sonicwall 干净的ipsec vpn

前      言

随着技术的发展，各种攻击从针对tcp/ip协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力，同时层出不穷的即时消息和对等应用如msn，qq，bt等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁，传统的防火墙设备已经不能满足客户的安全需求。

ipsec vpn技术已经发展得很成熟，企业各个分支机构通过ipsec vpn 方便地连接回企业总部；ssl vpn支持出差的用户和合作伙伴随时随地访问企业总部的网络资源， 极大提高了生产率。 但是vpn带来连通性的同时也带来风险，病毒，＊＊等安全威胁也可以通过vpn隧道在企业总部和分支之间扩散。因此，构建一个干净的vpn网络，阻断病毒和＊＊行为在企业的分支和总部之间扩散，防止移动vpn用户电脑的病毒通过vpn接入企业总部至关重要。

考虑目前具体情况：

对分支结构和总部局域网之间的互联，推荐采用基于ipsec vpn核心技术的高性能加密产品来组建sonicwall的ipsec vpn网络---sonicwall utm ( 防火墙+ vpn + 网关防病毒+ ips)。sonicwall 防火墙和vpn 是当前国际最先进的网络技术之一，销售数量占据全球第一位。

对移动用户的安全远程接入，我们建议采用sonicwall aventail sra ex6000 的ssl vpn产品。该产品最大可以支持250并发用户的安全远程访问控制。

vpn方案的设计至少包含以下原则：高安全性、最优化网络、完善的管理等。

由于vpn直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。确保vpn通道上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（ip spoofing）的能力。

保证数据的完整性：接收到的数据必须与发送时的一致，要有抵抗不法分子纂改

网络结构如图:

方案: 中央设备选用nsa3500,采用多核专用安全处理器，4个64位mips专用安全处理器并行处理流量，还集成众多协处理器，如专用的包输入输出处理器，正则表达式处理器（专门用于病毒，＊＊等特征码与后台数据库的匹配处理），硬件tcp加速引擎，专用的加密解密处理器，专用的压缩解压缩的处理器等等，是一个典型的soc设计。

nsa 3500的状态检测的吞吐量可达1.5gbps，支持多达800条lan-2-lan vpn隧道, 赠送50个ipsec vpn客户端软件授权(最大支持1000个ipsec vpn移动客户端授权)， vpn吞吐量可达到625mbps.  utm功能为可选项，如果采用utm功能，可以防止病毒和＊＊通过vpn隧道在企业的总部和分支之间的传播,如果internet接入也是通过nsa3500防火墙的话,nsa3500设备还能阻止来自internet的病毒,＊＊和间谍软件。例如分支机构和临时的节点，其internet和vpn可能都是采用同一个设备，那么nsa3500和tz100设备可以有效阻止来自internet的应用层的安全威胁， 防止病毒，＊＊进入分支的网络，进而通过vpn隧道扩散到企业的总部。 

移动用户，我们建议采用ssl vpn的方式接入，ssl vpn适合大量移动用户的接入，部署和维护简单。ssl vpn支持windows，linux，macos，windows mobile等多种操作系统的安全远程接入。ssl vpn的用户流量可以经由总部的nsa3500 的utm设备进行病毒，＊＊的扫描，防止移动用户的安全威胁进入总部的网络。

本方案不仅实现分支机构和总部之间的数据传输可以有utm防火墙的7层扫描的安全防护， 对大量移动办公用户的流量同样可以进行7层的安全扫描。 通过总部utm设备，对所有的vpn的流量进行病毒和＊＊的扫描，实现vpn流量的净化，这就是我们说的“干净的vpn”功能。

考虑到分支机构的规模，分公司采用小型的桌面型的tz100 设备。 虽然是桌面型的小型的utm设备，tz100的状态检测的吞吐量仍然可达100mbps，vpn的吞吐量高达75mbps。

sonicwall nsa 系列utm设备能够并行扫描超过所有tcp协议上的近25000类病毒，检测并阻断近4000种＊＊威胁。

sonicwall还支持近百种签名对及时消息(im，如msn、qq)和对等应用(p2p，如bt下载、emule，迅雷下载)的通信进行控制，如封堵qq，msn，迅雷，能够扫描netbios 协议，防止病毒通过windows文件共享进行扩散。

2.3 总部设备选型

总部设备选型：nsa3500

sonicwall nsa 3500重要性能指标

nsa 3500接口

6个10/100/1000mbps自适应电口

并发连接

325，000

吞吐量

1.5gbps 状态检测吞吐量

网关杀毒吞吐量

350mbps

ips吞吐量

750mbps

utm综合吞吐量（gav+ips）

240mbps （同时开启杀毒和ips功能功能）

ipsec vpn 吞吐量

625mbps

lan-2-lan vpn隧道数目

800条隧道

客户端vpn授权

赠送50，最大1000

sonicwall aventail sra ex6000

sra ex6000 最大支持250 并发用户的安全远程接入，支持windows，linux，macos，window mobile等各种终端的b/s，c/s结构的远程访问。

并发用户的license可以灵活购买。例如初期可以购买50个，或者100个，在有需要时，可以随时添加用户的license，最大到250 并发用户。

2.4 分支设备选型

分支设备选型：tz100

sonicwall tz100 重要性能指标