广西XX县财政局VPN移动加速
升级方案
XX科技股份有限公司 2009年5月
广西XX县财政局移动加速升级方案
前 言
以Internet为代表的全球性信息化浪潮日趋高涨,信息网络技术的应用日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。政府及事业单位一直是中国信息化的先行者,政府网络的建设已经比较完善。随着“电子政务”建设的进一步深入,从2006年以来、广西财政信息化建设重点变化明显,“金财工程”系统的受重视程度继续加强;而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。
按照国家网络安全管理的要求,财政局内网和外网必须物理隔离、以保障含有国家机密信息的“内网”的绝对安全。但随着电子政务、网上办公、财政部门自身的信息化业务系统等的发展,财政部门与自身有业务关系的机构、外界相关单位信息交互的“外网”安全和互连互通就变得尤为必要。
特别是2007年广西全区实施的“国库集中支付”系统,应用单位遍布于城县的各地,下属单位也经常需要与所管辖的财政局交互信息。同时,各地财政部门的办事人员经常出差,移动办公需求也日益迫切,因此财政机构对远程接入到财政“内网”的应用需求是显而易见的,然而在各地实施“国库集中收付”系统后还存在一些应用上的问题。
1.现状分析
2007年,广西XX县财政局国库集中支付网络广域网已经建设完成,各二级预算单位和县财政局构建一个VPN安全网络,在此基础上运行应用程序,保障系统安全。
在县财政局中心机房,配置一台安达通SJW74A PRO安全网关,各二级预算单位要和财政局内部服务器连接,必须先和SJW74A PRO安全网关建立安全隧道,另配置一套安达通客户端软件结合硬件加密的USB KEY。 根据了解广西XX县各二级预算单位大概有80多个,将来还会增加,预算单位支付终端要访问县财政局服务器,必须先运行ADT客户端软件,和县财政局SJW74A PRO安全网关建立安全隧道,在网络上运行加密数据。不合法(没有加密)的单位无法和SJW74A PRO安全网关建立隧道,也就无法访问内部系统,这样保证了财政系统的安全。
但是不少财政预算部门反映使用VPN后发现,VPN可以接入访问业务系统,但是访问速度很慢,很影响业务工作开展,究其原因有多种:
a.)局域网中了蠕虫病毒导致网络堵塞。
b.)用户大量下载,造成网络堵塞,影响业务应用
广西XX县财政局移动加速升级方案
c.)不同运营商线路间连接不稳定。
d.)公网线路不稳定,在接入网络设备上ping公网网关丢包比较频繁
e.)终端用户使用的软件是C/S架构的,开发时对网络传输定义延时率要求过高,掉包后,出现超时断开连接,应用效果差......等等
另外的问题就是支付终端维护系统的问题,预算单位的电脑因为操作系统原因、或者使用者电脑应用水平有限,在使用上,出现问题的判断上有误,导致系统维护人员每天忙碌的奔走在各个部门,不停的回答解决预算单位用户计算机中应用软件出现的各种故障,大大增加了单位的维护成本。
2.解决方案
本方案是为国库集中支付网络安全互联的一套应用升级方案。方案采用基于IPSec标准的虚拟专用网(VPN技术),把整个国库集中支付需要接入的预算单位和移动用户通过专用VPN设备和VPN客户端系统平滑升级,提升原有的访问速度,为系统的管理和业务构造一个便捷、保密,易管理的信息传输平台。
本方案中采用的专用VPN设备为上海安达通信息安全技术股份有限公司研制的SJW74系列VPN安全网关产品和安全客户端产品为基础,加入安达通“VPN移动接入加速系统”模块,该模块是融合了桌面终端控制技术和数据压缩技术,可以将传统的“Client—Site”的VPN远程接入速度提升10倍以上,使原来对带宽要求很高的C/S应用软件,能在甚至56Kmodem拨号的方式下通过VPN隧道顺畅运行。同时,使用该加速系统后,对客户端性能要求大大降低,同时免安装应用软件客户端,部署和管理异常方便
在本方案中,采用安达通VPN产品实施安全的网络互联方案,保证关键业务系统的安全性,提高访问速度,并达到以下目标:
保护内部网络安全。通过设置有效的安全策略,确保只允许符合安全策略的内外网络之间的访问与服务,保证内部网络免受外部攻击。
保证信息传输的机密性和不可篡改性。SJW74 VPN网关之间可以建立高强度的加密隧道,信息传输时,是以加密的形式传送的,并附加了认证信息,可以保证数据的保密性与不可篡改性。
对原有预算单位使用改变很小,但是速度比原来使用提升10倍以上,同时对系统管理员的管理工作大大减轻,基本实现零维护。
也可适用于财政各类应用系统的需要,同时也能满足将来业务扩展的需要:如:乡财县管系统、办公OA等系统。
广西XX县财政局移动加速升级方案
3.方案示意与说明
目前,广西XX县财政局信息中心已经布署较高端ADT SJW74A PRO安全网关,各预算单位、移动用户通过ADT安全客户端系统(安全客户端软件+KEY)接入到财政局内网访问国库系统,只要对原有的VPN网关的升级,加入“移动接入加速系统”模块,下属预算单位不需重新设置,就能体现VPN加速带来的快捷和方便性。
广西XX县财政局VPN移动加速平台系统方案如下图: SWJ74A PRO安全网关WEB 服务器应用程序服务器(远程加速)InternetACDMPDA用户专线ADSL/CDMA数据库服务器OA服务器远程终端服务器移动用户(浏览器访问)IPSEC隧道ADD/CSLAM移动用户(KEY访问)
3.1 广西XX县财政局VPN网络结构图 VPN网关部署在信息中心节点防火墙的后面,财政系统数据服务器和远程终端应用服务器放在的内网中,在不需要改变网络现状情况下,启用安达通“VPN移动接入加速系统”模块,VPN移动接入加速系统由安达通VPN网关和远程终端服务器组成。移动用户登录VPN后,通过Web资源展示页面,即可直接访问远程终端服务器。在终端服务器上安装用户应用系统的客户端程序(如:下图中的“国库系统客户端”)。
广西XX县财政局移动加速升级方案
图示例中,移动用户通过VPN隧道远程控制在该终端服务器上的国库客户端的运行,如同在局域网内访问应用服务器一样。
由于只在远程终端服务器和VPN移动用户间的VPN隧道中传输键盘、鼠标和显示画面等小数据量的信息,避免了C/S程序间的大量应用数据在VPN隧道中直接传输,所以应用软件的运行速度有了显著的提高。再加上使用了数据压缩技术,使带宽的效率进一步得到提升。
下表是采用“VPN移动接入加速系统”前后,示例中国库集中支付系统客户端程序打开一个大数据量的表
广西XX县财政局移动加速升级方案
单时的运行速度对比。总部采用2M光纤接入,预算单位用户2个,都采用512K ADSL远程接入。
PCPC分分分分分分AADSLSure IDPCPC分分分分分分分SJW74 A PRO分分分分分分分分分分InternetPC 分分分分分分分分分分132.131.100.25/16分分B分分分分分分分分分分分分132.133.100.32分分分分分分“分分分分分分分”分132.133.100.31Sure IDVPN分分分分分分分分分分分分分分132.132.100.25/16
环境测试示意图
技术参数 VPN移动用户地址 (分部A)传统移动接入 132.131.100.25/16 (VPN源地址) 132.131.100.25/16 (VPN源地址) (国库系统客户端直接安装在预算用户的电脑上) 132.133.100.32/16 (VPN目的地址) 105s (分部B)安达通移动接入加速 132.132.100.25/16 (VPN源地址) 132.133.100.31/16 (VPN目的地址:终端服务器地址) (国库系统客户端安装在总部的终端服务器上) 132.133.100.32/16 (移动客户不直接访问服务器) 2s 国库系统客户端地址 国库系统数据服务器地址 操作完成的耗时 通过上表我们可以看到,对于远程应用解决方案来说,VPN移动接入加速系统具备比VPN较明显的优势。
3.2移动加速系统技术优势分析
3.2.1 原有VPN技术
VPN(虚拟专用网)通过公众IP网络建立了私有数据传输通道,它让用户能够访问部署在远端的服务器网络和主机。
VPN是基于网络层协议IPSec实现的(基于链路层的PPTP 和L2TP 协议因为其安全缺陷已被弃用),它在公网上通过传输经过加密和认证的数据包,形式上建立了一个私有的隧道,在网络层实现了互联。 VPN本身的部署是非常复杂的:在用户端,它需要在每个用户处安装VPN客户端软件,并针对不同的网络情况作不同的设置;通过VPN方式远程部署的业务系统,在公网上传输的是真实的业务数据,数据量非常大,如果低带宽条件下运行,导致性能下降巨大甚至无法运行。
广西XX县财政局移动加速升级方案
3.2.2 VPN移动接入加速系统
VPN移动接入加速系统是基于Web方式实现的远程应用访问平台,它使得用户能够直接通过公网用IE浏览器很方便的访问部署在远端应用程序和业务系统。
VPN移动接入加速系统的用户端使用标准的Web浏览器(IE),在公网上只暴露出Web服务器供访问。标准的安全Web架构使得系统的部署和管理都极为方便。
VPN移动接入加速系统是基于服务器计算的远程解决方案,它在公网上传输的是界面变更信息,任何业务数据都限制在企业内部网内,绝不会在公网中传输。这种传输方式仅需极小的网络带宽,同时保证了企业数据安全。
VPN移动接入加速系统适用于任何形式的应用系统(包括C/S结构),不仅不需要改变原有的网络结构和应用系统,更不需要在原有的应用系统中加装任何软件或插件。高适用性和非侵入式部署提升了整个方案的兼容性。
3.3可用性分析
3.3.1 接入方式兼容性
Web方式是Internet上的通行证,无论采用何种方式接入Internet:拨号、DSL、Cable Modem、LAN、GPRS、Wi-Fi、卫星,都可以使用浏览器来访问Web站点。
VPN方式对不同网络接入方式的兼容性较差,即使是不同厂家的设备之间也存在着互操作和互联问题。另外,VPN方式使用了专用的端口,在许多防火墙环境中都是受限的。
VPN移动接入加速系统完全基于Web技术,能适应现在和未来的所有连接方式。它使用标准的http/80或者443端口,在所有环境下都可以使用,例如:用户在酒店等公共上网点或无线上网时,使用Web方式的VPN移动接入加速系统可以畅通无阻地访问部署在企业内部网中的应用,而VPN方式则存在严重的网络适应性问题。
3.3.2 网络带宽需求
VPN移动接入加速系统仅传输用户的屏幕显示和键盘鼠标输入的变化数据,并经过了透明的压缩过程。这种方式具有很低的带宽要求和带宽占用率,仅56Kbps拨号连接就可发起应用会话,稳定运行最低只需要十几Kbps的带宽。因此VPN移动接入加速系统可以保证应用程序在各种带宽条件下能够平顺运行。
VPN技术是在远程用户和公司内部网络之间建立一条点对点的加密通道,需要在这条通道上传输大量应用数据,客户在实际应用VPN技术时,常会感到速度很慢得无法忍受。特别是在大并发用户数的情况下,带宽要求的矛盾更加突出。
广西XX县财政局移动加速升级方案
3.4安全性比较
3.4.1 内部网络安全
因为安全网关一般部署在企业网络中Internet接入的路由器后或防火墙的后里,或者做出口设备(本身具有路由和防火墙功能)。这种堡垒式的主机性能提供了独特的安全优势:从Internet到企业数据中心没有直接的和物理上的路经,远程用户无法访问企业内部资源。
此外,VPN移动接入加速系统服务器仅开放标准的Web端口(80/443),这个端口是所有Web服务器使用的端口,容易进行安全防范,黑客侵入网络的机会非常少。
而在部署VPN后,整个内部网拓扑结构及其资源在Internet上可见的,远程用户能够访问内部网中的所有机器。网管并没有一个简单的办法来控制和监视用户从哪里来以及在作些什么,稍有疏忽黑客即可直接访问到企业内部的服务器和数据库。
显然,VPN移动接入加速系统方式大大增强了远程访问的安全性:系统管理员只需要对VPN移动接入加速系统服务器进行常规的Web服务器安全加固,无须因远程访问需求而对内部网机器作额外的安全考虑。 3.4.2传输链路安全
VPN移动接入加速系统安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在Internet上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。 VPN在客户和网络资源边缘处建立通道,仅保护从客户到公司网络边缘连接的安全,所有运行在内部网络的数据是明文的,包括任何密码和在传输中的敏感数据。 3.4.3 客户端安全
VPN移动接入加速系统工作时,服务器仅向远程用户的浏览器传输经压缩和加密后的屏幕变化数据,业务
数据从来就没有在网上传输过,更不可能停留在内存或本地硬盘里。
使用VPN进行远程访问时,用户机器上需要安装和运行业务系统的客户端,它们直接接收了企业服务器发来的业务数据,并往往在本地硬盘写入临时或缓存数据。我们很容易预见,当移动办公者的笔记本电脑被窃后,或者在不安全地点上网时,或者电脑中入侵了木马病毒时,机密的商业程序和关键数据泄露的可能性是多么大。
3.5管理性比较
3.5.1 自身部署
使用VPN访问远程网络,客户端必须运行VPN专用软件。这意味着网管不仅要在服务器端安装VPN设
备,更要在每一台远程访问的计算机上安装VPN客户端程序。当一个企业有成百上千个远程用户时,IT支持人员的工作量是非常巨大的。特别是那些IT支持人员无法现场接触的计算机(例如偏远的异地办事处),指导用户下载和安装VPN客户端程序是件繁琐的事情。
广西XX县财政局移动加速升级方案
VPN客户端程序的设置也极为繁琐,它需要对多个IP地址和网络属性进行配置,并且在不同的网络环境和接入方式下,配置项目和参数都是不同的。即使是IT专业人士也很难掌握这些配置,更何况是不用层次的用户是非技术性的。
VPN移动接入加速系统在客户端使用标准的Web浏览器(IE),无须安装任何软件也无须作任何配置。VPN移动接入加速系统在服务器端是即装即用的,不改变任何应用系统,在客户端方面完全实现零安装,大大降低了系统部署工作量和成本。 3.5.2 应用系统部署
VPN方式下,远程用户不仅要安装VPN客户端,还要安装各种应用系统的客户端。这些安装工作无法以自动化方式进行,必然耗费IT支持部门的大量人力和时间。
现代的软件系统更新升级频繁,新的应用系统也不断涌现,而在另一方面,用户的操作系统因为病毒和误操作等原因,经常需要重装。每当升级或新增系统或重装,用户都需要安装相应的应用系统的客户端程序,它们随之给IT部门带来的是长期而频繁的咨询、技术支持、培训需求,加重了部门和企业负担。
以VPN移动接入加速系统来实现远程应用访问就不存在这些问题,它是完全的服务器—零客户端计算模式。不仅所有应用系统的变更、打补丁和升级都在只须在企业总部数据中心进行,部署一个新的应用系统也仅须在企业总部进行安装和调试,任何时候都不需要接触远程用户的计算机。 3.5.3系统维护 业务扩展
随着财政系统应用的发展,信息系统将随之发生变化,诸如:改变网络拓扑结构、改变网络接入方式、增
加分支机构、增加移动办公人员、部署新的业务信息系统等。
使用VPN构建的远程访问系统,每次信息系统变更时都需要对系统内远程访问人员的计算机进行调整,或者进行网络参数设置,或者安装新的客户端程序,而且这些调整通常需要IT支持人员的协助。
使用VPN移动接入加速系统,无论信息系统如何改变,远程用户仍然使用Web浏览器作为唯一的客户端,甚至连访问的URL地址都不需改变,一切变化对远程用户都是透明的。 对原有使用单位部署
原有已经使用上安达通VPN客户端软件连接的预算单位,通过在信息中心网关的升级调整后,也不需要安装VPN客户端和应用系统客户端,。我们也不再考虑用户使用什么操作系统,使用VPN移动接入加速系统,所有计算机上只需要一个客户端程序——Web浏览器,所有的权限管理都在数据中心集中进行。 管理费用
VPN移动接入加速系统可以实现远程管理和监控,大大减少管理人员的差旅费用和时间,做到对分支机构的故障实时响应,提高对分支机构的管理服务质量,降低维护和管理成本。
广西XX县财政局移动加速升级方案
VPN移动接入加速系统可以实现远程培训和教育。通过网络进行培训,改变了以往人员集中开会培训的方式,不仅节省了参加培训、组织会议人员和机构的时间,提高了培训的效率,更可以减少培训的会议费和差旅费。
VPN移动接入加速系统具有监控和报告功能,基于应用程序对用户跟踪监测,有助于IT人员分析应用状况,高效利用网络资源。
4.项目所需设备清及报价
根据广西XX县财政局信息中心的网络情况及所需要设备升级,推荐采用下面设备:
设备名称 ADT SJW74A PRO 安全网关 数量 销售价格 描述
此次是把原有的SJW74A PRO安全网关更换成最新版本支持远程加速模块的SJW74A PRO安全网关;1台 该设备支持300,000个内网并发会话数;400个VPN并发隧道;在3DES+SHA算法的通道模式下,21,000.00 最大IPSec吞吐率为20Mbps,百兆的Firewall吞吐率;三个10/100M自适应以太网口,可定义21套 个WAN口;支持双机热备;并融合了桌面终端控制技术和数据压缩技术,可以将传统的“Client—Site”的VPN远程接入速度提升10倍以上。 21,000.00 远程加速模块 合计 注:需要更换原有的ADT安全网关,升级到最新的设备,并开通远程加速模块功能。
广西XX县财政局移动加速升级方案
5.成功案例
用户单位 项目简介 VPN设备升级(移动加速) VPN设备升级(移动加速) VPN设备升级(移动加速) VPN设备升级(移动加速) VPN设备升级(移动加速) VPN设备升级(移动加速) VPN设备升级(移动加速) VPN设备升级(移动加速) 行业 政府 政府 政府 政府 政府 政府 政府 政府
因篇幅问题不能全部显示,请点此查看更多更全内容