VNN成功案例--山东省渔业互保财务系统远程互联平台

一．客户需求：

1.山东省渔船渔港及渔业互保协会将各分支机构的保险财务信息进行传递共享，这就需要在总局与各分支之间搭建一个安全通讯专网以保证保险财务信息的稳定传递；

2.因为各分支机构处于不同的地理位置，具有各异的因特网互联环境，所以对于处于各地的保险财务服务器的互联需要提供一套实施方便、管理简单的跨因特网互联解决方案；

3.在保险财务信息服务器互相通讯的同时要求各服务器之间传输的数据经过公网的时候全部经过加密处理，以避免明文数据在公网传输过程中被截取导致机密信息泄露，如下图所示：

4.可以让互保财务系统管理员从远端登录各分支机构服务器平台远程维护管理；

5.在构建互保财务系统虚拟通讯网的同，要求严格控制各服务器之间的访问权限，提高网络安全防护系数；

6.在部署此系统网络平台的时候要求不改变各地的网络拓扑，部署使用简单维护方便。

二．需求分析：

由于山东省幅员辽阔，各地市局的地理位置相距遥远，宽带连接服务质量各异，此套虚拟专网系统要求双向安全互联互通，这就要求连接方彼此需要提供静态公网地址。但是大多数环境宽带连接服务商无法向各分支机构提供静态公网地址，即使能够提供也要收取静态IP租用费或者不稳定的DDNS解决方案，这将要求提供一套在各分支机构没有静态公网地址条件下也可以建立虚拟专网的技术解决方案。

将处于不同地理区域的渔业互保财务系统跨越因特网组成一个虚拟专网，在此虚拟专网内默认环境下所有互保财务服务器可以互相通讯，也可以由总部管理员设置访问权限只允许分公司服务器与总公司服务器通讯，分公司之间各服务器不能互相看到也无法互相通讯，只有经过管理员的许可并做统一设置才可以相互通讯。

各地服务器在加入此虚拟专网的时候必须通过严格的认证机制，通不过认证无法加入此虚拟专网，以避免此系统出现系统隐患和安全漏洞，并且各地互保财务服务器使用者可以方便地更换系统登录口令以提高安全系数。

对于各地服务器临时性维护的需求，可以方便地让财务系统服务器厂商工程师临时加入此虚拟专网从远程进行服务器的维护工作，同时支持总部管理员远程维护此虚拟专网平台。

三．针对用户需求VNN提供的解决方案：

方案解读：

VNN(Virtual Native Network)，即虚拟本地网的缩写。通俗的来说，VNN就是一个可以轻松的将互联网上处于各地的任何几台或多台(有无公网IP都可以)主机组建成一个虚拟局域网，使这些主机可以方便快速的实现远程主机互联通讯，尤其适合分支机构通过因特网异地访问总部以及分公司之间互相访问，轻松实现网络资源、各类财务信息及各类网络应用程序的资源共享。

VNN虚拟专有网络平台具有独特的组认证功能，用户使用自己的独立组内账号才能够加入此组对应的虚拟专有网络来访问相关网络资源，没有VNN组账号的用户不能加入此专有网络从而无法访问相应资源。

1.在总部部署VNN虚拟局域网的认证服务器，向所有虚拟网用户提供身份认证功能

2.在互保保险财务服务器上和各分公司服务器上安装VNN软件，并由管理员根据用户相关信息相应生成组内账号，例如：总部管理员账号manage.zongbu.sdycyg，总部使用者账号server.zongbu.sdycyg，青岛账号server.qingdao.sdycyg， 日照账号server.rizhao.sdycyg……以此类推；远程管理用户user.remote.sdycyg， 使用了正确的用户名和密码登录后才能访问sdycyg的组内网络资源

3.输入账号加入到VNN网络后此用户即可使用互保财务保险服务器向远端同样加入VNN网络的财务服务器进行安全的数据传递： server.qingdao.sdycyg  server.zongbu.sdycyg：80(此处假设总部互保保险财务服务器对下面用户提供的访问服务是Web服务)

4.同时总部用户及管理人员安装VNN客户端登录后也可以从总部访问各分公司的互保保险财务服务器，数据走向： server.zongbu.sdycyg  sserver.qingdao.sdycyg，具体数据流程请参见下图：

5.总部系统维护人员也可以登录分支机构财务服务器的远程桌面进行相关系统维护工作，同时也可以利用VNN虚拟专网平台上进行其他业务的相关网络增值服务：例如文件共享，远程培训，远程监控，VOIP或者网络会议Netmeeting等等。

6.通过VNN虚拟专有网络平台客户端所具有的黑名单白名单和防火墙功能，可以设置组内用户的互访规则和核心服务器的防火墙策略，从而在虚拟专网内部避免用户随意互相访问和恶意攻击服务器的问题。

四．VNN产品功能特色组成模块：

VNN产品功能特色：

1.无需公网地址： 处于不同物理位置的主机只要能上网，就可以进行虚拟本地网互联

2.穿透性强： VNN利用先进的专利技术，面对市场上所有的路由器、防火墙及各种宽带互联设备都可以准确判断出其NAT连接类型，从而可以让各VNN客户端进行准确的NAT穿透和完美的UPnP互联，根据目前的测试结果，能够保证在98%的环境中实现直连穿透

3.网络适应性强： 能够上网的地方就都能够接入VNN网络，对上网环境没有任何要求(支持多次NAT，ADSL，CableModem和Socket5代理宽带上网环境)

4.连接快速： 新一代P2PVPN技术，可以跨点传送，明显改善VPN连接及数据传输速度

5.兼容性强：对各种C/S和B/S的应用兼容性高，尤其是对某些需要双向发起的应用例如视频会议和VOIP等，可以支持基于IP的各种应用

6.实施快捷性价比高： 在几分钟内可以完成整个VPN网络的搭建，搭建成本和之后的维护管理成本与其他VPN方案相比可以忽略不计

7.安全性高：主要基于软件方案，无硬件网关的单点故障；按需安装部署灵活，只在需要连入虚拟专网的主机上安装，有效避免了IPSecVPN造成的全网络访问安全隐患

8.管理方便：组内级别访问控制及远程管理功能， 方便管理权限分配和统一控管

9.超大规模：针对大型企业客户可以建立自己独立的VNN硬件系统，最多可以支持并发几十万个用户同时加入虚拟专有网进行互访

10.广域网加速：针对跨运营商VPN连接速度慢的问题，使用独有的WOC(宽带网优化连接)技术可以有效解决这个一直困扰企业的难题

11.大文件传输加速：独有的V2V大文件传输加速功能，可以有效避免VPN无法传输大文件的现象

12.避免单点故障： 由于是部署在各个应用平台和访问者节点上，没有硬件故障和网络单点故障隐患

13.节省企业带宽： Peer to Peet VPN连接方式为点对点传输， 远程互访流量无需通过总部(与Hub spokeVPN相比)即可到达对端，同时有效避免非正常流量穿越VPN隧道，造成VPN带宽资源浪费

五．VNN产品及山东渔业解决方案的优点总结：

在满足用户上述基本需求的前提下，VNN虚拟专有网解决方案与具有以下优点：

1.如果将互保保险财务平台放置在公网上供各分公司访问，这将出现一个明显的安全隐患： 如果某些竞争对手或者恶意攻击者得知此服务器对外开放的公网地址和服务端口，极有可能使用SYNFlood或者拒绝服务攻击方式导致服务器应用资源耗竭，从而无法向外围客户端用户提供正常访问服务

----VNN虚拟专有网络平台的各终端节点在进行网络连接的时候都是使用虚拟地址的动态端口和对端连接，在数据传输过程中使用的都是UDP传输协议，这能够极大降低(尤其是平台核心服务器)被(SYNFlood&端口扫描)攻击的可能性，有效地降低了系统被攻击的潜在风险。

2.VNN虚拟专有网络平台上所有传输的数据都是经过身份认证和数据加密处理的，这就避免了数据在公网上传输的时候造成的被侦听和被截取的可能。

3.VNN虚拟专有网络平台上所连接的各端(包括总部)无需具有静态公网地址即可连接为一个网络，这就避免了(1)所提及的存在公网地址被攻击问题，也极大节省了用户租用公网地址的额外费用。

4.VNN虚拟专有网络平台对所要连接上来的客户端当地的宽带连接要求很低，无论何种网络环境(ADSL，CabelModem，小区宽带，多次NAT或者Socket5代理等等)都能够顺利地快速地建立好网络对接，对分支机构各种宽带连接环境都能够轻松有效地兼容。

5.VNN虚拟专有网络平台不同于传统的VPN连接模式，它可以明显地改善传统VPN技术存在的传输速度过慢问题，如果使用WOC或者V2V模块还可以提供跨网络运营商的网络加速和大文件传输加速功能。

6.使用VNN后可以将各分支机构服务器和总部服务器平台连成了一个大的虚拟局域网平台，在此虚拟局域网平台上还可以开发其他网络增值服务，例如远程文件安全传输，ERP应用共享以及信息数据库查询等等。

VNN产品组成模块