Fortinet安全解决方案VPN教学教材.docx
《Fortinet安全解决方案VPN教学教材.docx》由会员分享,可在线阅读,更多相关《Fortinet安全解决方案VPN教学教材.docx(16页珍藏版)》请在冰豆网上搜索。
Fortinet安全解决方案VPN教学教材
FortinetVPN解决方案
1.概述
Internet应用中,不可避免的要通过公用网络来传输信息,其中就有可能包括机密信息。
由于Internet是一个开放的、公用的网络,黑客很容易通过在网络设备上安装网络嗅包器(如Sniffer、NIDS等)中途窃取信息,造成泄密;黑客也可以伪装成内部用户登录到内网中进行破坏活动,因此我们需要在网络上配置一整套VPN体系,对通过Internet进行的远程访问进行严格的认证和加密,使Internet上的VPN成为经过加密和认证的安全链路,保证各节点之间远程访问的安全。
采用VPN技术的目的是为了在不安全的信道上实现安全信息传输,保证内部信息在Internet上传输时的机密性和完整性,同时对Internet上传输的数据进行认证。
单独的VPN网关的主要功能是数据包的加密/解密处理和身份认证,没有很强的访问控制功能(状态包过滤、网络内容过滤、防DoS攻击等)。
在独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。
因此,在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。
它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。
因此,VPN技术已经成为安全网关产品的组成部分。
FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关,可以提供各安全功能之间的完美联动、良好的兼容性和性能。
FortiGate的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议,提供了前所未有的方便和灵活的选择。
对远程移动用户或企业的出差用户来说,既可以使用Windows等系统自带的PPTP/L2TP拨号软件,也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接,还可以直接使用IE浏览器,通过Web方式创建基于SSL的VPN隧道。
应用PPTP、L2TP、SSL的好处是方便使用,不需要附加的软件。
而用IPSec客户端软件的好处是高度的安全性保证,可以采用动态的密钥保证数据的安全。
在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。
配置简单灵活。
由于充分利用了专用的ASIC芯片技术,处理复杂的VPN加密和认证过程,极大加快了VPN通道的建立速度和数据加/解密的处理时间,达到了极高的VPN处理速度。
内容处理器以独特的设计方式,解决了防火墙设备处理高速加密数据流的瓶颈问题,并通过简单易用的WEB管理提供给用户人性化的管理界面。
高性能的VPN加密处理(DES,3DES,AES,MD5,SHA1)使企业可以充分利用VPN技术构建自己的Intranet网络,无须考虑设备处理速度的影响,256位的AES算法更提供了业界最高级别的安全防御体系,使企业的内部数据可以无忧地在公网上传输,以达到企业内部网络安全扩展的目的。
而今,迅速发展的广域网技术使公网的带宽成倍的增长,同时又为企业VPN网络提供了广阔的发展空间。
2.IPSecVPN解决方案
企业Intranet网络建设的VPN连接方案,利用IPSec安全协议的VPN和加密能力,实现两个或多个企业之间跨越Internet的企业内部网络连接,实现了安全的企业内部的数据通信。
通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理,使企业的内部网络通信具有良好的扩展性和管理性。
如下图所示,IPSecVPN的部署都是成对进行的,既可以在设备与设备之间(例如总部的FortiGate与分支机构、合作伙伴、SOHO办公等节点的FortiGate)建立IPSecVPN隧道,又可以在设备与客户端软件(例如总部的FortiGate与移动办公用户PC上安装的FortiClientVPN客户端软件)间建立。
通过在广域网的各个节点上安装部署IPSecVPN设备或软件,并进行适当设置,便可建立全网的IPSecVPN隧道,使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet的数据传输均经过IPSecVPN的加密及认证保护,黑客无法在途中窃取、篡改或破坏数据。
上图中总部与分支机构A、移动办公用户之间的IPSecVPN隧道用红色虚线表示,实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSecVPN通信。
FortiGateIPSecVPN有如下常见场景:
●LAN-LANVPN
LAN-LANVPN是两个局域网之间的VPN,在两个局域网的Internet出口处部署VPN网关实现,通常有以下几种环境:
Ø两个局域网均使用静态公网IP地址接入Internet:
最简单、经典的VPN应用;
Ø其中一个或两个局域网使用动态公网IP地址接入Internet,例如ADSL方式:
可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立VPN隧道的双方均使用FQDN域名与对方通信;
Ø其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址(静态或动态IP地址均可),分支机构使用私网IP地址:
可以使用拨号VPN方式建立隧道,由分支机构向总部的公网IP地址或FQDN域名发起连接,总部无须事先知道分支机构使用的IP地址。
利用NAT穿越技术,FortiGate可以在NAT环境下,保证VPN的正常通信。
当前在国内IP地址紧张的情况下,很多的分支机构都是通过服务商提供的私有网络地址连接公网的,在服务商的网络出口处统一进行地址转换。
在这种情况下,只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境。
●拨号VPN
拨号VPN与点对点VPN不同,VPN隧道的双方不是对等的角色,而是一方扮演服务器,一方扮演客户端,通常用于大量分支节点接入一个中心节点的环境,例如集团公司的大量分支机构及移动办公用户都通过IPSecVPN与总部连接,并进行数据交换。
拨号VPN客户端既可以使用FortiGate设备(如分支机构节点),也可以使用FortiClient客户端软件(如移动办公用户)。
FortiClient具有PC和手机版本,支持Windows2000以上PC操作系统及Android、iOS等系统的智能终端,移动办公用户可以使用多种接入终端设备(PC、智能手机、Pad等)接入VPN网络,扩展了VPN网络的覆盖度。
使用客户端方式实现拨号VPN方式时,在核心VPN网关上可以通过配置向导功能,简单的选择选项、填写参数,并点击下一步,即可完成复杂的IPSecVPN配置。
FortiGate支持多种身份认证方法,包括预共享密钥和数字证书认证,X.509数字证书认证可以与企业或机构现有的PKI体系相结合,提供更高级别的安全保护。
FortiGate支持离线或SCEP在线申请数字证书方式,FortiClient软件支持PC本地存储或USBKey存储数字证书,使用更加灵活方便。
除预共享密钥及数字证书外,FortiGate还支持本地用户、Windows域、Radius、LDAP、TACACS+等方式的用户名和密码认证,在预共享密钥及数字证书的基础上进一步提高安全性。
●星形VPN(Hub-Spoke)
在实际应用中,很多时候也需要进行多个节点之间的VPN互访,如下图所示,除了总部与分支机构A、B之间的通信外,分支机构A和B之间也需要进行数据交换。
FortiGate可以通过星形VPN或全网状VPN来实现这一需求。
FortiGate使用Hub-Spoke方式实现星形VPN。
在此结构下,各分支机构、合作伙伴、SOHO及移动用户都与总部建立VPN隧道,而分支节点之间的互访都是通过总部节点进行的,例如上图中分支机构A和B之间的数据通信都绕经总部的FortiGate设备进行。
对于快速扩张的企业或机构,星形VPN具有好的扩展性,新的VPN分支节点只需跟中心节点之间建立一条VPN通道,便可很容易的加入到Hub-Spoke星形结构中,实现与现有VPN网络中所有节点的通信;且只需要中心节点(总部)具有一个公网IP地址,其余节点均可以使用私网IP地址。
星形VPN的缺点是中心节点的故障将导致所有分支节点也无法互访。
●全网状VPN(FullMesh)
通过全网状VPN部署方式,可以克服星形VPN中心节点故障而导致所有分支节点无法互访的缺点。
如下图所示:
在全网状VPN结构下,每两个节点之间都建立直连的IPSecVPN隧道,无需第三方介入即可直接通信。
全网状VPN的优点是任意一点的故障都不会影响其它节点的互访,但它也有明显的缺点,一是配置工作量大,且扩展比较复杂,每一个新加入VPN网络的节点都需要与其它节点一一建立VPN隧道;二是对网络环境要求更高,例如如果分支机构A和B都使用私网IP地址,便无法直接建立VPN。
星形VPN和全网状VPN都可以使用FortiManager的VPN管理功能快速配置,从而减少VPN管理员的配置难度和工作量。
●基于策略与路由模式VPN
除了传统的基于策略的IPSecVPN外,FortiGate还支持基于路由的VPN,在IPSecVPN隧道上建立虚拟接口,IPSecVPN数据传输都在虚拟接口之间进行。
如上图所示,物理接口之间进行VPN隧道协商,虚拟接口之间进行数据通信。
在FortiGate上,IPSecVPN虚拟接口与物理接口一样可以进行路由、安全策略等设置。
使用基于路由的VPN,可以很容易的实现更多高级功能:
Ø在VPN隧道中实现OSPF、BGP等动态路由或组播路由;
Ø通过静态路由、动态路由、策略路由、等值路由等实现VPN链路的冗余或负载分担;
Ø远程拨号VPN用户可以使用VPN链路访问Internet,一来可以提高访问的安全性,二来便于企业或机构对移动办公用户的上网行为进行过滤和监控;
●透明模式下的VPN
通常IPSecVPN都是在路由/NAT模式下实施的,但有时根据网络结构,VPN网关需要配置为透明模式,如下图所示,内网PC的网关指向路由器192.168.1.1,FortiGate工作于透明模式。
在这种情况下,FortiGate仍然能够根据管理员设置的VPN策略,截获来自于内网PC向远端局域网的访问请求,然后使用IPSecVPN进行加密封装后发往对端的FortiGate设备;当对端FortiGate设备返回数据时,FortiGate也能进行解密操作并转发回内网的PC。
●相同IP地址段间的VPN
通常情况下,VPN网络两端的局域网应当使用不同的IP地址段,以免发生IP地址冲突,但由于机构的合并,或某些比较老的网络在规划时并未考虑到将来可能的VPN互联,而在不同分支节点使用了同一段IP地址,如下图所示,分支机构A和B都使用了192.168.1.0/24这一段IP地址。
利用FortiGate的IPSecVPN双向NAT功能,可以支持这种相同IP地址段间的IPSecVPN通信需求。
通过将两端的IP地址段进行NAT转换后再进入IPSec隧道,例如转换为192.168.2.0和192.168.3.0,便可顺利将这两个192.168.1.0/24网络通过IPSecVPN连通。
●VPN隧道中的安全过滤
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等)。
而由于VPN的加密特性,使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的,在独立的安全网关和VPN部署方式下,安全网关无法对VPN隧道中的加密信息进行任何安全过滤,病毒、攻击等可以很容易的通过VPN在广域网各节点之间传播扩散,由此带来安全性、性能、管理上的一系列问题。
因此,将VPN和其它安全功能集成,提供一个灵活、高效、完整的安全方案,是当前安全技术的发展趋势。
它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网络免受病毒、入侵等的威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。
因此,VPN技术已经成为安全网关产品的组成部分。
FortiGate便是一个集VPN、防火墙和多项应用层安全功能于一身的综合安全网关,可以提供各安全功能之间的完美联动、良好的兼容性和性能。
如上图所示,在FortiGate的VPN策略中应用防火墙、防病毒、IPS、内容过滤、反垃圾邮件、IM/P2P过滤等安全功能,可以在各种安全威胁进入VPN加密隧道前或离开加密隧道后进行过滤,从而阻止病毒、蠕虫、木马、入侵、不良内容等在VPN网络各节点之间的传播。
3.SSLVPN解决方案
IPSecVPN的优势在于LAN-LAN连接,在Client-LAN环境下,使用IPSecVPN需要在客户端安装复杂的软件,而SSLVPN被称之“无客户端”,可以通过Web浏览器实现无客户端的远程访问。
通过SSLVPN,可以在任何地点,利用任何设备,连接到相应的网络资源上。
虽然早期的SSLVPN只支持B/S模式(Web)应用,具有一定的局限性,但是最新的SSLVPN产品(如FortiGate)支持通道模式。
SSL通道模式与IPSec类似,支持各种B/S及C/S应用,且SSLVPN使用知名端口TCP443通信,因此连通性和兼容性都很好。
如下图所示,在中心节点(如总部)部署FortiGate设备,并设置SSLVPN功能,各地的移动办公用户便可与中心节点建立SSLVPN连接。
●SSLVPN接入模式
FortiGateSSLVPN用户端接入支持两种模式,分别为代理模式和隧道模式。
Ø代理模式
代理模式可以为用户提供快速高效的安全加密接入,用户端只需要通过浏览器即可实现,是真正的无客户端接入方式。
通过一个网页入口,用户认证成功后,可以访问HTTP/HTTPS、Telnet、FTP、SMB/CIFS、VNC、RDP、SSL、Ping、Citrix协议。
Ø隧道模式
通过隧道模式,用户可以自由的访问内网的任意资料,包括各种C/S服务应用、除代理支持的协议外的其它协议等。
用户在第一次开启隧道时,需要安装一个客户端软件(ActiveX控件),此软件不需要配置,只需安装一次即可。
用户拨入后,会分配一个虚拟IP地址,通过这个地址对内网资料进行访问。
隧道模式支持隧道分割方式,只允许访问内网的数据进入隧道,去往Internet的数据同时可以实现正常访问。
FortiGateSSL插件支持客户端拨号软件,通过拨号软件,用户可以方便的通过用户名、密码或证书访问内部资源,不需要再通过网页入口开启隧道模式。
●SSLVPN防火墙安全
FortiGateSSLVPN的访问控制是基于防火墙功能实现。
通过防火墙功能,FortiGate设备可以控制允许哪些SSLVPN用户IP拨入;拨入用户可以访问哪些服务器的哪些端口,非常方便的实现SSLVPN访问控制功能。
●用户身份认证
FortiGateSSLVPN支持以下认证方式:
Ø用户名/密码认证
进入网页入口需要进行用户名/密码认证。
认证的方式支持支持传统的Radius、LDAP、ActiveDirectory、SecurID等认证方式,同时提供Local(本地数据库)认证方式。
Ø证书认证
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加应用的各方必须有一个可以被验证的标识,这就是数字证书。
FortiGate证书管理支持以下项目:
✓
✓500元以上1224%支持X.509标准协议。
✓
✓二、大学生DIY手工艺制品消费分析支持客户端证书认证。
✓支持CertificateRevocationList(证书撤销列表)
✓支持intermediateCACertificate
Ø双因素认证
图1-3大学生偏爱的手工艺品种类分布对安全级别需求高的网络需要“双因素”认证,即使用用户ID与密码之外的信息进行认证。
Fortinet公司的FortiToken是FortiGate专用的双因子认证令牌,符合誓约联盟基于时间的硬件一次性密码令牌,通过FortiGuard实现在线交付使用,提供每分钟更新的动态密钥。
300元以下918%
●虚拟桌面
FortiGate的SSLVPN客户端还支持“虚拟桌面”模式。
在虚拟桌面模式下,利用流行的“沙盒(Sandbox)”技术,为SSLVPN用户在PC上开辟一块虚拟空间,所有的SSLVPN访问都在这个“沙盒”中进行。
当用户退出SSLVPN虚拟桌面时,所有SSLVPN访问产生的“痕迹”都会被删除,包括下载的文件、浏览器缓存、历史记录等。
如果SSLVPN会话非正常结束,文件可能被保留,但这些文件都是加密的,不能阅读或修改。
当用户开启虚拟桌面功能后,虚拟桌面会替换用户普通桌面。
同时,用户可以控制哪些应用可以在虚拟桌面上运行。
虚拟桌面模式能够更好的满足用户的安全要求,防止信息泄漏,即使SSLVPN用户使用公用计算机(例如使用他人或网吧的PC)来访问单位内部网络,都没有泄密的风险。
●客户端主机检查
我们大学生没有固定的经济来源,但我们也不乏缺少潮流时尚的理念,没有哪个女生是不喜欢琳琅满目的小饰品,珠光宝气、穿金戴银便是时尚的时代早已被推出轨道,简洁、个性化的饰品成为现代时尚女性的钟爱。
因此饰品这一行总是吸引很多投资者的目光。
然而我们女生更注重的是感性消费,我们的消费欲望往往建立在潮流、时尚和产品的新颖性上,所以要想在饰品行业有立足之地,又尚未具备雄厚的资金条件的话,就有必要与传统首饰区别开来,自制饰品就是近一两年来沿海城市最新流行的一种。
当客户端通过SSLVPN拨入到FortiGate设备,并通过FortiGate设备访问内网资源时,FortiGate设备可以对客户端的PC主机进行安全检测,只有符合安全策略的主机才可以通过FortiGate访问内网。
检查的内容包括:
杀毒软件检测及防火墙软件检测。
FortiGate上已经预定义了经过Windows安全中心验证的安全软件,可以直接进行配置。
用户也可以自定义需要的安全软件。
●单点登录
与此同时,上海市工商行政管理局也对大学生创业采取了政策倾斜:
凡高校毕业生从事个体经营的,自批准经营日起,1年内免交登记注册费、个体户管理费、集贸市场管理费、经济合同鉴证费、经济合同示范文本工本费等,但此项优惠不适用于建筑、娱乐和广告等行业。
网页入口上定义的书签指向的网页上可能还包含认证信息,FortiGate可以自动帮助用户登录进入这些网页。
用户登录SSLVPN后,再访问需要认证的书签上的网页时,不需要再输入一次用户名密码。
用户在配置书签时,可以自定义单点登录的相关信息。
(四)DIY手工艺品的“个性化”
●SSLVPN通道内数据深度检测
4、如果学校开设一家DIY手工艺制品店,你是否会经常去光顾?
普通的SSLVPN网关没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等)。
而由于VPN的加密特性,使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的,SSLVPN拨入用户如果PC上已经受到恶意的侵入,病毒、攻击等可以很容易的通过VPN在核心网络传播扩散,由此带来安全性、性能、管理上的一系列问题。
(1)政策优势FortiGateSSLVPN功能和其它安全功能集成,提供一个灵活、高效、完整的安全方案。
可实现的安全功能包括:
防病毒、防攻击、应用控制、Web过滤、垃圾邮件过滤等。
同时,还可以为每个拨入用户分配一定的带宽,防止因某个用户占用带宽过大而影响到网络速度。
4.
5.上海市劳动和社会保障局所辖的“促进就业基金”,还专门为大学生创业提供担保,贷款最高上限达到5万元。
PPTP、L2TPVPN解决方案
与IPSec和SSLVPN类似,通过PPTP和L2TP协议,也可以建立端到端的VPN隧道,并实现外部网络到内部的访问。
与IPSec和SSLVPN相比,PPTP和L2TP具有如下的优缺点:
PPTP、L2TP简单灵活,均可使用Windows、Linux等操作系统自带的拨号软件而无需另行安装,且具有良好的网络及应用兼容性,但本身安全级别较低,PPTP可选使用MPPE加密(40/56/128位密钥);L2TP本身不加密,需要配合IPSec提供安全保护。
因此PPTP、L2TP适合于对安全要求不高的环境。
FortiGate设备支持PPTP和L2TPVPN,在配置时需要在命令行下进行。
升级会员 