，签订合同；有了这些，VPN不但给我们的工作带来了巨大的方便，节省大量的时间，大大提高了工作效率，而且直接节约了大量的费用。之所以有这些，正是因为VPN能通过安全的数据通道将加密的技术数据和关键性的商务应用及数据进行传输。离开这一点，不难想象进行远程商务谈判和技术数据传输对各级政府和单位的影响有多大。

?

不受地理位置的限制

宽带城域网发展到现在几乎无处不在，它的接入是到处都有的，我们只要将各

Xxxxxxxx有限公司. http://www.mycompany.com 第 ８ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

个接入点都接在宽带城域网上，然后再实现VPN，就可以将有关关键性的数据进行安全的传输。要达到安全的传输，当然还有专线传输。例如ATM，光纤等等。一来他们的费用高昂，二来他们的接入点找起来是不方便的。

?

可扩展性强

宽带城域网的无处不在决定了增加或减少用户接入是非常容易的。而专线就不

同，减少几个接入点还好办，要是增加几个用户，首先用户得搞清楚附近有没有接入点，即使有了接入点，也必须进行工程布线才能接入。

?

节省大量费用

使用VPN通过远程办公，远程商务洽谈，远程技术支持，节约大量的时间，办

公费用，节约了庞大的出差费。根据Infonetics Research单位的一个VPN研究报告，将租用线路替换成VPN来连接远程站点可以节约20%-40%的开支。对于远程访问VPN，节约下来的费用可以达到单位远程拨号费用的60%-80%。还可节省由于带宽升级而重新布线所产生的费用。

?

节省投资

由于宽带城域网网络技术的飞速发展，网络带宽将会无限增长。如要升级，单

位只需考虑自己的机器的升级就行，而无需考虑宽带城域网的升级。如果使用专线则不同，由于时代的进步，单位的发展，线路的带宽就会成为瓶颈。

基于IPSec标准的VPN技术，不限制用户的接入方式，带宽取决于用户的接入带宽，中国电信常用的宽带接入方式为：ADSL或FTTX＋LAN，一般ADSL最大带宽可达8Mbps，FTTX+LAN可达到100Mbps，同时可以支持以后的VDSL,具有非常良好的性能价格比和扩展性。

3．VPN的发展前景

安全VPN隧道技术能够拓展各级单位的业务和工作、并为单位节省资金。随着全球化进程的不断深入和移动办公队伍的不断增长，这种网络技术也正在越来越多地被加以采用。一个新的、属于VPN的时代正在各类大、中、小型单位中成为现实。VPN迎合了用户对安全性和网络性能的追求，并且可以较以前的产品提供更为丰富的特性和功能。越来越多的政府和企业开始注意到VPN网络为公司带来的效率和效益。我们坚信在未来的发展历程中， VPN技术将为各行各业带来经济效益的高速增

Xxxxxxxx有限公司. http://www.mycompany.com 第 ９ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

长和信息沟通模式的变革。

第三章 xxxx有限公司VPN解决方案

考虑目前具体情况，推荐基于IPSec核心技术的高性能加密产品来组建XXXX公司VPN网络---SonicWALL UTM ( 防火墙 + VPN + 网关防病毒 + IPS)。SonicWALL 防火墙和VPN 是当前国际最先进的网络技术之一，销售数量占据全球第一位。

1. 方案设计原则

VPN方案的设计至少包含以下原则：高安全性、最优化网络、完善的管理等。 1.1 高安全性

由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。确保VPN通道上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。

保证数据的完整性：接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。

保证通道的机密性：提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密匙交换功能，提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。

提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击内联网络的能力，并且可以对VPN通道进行访问控制（Access Control）。

Xxxxxxxx有限公司. http://www.mycompany.com 第 １０ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

1.2 最优化网络

充分有效地利用当前有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 1.3 完善的管理

一个完善的VPN管理系统是必不可少的。我们构建VPN的管理目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括加密管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

2. XXXX有限公司VPN解决方案

根据XXXX有限公司当前的网络状况，，提出本解决方案。 2.1网络结构设计

网络结构如图:

Xxxxxxxx有限公司. http://www.mycompany.com 第 １１ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

方案: 中央采用多核专用安全处理器，16个64位专用安全处理器并行处理流量，吞吐量可达5.5Gbps， VPN吞吐量可达到4Gbps. UTM功能为可选项，如果采用UTM功能，可以防止病毒和入侵通过VPN隧道进入企业总部的网络。这就是我们说的“干净的VPN”功能。NSA E7500在开启网关杀毒情况下最大吞吐量可达1.8Gbps，开启IPS的情况下最大吞吐量可达1.2Gbps， 同时开启网关杀毒和IPS最大吞吐量可达1Gbps。 此外，E7500还附送2000个IPSec VPN客户端授权。

考虑到分公司的规模，分公司采用NSA2400， SonicWALL TZ170 25 用户设备。 所有的移动用户在笔记本电脑上安装SonicWALL VPN客户端软件GVC，随时随地方便快捷地与企业总部甚至分支建立VPN连接，安全地访问企业的信息。此外，如果考虑大量移动用户，

Xxxxxxxx有限公司. http://www.mycompany.com 第 １２ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

合作伙伴用户和细粒度访问控制，可以在现有方案基础上增加SSL VPN设备，实现更灵活的移动用户访问控制。 SonicWALL有两台SSL VPN产品线可供用户选择。

企业总部与各个分公司建立点到点的VPN隧道，出差在外的移动用户与企业总部的NSA

E7500建立客户端VPN连接。这样分布式企业的所有网络出口入口都受到防火墙的保护，分公司与总公司及移动用户与总公司的通信都受VPN隧道的保护，如果启用网关防病毒，入侵防御和反间谍软件功能，则所有地点的内部网络都受到应用层的安全防护。 此外，SonicWALL UTM设备能够阻断病毒，入侵在企业各个分公司和总公司之间通过VPN隧道的传播。 间谍软件会造成企业或个人的敏感信息的泄漏，SonicWALL防间谍软件功能使SonicWALL能够中断来自计算机中已存在的间谍软件的后台通信，同时通过扫描并屏蔽间谍软件感染的电子邮件以及检测自动安装的ActiveX 控件的方式阻止间谍软件的传播。

SonicWALL NSA 系列UTM设备能够并行扫描超过50种协议上的近25000种病毒，检测并阻断近2000种入侵威胁。

SonicWALL还支持近百种签名对及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT下载、eMule，迅雷下载)的通信进行控制，如封堵QQ，MSN，迅雷，能够扫描NetBIOS 协议，防止病毒通过Windows文件共享进行扩散。

2.2总部网络安全方案

Xxxxxxxx有限公司. http://www.mycompany.com 第 １３ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

鉴于XX公司的网络环境和规模，方案设计采用NSA E7500设备，SonicWALL NSAE7500有4 个10/100/1000Mbps自适应端口和4个SFP光接口插槽，一个专用的1000Mbps心跳口，用于HA。 支持无限用户, 支持多达10，000条点到点VPN 隧道，并附送2000个客户端VPN隧道授权，能够满足公司总部与分公司数据传输和内部访问的安全需要.

公司总部的局域网接在LAN口上，防火墙会阻止所有未经许可的访问到LAN口上的电脑；通过这种解决方案有效地保证公司局域网、各类服务器免受来自互联网黑客的各种攻击。移动用户采用VPN 客户端和总部连接。

客户还可以购买网关防病毒，入侵检测和防御及反间谍软件服务，确保应用层的安全，防护针对Windows操作系统和数据库诸如Oracle和SQL Server的攻击，还可以阻断不必要的应用如QQ 等等，提高员工的工作效率。

Xxxxxxxx有限公司. http://www.mycompany.com 第 １４ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

2.3 分部网络安全解决方案

各分公司由于人数少于25人，故选择SonicWALL TZ170 25用户的产品。100到200人的分支机构，采用NSA 2400 产品。 由于SonicWALL产品是UTM设备，防火墙和ＶＰＮ二合一（同时有可选的网关防病毒，入侵检测和防御及反间谍软件功能），不用担心黑客的攻击。不象其他网络全产品公司，有些型号的产品是收购其他公司，所以不同型号的产品功能有很大区别，SonicWALL 全线产品都是SonicWALL 公司开发，具备同样的安全防护功能。SonicWALL 产品除了支持DDN专线等固定IP地址的线路外，还支持DHCP、PPPoE、PPTP或L2TP，甚至ISDN或电话线拨号。不用担心现在的购买的SonicWALL 产品，将来因公司的发展要更换线路而不适用。计算机在25台之内的分公司建议采用SonicWALL TZ 170 25用户，此建议只是作为参考，有时需要结合更具体的环境进行调整。

Xxxxxxxx有限公司. http://www.mycompany.com 第 １５ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

TZ170 UTM设备除了防火墙，VPN功能之外， 还有可选得网关防病毒，入侵防御和反间谍软件功能，此外还能封堵QQ， MSN， BT等应用，提高工作效率。网关防病毒和入侵防御等还可以阻止通过VPN隧道传输过来的网络安全威胁。

2.4 VPN 解决方案

2.4.1 XX总部和分公司Site to site VPN VPN在网络中拓扑示意图如下图所示。

下面是VPN的实现过程。如图下图所示：

在两台VPN1（总部）和VPN2（分部）之间建立一个VPN通道。假设网络A中的主机A与网络B中的主机B之间进行通讯。A发出请求包，该数据包首先到达VPN1，VPN 1对其进行认证并加密，然后通过建立的VPN通道传送到VPN 2，VPN 2对该数据包进行认证并解密，然后将此包传送给主机B。反向的数据包同样经过这个过程。这样就能保证数据包通讯过程中的完整性，机密性。

Xxxxxxxx有限公司. http://www.mycompany.com 第 １６ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

2.4.2 移动用户访问XX总部---Client to Site （客户端到总部） VPN

Client to Site （客户端到总部） VPN的连接过程如图3-2：

DHCP服务器 VPN网关 Internet VPN客户端 168bit加密隧道 IPSec VPN隧道 总部 移动用户

Site—Client VPN

图3-2

根据一个中心多个远程节点的设计方法，采用移动用户与总部网互联方式，即站到站（Site-Client）VPN连接方式，连接过程如下：

① 移动用户的VPN客户端向总部VPN网关发起连接请求，并发送第一阶段（Phase 1）用户验证和密匙信息（MD5或SHA1加密）；

② 总部的VPN网关响应请求，并对移动发来的用户和密匙进行验证； ③ 如果第一阶段验证通过，主端发送第二阶段（Phase 2）验证挑战请求； ④ 从端发送第二阶段（Phase 2）用户验证和密匙信息（MD5或SHA1加密）； ⑤ 如果第二阶段验证也通过，两端的VPN核心引擎开始采用168位（3DES）协调数据加密算法，从而建立标准的IPSec VPN通道，双方局域网内的用户即可在VPN通道内传送加密的用户数据，每个传送的数据包都会随机选择不同的密钥进行数据加密。

备注： SonicWALL VPN 客户端认证支持内部数据库认证，Radius ，RSA SecureID, 及第三方证书等等。

2.5 集团上网管理----集中上网 （可选的部署）

现在的工作已经离不开互联网，但由于互联网的种类繁多，很多和工作无关，甚至影响工作，所以控制上网非常重要，但如果要所有的分公司都单独控制上网，成本非常大。解决方法是集中上网，即整个集团都通过总部上网，然后再控制总部上网。这就要通过VPN 的技术控制。SonicWALL 的VPN 其中有以下的功能：

Xxxxxxxx有限公司. http://www.mycompany.com 第 １７ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

www.ibm.comPCFirewallInternetFirewallServerVPN Tunnel

通过SonicWALL VPN 然后再通过总部的上互联网的出口再上网。然后结合现有

的代理服务器就能很好控制上网。

２．７ 集中管理――SonicWALL 全球管理系统。

众所周知，分布式网络通常包括：公司总部、远程及分支机构、远程工作者和移动工作者。目前，网络环境日趋分布，越来越多的员工需要从远程点接入到公司网络。GMS 可以完全满足这一需求，它可以在中心一点管理全部的SonicWALL设备。

SonicWALL GMS 能够监测并管理上千台SonicWALL网络安全产品和客户端，并允许商业机构和服务提供商的网管员配置防火墙和其他SonicWALL服务，其中包括虚拟专用网（VPN）、防病毒、无线安全和网页内容过滤。网管员能够通过加密的VPN通道从中心为个体、群组或全球范围远程设置安全策略。

Xxxxxxxx有限公司. http://www.mycompany.com 第 １８ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

２．８ 方案特点

?

灵活性 —— Any –to -Any

SonicWALL VPN产品完全基于工业加密标准IPSec协议构建VPN加密通道，提

供Any-to-Any的VPN连接，如下图：

PSTN SonicWALL VPN客户端 操作系统：Windows 98/ME/NT/2000/XP 满足条件：网络层地址可到达VPN网关 网络接口：以太网/Modem/无线/GPRS/CDMA 宽带城域网网络连接 ISDN Cable Modem 其它专拨线拨方号号Xxxxxxxx有限公司. http://www.mycompany.com 式 第 １９ 页 宽带城域网 ADSL 远程VPN网关

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

①Any运行平台：VPN客户端软件完全支持Windows系列平台,包括Windows 98/NT/2000/XP等。

② Any接口：支持以太网接口、Modem接口、无线（蓝牙）网络接口以及新兴的GPRS/CDMA接口等，只要满足网络层地址(IP地址)可以到达的条件即可建立VPN连接；

③Any接入方式：支持当前大多数的互联网连接，包括ADSL、Cable Modem、ISDN/PSTN拨号以及各种专线方式等；

④Any地点：没有地理位置的局限

?

扩展性

总部和分公司通过VPN建立网络连接后：

（1） 若日后ERP 、OA、视频等应用扩大使用量，用户仅需直接扩租带宽即可，

无需再进行硬件投资；

（2） 方便单位领导或系统管理员移动办公（笔记本电脑）。届时仅需在VPN网

关里添加专门的用户帐号、加密设置和在移动计算机上安装VPN Client软件即可，无需再进行硬件投资；

（3） 由于SonicWall产品是防火墙和VPN二合一，使公司在实现内部业务通

信的同时兼备对宽带城域网的安全访问；

（4） SonicWall VPN防火墙具备多并发VPN隧道支持，若用户在未来新添下级

机构并进行网络互联，中心（局端）无需做任何硬件调整和投资；

（5） 支持当前大多数的宽带城域网连接，如ADSL、Cable Modem、ISDN/PSTN

拨号等。

?

（使用、管理）易用性

（1） SonicWall全线产品均可以通过SonicWall GMS（全球网络管理系统）进

行统一界面的网管、设定等操作，网管工程师可以从任何地方对系统轻松

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２０ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

实施管理；

（2） 由于SonicWall的日志管理、密钥管理等特性，使用户能轻松掌握并监

控系统运行，易于使用；

（3） 由于VPN产品基于嵌入式（ASIC专用芯片）设计,无论是VPN设备和客户

端软件的安装、维护都十分简单，无需专业的技术人员即可掌握使用和简单的维护知识。

第四章 项目建设总览

建设项目 项目内容 增设相关设备或软件 SonicWALL NSA E7500 VPN网关：①4提供服务 ①提供集团VPN中心接入； 个10/100/1000Mbps端口，4个SFP光总部接入口插槽，VPN加密吞吐率可达到4Gbps，②进行总部和分公司的3DES或AES加密和解密； 无用户限制, 用户可选服务有网关防VPN网关 病毒，入侵防御和反间谍软件 SonicWALL NSA2400, TZ170 25用户， 用户可选应用层安全服务，如防病毒，③ 分公司的接xxxx公司VPN 入VPN网关 解决方案 制MSN， QQ，等软件使用。 入侵防御和反间谍软件，其中IPS可控①防火墙的作用； ②向总部VPN中心网关进行 ①向总部VPN中心网关进行访问； 移动用户SonicWALL Global VPN Client ②进行客户端和总部之间的168位数据加密和解密； ③从总部VPN网关动态获取IP地址 VPN 客户端客户端软件 软件 Xxxxxxxx有限公司. http://www.mycompany.com 第 ２１ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

VPN技术实代理商做一线技术支持，厂商在代理商施及培训服解决不到的问题提供后台支持。 务

UTM技术简介

SonicWALL独特的DPI引擎及其功能实现

回顾2004年，病毒流行趋势是以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，同时其他利用网络协议以及应用漏洞进行攻击与入侵也造成巨大的破坏，据风险管理公司mi2g的调查结果，仅2004年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。你可能会问，既然大部分接通互联网的企业都安装了防火墙和VPN设备，客户网络上的PC和服务器也大多有防病毒软件，为什么还会遭受如此大的损失呢？答案很简单，因为这些方案并不完善，因为内网PC和服务器安全策略更新不是一件轻松的事，此外PC防病毒软件也不能防掉所有的病毒，尤其是传播迅速的蠕虫类病毒，同时防病毒软件对黑客入侵无能为力。

顺应市场需求，UTM设备应运而生。一般来讲，UTM包括防火墙，VPN，网关防病毒和IPS，做到应用层数据扫描以检测病毒和入侵。然而很多UTM设备是在现有防火墙上增加网关病毒扫描和入侵检测功能,无疑对主处理器是一个沉重的负担，因为现有的基于ASIC芯片的硬件防火墙也不可能利用ASIC实现应用层数据的扫描。为了平衡性能与功能的需求，通常网关防病毒引擎扫描的协议种类非常有限，通常只支持POP3、SMTP、IMAP、HTTP和FTP等5种协议。而且，它们对同时扫描的文件的数目和大小都依硬件平台的不同而有明显的限制，其主要原因在于它们把待扫描的文件缓存在从有限的内存空间所分配的缓冲区内，这样，硬件资源的受限就限制了同时下载和扫描的文件的数目和大小。另外，随着网络应用的飞速发展，各种各样的新威胁，如及时消息和对等应用软件层出不穷，同时，广泛应用的Windows文件共享也是病毒扩散的一个途径。而不幸的是，现有的很多网关防病毒方案不支持对Windows文件共享所采用的协议NetBIOS over TCP/IP的扫描。

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２２ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

为此，美国SonicWALL公司推出了全新设计的PRO系列和TZ系列UTM网络安全设备。

SonicWALL采用独一无二的逐个包扫描深度包检测引擎专利技术（美国专利申请中），无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护，所以SonicWALL对同时下载的文件数目和文件的大小没有任何限制。SonicWALL直接在安全网关上匹配全面的签名库，对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。SonicWALL UTM设备能够并行扫描超过50种协议上的25000种病毒，检测并阻断(根据管理员的设置)超过2000种入侵威胁。

另外，SonicWALL还支持对100多种及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT

下载、eMule下载)的通信控制，能够扫描NetBIOS over TCP/IP，防止病毒通过Windows文件共享进行扩散。同时，SonicWALL解决方案还可以限制带有宏的Office文件、密码保护的压缩文件和“加壳”的可执行文件的传输。

采用DEA 架构，SonicWALL的安全设备做到了每个小时自动更新病毒签名库和入侵签名库。SonicWALL的UTM设备还能阻止病毒在内部网络扩散，防止内部的黑客入侵行为。此外，SonicWALL的UTM设备即将支持反间谍软件功能，通过简单的软件升级，现有的网关防病毒和IPS用户可直接享用反间谍软件服务。

上述功能适用于SonicWALL全部PRO系列和TZ系列产品。

SonicWALL全系列UTM产品简介

以下所列产品全部支持UTM功能，即具备防火墙功能，VPN功能，外加网关防病毒，入侵防御和反间谍软件功能。

注：网关防病毒，入侵防御和反间谍软件功能能需要订购，是可选服务。

1、SonicWALL NSA E7500重要性能指标

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２３ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

NSA E7500接口 并发连接 吞吐量 网关杀毒吞吐量 IPS吞吐量 UTM综合吞吐量（GAV+IPS） 4个10/100/1000Mbps电口，4个SFP插槽 750，000 5.5Gbps 状态检测吞吐量 1.8 Gbps 1.2 Gbps 1.0 Gbps

NSA 2400产品参数

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２４ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

NSA 2400 接口 并发连接 吞吐量 IMIX吞吐量 网关杀毒吞吐量 IPS吞吐量 UTM综合吞吐量（GAV+IPS）

6个10/100/1000Mbps电口 48，000 450Mbps 状态检测吞吐量 225Mbps 100Mbps 120Mbps 50Mbps SonicWALL TZ170产品特性

SonicOS 标准功能 易于使用及管理

新型ＧＵＩ图形界面：TZ170 产品可以通过直观的ＷＥＢ界面对产品进行管理和配置，使得对产品的配置变得极为轻松 。

全面的集中管理功能：全部 SonicWall 产品都可以通过全球管理系统（ＧＭＳ）对其进行管理。网络管理员可以通过ＧＭＳ工具对产品进行配置，策略执行，ＶＰＭ配置等工作。可扩展的解决方案。 可扩展的解决方案

端口自定义：TZ 170 的端口可由网络管理员自行定义，管理员可根据需要，将端口分配给各种应用以共享连接带宽，也可以定义出第２个广域网端口以支持线路备份或负载均衡，提供网络良好的可扩展性。

智能端口交换机：TZ 170 可为家庭办公或小型的办公室，分支机构提供５端口的交换功能，５个以太网端口均具有为１０／１００Ｍb自适应端口，同时可对连接线缆线序自行操纵，使得安全工作变得更加简单。

单一的硬件平台：TZ170 通过一个单一的硬件平台提供所有的全部功能，减轻了维

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２５ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

护的成本与压力。

全面的安全特性：TZ 170可为用户提供完善的安全防护功能，作为一台网络安全设备。 TZ 170是一台基于状态检测的防火墙，可以抵御多种恶意的攻击行为，同时还可以提供 IP Sec VPN 与防病毒，内容过滤的功能。 强大的性能

SonicWall专用安全处理器：通过专用的安全处理器， TZ 170可为用户提供高达90M的状态检测性能和超过30M的3DES与AES加密的VPN吞吐量。

硬件ＡＥＳ加密支持：TZ170 可支持 ＡＥＳ 加密，为用户使用环境提供更高安全级别。

SonicWALL TZ170产品技术参数

处理器 SonicWall Security Processor TZ 170 10 Node :0 客户端软件 TZ 170 25 Node :1 TZ 170 无限 Mode :1 最大并发连结数 6000 Safety 用户数 UL CUL TUVGS NOM TZ 170 Unrestricted Mode :1 功率 重量 用户数 最大 12 W 1.15磅（0.52公斤） 无 40~105(华氏) 5~40(摄氏) 10~90% 电源 100V~240V AC 内存 64 MB 尺寸 防火墙性能 9.07*6.63*1.63 英寸 （23.03*16.81*4.14厘米） 90 Mbps 7 10/100 Auto-sensint Ethernet (1)Auto -MDIX WAN 端口 (1)Optional Zone Port (1)5-Port Auto-MDIX LAN Switch 1 RJ45 Control Port 限制 使用 温度 湿度 TZ 170 10 Node :1 Site to Site VPN TZ 170 25 Node :10 TZ 170 Unrestricted node :10 Xxxxxxxx有限公司. http://www.mycompany.com 第 ２６ 页

Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案

SonicOS 标准版： 安全区 LAN, MAN, WorkPort SonicOS 增强版： WAN, Custom-configurable VPN 处理能力 30+Mbps (3DES and AES) 状态灯 Status (Power,test) LAN (1 per Port,Multi-functional) Optional Port (Link,Activity,100) WAN (Link,Activity,100) 强制认证 支持标准 EMC FCC Class B ICE5 CCE C-Tich VCCL BSMI MICB TCP/IP UDP ICMP HTTP HTTPS IPSEC ISAKMP/IKE SNMP DHCP PPPoE L2TP PPTP RADIUS

Xxxxxxxx有限公司. http://www.mycompany.com 第 ２７ 页

本文来源：https://www.bwwdw.com/article/pxs3.html