背景介绍

　　   很多大型企事业单位、政府、组织随着业务的迅速扩展，在全国各地出现众多分支结构，而有的分支机构或者子公司甚至设立在海外。各分支机构和总部之间，各分支机构之间进行大量的数据传输，如OA系统、财务系统、报价系统、资料平台等内部资源的访问次数非常频繁，且数据流量也非常巨大。所以如何提供从发送端、传输链路到接收端全方位的整体安全解决方案，是各大企业信息管理者关注的焦点。

1.专线成本高、发布站点风险大

　　   很多企业的信息管理者，在考虑总部与分支机构互联的方案时，首先想到租赁专线实现总部与各分支之间的互联互通，但动辄每月几万到十几万的租赁费用让网络管理者怯于向公司领导申请该费用。如果把内部服务器的IP地址全部映射到互联网上面，让分支员工通过互联网任意访问这些服务，那么无异于将公司的全部网络通信过程呈现在别有用心者的众目睽睽之下，毫无秘密可言。

2.单纯VPN设备功能简单

　　   聪明的CIO们在放弃了租赁专线这个高富帅的方案后，转向选择专门的虚拟专线网络设备构建安全隧道实现安全互联，例如IPSec VPN设备可以实现总部与分支之间构建安全的IPSec隧道。可是随着公司很多扩展，很多前方同事大部分时间不是在客户那里，就是在去拜访客户的路上，并没有固定的办公区来通过IPSec VPN访问公司资源。如果要解决这个问题，还需要部署支持终端安全接入的SSL VPN设备。单纯的IPSec VPN或者SSL VPN分别部署在网络中，不仅设备自身存在安全弊端，而且对于随着设备数量的增加，成本会急剧上升，设备管理也会变得越来越复杂。

3.内网安全与VPN连接同样重要

　　   部署了支持多种VPN隧道技术的设备，满足了分支机构固定办公区和移动用户的安全访问要求，但随之也带来了网络攻击不断、病毒扩散迅速的网络安全隐患。在分支机构的管理比较松散，使用U盘、移动硬盘拷贝数据普遍存在，便携式计算机在任何接入点都随意接入互联网，且没有定期杀毒和查木马的习惯。如果员工将感染被病毒或者被种木马的设备接入到公司网络中，不仅会影响本分支机构的网络，而且还会影响全公司的网络，因为公司网络间的VPN互联，使分支机构和总部的访问像局域网一样方便，病毒和木马的扩散也非常方便。

　　   另一方面，由于大多数分支机构的人员较少，每分支IT投入有限，如果再分别购买防火墙、IPS、AV防护等基本安全设备，也是一笔不菲的开销，如何选取一种性价比高的解决方案成为信息安全管理者不得不面对的问题。所以对于安全产品而言，一体化的综合解决方案是发展趋势。

4.随着VPN设备数量的增加维护越来越复杂

　　   分支机构越来越多，虽然给企业带来了业务增长，但也给网络管理带来了挑战。每个分支机构的网络管理者水平不一，而总部又无法监控分支VPN设备的运行情况。如果分支机构VPN设备出现问题，只能从总部派人过去支持，既增加了人力投入成本，又不能在第一时间解决问题。由于分支机构对VPN设备的维护具有一定的难度，所以如何能够更好的管理和维护远端的VPN设备就成为了VPN方案中需要考虑的重要问题。

5.网络环境多样化，组网部署复杂

　　   由于网络运营商的提供服务的多样化，总部和每个分支机构接入网络的方式也不尽相同，有的分支机构通过运营商分配的固定IP接入网络，有的分支机构则可能通过ADSL方式动态分配的IP接入网络；有的分支与总部之间可以直接联通，有的分支机构与总部之间存在NAT地址转换设备，可能将VPN设备地址隐藏。所以复杂的网络环境，对VPN设备接入网络的便捷性提出了更高的要求。

6.VPN网络访问体验差，影响效率

　　   经过认真的分析和仔细的选择，VPN网络已经部署成功，所有分支机构和移动办公人员都能够通过VPN安全的访问公司资源，但VPN技术是通过在公共网络基础设施上建立起来的加密隧道，所以在跨国、跨省、跨运营商等长距离传输的网络环境下，丢包较多、网络延迟较大导致VPN访问效率非常低。经常出现访问内网OA系统卡顿、填写财务报表提交失败后重填、资料下载异常缓慢等现象，从而影响分支机构和移动办公人员的工作效率，网络管理者成为公司员工的吐槽对象。

解决方案

—经济安全的VPN网络互联解决方案

　　   每个企业根据业务规模的不同，对网络互联的要求不同。对于分支机构有固定办公区域的用户偏向于IPSec VPN组网；对于没有固定办公区的分支机构，人员全部移动办公的企业更倾向于选择SSL VPN方案组网；对于既有固定办公区，也有大量的移动办公人员的公司，需要同时选择IPSec VPN和SSL VPN的组网方案；对于一些成本压力影响较大的中小企业或分支机构，只能选择既有安全防护，又能提供IPSec VPN和SSL VPN安全互联的低成本一体化方案。

　　   在仔细调研上述客户需求的基础上，网康科技推出的NGFW产品1台设备即可提供经济安全的VPN网络互联解决方案，包括IPSec VPN、SSL VPN和L2TP over IPSec VPN等多种安全隧道技术， 同时还能提供全方位的安全防护方案，包括各种网络攻击阻断、入侵检测与防护系统、病毒查杀、网址过滤等安全防护功能。网康科技的NGFW产品符合网络安全设备功能融合、一体化发展的大趋势。

总部部署方案：

　　   在总部的网络出口处部署网康NGFW产品，主要对外提供IPSec VPN隧道接口，实现与分支机构的IPSec VPN隧道建立的对接；提供SSL VPN接入的门户接口，实现移动办公用户访问内网的安全接入；提供全面的安全防护功能，包括传统防火墙功能、IPS、AV、URL过滤等安全防护功能，实现内网与外网的安全隔离；同时开启VPN加速功能，保证外部访问的性能体验。

　　   在总部的NGFW内部部署网康安全管理中心设备SMC，该设备主要实现对全网NGFW产品的配置管理、安全状态监控、智能分析等综合管理功能。总部的信息安全管理者可以通过该设备实现对所有边界NGFW产品的统一部署和监控分析。

分支部署方案：

　　   在分支的网络出口处部署1台网康NGFW产品，主要实现与总部IPSec VPN隧道对接，分支机构内网用户像访问局域网一样访问总部网络中的资源。同时提供全面的安全防护功能，包括传统防火墙功能、IPS、AV、URL过滤等安全防护功能，实现分支机构内部网络与外网的安全隔离。

网康VPN解决方案价值

1.VPN与安全技术融合

　　   随着企业规模的不断扩大，对信息安全也越来越重视。不仅要保证各分支机构与总部之间传输数据的保密性，还要保证病毒、木马等网络攻击不能在分支机构与总部之间的网络内随意扩散。所以企业既要有多方式的VPN互联方式，又要有全方位的安全防护功能。

　　   网康NGFW产品能够提供IPSec VPN、SSL VPN和L2TP over IPSec VPN等不同的VPN隧道技术，既能满足分支机构和总部之间互联，有能满足移动办公人员安全接入。多种VPN技术在1台设备上实现，方便用户的网络部署和设备维护。同时网康的NGFW产品是国内真正意思的下一代防火墙产品，在提供传统防火墙基本防护功能的同时，还能够保持高性能的实现IPS、AV、URL过滤等下一代防火墙的安全防护功能。

2.设备集中管理提升网络维护效率

　　   一些大型企事业单位、政府、组织的网络设备部署都是分布式的，总部部署了高端的VPN设备，分支机构也要部署相对低端的VPN设备，对于这么多专业的VPN设备的管理也是不小的挑战。随着技术的发展，VPN设备的提供的功能越来越强大，所以要想让这些功能全部发挥作用，配置也变得越来越复杂。而分支机构的安全管理人员肩负本分支所有网络设备和其他办公设备的维护工作，对安全设备的管理水平参差不齐。分支机构的VPN设备出现问题导致网络不通，本地安全管理者无法定位并排查问题。网络问题解决的速度慢、效率低非常影响公司正常业务的开展。

　　   网康科技提供的安全管理中心SMC设备能够实现设备的集中管理、全网状态监控以及全局威胁分析等功能，可帮助已经部署了多台NGFW产品的用户更好的降低管理成本、掌控全网安全状态，并且在全网大数据挖掘的基础上实现强大的威胁预警和分析能力。

3.VPN流量加速，提升用户访问体验

　　   随着VPN设备的大量部署，用户已经实现了对公司资源的安全访问，但访问资源的体验效果却成为用户关心的问题。因为外部员工接入内部网络时，如果出现访问速度慢、体验效果差，首先投诉的就是网络管理部门。导致VPN网络访问体验效果不好的根本原因是VPN隧道是建立在公共网络基础设施上的虚拟专用网络，所以总部出口带宽瓶颈、零散分布的多分支机构、跨广域网的局域网应用等都会对VPN用户访问网络产生影响。

　　   网康NGFW通过单边加速技术优化TCP连接过程。单边加速协议通过拥塞避免机制，能够快速准确的预估网络中可用带宽，并根据估计值确定拥塞避免窗口，从而较大限度的利用网络带宽。单边加速协议能够快速检测出丢包，并能快速准确重传该包，对时延较大，网络状况较差的情况能够有效的提升带宽利用率，通过更改快速恢复过程中发送端可以用来提高发送速率的方法，提供更大的吞吐量。

4.灵活组网、方便部署

　　   每一个客户的网络环境都存在很大差异，每个分支机构通过运营商接入网络的方式不同，分支的VPN设备可能隐藏在NAT地址转换设备的后面，个别场景需要VPN设备在网络扮演网关的角色，而又有些场景不允许VPN设备串接到网络中，总部的IPSec VPN设备与分支机构的设备品牌不一样。所以VPN设备需要支持各种网络环境下组网与部署。

　　   网康科技认真分析用户的各种应用场景，通过在NGFW产品上开发的多种方便灵活的VPN组网方式，适应客户需求。主要体现在如下功能特点：

　　   支持中心为固定IP，分支机构为ADSL这样动态IP的组网方式。

　　   支持IPSec隧道2端均为动态IP的DDNS组网方式

　　   采用国际标准IPSec协议，保障不同厂家设备互联的兼容性。

　　   支持旁路、路由等多种部署方式。

　　   支持对分支机构间的互通，设置访问控制，提供网内隔离授权管理。

　　   支持证书方式作为分支互联的认证手段，强化接入安全。

总结

　　   网康的NGFW设备，在提供多种VPN接入技术的同时，也提供了全方位的安全防护功能；在保证各种功能稳定运行的同时，也提升用户通过VPN访问内网资源的体验，所以网康科技能够为企业提供低成本一体化VPN网络互连方案。SMC可以实现对部署在远端的NGFW设备进行集中管理和状态监控，方便网络管理者对全网安全状态的及时了解与分析。