天融信VPN组网解决方案模板.docx

天融信VPN组网解决方案模板.docx

《天融信VPN组网解决方案模板.docx》由会员分享，可在线阅读，更多相关《天融信VPN组网解决方案模板.docx（42页珍藏版）》请在冰豆网上搜索。

天融信VPN组网解决方案模板

天融信VPN组网解决方案

XXXX

VPN系统解决方案

北京天融信科技有限公司

2020年5月

第一章XXXX网络现状及需求分析

一.1网络现状

XXXX业务网络系统由总部和100个左右分支机构组成。

各分支机构均为规模不等的局域网络所组成，其中总部局域网络是整个网络系统的核心，为企业各类业务服务器所在地，同时也是网络管理中心。

各分支机构和移动办公用户经过Internet与总部通信。

一.2现有组网方式的缺陷

一.2.1访问没有保护

在现有的方式下，各分支机构经过因特网与总部联系（一般是E-mail或者各种即时通讯工具），由于这种联系方式都是经过公网进行明文互动，毫无保密性可言，商业机密数据有可能被竞争对手得到，从而引起业务损失。

而且使用E-mail方式实效性不高，双方的通讯存在时间差，不利于企业内部沟通。

一.2.2无法运行内部管理软件

因为总部内网和分支机构局域网之间不能互通，一些基于IP的业务软件不能运行，如无法实施OA、ERP等管理软件，影响企业管理效率，不利于整体策略性管理。

一.2.3增值服务无法实施

诸如视频电视、电话会议、IP电话之类的增值服务在这个网络上很难展开甚至无法展开，为了能使用这些方便的功能，还要另外在线路上进行改造，增加了企业负担。

一.2.4网络管理混乱

随着企业规模的扩大和分支机构的增多，各分支机构局域网的管理人员素质参差不齐，分别按照各自的习惯进行局域网建设，没有统一的标准进行有效管理，开展增值服务时反而变成企业业务发展的障碍。

一.3需求分析

根据XXXX现有的网络状况和业务情况，希望改建之后的网络达成如下目标：

●能够保证各分支机构和移动办公用户安全快捷地访问总部局域网内业务服务器；

●数据在Internet上传输时应保证足够的安全；

●能在全网实施OA、ERP等各种业务软件，提高企业管理效率；

●能随时在网络上开展各种网络服务，如IP电话、视频会议等；

●能对全网进行统一规划，统一管理。

基于以上的需求，当今较为完善的解决方案是实施基于IPSEC的VPN组网方式，以下将详细论述VPN的基本原理及天融信VPN的解决方案。

第二章

VPN技术及天融信VPN产品

二.1VPN基本概念

VPN（VirtualPrivateNetwork：

虚拟专用网）是一种以公用网络，特别是Internet为基础通道，综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。

VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途（租用）专线连接和远程拨号连接；但同时由于VPN需要借道公用网络，就必须解决因此而带来的网络安全问题。

因此，VPN技术概括地说就是：

实现低成本的安全互连。

有许多能够实现VPN的技术途径，区别主要看该技术是在OSI参考模型的哪一层实现，如在应用层实现的SSL，在会话层实现的Socket5，在网络层实现的IPSec和在数据链层实现的PPTP/L2TP等。

VPN技术的多样性和似乎高深的专业术语很容易使一般用户不知所措，天融信建议：

如果你需要安全地访问互联网上的某个站点，那么SSLVPN是一种不错的选择；如果你想将经过互联网访问公司内网中的某个服务器，或需要将两个处于不同地域的局域网基于互联网安全通连，那么IPSec几乎就是一种必然的选择。

二.2VPN的基本技术

当前，VPN的实现主要采用四项技术：

隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。

●隧道技术（Tunneling）：

类似于点对点技术，它在公用网络上建立一条数据通道（隧道），让数据包经过这条隧道传输。

隧道是由隧道协议形成的，分为第二、三层隧道协议。

由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接经过Internet传输的，而必须代之以合法的IP地址。

有多种方法能够完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，对于VPN而言，数据包封装（隧道）是最常见的技术。

数据包封装发生在VPN的发送节点，此时需将原数据包打包，添加合法的外层IP包头，这个包可经过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。

几乎所有的VPN技术均采用了数据包封装技术，下图为IPSecVPN隧道模式下对数据包的封装过程：

隧道封装后的数据包

原数据包

IP头

Data

新IP头

AH

Data

IP头

ESP

●加解密技术（Encryption&Decryption）：

对明文进行足够强的加密后送到目的地进行解密,从而达到保护远程数据传输过程中的安全。

●密钥管理技术（KeyManagement）：

主要任务就是保证密钥在公网上能够安全的传输而不被窃取,如被窃取也有相应的手段进行二次防护。

●使用者与设备身份认证技术（Authentication）：

正确分辨哪些设备是与本身相关且需要相互流通，而且让非法用户无法进入系统，多以电子证书的形式进行。

一个VPN和“虚拟隧道”模型的实例如图3.1所示：

图2-1VPN和虚拟隧道模型

二.3一般VPN解决方案所面临的几个问题

●管理配置复杂

　　由于VPN技术上的专业性，配置时需要专业人员进行指导，一般用户很难理解和正确使用。

●客户端软件问题

　　客户端软件提供的VPN往往不是基于标准IPSEC的解决方案，同时由于客户端软件和操作系统内的个人防火墙及防病毒软件工作在网络模型的同一层，很容易产生软件冲突，引起操作系统故障，使用上存在很多局限性。

●动态IP的网状联通性

　　大部分的VPN产品即使支持子公司采用动态拨号的方式接入，但不能实现两个动态拨号接入的子公司相互通信。

●NAT穿越

　　由于合法IP地址的有限性，现在有很多地方的上网方式是以城域网的方式接入，也就是说ISP分配给用户的IP地址不是因特网的合法地址，而是一个私网地址，由ISP做一层NAT接入。

而IPSEC协议与NAT具有不兼容性。

●与第三方厂商产品兼容性问题

　　当不同的VPN厂商产品进行互联时，由于各自对于IPSEC这个协议实现程度不同，各个厂商的产品很有可能不能进行通讯，当用户使用某一非标准IPSEC的产品后，如想进行VPN网络扩充就不能选择其它产品，用户对产品的使用受到了限制，只有完全遵循IPSEC标准开发的产品才能实现不同产品的互联。

●VPN网关自身的问题

由于VPN产品能够分为硬件网关产品和软件网关产品两种类型，但由于其对安全问题关注的侧重点不同会产生较大差异。

软件网关产品由于过分关注易用性，导致其自身的安全性极度依赖于安装网关的操作系统，而流行的Windows操作系统由于漏洞百出，非常容易出现系统故障，甚至可能由于病毒或者一些硬件故障导致系统崩溃，无法保障VPN网关的底层安全，因此其适用场合也比较有限；硬件网关由于其使用专用硬件，自身的安全性较之软件网关有非常大的提高，而且性能也比软件网关高效和稳定，但使用上比软件网关要求更高，更专业。

天融信公司依靠自身的强大技术实力和长期实践，已完全解决以上问题，其特点如下：

●管理配置

　　提供基于本地串口和远程两种登录管理方式。

用户使用远程管理方式能够选择SSH（加密通讯）和Telnet（不加密通讯）对设备进行配置，该方式适用于有网络管理经验的管理员；对不熟悉网络管理的用户，天融信还提供基于windows的GUI管理控制界面，管理员能够不用记忆复杂的配置命令，而仅经过点击鼠标就可完成全部配置工作。

●客户端软件问题

　　作为完整的企业VPN解决方案，支持移动办公用户远程访问企业内网的VPN客户端软件包是必不可少的。

但现在绝大多数的VPN客户端软件都需要在操作系统内核中嵌入一个庞大的垫片，经常导致与个人防火墙、防病毒等软件的冲突。

天融信VPN客户端软件则采用独有的非核心层IPSec实现方案，与其它桌面软件的兼容性极佳。

　　天融信VPN客户端软件不但提供完整的IPSec协议实现，而且为移动用户提供基于用户名/口令、证书、动态令牌卡等多种认证方式，支持与MAC地址等硬件特征码绑定的安全措施，安装配置简单，其操作过程类似配置windows的拨号网络，只需输入接入网关地址、用户名、口令即可。

●动态IP的网状联通性

　　经过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。

网关接入因特网之后首先向企业总部部署的“安全策略管理平台（TP）”进行注册和身份认证，然后从TP下载自己的VPN策略；同时TP负责当策略参数发生改变时，实时通知在线的网关产品更新策略，从而确保所有的网关都能够获得最新的策略参数变化情况。

●NAT穿越

　　为了解决这个问题，IETF专门为IPSec制定了“NAT穿越（NATT）”协议草案。

协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装，这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动；在目的主机处再把外层的IP/UDP封装去掉，就能够获得完整的IPSec数据包。

　　由于NATT协议标准制定的时间还比较短，大多数国内厂商还没有完全对该标准进行支持，而国外厂商也只有少数几家的产品针对新标准进行了升级。

天融信的全系列产品都支持最新的NATT标准。

由于NAT技术在国内的广泛应用，因此用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。

●与第三方厂商的产品兼容性问题

　　由于天融信公司的VPN产品完全遵循IPSEC协议标准进行开发，因此不存在该问题，能够顺利的和国内外任何完全遵从IPSEC标准的产品进行互联互通。

二.4天融信VPN产品及其典型解决方案

天融信VPN系列产品包括VONE系列（IPSEC/SSLVPN多合一网关）、IPSECVPN系列网关（包括3GVPN网关）、VPN客户端软件以及天融信VPN统一安全策略管理平台（TP）。

二.4.1天融信VPN硬件安全网关

天融信VPN硬件网关由高可靠性的工控标准主板、硬件密码模块和电子盘等构成，内置专用安全嵌入式操作系统和VPN软件模块。

根据设备处理能力和提供的功能，天融信VPN硬件网关分为多个型号，分别面向大、中、小型企业及其分支机构。

各类型号产品在性能上呈阶梯排列，同类产品则在功能和性能作了进一步的细分，以满足不同用户的需求。

以下是天融信VPN硬件网关的主要功能：

类别

功能

详细描述

网络

适应性

工作模式

✧支持透明、路由、混合模式

路由

✧支持静态路由、动态路由

✧支持基于源/目的地址、端口、协议及接口的策略路由

✧支持单臂路由，可经过单臂模式接入网络，并提供路由转发功能

✧支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能

✧支持RIP、OSPF等路由协议

✧支持多线路捆绑和负载均衡

组播

✧支持IGMP、PIM组播协议

✧可有效地实现视频会议等多媒体应用

VLAN

✧支持Vlan、VlanTrunk

✧支持802.1Q，能进行封装和解封

✧支持ISL，能进行ISL的封装和解封

✧支持QinQ技术（vlan-vpn），对报文进行二次基于802.1Q封装

生成树

✧支持802.1D、PVST生成树协议

端口聚合

✧支持对物理接口的端口聚合，提高接口带宽

ARP

✧支持ARP代理、ARP学习，可设置静态ARP

✧可设置防ARP欺骗

DHCP

✧支持DHCPClient、DHCPRelay、DHCPServer

接入

✧支持以太网、光纤、ADSL、3G、DHCP等多种接入方式

✧支持最多4路ADSL拨号接入，多路ADSL支持链路负载均衡或备份

其它

✧支持网络时钟协议SNTP，可自动根据NTP服务器的时钟调整本机时间

✧支持IPX、NetBEUI等非IP协议

PKI

证书格式

✧支持X.509V3数字证书

✧支持DER/PEM/PKCS12等多种证书编码

本地CA

✧支持内置CA，为其它设备或移动用户签发证书

✧支持证书废弃，支持生成标准CRL列表

✧支持证书请求的生成，由第三方CA进行签名

✧内置支持SM2算法的CA

第三方CA

✧支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持经过HTTP协议定时下载CRL列表

✧支持经过OCSP/LDAP等协议在线认证证书

IPSECVPN

协议

✧支持ESP/AH/IKE/NATT等标准IPSEC协议

✧支持隧道模式、传输模式

算法

✧支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法

✧支持DHGROUP1/2/5，RSA1024/2048非对称算法

✧支持国家商密专用SM1/SM2/SM3/SM4算法

硬件加速

✧支持高速算法加速卡

数据压缩

✧支持高效数据流压缩算法

隧道认证

✧支持预共享密钥、数字证书认证，支持XAuth扩展认证

✧支持使用标准的X.509证书建立隧道

网络

适应性

✧支持网状、树型、星型等多种VPN网络拓扑

✧支持隧道的NAT穿越、双向NAT隧道建立

✧支持全动态IP地址间的VPN组网

✧支持隧道转发

✧支持组播穿越IPSec隧道

✧支持多机多隧道的负载均衡和备份

VPN

客户端

✧支持第三方标准IPSec客户端接入

✧支持苹果终端IPSECVPN客户端接入

✧支持为移动用户定义访问权限

✧支持基于时间的移动用户访问控制策略

✧支持两网分离

✧支持多线路自动检测

✧支持移动用户接入状态的监控和审计

✧支持中/英文界面和中/英文自动切换

*SSLVPN

（可选配）

安全算法

✧支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法

✧支持国家商密专用的SM1、SM2、SM3、SM4算法

数据压缩与加速

✧支持高效流压缩算法

✧支持智能压缩

✧支持WebCache加速

用户认证

✧支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证

✧支持X.509数字证书认证

✧支持数字证书（USBKEY）+口令多因子认证

✧支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证

✧支持短信认证、图形码校验、硬件特征码校验

用户授权

✧支持角色授权、支持独立用户授权

✧支持基于URL、访问路径、访问文件、访问动作的细粒度授权

✧支持本地授权、支持外部组映射授权、支持证书用户授权

✧支持基于证书中的字段属性组合授权

应用支持

✧支持WEB转发、端口转发、全网接入模式

✧支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用

✧支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等

✧支持Windows/CIFS远程文件共享

✧支持FTP的WEB化访问

实时监控

✧实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息

✧支持主动中断在线用户的隧道连接

日志审计

✧详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息

✧支持多级审计日志，能够灵活配置审计级别

✧支持日志本地保存，支持将日志上传到外部日志服务器

✧支持天融信专用的TA-L日志服务器，能够对日志内容进行深度分析和统计

端点安全

✧支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹

✧支持拔KEY隧道自动中断

✧支持用户超时自动退出，超时时间能够设置

虚拟门户

✧支持虚拟门户功能，每个虚拟门户都能够定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等

与企业门户无缝融合

✧SSLVPN能够与企业门户无缝融合，即用户能够经过企业门户登录SSLVPN，而且SSLVPN能够自动跳转Portal页面到企业的某个网站

集群

✧支持集群和分布式集群功能

Portal页面隐藏

✧在用户登录SSLVPN后不需要驻留Portal页面，能够隐藏，并在右下角缩成一个小图标，点击小图标还能恢复Portal页面

客户端

✧支持WindowsMobilePDA客户端

✧支持iOS、Android系统的智能终端客户端

✧支持WindowsXP、、、Vista、Win7、Win8、Linux系统

✧支持独立客户端

✧支持用户设定代理服务器信息

端口转发

✧支持TCP协议

✧支持UDP协议

✧支持智能递推

单点登陆

✧支持HTTP401认证单点登录

✧支持用户修改单点登陆的账户信息

✧支持WEB方式的单点登录

✧支持密码助手方式的单点登录

可信接入

可信接入

✧支持接入主机的信息检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等

✧支持可信接入分级授权

✧支持检查策略：

接入前检查、接入后检查、定时检查等

国际化

语言支持

✧支持中、英文界面

✧支持中、英文自动切换

DDNS

DDNS

✧支持DDNS动态域名注册

✧支持使用域名进行隧道定义及协商

✧支持使用域名向TP进行集中认证

技术标准

SSLVPN

✧符合国密局制定的《SSLVPN技术规范》

IPSecVPN

✧符合国密局制定的《IPSECVPN技术规范》

L2TP

L2TP

✧支持远程用户经过L2TP接入，建立L2TP隧道访问内部网络

PPTP

PPTP

✧支持远程用户经过PPTP接入，建立PPTP隧道访问内部网络

网络

安全性

*内容过滤

✧采用完全内容检测（CompleteContentInspection）技术

✧支持基于流、数据包、透明代理的过滤方式

✧支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤

✧支持web重定向，支持URL分类过滤

✧支持挂马网站过滤

✧支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤

✧支持对邮件的收发邮件地址、文件名、文件类型过滤

✧支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤

✧支持反垃圾邮件功能

✧支持Telnet、Ftp、RSH命令过滤

✧可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、Telnet、HTTP）的BANNER信息

访问控制

✧基于状态检测的动态包过滤

✧基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制

✧支持隧道内的访问控制

✧支持IPSec客户端与SSL全网模式与FW联动

✧动态端口支持协议：

H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP

✧支持大数量级的策略匹配加速算法

✧支持对象的每秒新建连接数限制

✧基于域名对象的访问控制

✧可实现IP/MAC绑定，可防共享上网

NAT

✧支持双向NAT

✧支持动态地址转换和静态地址转换

✧支持多对一、一对多和一对一等多种方式的地址转换

✧支持虚拟服务器功能

*应用识别

✧支持近百种应用程序库的过滤，包括P2P、IM、炒股、网游等

✧支持MSN、QQ、Skype等InstantMessenger通信，并能够对于这些应用进行登陆限制和帐号过滤

✧可限制BT、eMule、eDonkey、迅雷等P2P应用

✧支持基于应用的流量统计、排名

✧支持基于应用的历史流量趋势图

✧支持基于主机的应用流量统计

✧支持流量异常检测

✧深度流量过滤（DFI），针对P2P行为的识别控制

*防病毒

✧支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀

✧支持200万余种病毒的查杀，病毒库定期与及时更新

✧支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀

*防御攻击

✧非法报文攻击：

land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof

✧统计型报文攻击：

Synflood、Icmpflood、Udpflood、Portscan、ipsweep

✧支持地址对象源目的最大连接数限制

✧端口阻断：

能够根据数据包的来源和数据包的特征进行阻断设置

✧SYN代理：

对来自定义区域的SynFlood攻击行为进行阻断过滤

✧CC攻击：

可经过设置端口和阀值阻断CC攻击

✧可记录攻击日志和报警

✧支持手动设置和根据IDS规则自动生成黑名单

安全管理

用户认证

✧支持使用一次性口令认证（OTP）、本地认证、数字证书（CA）认证等常见的安全认证方式

✧支持统一用户管理，IPSEC与SSL使用同一套用户认证、管理系统

✧支持口令复杂度设置，支持密码找回、首次登录修改口令功能

✧支持多点登录地点数设置，支持登录时间、登录地址范围控制

✧支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式

✧支持短信、动态令牌、硬件特征码认证

✧支持Session认证、HTTP会话认证

✧支持WEB认证和指纹认证

分级管理

✧可为用户管理员分配不同的权限，管理不同的用户信息

✧支持多达16级的分级管理

✧支持管理员的三权分立

日志

✧支持Welf、Syslog等多种日志格式的输出，支持日志分级

✧支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能

✧TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其它安全产品的日志进行联合分析

✧可对日志进行加密传输

监控

✧支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测

✧可根据配置文件进行错误恢复

报警

✧内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类

✧支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式

流量统计

✧支持基于IP对session数的统计，并有阀值报警功能

✧支持基于IP对流量的统计

✧支持基于传输层端口进行流量、session数的统计

✧支持NETFLOW协议版本5，支持设置过滤条件

带宽管理

QoS

流量整形

✧根据IP、协议、网络接口、时间定义带宽分配策略

✧支持最小保证带宽和最大限制带宽

✧支持DSCP和COS的设置

✧支持对p2p的带宽限制

优先级

✧支持8级优先级控制

高可用性

双机热备

✧支持双机热备（Active-Standby）模式

✧支持负载均衡（Active-Active）模式

✧支持连接保护（SessionProtect）模式

其它功能

✧支持基于IP探测的链路备份功能

✧支持服务器的负载均衡，提供轮询、加权轮