华为VPN方案模板

一、芜宣高速公路管理有限责任公司VPN联网解决方案

项目概述：

芜宣高速公路管理公司是安徽省交通投资集团全资子公司，主要从事高速公路通行费征收，营运、养护、服务区管理等，办公地点设在芜湖市。

1、需求分析

根据公司业务需要现需上传两路视频到总公司（交投）客服中心，为实现此功能芜湖监控中心需增加一电信10M宽带接入互联网，添加一防火墙和总部建立VPN联网。

2、解决方案

针对客户的需求，华为公司专门设计了满足客户需求的VPN网关USG2000。USG2000是面向运营商、企业、政府行业推出的优秀的SSL/IPSec一体化VPN网关设备。部署USG2000，无需改变网络结构，可以直接单臂挂接到出入口防火墙或者路由器、交换机上，简单快捷。移动办公时，用户终端无需安装任何客户端软件，只需标准的Web浏览器即可对企业内网资源进行安全访问。在两个固定网络间进行通信时，能够通过USG在两个网络间建立IPSec安全隧道，实现总部与分部网络之间的安全稳定互连。USG2000基于华为公司专业的高可靠硬件平台和专用的实时操作系统，具备业界领先的系统安全性和可靠性，为企业员工、分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。

3、方案功能

IPSec/SSL一体化，结合了SSL VPN的安全性、易用性以及IPSec VPN在Site-to-Site方面的优势，最大限度地发挥了VPN给现代企业远程办公所带来的方便性和安全性。 支持多种密码算法，包括加密算法：3DES/DES、RC4、AES，Hash算法：MD5、SHA-1，非对称密码算法：RSA，保障数据传输的安全性、完整性。

为移动人员对各种内网资源的访问提供广泛的支撑，用户仅需要标准的浏览器就可以实现对内网Web资源、SMB/NFS文件系统的安全访问，支持对Notes、Telnet、SSH、MS RDP、VNC、FTP、Oracle等内网TCP应用的访问，同时提供了对基于IP的内网业务的全面访问支持。

提供SSL虚拟网关功能。USG2000通过虚拟网关提供SSL VPN服务，每个虚拟网关相当于一个逻辑上独立可管理的USG2000，可配置自有的用户、资源和访问控制规则。一个虚拟网关可以对应一个独立的IP地址，也可以多个虚拟网关共享一个IP，为一个企业的不同部门或者多个企业使用一台设备进行独立的安全接入提供安全解决方案。

用户身份认证：可以通过在USG2000上建立用户数据库，实现本地认证。同时，还支持多种外部认证系统，包括Radius、LDAP等。

授权：提供本地用户数据库授权方式LocalDB，支持外部Radius、LDAP组用户映射授权。

访问控制规则（ACL）：能够对源IP、目的IP、Port、URL进行细粒度的访问控制。 支持管理员分类分级管理，不同的管理权限给出不同的管理角色。可分为系统管理员、虚拟网关管理员两类，每类分为超级管理员和普通管理员两级。

管理方式：提供SSL VPN可视化图形管理界面WEBUI，直观易用。同时，提供Console管理方式，支持SNMP(简单网络管理)，满足不同管理员的操作习惯。

日志功能：分为用户日志、管理员日志和系统日志，记录用户/管理员上下线时间、操作行为、登录成功/失败，以及系统的运行和故障信息。

电信级的可靠硬件平台和专用实时操作系统，支持双机热备，确保了产品的可靠性、安全性。

4、方案特点

优异的端到端安全解决方案

USG2000安全接入网关融合了IPSec和SSL两种先进的VPN技术，既可以通过Web浏览器实现无客户端的便捷访问，又能够实现端到端的网间互连。传输过程的强加密、身份认证方式的多样化、设备软硬件的安全、细粒度的内网资源授权访问控制，构成了层次化的点到端、端到端安全访问保障。

广泛的业务支撑

USG2000安全接入网关对企业各种内网资源访问提供广泛的支撑。它可以支持用户通过标准Web浏览器访问复杂的内网Web页面、SMB/NFS文件系统，同样支持FTP、Oracle、Notes、Telnet、SSH、VNC、MS RDP等传统C/S应用的访问，同时也支持与应用无关的全IP层业务访问。

方便的部署和管理

USG2000部署不改变网络结构，提供直观易用的中英文WebUI管理界面和丰富的帮助提示信息，管理员通过Web管理界面即可实时进行监控和管理。USG2000同时提供标准的命令行管理方式，以满足不同管理员的操作习惯。

全面的认证、授权、日志支持

USG2000安全接入网关自身提供LocalDB认证授权系统，同时也支持多种主流的外部认证系统，如：Radius、LDAP等，为已具备成熟认证体系的企业提供了有效的支持，在很大程度上降低了支持和维护的成本。同时，提供系统日志、管理员日志和用户访问日志，方便管理员对日志的分析和审计。

领先的SSL虚拟网关技术

USG2000提供SSL虚拟网关功能，单台设备可提供多个虚拟SSL VPN网关，所有的虚拟网关是逻辑上独立的，为不同部门和不同企业提供独立安全的访问体系。同时，支持运营，可为运营商提供多种运营模式。灵活方便，安全可控，为企业和运营商带来更高的投资回报。

电信级的高可靠性

USG2000安全接入网关基于华为高可靠性硬件平台和专用的实时操作系统，具备优异的性能和更高的安全性，单机双电源，支持双机热备组网，确保网关设备高可用性的同时支持大规模部署，是一款电信级高可靠的SSL VPN网关。

5、部署方式

USG2000组网方式灵活，部署简单，一般位于网络出入口防火墙之后，既可以单臂挂接在出入口防火墙或者交换机上，也可以双臂挂接在防火墙和交换机之间，不改变原有的网络拓朴结构，实施不影响业务正常运行。

USG单臂组网方式

USG双臂组网方式

USG2000支持IPSEC VPN功能，可以与系列的Eudemon、USG安全网关建立Site to Site的IPSEC VPN安全链接，同时支持移动用户通过SSL方式访问。