河北聯(lián)通部署深信服SSL VPN設(shè)備

隨著國內(nèi)各大運(yùn)營商重組，中國聯(lián)通的CDMA業(yè)務(wù)和中國電信合并、GSM業(yè)務(wù)和中國網(wǎng)通合并。原中國聯(lián)通下屬營業(yè)廳、特約代銷點(diǎn)等營業(yè)網(wǎng)點(diǎn)，陸續(xù)劃歸不同的運(yùn)營商。面對這種重組情況，中國聯(lián)通河北分公司面臨著如下棘手的問題：

一、CDMA、CSM網(wǎng)絡(luò)分割之痛

原河北聯(lián)通下屬營業(yè)廳及授權(quán)營業(yè)廳、特約代辦點(diǎn)的營業(yè)終端設(shè)備有近10000臺，聯(lián)通CDMA、GSM業(yè)務(wù)運(yùn)營商重組將使不同的營業(yè)廳、特約代銷點(diǎn)屬于不同運(yùn)營商，甚至是同一辦公點(diǎn)的不同營業(yè)終端會(huì)分屬于不同的運(yùn)營商。如何識別那些終端歸屬于哪個(gè)運(yùn)營商?把原河北聯(lián)通的設(shè)備以資產(chǎn)概念進(jìn)行分配運(yùn)營：讓CDMA業(yè)務(wù)網(wǎng)設(shè)備接入中國電信、讓GSM業(yè)務(wù)網(wǎng)接入新聯(lián)通，并對接入用戶進(jìn)行嚴(yán)格的身份綁定與認(rèn)證?

除了識別終端并進(jìn)行嚴(yán)格的訪問控制外，河北聯(lián)通網(wǎng)絡(luò)運(yùn)營目前還存在以下問題：

1、河北聯(lián)通將VPN作為省公司的基礎(chǔ)網(wǎng)絡(luò)平臺，承載各類營業(yè)網(wǎng)點(diǎn)的基本工作，接入營業(yè)終端數(shù)量龐大，河北聯(lián)通需要一套高性能、高穩(wěn)定性的解決方案。

2、目前大量授權(quán)營業(yè)廳、特約代銷點(diǎn)接入終端不受控制，存在的隱患在于：如果接入終端攜帶有木馬病毒，那么極可能通過公網(wǎng)傳輸?shù)绞」�司�?nèi)網(wǎng)。

3、接入VPN通道的電腦也能上網(wǎng)，這樣存在著黑客通過Internet線路控制接入電腦，進(jìn)而對省公司內(nèi)網(wǎng)造成威脅。

4、分散在全省的眾多聯(lián)通特約代銷點(diǎn)、授權(quán)營業(yè)廳網(wǎng)絡(luò)條件不一、使用者IT水平參差不齊，需要一種操作簡單、易于管理的安全接入方式。

5、 河北聯(lián)通VPN訪問的海量日志量存儲成為難題，且缺乏一種有效的VPN訪問跟蹤手段。

二、新聯(lián)通的VPN接入平臺構(gòu)建要求

基于以上需求，河北聯(lián)通廣泛與VPN互聯(lián)方案提供商接觸，綜合各方意見，最終確定出以下解決方案原則：

1、 安全性原則

VPN網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)均是組織機(jī)構(gòu)的私密信息，必須考慮數(shù)據(jù)傳輸?shù)陌踩��?雖然VPN網(wǎng)絡(luò)建構(gòu)在開放的Internet平臺上，但必須保證無授權(quán)的用戶無法接入VPN網(wǎng)絡(luò)，即必須考慮用戶接入的安全性;我們還得考慮對VPN虛擬內(nèi)網(wǎng)資源訪問權(quán)限管理。

2、 穩(wěn)定性、高性能原則

大型組織對SSL VPN平臺使用較為頻繁，對穩(wěn)定性要求也較高，河北聯(lián)通的規(guī)模、應(yīng)用要求采用專業(yè)級的硬件VPN：采用高性能硬件架構(gòu)、專用的VPN系統(tǒng)OS，要求具備高穩(wěn)定性;要求具備SSL VPN設(shè)備支持并發(fā)SSL VPN用戶達(dá)到10，000，密文吞吐處理能力不小于100Mbps。

3、高速性原則

由于VPN網(wǎng)絡(luò)承載的是組織機(jī)構(gòu)的內(nèi)部應(yīng)用(如文件共享、拷貝等)，習(xí)慣了局域網(wǎng)內(nèi)10M/100M速度的用戶，對速度的要求也非常高，且河北聯(lián)通的業(yè)務(wù)應(yīng)用系統(tǒng)也對VPN接入傳輸?shù)囊�求非常高�?/p>

4、 易管理性原則

因?yàn)楹颖甭?lián)通下屬營業(yè)廳、代銷點(diǎn)人員龐大且IT操作水平不一，這要求新的VPN必須具備友好的操作界面，且河北聯(lián)通要求對身份不一的人員進(jìn)行身份綁定與唯一認(rèn)證，這對SSL VPN設(shè)備的身份認(rèn)證提出復(fù)雜的應(yīng)用要求。

三、新聯(lián)通的VPN接入平臺構(gòu)建