学习项目

2.4 项目1：VPN产品部署

2.4.1 任务1：需求分析

根据××银行目前的网络现状及××地区的环境现状，我们对××银行的具体需求分析如下：

（1）需要将ATM机方便地部署到××地区的任何一个行政县，使这些地区的用户能方便地使用××银行的ATM机；

（2）ATM机需要能根据具体情况，方便地更改部署地点；

（3）在偏远地区设置××银行分支网点时，需要能方便地将分支网点和市分行网络进行连接；

（4）需要能为移动办公提供高效、安全、便捷的网络接入方式；

（5）以上网络部署，因主要考虑在偏远、不便于部署有线网络的地区部署无线网络，所部署的无线网络采用GPRS或CDMA1X，必须提供稳定、可靠的网络支持，同时须提供满足应用需求的网络带宽；

（6）所提供网络和设备，需保证银行业务的实时性要求；

（7）需要采用VPN加密技术，对无线网络中传输的数据进行加密，保证数据传输的安全；

（8）所提供的设备均需能进行集中管理，便于维护和部署，同时各设备均需提供日志审计功能；

（9）所提供的方案，需保证一定的扩展性，为今后网络应用扩展提供支持。

在满足上述网络连接与网络安全需求后，最终达到使××银行在××地区能方便地将业务在各个区县进行拓展，实现便捷安全的移动办公，同时能在偏远地区方便地部署ATM柜员机，并使这些新增网络节点能便捷、稳定地接入××地区分行网络的同时，保证所传输数据的保密性、可用性和完整性。

2.4.2 任务2：方案设计

针对××银行的需求分析及安全目标，我们提出的无线网络VPN安全互连解决方案如图2-20所示。

参考目前的无线网络应用，其中GPRS和CDMA是目前应用非常成熟的无线接入方式，而CDMA的速度及稳定性较GPRS都要高很多，所以在该无线网络规划方面，我们建议使用联通的CDMA网络。以下将重点说明在该网络下的VPN安全应用部署。

（1）在分行总部双机热备部署两台硬件VPN网关

如图2-20所示，在分行总部网络服务器区域，部署VPN硬件网关，采用双机热备方式进行部署。该设备的主要功能是：作为VPN服务器端，与远程接入的VPN客户端及移动VPN用户建立安全隧道，对隧道内所传输的数据进行加密保护，使ATM、偏远网点、移动用户通过CDMA无线网络和分行总部所交换的数据安全加密。

（2）在偏远分支网点部署1台硬件VPN接入客户端

如图2-20所示，该处首先是通过CDMA无线路由器实现的网络连接，然后通过所部署的VPN客户端硬件，对从分支网点到分行总部交换的数据进行加密保护。该VPN客户端设备及无线CDMA路由设备，在经过合理的配置后，均能实现全自动的网络链路建立与VPN加密隧道的建立，免去了人工维护的烦琐步骤，另外，在需要时，可以从分行总部对这些设备进行远程维护。

（3）在ATM或移动银行车部署1台硬件VPN接入客户端

如图2-20所示，该处部署的设备和在偏远分支网点部署的设备，使用方式和安全功能是一样的，除了可以建立安全的无线连接，还可以实现便捷的安全管理。

（4）为移动用户计算机安装VPN接入客户端软件（VRC）

如图2-20所示，移动办公用户可以使用CDMA网卡接入CDMA网络，然后通过所安装的VRC软件，实现到分行总部的网络安全连接。该VRC软件端的认证方式，提供用户名+口令+硬件令牌等多种方式，实现极高并绝对有效的安全认证措施。

说明

方案设计完成后，一般会附有推荐使用的产品及产品功能介绍。

事实上很少有单独的VPN产品设计，一般情况为解决整体网络安全问题，会部署多款网络安全产品。