华为赛门铁克的思考

　　经过长达2个月的深入调查和研究，该省国资委与旗下大型国企多次反复沟通，明确表示要建立一个高性能、专业级且具备业务支撑能力的统一平台。

　　为此，该项目实施方华为赛门铁克公司表示，为了满足国资委的需求，新平台必须确保全天24小时不间断稳定运行，并且要实现完整的安全防护和检查体系，满足至少5年以后业务的扩展升级能力，同时后期维护管理也要清晰简单。另外，华为赛门铁克公司考虑到国资委相关领导及机要人员出差办公需要，确定将新平台设计为允许在Internet上对监管应用系统进行受控访问。

　　华为赛门铁克最后确定，监管平台总体设计方案指导思想是国际化、高起点、统一规划、整体设计、规范实施、滚动发展，以满足政务信息化建设的完整性、统一性。

　　基于以上分析，华为赛门铁克决定采用新一代VPN技术来实现，同时着重考虑网络安全性与攻击防范能力。为此，华为赛门铁克提出采用双VPN方式搭建该省国资委监管平台：固定机构采用IPSec VPN，移动用户采用当前流行的SSL VPN。

　　从具体实施上看，该省国资委采用华为赛门铁克安全网关USG5000来提供强大的IPSec VPN中央接入点，SVN3000作为SSL VPN接入服务器，保证至少24家企业和11个地市国资委接入性能需要。国资委下属企业或者地市国资委，使用华为赛门铁克安全网关USG 3000来低成本高效率地与省国资委形成VPN连接，同时为分支机构的接入做VPN服务器。与此同时，省国资委核心交换机建设利用原有的核心交换机，节约成本。

　　为了进一步确保整套系统的万无一失，与安全网关配套使用华为Quidway S2000系列交换机，此款交换机是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品，非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。

　　另外，国资委下属各个企事业单位分支机构后续接入，则选择华为赛门铁克专为中小企业量身定做的专业VPN安全网关USG2000，功能完善，扩展性强。监控软件选择iManager N2000 DMS For SMB。该软件以全网资源管理为基础，实现配置管理、性能管理、故障管理、资源管理、安全管理、QoS 管理、LSP 管理、VPN 管理等功能，为维护人员管理和维护网络提供充分而准确的网络信息，协助维护人员快速发现和定位故障、解决网络问题，从而为业务部署和开通提供强有力的支持，满足对IP承载网的管理和质量保证要求。

　　总体看来，华为赛门铁克的设计思路充分利用了原有设备，新加安全网关提供了足够的扩展能力，其安全网关的优异性能充分保障和满足后续其它企业或其它地市国资委的接入。该方案主要有三大亮点：

　　第一， 选用了IPSEC+SSL VPN融合技术。根据两种VPN技术的不同特点融合到同一环境中，同时解决了稳定可靠的VPN和移动方便接入的需求。

　　第二， 实现了完全的安全访问控制和全局一致的安全策略。方案中两端均设置安全网关，提供了一道安全屏障。在双方的安全网关上将设置严格的访问策略，只允许指定的用户(IP)访问指定的资源(IP+Port)，杜绝非授权用户对对方资源的访问，及访问到其他受保护的资源。双方的安全网关策略可由各自管理员自己配置，当然也可由统一网管员处理。

　　第三， 考虑到不同企业的网络现状不尽相同，每个企业的VPN网络不改变原来的网络结构，新建的监管平台和原网络物理隔离，网络结构清晰明了。