VPN网络安全接入方案建议书Word下载.docx
《VPN网络安全接入方案建议书Word下载.docx》由会员分享,可在线阅读,更多相关《VPN网络安全接入方案建议书Word下载.docx(14页珍藏版)》请在冰豆网上搜索。
随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。
而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。
Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。
来自企业内部和外部的非法访问和恶意入侵事件时有发生,并呈不断上升的趋势。
这不仅影响了计算机网络系统的实际应用,而且还极大地动摇了用户的信心。
“我们能使用计算机来处理我们的重要信息吗”。
1.2威胁来自何处
面对汹涌而来的信息技术革命,如何保证计算机网络信息系统的安全,保护自己不受安全隐患的威胁,并且有效的管理、合理地使用网络信息资源,已成为每一个企业所关心的迫切问题。
电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。
我们认为,计算机网络信息系统的安全问题主要来源于以下几个方面:
●非法入侵:
包括来自企业内部和外部的非法入侵,导致数据的丢失和泄密、
系统资源的非法占有等;
●计算机病毒:
导致系统的性能下降甚至崩溃,系统数据的丢失等;
●拒绝服务攻击:
非法占用系统资源,导致系统服务停止甚至崩溃;
计算机网络信息系统安全威胁的另一个来源是:
人们通常将网络系统作为一项技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人才。
而且,网络信息系统的安全环境是非常复杂并且不断变化的,但相当多的系统管理员只将精力集中于帐户的维护、系统日志审查和网络规范的设计及调整上面,很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防范措施、安全策略,甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等,这就导致了网络系统实际的安全状态和预期标准之间相差很远。
最终用户只期望尽快使用网络,最大限度地获取有效的信息资源,但很少考虑此过程中实际的风险和低效率。
他们侧重于类似NetscapeNavigator、InternetExplorer、Word、PowerPoint等应用软件的操作上面,很少接受如网络攻击、信息保密、人为破坏系统和篡改敏感数据等有关安全知识的培训。
因此,从本质上来说,计算机信息系统的安全威胁都是利用了系统本身存在的安全弱点,而系统在使用、管理过程中的误用和漏洞更加剧了问题的严重性。
网络系统的安全性包括有
●网络访问的控制
●信息访问的控制
●信息传输的保护
●安全攻击的检测和反应
●文件病毒的防备
●灾难防备计划
如何才能快捷地访问外部网络,同时又能有效地保护内部局域网的安全----防火墙是实现网络安全的有效产品。
在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。
1.3防火墙简介
对计算机网络信息资源安全、可靠、有效的的存取控制是信息系统安全的一个重要组成部分,而各种防火墙设备则提供了对企业网络资源的强有力的保护。
防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信实施监控,而这种实时监控建立在统一的企业安全策略之上,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙最基本的监控标准是服务、用户和资源等。
从历史上来说,防火墙的发展经历了四代,即:
包过滤防火墙(PacketFiltering),代理防火墙(Proxy),状态检测防火墙(StatefulInspection),混合型防火墙(同时才用应用代理与状态检测技术)。
(1)包过滤防火墙
在互联网络这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。
当这些信息包被送上互联网络时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。
包过滤式的防火墙会检查所有通过的信息包头部的IP地址,并按照管理员所给定的过滤规则进行过滤。
如果对防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线。
但包过滤路由器通常没有用户的访问日志,这样就不能得到入侵者的攻击记录。
(2)应用级网关
应用级网关也就是通常我们提到的代理服务器,如MicrosoftProxyServer、NetscapeProxyServer、Squid和Wingate等等。
它适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。
代理服务器通常运行在两个网络之间,它对于客户来说象是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。
当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合控制规则的规定,如果规则允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。
代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。
代理服务器会象一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。
应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。
但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,更不幸的是,并不是所有的互联网应用都可以使用代理服务器。
(3)状态监测防火墙
这种防火墙具有非常好的安全特性,它使用了一个在网关上执行安全策略的软件模块,称之为监测引擎。
监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。
监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。
与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
一旦某个访问违反安全规定,就会被拒绝,并报告有关状态作日志记录。
状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。
这种防火墙无疑是非常坚固的,但它对网络的速度有一定影响,而且配置也比较复杂,好在有关防火墙厂商已注意到这一问题,如Hillstone公司的防火墙产品Hillstone产品系列,它所有的安全策略规则都可以通过面向对象的图形用户界面(GUI)来定义的,简化了配置过程。
防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。
网络应用的内容安全,如在网关上对计算机病毒进行实时的扫描和防护便是最新加入防火墙的功能。
根据国际计算机安全协会(ICSA)的一份报告,在1996年有23%的病毒感染是由Email引起的。
某些防火墙产品已能够监测通过HTTP,FTP,SMTP等协议传输的已知病毒。
1.4安全网络
一个安全的网络系统应包括以下几个方面:
(1) 访问控制
实施企业网与外部、企业内部不同部门之间的隔离。
其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。
(2) 普通授权与认证
提供多种认证和授权方法,控制不同的信息源。
(3) 内容安全
对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。
(4) 加密
提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。
(5) 网络设备安全管理
目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。
根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。
(6) 集中管理
实施一个企业一种安全策略,实现集中管理、集中监控等。
(7) 提供记帐、报警功能
实施移动方式的报警功能,包括E-mail、SNMP等。
1.5虚拟专用网VPN
EXTRANET和VPN是现代网络的新热点。
虚拟专用网的本质实际上涉及到密码的问题。
在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。
考虑到我国对密码管理的体制情况,密码是一个单独的领域。
对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。
1.5.1如何构筑虚拟专用网VPN
企业利用Internet构筑虚拟专用网络(VPN),意味着可以削减巨额广域网成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。
削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。
但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。
相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个网站连接起来,使企业接触新的企业伙伴和客户。
1)明确远程访问的需求
首先企业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。
WAN的连接有两类:
内联网连接和外联网连接。
内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。
对于内联网连接,VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。
内联网VPN执行的安全决策通常是标准的公司决策,远程用户至少要经过一次认证。
围绕下属办事处,VPN要考虑的一个关键问题是这些办事处的物理安全性。
物理安全性涵盖了一切因素,从下属办事处的密钥和锁,到计算设备的物理访问,再到可访问设施的非雇员数量等等。
如果所有这一切都万无一失,在总部和下属办事处之间就可以建立一个“开放管道”的VPN。
这类似于LAN到LAN的连接。
即不需要基于VPN的用户认证,因为我们认为这样的连接是安全的。
但是,如果这些地方有问题,网络设计人员就要考虑采用更严格的安全措施。
例如,VPN需要严格认证,或者将对总部网络的访问限制在某个孤立的子网中。
VPN对外联网的安全要求通常十分严格,对保密信息的访问只有在需要时才能获准,而敏感的网络资源则禁止访问。
由于外联网连接可能会涉及机构外人员,解决用户的变化问题则很有挑战性。
从根本上说,这是严格政治问题。
但在机构确定用户时,这是严格急需解决的技术问题。
2)注重管理
企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。
一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的,决策中还要确定相应的VPN设备和实施选择方法。
一般来说,决策者应解决VPN特有的几个问题:
远程访问的资格,可执行的计算能力,外联网连接的责任,以及VPN资源的监管。
另外,还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。
当然,决策中应包括一些技术细节,例如加密密钥长度,如果VPN的加密算法要求公开认证,则还需要法律的支持保护。
对外另外而言,决策中应具体说明及时通报远程用户人员变更的步骤,被解雇的人员必须尽快从数据库中清除。
这需要外联网用户机构同VPN管理人员之间进行良好的协作。
通常,企业的人事部门已制定有人事管理规定,这些规定可能也适用于VPN用户。
3)确定最佳的产品组合
可选择的VPN产品很多,但产品基本上可分成三大类:
基于系统的硬件、独立的软件包和基于系统的防火墙。
大部分产品对LAN到LAN及远程拨号连接都支持。
硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。
基于防火墙的VPN则利用了防火墙安全机制的优势,可以对内部网络访问进行限制。
此外,它们还执行地址的翻译,满足严格的认证功能要求,提供实时报警,具备广泛的登录能力。
大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。
由于很少有VPN厂商提供操作系统级的安全指导,因此,提供操作系统保护是这种VPN的一大优势。
什么时候企业选择基于防火墙的VPN呢?
一般是在远程用户或网络充满潜在敌意的时候。
这时,网管员可建立起所谓的非军事区(DMZ),部分,系统一般使用在防火墙上的一个第三方界面,并有自己的访问控制规则。
攻击者也许能到达DMZ,但不能破坏内部部分。
基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的,它是软件产品中最容易保证安全和管理的产品。
Ipsec是IETF(InternetEngineeringTaskForce)组织为TCP/IP协议集增加的标准认证与加密功能。
随着Ipsec越来越稳定和实施越来越广泛,VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作,但是到目前为止,实施成功的VPN通常意味着要从同一家厂商购买所有的设备。
尽管大部分VPN可保留自己的认证数据库,但网管员也希望借助于现有的认证服务器。
比如,许多远程访问服务器使用下述两种协议之一的外部系统来认证用户:
远程认证拨入用户服务器(Radius)或终端访问控制器访问系统(Tacscs)。
独立认证服务器的优势在于可收缩性,即无论增加多少台访问设备,一台认证服务器就足矣。
如果一个企业的VPN延伸到海外,网管员还必须解决出口问题。
目前美国法律禁止128位加密算法出口,尽管未来立法可能会或多或少地放宽限制,但一般跨国经营的美国公民可能需要部署两个VPN系统:
一个加密功能较弱,用于国际用户的,一个加密功能较强,用于国内用户。
4)为VPN服务器选择位置
远程用户的从属关系有助于确定VPN设备放置的位置。
对于期望通过远程访问复制办事处工作环境的员工来说,VPN服务器最好直接放在专用网络中,但这一方法也最易成为攻击者的攻击目标。
对于员工企业,如果绝大多数远程用户属于外部机构,将VPN设备放在DMZ网络上意义更大,因为它要比内部网络更为安全,屏蔽DMZ的防火墙有助于保护其间的设备。
这种方法也比将VPN设备完全放在安全设施周边之外更安全。
如果一台认证服务器属于DMZ子网,它会得到细心的管理和保护,免于内部和外部的威胁。
企业在设计安全内联网和外联网时,安置VPN和认证服务器是关键的一步。
其中,建立与下属办事处的链路最简单:
一对VPN服务器只需在两个站点间建立加密通道。
因为出差旅行的员工或远程工作站需要进行认证,因此,它们建立与VPN服务器的链路,将认证请求传送到DMZ上的认证服务器。
外界顾问不需要认证,他们只需同另一台VPN服务器连接起来,这一台服务器应位于第二个DMZ上,以保护公司的认证服务器。
另外值得注意的是,企业为业务伙伴进行的连接配置最需要技巧,连接请求首先到达第二个DMZ上的VPN服务器,之后请求被传送到第一个DMZ上的认证服务器,最后,批准的请求被传送到请求访问的资源中。
1.5.2安装和配置VPN
我们构建VPN的方法是使用Hillstone防火墙自带的VPN功能,Hillstone防火墙在VPN方面也是采用专有的硬件结构来实现的,我们购买了防火墙后,就作为防火墙的一个功能提供给客户。
对VPN进行配置时,网管员要为一系列因素设定参数,包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备(而不是用户)的身份,大部分VPN产品都提供此功能。
对此,一些厂商的实现的方式是,让所有信息进入总部设备下载相关信息。
而对于远程用户,则需要建立口令,准备连接脚本,确立认证步骤。
网管员还要让认证和授权程序协调起来。
两者听起来差不多,但有些微妙且重要的差别。
认证是要证明远程用户是她或他声称的身份(在外联网设置中,要证明的则相反,即服务器可信)。
授权是要确定远程用户有权访问何种网络资源。
如果认证服务器还控制授权分组,例如营销或策划小组的授权,则系统还要注意核查它是否能正确地同VPN设备联络组信息。
而使用Hillstone防火墙的VPN功能我们可以方便对防火墙进行设置,就可以自如的建立各种VPN策略和通道。
第二章用户总体需求分析
对企业内部网络安全的设计,首要考虑到企业的内部网络拓扑结构。
由于当初在设计企业网络时受到资金和技术的局限性,所以很容易会在企业的内部网络中留下了安全隐患,从而导致了网络内部安全问题的产生。
目前XX的局域网的内部网络已经建立完善。
网络拓扑是典型的星型结构,在总部公司已经实现了办公自动化。
同时内部的用户们通过连接INTERNET的路由器,而后再通过光纤专线上网。
XX公司结构散布在全国各地的分支机构有3个,每个分支机构有一定数量台计算机,上网方式多是以宽带线路,与总部没有直接的连接!
急需一种安全的连接方式。
从对其网络结构的分析可以看到,XX公司总部的内部网络的架构严谨,但是却存在极大的安全隐患,有以下安全问题需要解决:
来自Internet网络安全威胁,如病毒传播和黑客攻击。
来自内部局域网用户间的安全威胁,主要指非法操作和病毒传播。
避免遭到来自远程网络的攻击,网络出口处既是正常网络访问的通道,同时又被黑客利用作为攻击的入口,因此在网关应具有很强的抵挡攻击的能力。
通过防火墙支持多用户同时上网,不会对网络传输的性能造成影响。
防火墙应支持多种工作方式,如NAT(网络地址翻译)和透明模式。
●无法做到使远程用户安全的访问内部网络,可能会引起内部安全问题。
●外地分支机构与总部连接安全可靠性连接。
●对关键出入口的高可靠性安全保护问题。
第三章网络安全解决方案
经过对XX网络结构的分析,和他们对安全的需求,我们提出一个使用Hillstone防火墙的集成化安全解决方案。
通过使用防火墙,为客户打造一个安全的网络。
3.1防火墙安全方案
为了保护公司的网络,我们使用Hillstone防火墙来保护整个内部网络和WWW服务器。
Hillstone防火墙提供了多方面的网络管理手段,确保用户能在简单明了的图形界面下很好地管理网络资源。
其中包括有:
1.利用Hillstone防火墙卓越的带宽流量控制,可以为总行的主机访问进行的流量分配。
Hillstone提供流量的实时监控功能,可通过查看所提供的信息记录选择策略形式,实时监控网络状态,流量记录有:
流量记录表、报警记录和日志。
配置传输控制策略时,可以针对用户:
●设立时刻表,每周的每一天允许传输的速率大小和起始终止时间。
● 可根据策略设置传输控制策略的端口带宽,固定分配那一条策略占有多大的带宽。
● 设置传输策略的带宽最大限度及最少保证。
●设置传输优先级,Hillstone防火墙提供八种优先等级,可根据网站提供服务的重要性和用户的工作的性质分别做出不同等级的质量带宽分配。
2.Hillstone提供时间管理,可帮助网管人员分配给不同的用户固定的时间段里才能上网,或根据服务分配固定的时间段,在这时间段里网络服务请求才能通过防火墙。
限制了员工使用公司资源。
3.Hillstone防火墙提供的服务端口修改功能可提高程序开发的安全性和方便性。
4.Hillstone防火墙提供与VPN功能,外部和远程的人员可以通过VPN隧道与防火墙内的计算机建立连接。
5.Hillstone防火墙提供强大的防黑客功能和入侵检测能力,共有20多大类,若干小类的防护提供
描述
在现有网络结构和条件下,对网络现状和各种不同的网络安全产品做了详细的调查分析,并基于以上的分析,建议使用Hillstone防火墙作为XX网络中心的安全解决方案方案。
在现阶段,我们为XX公司配置的防火墙是基于ASIC构架的,在数据流量大的时候,能够很稳定地工作,优于现在市面上很多PC构架的防火墙。
在未来当需求逐渐增大,我们可以考虑将防火墙进行扩展。
从防火墙的安全等级上考虑,防火墙将对其各个端口划分不同的安全系数。
如将某个端口划分到UnTrust安全区,某个端口划分到Trust端口区等。
同时设置Untrust口的安全系数是最低的,DMZ区的安全系数是中间等级,而可信任区的安全系数将是最高的;
从低安全系数的区域将禁止随意访问安全系数高的区域,防火墙将彻底屏蔽用户的内部网络系统结构,Internet用户只能在受到控制的情况下才能访问中立区的服务器。
邮件服务器,Web服务器和DNS服务器一般放在DMZ区,我们将采用各种安全策略,并制定访问控制原则:
非经过容许的服务和通信都将拒绝通过。
1)不能访问。
Hillstone防火墙可以有效地控制住局域网中的MSN流量,防止员工在上班时间上网聊天。
2)防火墙工作在PAT模式,来自内部的IP包到达防火墙后,由防火墙作端口翻译后封装成合法的IP包。
3)Hillstone防火墙具有很强的防黑客攻击能力,据ICSA的测试它是软件防火墙的8-10倍,因此具有很高的安全性.通过深层检测的技术,可以有效地防止DDOS攻击。
4)整个网络实现了全网状设置,使得系统的安全冗余性达到更高!
通常在网状结构中,任意不在同一水平线上的三台设备或线路中断,均不会对内部网络对外或外部对内的访问造成影响!
而且由于两条ISP的连接,也使得我们不会因为ISP的原因而造成对外对内的访问中断。
3.3VPN网的建立
方案中,我们采用如下方式来构建VPN网络。
由于公司在外散布有办事处,每家办事处均有一个完整的子网络,考虑与XX总部连接的链路备份等因素,VPN成为我们首要选择考虑的方案。
VPN建立后的拓扑如图所示。
对于办事处,我们则采用Hillstone系列低端防火墙,他们这些分公司多是采用宽带的方式连接上网。
而低端系列不仅具有支持ADSL拨号上网的功能,还具有Hillstone防火墙的所有特性,体积小且易于使用。
这样我们就可以方便的在分支办公室和中心防火墙间建立VPN通道了。
远程和移动用户的VPN建立,我们使用Hillstone自带的SSLVPN方式来实现。
在个人和移动用户上不用安装任何软件,使用IE浏览器进行连接,我们就可以在用户上网后与总部建立VPN通道,无需考虑上网的方式,宽带接入也好,MODEM拨号也好,我们都能自如的建立。
在现有网络中,我们采