成功案例
中國某鐵路局AWS深信服IPSec VPN 多站點接入身份認證系統案例
項目背景
??中國某鐵路局客運段辦公網有2000多個終端用戶,分布在15個分支機構。為了提高安全管控,加強身份驗證的管理,所有終端設備接入網絡,需要通過身份驗證系統統一認證。由于身份驗證系統部署在總部數據中心,多個分支機構與數據中心無專線連接,以及所有分支機構采用動態撥號方式連接互聯網等因素,終端驗證未能滿足安全一致性的要求。
1、部分分支機構地點偏遠,專線接入昂貴,無法覆蓋所有區域,對安全的統一驗證提出挑戰;
2、所有分支機構邊界設備采用RouterOS系統動態撥號連接互聯網,如何保障安全有效的接入驗證系統;
3、總部服務器軟/硬件系統缺乏穩定性和可靠性因素,無法保證99.99%的高可用和數據可靠性的穩定服務。
解決方案
1、現有身份驗證系統通過AWS
Server Migration Service (SMS)遷移上云,借助AWS全球領先的云解決方案,提供安全、穩定、可靠、彈性、靈活的云托管服務。
??AWS Server Migration Service (SMS) 是一種無代理服務,您可以免費使用,更加輕松快速地將成千上萬的本地工作負載遷移到AWS。借助 AWS SMS,您可以自動執行實時服務器卷的增量復制、對其制定計劃以及進行追蹤,從而能夠更輕松地協調大規模服務器遷移。
2、AWS采用商業VPN-深信服與分支機構建立IPSec
VPN Siteto Site,構建安全、快速、易用的遠程接入環境。
??通過AWS EC2深信服VPN實例,與多個分支建立基于IPSec協議的Siteto Site VPN,保障AWS與分支機構之間公網隧道的安全。
??分支機構邊緣設備采用撥號方式從ISP獲得公網IP,每次撥號地址有可能不一致,AWS EC2深信服VPN實例,無法主動發起指定分支IP地址限制對端身份。Aggressive Mode即野蠻模式,能夠在分支沒有固定IP的情況下,與AWS EC2深信服VPN實例建立IPSec連接。
??通過AWS EC2深信服VPN實例,與多個分支建立基于IPSec協議的Siteto Site VPN,保障AWS與分支機構之間公網隧道的安全。
??分支機構邊緣設備采用撥號方式從ISP獲得公網IP,每次撥號地址有可能不一致,AWS EC2深信服VPN實例,無法主動發起指定分支IP地址限制對端身份。Aggressive Mode即野蠻模式,能夠在分支沒有固定IP的情況下,與AWS EC2深信服VPN實例建立IPSec連接。
??IPSec(IP Security)協議族是IETF制定的一系列協議,它為IP數據報提供了高質量的、可互操作的、基于密碼學的安全性。特定的通信方之間在IP層通過加密與數據源驗證等方式,來保證數據報在網絡上傳輸時的私有性、完整性、真實性和防重放。
項目收益
1、減少專線投入,提高出口利用率,優化總體擁有成本。專線收費隨著通訊距離的增加而遞增,分支越遠,租費越高。而Internet的接入,帶寬固定,無遞增費用,無論分支多遠,費用一致;
2、通過深信服IPSec多點VPN構建,能夠快速,安全的實現AWS企業云與各分支機構之間的數據、語音、視頻業務互通。快速推行企業安全策略,加快新驅動戰略實施;
3、企業上AWS云,可提高資源配置效率、降低信息化建設成本、促進共享經濟發展、加快新舊動能轉換。
項目收益
1、減少專線投入,提高出口利用率,優化總體擁有成本。專線收費隨著通訊距離的增加而遞增,分支越遠,租費越高。而Internet的接入,帶寬固定,無遞增費用,無論分支多遠,費用一致;
2、通過深信服IPSec多點VPN構建,能夠快速,安全的實現AWS企業云與各分支機構之間的數據、語音、視頻業務互通。快速推行企業安全策略,加快新驅動戰略實施;
3、企業上AWS云,可提高資源配置效率、降低信息化建設成本、促進共享經濟發展、加快新舊動能轉換。
想及時了解曉通宏志更多資訊,請掃描網站右下角二維碼關注“曉通宏志”官方微信。
