成功案例
中國某鐵路局AWS深信服IPSec VPN 多站點(diǎn)接入身份認(rèn)證系統(tǒng)案例
項(xiàng)目背景
??中國某鐵路局客運(yùn)段辦公網(wǎng)有2000多個(gè)終端用戶,分布在15個(gè)分支機(jī)構(gòu)。為了提高安全管控,加強(qiáng)身份驗(yàn)證的管理,所有終端設(shè)備接入網(wǎng)絡(luò),需要通過身份驗(yàn)證系統(tǒng)統(tǒng)一認(rèn)證。由于身份驗(yàn)證系統(tǒng)部署在總部數(shù)據(jù)中心,多個(gè)分支機(jī)構(gòu)與數(shù)據(jù)中心無專線連接,以及所有分支機(jī)構(gòu)采用動(dòng)態(tài)撥號(hào)方式連接互聯(lián)網(wǎng)等因素,終端驗(yàn)證未能滿足安全一致性的要求。
1、部分分支機(jī)構(gòu)地點(diǎn)偏遠(yuǎn),專線接入昂貴,無法覆蓋所有區(qū)域,對(duì)安全的統(tǒng)一驗(yàn)證提出挑戰(zhàn);
2、所有分支機(jī)構(gòu)邊界設(shè)備采用RouterOS系統(tǒng)動(dòng)態(tài)撥號(hào)連接互聯(lián)網(wǎng),如何保障安全有效的接入驗(yàn)證系統(tǒng);
3、總部服務(wù)器軟/硬件系統(tǒng)缺乏穩(wěn)定性和可靠性因素,無法保證99.99%的高可用和數(shù)據(jù)可靠性的穩(wěn)定服務(wù)。
解決方案
1、現(xiàn)有身份驗(yàn)證系統(tǒng)通過AWS
Server Migration Service (SMS)遷移上云,借助AWS全球領(lǐng)先的云解決方案,提供安全、穩(wěn)定、可靠、彈性、靈活的云托管服務(wù)。
??AWS Server Migration Service (SMS) 是一種無代理服務(wù),您可以免費(fèi)使用,更加輕松快速地將成千上萬的本地工作負(fù)載遷移到AWS。借助 AWS SMS,您可以自動(dòng)執(zhí)行實(shí)時(shí)服務(wù)器卷的增量復(fù)制、對(duì)其制定計(jì)劃以及進(jìn)行追蹤,從而能夠更輕松地協(xié)調(diào)大規(guī)模服務(wù)器遷移。
2、AWS采用商業(yè)VPN-深信服與分支機(jī)構(gòu)建立IPSec
VPN Siteto Site,構(gòu)建安全、快速、易用的遠(yuǎn)程接入環(huán)境。
??通過AWS EC2深信服VPN實(shí)例,與多個(gè)分支建立基于IPSec協(xié)議的Siteto Site VPN,保障AWS與分支機(jī)構(gòu)之間公網(wǎng)隧道的安全。
??分支機(jī)構(gòu)邊緣設(shè)備采用撥號(hào)方式從ISP獲得公網(wǎng)IP,每次撥號(hào)地址有可能不一致,AWS EC2深信服VPN實(shí)例,無法主動(dòng)發(fā)起指定分支IP地址限制對(duì)端身份。Aggressive Mode即野蠻模式,能夠在分支沒有固定IP的情況下,與AWS EC2深信服VPN實(shí)例建立IPSec連接。
??通過AWS EC2深信服VPN實(shí)例,與多個(gè)分支建立基于IPSec協(xié)議的Siteto Site VPN,保障AWS與分支機(jī)構(gòu)之間公網(wǎng)隧道的安全。
??分支機(jī)構(gòu)邊緣設(shè)備采用撥號(hào)方式從ISP獲得公網(wǎng)IP,每次撥號(hào)地址有可能不一致,AWS EC2深信服VPN實(shí)例,無法主動(dòng)發(fā)起指定分支IP地址限制對(duì)端身份。Aggressive Mode即野蠻模式,能夠在分支沒有固定IP的情況下,與AWS EC2深信服VPN實(shí)例建立IPSec連接。
??IPSec(IP Security)協(xié)議族是IETF制定的一系列協(xié)議,它為IP數(shù)據(jù)報(bào)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證等方式,來保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。
項(xiàng)目收益
1、減少專線投入,提高出口利用率,優(yōu)化總體擁有成本。專線收費(fèi)隨著通訊距離的增加而遞增,分支越遠(yuǎn),租費(fèi)越高。而Internet的接入,帶寬固定,無遞增費(fèi)用,無論分支多遠(yuǎn),費(fèi)用一致;
2、通過深信服IPSec多點(diǎn)VPN構(gòu)建,能夠快速,安全的實(shí)現(xiàn)AWS企業(yè)云與各分支機(jī)構(gòu)之間的數(shù)據(jù)、語音、視頻業(yè)務(wù)互通。快速推行企業(yè)安全策略,加快新驅(qū)動(dòng)戰(zhàn)略實(shí)施;
3、企業(yè)上AWS云,可提高資源配置效率、降低信息化建設(shè)成本、促進(jìn)共享經(jīng)濟(jì)發(fā)展、加快新舊動(dòng)能轉(zhuǎn)換。
項(xiàng)目收益
1、減少專線投入,提高出口利用率,優(yōu)化總體擁有成本。專線收費(fèi)隨著通訊距離的增加而遞增,分支越遠(yuǎn),租費(fèi)越高。而Internet的接入,帶寬固定,無遞增費(fèi)用,無論分支多遠(yuǎn),費(fèi)用一致;
2、通過深信服IPSec多點(diǎn)VPN構(gòu)建,能夠快速,安全的實(shí)現(xiàn)AWS企業(yè)云與各分支機(jī)構(gòu)之間的數(shù)據(jù)、語音、視頻業(yè)務(wù)互通。快速推行企業(yè)安全策略,加快新驅(qū)動(dòng)戰(zhàn)略實(shí)施;
3、企業(yè)上AWS云,可提高資源配置效率、降低信息化建設(shè)成本、促進(jìn)共享經(jīng)濟(jì)發(fā)展、加快新舊動(dòng)能轉(zhuǎn)換。
想及時(shí)了解曉通宏志更多資訊,請(qǐng)掃描網(wǎng)站右下角二維碼關(guān)注“曉通宏志”官方微信。
二維碼.jpg)