河北联通部署搭建深信服SSL VPN设备-VPN解决方案.doc

河北联通部署搭建深信服 SSL VPN 设备 -VPN 解决方案 随着国内各大运营商重组，中国联通的 CDMA 业务和中国电信合并、 GSM 业务和中国网通合并。原中国联通下属营业厅、特约代销点等营业网点，陆续划归不同的运营商。面对这种重组情况，中国联通河北分公司面临着如下棘手的问题： 一、 CDMA、 CSM 网络分割之痛 原河北联通下属营业厅及授权营业厅、特约代办点的营业终端设备有近10000 台，联通 CDMA、 GSM 业务运营商重组将使不同的营业厅、特约代销点属于不同运营商，甚至是同一办公点的不同营业终端会分属于不同的运营商。如何识别那些终端归属于哪个运营商？把原河北联通的设备以资产概念进行分配运营：让 CDMA 业务网设备接入中国电信、让 GSM 业务网接入新联通，并对接入用户进行严格的身份绑定与认证？ 除了识别终端并进行严格的访问控制外，河北联通网络运营目前还存在以下问题： 1、河北联通将 VPN 作为省公司的基础网络 平台，承载各类营业网点的基本工作，接入营业终端数量庞大，河北联通需要一套高性能、高稳定性的解决方案。 2、目前大量授权营业厅、特约代销点接入终端不受控制，存在的隐患在于：如果接入终端携带有木马病毒，那么极可能通过公网传输到省公司内网。 3、接入 VPN 通道的电脑也能上网，这样存在着黑客通过 Internet 线路控制接入电脑，进而对省公司内网造成威胁。 4、分散在全省的众多联通特约代销点、授权营业厅网络条件不一、使用者IT 水平参差不齐，需要一种操作简单、易于管理的安全接入方式。 5、河北联 通 VPN 访问的海量日志量存储成为难题，且缺乏一种有效的 VPN访问跟踪手段。 二、新联通的 VPN 接入平台构建要求 基于以上需求，河北联通广泛与 VPN 互联方案提供商接触，综合各方意见，最终确定出以下解决方案原则： 1、安全性原则 VPN 网络传输的数据均是组织机构的私密信息，必须考虑数据传输的安全性；虽然 VPN 网络建构在开放的 Internet 平台上，但必须保证无授权的用户无法接入 VPN 网络，即必须考虑用户接入的安全性；我们还得考虑对 VPN 虚拟内网资源访问权限管理。 2、稳定性、高性能 原则 大型组织对 SSL VPN 平台使用较为频繁，对稳定性要求也较高，河北联通的规模、应用要求采用专业级的硬件 VPN：采用高性能硬件架