移动VPN接入网关技术白皮书 V20.docx
《移动VPN接入网关技术白皮书 V20.docx》由会员分享,可在线阅读,更多相关《移动VPN接入网关技术白皮书 V20.docx(10页珍藏版)》请在冰豆网上搜索。
移动VPN接入网关技术白皮书V20
移动VPN接入网关
技术白皮书
V2.0
公安部第三研究所
二○○八年六月
图目录
表目录
1产品简介
1.1VPN技术发展历程
随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。
VPN是一种通过综合采用密码算法、PKI体系、IP包封装以及虚拟网卡等技术,在公共网络上建立虚拟安全专用网络的技术。
VPN对于需要通过网络办公和传输数据而没有能力或者必要建立专线的单位显得尤其有效。
经过多年发展,VPN技术已经非常成熟,并且出现了以IPSec和SSL两种技术架构的VPN。
IPSecVPN是最早出现的VPN技术,它通过在网络层重构IP包,建立虚拟的安全通道,从而实现安全的虚拟传输通道,其特点是效率高,缺点是存在部署复杂和NAT穿透的问题。
SSLVPN是近年来新兴的VPN技术,通过使用应用层的SSL协议来构建一个虚拟的安全通道,解决了IPSecVPN普遍存在的NAT问题。
SSLVPN分为两种模式,一种是基于浏览器的模式,一种是基于网络的模式。
基于浏览器模式的SSLVPN,部署简单,客户端基本不需要手动部署,但是只能支持浏览器应用,对于C/S模式的应用无能为力,受到了很大的限制。
基于网络模式的SSLVPN采用了本地代理技术,能够支持所有基于IP的C/S和B/S应用,并且不存在IPSecVPN普遍让用户烦恼的NAT问题,优势明显。
1.2各种VPN的性能对比
表11VPN性能对比表
序号
性能指标
IPSecVPN
浏览器
SSLVPN
网络方式SSLVPN
备注
1
点对结构连接
支持
支持
支持
2
机构对机构连接
支持
-
支持
3
NAT穿透性能
差
好
好
4
可维护性能
差
好
好
5
数字证书支持
支持
支持
支持
6
网络访问控制
支持
-
支持
7
用户管理
-
-
支持
8
用户分级管理
-
-
支持
9
加密传输效率
高
较低
较低
10
B/S应用
支持
支持
支持
11
C/S应用
支持
-
支持
12
UKey支持
支持
支持
支持
13
多网关地址池集中管理
-
-
支持
14
CA支持
可选
必须
可选
根据上述对比分析,移动VPN接入网关选用了基于网络方式的SSL技术,为用户提供了性价比和易用性最为优越的VPN产品。
对于用户来说,部署VPN,不仅仅需要考虑解决传输通道和传输安全问题,还需要解决用户身份认证、终端认证和用户权限管理等相关问题,VPN产品必须提供整体的解决方案,才能发挥VPN最大的作用,满足用户对网络传输安全的需求。
2产品功能
图21产品功能图
2.1虚拟安全通道
移动VPN接入网关支持在公共网络上(Internet或者其它网络)建立虚拟的安全通信通道,可以支持各种网络介入模式,如专线、ADSL、ISDN和PSTN等。
移动VPN接入网关基于SSL技术构建,不存在NAT问题,具有良好的网络适应性,可以支持所有基于IP的B/S和C/S应用。
移动VPN接入网关支持移动客户端接入,也支持VPN网关对网关的连接,从而适应个人移动办公和分机机构接入的需要。
对于分支机构,移动VPN接入网关支持专线备份功能,即在专线正常的情况下,VPN链路不启用,一旦专线发生故障,VPN网关自动启用VPN链路,从而确保两个子网的正常业务通信。
2.2内网拓扑支持
移动VPN接入网关支持各种架构的内网拓扑结构。
通过配置移动VPN接入网关网关和相关的路由器等网络设备,可以支持单网段,多网段等各种复杂的内网环境。
2.3用户身份认证
移动VPN接入网关支持对用户的身份认证,认证技术采用PKI和数字证书,用户身份标识采用硬件USB令牌的方式,安全强度高。
只有被授权可以远程接入VPN网关并且通过认证的用户才能接入内网。
2.4自动更新吊销列表
移动专用VPN支持HTTP方式自动获取CRL吊销列表。
VPN网关定期从管理员设定的Web地址下载CRL吊销列表并自动更新。
2.5日志管理
移动VPN接入网关提供了对Syslog日志服务器和Sql数据库服务器的支持。
VPN用户的上线,验证,离线等日志信息将被自动导入到管理员设定的Syslog和Sql服务器中。
2.6热备和负载均衡
移动VPN接入网关网关充分考虑到了电信级应用,具备7×24小时的不间断服务能力,提供了热备和负载均衡的功能。
2.7系统管理
配置管理:
支持设置参数备份与恢复,减少重复配置工作。
超时重登陆设置,保障系统操作安全。
用户管理:
支持针对用户的配置管理,便于终端接入安全策略的定制分配。
3产品特点
移动VPN接入网关对公安部的用户提供了特殊版本的支持,包括以下几点:
3.1自动识别USB令牌和证书
移动VPN接入网关客户端包含了公安部使用的系统USB令牌驱动文件,用户插入USB令牌后自动读取令牌内存储的公安部统一颁发的用户证书,弹出VPN登录窗口;拔出USB令牌后自动断开现有VPN连接
3.2自动网络拨号连接
移动VPN接入网关客户端读取本机所有的网络连接,用户设定特定网络连接后,客户端自动使用预设的用户名和密码进行拨号,成功后自动转入VPN连接。
3.3高度的安全性
VPN通过多种方式增强了网络的智能和安全性。
它可以在隧道起点,利用现有的企业认证服务器,提供分布用户的认证,还可以通过支持的多种安全和加密协议,增强传输过程的安全性。
SSL安全接入,采用1024位非对称密钥进行身份认证过程加密,保证安全。
支持用户名密码+USBKey、用户名密码+客户端PC硬件绑定、用户名密码+数字证书等多种双因子认证方式。
账号输错自动锁定,保障安全。
支持SM1算法。
3.4易用并可控
1.集中式授权,便于管理。
2.实时监控用户接入和系统运行状况、强制中断用户。
3.可将VPN设为默认网关,全面控制用户的上网行为。
4.应用透明访问,无需做任何配置,不改变用户使用习惯。
5.应用快捷方式,一键式操作,简单易用。
3.5兼容
6.支持多达五种移动接入方式,全面支持客户端到中心以及客户端与客户端之间的网络访问能力,涵盖不同用户的不同需求。
7.支持全网连接,适用于基于TCP和UDP协议的所有C/S和B/S应用,无缝透明的支持WebDav、文件共享、E-Mail、LotusNotes、Telnet服务、Web访问、FTP下载、远程终端、流媒体、数据库等现有企业应用。
8.支持多浏览器及多系统平台操作。
9.无需更改网络和防火墙设置,与现有网络结构无缝融合
4典型部署
图41结构图
以移动VPN接入网关为关键设备的基于IP的公安移动接入系统已通过国家密码管理局的安全性审查,并授予系统型号SQY45-B。
基于移动VPN接入网关的公安移动接入安全系统依托移动接入网络基础设施(GPRS/CDMA),以各类手机为移动终端设备,从网络的安全认证与接入、网络访问控制、安全传输到移动终端的接入控制、接入安全管理等各个方面进行综合安全防护,构成多层次、全方位的移动安全接入系统。
4.1安全功能
10.身份认证功能:
提供移动终端对移动用户的身份认证功能,提供移动终端和移动接入区之间的相互身份认证功能。
11.数据保密传输功能:
为各种公安移动应用系统提供公网路段(从移动终端到移动接入网关之间)的数据保密传输功能。
12.数据完整性保护功能:
可检测和发现数据在公网路段传输过程中是否被修改。
13.抵抗各种网络攻击的能力:
抵抗来自公网的IP层以上(包括应用层)的各种攻击。
14.访问日志:
系统具备全面的访问日志,以方便系统管理员对移动终端及用户的行为进行有效的审计和分析。
4.2产品规格
4.2.1产品型号及性能指标
表41产品型号及性能指标
型号
性能指标
SQY45-B-GASS10
☆隧道数:
>2500
☆并发用户数:
>500
☆用户数:
>2500
☆加密速度:
SM1加密算法,>40Mbps/秒
SQY45-B-GASS20
☆隧道数:
>6000
☆并发用户数:
>1200
☆用户数:
>6000
☆加密速度:
SM1加密算法,>130Mbps/秒
SQY45-B-GASS100
☆隧道数:
>10000
☆并发用户数:
>2000
☆用户数:
>10000
☆加密速度:
SM1加密算法,>300Mbps/秒
4.2.2功能列表
表42产品功能列表
序号
功能
1
支持NAT穿越
2
点对多点认证方式
3
支持静态路由
4
支持在专线连接出故障的情况下,VPN备份线路自动启用
5
可以为移动用户分配分配内网地址,并且可以针对不同的用户和不同的VPN网关分配不同的内网地址
6
支持移动用户分组,支持为不同用户组分配不通段地址(通过指定网关的方式)。
7
支持USB令牌和USB数字证书认证方式
8
支持第三方标准X.509V3证书
11
支持商密办sm1算法或者其他国际通用算法。
12
设备自身安全防护能力比较强,USBKey设有PIN码,具有自锁功能;
VPN网关和管理服务器可以放置在防火墙后面,分配内网IP地址即可,不需要完全暴露在Internet上
13
自动更新CRL吊销列表
14
支持syslog日志服务器
15
支持Sql日志服务器
5产品资质
5.1国家密码管理局产品型号
图51商用密码产品型号证书
5.2国家密码管理局定点生产资质
图52商用密码产品销售许可证