VPNl解决方案.docx

VPNl解决方案.docx

《VPNl解决方案.docx》由会员分享，可在线阅读，更多相关《VPNl解决方案.docx（15页珍藏版）》请在冰豆网上搜索。

VPNl解决方案

CISCOSSLVPN实施方案

一.SSLVPN技术简介

　　IPSEC是由IP安全性工作组定义的协议集，它提供了最高级别的VPN安全协议。

有了IPSec,就可以对网络层的每一项内容进行加密，确保网络层之间的安全通信。

SSL协议

　　安全套接层协议（SSL，SecuritySocketLayer）是网景（Netscape）公司提出的基于WEB应用的安全协议，如果你使用过hotmail（用户密码保护），使用过网上银行（用户认证和传输数据加密），那你已经对它有所了解，它是一种鉴证和保密机制，特别针对网络电子商务而开发。

　　SSL它运行在OSI模式的第四层（传输层），在TCP/IP和HTTP，FTP等之间。

SSL协议主要包含两类子协议——SSL握手协议和SSL记录协议，握手协议负责协商约定服务器和客户端间联系的协议版本、服务器认证方式、客户端认证方式（可选）以及用于数据加密和认证的共享密钥。

SSL记录协议要将传输的数据流转换成加密数据块，形成“隧道”，并实施认证和完整性检验，使用的是SSL握手协议产生的密钥。

　　SSL协议与应用层协议独立无关的，高层的应用层协议（例如：

HTTP，FTP，TELNET等）可以建立于SSL协议之上，由于SSL协议在应用层协议通信之前完成加密算法、通信密钥的协商及服务器认证工作，从而保证在其上的应用层协议所传送的数据都会被加密，从而保证通信的安全性，包括：

数据的加密；数据的完整性检验，提供检验机制对传输的加密数据进行校验，保证数据在传输过程中没有被篡改过；端点的安全验证，提供检验机制对SSL协议的服务器和客户端进行认证，保证使用者的拥用正确身份。

　　同时，SSL协议运行在传输层，只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密（网络层）。

在使用SSL协议的通信中，每一个应用是一个安全的独立体。

利用SSL协议进行VPN通信，进行通信的应用必须能够支持SSL技术，常见应用，IE、Netscape浏览器，OutLook、Eudora邮件等一般都可直接运用SSL协议。

二.SSLVPN

　SSLVPN利用了SSL协议，并针对VPN应用加入了必要的功能特征：

■代理、协议转换和端口转发：

为了让应用层协议和程序可以不加改动地利用SSL协议隧道，建立SSLVPN连接，它必须提供应用层协议到SSL协议的转换和访问代理，以及必要的通讯端口转发，如HTTPS,SMB/FTP/NFS等等

■面向远程访问的设计：

　　1.无客户端访问：

不论何种SSLVPN产品，均可利用浏览器和HTTPS进行WEB　　SERVER访问，避免客户端的安装和配置工作。

高端产品则提供某种基于Java或ActiveX客户端扩展，或者直接安装客户端来提供扩展应用

　　2.从SSLVPN部署和配置上尽量简化客户端一方，而在服务器一端表现出门户式的服务入口

　　3.强化的客户端身份认证机制和客户端安全保障，确保访问位置的无条件和安全

　　4.强化的安全审计

■灵活的用户授权和访问控制：

SSL代理为应用层的应用服务，结合用户权限设置和安全策略，SSL更容易提供细粒度远程访问控制。

三.应用方向

■SSLVPN面向远程访问，面向应用系统的接入和保护，特别是基于浏览器（WEB方式）的B/S结构网络应用。

■SSLVPN将远程安全接入延伸到其他VPN方案不易扩展到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。

SSLVPN正在成为远程接入的一种模式。

四.应用场景:

■企业内部运行了的办公自动化软件（OA系统），在外地的分公司和出差员工利用SSLVPN就可以访问企业的OA，并且有足够的安全措施保证数据和系统安全。

■文件分发和共享,这是在用户LAN内的重要网络应用,通过SSLVPN,员工可以从外地和合作伙伴的办公地点对LAN内的文件和文件夹进行安全读写,同时必须遵守由管理员制定的权限规则。

■企业已将ERP、CRM或进销存系统纳入企业的核心作业工具，业务人员和分公司不论身在何处均必须及时将信息反馈到中央数据库，并即时取得业务数据。

有了SSLVPN，用户只要可以上网，就可及时安全地访问处于总部内网的数据库服务器。

■部署网络图

五.SSLVPN方案优势-远程接入VPN的首选

5.1、SSLVPN的优势

■SSLVPN不需要安装客户端软件。

远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。

这就易于安装和配置，明显降低成本

■只要安装好SSLVPN，后需的专业服务需求较少，用户没有专业IT支持部门也完全可以使用，所以维护成本可以忽略不计。

■SSLVPN可以在任何地点，利用任何设备，连接到相应的网络资源上。

SSLVPN通信运行在TCP/UDP协议上，具有穿越防火墙和NAT的能力。

这种能力使SSLVPN能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。

IPSecVPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突等困难。

■支持多种设备，只要此设备提供标准浏览器，如可以上网的手机和PDA通信产品。

也适用于大多数操作系统：

不管是Windows、Macintosh、UNIX还是Linux，只要运行标准的浏览器，都可以支持SSLVPN对企业内部网站和Web站点进行访问。

■良好的安全性：

　SSLVPN使用SSL代理为上层应用提供服务，只向用户提供针对授权资源的代理连接，远程用户不会直接连接到企业网络上，因而不会威胁到其他网络资源，提供更高的安全性。

　SSLVPN具有划分隧道的功能，即一位用户同时访问Internet和企业内部资源的能力在SSLVPN上是可以控制的。

■SSLVPN还具有精细的访问控制能力，可以为不同的用户提供不同的访问权限。

这种精确的访问控制功能是IPSecVPN通常所不具有的。

5.2、SSLVPN方案不足

■对于C/S结构的非Web系统应用支持需要一定的配置和技术支持，在服务器端要进行针对性的配置,客户端则可能需要安装杂件插件,这带来部署和应用上的不便。

这种配置只能基于已知或流行的应用系统。

■由于对移动用户的良好支持，SSLVPN要经受用户从任意地点和设备访问应用系统的考验，要承受更大风险，如用户可能从信息亭或网吧种上网来访问，地点和设备均不受用户控制，也不可预测设备安全状况。

■SSLVPN是应用层加密，性能比较差，需要使用加速装置。

基于用户的需求，我们选择CISCO2811带SSLVPN硬件加速模块，实现安全，稳定，简便，快捷的远程接入

本方案拓扑图：

六、本方案产品配置

ProductConfiguration

Product

Description

Quantity

CISCO2811-HSEC/K9

2811Bundlew/AIM-VPN/SSL-2,AdvIPServ,10SSLlic,128F/512D

1

CAB-ACA

ACPowerCord（China/Australia）,C13,AS3112,2.5m

1

MEM2811-512U768D

512to768MBDDRDRAMfactoryupgradefortheCisco2811

1

MEM2800-128U256CF

128to256MBCFFactoryUpgradeforCisco2800Series

1

MEMUSB-256FT

256MBUSBFlashTokenforCisco1800/2800/3800series

1

FL-WEBVPN-25-K9

FeatureLicenseIOSSSLVPNUpTo25Users（Incremental）

1

CCP-CD

CiscoConfigProfessionalonCD,CCP-ExpressonRouterFlash

1

S28NAISK9-15001M

Cisco2800ADVANCEDIPSERVICES

1

PWR-2811-AC

Cisco2811ACpowersupply

1

AIM-VPN/SSL-2

DES/3DES/AES/SSLVPNEncryption/Compression

1

FL-WEBVPN-10-K9

FeatureLicenseIOSSSLVPNUpTo10Users（Incremental）

1

ACS-2811-STAN

Cisco2811StandardAccessoryKit

1

产品介绍

Cisco2800C系列集成多业务路由器

产品简介

思科系统公司®正在重新定义一流大型企业和中小企业路由，推出了一系列全新的集成多业务路由器，这些产品经过专门优化，能够以线速安全地交付并发数据、语音、视频和无线服务。

建立在思科20年的领先地位和创新技术基础之上，Cisco®2800C系列集成多业务路由器（参见图1）能够智能地将数据、安全、语音和无线服务嵌入一个永续的系统之中，从而实现快速、可扩展地交付关键业务应用。

Cisco2800C系列的独特集成系统架构提供了最高业务灵活性和投资保护。

图1.Cisco2800C系列

产品概述

Cisco2800C系列包括三个平台（参见图1）：

Cisco2801C、Cisco2811C和Cisco2821C。

Cisco2800C系列集成多业务路由器与前几代思科路由器相比，以相似价位提供了更高价值，性能提高了五倍，安全和语音性能提高了十倍，还提供有嵌入式服务选项，并且大大提高了插槽性能和密度，同时仍支持50多种现有的Cisco1700、Cisco2600和Cisco3700系列模块。

Cisco2800C系列能够以线速向多条T1/E1/xDSL连接提供多项高质量同时服务。

这些路由器提供有内嵌在主板语音数字信号处理器（DSP）插槽中的加密加速功能；入侵防御系统（IPS）和防火墙功能；能够满足广泛有线和无线连接要求的高密度接口；以及足够高的性能和插槽密度，能够支持未来网络扩展和高级应用。

安全的数据、语音和视频网络连接

安全性一直是所有网络的基本构成要素，因为安全功能需要内嵌在整个网络中，所以路由器在任何网络防御战略中都发挥着重要角色。

Cisco2800C系列具有先进、集成的端到端安全特性，能够交付融合的服务和应用。

借助CiscoIOS®软件高级安全特性集，Cisco2800可在一个安全解决方案集中提供一系列强大的通用安全特性，如CiscoIOS软件防火墙、入侵防御、IPSecVPN、安全套接字层（SSL）VPN、高级应用检测和控制、SecureShell（SSH）协议2.0版和简单网络管理协议（SNMPv3）等。

此外，通过将安全功能直接集成到路由器中，思科能够提供其他安全设备所不能提供的独特智能安全解决方案，如用于防病毒的网络准入控制（NAC）；在结合语音、视频和VPN时用于改进服务质量（QoS）的语音和视频VPN（V3PN）；以及用于支持可扩展性和可管理性更高的VPN网络的EasyVPN等。

此外，思科还提供大量安全加速硬件，如入侵防御网络模块和支持加密的高级集成模块（AIM）等，使得Cisco2800C系列成为业界最强大的分支机构适应性安全解决方案。

如图2所示，使用Cisco2800C系列产品，能够帮助客户以线速性能为并发、关键任务数据、语音和视频应用提供集成的端到端安全性。

融合IP通信

如图2所示，Cisco2800C系列能够满足中小企业和大型企业分支机构的IP通信需求，同时在单一路由平台中提供业界领先的安全性。

借助Cisco2800C系列，客户能够在一个平台上为其中小企业分支机构安全地部署数据、语音和IP电话，帮助他们简化运营和降低网络成本。

无线服务

这些路由器上的Cisco2800C系列3G无线选项提供了一款经济高效、易于部署、安全可靠的备份解决方案。

因为数据传输速率接近T1速度，3G无线能够在DSL和ISDN等有线服务不可用或部署起来过于昂贵的地点，用于主用广域网连接。

Cisco2800C系列集成多业务路由器支持最新3G标准（高速分组接入[HSPA]）。

集成服务

图2还表明，借助Cisco2800C系列独特的集成多业务架构，客户现在能够通过传统IP路由来安全地部署IP通信，将接口和模块插槽用于提供更多先进服务。

通过可选集成大量服务模块，Cisco2800C系列能够轻松将独立网络设备和组件集成到Cisco2800C系列机箱中。

其中许多模块，如思科入侵检测模块和广域应用服务模块等，拥有嵌入式处理器和硬盘，使它们能在很大程度上独立于路由器运行，且能通过单一管理界面对它们进行管理。

这一灵活性大大扩展了Cisco2800C系列除了传统路由之外的潜在应用范围，同时仍保持集成优势。

这些优势包括易管理性、更低的解决方案成本（投资开支和运营开支）以及更快的部署速度等。

通过安全网络连接提供融合IP通信

图2.通过安全网络连接提供融合IP通信

架构—特性和优势

Cisco2800C系列架构进行了专门设计，旨在满足大型企业分支机构和中小企业对于当今和未来应用不断提高的要求。

Cisco2800C系列提供了业界最广泛的连接选项和领先的可用性及可靠性特性。

此外，CiscoIOS软件支持全套传输协议、服务质量（QoS）工具，以及先进的安全和语音应用，可支持无线和有线部署。

特性

优势

模块化架构

∙提供了广泛的局域网和广域网选项。

网络接口可现场升级以支持未来技术。

∙提供多种插槽类型，能在未来以“随增长、随集成”的方式添加连接和服务。

∙Cisco2800支持90多种模块，包括WIC、VIC、网络模块、PVDM和AIM（注：

Cisco2801C路由器不支持网络模块）。

嵌入式安全硬件加速

∙每个Cisco2800C系列路由器都标配有嵌入式硬件加密加速器，当与可选CiscoIOS软件升级相结合时，可支持广域网链路安全和VPN服务。

集成双快速以太网或千兆以太网端口

∙Cisco2800C系列在Cisco2801C、Cisco2811C上提供了2个10/100端口，在Cisco2821C上提供了2个10/100/1000端口。

支持CiscoIOS软件

∙提供64MB闪存和256MB同步动态RAM（SDRAM）内存，以支持并发服务的部署

可选集成通用直流电源

∙在Cisco2811C和2821C路由器上有一个可选直流电源，能够扩展部署环境，如中央办公室和工业环境（注：

Cisco2801C不提供此电源）。

集成冗余电源（RPS）连接器

∙在Cisco2811C和2821C上有一个内置外部电源连接器，能够轻松添加可与其他思科产品共享的外部冗余电源，从而缩短网络停运时间，保护网络组件不会因电源故障而中断运行。

模块化—特性和优势

Cisco2800C系列在出色保护客户投资的情况下，提供了增强的模块化功能。

该模块化架构经过重新设计，旨在满足日益提高的带宽要求，支持时分多路复用（TDM）互联，同时支持大多数现有模块。

该路由器系列支持50多种可与其他思科路由器（如Cisco1700、1800、2600、3700和3800系列等）共享的模块。

用于Cisco2800C系列的接口能与其他思科路由器轻松互换，在网络升级方面提供最大投资保护。

此外，在网络中使用通用接口卡，可大大降低管理库存要求、实施大型网络部署，以及维护各种规模分支机构配置的复杂性。

思科群组加密传输VPN-无隧道VPN提供广域网加密和认证服务

产品概述

语音和视频等网络化应用加速了企业对即时互联分支机构、可确保服务质量（QoS）的广域网的需求。

这些应用特有的分布式性质促使企业日益需要大规模部署。

同时，企业广域网技术也迫使企业在提供基于QoS的分支机构互联与确保传输安全性之间做出选择。

随着网络安全风险的加剧以及法规遵从能力越来越重要，作为下一代广域网加密技术的思科®群组加密传输VPN可帮助您同时在网络智能和数据私密性方面做到尽善尽美。

通过推出群组加密传输技术，思科构建了无需隧道的新型虚拟专用网（VPN）。

无需部署点到点隧道，分布式的分支机构网络即能够大规模扩展，同时保持对于确保语音和视频质量至关重要的网络智能特性-如QoS、路由和组播等。

群组加密传输技术基于"可信"组员的概念，提供基于标准的全新IP安全（IPsec）模式。

可信的成员路由器使用通用的安全方法，与任何点到点的IPsec隧道无关。

基于群组加密传输技术的网络可运行在各类广域网环境中，包括IP和多协议标签交换（MPLS）。

使用这项加密技术的MPLSVPN具有高可扩展、可管理和经济高效性，能满足硬性的加密要求。

群组加密传输技术内置了灵活性，允许重视安全性的企业自己管理网络安全性，不使用电信运营商的广域网服务，或将加密服务外包给运营商。

群组加密传输技术能简化需要局部或全网状连接的大型L2或MPLS网络的安全保护流程。

主要特性和优势

群组加密传输技术构建在基于标准的技术之上，能够将路由和安全性轻松集成到网络阵列中。

企业可通过IFTF标准'群组解释域（GDOI）'来管理安全的组员。

简化安全策略的分发工作

GDOI使用户无需配置隧道终端，由一个密钥服务器向所有已注册并经过认证的路由器成员分发密钥和策略（图1）。

通过从中央位置分发策略并与经过认证的组员共享相同的群组安全信息，企业能大幅度简化密钥的分发和管理工作。

IP路由保留

基于群组加密传输技术的安全模式使用现有的路由基础设施，而不是使用传统的IPsec覆盖法。

数据包继续使用其原始的源和目的地IP地址（图2）。

通过在IPsec数据包中保留原始的IP报头，群组加密传输技术允许企业使用现有的L3路由信息，从而能够解决组播复制的低效问题并提高网络性能。

图2.IPsec与群组加密传输技术之间的IP路由比较

群组加密传输技术还允许所有站点之间开展不间断的直接通信，无需穿越中央站点，从而确保语音、视频和其他延迟敏感型流程的低延迟和低抖动。

此外，群组加密传输技术避免了IPsec加密网络中常见的广播流量复制问题，从而减轻了IPL3VPN上的组播流量负载。

表1总结了群组加密传输VPN的主要特性。

特性

说明

群组解释域

GDOI（RFC3547）是密钥管理协议，能在授权的组员路由器之间建立安全关联。

IP报头保留

保留IPsec数据包中原始的IP报头。

集中的密钥和策略管理

位于中央位置的密钥服务器，通常是头端路由器，负责向授权的组员路由器发布密钥和再加密的消息以及安全策略。

支持适用于所有组员的当地和全局策略，例如加密所有流量的策略"Permitanyany"。

密钥服务器的高可用性

密钥服务器负责分发密钥和策略消息，能在主备密钥服务器之间实现密钥和策略数据库同步，从而支持高可用性。

支持防重放功能

防重放支持能防御"中间人"攻击。

加密支持

数据加密标准（DES）、三重DES（3DES）、高级加密标准（AES）

硬件支持

IPsec加密的硬件加速功能有助于确保满足性能要求。

思科系统公司?

建议尽量使用IPsec的硬件加速功能。

思科集成多业务路由器、安装了VPN模块的Cisco7200系列路由器以及Cisco7301路由器都通过板载加速功能支持IPsec加速和群组加密传输特性。

关于思科路由器的加速支持，请见表2。

表2.GETVPN的思科硬件支持

特性

平台

思科VPN加速

GETVPN组员

Cisco850,870,1800系列,2800系列和3800系列

板载IPSec加速

Cisco1841,2800和3800系列

CiscoAIM-VPN-II-PLUS,AIM-VPN/SSL模块

Cisco7200系列和7301路由器

CiscoVPN加速模块2+

GETVPN密钥服务器

Cisco3800系列,Cisco7200系列和7301路由器

CiscoAIM-VPN/SSL模块（CiscoISR）;CiscoVPN加速模块2+（Cisco7200系列和7301路由器）

思科群组加密传输技术的优势

群组加密传输技术通过同时加密和认证组播与单播流量而扩展了GDOI，为大量应用提供了优势：

∙通过加密所有的广域网流量来提供数据安全性和传输认证，帮助满足安全法规和内部规定的要求

∙提供高度可扩展的网状网络并通过群组密钥管理消除了复杂的对等间密钥管理需求

∙对于MPLS网络，可维护全网状连接、自然的路由路径及QoS等网络智能

∙中央密钥服务器允许轻松管理组员关系

∙允许站点间开展不中断的直接通信，无需穿越中央站点，从而确保低延迟和低抖动

∙使用核心网络来复制组播流量-避免逐个对等位置地复制数据包，从而减少客户端设备（CPE）和运营商边缘加密设备的流量负载

应用

专用广域网环境

网络安全风险的加剧以及法规遵从要求的日益严格迫使企业急需广域网传输安全性。

无论是自己管理MPLS的企业，还是从电信运营商处购买MPLS或专用广域网服务的企业，都能自己部署群组加密传输技术，确保数据私密性，同时维护多个专用广域网中固有的任意到任意连接。

这种做法使企业不仅能够对自己和电信运营商进行合理的安全控制，而且还能满足安全法规的要求。

公共互联网环境

对于IPsecVPN穿过公共互联网的企业来说，群组加密传输技术能使用群组共享密钥，经济高效地提供高度可扩展的、可管理的网状网络，从而增强动态多点VPN（DMVPN）和基于GRE的站点间VPN。

群组加密传输技术通过这种方法简化了大规模网络部署中的密钥管理工作。

如需了解思科为无隧道和有隧道环境提供的IPSec站点间解决方案有何不同，请参见《思科站点间解决方案概览》文档。

管理

除同时为组员路由器和密钥服务器提供监控与排障功能外，思科群组加密传输技术还支持轻松安全的设备部署，以便在PKI部署中安全地配置设备。

产品未来将支持思科安全管理器。