当前位置: 首页 > 产品中心 > 深信服网络安全系列 > IPSec VPN

IPSec VPN

  • 解决问题
  • 产品功能
  • 价值优势
  • 应用场景
  • 在以下领域,深信服IPSec VPN为用户解决难题,使网络不再成为企业信息化发展的瓶颈:

    A、异地机构远程互联

    大中型组织统一信息平台建立和资源共享的需求越来越普遍,而需要实现全省乃至全国所有分支机构的互联所带来的高昂专线费用则大大增加了企业的运营成本。深信服IPSec VPN可为您提供一种高性价比的异地机构组网方案,使用普通的互联网连接即可实现安全、快速、便利的组网,在降低网络成本的同时大大提高异地机构协同办公效率。

    B、大网中建小网

    行业专网中包含着各个组织、各个部门的各类应用,对于某些关键应用需要一种高安全加密方式进行数据的保护,防止重要数据在大专网中遭泄漏。深信服IPSec VPN可助您在大专网中划分小专网,对重要信息系统进行安全加固,保证部门核心数据的安全性。

    C、专线改造及替换

    专线具有速度快、保密性高的优势,而这是需要每月重复的高额网络投资来支撑。在现有的经济环境中,我们如何实现高性价比、高投资回报的网络的构建,实现网络价值的最大化?深信服IPSec VPN通过多种加速技术让VPN网络达到可媲美专线的享受,为您提供一种低成本、高安全性的快速组网方案。

    D、行业专网延伸建设

    企业的网络架构往往是依据组织架构进行构建的。对于拥有三级甚至多级组织架构的大型企业,在省间甚至市间采用的是专线进行主体网络的构建。而面对广大的县级甚至乡级分支的专线网络构建就显得力不从心,一方面许多地方专线网络无法到达,另一方面是性价比难以得到很好的保证。深信服IPSec VPN可为您提供高性价比的行业专网延伸方案,快捷构建企业超级大网。

    E、构建VPN备份网络

    在信息化社会业务的稳定性需要网络的稳定性来保证,在一个完整的网络构架中,备份网络处在一个使用频率低却又不可或缺的关键位置上。深信服IPSec VPN可为您提供一份具有高稳定、高性价比的备份网络建设方案,保证网络时刻畅通运行。

    F、3G VPN

    深信服推出的3G VPN产品,支持WCDMA和CDMA2000制式,具有WAN和3G两种不同类型的接口,在有线可以覆盖的区域通过ADSL建立VPN,实现与总部的互联,3G网络作为备份线路。在有线无法覆盖的区域,3G 网络作为主线路,通过3G VPN实现VPN互联。

  • 深信服IPSec VPN主要具备以下产品功能:

    A、安全功能:

    1)基于IPSec协议,提供安全、高效、灵活的隧道协议:

    SANGFOR IPSec VPN产品遵循IPSec协议。IPSec是目前最为安全VPN协议。通过IPSec在Internet上建立安全可信的隧道,各实体之间的数据都是通过安全隧道传递。

    基于此,SANGFORSL协议是改进IPSec协议,改进的方法为:采用多包封装,减少冗余数据;采用流压缩技术,使得网络利用率提高到130%;采用TCP封装,可以适应各种复杂网络结构,灵活的建立安全隧道。

    2)完备的接入鉴权和硬件绑定CA认证机制:

    SANGFOR IPSec VPN产品内置RADIUS服务,完成对接入分支、移动的用户名,密码认证。同时,SANGFOR IPSec VPN还支持AD(活动目录)认证、第三方RADIUS认证等,满足了用户多种接入认证方式,保证了用户接入的安全。

    此外,为避免传统方案的泄密缺陷,SANGFOR IPSec VPN使用了深信服公司的专利技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证

    3)集成USB Key的硬件身份识别功能:

    深信服科技采用基于硬件USB Key的身份验证机制来保证VPN移动用户的身份不被盗用。

    4)更细致的权限粒度:

    使用SANGFOR IPSec VPN,就可以通过VPN权限粒度保证高级权限的用户能访问总部的所有服务器,而普通权限的用户则只能访问OA服务器,通过限制VPN用户只能访问服务器开放的服务端口,还可以限制病毒通过一些不安全的端口(如RPC)跨网传播。

    B、稳定可靠性:

    1)互为备份的Web寻址技术:

    通过基于Web的动态寻址,使得SANGFOR IPSec VPN可以支持ADSL等动态IP拨号上网方式,无需固定IP或有效IP,为企业选择合适的ISP提供了极大的方便。

    2)多线路互为备份,保证VPN稳定运行:

    深信服科技的VPN产品采用了多线路复用专利技术,SANGFOR IPSec VPN软件可以支持多达四条、而硬件最多可以支持到6条上网线路。

    3)单臂模式下的多线路,更加稳定可靠:

    SANGFOR IPSec VPN独家支持单臂模式下的多线路,通过与前置网关设备的配合,使VPN单臂部署就可实现在网关模式下多线路的全部功能,在单臂模式部署下仍能为用户提供更可靠、更稳定的VPN网络。

    4)断线重连,自动恢复:

    为了保证VPN网络的稳定性,SANGFOR IPSec VPN内置断线快速恢复技术,在VPN连接异常中断后立刻启动检测机制,当网络物理连接恢复正常后,VPN隧道将在3秒钟内自动恢复,从而保证VPN网络能够迅速恢复,保证VPN网络的高可用。

    5)冗余容量设计,应对突发:

    SANGFOR IPSec VPN 产品的设计容量大大超过一般用户的实际容量。SANGFOR VPN软件设计容量最高可支持500,000条隧道,这种冗余容量的设计保证VPN网络即使遇到业务突发高峰,也能稳定运行。

    C、高速的VPN:

    1) 集成快速流压缩技术,突破上网带宽限制:

    SANGFOR VPN在IPSec 封装中集成了快速的压缩算法,同时也可以作为加密的加强。所采用的LZO流压缩算法,比传统的ZIP快出近10倍,很好的保证传输的实时性。在启动了该流压缩选项后,能极大的减少冗余数据流量,增大传输效率。

    2)带宽叠加技术扩充带宽,增加线路备份:

    SANGFOR IPSec VPN 使用多线路复用技术,通过该技术可以在两点间同时使用多条Internet 线路实现互联。一方面通过线路复用实现互联带宽叠加,大大增加大数据量业务的处理速度,另一方面,当其中的一条线路中断时,系统可以把负载自动切换到其他线路,使得互联线路不中断,大大增强VPN系统的稳定性。

    3)VPN隧道动态速度探测,选取最快的访问线路:

    深信服IPSec VPN采用多线路智能选路技术。当企业总部使用多条上网线路,分支使用SANGFOR IPSec VPN访问总部资源时,SANGFOR VPN总部会对多条线路速度进行动态探测,从而自动检测出最优线路,使得使用不同运营商上网线路的VPN分支都能以最快速度访问企业总部数据。

    4)选路策略细化至单用户,提供最快的VPN接入:

    SANGFOR IPSec VPN创新性的提供了多线路选路策略细化到用户,通过该功能总部可根据分支网络环境为其分配最适合的选路策略,通过在多条主线路间灵活使用带宽叠加或负载均衡,保证VPN分支访问总部应用服务的速度和稳定。

    D、高品质保障的VPN:

    1)细致的VPN隧道间流控,保证分支接入的稳定可靠:

    SANGFOR IPSec VPN提供隧道间流控功能,通过在总部设备对VPN分支用户设定VPN流量上限,在VPN连接建立时总部自动将此策略下发到分支或移动,分支或移动根据下发的策略进行流控,使分支用户都能拥有一个高品质的VPN传输链路。

    2)完整支持基于组播的应用,提供更好的体验感受:

    深信服科技创新性地在VPN隧道中兼容了组播数据包,使其能通过VPN隧道进行“一对多”传播,完美的解决了基于组播的应用在VPN网络上的传输问题,使用户获得更好体验感受同时得到更高的安全性。

    3)VPN支持隧道的内NAT,保护网络结构的完整性:

    深信服科技为此独创了隧道内的NAT技术。通过对传输的数据进行源地址转换,来屏蔽冲突分支的内网IP地址,使得具有相同内网IP网端的分支都能同时接入总部,从而为用户提供一个简单、高效、易用的VPN网络。

    4)独创的VPN内部QOS功能,保证重要业务服务品质:

    SANGFOR IPSec VPN将独创的智能QOS分配技术应用于VPN中。通过该项技术,用户可以自定义不同服务的QOS级别,并分配给不同级别的服务在VPN隧道内的带宽比例,重要的服务得到更大的带宽。

    5)强大的路由分离功能,增强QOS,集群技术保证服务质量:

    SANGFOR IPSec VPN自带智能软路由功能,可以将非互联的数据(即直接访问Internet数据)路由到本局域网的其他网关或路由设备,从而达到分离VPN数据和外网数据,以及扩大出口带宽的目的;或者利用多条线路多个网关组成的集群同时接入众多的分支。

    E、方便灵活的VPN:

    1)接入服务、对移动IP的全面实现:

    SANGFOR IPSec VPN提供远程接入模块,可以充当远程接入服务器。

    2)支持各种接入方式,随时随地移动办公:

    SANGFOR IPSec VPN使用虚拟适配技术将网络适配层和VPN层逻辑分离,使得SANGFOR VPN可以支持任何接入方式

    3)安全策略随时携带,客户端零配置:

    SANGFOR IPSec VPN 集成DKEY技术,可以将移动用户的安全策略存储在类似U盘的USB Key(又名DKEY)中。这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY,可以在任何一台电脑安全的接入到总部。

    4)简单方便的配置备份和恢复:

    SANGFOR IPSec VPN采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能,管理员可方便的对配置文件进行备份,恢复。同时管理员还可以在本地配置好远程网络,利用配置恢复功能在远程导入配置。

    5)支持远程部署和模块升级:

    SANGFOR IPSec VPN 软件VPN产品,安装方便,可以实现远程安装、远程部署。安装可以在10分钟内完成,大大降低了企业部署VPN网络的成本。SANGFOR IPSec VPN软硬件产品都支持实现远程维护,也将大大降低企业的运维成本。

  • A、灵活的组网解决方案:

    1)满足各种规模的分支组网:包括总部组网——独立的WOC、SSL VPN;区域分部——注重管理AC、注重安全AF;小型分支——一体化网关MIG、IPSec VPN;微型分支/移动分支:3G VPN。

    2)多功能一体化网关MIG:一台设备,满足多样化需求,包括访问控制、流量控制、认证系统、应用封堵、路由、代理上网、SC集中管理、防火墙、ARP、DOS攻击等

    3)3G、WIFI VPN:一台设备,满足多样化需求,包括访问控制、流量控制、认证系统、应用封堵、路由、代理上网、SC集中管理、防火墙、ARP、DOS攻击等

    B、高强度的链路安全:

    1)支持多种加密算法:支持AES、DES、3DES、MD5、SHA、DH、RSA等算法;支持扩展国密办、SCB2等其他加密算法。

    2)硬件证书认证:独创的基于设备硬件特征属性实现网关及移动终端的硬件证书认证,确保接入用户和接入设备身份的确定性和唯一性。

    3)移动客户端专线功能:对端用户接入VPN网络后,可设置自动断开与其他互联网的连接,从源头上断绝黑客以此为跳板,进攻组织内网,保障内网安全。

    C、领先的线路优化技术:

    1)畅联技术:畅联技术将VPN隧道中的数据进行封装,并将TCP协议转换成高效率的FLK协议进行传输,优化了滑动窗口并改进了重传机制,FLK协议非常适合于丢包严重的环境,提高网络传输速度和稳定性。

    2)多线路技术:IPSec VPN实现多条线路间“线路主备,带宽叠加及负载均衡”根据用户来划分多线路策略,确保VPN访问速度最大化。

    D、部署便利,简化管理:

    1)VPN隧道内NAT技术:使用相同IP地址段的分支机构,无需改变IP地址即可接入VPN网络,部署简单。

    2)VPN隧道内流控技术:统一为各分支划分接入总部的带宽资源,改善分支访问总部的访问速度和体验。

    3)一体化集中管理:硬件一体化的集中管理平台,实现全网数万VPN节点的集中管理,实时监控,远程维护,智能升级和日志统一管理。

  • 应用场景一——快速、安全、稳定的分布式企业广域网组建方案

    在竞争激烈的市场环境中,众多的企事业单位都不约而同地采用各种手段来压缩运营成本,提升自己的竞争力,大家都使用了越来越多的服务器和软件系统来处理业务,然而,在新时期,企事业单位的应用系统(如ERP、CRM、OA等)如何扩展到远程分支机构中去?

    除了分支机构外,第三方供应商、合作伙伴、出差人员也需要接入到总部,面对各种不同的应用系统,大家如何选择一种高效、经济、灵活的接入方式?

    实现业务互联网络面临的难题

    1)分支互联方式难定:王先生是某企业的网络管理员,目前准备将该企业下属的20个分支机构和总部互联,但是到底该选择什么方式来互联呢?铺设光纤或者局域网布线,不现实,因为有很多分支机构不在本地;租用运营商的链路,成本高,分支太多,也不划算;将内部网络的应用服务器全部映射在互联网出口处,不安全,风险太大!

    那么到底该如何根据企业现有的规模、业务特点来选择合适的网络互联方式?

    2)专线成本居高不下:唐小姐是某海运集团的财务高管,随着国内外贸企业业绩的下滑,该集团的海运业务也受到了重大影响,当整理本季度的财务报表时,唐小姐发现:公司每个月的专线租赁费用一直保持在6位数。

    通过专线接入可以有效地将企事业单位的各个分支连接起来,可其高昂的租赁费用则是大家选择时不得不考虑的问题。

    3)远程接入难以解决:张先生是某公司的业务经理,现在上海出差参加一个行业会议,突然接到公司小李的电话,由于客户需要提前到货,现在需要张经理紧急审批发货订单,而当张经理到酒店打开电脑时才想起不能连接到公司内网。

    张先生所遇到的困惑也是众多长期出差人员所面临的最为尴尬的问题,如何通过一种安全、便捷、经济的远程接入方式,访问公司内部的应用系统?

    深信服网络互联解决方案

    遵循着提升用户带宽价值的理念,充分利用已有的互联网线路资源的思想,深信服为用户提出了更高性价比的解决方案。通过在总部和两个相对较大的分支部署广域网优化设备,在较小的分支机构部署IPSec/SSL 二合一VPN设备,通过该组网方式不仅可以有较快的访问速度,同时由于所有的数据都以加密方式传输,很好地保证了传输的安全性。而且,利用深信服SSL VPN,我们可以很好地实现移动办公需求。

    深信服网络互联解决方案的价值优势

    1)高效的访问体验:深信服广域网优化设备通过一系列的优化技术,如网络底层传输协议的优化,先进的数据处理优化,常见应用协议的优化,网络传输丢包问题的解决等手段为总部分支之间应用的高效访问提供了有力的技术基础。

    2)安全的访问过程:深信服IPSec/SSL VPN、广域网优化设备可以通过VPN技术将互联网上传输的数据加密后封装在隧道中,有效地保障了数据在互联网上传输的过程中不被窃取。且多种用户身份认证方式,保证了合法用户安全地接入。

    3)细致的权限划分:通过细致的权限划分,深信服整个网络互联方案使得整个访问过程都是在相应的权限分配下进行,有效地保障了整个访问过程的可控性。

    4)扩展的移动办公体验:该方案可以为合作伙伴、组织驻外人员、出差人员提供一种安全、可控、便捷的远程接入方式,访问总部的各种系统资源。

    应用场景二——安全、快速、方便、灵活的3G VPN组网方案

    随着移动宽带的广泛覆盖以及终端移动互联普遍应用,3G技术依赖其高速率、覆盖广、移动性强等特点,提供了传统固网所无法比拟的便利性;数据大集中,企业业务和规模的进一步发展,分支覆盖全国乃至全球个区域,其数据信息的共享传输凸显重要;一些无固定地点或者有线带宽无法达到的地方,通过3G实现网络互联发挥了独特的作用,成为企业组网的另外一种高效、经济型的选择方案。

    企业移动互联网线路应具备的特质

    1)安全:保障数据在公共网络传输的安全性;

    2)快速:国内跨运营商线路较多,保障数据在高延迟、高丢包3G线路上高效传输;

    3)灵活:方案根据客户企业分支规模、应用场景、可扩展性实现固网与非固网的灵活经济性的组建;

    4)管理:实现对整个网络设备的集中管理和维护,线路流量统计,实现合理规划。

    深信服3G VPN组网解决方案

    为了更灵活更贴切的满足客户需求,深信服推出外置3G USB上网卡和自带天线内置SIM插槽2种3G VPN网关设备,同时为了给客户带来更多价值,我们还推出一块集成WIFI+3G的一体化VPN网关设备,帮助企业通过3G网路建立VPN互联到总部,同时分支实现无线信号完美覆盖。

    1、企业集团总部只需要部署具备标准IPsec VPN功能设备,当然如果总部采用的是深信服产品(具备IPsec 模块),无论是实现当前互联还是未来网络平台的平滑升迁都具有很大优势。

    2、异地数据中心或者重要分支机构通过固网互联到集团,为了规避单一线路单点故障,可通过部署3G VPN实现建立备份线路,当固网发生故障后将业务切换到备份VPN线路,确保业务稳定交付。

    3、异地中小型分支机构,可根据分支规模,网络场景、灵活选择3G设备形态,通过3G网络建立互联网线路,并建立VPN实现与总部的互联。

    4、深信服3GVPN形态分外置3G USB上网卡、内置3G SIM卡及集成WIFI+3G一体化VPN网关(支持CDMA200、WCDMA),帮助企业实现便利、高效、灵活性的高性价比组网方案。

    5、对于固网方便搭建的环境,3G VPN依旧保留传统有线VPN功能,实现在互联网上快速建立VPN。

    6、对于高延迟、高丢包跨运营商线路,通过畅联技术打造稳定、高效链路,保障业务交付效率,提高客户体验效果。

    深信服3G VPN组网解决方案的价值优势

    1)组网、加速、安全、可管理一体化网关安全网关设备,降低企业投资成本;

    2)多种认证方式及高安全数据加密,具备防火墙和权限控制,有效预防网络风险;

    3)畅联技术有效优化跨运营商线路所带来业务交付慢问题,提高企业效率及竞争力;

    4)全网可管理性及多线路VPN优先级备份技术,增强网络稳定性和易用性;

    多种3G VPN产品形态,帮助企业组网灵活、便利、高效的竞争性方案。