中小型企业IPSec VPN 一体化安全通信解决方案 - 网络解决方案 - - 网络管理

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络管理 » 网络解决方案 » 中小型企业IPSec VPN 一体化安全通信解决方案 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

随风飘扬
新新人类

帖子 25
精华 0
无忧币 92
积分 82
阅读权限 20

注册日期 2007-9-10

最后登录 2008-1-3

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-10 13:37　　标题：中小型企业IPSec VPN 一体化安全通信解决方案
＜上一帖 | 下一帖＞

中小型企业IPSec VPN 一体化安全通信解决方案

拓扑结构

技术要点
■中心节点和分支节点之间建立Site-to-Site VPN，实现分支节点与中心节点的访问。
■在中心节点上实现Hub-and-Spoke VPN，实现分支节点与分支节点之间有控制的互相访问。
■中心节点建议采用两台SSG 500防火墙/VPN设备，实现基于状态的备份。SSG 500 设备可以实现防火墙和VPN 两方面的状态备份。
■分支节点根据需要，可以选择两台设备实现基于状态的HA 或轻量级HA（只有策略和对象同步，无状态同步）。分支节点根据业务量/ 业务重要性等，可以选择不同的型号/ 数量。
■建议中心节点部署专业IDP设备，配合防火墙实现更高性能的应用层防护。分支节点可以考虑启用防火墙内置的深层监测功能。
■移动办公用户采用dialup VPN方式拨入中心节点进行访问，通过VPN 路由技术可以实现同时对中心节点以及分支节点的访问。也可以建立到分支节点的直接拨号VPN。
■ 采用的设备充分考虑到现状容量、扩展容量，可以满足业务的增长，和规模的扩大。

设备选型
中心站点
中心站点选择SSG 500 系列安全业务网关。Juniper 网络公司的安全业务网关500 系列（SSG）是一种新型的专用安全设备，这些设备将高性能、安全性和LAN/WAN连接性完美地组合起来，可以用于地区和分支办事处部署。 SSG 520 和SSG 550 拥有经过验证的网络层和应用层保护，可以作为独立的安全设备运行，以阻止蠕虫、间谍软件、特洛伊木马、恶意软件和其他新兴攻击。
此外，SSG 550 系列还将安全和LAN 路由功能与同类最佳的路由硬件和WAN 协议组合在一起，其中，安全和LAN 路由功能来自市场领先的、运行ScreenOS 的防火墙设备，而WAN 接口模块和WAN 协议则来自Juniper 网络公司的J 系列路由器和JUNOS。因此，它们可以提供一个高性能的安全平台，对希望合并路由和安全设备并减少IT支出的用户来说，可以将该平台作为防火墙和路由设备的组合进行部署。

■SSG 520：SSG 520 提供超过600Mbps 的IMIX 防火墙流量，300Mbps的IPSec VPN和200Mbps的IPS（深层检测）。

■SSG 550：SSG 550 提供超过1Gbps 的IMIX 防火墙流量，500Mbps 的IPSec VPN 和500Mbps的IPS（深层检测）。SSG 550 支持冗余电源，并兼容NEBS。
对地区/ 分支办事处、中型企业和服务供应商来说，如果他们希望拥有一个安全平台，能够保护他们的WAN和高速内部网络，而同时还要通过高级别的系统和接口模块化扩展该平台的投资回报，那么，SSG 520 和SSG 550 便是理想的选择。

分支机构
NetScreen-50 与NetScreen-25 是固定配置的防火墙和专为企业设计的VPN 网关，用以保护他们的分支机构和远程站点。我们还发现对于服务提供商来说，这些也是非常好的解决方案，因为上述产品可以与其服务产品合并，将服务目标锁定在中小型企业。购买的决定通常由企业的吞吐量、VPN 遂道数目/ 会话容量及高可用性需求确定。NetScreen-IDP 200 和 NetScreen-IDP 50 对这些设备也是一个很好的补充，可为最关键的资源提供应用层攻击防护。

小型分支机构
我们的 NetScreen-5 系列网关是固定的配置的硬件平台，企业可以用它保护远程办公室和移动办公用户的资源，服务提供商可以用它作为其服务产品的一部分，服务对象是小型办公室和SOHO 环境的用户。做出购买决定的因素是接口数目、安全区域数目及冗余需求。

TCO
使用我们全面的安全解决方案，用易于部署、配置和管理的设备来有效地保护你的网络，可以降低了您的总体拥有成本(TCO)。使用我们的集中管理方案和直观用户界面可减少管理网络安全所需要的时间和资源。我们的解决方案从设计之初即考虑满足每个企业不同的网络和安全需要。因而，我们可为您提供一个完整的解决方案，这意味着您可以简化自己的网络部署并降低支持成本和操作成本。

比较安全解决方案时，贵组织必须考虑整体拥有成本（TCO）。既然您在安全方面所进行的初始投资通常仅占总成本的20%-40%，那么深入了解解决方案在支持、部署和维护方面需要多少程序是很重要的。通过考虑安全解决方案的整体拥有成本（TCO），您就能够做出获得最高回报的投资决定。

另外，当安全解决方案的 TCO 降低时，贵组织不必再为了成本而被迫牺牲安全，可在其它区域部署安全而无需大幅增加支出。例如，Juniper 的安全解决方案可在关键网络中建立新的安全层以保护内部网络段，为无线 LAN 提供安全或
用深度检测确保远程办公室安全。而且，通过从与竞争性安全解决方案相关联且正在进行的维护工作中解放 IT 安全人员，贵组织可以将宝贵的 IT 资源用于其它重要的业务。Giga Group 最近公布了一份报告，该报告详述了Juniper 解决方案中的 TCO 优势，并说明了网络部署不仅是一项很好的网络安全投资，也是一项很好的网络整体投资。

Juniper 提供了可降低每个成本区域的独特优势：

我们的解决方案提供的 TCO 比其它竞争性方案低。我们的 TCO 优势可让公司通过在更多区域和更多应用中部署价格合理的安全解决方案，以提高安全性能。简单地说，我们可以在提高整体安全的同时，降低安全总成本。
转自：http://www.juniperbbs.net/thread-4815-1-1.html