SINFOR電力行業VPN解決方案

2013-10-11 16:33:00 EP電力信息化網　點擊量：評論 (0)

需求分析電力行業是關系到國計民生的基礎性行業，隨著電力市場化以及電網建設的進一步發展，傳統的電力系統業務正在發生變化，對電力信息化的需求日益增強，對數據的即時性、準確性有了更高的要求，各種管理信息

需求分析

    電力行業是關系到國計民生的基礎性行業，隨著電力市場化以及電網建設的進一步發展，傳統的電力系統業務正在發生變化，對電力信息化的需求日益增強，對數據的即時性、準確性有了更高的要求，各種管理信息如財務、收費、電力營銷、生產管理等應用系統在電力行業日常業務中扮演了越來越重要的角色。各級電力公司普遍建立了自己的內部網絡，基本實現了辦公網絡化，但是由于地域上的距離和網絡發展的不平衡性，網絡之間缺少互聯互通，各網絡的信息系統不能共享，造成了網絡的割裂和信息的孤島。

    隨著電力市場化的深入推行，各級機構之間需要傳遞的數據量大大增加，對數據的實時性要求也越來越高，在電力系統的骨干網絡上主要采用了專線的方式來實現國家－?。虚g電力系統的互聯互通，但是對于數量巨大的市－縣－鄉的網絡傳輸需求來說，昂貴的專線方案將給電力系統帶來巨大的運營成本，而電話撥號網絡又存在著速度慢、容量小、安全性差的弱點，電力行業迫切需要一種可靠、安全、性價比高的網絡傳輸方案。

    近年來，VPN以其可以利用公網資源，建立安全、可靠、經濟、高效的傳輸鏈路的特點引起了人們的廣泛注意。在VPN技術的支持下，位于不同地區的電力部門只需分別聯入當地的Internet，就可以組成一個高效統一的虛擬專用網絡。深信服科技提供的SINFOR VPN解決方案在傳統的VPN技術基礎上，提供了性價比極高的軟硬件一體化解決方案，并特別針對國內固定IP的匱乏、復雜的Internet接入方式、操作人員技術能力較低等多種不利因素進行了技術和產品上的創新，為電力行業提供了一種高安全、高性能、高穩定性的VPN解決方案。

VPN組網方案

    以某縣供電局為例，該局下屬數十個營業廳，在縣局上了電力營銷系統以后，所有的用戶數據和銷售數據都需要聯入縣局數據中心進行存取，但如果采用專線的方式來連接縣局和這么多的營業廳的話，以每條專線的租用費用為2000元計算，十個營業廳每月光線路租用費用就是兩萬元，還不算采用專線時極高的實施成本和設備采購費用，對于一個縣局來說，這樣的費用是相當高昂的，因此，在綜合考慮成本、安全性、穩定性等多方面的因素后，該縣供電局決定采用深信服提供的SINFOR VPN解決方案，徹底解決了困擾多時的線路問題，利用當地廉價的ADSL接入方式（每月200元），將線路成本降低為專線方案的10％。

產品選型

    該縣供電局在縣局使用了SINFOR M5100這款屢獲殊榮的高性價比VPN/防火墻安全網關，在提供強勁性能的同時具有極好的長時間穩定運行能力，能夠保證下屬營業廳隨時可靠的接入，在下屬各級營業廳根據其規模分別采用了SINFOR S5100邊緣VPN/防火墻安全網關或軟件VPN分支模塊，充分體現了深信服科技軟硬件一體化方案的性價比優勢，對于規模較小的營業廳直接采用軟件VPN模塊，在不降低VPN網絡穩定、安全等特性情況下大大降低了方案整體投入。

方案效果

    通過SINFOR VPN的實施，該供電局實現了應用系統的遠程拓展，大大提高了業務處理水平和整體管理水平：
? 下屬收費點通過各種上網方式直接實現異地查詢總部收費系統信息，數據集中供電局總部
? 縣局與各營業廳信息實時共享；通過OA、內部郵件等應用系統的使用，提高了內部交流的效率
? 實現領導及員工遠程移動辦公，在任何地點、任何上網方式都可以接入總部，查詢收費管理系統以及其它相關信息

方案特點

    作為專業的VPN解決方案，SINFOR VPN方案為電力行業提供了集高安全性、高可靠性、高性能、靈活方便的互聯方案，具備以下幾個重要特性：

    高安全的VPN

    由于使用了Internet作為連接鏈路的基礎，通過Internet來進行數據的傳送不得不考慮由此產生的安全隱患。深信服科技的SINFOR M5100是一款高性價比的硬件VPN/防火墻安全網關。在系統內部，集成了高強度的加密算法，并可以進一步通過軟件或硬件卡的形式進行加密算法的擴展，保證了數據傳輸的安全。并且系統內置Radius服務、并采用了HARDCA硬件證書的形式進行身份認證，確保接入用戶的合法有效。另外，SINFOR M5100還針對內網用戶可以設定細致的訪問權限、避免了病毒類文件的隨意傳播和越權訪問帶來的安全隱患。同時，SINFOR M5100本身也是一臺高性能的防火墻設備，系統采用SINFOR-Linux嵌入式操作系統，可以有效抵御外網的攻擊。

    隧道加密：采用國際先進的AES 128位加密技術加密隧道，防止數據竊取和偵聽。先進的加密技術在保證高加密級別的同時提供了強大的性能保證，有效加強隧道傳輸效率。

    接入用戶身份驗證：除基于用戶賬號的Radius身份驗證外，SINFOR VPN創新性的采用了深信服科技專利技術－基于硬件身份的鑒權體系，將用戶賬號與其所在計算機硬件信息進行綁定，即便用戶賬號意外泄露，由于非法用戶無法使用與此賬號事先綁定的那臺計算機，不會因此造成非法用戶接入。對于遠程移動辦公人員，由于計算機存在失竊或被非法使用的可能性，深信服科技還對移動用戶采用了基于硬件USB KEY的身份驗證機制，利用DKEY這種USB的便攜設備的唯一ID號作為其使用VPN的許可方式，使得只有指定人員使用指定賬號及指定計算機接入總部訪問指定資源成為可能，極大的提高了VPN的整體安全性。

    接入用戶權限控制：普通的VPN產品在用戶接入后即可隨意訪問局域網內任意資源，對于安全要求較高的單位來說，這種不受限制的訪問容易造成極大的安全隱患，深信服科技通過在VPN系統中設置更細致的服務訪問權限來杜絕這些安全隱患。SINFOR VPN可以針對每個用戶設定不同的接入訪問權限，如某些用戶只能訪問總部的OA系統，不能訪問財務系統等，不同的VPN用戶可以設定對不同資源的訪問權限，避免因為VPN用戶權限過大造成的安全隱患。

    深信服科技提供的SINFOR M5100、S5100安全網關及軟件VPN產品均集成VPN及企業級防火墻于一體，在提供豐富的VPN功能的同時，其自帶的企業級防火墻能夠提供對網絡強大的保護和管理功能，確保網絡不被Internet非法用戶攻擊及入侵，并對內網用戶上網行為進行非常細致的管理，避免內網用戶隨意的Internet訪問行為帶來的安全隱患，能夠充分保護VPN網絡工作于Internet時其內外網絡的安全。
高可靠的VPN

    作為基礎應用的連接鏈路，VPN網絡的可靠性是極其重要的，SINFOR VPN通過多種技術保證VPN網絡的高度可靠性。

    互為備份的Web尋址技術：基于Web的動態尋址技術是深信服公司專利技術，通過該技術，使得SINFOR VPN可以支持ADSL等動態IP撥號上網方式，無需固定IP，大大降低了客戶使用VPN的成本。由于動態尋址過程依賴于WEB的可靠性，因此，在SINFOR VPN中采用了互為備份的WEB設置，只要有一個WEB能夠正常工作，即可正常實現動態尋址，保證了VPN尋址的可靠性。

    多線路技術增強線路穩定性：由于Internet線路具有不可靠性的特點，使用Internet線路存在斷線的可能性，對VPN網絡的可靠運行產生了隱患，因此，SINFOR VPN創新性的提出了多線路捆綁技術，在一個VPN節點上可以同時使用多條Internet線路，只要其中的一條線路仍然正常工作，DLAN VPN網絡即可保持正常。

    斷線重撥技術：為了保證撥號網絡的穩定性，SINFOR VPN中集成了自動撥號軟件，在撥號中斷后，5秒內可以重撥。網絡物理連接恢復正常后，VPN隧道將在1分鐘內自動建立，從而保證系統迅速恢復。

    VPN內部QOS功能：VPN內的智能QOS可動態為各優先級別的VPN應用合理分配帶寬，在網絡繁忙時優先傳送更重要的數據（如對時延較為敏感的VOIP及視頻數據及數據庫查詢等），而智能的QOS在網絡空閑時可充分利用所有帶寬。

    完善的日志功能：SINFOR VPN集成完善的日志服務，提供信息日志，告警日志，錯誤日志和調試日志等多種類型的日志，能極大的幫助網絡管理員分析和維護整個網絡系統。由于有獨立的日志服務器，因此日志空間僅受管理員分配的存儲空間的限制。

    高性能的VPN

    高效的傳輸效率：高效的加解密算法和強大的“流壓縮”技術使得SINFOR VPN對實際帶寬的利用率高達130%，在傳輸Word、BMP等文檔和SQL查詢等數據時表現尤為出眾，遠遠超出一般VPN產品70%-80%的傳輸效率。

     冗余容量設計：電信網經常因為話務高峰而癱瘓，數據網絡也如此，如果網絡設備的容量承載不了突然增長的業務負荷，那么系統就可能癱瘓。SINFOR M5100的設計容量大大超過一般用戶的實際容量，達到一個網關支持5000個網絡用戶，1500條VPN隧道，54.4M的VPN隧道帶寬，這種冗余容量的設計保證VPN網絡即使遇到業務突發高峰，也能穩定運行。

    強大的路由功能：SINFOR VPN自帶智能軟路由功能，可以將非互聯的數據（即直接訪問Internet數據）路由到本局域網的其他網關或路由設備，從而達到分離內外網數據和擴大出口帶寬的目的；或者利用多條線路多個網關組成的集群同時接入眾多的分支。

    靈活方便的VPN

    對移動IP的全面實現：一般VPN部署都需要改變網絡結構，SINFOR VPN在充當遠程接入服務器時，不需要客戶網絡做任何改變。遠程用戶接入到網絡來時，可獲得一個該網絡的內外IP地址，并以此IP與網絡內其它節點進行雙向的訪問，若該遠程用戶原本就是該網絡內的一個用戶，則在遠程接入后仍可保留原本的IP地址，做到在遠程和在本地時一模一樣。

    對各種接入方式的全面支持：通過改進的IPSEC隧道封裝技術，SINFOR VPN能很好的支持NAT穿透功能，使得SINFOR VPN可以支持任何接入方式，包括GPRS, CDMA1X,WLAN等最新的無線上網接入方式，甚至是未來NGN接入方式。SINFOR VPN實現了用戶隨時隨地移動辦公的夢想，并能保護用戶對未來的網絡投資。

    安全策略隨時攜帶，客戶端零配置：SINFOR VPN 集成DKEY技術，可以將移動用戶的安全策略存儲在類似U盤的USB Key(又名DKEY)中。這樣移動用戶隨身攜帶標識自己身份和存儲了對應安全策略配置信息的DKEY，可以在任何一臺電腦安全的接入到總部。安裝好PDLAN軟件后，用戶只需要插入DKEY，輸入自己的密碼就可以完成接入，做到了VPN客戶端零配置，和使用銀行取款機一樣安全方便。

簡單方便的配置備份和恢復：SINFOR VPN采用多個加密的配置文件形式保存配置信息。系統提供了對所有配置的打包備份功能，管理員可方便的對配置文件進行備份和恢復。同時管理員還可以在本地配置好遠程網絡，利用配置恢復功能在遠程導入配置。

    支持遠程部署、軟硬兼施：SINFOR VPN既有安裝方便的純軟件產品，也有相應的硬件模塊。軟件模塊可以實現遠程安裝、遠程部署。模塊化設計，用戶可以根據需要，下載相應的模塊文件即可增加新的功能。而SINFOR M5100硬件模塊既可以和所有S5100、M5400、M5100等硬件產品系列產品之間互連互通，也可以和SINFOR VPN系列軟件VPN互連互通，方便用戶根據各地的實際環境、按需選擇產品模塊，構建量身定制的VPN網絡。