技术建议书-H3C远程安全接入解决方案V1.0.doc
《技术建议书-H3C远程安全接入解决方案V1.0.doc》由会员分享,可在线阅读,更多相关《技术建议书-H3C远程安全接入解决方案V1.0.doc(31页珍藏版)》请在冰豆网上搜索。
远程安全接入解决方案技术建议书
杭州华三通信技术有限公司
目录
1. 远程接入模式分析 4
2. VPN技术介绍 4
2.1. VPN定义 4
2.2. VPN的类型 5
2.2.1 AccessVPN 5
2.2.2 IntranetVPN 6
2.2.3 ExtranetVPN 6
2.3. VPN的优点 6
2.4. 隧道技术 7
2.4.1 二层隧道协议 7
2.4.2 三层隧道协议 7
2.5. 加密技术 9
2.6. 身份认证技术 10
3. H3C安全建设理念 11
3.1. 智能安全渗透网络简介 11
3.2. 智能安全渗透网络——局部安全 12
3.3. 智能安全渗透网络——全局安全 12
3.4. 智能安全渗透网络——智能安全 12
4. XX系统远程安全接入解决方案 13
4.1. XX系统远程安全接入需求分析 13
4.2. 解决方案设计原则 14
5. XX系统远程安全接入解决方案 17
5.1. 远程接入安全解决方案 17
5.1.1. 大型分支接入 17
5.1.2. 中小分支合作伙伴接入 18
5.1.3. 移动用户接入方式 19
5.2. 可靠性方案 20
5.2.1. 双出口备份 20
5.2.2. 双机备份 22
5.2.3. 快速切换 23
5.3. VPN管理系统 25
5.3.1. 轻松部署安全网络 25
5.3.2. 直观展示VPN拓扑 26
5.3.3. 全方位监控网络性能 26
5.3.4. 快速定位网络故障 27
5.4. BIMS分支智能管理系统 28
5.5. 统一安全管理中心 30
6. 总结 31
1.远程接入模式分析
随着网络,尤其是网络经济的发展,为提高沟通效率和资源利用效率,建立分支与总部、机构与机构之间的具有保密性的网络连接是十分必要的。
此外,工作人员出差时也需要访问系统内部的一些信息资源,这时同样需要建立保密的网络连接。
怎样为这些分支、机构、出差人员提供一个安全、经济、方便和高效的安全接入方式,成为XX系统亟需解决的一个问题。
建立保密的网络连接一种方案是使用专线,其基本方式是进行每个层次之间的专线方式连接,通过这种方式可以实现的星形结构的全局网络连接,基本满足分支与总部、机构与机构之间的数据传输需求,但是这种方式存在非常大的两个缺点:
第一是不灵活,不能满足出差人员随时随地接入的需求;第二是费用高,专线方式的网络连接需要支付高昂的专线租用费用。
另外一种方式是通过拨号的方式,通过利用PSTN/ISDN的模拟电话线路,移动用户主机配置的调制解调器,采用拨号的方式,登录到公司内部的拨号服务器,实现远程对公司内部资源的访问。
这种方式的优点在于比较灵活,PSTN电话线路资源比较容易获得。
缺点在于网络连接性能低,PSTN电话最多提供64K带宽,相对现在的宽带网络,已经基本不可用,而且此方式没有任何安全措施,数据在传输过程中存在很大的安全风险。
随着VPN技术的发展,VPN技术已经成为一种非常成熟的网络连接方式,VPN具有高性价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势,已经被广泛替代专线用来进行广域网络的衔接,下面我们将以VPN模式为核心,提供H3C全面的VPN解决方案。
2.VPN技术介绍
2.1.VPN定义
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,VirtualPrivateNetwork),用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。
对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。
图1.VPN应用示意图
由图可知,企业内部资源享用者只需连入本地ISP即可访问中心或者相互通信。
这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。
并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
2.2.VPN的类型
VPN分为三种类型:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的 VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
2.2.1AccessVPN
随着当前移动办公的日益增多,远程用户需要及时地访问Intranet和Extranet。
对于出差流动员工、远程办公人员和远程小办公室,AccessVPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。
在AccessVPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
用户发起的VPN连接指的是以下这种情况:
首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。
在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。
在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。
2.2.2IntranetVPN
IntranetVPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。
利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。
结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。
基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。
而另一方面,基于Internet构建VPN是最为经济的方式,但服务质量难以保证。
企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
2.2.3ExtranetVPN
ExtranetVPN是指利用VPN将企业网延伸至合作伙伴与客户。
在传统的专线构建方式下,Extranet通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,而同样降低不了复杂度。
因合作伙伴与客户的分布广泛,这样的Extranet建设与维护是非常昂贵的。
因此,诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。
ExtranetVPN以其易于构建与管理为解决以上问题提供了有效的手段,其实现技术与AccessVPN和IntranetVPN相同。
Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。
2.3.VPN的优点
利用公用网络构建VPN是个新型的网络概念,对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。
据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
2.4.隧道技术
对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。
网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。
现有两种类型的隧道协议:
一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建AccessVPN和ExtranetVPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
2.4.1二层隧道协议
二层隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)、L2F(Layer2Forwarding,二层转发协议)和L2TP(Layer2TunnelingProtocol,二层隧道协议)。
其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。
应用L2TP构建的典型VPN服务的结构如下图所示:
图2.典型拨号VPN业务示意图
2.4.2三层隧道协议
用于传输三层网络协议的隧道协议叫三层隧道协议。
三层隧道协议并非是一种很新的技术,早已出现的RFC1701GenericRoutingEncapsulation(GRE)协议就是一个三层隧道协议,此外还有IETF的IPSec协议。
GRE
GRE与IPinIP、IPXoverIP等封装形式很相似,但比他们更通用。
在GRE的处理中,很多协议的细微差异都被忽略,这使得GRE不限于某个特定的“XoverY”应用,而是一种最基本的封装形式。
在最简单的情况下,路由器接收到一个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文,接着被封装在IP协议中,然后完全由IP层负责此报文的转发。
原始报文的协议被称之为乘客协议,GRE被称之为封装协议,而负责转发的IP协议被称之为传递(Delivery)协议或传输(Transport)协议。
注意到在以上的流程中不用关心乘客协议的具体格式或内容。
整个被封装的报文具有下图所示格式:
图3. 通过GRE传输报文形式
IPSec
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
Ÿ私有性-IPSec在传输数据包之前将其加密.以保证数据的私有性;
Ÿ完整性-IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
Ÿ真实性-IPSec端要验证所有受IPSec保护的数据包;
Ÿ防重放-IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
IPSec在两个端点之间通过建立安全联盟(SecurityAssociation)进行数据传输。
安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。
IPSec
升级会员 