东方华盾助力新华社VPN网络建设

　　 
　　新华社的信息网是一个覆盖全球、结构复杂、系统繁多、应用丰富、实时性强、作用重要的大型网络。

一旦因安全隐患而引发网络中断、业务停滞、数据泄漏、数据被篡改等情况，就可能造成非常严重的后果，其产生的负面影响不仅仅局限于经济效益、社会效益方面，甚至可能造成严重的政治影响。由于新华社是一家通讯机构遍布全球的大型新闻机构，国内外150多个分支机构，分支机构之间的联网只能是通过互联网，因此，要求在互联网上的通信应该是高度安全和保密的。为了完善和强化安全的新华社的网络，通过VPN技术的应用来达到将目前不具有专线连接的中小分社以安全的方式接入新华社内部网络当中，从而将新华社遍布全世界的各个分支机构网络和移动工作人员的计算机环境纳入到一个完整的网络平台之上，确保新华社的网络处于可管理和业务处于安全的运行环境当中。具体到业务流程上，实现由安全的VPN加密通道进行稿件传输替代原有的通过拨号等明文传输模式，从而解决稿件传输过程中被泄漏等风险。同时，利用VPN技术实现增加VoIP等业务的需求，解决由于拨打长途电话的高昂费用等经济问题。

　　解决方案：

　　在新华社总社内网安装华盾VPN-300作为总社接入Internet的中心VPN网关，此网关采用双机热备份方式，并为其分配静态的合法IP地址。中心网关具备完善的状态包过滤防火墙，并且自身安全性很高，可以抵御常见的拒绝服务等攻击。

　　在总社安置一台具有静态公网IP地址的“总部安全管理中心”。 总部安全管理中心负责本企业整个VPN环境中VPN设备的证书签发和管理，使得企业的VPN设备能够以电子证书方式进行身份认证和隧道的建立（本标书中的VPN设备同时支持预共享密钥的身份认证和隧道建立方式）。它是所有VPN设备上线认证的中心，负责全网VPN设备的区域划分和管理指派工作，并可以对所有VPN设备进行远程管理；为了实现集中的统一的安全身份认证，设计将VPN中的安全管理中心作为现有的CA认证中心的二级CA中心，从而实现统一的认证。

　　各中小分社分别安装华盾VPN作为分社VPN网关实现各分支节点的上网互联。分支网关同样具备完善的状态包过滤防火墙，自身安全性很高。

　　在移动用户的机器上安装客户端安全套件，实现与VPN网络的互联，支持ADSL、ISDN、PSTN、PPPOE、无线上网等流行的接入方式。客户端采用安全级别和使用方便的USB Key的方式来进行终端证书的存放，并进行访问口令保护。软件包内置了状态包过滤防火墙。

　　VPN硬件网关和客户端安全套件均具有系统配置信息备份和恢复功能。

　　

　　这样在整个新华社网络当中，我们利用Internet增加了一个VPN系统，从而实现了将各个中小分社纳入到新华社统一的网络当中。同时，创建了IP电话系统，实现了中小分社通过IP电话与总社端进行IP通话，大大减少了费用开支。

　　方案特点

　　高安全性

　　选用了先进的安全产品——华盾VPN；

　　对整个VPN网络的网络边界进行了严格定义和防护；

　　在VPN网络中部署的完整的病毒防护方案；

　　采用强身份认证确保接入用户合法；

　　高稳定性

　　我们对总社和移动报道组都采用了双设备热备份的方案，解决了网络关键点的单点故障问题。

　　高可管理性

　　VPN系统的身份认证统一纳入新华社已有的CA认证系统；

　　通过安全管理中心可以对全网的VPN设备进行集中管理；

　　通过安全管理中心可以对全网的VPN安全策略进行集中管理；

　　通过安全管理中心可以对全网络的VPN接入节点进行集中认证；

　　支持VPN网络的分级管理，减轻中心管理员的工作负担；

　　VPN设备支持标准网管协议；

　　支持动态IP地址组网

　　通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全管理中心（SMC）”进行注册和身份认证，然后从SMC下载自己的VPN策略；同时SMC负责当策略参数发生改变时，实时通知在线的网关产品更新策略，从而确保所有的网关都能够获得最新的策略参数变化情况。

　　可扩展性

　　通过集中管理，能够非常方便的进行网络节点的扩充，增加、删除网络节点对其他网节点的通讯不产生负面影响；例外能够在充分保护已有设备投资的基础上方便进行升级和扩容。

原文转自：http://www.ltesting.net