河北联通部署搭建深信服SSL VPN设备-VPN解决方案.doc
河北联通部署搭建深信服 SSL VPN 设备 -VPN 解决方案 随着国内各大运营商重组,中国联通的 CDMA 业务和中国电信合并、 GSM 业务和中国网通合并。原中国联通下属营业厅、特约代销点等营业网点,陆续划归不同的运营商。面对这种重组情况,中国联通河北分公司面临着如下棘手的问题: 一、 CDMA、 CSM 网络分割之痛 原河北联通下属营业厅及授权营业厅、特约代办点的营业终端设备有近10000 台,联通 CDMA、 GSM 业务运营商重组将使不同的营业厅、特约代销点属于不同运营商,甚至是同一办公点的不同营业终端会分属于不同的运营商。如何识别那些终端归属于哪个运营商?把原河北联通的设备以资产概念进行分配运营:让 CDMA 业务网设备接入中国电信、让 GSM 业务网接入新联通,并对接入用户进行严格的身份绑定与认证? 除了识别终端并进行严格的访问控制外,河北联通网络运营目前还存在以下问题: 1、河北联通将 VPN 作为省公司的基础网络 平台,承载各类营业网点的基本工作,接入营业终端数量庞大,河北联通需要一套高性能、高稳定性的解决方案。 2、目前大量授权营业厅、特约代销点接入终端不受控制,存在的隐患在于:如果接入终端携带有木马病毒,那么极可能通过公网传输到省公司内网。 3、接入 VPN 通道的电脑也能上网,这样存在着黑客通过 Internet 线路控制接入电脑,进而对省公司内网造成威胁。 4、分散在全省的众多联通特约代销点、授权营业厅网络条件不一、使用者IT 水平参差不齐,需要一种操作简单、易于管理的安全接入方式。 5、河北联 通 VPN 访问的海量日志量存储成为难题,且缺乏一种有效的 VPN访问跟踪手段。 二、新联通的 VPN 接入平台构建要求 基于以上需求,河北联通广泛与 VPN 互联方案提供商接触,综合各方意见,最终确定出以下解决方案原则: 1、安全性原则 VPN 网络传输的数据均是组织机构的私密信息,必须考虑数据传输的安全性;虽然 VPN 网络建构在开放的 Internet 平台上,但必须保证无授权的用户无法接入 VPN 网络,即必须考虑用户接入的安全性;我们还得考虑对 VPN 虚拟内网资源访问权限管理。 2、稳定性、高性能 原则 大型组织对 SSL VPN 平台使用较为频繁,对稳定性要求也较高,河北联通的规模、应用要求采用专业级的硬件 VPN:采用高性能硬件架