需求分析

當(dāng)全球化和信息化成為世界的主題,在國民經(jīng)濟中舉足輕重的中國金融、證券行業(yè),他的信息化建設(shè)也就被推到了時代的前沿舞臺。尤其是異地機構(gòu)網(wǎng)絡(luò)的互聯(lián)，移動辦公等已經(jīng)成為焦點。

雖然金融、證券行業(yè)的異地網(wǎng)絡(luò)一般都已經(jīng)采用了專線的方案，但是隨著信息化的不斷深入，原有線路已經(jīng)不能滿足業(yè)務(wù)及辦公的需要，而且隨著移動辦公的需求增加，互聯(lián)的問題再次出現(xiàn)。

為了確保業(yè)務(wù)的穩(wěn)定和可靠，金融、證券公司基本都采用專線方式（DDN、幀中繼）將公司總部和各分公司或營業(yè)部連接起來，每年龐大的專線費用對每個公司來說都是一筆不小的開支。但是，大部分金融、證券公司的內(nèi)部網(wǎng)絡(luò)非常復(fù)雜，且目前信息化程度都有很大程度上的完善，特別是辦公信息化，如果還通過原有的DDN 等線路來傳輸，那么會出現(xiàn)很影響業(yè)務(wù)系統(tǒng)的正常運行或需要加大對線路的成本投入的現(xiàn)象，且還不能解決移動。針對于以上的需求，隨著目前VPN產(chǎn)品及技術(shù)的成熟、廣泛的應(yīng)用，采用低成本的連接方式（VPN），傳輸那些非主流的數(shù)據(jù)，將會大大降低金融、證券公司在信息化成本上的投入，同時也很好的解決了移動辦公和部分移動性較大業(yè)務(wù)的與客戶的數(shù)據(jù)傳輸。

其次，一：金融、證券公司的分公司或營業(yè)部特別多，且分部在全國的大多數(shù)城市，所以上網(wǎng)線路ISP的選擇很難統(tǒng)一；二：他們的數(shù)據(jù)是相當(dāng)敏感和重要的，其傳輸過程不允許因線路故障而出現(xiàn)中斷；所以，具不同運營商的線路疊加和穩(wěn)定的備份線路將是所有金融、證券公司需要考慮的問題。如何選擇一條價格上具優(yōu)勢，性能相對其它方式又有良好的備份線路呢？

VPN組網(wǎng)方案

VPN產(chǎn)品的出現(xiàn)很好的解決了上述的問題，相對于按期付費的專線，一次性投入的VPN系統(tǒng)將在整體成本上具有無可比擬的優(yōu)越性。以下是VPN在金融、證券行業(yè)網(wǎng)絡(luò)拓展的應(yīng)用的大概情況：

實施拓撲圖如下：

產(chǎn)品選型：

SINFOR M5100

作為國內(nèi)領(lǐng)先的VPN和網(wǎng)絡(luò)安全研發(fā)產(chǎn)商，深信服科技推出的SINFOR M5100，獲得2004～2005年“計算機世界”的年度產(chǎn)品獎和“中國計算機報”的編輯選擇獎。是一款高性價比的硬件VPN/防火墻網(wǎng)關(guān)，用于中型企業(yè)總部網(wǎng)絡(luò)或大型企業(yè)的區(qū)域總部網(wǎng)絡(luò)。該產(chǎn)品又分標準版、專業(yè)版兩款，其中標準版支持3個百兆網(wǎng)絡(luò)接口（1 LAN, 1 WAN, 1 DMZ），為單線路VPN。專業(yè)版支持4個百兆網(wǎng)絡(luò)接口（1 LAN, 2 WAN, 1 DMZ），為雙線路VPN，支持兩條Internet線路帶寬疊加及備份。SINFOR M5100具有強大的VPN功能，支持各種Internet接入方式（包括ADSL、LAN寬帶、XDSL等等）。設(shè)備內(nèi)置WebAgent動態(tài)IP尋址機制，雙尋址方式保證了尋址的穩(wěn)定性。SINFOR M5100采用了改進的IPSEC協(xié)議，在確保VPN隧道安全的同時、進一步提高了數(shù)據(jù)傳輸?shù)男�率。同時集成了LZO高速流壓縮算法，對常見的應(yīng)用（如文件傳輸、數(shù)據(jù)庫查詢等）大大提高了速度 。同時，在安全性上，SINFOR M5100網(wǎng)關(guān)集成了高強度的加密算法，并可以進一步通過軟件或硬件卡的形式進行加密算法的擴展，保證了數(shù)據(jù)傳輸?shù)陌踩�。其次，網(wǎng)關(guān)系統(tǒng)內(nèi)置Radius 服務(wù)、并采用了HARDCA硬件證書的形式進行身份認證，確保接入用戶的合法有效。另外，SINFOR M5100還針對內(nèi)網(wǎng)用戶可以設(shè)定細致的訪問權(quán)限、避免了病毒類文件的隨意傳播和越權(quán)訪問帶來的安全隱患。并且，M5100本身也是一臺高性能的防火墻設(shè)備，能有效抵御外網(wǎng)的攻擊。

SINFOR S5100

SINFOR S5100是集成VPN/防火墻的硬件網(wǎng)關(guān)，采用了最先進的嵌入式一體化硬件平臺、RISC NP處理器，保證了高可靠性和突出的性能。S5100支持3個百兆網(wǎng)絡(luò)接口（1 LAN, 1 WAN, 1 DMZ），為小型企業(yè)、分支機構(gòu)提供了強大的安全網(wǎng)關(guān)（VPN/防火墻/共享上網(wǎng)）功能。S5100的VPN吞吐量為：5－10M（AES加密），而防火墻的吞吐量達到50M，完全能夠滿足絕大部分中小型企業(yè)ADSL等寬帶網(wǎng)絡(luò)接入環(huán)境。

在外觀設(shè)計上，SINFOR S5100設(shè)備緊湊、美觀。所采用全鋼結(jié)構(gòu)的外殼，一體化的嵌入式硬件平臺，以及低功耗的設(shè)計，非常適用于小型企業(yè)或分支機構(gòu)等規(guī)模較小的網(wǎng)絡(luò)。

SINFOR M5400

SINFOR M5400是一款功能強大的安全平臺，是千兆高性能的硬件VPN/防火墻網(wǎng)關(guān)，用于大型企業(yè)或重要網(wǎng)絡(luò)的中心節(jié)點。標準配置的一臺設(shè)備支持4個千兆接口（其中2個WAN口，1個LAN口，1個DMZ口）和2個百兆接口（用于WAN口）。各網(wǎng)口均可自定義，并能通過模塊擴充的方式、增加網(wǎng)口或者光口。

對于大型企業(yè)或重要網(wǎng)絡(luò)來說，帶寬和穩(wěn)定性的要求更高。SINFOR M5400支持4個WAN口（其中1000M*2 & 10/100M * 2），可支持四條Internet出口線路的帶寬疊加和備份，增強了網(wǎng)絡(luò)的穩(wěn)定性和出口帶寬。同時，多條線路與其他節(jié)點建立VPN連接時，能夠根據(jù)線路匹配質(zhì)量智能選擇通信線路，尤其適用于分支或移動節(jié)點便于于不同運營商網(wǎng)絡(luò)中的情況。

SINFOR M5400同樣支持深信服科技VPN產(chǎn)品的全部特性，能夠和M5400、M5100、S5100及SINFOR DLAN VPN軟件互連互通，按需組網(wǎng)。

SINFOR DLAN VPN

SINFOR DLAN VPN軟件是領(lǐng)先的VPN軟件系統(tǒng)，從產(chǎn)品功能上分為標準版、安全版（集成DWALL軟件防火墻）和專業(yè)版（支持多線路綁定、帶寬疊加）三種類型。每一類型的產(chǎn)品均由總部模塊（MDLAN）、分支模塊（SDLAN）和移動用戶模塊（PDLAN）構(gòu)成，用戶可根據(jù)自身的網(wǎng)絡(luò)規(guī)模，選擇合適的產(chǎn)品類型、模塊數(shù)量，構(gòu)建適合自身業(yè)務(wù)需求的VPN網(wǎng)絡(luò)平臺。

SINFOR VPN集中安全管理中心

VPN產(chǎn)品與其他網(wǎng)絡(luò)產(chǎn)品相比、有一個非常顯著的特點，就是VPN產(chǎn)品在應(yīng)用中的部署一定是跨地域的、分布式的，如何將這個跨地域的網(wǎng)絡(luò)集中、統(tǒng)一的管理起來，并有效的進行部署和升級，保障整網(wǎng)的安全和可持續(xù)發(fā)展？SINFOR VPN集中安全管理中心（Secure Center）能夠很好的解決這些問題。

SC平臺包括中心安全策略服務(wù)器、GUI管理器、數(shù)據(jù)庫服務(wù)器、日志報表服務(wù)器、集中監(jiān)控服務(wù)器、升級部署服務(wù)器、VPN網(wǎng)關(guān)設(shè)備(3.0以上)、VPN網(wǎng)關(guān)軟件等十幾個組件。

　4、集成企業(yè)級的防火墻。深信服科技提供的SINFOR M5100、S5100、M5400安全網(wǎng)關(guān)、SINFOR DLAN VPN以及SINFOR SC產(chǎn)品均集成VPN及企業(yè)級防火墻于一體，在提供豐富的VPN功能的同時，其自帶的企業(yè)級防火墻能夠提供對網(wǎng)絡(luò)強大的保護和管理功能，確保網(wǎng)絡(luò)不被 Internet非法用戶攻擊及入侵，并對內(nèi)網(wǎng)用戶上網(wǎng)行為進行非常細致的管理，避免內(nèi)網(wǎng)用戶隨意的Internet訪問行為帶來的安全隱患，能夠充分保護金融、證券VPN網(wǎng)絡(luò)工作于Internet時其內(nèi)外網(wǎng)絡(luò)的安全。

五、靈活性。

對移動IP的全面實現(xiàn)：一般 VPN部署都需要改變網(wǎng)絡(luò)結(jié)構(gòu)，SINFOR DLAN在充當(dāng)遠程接入服務(wù)器時，不需要客戶網(wǎng)絡(luò)做任何改變。遠程用戶接入到網(wǎng)絡(luò)來時，可獲得一個該網(wǎng)絡(luò)的內(nèi)外IP地址，并以此IP與網(wǎng)絡(luò)內(nèi)其它節(jié)點進行雙向的訪問，若該遠程用戶原本就是該網(wǎng)絡(luò)內(nèi)的一個用戶，則在遠程接入后仍可保留原本的IP地址，做到在遠程和在本地時一模一樣。

對各種接入方式的全面支持：通過改進的IPSEC隧道封裝技術(shù)，SINFOR DLAN能很好的支持NAT穿透功能，使得SINFOR DLAN可以支持任何接入方式，包括GPRS, CDMA1X,WLAN等最新的無線上網(wǎng)接入方式，甚至是未來NGN接入方式。SINFOR DLAN實現(xiàn)了用戶隨時隨地移動辦公的夢想，并能保護用戶對未來的網(wǎng)絡(luò)投資。

安全策略隨時攜帶，客戶端零配置：SINFOR DLAN 集成DKEY技術(shù)，可以將移動用戶的安全策略存儲在類似U盤的USB Key(又名DKEY)中。這樣移動用戶隨身攜帶標識自己身份和存儲了對應(yīng)安全策略配置信息的DKEY，可以在任何一臺電腦安全的接入到總部。安裝好 PDLAN軟件后，用戶只需要插入DKEY，輸入自己的密碼就可以完成接入，做到了VPN客戶端零配置，和使用銀行取款機一樣安全方便。

簡單方便的配置備份和恢復(fù)：SINFOR VPN采用多個加密的配置文件形式保存配置信息。系統(tǒng)提供了對所有配置的打包備份功能，管理員可方便的對配置文件進行備份和恢復(fù)。同時管理員還可以在本地配置好遠程網(wǎng)絡(luò)，利用配置恢復(fù)功能在遠程導(dǎo)入配置。

支持遠程部署、軟硬兼施：SINFOR VPN既有安裝方便的純軟件產(chǎn)品，也有相應(yīng)的硬件模塊。軟件模塊可以實現(xiàn)遠程安裝、遠程部署。模塊化設(shè)計，用戶可以根據(jù)需要，下載相應(yīng)的模塊文件即可增加新的功能。而深信服科技的所有硬件模塊，如： M5400、M5100、S5100、等硬件產(chǎn)品系列之間可以互連互通，也可以和SINFOR DLAN系列軟件VPN互連互通，方便金融、證券行業(yè)公司根據(jù)自身的實際環(huán)境、按需選擇產(chǎn)品模塊，構(gòu)建量身定制的VPN網(wǎng)絡(luò)。