VPN平台技术设计与实现项目解决方案.docx
《VPN平台技术设计与实现项目解决方案.docx》由会员分享,可在线阅读,更多相关《VPN平台技术设计与实现项目解决方案.docx(78页珍藏版)》请在冰豆网上搜索。
VPN平台技术设计与实现项目解决方案
VPN技术方案设计解决方案
第1章需求概述
1.1背景介绍
随着现代信息技术的发展,越来越多的组织单位将日常办公平台逐渐迁移到网络平台、统一应用平台之上。
办公网络化、应用集中化的变革带来了资源全局统一调配、业务流程化、办公规范化的巨大优势。
2012年,约有20%的企业员工将自己的iPhone、iPad或Android设备带入工作场所,处理工作相关活动。
IT消费化带来了BYOD新风尚,实现了Anydevice的真正自由。
现在,BYOD已经不是一个趋势的概念,她正以不可阻挡之势改变人们的工作方式,成为办公手段的一个必要补充。
我们可以利用更多的时间碎片收发电邮、跟踪销售机会点,将企业的信息化管理推向前端,使客户的界面变得更扁平化,提升决策效率和响应速度。
然而,BYOD的开放性容易引入各种安全和管理风险,您的企业做好了应对BYOD挑战的准备吗?
目前,单位已经建立起一套统一的应用平台,包括(添加客户现有应用情况、网络现状)业务系统如MIS系统、生产管理系统、营销系统等,以及日常办公系统OA系统、财务系统、邮件系统等。
单位的信息网络是以信息中心机房为中心,所有应用系统服务器都安装在信息中心机房内的专属服务器区。
各分支单位采用专线或者公网线路与总部互联进行正常的办公。
为业务的进一步的快速发展奠定了坚实的基础。
自应用平台运行以来,内部办公人员通过网络可以迅速地获取信息,大大加快了整体的办公效率,信息化效益得到彰显。
1.2需求分析
随着业务的不断发展,IT运用与业务结合的不断深入,我们发现目前的网络状况已经不能很好的满足业务发展的需要,有如下问题需要解决:
网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。
为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。
因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
1.2.1安全性问题
结合客户的网络状况,我们看到有以下几个方面的问题亟需解决。
1、身份认证安全
现有采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。
尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。
2.终端访问安全
一旦远程终端通过VPN接入到了总部的网络,总部的安全域延伸到了远程终端。
虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备,但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低,而总部的防护设备又往往不能抵御VPN隧道中的威胁。
为了保证整体安全防御水平,就需要对接入的终端主机的安全水平采取一定的控制措施。
例如金融交易系统等包含重要数据的业务系统,当用户通过远程接入的方式访问到这些系统时,由于系统交互、缓存等原因往往会在终端主机上保存部分应用数据,容易导致重要数据人为或是无意的泄漏,存在重大的信息安全隐患。
如何让用户能方便快捷的远程办公的同时保障重要应用系统、核心数据的不外泄,是IT管理人员需要考虑的一个非常重要的方面。
3.权限划分安全
总部内网中有众多的应用系统,若是没有采用合理的访问权限控制机制,将重要服务器暴露在所有内网甚至外网用户面前,容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将难以估量。
所以,对于不同的应用系统需要对访问人员做好细致的访问权限控制,
4.应用访问审计安全
为了避免重要的信息系统的访问安全风险,做到有据可查,同时也为了了解应用系统的使用情况,需要对应用的访问采取必要的审计措施,了解何时何地何人访问了哪些应用系统。
5.业务数据迁移智能终端访问安全性
随着将业务系统迁移到BYOD终端,业务数据呈现于移动智能终端设备上,如何避免重要的业务数据随着智能终端丢失而造成泄密的风险,如何保障业务数据通过BYOD访问安全性,需要对业务系统迁移至智能终端访问做必要的安全措施。
1.2.2远程访问速度性问题
影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。
1.跨运营商访问问题
国内固网运营商为南电信北网通的格局,跨运营商访问时往往存在较为严重的丢包现象,一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。
尤其是对于遍布各地远程接入用户而言,线路的运营商环境也多种多样,需要寻求一种方式解决跨运营商高丢包导致的速度问题。
2.高丢包、高延时访问问题
无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢,严重影响了远程办公的效率。
如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率?
3.手持移动终端访问问题
许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公,但手持移动终端的受3G信号的制约,其访问速度往往不如有线网络。
对于手持移动终端使用的最多的是B/S架构的应用,但现在B/S架构往往是针对电脑进行设计的,一旦使用PDA、智能手机访问,往往出现页面变形、图像过大等现象,影响用户体验的同时,过大的页面冗余数据量也拖慢了用户的访问速度。
4.大量重复冗余数据量
应用系统的使用往往存在大量的冗余数据,如同样的页面、文件中的相同的元素、系统每次交互的相同数据,这些冗余数据量的传输占用了大量的带宽资源,拖慢应用响应速度,影响了工作效率。
5.微软RDP协议本身缺陷
随着BYOD的流行,越来越多的企业为了将业务迁移至智能终,采用远程应用发布的形式,其核心是基于微软RDP远程桌面协议,而RDP桌面协议本身固有的协议,以及对带宽大小的要求,导致智能终端通过3G进行移动办公时访问速度没有保障,如何避免采用远程应用发布时的RDP协议访问速度问题成为企业3A办公的瓶颈,也成为企业需要重点考虑的问题。
1.2.3使用者终端易用性问题
在考虑到安全接入方式的时候,尤其需要考虑到终端易用性问题。
需要接入到总部应用系统访问的人员普遍的IT水平都不高,复杂的软件端安装、参数调配都是非常不合适的。
同时,接入应用系统的核心为办公,就需要提供一种最便利、最简单的接入方式,最大的方便接入人员的办公。
在一体化办公平台有往往需要使用到多个应用系统进行办公,远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公,效率低下的同时,还容易混淆。
企业业务系统迁移至智能终端时,企业为智能终端系统Android、iOS开发业务系统APP,能否将VPNSDK包直接嵌入业务系统中,避免拨号连接VPN,再次启动APP,提高用户办公效率。
1.2.4业务稳定性问题
远程发布的业务系统将直接关系到组织的业务能否正常运营、工作能否正常开展的问题,需要保证高可靠、高可用的稳定性。
而VPN作为发布业务系统的基础平台,同样需要保证高稳定的运行以支撑整个业务的持续稳定。
1.2.5整网设备管理便利性问题
需要接入到总部的部分远程分支没有配备专门的IT管理人员,在构建VPN网络时需要考虑到客户端维护成本问题,若是在分支端采用设备架设的方式则必须派专员去对设备进行维护,造成管理成本的上升。
组织的规模较为庞大,处于地域、组织架构等管理需要,面对不同的用户组需要由不同的管理员进行管理,保障信息安全的同时亦可提高管理效率。
第2章VPN技术介绍
VPN(VirtualPrivateNetwork)是虚拟专用网的简称,虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术,实现低成本、高安全地解决数据传输及应用发布平台。
VPN架构中采用了多种安全机制,如身份认证技术(Authentication)、加解密技术(Encryption)、密钥管理技术、隧道技术(Tunneling)等。
通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
SSLVPN是VPN的主流技术之一,即指采用SSL(SecuritySocketLayer)协议来实现远程接入的一种新型VPN技术。
SSL协议是基于WEB应用的安全协议,它包括:
服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。
对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。
正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。
相对于IPSecVPN等其他传统的VPN技术而言,SSLVPN具有部署简单,无客户端,维护成本低,网络适应强等特点,非常适用于远程移动办公、无专门管理人员的分支接入等场景。
而从OSI七层模型来看,SSLVPN是基于第七层应用层的VPN技术,相对于传统的IPSecVPN(三层网络层)、L2TP(二层数据链路层)、PPTP(二层数据链路层)等VPN连接方式,SSLVPN在对应用权限的划分上可做得更为细致,数据传递机制也不是简单的封装转发,从整体业务发布安全性的角度上来说安全系数更高。
同时,基于SSLVPN部署的灵活性、使用的灵活性等特质,从安全防护方面,SSLVPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案,为用户提供多方面价值。
高性价比组网、安全业务发布、便利的终端使用、更多的价值体现,综合这几方面优势,我们推荐采用SSLVPN的方式构建整个综合组网方案。
第3章方案设计原则
3.1安全性原则
VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是组织机构的私密信息,不允许为无关人员所知。
同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。
综合考虑用户的具体应用和需求,VPN网络的安全性有五层含义:
一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性,六大安全全面保障VPN的安全性。
3.2高速性原则
远程办公最大的制约因素就是速度方面的问题,磕磕绊绊的访问速度大大拖滞了员工的办公效率。
网络速度低下的原因可分为以下几点:
跨运营商访问、传输数据量冗余、高丢包高延时的恶劣网络环境、手持移动终端的无线访问。
而从优化的层次来看,可分为线路、传输协议、数据、应用四个层次。
所以在设计接入方案的时候就需要从这四个层次入手解决远程办公速度低下的问题。
3.3易用性原则
对于终端用户而言,如何保证VPN使用的简单易用是非常重要的一个方面。
终端用户普遍IT水平不高,其在使用VPN最核心的需求是为了接入到总部内网进行远程办公,在其接入和办公的过程中就需要最大程度的简化其复杂度,避免繁杂的客户端配置及操作,最大程度的提高用户的办公效率,从另一方面也大大降低了网络管理人员对整个VPN客户端维护工作量。
3.4稳定性原则
VPN支撑着整个组织的应用远程发布,分支机构及移动办公人员都需要依靠VPN网络所承载的办公平台进行日常的办公和事物的紧急处理。
一旦VPN网络出现故障,将直接影响到其上所有人员的正常办公,严重的甚至将导致业务的中断酿成重大的网络事故,造成的损失将难以估量。
所以,对于VPN这张基础承载网络如何保持长时间高稳定的运行显得尤为的重要。
在方案设计中,将充分的考虑到整个网络、业务的稳定性问题。
3.5合理、便利的管理
从IT部门工作的角度出发,除了需要保证应用的发布安全、用户的使用方便快捷、网络的稳定性之外,还需要考虑到网络管理的合理化,保证网络管理的有序性、安全性、便利性,提高管理效率,降低管理风险。
第4章整体方案设计
4.1深信服SSLVPN解决方案
结合实际网络及应用情况,我们推荐采用深信服SSLVPN设备进行全网组网/移动办公,
方案说明:
在核心交换上以单臂方式部署一台深信服VPN-2050SSLVPN,内网服务器区应用系统的安全发布;与此同时内网部署终端应用服务器,通过深信服EasyConnect将需要通过智能终端访问的业务发布出去。
应用平台移动办公
采用SSLVPN对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。
用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSLVPN登录及安全隧道的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。
而SSL协议是目前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用SSL协议进行数据传输保护,对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密,安全性有保障。
✧应用系统安全加固
在系统安全加固方面,采用登录SSLVPN身份验证、权限划分、登录应用身份验证的主线进行保障。
SSLVPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。
在用户接入SSLVPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVPN登录账号和应用系统账号。
用户只可采用指定的账号访问应用系统。
由于登录SSLVPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
✧专网内隧道逻辑隔离,构建统一应用平台
对于已经建立专线组网的分支,将应用系统以SSLVPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。
根据不同部门、不同应用进行对应权限的开放/关闭,但分支用户登录SSLVPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。
同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。
由于所有访问总部服务器区的数据都将经由SSLVPN进行转发,对于用户权限外的应用,SSLVPN将自动阻断其连接,防止恶意盗链。
✧服务器区隔离保护
将深信服SSLVPN设备以单臂方式部署,通过配置使数据流经由SSLVPN后走向内网服务器区,对办公网与服务器区这两部不同安全级别的区域进行隔离。
由于SSLVPN设备对外只开放443端口,从而可屏蔽掉其他端口的攻击。
SSLVPN的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。
SSLVPN在进行用户对服务器区发起的访问时,采用SSLVPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。
✧远程应用发布EasyConnect
深信服EasyConnect远程应用发布解决方案通过SSLVPN和企业内网部署的终端服务器,将企业应用程序界面用图形的方式呈现于智能终端之上。
在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问,解决企业用户通过iPhone、iPad、Android等智能终端访问的问题,实现业务数据快速迁移,同时保障业务系统数据不落地,存储在终端服务器,同时根据本地用户习惯,融入本地输入法、打印机、本地签名等提升用户使用便捷度。
✧EasyApp
对于已具备APP客户端的业务系统,如客户自主开发集成VPN功能,需要非常大的工作量。
深信服可以为具备Socket开发能力的第三方应用开发商提供软件开发工具包VPNSDK包,极大地降低开发商的开发工作量。
客户可根据需要选择合适的精简集成SDK的方式,就可使得最终用户具备多种身份认证和数据SSL传输加密的功能,从而增加业务系统的安全性。
4.2产品选型
结合网络实际情况及需求,本方案推荐采用VPN-2050一体化网关构建远程办公一体化平台。
深信服SSLVPN一体化网关是国内第一款SSL/IPSec一体化设备,隶属于SSLVPN产品系列。
VPN-2050系列荣膺了众多奖项。
据国际权威调查分析机构Frost&Sullivan针对2012年SSLVPN中国市场调查报告显示,深信服SSLVPN2012年以40.3%的市场份额,连续多年领导国内SSLVPN市场。
第5章方案技术特点
5.1更安全的SSLVPN
SANGFORSSLVPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系,由头至尾保证整个SSLVPN接入访问的安全性。
5.1.1身份认证安全
5.1.1.1多种方式混合认证
许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。
使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所造成的威胁将是不可估量的。
SANGFORSSLVPN支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持LDAP/AD、Radius、CA等第三方认证,支持USBKEY、硬件特征码、短信认证(短信猫和短信网关)、动态令牌卡等加强认证方式。
单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服创新性提出混合认证,针对以上认证方式可以进行多因素的“与”、“或”组合认证。
“与”组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入SSLVPN系统。
“或”组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSLVPN系统中。
通过多因素组合认证大大加强认证安全的强度,确保接入SSLVPN的用户的身份的确认性。
5.1.1.2USBKEY认证
SANGFORSSLVPN支持基于数字证书的USBKEY认证,将CA中心生成的数字证书颁发给USBKEY,并为该USBKEY设置PIN码。
通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。
同时,SANGFORSSLVPN支持无驱USBKEY认证,客户端无需安装驱动即可使用USBKEY进行登录认证,大大提高了客户端使用的易用性。
USBDKEY可同时支持SSLVPN、IPSecVPN移动客户端两套系统,安全方便。
5.1.1.3动态令牌认证
动态令牌认证是技术领先的一种双因素身份认证体系,内嵌特殊运算芯片,以事件同步的技术手段,通过符合国际安全认可的OATH动态口令演算标准,使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。
由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证。
5.1.1.4短信认证
USBKEY、动态令牌等认证方式能非常好的保证认证的安全性,但却需要随身携带USBKEY、动态令牌这些小硬件,对于经常需要出差办公的人员来说难免有些不方便。
短信认证很好的解决了这个问题,此认证系统分为手机终端和短信服务器两部分,手机往往是随身携带的,相对于USBKEY、动态令牌随身携带的方式更易让用户接受。
当用户在进行SSLVPN登录认证时,短信服务器将为该用户自动生成一个6位的数字随机认证码,并以短信的方式发送到用户所绑定手机号码的手持终端上,用户即可在认证界面上输入该6位认证码通过短信认证。
短信认证很好的解决的多因素认证安全性与使用便捷性的问题。
对于短信服务器端,SANGFORSSLVPN支持短信猫及短信网关两种方式。
短信猫为小硬件设备,将短信猫连入设备的CONSOLE口并进行相应配置即可实现短信认证功能。
若机房内电磁屏蔽效果较好,为了保证使用短信猫发送随机认证码短信的效果,也可在内网中选择一台电脑安装短信认证软件,并将短信猫接入电脑的COM口,同样可实现短信认证的效果。
如果您的网络中已经部署了短信网关(移动和联通短信网关),SANGFORSSLVPN可以和您的短信网关结合,实现短信认证。
当网络因为延时、网络运营商等问题导致短信未能及时发出,将可能影响到用户的SSLVPN登录,导致业务无法正常使用。
针对这样的情况,SANGFORSSLVPN为您提供短信重发功能,让您能够方便快捷使用短信认证。
用户短信认证界面
5.1.1.5硬件绑定(HardCA)
对于仅使用用户名/密码认证的用户,为了保证用户登录SSLVPN限定在某一台或是某几台终端上,因用户帐号意外泄漏、帐号盗用导致数据的泄露问题,可对登录终端进行绑定。
通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现,但是对于SSLVPN用户,采用这样的终端访问方式是不合适的。
移动用户需要走出局域网远程访问,IP地址经常是不固定的。
而标识网卡的MAC地址也能进行手工的改动,导致终端存在被仿冒的威胁。
SANGFORSSLVPN打破常规,通过终端的硬件特征码绑定实现硬件终端的唯一标识。
通过获取客户端的不可改变的硬件信息,如CPU、硬盘、网卡等信息生成数字证书,并对证书和用户进行绑定实现用户身份的唯一性控制。
当用户登录SSLVPN,客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送到SANGFORSSLVPN设备。
需要进行绑定的账号用户工作平台若是在不同的客户端上,我们可按不同用户、用户组实际需要设置不同的特征码的个数(1-100个硬件特征码),保证终端绑定安全的基础上实现人性化的管理。
硬件特征码配置界面
同时,SANGFORSSLVPN支持硬件特征码的自动审批的设置。
用户在提交了硬件特征码后,若是该用户名下没有提交过硬件特征码,或该终端与该用户名下的硬件特征库匹配不上且该用户的硬件特征码个数没有达到上限,SSLVPN系统自动将通过该特征码的审批,用户端界面直接跳转到资源服务页面,减轻管理员反复审批特征码的工作。
启用了硬件特征码认证的用户在通过SSLVPN登录身份认证时,SSLVPN将自动获取终端CPU、硬盘、网卡的硬件信息并生成特征码提交到SSLVPN设备进行硬件特征码认证,若该特征码与该用户名下的特征码匹配不上,即采用非法终端登录SSLVPN,系统将判断该用户为非法登录,拒绝通过认证。
通过硬件特征码认证,很好的保证了用户登录SSLVPN终端的唯一性,一方面可在无需追加投资的基础上实现双因素认证,避免单一用户名密码遭窃后造成的越权访问。
另一方面,通过硬件特征码的唯一确定性,确保了用户登录SSLVPN的范围的圈定,尤其对于某些重要的应用系统可限定仅使用个别安全级别高的终端登录,保证系统、数据安全性。
5.1.1.6CA认证
SANGFORSSLVPN安全网关内置了CA中心,完美支持PKI体系。
通过SSLVPN内置CA中心,企业或者事业单位可自建CA,避免单独购买CA的额外投资,减少投入成本。
同时,SANGFORSSLVPN安全网关也可无缝支持已有的第三方CA认证。
在数字证书使用的过程中必然涉及到数字证书的过期等问题,为了更好的保持与证书状态信息的同步,SANGFORSSLVPN支持OCSP服务器,实时保持与OCSP服务器的同步,让所有证书的状态信息都能够及时得到反馈,保证CA证书认证的安全性。
5.1.1.7LDAP认证、Radius认证
LDAP
组织已经采用LDAP进行用户的管理,SANGFORSSLVPN可与LDAP进行联动,只需在SSLVPN设备中根据LDAP中的OU组结构建立用户组结构,并
升级会员 