VPN技术设计方案.docx
《VPN技术设计方案.docx》由会员分享,可在线阅读,更多相关《VPN技术设计方案.docx(17页珍藏版)》请在冰豆网上搜索。
VPN技术设计方案
一、技术设计方案
一.1项目概述与需求分析
一.2项目建设目标
一.3方案设计参考体系结构
根据中华人民共和国国家标准GB/T9387.2-1995(ISO7498-2:
1989)《信息处理系统开放系统互连基本参考模型》第2部分“安全体系结构”的规定,信息安全应当考虑到构成整个网络信息系统的各个层面,以保证异构的计算机进程之间远距离交换信息的安全。
物理层的安全
主要考虑物理连接的机密性和通信业务流的机密性,例如防止对物理通路的窃听,此外,对物理通路的攻击(干扰等)和物理通路的损坏也是我们要考虑的问题,这是确保上层数据和服务的完整性和可用性的基础。
链路层的安全
主要考虑连接机密性和无连接机密性,需要保证通过网络链路传送的数据不被窃听,可以采用划分VLAN(局域网)、链路层加密通讯(对协议敏感)等手段。
网络层的安全
在网络层要考虑的安全问题相对较多,包括对等实体鉴别、数据原发鉴别、访问控制、连接机密性、无连接机密性、通信业务流机密性、不带恢复的连接完整性、无连接完整性等,需要采用有效的机制保证网络只给授权的客户使用授权的服务(鉴别、访问控制),保证网络路由正确,避免信息数据被监听或破坏(加密)等。
传输层的安全
在传输层要考虑的安全问题与网络层大体相似,但略有不同,包括对等实体鉴别、数据原发鉴别、访问控制、连接机密性、无连接机密性、带恢复的连接完整性、不带恢复的连接完整性、无连接完整性等,通常在网络层采用的安全机制都同时适用于传输层。
应用层的安全
应用层的安全问题覆盖了安全服务的全部内容,包括对等实体鉴别、数据原发鉴别、访问控制服务、连接机密性、无连接机密性、选择字段机密性、通信业务流机密性、带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性、数据原发证明的抗抵赖、交付证明的抗抵赖等,可采用的安全机制包括加密、数字签名、访问控制、数据完整性保护、鉴别、通信业务填充、路由控制、公证等。
一.4方案设计原则
网络安全建设是一个系统工程,而网络加密数据的传输与建设更是如此。
对于XXX信息网安全传输体系的建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在实际建设中应遵循以下指导思想:
宏观上统一规划,同步开展,相互配套;在实现上分步实施,渐进获取;在具体设计中结构上一体化,标准化,平台化;安全保密功能上多级化,对信道适应多元化。
在实际实施中还要按照系列基本原则进行:
系统性原则;简单性原则;实时、连续、安全统一原则;需求、风险、代价平衡原则;实用与先进相互结合的原则;方便与安全相互统一原则;全面防护、突出重点原则;分层、分区原则;整体规划、分布实施原则;责任明确,分级管理,联合防护原则。
安全措施的实施必须以根据安全级别和经费限度统一考虑。
网络中相同安全级别的保密强度要一致。
一些部分强调过分则产生浪费,一些部分措施薄弱可能发生危险。
安全强度和付出的代价要均衡考虑。
网络安全设备对对不同网络结构要有很好的适应能力,满足不同网络应用的具体需求,在网络环境发生变化时,安全设施能随网络扩展要求进行灵活的扩充而不改变或尽量少改动原来的结构。
网络安全不单靠先进的安全技术或安全产品来实现,必须结合管理,尤其是当前我国发生的网络安全问题中,管理问题占相当大的比例,在建立网络安全技术设施体系的同时必须建立相应的制度和管理体系。
具体参考以下设计原则:
安全保密性原则
XXX信息网汇集和管理着大量的核心、秘密、敏感资料、关键性资料,安全保密性是系统建设的重要前提。
遵循安全保密原则,做好系统的安全保密性设计,确保系统安全运行尤为重要。
包括:
信息处理和传输系统的安全,网络上系统信息的安全,网络上信息传播安全、使用加密机制进行安全加密传输等。
先进性原则
采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系,使新建立的系统能够最大限度地适应今后的业务发展变化需要。
可扩展原则
网络的设计必须体现开放性。
网络中的硬件与网络协议必须采用与国际标准兼容的开放协议,并建立在可扩展的平台上,随业务发展的不断扩大,保证网络平滑过渡。
可靠性原则
我们建设XXX信息网的重要目的之一是在各个节点之间实现安全的信息共享、达到协同办公、提高办公效率和透明度的目的。
系统运行后,每天都要处理大量的数据。
任一系统故障都会给用户带来不可估量的损失,这就要求系统具有高度的可靠性。
所以在网络体系的建设中必须考虑网络的可靠性,在能力的许可范围内,提供冗余设备,以双机热备或者负载均衡的模式下接入网络中,降低故障发生的可能性,同时配以高质量后备式电源,确保数据传输过程中的安全性。
标准化原则
标准化建设有利于避免重复投资、节约成本、方便管理、提高各系统的兼容性和系统的可扩展性。
因此XXX信息网建设应依据有关政策文件的规定,使接入数据项结构统一化、标准化;使接入网络支持统一的身份认证规范;使各接入网提供符合专网数据接口的标准和规范。
统一规划原则
XXX信息网建设是一个复杂的系统工程,在系统的建设过程中,必须把全公司的网络系统建设规划设计作为发展目标规划和工作任务的首要内容,结合安全系统的建设规划,以统一的基调,推进交换体系的建设。
统一管理原则
统一管理在于通过先进的网络管理系统,采用统一品牌和系列型号的网络安全设备,使得全公司网络能够在一个有效的管理体系下工作,同时,建立合乎规范和具有实用性的网络设备运行管理条例及设备配置手册,控制和监督网络设备的运行情况。
成本控制
为了在全公司范围内建设一个多类型业务运行的承载网络平台,在资金的使用上,可以采用由统一组织项目的实施,设备统一集中政府采购的方式进行,各级机构以统一的标准,负责本地化相关项目建设的方式。
其优势在于提高设备兼容性,减少由于建设环节太多而造成的工期延误,费用增加的不良现象发生。
技术与管理相结合的原则
系统建设必须与业务流程优化、整合相结合,最大限度挖掘信息化带来的效益。
安全是本系统建设的关键,安全体系包括安全技术体系和安全管理体系两个层面,系统的安全性只有通过两个层面的有机结合才能有效保证。
因此,在系统建设过程中必须同步建立相关管理策略和制度。
一.5方案总体设计思路
本方案的设计以可信网络架构TNA的设计思想为主线,通过本方案的设计与产品部署,通过VPN系统的实施,来满足本次信息安全技术防护的基本目标;通过与XXX现有安全管理制度的结合,逐步建立起完善的、可信的信息安全技术管理运维平台。
方案设计总体框架图如下:
方案设计总体框架图
如上图所示,本设计方案将以TNA架构为思想,最终构建一个以VPN安全管理平台为核心的信息安全技术运维平台,并与安全技术防护体系、安全管理制度,及日常运行维护有机地结合起来。
一.6方案设计内容
针对XXX信息系统VPN安全防护的特殊需求,本节设计内容将以可信网络架构为引线,进行详细的阐述。
一.6.1可信网络架构TNA模型
“可信网络架构”是基于天融信公司强大的技术实力和先进的服务理念提出来的,旨在通过对现有信息安全产品和信息安全子系统的有效整合、管理与监控,结合可信网络的接入控制机制、网络内部信息的保护和信息可信传输机制,实现对用户网络的可信扩展与监管,并提供完善的信息安全保护。
通过对用户网络安全系统的动态评估与完善,有效提升用户信息系统安全防御能力。
“可信网络架构”主要包括可信安全管理系统(TSM)、网关可信代理(GTA)、网络可信代理(NTA)和端点可信代理(PTA)四部分组成,从而确保安全管理系统、安全产品、网络设备和桌面终端用户等四个安全环节的安全性与可信性,最终通过对用户网络安全资源的有效整合和管理(如下图所示),通过基于可信代理(PTA、NTA或GTA)的可信网络安全接入机制,实现“可信网络”的动态扩展,防止用户敏感信息的泄漏。
可信网络安全模型TNA
该架构最大的不同是实现了对用户现有资源的合理整合与管理,改变以往针对某一安全事件所采用的安全管理体系,实施对用户网络安全全面的、系统的、集中的安全管理,各安全产品之间实现真正的关联与联动,从而大大地为节省资源,而整个架构实施的是动态全程安全管理,可以实现用户‘可信网络’安全应用范围的无限拓展,而且还有一个重大的改变,极大地满足了信息系统保护的要求,完成多层次的积极防御和综合防范。
一.6.2加油站、油库、地区公司与大区公司VPN传输互连方案设计
XXXVPN互连设计方案,必须依照安全“平台化”的建设思想,针对系统业务的共性,构建一个“统一规划、统筹安排,统一标准、相互配套”的安全平台。
为了保证所有在网络上传输的重要数据信息,必须使用VPN系统对公共网上的重要数据进行处理。
处理后的数据不仅能够保护数据的私密性,还具有信息身份认证功能和抗攻击功能,其他人无法将伪造的信息在VPN隧道上传输;并且即使他人截获了数据信息,也无法对加密的信息进行破解。
对于加油站、油库、地区公司与大区公司VPN互连设计方案中,大区公司网络节点是其它各级网络节点的服务器端,也是整个VPN传输网络设计方案的中心节点。
具体设计拓扑示意图如下图:
加油站、油库、地区公司与大区公司VPN传输互连设计图
如上图所示,对于大区公司网络节点而言,必须作为整个网络隧道传输体系的服务器端,各加油站、油库,及地区公司网络节点则是客户端。
同时,对于通讯链路的建设不仅要充分考虑数据下载的速度,还要充分考虑数据上传的速度;另外,加油站、油库内各系统利用ADSL接入互联网,与大区公司进行实时数据传输,单次交易数据量按照0.5K计算,客服数据按1K计算,并发数在6个以上,系统并发请求较多,因此对链路质量和数据传输的实时性要求较高。
因此尽量选择带宽传输速率较高的ADSL线路,如2M或者以上。
因此,在本次方案设计和产品选型中,可以在各大区公司网络节点配置千兆高端VPN网关产品,在各加油站、油库,及地区公司网络节点配置普通百兆VPN产品,其传输模式均是VPN网关与VPN网关的互连方式。
在实际的实施配置过程中,大区公司网络节点的千兆高端VPN产品可以部署在路由或者透明模式下,并分配与下级网络节点互连的IP地址,而各加油站、油库,及地区公司网络节点的百兆VPN产品既可以配置在路由模式,通过NAT方式联入上一级网络系统,进行数据加密的传输,也可以配置在透明模式下,设置一个对外通信和管理的IP地址即可,无需改变内部网络的结构和路由情况。
具体对大区公司、加油站、油库,及地区公司网络节点VPN互连的证书下发、导入和策略配置可以通过销售公司总部网络节点的VPN集中管理平台来完成。
一.6.3加油站、油库、地区公司与销售公司总部互连方案设计
对于各加油站、油库、地区公司与销售公司总部的互连方案来说,可以通过各加油站、油库、地区公司与大区公司的VPN传输网络,再经由大区公司与销售公司总部的专线网络来实现敏感数据的安全传输。
对于本系统,依据网络安全的最佳设计原则,既达到了设计目标的要求,又能达到节约安全投资的目的,推荐的设计方案拓扑图如下图:
加油站、油库、地区公司与销售公司总部VPN传输互连设计图
在实际应用中,对于加油站信息管理系统而言,由于总部系统和站级系统在架构中上处于对等关系,即总部系统会向站级系统进行数据的读写,站级系统也会向总部系统进行数据的读写。
因此,在双方进行数据传输和读写时,可以首先通过加油站与大区公司的VPN传输线路实现公共网上的加密传输;再由大区公司经由专网与销售公司总部实现相关信息的安全传输。
一.6.4天融信网络卫士VPN产品的功能特点
系统架构图
天融信网络卫士VPN产品系统架构图
支持完全内容检测CCI技术
网络卫士VPN采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。
支持CleanVPN技术
网络卫士VPN产品同时具备防火墙、VPN和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
详细功能如下:
类别
功能
详细描述
工作模式
工作模式
支持透明、路由、混合模式
网络适应性
路由
支持静态路由、动态路由。
支持基于源/目的地址、接口、Metric的策略路由。
支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。
支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能。
支持RIP、OSPF等路由协议。
组播
支持IGMP组播协议。
支持IGMPSNOOPING。
可有效地实现视频会议等多媒体应用。
VLAN
可与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备传播路由。
支持802.1Q,能进行封装和解封。
支持ISL,能进行ISL的封装和解封。
在同一个Vlan内能进行二层交换。
生成树
支持802.1D生成树协议。
ARP
支持ARP代理、ARP学习。
可设置静态ARP。
DHCP
支持DHCPClient、DHCPServer。
接入
支持ADSL等宽带接入。
支持PPPOE拨号接入。
其它
支持网络时钟协议SNTP,可以自动根据NTP服务器的时钟调整本机时间。
支持IPX、NetBEUI等非IP协议。
SSLVPN
安全算法
支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择
协议类型
支持SSL2.0/3.0TLS1.0
数据压缩
支持高效流压缩算法
用户认证
支持“用户名+口令”、“用户名+口令+图形认证码”认证
支持X.509数字证书认证
支持数字证书+UKEY+口令多因子认证
支持公共帐户登陆,支持临时禁止帐户登录
支持本地数据库认证
支持基于LDAP/RADIUS/TACAS等协议的外部服务器认真
用户授权
支持分组授权、支持独立用户授权和授权继承
支持基于URL、访问路径、访问文件、访问动作的细粒度授权
支持基于时间的访问授权方式
支持本地授权、支持外部组映射授权、支持证书用户授权
应用支持
支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用
支持基于IP协议的各种C/S应用,如EMAIL,FTP,ERP,CRM,DB等
支持Windows/CIFS远程文件共享
实时监控
实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种信息
支持对使用公共帐户登录用户进行独立监控
支持主动中断在线用户的隧道连接
日志审计
详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息
支持多级审计日志,可以灵活配置审计级别
支持日志本地保存,支持将日志上传到外部日志服务器
支持天融信专用的TA-L日志服务器,可以对日志内容进行深度分析和统计
端点安全
支持接入客户端痕迹清除,能够清楚cookie、缓存、历史记录等各种访问痕迹
支持拔KEY隧道自动中断
支持用户超时自动退出,超时时间可以设置
IPSECVPN
协议
支持ESP/AH/IKE/NATT等标准IPSEC协议,支持隧道模式、传输模式
算法
支持MD5/SHA1等标准HASH算法
支持国家商密专用的SCB2算法
数据压缩
支持高效数据流压缩算法
隧道认证
支持预共享密钥、数字证书认证,支持扩展认证
网络适应性
支持网状、树型、星型等多种VPN网络拓扑
支持隧道的NAT穿越、双向NAT隧道建立
支持全动态IP地址间的VPN组网
支持隧道转发
支持多机多隧道的负载均衡和冗余备份方案
支持隧道内的访问控制
PKI
证书格式
支持X.509V3数字证书,支持DER/PEM/PKCS12多种证书编码
本地CA
支持内置CA,为其他设备或移动用户签发证书
支持本地CA根证书、根私钥的更新
支持证书废弃,支持生成标准CRL列表
第三方CA
支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通告HTTP协议定时下载CRL列表
支持通过OCSP/LDAP等协议在线认证证书
防火墙功能
内容过滤
采用完全内容检测(CompleteContentInspection)技术。
支持基于流、数据包、透明代理的过滤方式。
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。
支持URL过滤。
支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤。
支持对邮件的收发邮件地址、文件名、文件类型过滤。
支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。
支持MSN,QQ,Skype等InstantMessenger通信,并可以对于这些应用进行登陆限制。
可限制BT,eMule,eDonkey等P2P应用。
可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息。
包过滤
基于状态检测的动态包过滤。
基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。
支持基于用户的PPTP的访问控制。
支持报文合法性检查。
动态端口支持协议:
H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。
可实现IP/MAC绑定。
防御攻击
非法报文攻击:
land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof。
统计型报文攻击:
Synflood、Icmpflood、Udpflood、Portscan、ipsweep。
Topsec联动:
可与支持TOPSEC协议的IDS设备联动,以提高入侵检测效率。
端口阻断:
可以根据数据包的来源和数据包的特征进行阻断设置。
SYN代理:
对来自定义区域的SynFlood攻击行为进行阻断过滤。
CC攻击:
可通过设置端口和阀值阻断CC攻击。
可记录攻击日志和报警。
NAT
支持双向NAT。
支持动态地址转换和静态地址转换。
支持多对一、一对多和一对一等多种方式的地址转换。
支持虚拟服务器功能。
安全管理
用户认证
支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecurID)以及数字证书(CA)等常用的安全认证方式。
支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。
支持Session认证、HTTP会话认证。
支持认证保活功能。
可将认证用户信息加密存放在本地数据库。
日志
支持Welf、Syslog等多种日志格式的输出。
支持通过第三方软件来查看日志。
支持日志分级。
支持对接收到的日志进行缓冲存储。
可对日志进行加密传输。
监控
支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。
可根据配置文件进行错误恢复。
报警
内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。
支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。
带宽管理
QoS
流量整形
QOS带宽管理。
根据IP、协议、网络接口、时间定义带宽分配策略。
支持最小保证带宽和最大限制带宽。
支持分层的带宽管理。
优先级
支持8级优先级控制。
高可用性
双机热备
支持双机热备(Active-Active,与Active-Standby两种模式)。
支持系统故障切换,包括主设备抢状态开关功能,控制主设备是否在设备恢复正常情况时抢回主设备状态。
支持VPN网关的双机热备功能。
其它功能
支持链路备份功能。
支持双系统引导。
支持Watchdog功能。
配置管理
配置方式
支持WEB图形配置、命令行配置。
支持本地配置、远程配置。
支持基于SSH、SSL的安全配置。
命令行
支持配置命令分级保护。
支持中英文。
支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。
SNMP
支持SNMP的v1、v2、v2c、v3版本。
与当前通用的网络管理平台兼容,如HPOpenview等。
系统升级
支持双系统升级。
支持远程维护和系统升级。
支持TFTP升级。
报文调试
提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题。
支持发送虚拟报文。
配置恢复
可以进行配置文件的备份、下载、删除、恢复和上载。
时钟调整
支持网络时钟协议SNTP,可自动根据NTP服务器时钟调整本机时间。
工作环境
工作环境
工作温度、湿度:
温度0~40摄氏度,相对湿度5~95%(非冷凝);
存储温度:
-40~70摄氏度;
可以提供冗余电源,规格:
电压:
AC90-260V
频率:
47-63HZ
输入电流:
8.0/5.0A@115/230V
功率:
400W(千兆/最大)、260W(百兆/最大)
物理尺寸
物理尺寸
(宽x高x深):
426*88.5*464mm/12kg(千兆)、426*44*330mm/5.7kg(百兆)
即使生活费尽心思为难你,你也要竭尽全力熬过去;即使别人想方设法刁难你,你也要坚强勇敢挺过去。
做人当自强。
自己强,比什么都强!
不求事事顺利,但求事事尽心;不求控制他人,但求掌握自己。
记住,没有伞的孩子,必须努力奔跑。
靠自己的人,命最好!
升级会员 