SINFOR電力行業(yè)VPN解決方案

2013-10-11 16:33:00 EP電力信息化網(wǎng)　點擊量：評論 (0)

需求分析電力行業(yè)是關(guān)系到國計民生的基礎(chǔ)性行業(yè)，隨著電力市場化以及電網(wǎng)建設(shè)的進一步發(fā)展，傳統(tǒng)的電力系統(tǒng)業(yè)務(wù)正在發(fā)生變化，對電力信息化的需求日益增強，對數(shù)據(jù)的即時性、準確性有了更高的要求，各種管理信息

需求分析

    電力行業(yè)是關(guān)系到國計民生的基礎(chǔ)性行業(yè)，隨著電力市場化以及電網(wǎng)建設(shè)的進一步發(fā)展，傳統(tǒng)的電力系統(tǒng)業(yè)務(wù)正在發(fā)生變化，對電力信息化的需求日益增強，對數(shù)據(jù)的即時性、準確性有了更高的要求，各種管理信息如財務(wù)、收費、電力營銷、生產(chǎn)管理等應(yīng)用系統(tǒng)在電力行業(yè)日常業(yè)務(wù)中扮演了越來越重要的角色。各級電力公司普遍建立了自己的內(nèi)部網(wǎng)絡(luò)，基本實現(xiàn)了辦公網(wǎng)絡(luò)化，但是由于地域上的距離和網(wǎng)絡(luò)發(fā)展的不平衡性，網(wǎng)絡(luò)之間缺少互聯(lián)互通，各網(wǎng)絡(luò)的信息系統(tǒng)不能共享，造成了網(wǎng)絡(luò)的割裂和信息的孤島。

    隨著電力市場化的深入推行，各級機構(gòu)之間需要傳遞的數(shù)據(jù)量大大增加，對數(shù)據(jù)的實時性要求也越來越高，在電力系統(tǒng)的骨干網(wǎng)絡(luò)上主要采用了專線的方式來實現(xiàn)國家－省－市間電力系統(tǒng)的互聯(lián)互通，但是對于數(shù)量巨大的市－縣－鄉(xiāng)的網(wǎng)絡(luò)傳輸需求來說，昂貴的專線方案將給電力系統(tǒng)帶來巨大的運營成本，而電話撥號網(wǎng)絡(luò)又存在著速度慢、容量小、安全性差的弱點，電力行業(yè)迫切需要一種可靠、安全、性價比高的網(wǎng)絡(luò)傳輸方案。

    近年來，VPN以其可以利用公網(wǎng)資源，建立安全、可靠、經(jīng)濟、高效的傳輸鏈路的特點引起了人們的廣泛注意。在VPN技術(shù)的支持下，位于不同地區(qū)的電力部門只需分別聯(lián)入當?shù)氐腎nternet，就可以組成一個高效統(tǒng)一的虛擬專用網(wǎng)絡(luò)。深信服科技提供的SINFOR VPN解決方案在傳統(tǒng)的VPN技術(shù)基礎(chǔ)上，提供了性價比極高的軟硬件一體化解決方案，并特別針對國內(nèi)固定IP的匱乏、復(fù)雜的Internet接入方式、操作人員技術(shù)能力較低等多種不利因素進行了技術(shù)和產(chǎn)品上的創(chuàng)新，為電力行業(yè)提供了一種高安全、高性能、高穩(wěn)定性的VPN解決方案。

VPN組網(wǎng)方案

    以某縣供電局為例，該局下屬數(shù)十個營業(yè)廳，在縣局上了電力營銷系統(tǒng)以后，所有的用戶數(shù)據(jù)和銷售數(shù)據(jù)都需要聯(lián)入縣局數(shù)據(jù)中心進行存取，但如果采用專線的方式來連接縣局和這么多的營業(yè)廳的話，以每條專線的租用費用為2000元計算，十個營業(yè)廳每月光線路租用費用就是兩萬元，還不算采用專線時極高的實施成本和設(shè)備采購費用，對于一個縣局來說，這樣的費用是相當高昂的，因此，在綜合考慮成本、安全性、穩(wěn)定性等多方面的因素后，該縣供電局決定采用深信服提供的SINFOR VPN解決方案，徹底解決了困擾多時的線路問題，利用當?shù)亓畠r的ADSL接入方式（每月200元），將線路成本降低為專線方案的10％。

產(chǎn)品選型

    該縣供電局在縣局使用了SINFOR M5100這款屢獲殊榮的高性價比VPN/防火墻安全網(wǎng)關(guān)，在提供強勁性能的同時具有極好的長時間穩(wěn)定運行能力，能夠保證下屬營業(yè)廳隨時可靠的接入，在下屬各級營業(yè)廳根據(jù)其規(guī)模分別采用了SINFOR S5100邊緣VPN/防火墻安全網(wǎng)關(guān)或軟件VPN分支模塊，充分體現(xiàn)了深信服科技軟硬件一體化方案的性價比優(yōu)勢，對于規(guī)模較小的營業(yè)廳直接采用軟件VPN模塊，在不降低VPN網(wǎng)絡(luò)穩(wěn)定、安全等特性情況下大大降低了方案整體投入。

方案效果

    通過SINFOR VPN的實施，該供電局實現(xiàn)了應(yīng)用系統(tǒng)的遠程拓展，大大提高了業(yè)務(wù)處理水平和整體管理水平：
? 下屬收費點通過各種上網(wǎng)方式直接實現(xiàn)異地查詢總部收費系統(tǒng)信息，數(shù)據(jù)集中供電局總部
? 縣局與各營業(yè)廳信息實時共享；通過OA、內(nèi)部郵件等應(yīng)用系統(tǒng)的使用，提高了內(nèi)部交流的效率
? 實現(xiàn)領(lǐng)導(dǎo)及員工遠程移動辦公，在任何地點、任何上網(wǎng)方式都可以接入總部，查詢收費管理系統(tǒng)以及其它相關(guān)信息

方案特點

    作為專業(yè)的VPN解決方案，SINFOR VPN方案為電力行業(yè)提供了集高安全性、高可靠性、高性能、靈活方便的互聯(lián)方案，具備以下幾個重要特性：

    高安全的VPN

    由于使用了Internet作為連接鏈路的基礎(chǔ)，通過Internet來進行數(shù)據(jù)的傳送不得不考慮由此產(chǎn)生的安全隱患。深信服科技的SINFOR M5100是一款高性價比的硬件VPN/防火墻安全網(wǎng)關(guān)。在系統(tǒng)內(nèi)部，集成了高強度的加密算法，并可以進一步通過軟件或硬件卡的形式進行加密算法的擴展，保證了數(shù)據(jù)傳輸?shù)陌踩２⑶蚁到y(tǒng)內(nèi)置Radius服務(wù)、并采用了HARDCA硬件證書的形式進行身份認證，確保接入用戶的合法有效。另外，SINFOR M5100還針對內(nèi)網(wǎng)用戶可以設(shè)定細致的訪問權(quán)限、避免了病毒類文件的隨意傳播和越權(quán)訪問帶來的安全隱患。同時，SINFOR M5100本身也是一臺高性能的防火墻設(shè)備，系統(tǒng)采用SINFOR-Linux嵌入式操作系統(tǒng)，可以有效抵御外網(wǎng)的攻擊。

    隧道加密：采用國際先進的AES 128位加密技術(shù)加密隧道，防止數(shù)據(jù)竊取和偵聽。先進的加密技術(shù)在保證高加密級別的同時提供了強大的性能保證，有效加強隧道傳輸效率。

    接入用戶身份驗證：除基于用戶賬號的Radius身份驗證外，SINFOR VPN創(chuàng)新性的采用了深信服科技專利技術(shù)－基于硬件身份的鑒權(quán)體系，將用戶賬號與其所在計算機硬件信息進行綁定，即便用戶賬號意外泄露，由于非法用戶無法使用與此賬號事先綁定的那臺計算機，不會因此造成非法用戶接入。對于遠程移動辦公人員，由于計算機存在失竊或被非法使用的可能性，深信服科技還對移動用戶采用了基于硬件USB KEY的身份驗證機制，利用DKEY這種USB的便攜設(shè)備的唯一ID號作為其使用VPN的許可方式，使得只有指定人員使用指定賬號及指定計算機接入總部訪問指定資源成為可能，極大的提高了VPN的整體安全性。

    接入用戶權(quán)限控制：普通的VPN產(chǎn)品在用戶接入后即可隨意訪問局域網(wǎng)內(nèi)任意資源，對于安全要求較高的單位來說，這種不受限制的訪問容易造成極大的安全隱患，深信服科技通過在VPN系統(tǒng)中設(shè)置更細致的服務(wù)訪問權(quán)限來杜絕這些安全隱患。SINFOR VPN可以針對每個用戶設(shè)定不同的接入訪問權(quán)限，如某些用戶只能訪問總部的OA系統(tǒng)，不能訪問財務(wù)系統(tǒng)等，不同的VPN用戶可以設(shè)定對不同資源的訪問權(quán)限，避免因為VPN用戶權(quán)限過大造成的安全隱患。

    深信服科技提供的SINFOR M5100、S5100安全網(wǎng)關(guān)及軟件VPN產(chǎn)品均集成VPN及企業(yè)級防火墻于一體，在提供豐富的VPN功能的同時，其自帶的企業(yè)級防火墻能夠提供對網(wǎng)絡(luò)強大的保護和管理功能，確保網(wǎng)絡(luò)不被Internet非法用戶攻擊及入侵，并對內(nèi)網(wǎng)用戶上網(wǎng)行為進行非常細致的管理，避免內(nèi)網(wǎng)用戶隨意的Internet訪問行為帶來的安全隱患，能夠充分保護VPN網(wǎng)絡(luò)工作于Internet時其內(nèi)外網(wǎng)絡(luò)的安全。
高可靠的VPN

    作為基礎(chǔ)應(yīng)用的連接鏈路，VPN網(wǎng)絡(luò)的可靠性是極其重要的，SINFOR VPN通過多種技術(shù)保證VPN網(wǎng)絡(luò)的高度可靠性。

    互為備份的Web尋址技術(shù)：基于Web的動態(tài)尋址技術(shù)是深信服公司專利技術(shù)，通過該技術(shù)，使得SINFOR VPN可以支持ADSL等動態(tài)IP撥號上網(wǎng)方式，無需固定IP，大大降低了客戶使用VPN的成本。由于動態(tài)尋址過程依賴于WEB的可靠性，因此，在SINFOR VPN中采用了互為備份的WEB設(shè)置，只要有一個WEB能夠正常工作，即可正常實現(xiàn)動態(tài)尋址，保證了VPN尋址的可靠性。

    多線路技術(shù)增強線路穩(wěn)定性：由于Internet線路具有不可靠性的特點，使用Internet線路存在斷線的可能性，對VPN網(wǎng)絡(luò)的可靠運行產(chǎn)生了隱患，因此，SINFOR VPN創(chuàng)新性的提出了多線路捆綁技術(shù)，在一個VPN節(jié)點上可以同時使用多條Internet線路，只要其中的一條線路仍然正常工作，DLAN VPN網(wǎng)絡(luò)即可保持正常。

    斷線重撥技術(shù)：為了保證撥號網(wǎng)絡(luò)的穩(wěn)定性，SINFOR VPN中集成了自動撥號軟件，在撥號中斷后，5秒內(nèi)可以重撥。網(wǎng)絡(luò)物理連接恢復(fù)正常后，VPN隧道將在1分鐘內(nèi)自動建立，從而保證系統(tǒng)迅速恢復(fù)。

    VPN內(nèi)部QOS功能：VPN內(nèi)的智能QOS可動態(tài)為各優(yōu)先級別的VPN應(yīng)用合理分配帶寬，在網(wǎng)絡(luò)繁忙時優(yōu)先傳送更重要的數(shù)據(jù)（如對時延較為敏感的VOIP及視頻數(shù)據(jù)及數(shù)據(jù)庫查詢等），而智能的QOS在網(wǎng)絡(luò)空閑時可充分利用所有帶寬。

    完善的日志功能：SINFOR VPN集成完善的日志服務(wù)，提供信息日志，告警日志，錯誤日志和調(diào)試日志等多種類型的日志，能極大的幫助網(wǎng)絡(luò)管理員分析和維護整個網(wǎng)絡(luò)系統(tǒng)。由于有獨立的日志服務(wù)器，因此日志空間僅受管理員分配的存儲空間的限制。

    高性能的VPN

    高效的傳輸效率：高效的加解密算法和強大的“流壓縮”技術(shù)使得SINFOR VPN對實際帶寬的利用率高達130%，在傳輸Word、BMP等文檔和SQL查詢等數(shù)據(jù)時表現(xiàn)尤為出眾，遠遠超出一般VPN產(chǎn)品70%-80%的傳輸效率。

     冗余容量設(shè)計：電信網(wǎng)經(jīng)常因為話務(wù)高峰而癱瘓，數(shù)據(jù)網(wǎng)絡(luò)也如此，如果網(wǎng)絡(luò)設(shè)備的容量承載不了突然增長的業(yè)務(wù)負荷，那么系統(tǒng)就可能癱瘓。SINFOR M5100的設(shè)計容量大大超過一般用戶的實際容量，達到一個網(wǎng)關(guān)支持5000個網(wǎng)絡(luò)用戶，1500條VPN隧道，54.4M的VPN隧道帶寬，這種冗余容量的設(shè)計保證VPN網(wǎng)絡(luò)即使遇到業(yè)務(wù)突發(fā)高峰，也能穩(wěn)定運行。

    強大的路由功能：SINFOR VPN自帶智能軟路由功能，可以將非互聯(lián)的數(shù)據(jù)（即直接訪問Internet數(shù)據(jù)）路由到本局域網(wǎng)的其他網(wǎng)關(guān)或路由設(shè)備，從而達到分離內(nèi)外網(wǎng)數(shù)據(jù)和擴大出口帶寬的目的；或者利用多條線路多個網(wǎng)關(guān)組成的集群同時接入眾多的分支。

    靈活方便的VPN

    對移動IP的全面實現(xiàn)：一般VPN部署都需要改變網(wǎng)絡(luò)結(jié)構(gòu)，SINFOR VPN在充當遠程接入服務(wù)器時，不需要客戶網(wǎng)絡(luò)做任何改變。遠程用戶接入到網(wǎng)絡(luò)來時，可獲得一個該網(wǎng)絡(luò)的內(nèi)外IP地址，并以此IP與網(wǎng)絡(luò)內(nèi)其它節(jié)點進行雙向的訪問，若該遠程用戶原本就是該網(wǎng)絡(luò)內(nèi)的一個用戶，則在遠程接入后仍可保留原本的IP地址，做到在遠程和在本地時一模一樣。

    對各種接入方式的全面支持：通過改進的IPSEC隧道封裝技術(shù)，SINFOR VPN能很好的支持NAT穿透功能，使得SINFOR VPN可以支持任何接入方式，包括GPRS, CDMA1X,WLAN等最新的無線上網(wǎng)接入方式，甚至是未來NGN接入方式。SINFOR VPN實現(xiàn)了用戶隨時隨地移動辦公的夢想，并能保護用戶對未來的網(wǎng)絡(luò)投資。

    安全策略隨時攜帶，客戶端零配置：SINFOR VPN 集成DKEY技術(shù)，可以將移動用戶的安全策略存儲在類似U盤的USB Key(又名DKEY)中。這樣移動用戶隨身攜帶標識自己身份和存儲了對應(yīng)安全策略配置信息的DKEY，可以在任何一臺電腦安全的接入到總部。安裝好PDLAN軟件后，用戶只需要插入DKEY，輸入自己的密碼就可以完成接入，做到了VPN客戶端零配置，和使用銀行取款機一樣安全方便。

簡單方便的配置備份和恢復(fù)：SINFOR VPN采用多個加密的配置文件形式保存配置信息。系統(tǒng)提供了對所有配置的打包備份功能，管理員可方便的對配置文件進行備份和恢復(fù)。同時管理員還可以在本地配置好遠程網(wǎng)絡(luò)，利用配置恢復(fù)功能在遠程導(dǎo)入配置。

    支持遠程部署、軟硬兼施：SINFOR VPN既有安裝方便的純軟件產(chǎn)品，也有相應(yīng)的硬件模塊。軟件模塊可以實現(xiàn)遠程安裝、遠程部署。模塊化設(shè)計，用戶可以根據(jù)需要，下載相應(yīng)的模塊文件即可增加新的功能。而SINFOR M5100硬件模塊既可以和所有S5100、M5400、M5100等硬件產(chǎn)品系列產(chǎn)品之間互連互通，也可以和SINFOR VPN系列軟件VPN互連互通，方便用戶根據(jù)各地的實際環(huán)境、按需選擇產(chǎn)品模塊，構(gòu)建量身定制的VPN網(wǎng)絡(luò)。