科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道广发证券使用动态VPN实现广域互联

广发证券使用动态VPN实现广域互联

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这样基本上每个片区负责约20来个证券营业部,以中心的两台FVL328为中心,构建一个高可靠的低成本、易管理的VPN网络。当企业扩大分支机构,想扩大VPN的容量和覆盖范围,只需要增加一台NETGEAR的VPN路由器产品即可快速实现

作者:中国IT实验室 2007年9月14日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

用户概况:

广发证券股份有限公司是国内首批综合类券商之一,是一家与中国资本市场一同成长起来的新型投资银行.公司现注册资本为20亿元人民币,有员工1700多人,在全国各地拥有76家证券营业部、20家证券服务部,另托管了19家证券营业部。

目前,广发证券正按照与国际接轨的要求,积极调整和规范企业内部管理体制和运作机制,以建立现代化的企业资源管理流程系统,不断提升公司的管理水平,实现公司“成为国内优秀的、具有专业特色的跨国投资银行”的战略目标,争取为中国资本市场的发展做出更大贡献。

用户需求:

随着信息化技术的进步及办公一体化,同时也随着广发全国各地分支机构分布越来越广,公司各分支机构之间为了共享商业资料,需要各分支机构之间在保证资料存储和传输安全的前提下共享资料,并且要求解决方案要尽可能的减少投入。

分析广发证券的实际情况,可以归纳出以下几点:

1. 分支机构分布在全国各城市的不同地点 

2. 办公信息的交流要快、要安全以及要共享大量的商业资料,对接入带宽有一定的要求。

3. 必须保证公司内部资料在传输过程中的安全性 、保密性。

4. 解决方案要尽可能减少成本投入,并且易于将来的扩展 。

在安全性上,要求屏蔽来自外部的可能攻击、及数据的窃取。并且要求线路的稳定性。而数据传输要遵循标准IPSEC的第三层加密协议。

在数据保密的前提条件下,要求充分使用网络性能,为安全所牺牲的网络性能在可能的情况下最小,使得网络整体工作在最高的效能下。

在稳定性上,要求全球知名的商业网络连接产品提供商。所有的VPN设备都是基于硬件的产品,性能稳定。

在可管理上,要求易于维护及高效率管理。所有的VPN设备都可以通过IE浏览器进行管理,所使用的是加密的HTTPS访问,而非HTTP访问。网络管理员无论身处何处,只要知道密码和相应的端口,都可以对VPN设备进行配置,维护。

技术方案:

根据客户提出的以上的几点要求,NETGEAR公司进行了深入细致的调查和仔细的规划设计,为用户设计了一整套包括接入和安全的整体解决方案。最后, 作为全球中小规模网络和无线网络的先驱和领导者, 一直致力于网络技术创新的美国网件(NETGEAR)公司, 凭借其旗下的ProSafe VPN产品线及其产品当中独特的DDNS(动态域名解析)技术、优越的产品性价比和良好的售后服务赢得了这项工程,为全国范围内多分支机构的证券行业提供了一个典型的证券VPN解决方案。

广发证券的VPN建设大体上分为多个片区,首先是要建设分别以广州华南区、北京北方区、上海华东区三个总部为中心分别辐射到全国76个分支机构的VPN网络互连。该VPN网络作为主干股市交易网络的高品质备份网络,平时用于传输办公的关键业务(例如:OA、EXCHANGE电子邮件、电子通告、视频会议、VoIP等),需要时能切换为主干业务网为证券交易。客户考虑将VPN架载在数据通信运营商的公网上。

三个片区的VPN组网结构基本上相同。下面以华南片区为例来说明VPN的联网示意图。

在每个片区的两个营业点上分别布置一台FVL328作为这个片区的中心节点。华南片区就是在广州江湾营业部和广州农林下路营业部分别布置一台FVL328。其中一台FVL328申请固定IP地址的专线接入,另外一台FVL328申请动态IP地址的ADSL接入。如广州总部为保证带宽和速率就向电信ISP申请开通一条10M带宽的DDN专线,共有8个固定IP地址的INTERNET专线。DDN专线接入FVL 328的WAN端口,总部的局域网交换机接入到FVL328的局域网口(FVL328带有8个局域网口,如果电脑数量多,可以级连交换机),然后所有的电脑统一接入交换机。在另一个营业部的FVL328就申请动态IP公网地址的ADSL接入了。

在每个片区的其他各支营业部,根据营业部规模的大小可选用FVL328和FVS318产品。并且都只申请动态IP地址的ADSL接入便可。在这些营业部的VPN设备上,为提供网络的可靠性,分别创建两条VPN的隧道。其中一条隧道是和片区中心具固定公网地址的FVL328相连接,另外一条隧道是和片区中心具动态IP公网地址的FVL328相连接。整个片区的网络呈星网状型结构。

对于每个片区的在外地出差的用户,如果想联入总部或任何一个分支机构的内部网络,则在其电脑上安装对应的VPN CLIENT客户端软件。当出差的移动用户连上公网后,运行VPN CLIENT软件,输入密码,软件会根据事先配置的策略自动与总部或分支机构的VPN设备建立起安全的隧道。

这样基本上每个片区负责约20来个证券营业部,以中心的两台FVL328为中心,构建一个高可靠的低成本、易管理的VPN网络。

美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式,加强内部网络的安全性能。另外,在数据传输的过程中,由于美国网件的FVL328与FVS318 VPN产品中设置了硬件防火墙和状态检测功能,因此既可在NAT模式下实现网络地址的转换,保障内部网络的安全,同时也可以防止诸如DoS、PING包等多种方式的攻击,为分布在各地的工作人员提供安全的点到点和远程访问通讯。美国网件产品内置的防火墙功能可将总部和分支机构的局域网与公网进行安全隔离,使网内的数据库服务器不再暴露于公网之上,处于安全保护下,从而为企业原有的应用系统提供了一个专用、安全、高效的网络应用环境。

整个全国网络的VPN连接示意图如下:

  

应用效果:

目前已安装完毕的广州片区运营半年来,得到了用户的高度评价。其他各个片区的设备正在紧张的安装调试过程当中。此VPN网络为用户带来的直接的好处有:

降低成本:

借助电信的ISP来建立私有的VPN,就可以节省大量的通信费用,并且数据传输得到保密。此外,本套VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。

容易扩展:

广发证券整个网络用户想扩大VPN的容量和覆盖范围。总部需做的事情很少,而且能立时实现:只要每个营业厅到电信申请一条动态ADSL宽带线路(广州企业用户包月是500元),添加一台FVL328或是FVS318即可以,而且整个网络都不需要任何的改动。在远程办公室增加VPN能力也很简单:通过配置好VPN的单机客户端软件就可以使美国网件VPN路由器拥有Internet和VPN能力,VPN路由器还能对工作站自动进行IP地址配置。

为什么选择NETGEAR:

NETGEAR公司以成熟的IPSEC的VPN技术解决实际应用问题为主,结合现有宽带营运商的网络为用户提供一个高性价比的解决方案,有效节约用户投资,花好了用户的每一分钱,使用户顺利地建好网、用好网并管好网。NETGEAR公司将其多年来在中小企业网络建设的经验成功的带给中国用户,并以其产品的优越性能可充分满足行业应用需求和良好的售后服务助力这项工程,使该项目迅速而顺利地成功实施,丰富和延伸了NETGEAR公司品牌在证券业的的典型应用。以下几点是用户对NETGEAR产品与方案认同的亮点介绍:

1、实现企业级VPN的高度网络安全性:

FVL328能同时启动多达100个Ipsec VPN隧道,允许对分支机构和出差移动工作人员的连接进行保护。FVL328和FVS318 ProSafe VPN 防火墙可针对网络安全威胁提供最优的价值和最佳的防御。

2、友好的Web界面和安装助手大大简化了网络配置:

FVL328和FVS318的智能安装向导能自动检测互联网ISP的连接类型,图形化的安装助手将引导你一步一步地完成整个安装过程,并和其他特性一起简化了非专业用户的安装、配置和管理工作。

3、降低运营成本和管理成本并易于灵活的扩展:

首先VPN可以降低租用线路成本等非常明显的,本方案所采用的NETGEAR独特的FQDN技术将进一步降低了企业的运营成本和维护管理成本。当企业扩大分支机构,想扩大VPN的容量和覆盖范围,只需要增加一台NETGEAR的VPN路由器产品(FVS318、FVL328、FVM318等)即可快速实现

4、贴身的本地化服务:

NETEGAR一进入中国,即与中文地区最大的DDNS服务商-“花生壳”捆绑,为用户提供稳定、方便、经济的基于动态IP地址的VPN解决方案。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章