分支机构VPN建设方案.docx
《分支机构VPN建设方案.docx》由会员分享,可在线阅读,更多相关《分支机构VPN建设方案.docx(25页珍藏版)》请在冰豆网上搜索。
分支机构VPN建设方案
雪花啤酒各分支机构VPN接入解决方案
雪花啤酒
1项目概述
雪花啤酒,如何提高办公网各个业务系统的数据传输的安全性已经成为雪花啤酒当前急需解决的问题。
2VPN技术简介
虚拟专用网(VPN)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,包括和该技术相关的多种安全管理机制。
VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。
VPN技术需要解决的主要问题概括起来就是:
实现低成本的互通和安全。
总部及各个分支机构通过公网实现跨地域的系统互联必然面临安全问题。
使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
需要强调指出的是:
网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。
企业需要的是集组织、管理和技术为一体的完整的安全解决方案。
2.1IPSecVPN技术
IPSecVPN是基于IPSec协议建立的虚拟专用网络。
IPsec中有两个独立的用于安全传输数据的协议:
“AuthenticationHeader”(AH)和“EncapsulatingSecurityPayload”(ESP)。
AH为数据流提供数据完整性认证的服务。
ESP为所传输数据提供加密和数据完整性认证的服务。
IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。
在密钥的获取方面,IPSec提供了IKE协议,使通讯的双方能够通过安全的自动协商获得相同的密钥。
TransportMode将原IP包中的数据部分进行封装,从而提供了端对端的安全连接。
TunnelMode封装整个IP包,从而建立网关到网关间的安全的虚拟的一跳(hop)。
利用TunnelMode建立跨越Internet区域的连接两个网关的隧道,从而组成传统方式的VPN。
传统形式的VPN采用ESP协议并工作在Tunnel模式的IPSecVPN,这种形式的VPN被广泛地使用在企业中,用于安全连接位于异地的企业计算机资源。
2.2设计原则
我们在对IPSECVPN系统建设时遵循以下原则:
开放性
IPSECVPN系统应当符合开放性规范,方便今后对网络进行扩展和功能扩充,接入不同厂商多种硬件设备、软件系统和网络产品。
扩展性
IPSECVPN系统设计应当考虑未来的拓扑结构、功能模块、处理能力和网上负载的扩展,应当易于增加新设备、新的应用系统(如新ERP系统),随企业各部门信息化的逐步实现能不断延伸和扩充,充分保护现有投资利益。
可靠性
IPSECVPN系统应当具备高容错和容灾能力,具有抵御外界环境和人为操作失误的能力,并且能够在最短时间内进行故障排除和恢复,IPSECVPN系统具有充分的容错设计,使系统的单点故障不影响网络正常运行。
标准化
IPSECVPN系统使用的通信协议、管理协议和硬件接口必须符合国际标准,并应是现在和将来网络技术发展的主流。
安全性
IPSECVPN系统对于受控资源必须建立一套安全机制防止非授权用户和假冒用户的访问。
在VPN设备和客户端之间使用双向认证,确保用户的合法性,充分保证信息系统的安全,同时不增加用户使用的复杂性。
实用性
IPSECVPN系统选用的硬件设备和软件系统应当具有良好的性能价格比,设备的日常管理和维护简单方便,经济实用。
易升级
IPSECVPN系统选用的网络设备和软件系统应当能够按照实际需要方便的升级。
可管理
IPSECVPN系统为达到便于管理的目的,所有网络设备使用基于标准的管理协议,能够进行远程监视、控制和管理,支持客户机/服务器和WEB体系结构,符合计算机技术发展的方向。
3VPN解决方案
3.1需求分析
针对当前办公网OA、ERP等业务系统的应用现状及面临的问题。
根据安全风险分析可以看出雪花啤酒及各个接入单位中存在大量的业务数据需要在广域网上传输,这些敏感的内部数据信息在互联网上十分容易被非法窃取、篡改或删除数据在传输中的机密性、完整性和可用性必须得到保障。
但是标准的TCP/IP协议对网络中数据没有进行加密处理,如常见的TELNET、FTP、HTTP、POP3等服务应用均以明文传输,这样网络窃听可以非常容易得手。
针对明文网络传输的弱点,我们建议组建基于IPSec的加密隧道来进行数据或报文的传递,即搭建一套VPN系统,在发送数据和接收数据的两端建立加密和解密的措施,当数据在网络中被传递时,数据经过VPN设备进行加密处理,然后以密文的形式在互联网上传递,这样即使数据被窃取,也因为数据是密文而无法得知数据的内容。
此外,VPN设备还提供了数据完整性校验功能,如果数据在传递过程中被篡改,导致部分数据失真,接收端可以检测出此变化,并且通知发送端重新进行发送。
业务安全性保障
重点加强对数据传输过程中的安全建设,保证数据在传输过程中的保密性、完整性、可靠性。
重点加强对分支机构用户的权限管理。
对访问系统的识别、认证、授权、审计。
保证只有授权的用户可以访问授权的资源,并且对整个访问过程进行实时监控,同时,可以对历史访问行为进行审计分析。
通过信息安全建设,消除和减小现有的安全风险,将安全风险减小到可接受的程度,并且保持这种程度。
强化业务流程,通过对业务流程的强化,减少人工管理成本。
业务敏捷性保障
由于雪花啤酒下属分支机构众多,信息安全建设,要求做到灵活和快速的部署,在尽量不影响现有网络结构和设备配置的情况下,迅速的部署信息安全设备。
减小设备的部署成本和部署周期。
法规符合性
对于信息安全建设,要遵守国家相关法律法规、行业相关标准。
本次信息安全建设,还需要考虑投资回报率的问题,保证用最少的投资,取得最好的建设效果。
3.2产品选型
根据以上需求分析,从便于维护和隧道建立的稳定性等方面考虑,我们建议选择网御PowerV6000-F1160来实现远程安全数据的传输。
PowerV6000-F1160主要参数如下表所示:
项目
参数
网络接口
6个10/100MBase-TX;2个USB接口,1个Concole接口
吞吐量
600M
并发会话数
120万
每秒新建连接数
1万
IPSecVPN隧道数
4000条
加密吞吐量
80M
3.3产品部署
根据对需求分析,需要的是加强省台与分支机构之间以及远程移动用户访问单位内部资源时的数据传输安全。
针对当前的网络特点即数据流量,总部采用网御PowerV-3626安全网关网关,分支机构采用网御PowerV6000-F1160网关,在广域网上搭建雪花啤酒自己的私有隧道,给各个分支业务数据提供安全保障。
以下提出具体解决方案。
产品部署网络拓扑图如下:
产品部署说明:
在VPN组网方式上,通常可选择网状组网方式和星形组网方式。
本次项目建设采用网状组网方式,网状组网是传统的VPN组网方式,是在所有需要进行加密数据传输的各个子网前部署VPN网关,即每个接入机构前部署VPN网关,每个VPN网关需要同所有需要进行数据交换的远程子网前的VPN设备建立静态IPSEC隧道,通过两端子网前的VPN网关共同组成VPN网络,保障接入机构可以安全的访问办公网业务系统。
产品部署说明
部署产品
部署位置
部署作用
VPN网关
部署在各个分支单位出口
1、具备防火墙功能,可部署在互联网边界,实现对分支机构所有流经防火墙的数据进行过滤和严格的访问控制,屏蔽非法和不合规的数据包;
2、与雪花啤酒部署网御PowerV-3626建立IPSecVPN隧道,在广域网上搭建VPN设备与各个分机构建立私有IPSECVPN隧道,保障数据在互联网上加密安全传输
4VPN产品功能及特点
部署在雪花啤酒的VPN产品是网御星云在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,面向企业用户推出的拥有完全知识产权的系列VPN产品。
网御VPN要达到的目标是:
采用网御VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。
4.1支持IPsec协议标准
IPsec作为一个全球性的安全标准,要求所有IPsec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。
网御VPN产品经过严格的互通性测试,和CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通(采用标准算法)。
4.2支持最新的NAT穿越协议
NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NAT与IPsec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPsec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。
网御VPN的全系列产品均支持最新的NATT协议标准,具有非常好的网络适应性。
4.3支持双动态IP地址间隧道
目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址。
如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。
VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。
网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。
从而确保所有的网关都能够获得最新的策略参数变化情况。
4.4支持动态域名解析
网御VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址+动态IP地址以及全动态IP地址的方式接入因特网。
对于企业内部全动态IP地址接入的情况,部署在企业总部的VPN网关(内置安全策略服务器)可以启动内置的动态域名解析功能(DDNS),从而使各个分支网关能够通过中心网关的域名来下载安全策略。
对于国内大量没有条件申请专线和静态IP地址的企业用户,网御VPN产品无疑是一个最佳的选择。
4.5完善的VPN网络集中管理功能
企业内部网络上一般都会运行OA和业务数据传输系统,系统中的数据直接关系到企业的商业秘密和经济利益,具有较高的安全性要求,因此对接入企业VPN网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司或者营业网点的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个VPN网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺利运行;同时,对于分支机构、营业网点遍布全国的大型企业来讲,其业务网络系统具有分布地域广泛、接入网点较多、网络结构复杂等特点,如果全部的管理工作都集中在公司总部完成,必然会给总部的网络管理人员带来繁重的日常维护管理工作,降低对接入、连通需求的反映速度,因此对VPN网络的管理在统一认证、集中监控的前提下,还应该充分发挥各个分公司网络管理人员的作用,将日常的管理维护工作分级化,提高整个网络的运行效率。
综合以上分析的企业VPN网络管理需求,网御VPN系列产品采用了“统一认证、集中监控、分级管理”的VPN网络管理方案:
●统一认证:
网御VPN全系列产品(包括网关和软件包)均支持目前最安全的身份认证方式——数字电子证书认证,采用1024bits密钥的RSA算法进行数字证书签名,数字证书的发放、认证过程由“网御安全管理中心(SMC)”软件完成;在企业的总部部署“网御安全管理中心”,负责对全国VPN网络的入网设备发放数字证书,只有拥有合法数字证书并通过中心SMC认证的网关或安全包才能接入企业的VPN网络。
●集中监控:
通过“网御安全管理中心(SMC)”软件,可以对整个VPN网络中部署的网御VPN产品(包括网关和软件包)完成实时在线状态监控,可以及时、清楚的获取当前在线VPN设备的各种状态参数;同时VPN网关产品均具有安全的远程管理的功能,无论该设备以何种方式接入企业虚拟网,都可以对其进行远程配置,因此当通过状态查看发现某个网关设备工作不正常时,中心管理员可以及时远程修改该设备的各种配置参数,以保证整个VPN系统的运转正常。
●分级管理:
通过“证书托管中心(CMC)”和“安全管理控制台”等软件,分公司的网络管理员可以在总部中心授权的前提下,负责对其所管辖的企业部门进行VPN隧道信息配置;在这种管理模式下,大大减轻了总部网络管理人员的工作强度,提高整个VPN网络的可伸缩性。
4.6具备丰富的冗余备份方案
VPN网关提供两种冗余备份解决方案,为保证企业VPN网络的稳定性提供了强有力的工具。
具体方案如下:
双机单线路主从备份
在这种方案中,正常情况下仅有工作机进行工作,备份机处于热等待状态,并使用心跳信号实时侦听工作机的运转状态;当工作机出现故障时,备份机自动接替工作机的工作,完成VPN隧道的加解密和数据隧道封装工作;当工作机恢复正常后,备份重新进入热等待状态。
双机双线路镜像备份
在这种方案中两台VPN设备均为工作状态,而且各种配置信息完全自动镜像,数据流选择主线路还是备份线路是由路由器的HSRP备份协议自动协商完成的。
4.7具备功能强大的VPN软件包
作为完整的企业VPN解决方案,提供支持移动办公用户远程访问VPN系统的客户端软件包是必不可少的。
网御VPN软件包不但提供完整的IPsec协议实现,支持移动用户的VPN接入需求,而且内置完善的软件防火墙功能、支持PPPoE拨号协议、支持动态VPN策略下载、支持开机自动建立隧道、支持同时激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大的安全功能,所以其可以作为软件VPN网关安装在企业局域网的代理服务器上,作为硬件网关的备份或补充。
4.8具备易用的管理配置界面
VPN网关提供基于串口超级终端和远程telnet两种登录管理方式,管理员可以使用命令行的方式对设备进行配置;同时提供基于windows的GUI管理控制界面,管理员可以不用记忆复杂的配置命令,而仅通过点击鼠标就可完成全部配置工作。
另外,由于网御VPN设备支持从安全策略服务器自动进行策略下载的集中管理配置工作模式,所以对于分支网关的安装人员来讲只需要配置网关的网络地址信息和中心策略服务器的地址信息,就完成了全部配置工作。
如果在分支网关安装之前,由中心的管理人员将这两项信息预先配置完成,则分支网关的安装过程可以做到真正的“零配置”。
4.9具备丰富的VPN网关附加功能
VPN网关不仅能够提供组建企业VPN网络的基本功能,而且作为网关设备具有许多对用户十分实用的附加功能,真正做到一机多能,节省用户投资。
具体功能包括:
●内置DHCP服务器和客户端;
●内置远程拨号服务器功能;
●支持静态路由协议;
●支持RIP、OSPF动态路由协议;
●支持内部多子网划分;
4.10VPN产品功能列表
Power-v3226
功能类别
功能描述
性能
网络处理能力》5G,并发连接数》220万,每秒新建连接数》2.6万,IPSec隧道数》5500
端口
标配6个SFP插槽,6个10/100/1000BASE-T端口,同时可用端口总数不少于12个,且每个端口均可连接独立的安全域
操作系统
基于通用安全平台(V.S.P),具备高效、智能、安全、健壮、易扩展等特点
网络适应性
支持透明、路由、混合三种工作模式
支持DHCPClient、DHCPRelay、DHCPServer
支持PPPoE接入,并具备自动断线重连技术
支持纯透明桥接功能
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
支持基于源/目的地址、接口的策略路由
支持多出口路由负载均衡
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换
支持802.1Q和ISLVLAN封装协议,支持两种封装的互换以及VlanTrunk
基于IP地址、服务、网口、时间等定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
在各种工作模式下均支持H.323(H.323GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议
绿色上网
识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件
识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件
识别和控制QQ、MSN等常用IM软件,一键式阻断IM软件机密文件传输
识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件
识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件
支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制
支持50多种分类库,800万级网址智能特征库
支持URL独立特征库,支持增量升级管理
采用高速辨认技术,缩短匹配时间,不影响产品整体性能
访问控制
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制
可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查
VPN
支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通
支持预共享密钥、证书等认证方式且支持X扩展认证
支持3DES、DES、AES等加密算法
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法
支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法
支持多出口VPN,且支持NAT穿越
支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署
支持GRE、PPTP、L2TP等VPN连接
支持SSLVPN和IPSecVPN同时使用
采用无客户端认证方式实现隧道安全连接
能进行个性门户(portal)定制化处理,可替换图片、文字等
IPSecVPN客户端可与所有支持标准IPSec协议的VPN网关互联互通
支持基于USBKey的证书认证方式
入侵检测与防御
集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则
遵循关联安全标准(CSC)实现与IDS的联动
采用基于摘要索引的内容加速算法(DCA算法)进行蠕虫病毒过滤
采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位
实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截
可识别和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、圣诞树、碎片等多种攻击
完全内容过滤
支持对网页关键字和Java、JavaScript、ActiveX进行过滤
支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤
支持对中转垃圾邮件进行识别和过滤
支持对FTP上传和下载文件的控制
支持对网页关键字和Java、JavaScript、ActiveX进行过滤
关联安全应用
支持关联安全标准(CSC)
可实现与IDS等设备的联动
可实现与内网安全管理系统(ISM)的联动
安全管理
支持友好的Web图形界面配置
支持远程SSH和串口命令行配置
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级
支持SNMP管理,与当前通用的网络管理平台兼容
可导出可读的配置文件并进行打印存档
可进行配置文件的备份、下载、恢复和上传
支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控
支持设备内存储和专用事件分析服务器两种日志管理方式
支持分级报警,支持SNMPTrap和邮件等报警方式
可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能
可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙
高可靠性
支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等
支持防火墙多WAN口备份和负载均衡
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽
通过状态同步技术实现2~32台防火墙的多机集群
在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒
可在热备和集群工作模式下支持多台防火墙的配置自动同步
类别
指标项
详细描述
操作系统
具备自主研发的安全操作系统
产品规格
硬件规格
产品形态
网络接口
串口、USB接口、电源
最大无故障时间(MTBF)
性能参数
吞吐率(bps)
最大并发连接数
每秒新建连接数
IPSecVPN隧道数
SSLVPN并发用户数
加密速率(bps)
IPSecVPN
互联互通
支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通
认证方式
支持预共享密钥、证书等认证方式且支持X扩展认证
支持多因子认证方式
支持主模式、野蛮模式认证方式
加密算法
支持3DES、DES、AES等加密算法
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法
支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法
支持SM1(SCB2)国密办专用算法
支持专用硬件加密卡
网络支持
支持多出口VPN,且支持NAT穿越
支持最新的NAT穿越(NATT)协议
支持双动态IP地址间建立VPN隧道
V