介绍
 　　全国各机场之间采用专用MPLS网络，各机场内部网络为一整体，即北京，上海，广州等全国各地机场为一统一内部局域网络。

　　现解决各航空公司之间数据保密及安全问题，将各航空公司网络从MPLS网络中独立开。

　　传统的安全策略停留在局部、静态的层面上，仅仅依靠几项安全技术和手段达到整个系统的安全目的，现代的安全策略应当紧跟安全行业的发展趋势，在进行安全方案设计、规划时，遵循以下原则：

（1）体系性：制定完整的安全体系，应包括安全管理体系、安全技术体系和安全保障体系。

（2）系统性：安全模块和设的引入应该体现其系统统一到运行和管理的特性，以确保安全策略配置、实施的正确性和一致性。应该避免安全设备各自独立配置和管理的工作方式。

（3）层次性安全设计应该按照相关应用安全需求，在各个层次上采用的安全机制来实现所需的安全服务，从而达到网络信息安全的目的。

（4）综合性：网络信息安全的设计包括从完备性（并有一定冗余）、先进性和可扩展性方面的技术方案，以及根据技术管理、业务管理和行政管理要求相应的安全管理方案，形成网络安全工程设计整体方案，供工程分阶段实施和安全系统运行作为指导。

（5）动态性：由于网络信息系统的建设和发展是逐步进行的，而安全技术和产品也不断更新和完善。因此，安全设计应该在保护现有资源的基础上，体现最新、最成熟的安全技术和产品，满足网络安全系统安全目标。

解决方案

1） IPSec VPN over MPLS

　　综合考虑，采取成熟的IPSec VPN方案，一方面满足现有的保密通信要求，另一方面，IPSec VPN成熟技术方便未来扩展及功能补充。

　　以某某航空公司为例，现阶段，采用MPLS路由器在MPLS网络机场入口直接进行接入，后面采取交换机直连，部署各航空公司网络。我们采取的IPSec VPN方案，在各地分公司，北京，上海，广州等MPLS路由器与交换机之间部署TiGateway防火墙，利用其强大的VPN能力，在现有的MPLS网络上建立新的安全的IPSec VPN隧道，如图红色连线所示，将该航空公司的数据从共享MPLS网络中独立开，由于IPSec VPN采用数据加密，鉴权等多种有效方式，保证数据的机密性，可靠性和完整性。

2） IPSec VPN技术

　　虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

　　虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。实现总部与各分公司和销售点以及在外的业务员的同步数据、语音、mail等业务需求需建立遍布全国各地的多接入方案的VPN网络，时刻保证各分公司与销售点的数据能及时、有效、安全的传回总公司的服务器和与总公司之间的交流。

　　就本方案中推荐采用的产品进行了功能特点的简要介绍，对于各种产品的详细配置情况请参考各个软件的产品说明书。

TiGateway 1000/2000 VPN服务器

产品优势

-高性能多合一安全

-独家 SecuASICTM 加速技术

-阻挡间谍软件、网页仿冒、病毒和垃圾邮件

高性能All-in-one一体化设计

　　从多应用角度来看，应该从多方面来考虑更广泛安全问题，它必须能够提供 All-in-on 一体化的应用，TiGateway1000/2000提供的多合一网络安全解决方案，在提供全面的保护的同时，更具优良性能。所有防病毒（AV）、入侵检测（IDP）、防火墙、虚拟私有网络（VPN）、带宽管理等功能集成到一个1U/2U设备，并能够通过一个单一配置界面进行管理。ICSA认证SPI防火墙，阻止非法连接，提供DoS/DDoS保护ICSA认证IPSec1.1D VPN，使用硬件VPN加速芯片，支持2000/4000条VPN隧道，支持冗余VPN。内容过滤功能对网页内容进行过滤，控制对网页内容的访问。支持集中网络管理TiManager及TiGateway监控。