VPN 解决方案技术建议书.docx
《VPN 解决方案技术建议书.docx》由会员分享,可在线阅读,更多相关《VPN 解决方案技术建议书.docx(11页珍藏版)》请在冰豆网上搜索。
VPN解决方案技术建议书
***单位
VPN互联解决方案技术建议书
2010-5-6
1概述
随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构、出差员工以及商业合作伙伴逐步增多,如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计工程师亟待解决的问题。
VPN技术正是基于此应运而生,能够为此提供全面的解决方案,在不安全的Internet之上建立廉价、安全、私有的企业VPN网络,包括Site-to-SiteVPN与AccessVPN。
1.1VPN技术
VPN技术是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性。
企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择。
1.1.1L2TPVPN技术
L2TPVPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。
L2TPVPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(NetworkAccessServer),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(L2TPNetworkServer),是用于处理L2TP协议服务器端的软件。
L2TPVPN服务具有如下几个优点:
1.灵活的身份验证机制以及高度的安全性。
2.L2TP支持内部地址分配,LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用等方案。
3.能够实现网络计费的灵活性,可以在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业处(用于付费及审记)。
4.L2TP具有较高的可靠性,可以支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。
同任何一种技术一样,L2TPVPN也存在着一定的的缺点:
L2TP的缺点是封装层次多,在数据包上依次封装了PPP->UDP->IP三层,因而效率较低。
将不安全的IP包封装在安全的IP包内,它们用IP包在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的地身份就不再需要,这样可能带来问题。
它不对两个节点间的信息传输进行监视或控制。
端点用户需要在连接前手工建立加密信道。
认证和加密受到限制,没有强加密和认证支持。
1.1.2IPSecVPN技术
IPSecVPN技术属于三层隧道VPN技术。
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括:
网络安全协议:
AuthenticationHeader(AH)协议,提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。
AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
EncapsulatingSecurityPayload(ESP)协议,通过对数据包的全部数据和加载内容进行全加密,进而提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。
与AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
在Ipsec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。
大部分的应用案例都采用了ESP或同时使用ESP和AH。
密钥管理协议:
InternetKeyExchange(IKE)协议,实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等,这些安全参数的总体称之为安全联盟(SA)。
验证及加密的算法:
认证算法,HMAC-MD5、HMAC-SHA-1;加密算法,DES、3DES。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
IPSec协议是一个应用广泛、开放的VPN安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。
IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。
IPSec工作在网络层,在参加IPSec的设备(如路由器)之间为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。
Ipsec是主要用于在网络层实现VPN的技术。
根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,可采用Ipsec技术组建企业VPN。
它比较适用于对网络数据保密要求高的用户。
IPSec的实现是靠两个IPSec的对端维系的,因此它实际上是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。
因此,它的实现是一种与接入网络无关的VPN技术。
但这并不等于说它就是与网络服务提供商无关的,我们可以作为网络服务维护者的角度,帮助客户建立并维护VPN网络,使得用户不必投入人力资源去维护一个VPN网络。
IPSec的特点是较为适用于各分支机构之间的互联,对于IP地址要求做较为完善的规划,在一定程度上制约了IPSec的应用范围。
针对这个问题,目前华为的VPN解决方案已经支持野蛮模式,所谓野蛮模式就是通过实现注册的用户名来进行IKE协商,优点避免了解决方案中必须是固定IP地址的困惑,可以是分支上网自动获取IP地址,然后与总部进行协商,极大的增强了Ipsec的功能。
2**单位VPN需求分析
随着**单位业务在地的高速扩张,分支机构及合作伙伴日益增多,而所有的分支机构都需要与总部进行安全互联。
传统的基于专线的互联解决方案由于建设成本和使用费用昂贵,目前已逐渐被另外一种安全可靠且费用低廉的VPN解决方案所取代,成为跨国企业分支机构与总部之间安全互联的首选解决方案。
根据对**单位网络现状的分析,我们认为**单位的VPN需求主要在以下方面:
1)无锡,杭州,上海,苏州,常州等地之间需要通过Internet进行VPN互联,以实现视频会议,网络电话等功能;
2)移动办公用户在家中或出差途中,需要能够通过专用的客户端软件(VPNClient)安全接入到**单位内部网络;
3)所采用的VPN设备要能够与其他厂商互通,并具有很好的集中管理平台(VPNManager);
因此在企业网络中安装IPSecVPN网关,可以有效解决远程接入问题。
用户既不受地域限制,也不受接入方式限制,只要该用户能够接入Internet,便能够安全地接入企业网内部。
3**单位VPN解决方案
根据**单位的具体需求以及华为公司在VPN解决方案上的多年积累,我们认为**单位VPN解决方案的设计必须满足以下原则:
1.先进性原则:
VPN设备必须采用专用的硬件平台和软件平台以保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟。
2.高可靠性:
**单位网络是其各种信息化应用的基础,网络的稳定性至关重要;VPN设备由于部署在关键节点,成为网络稳定性的重要因素。
因此整个网络设计必须考虑到高可靠性因素。
3.可扩展性:
**单位处在业务高速发展阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。
4.开放兼容性:
所采用的VPN产品设计规范、技术指标要符合国际和工业标准,能够与其他厂商产品兼容,从而有效的保护投资。
3.1**单位VPN互联解决方案组网图
总部
常州
Internet
…
无锡
常州
其他
苏州
…
上海
移动用户
USG5310
USG2110
USG2110
USG2110
USG2110
USG2110
USG2110
图1VPN互联解决方案组网图
3.2**单位VPN解决方案方案组网说明
**单位VPN解决方案由以下四个子系统构成:
1)VPN接入网关子系统
2)移动用户VPN客户端子系统
3)VPN集中管理子系统
对于每个子系统的详细描述如下:
3.2.1VPN接入网关子系统
VPN接入网关设备是整个VPN解决方案的核心部分,实现Site-to-Site的VPN接入,华为USG/SRG系列VPN网关具有非常高的性能特性以及丰富的功能特性,支持防火墙、AAA、NAT、QoS等技术;支持多种VPN业务,如L2TPVPN、IPSecVPN、GREVPN、MPLSVPN等,可以针对客户需求通过拨号、LAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN网络。
配合防火墙、AAA、NAT、QoS等技术,安全网关可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。
VPN接入网关子系统一般由总部VPN网关和分支机构VPN网关两部分组成:
华为VPN接入网关具有如下特点:
支持虚拟多域技术
为了能够使得用户能够最大限度的使用网络设备资源,降低用户的网络构建成本,可以允许用户在一台VPN网关设备上支持多个VPN域,每个VPN域可以定义为一个分支机构或一个部门,并允许一台VPN网关设备下多个VPN域之间的IP地址重叠。
这些域之间的VPN网络是完全隔离的。
多种VPN技术融合
如上图所示,华为USG/SGR系列VPN网关支持从Internet安全接入到MPLSVPN网络,通过一台VPN网关设备的一个物理接口就可以为Internet上的众多分支机构接入到MPLSVPN骨干网中。
用户认证通过IKE来提供,可以提供基于证书的方式,也可以采用pre-sharedkey的方式。
通过IKE认证就可以知道该IPSec隧道应该接入到哪个MPLSVPN中。
华为USG/SGR系列VPN网关对每个VPN保持了独立的转发资源,从源头上就可以控制不同VPN用户之间无法互访。
动态IP地址支持及NAT穿越技术
随着宽带应用的不断推广,中小企业使用ADSL上网的方式越来越多,并且一般都是运营商动态分配的IP地址,这样就出现了一个问题,如何使用动态的IP地址来建立企业自己的VPN网络?
华为VPN解决方案支持企业分支以动态IP方式地址接入,只需要配置自己的信息并指定总部的VPN网关就可以了,不管其它分支设备怎么更改IP地址也都能够与之建立连接,进行互相通讯,同时用户也不用关心自己当前使用的IP地址是什么,更加适应现在动态IP地址的使用方式。
随着Internet网络的发展,IP地址也变得越来越缺乏,因此当前许多ISP提供给用户的时候使用的是私网IP地址,用户和外部进行通讯的时候需要经过NAT网关,NAT网关的应用会给用户的业务带来一定的影响.为了解决这个问题,IETF专门为IPSec制定了“NAT穿越(NATT)”协议草案,华为VPN解决方案涉及的系列产品都支持最新的NATT标准,可以很好的解决私网IP地址通过NAT网关和其它节点建立起VPN网络。
VPN业务安全
VPN的主要特点就是在公共网络构建一个属于企业自己的专用网络,使用了VPN技术之后企业内部的设备都在一个VPN网络内部,不管各个分支机构所处何地都像是公司内部网络,可以直接进行访问和数据传输。
但是由于是在公网上传输数据,那么安全特性就显得尤为重要了,没有一定的安全机制,企业内部的数据在公网上就会被其他人所截取,企业内部的机器也将受到网络上其他设备的攻击,这样给企业将带来灾难性后果。
华为VPN方案使用了认证和加密等技术,确保用户网络的安全和数据的安全。
首先,客户端端设备要想加入到VPN网络,必须首先经过网关的认证,只有通过网关认证的Client设备或移动用户终端才能够接入企业的VPN网络,这样保证了非授权用户非法登录,同时也阻止了人为的破坏。
业务数据流通过IPSec加密,IPSEC能够提供服务器及客户端的双向身份认证,并且为IP及其上层业务数据提供安全加密保护,能够支持数据加密(包括常见的DES,3DES,AES加密算法),数据完整性验证,数据身份验证,以及防重放等功能,充分保证业务数据的安全性。
有了上述这些措施之后,VPN网络内部就是一个相对安全的区域,企业可以放心的在VPN内传输自己的数据了。
3.2.2移动用户VPN客户端子系统
移动用户VPN客户端子系统指的是为满足企业出差员工、合作伙伴员工因为工作需要,使用专用的VPNClient软件接入企业内部VPN网络,访问指定的企业内部网络资源。
移动用户在接入VPN之前,必须首先接入Internet,然后使用专用的VPNClient客户端软件进行二次拨号到企业VPN网关,获得企业内部私网地址后接入到企业网络。
移动用户VPN客户端子系统一般由VPN网关、VPNClient组成:
华为VPN客户端子系统特点:
1)华为USG/SGR系列VPN网关支持L2TP、L2TPOverIPSec等多种移动终端VPN接入技术;
2)华为VPNClient可以适应多种客户端组网环境,例如宾馆共享宽带接入、家庭ADSL接入和LAN接入等,具备良好的易用性;
3)认证系统可以使用LNS本地账户管理或者外部存储Radius服务器集中管理员工VPN账户,可以将VPN账户与分配的企业私网地址绑定,增强安全事件之后的可追踪性;
4)华为VPNClient支持远程访问终端接入企业内部VPN之后,出差员工失去访问Internet的权限,保证企业内部网络安全。
3.2.3VPN集中管理子系统
VPN集中管理子系统由华为VPNManager系统构成,其主要功能是简化VPN业务的部署和管理,增强了VPN解决方案的管理、维护和运营的方便性。
华为VPNManager主要有以下特点:
所见即所得的业务预部署
在VPNManager上进行离线的业务定义,直到确认无误后再下发到设备上使得业务生效,这对用户非常重要。
VPNManager可以离线地进行所有的业务定义,并且通过各种拓扑视图达到所见即所得的效果。
配置变更监控功能
VPNManager提供配置审计功能,自动定期地检查出网络业务管理系统和设备上当前配置的不一致性,发送告警给运维人员,并能提供配置变更的详细信息。
现网业务的自动发现与还原
如果在安装VPNManager之前,网络设备上已经部署了IPSecVPN业务。
VPNManager可以读取设备上的配置文件等数据,自动在VPNManager上还原出IPSecVPN业务,从而避免部署后续业务时发生资源冲突,使得新老业务可以统一管理。
方便的性能统计功能
VPNManager提供实时性能数据查看功能,可对VPN业务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控,并提供历史性能数据分析功能。
有助于用户了解当前网络运行的基本情况和性能状态,预防网络事故发生,预测网络运行状态。
支持跨平台特性
VPNManager基于华为公司统一的iMAP综合管理应用平台,既可以运行在Solaris操作系统下,也可以运行在Windows操作系统下。
既可提供规模网络的高端解决方案,也可适应低成本的解决方案
简单快捷的系统安装
提供图形化、向导式的安装和升级方式,系统自动设置静态参数和初始化数据。
安装程序实现按需定制组件的功能。
友好的人机界面
充分考虑用户的操作习惯,提供统一风格的告警、拓扑和业务配置管理界面,保持一致的视觉效果,提供批量化的操作手段,简化用户日常操作。
完善易用的联机帮助
内容详尽实用、检索方便,既可在线求助,亦可脱机学习。
帮助系统支持跨平台。
4华为VPN接入解决方案特点
4.1全面的VPN业务支撑能力
华为VPN解决方案能够提供L2TP、GRE、IPSec等多种VPN接入方式,支持DES、3DES、AES等多种加密算法,并支持SCB2国密算法,具有国内最大的加密处理性能1Gbps。
结合华为公司全系列的VPN网关、VPNClient、VPNManager,可以为用户提供完整的VPN解决方案。
支持从Internet安全接入到MPLSVPN网络,通过一台华为USG/SGR系列VPN网关的一个物理接口就可以为Internet上的众多分支机构接入到MPLSVPN骨干网中。
用户认证通过IKE来提供,可以提供基于证书的方式,也可以采用pre-sharedkey的方式。
通过IKE认证就可以知道该IPSec隧道应该接入到哪个MPLSVPN中。
华为USG/SGR系列VPN网关对每个VPN保持了独立的转发资源,从源头上就可以控制不同VPN用户之间无法互访。
支持Multi-VRF特性,可以为多个VPN保存独立的转发表项,这样可以从转发层面保证了业务隔离。
通过这种Multi-VRF技术可以在提供VPN业务的时候,支持私网地址重叠功能。
支持根验证功能:
华为USG/SGR系列VPN网关的根系统可以验证隧道对端,利用IKE进行身份验证、密钥协商,建立起IPSec隧道之后,就给这个IPSec隧道标定了一个VPN。
支持多个虚拟VPN网关系统:
华为USG/SGR系列VPN网关的一个虚拟系统连接一个分支机构,由这个虚拟VPN网关来验证隧道对端,利用IKE进行身份验证、密钥协商,建立的IPSec隧道只能限定在这个虚系统内部。
不同的虚拟VPN网关系统可以具有不同的管理员和配置,互不干扰。
接入控制权限严格,华为USG/SGR系列VPN网关可以根据用户名、密码来控制访问VPN的接入权限,这样可以使得不同权限的用户(例如普通移动办公用户与管理员用户)可以访问不同的VPN资源。
支持采用Radius协议统一管理用户,可以提供双因子验证方式,采用令牌+固定口令的方式提供高安全可靠的接入服务。
4.2领先的VPN性能及高可靠的硬件体系
华为USG/SGR系列VPN网关采用新一代电信级的高性能硬件平台,具有强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。
华为USG/SGR系列VPN网关具有一个完整的安全方案技术体系,可以为用户提供综合的安全解决方案。
华为USG/SGR系列VPN网关采用NP(网络处理器)及Multi-Core(多核处理器)的硬件结构,可以支持10,000以上的并发隧道数,提供3Gbps吞吐量的VPN服务。
华为USG/SGR系列VPN网关支持两种硬件加密卡,一款为普通加密卡,另外一款为高速加密卡,分别可以提供200M/1000M的加密吞吐量,可以满足用户不同的业务模型要求。
华为USG/SGR系列VPN网关支持双机热备组网方式,可以为用户提供不间断的VPN接入服务。
在做VPN网关的同时,还可以为整个企业网提供安全可靠的运行环境,保证整个企业网的安全。
华为USG/SGR系列VPN网关产品根据数据报文的特征,以及DOS/DDOS攻击的不同手段,可以针对ICMPFlood、SYNFlood、UDPFlood等各种DOS/DDOS攻击手段进行有效防御。
同时,华为USG/SGR系列VPN网关可以主动识别出数十种常见的攻击种类,很多种攻击种类造成的后果就是DOS/DDOS形式的攻击,华为USG/SGR系列VPN网关可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。
华为USG/SGR系列VPN网关支持使用TCP代理方式来防止SYNFlood类的DOS/DDOS攻击,通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被USG/SGR网关丢弃。
5成功案例
5.1奥运城市数据系统VPN项目
项目背景
随着2008年奥运会的日益临近,各奥运举办城市的相关筹备工作也在紧锣密鼓的进行。
天津作为2008年奥运会六个协办城市(天津、沈阳、秦皇岛、上海、青岛和香港)之一,为加强奥运期间城市人口流动数据等机要数据的管理工作,计划在全市设立6000余个数据采集点。
在经过周密的调查和研究后,用户最终采用了华为的VPN方案,确保整个网络机要数据的通讯安全。
华为VPN解决方案
本项目中,在数据中心的服务器前部署两台Eudemon500做双机热备,然后在每一个数据点(一期1300个)各部署一个VPN设备,连接到Eudemon500上,如下图所示:
方案特点
高可靠性
设备层面,在数据中心信息管理系统总部侧,部署了电信级(可靠性99.999%)的VPN网关设备—2台Eudemon500,接入侧也是采用高可靠设计的USG50;链路层面,在数据中心服务器前采用两台VPN网关作双机热备,当主设备因为各种小概率事件停下来时,备设备将在1秒内完全顶替主设备,确保VPN业务不会中断。
高性能
本系统中,单点数据量不大,但是最终6000多个信息点累加的并发数据吞吐量是很大的;华为USG/SGR系列VPN网关,可以提供业界性能最高的可以达到1Gbps加密性能的硬件加密卡,在奥运会期间业务到达高峰时,最大程度保证系统的高处理性能。
高安全性
在安全性方面,华为的USG/SGR系列VPN网关支持多种高安全性算法,支持SCB2国密算法,同时是一个功能强大性能卓越的防火墙设备,提供本身以及内网的安全,不受攻击影响。
灵活的接入和控制
因为网点的分散和异构,本监控系统要求接入方式多种,同时要求地址分配简单。
针对这个需求,华为USG/SGR系列VPN网关支持LAN和ADSL等国内主流公网接入方式;同时支持L2TP和IPsec等多种主流成熟的VPN接入技术。
高扩展性、可升级性
华为的USG/SGR系列VPN网关产品覆盖桌面级一直到万兆专业级,在用户业务出现瓶颈时,可以提供丰富扩展设备和方案。
VPN网关可以方便的进行更新升级。
客户的利益回报
此次VPN解决方案的实施,保证了08奥运主办城市的数据通讯安全。
5.2电子政务VPN应用案例
项目背景
电
升级会员 