學習項目

2.4 項目1：VPN產品部署

2.4.1 任務1：需求分析

根據××銀行目前的網絡現狀及××地區的環境現狀，我們對××銀行的具體需求分析如下：

（1）需要將ATM機方便地部署到××地區的任何一個行政縣，使這些地區的用戶能方便地使用××銀行的ATM機；

（2）ATM機需要能根據具體情況，方便地更改部署地點；

（3）在偏遠地區設置××銀行分支網點時，需要能方便地將分支網點和市分行網絡進行連接；

（4）需要能為移動辦公提供高效、安全、便捷的網絡接入方式；

（5）以上網絡部署，因主要考慮在偏遠、不便于部署有線網絡的地區部署無線網絡，所部署的無線網絡采用GPRS或CDMA1X，必須提供穩定、可靠的網絡支持，同時須提供滿足應用需求的網絡帶寬；

（6）所提供網絡和設備，需保證銀行業務的實時性要求；

（7）需要采用VPN加密技術，對無線網絡中傳輸的數據進行加密，保證數據傳輸的安全；

（8）所提供的設備均需能進行集中管理，便于維護和部署，同時各設備均需提供日志審計功能；

（9）所提供的方案，需保證一定的擴展性，為今后網絡應用擴展提供支持。

在滿足上述網絡連接與網絡安全需求后，最終達到使××銀行在××地區能方便地將業務在各個區縣進行拓展，實現便捷安全的移動辦公，同時能在偏遠地區方便地部署ATM柜員機，并使這些新增網絡節點能便捷、穩定地接入××地區分行網絡的同時，保證所傳輸數據的保密性、可用性和完整性。

2.4.2 任務2：方案設計

針對××銀行的需求分析及安全目標，我們提出的無線網絡VPN安全互連解決方案如圖2-20所示。

參考目前的無線網絡應用，其中GPRS和CDMA是目前應用非常成熟的無線接入方式，而CDMA的速度及穩定性較GPRS都要高很多，所以在該無線網絡規劃方面，我們建議使用聯通的CDMA網絡。以下將重點說明在該網絡下的VPN安全應用部署。

（1）在分行總部雙機熱備部署兩臺硬件VPN網關

如圖2-20所示，在分行總部網絡服務器區域，部署VPN硬件網關，采用雙機熱備方式進行部署。該設備的主要功能是：作為VPN服務器端，與遠程接入的VPN客戶端及移動VPN用戶建立安全隧道，對隧道內所傳輸的數據進行加密保護，使ATM、偏遠網點、移動用戶通過CDMA無線網絡和分行總部所交換的數據安全加密。

（2）在偏遠分支網點部署1臺硬件VPN接入客戶端

如圖2-20所示，該處首先是通過CDMA無線路由器實現的網絡連接，然后通過所部署的VPN客戶端硬件，對從分支網點到分行總部交換的數據進行加密保護。該VPN客戶端設備及無線CDMA路由設備，在經過合理的配置后，均能實現全自動的網絡鏈路建立與VPN加密隧道的建立，免去了人工維護的煩瑣步驟，另外，在需要時，可以從分行總部對這些設備進行遠程維護。

（3）在ATM或移動銀行車部署1臺硬件VPN接入客戶端

如圖2-20所示，該處部署的設備和在偏遠分支網點部署的設備，使用方式和安全功能是一樣的，除了可以建立安全的無線連接，還可以實現便捷的安全管理。

（4）為移動用戶計算機安裝VPN接入客戶端軟件（VRC）

如圖2-20所示，移動辦公用戶可以使用CDMA網卡接入CDMA網絡，然后通過所安裝的VRC軟件，實現到分行總部的網絡安全連接。該VRC軟件端的認證方式，提供用戶名+口令+硬件令牌等多種方式，實現極高并絕對有效的安全認證措施。

說明

方案設計完成后，一般會附有推薦使用的產品及產品功能介紹。

事實上很少有單獨的VPN產品設計，一般情況為解決整體網絡安全問題，會部署多款網絡安全產品。