查看详情

H3C方案-远程安全接入解决方案

发表于2016-11-18 02:01:39

方案相关内容
金融行业分支机构众多,地理分布广泛。普遍存在小型分支接入、合作伙伴远程接入和移动办公等需求。随着网络安全技术的不断发展,VPN已成为成本最低、应用最广泛的接入技术。但是,以下难题却一直困扰着用户:
  分支机构、合作伙伴、移动用户等不同接入需求如何解决
  接入用户的安全如何保证
  众多分支机构如何管理
H3C远程安全接入解决方案能彻底解决上述问题,是业界最佳的VPN方案,方案由安全接入网关和安全管理平台组成。安全接入网关SecPath防火墙融合多种VPN技术和专业防火墙功能,实现分支机构、合作伙伴、移动用户的一体化远程安全接入;并通过安全管理平台实现众多SecPath防火墙的统一部署、监控、管理。


1. 远程安全接入解决方案

分支机构接方式
IMG_259
方案亮点
  总部双VPN网关组网,可以实现负载分担和备份。
  支持OSPF over GRE over IPSec组网,实现动态链路检测和备份切换。
  安全管理平BIMS、VPN Manager和SecCenter,实现远程接入的统一部署、监控和管理。

 

移动用户接入方式
IMG_263
方案亮点
  无须客户端软件
 使用SSL完成用户身份认证和报文加密,安全性高
 包括本地认证、Radius认证、LDAP认证、AD认证、证书认证、双因素认证等完备的认证方式


2. 总体方案优势
一体化安全接入方式
一台VPN网关同时支持IPSec VPN、SSL VPN、GRE VPN 以及VPE(VPN+PE)技术,一台设备即可解决分支机构、合作伙伴、移动用户的不同接入需求。
在涉及到MPLS网的情况下,通过H3C专有的VPE技术,可将不同用户映射到相应的MPLS VPN,实现分支机构、移动用户和MPLS网的加密互联。
全面的接入安全保障
SecPath防火墙集成状态过滤、攻击防范、NAT、流量监控、动态路由等功能,能有效防范来自外部和内部攻击、过滤VPN隧道中的非法流量,既保护了传输通道的安全,也保证了传输内容的安全;同时,通过对接入用户的认证、授权和审计,防止接入用户越权使用网络,造成信息泄漏;对于移动用户的接入,则通过终端安全漏洞审查,杜绝不符合安全策略的用户接入。
统一安全管理
安全管理平台由BIMS、VPN Manager和SecCenter三个组件组成,实现了远程接入的统一部署、监控和管理。BIMS能对所有分支进行统一系统软件升级、策略集中下发,当分支机构通过拨号或者NAT连接上Internet时,公网IP地址不固定,普通的网管系统不能管理,BIMS能突破普通网管的限制,实现整网设备的统一部署;VPN Manager对VPN隧道实时监控,第一时间了解用户接入状态、流量分布;SecCenter对全网安全事件进行收集和分析,具有强大的审计功能,实时输出安全报告,协助管理员及时掌握远程接入安全状态。
高可靠性
通过双机热备、L3 Monitor、IPSec DPD、动态路由等先进技术对链路状态实时探测,在链路故障或者设备故障的情况下,及时发现故障并快速自动切换,保障业务不间断运行。


3. 典型案例
深圳平安保险全网VPN
深圳平安保险股份有限公司是中国第一家以保险为核心的,融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的紧密、高效、多元的综合金融服务集团。公司市值超过100亿美元,是国际知名大型金融保险机构之一。

平安保险VPN项目的目标是通过VPN技术将平安保险遍布全国3000个营业网点和平安保险总部业务系统互联。项目中采用了两台SecPath F1000作为中心VPN网关,上连至Core Farm。3000台SecPath F100作为分支机构VPN网关,中心VPN网关和分支VPN网关通过IPSec VPN技术通过Internet互联,实现了远程分支机构和总部的业务互通。在管理上部署了CAMS管理软件:由网络管理框架、网络配置中心和VPN设备管理软件系统三个组件构成,用于对网络系统、VPN设备和操作系统提供统一的界面和统一的管理。部署了BIMS分支智能管理系统,对上千个分支机构的SecPath F100进行统一的OS、补丁、配置、策略等集中管理和下发