VPN接入解决方案.docx

1、VPN接入解决方案第一章 SSL VPN接入解决方案根据*移动用户接入实际情况，我们采用华盾SSL VPN系列产品提供整体网络安全互联解决方案，解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。一.1 VPN解决方案SSL VPN配置方案如下描述：1在总部Internet出口处安装华盾VPN280SSL安全网关，其接入方式为采用路由模式。另外，还可以在SSL VPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能，根据实际需要设置各个功能模块的具体安全防护策略，以确保中心本地网络免受各种外来威胁。华盾VPN280SSL网关最大可支持2000并发用户，完全满

2、足目前应用及以后扩展的需求；2在网关上根据不同用户的划分可以对用户进行角色和组的权限设定，这种设定可以细致的划分每一个用户的访问权限，即可指定某用户在指定时间访问指定服务器的指定端口，从而保证了内网服务器的安全性；同时，为了保护内网服务器的安全，管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器，这样进一步对内网进行防护；3移动用户要访问内网服务器时，仅需打开浏览器，输入公开的服务器地址及自己的用户名口令（或者直接用证书的形式访问，免除输入用户名口令的麻烦），即可访问授权的内部资源，由于各种访问资源的权限已经由管理员设定好，用户可以直接点击资源连接进行访问； 4对于管理员的操作及

3、用户的访问，华盾VPN网关提供详细的日志查询功能（包括管理员、用户及服务器），可以很容易的看到各种状态。还可以在线管理（禁用，踢下线）用户，日志为标准Syslog格式，可导入其他日志查看器查看。5使用华盾SSL VPN实现的远程接入如下图所示：图4.1 SSL VPN网络结构通过部署华盾SSL VPN设备组建的企业移动办公网络，网络结构简单，维护成本低，用户只需使用浏览器就可以做到安全的连接网络，并能针对不同的用户，给予不同的应用权限。因此通过华盾SSL VPN很好的解决了“随时随地”的网络资源安全共享的需求。一.2 华盾IPSec/SSL VPN一体化安全网关主要功能功能类别描 述SSL V

4、PN提供远程安全接入功能，通过通用浏览器登录，即可访问内部网络资源无需安装和配置客户端支持SSL 2.0/3.0/TLS1.0协议，支持多种标准算法选择支持Web转发、端口转发、全网接入、Web文件共享支持“用户名口令”、“用户名口令图形认证码”认证支持数字证书UKEY+口令多因子认证支持X.509 数字证书认证，内置CA中心，支持第三方CA支持帐户启用和禁止管理，支持公共帐户登录支持本地数据库认证（Localdb）支持基于RADIUS/AD/LDAP/SecureID等协议的外部服务器认证支持分组授权、支持独立用户授权和授权继承支持基于URL、访问路径、访问文件、访问动作的细粒度授权支持基于

5、时间的访问授权方式支持本地授权、支持外部组映射授权、支持证书用户授权支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用支持基于IP协议的各种B/S、C/S应用，如WEB、EMAIL，FTP，ERP，CRM，Oracle，OA，文件共享，VOIP及视频点播等支持端点安全策略，接入客户端能够清除cookie、缓存、历史记录等访问痕迹，支持隧道内的内容过滤和病毒过滤支持拔KEY隧道自动中断支持用户超时自动退出，超时时间可以设置实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息，管理员可强制中断在线用户的隧道连接支持本地日志和外部日志服务

6、器，详细记录用户登录认证过程、各种认证授权错误、内网资源访问情况、访问流量等信息防火墙基于状态检测的动态包过滤防火墙，支持完全内容检测CCI支持基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间、用户、角色的访问控制策略支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、TFTP等协议支持报文合法性检查支持双向NAT支持动态地址转换和静态地址转换支持多对一、一对多和一对一等多种方式的地址转换支持虚拟防火墙，支持虚拟服务器功能支持IP/MAC绑定，支持IP/MAC地址自动探测IPSec VPN符合国家密码管理政策，支持国家密码管理

7、机构批准的高强度专用算法，支持国际标准加密算法全面支持IPSec协议标准支持标准PKI体系结构，支持预共享密钥、数字证书的身份认证，支持X.509标准证书提供完善的VPN网络安全管理中心（SMC），支持集中认证、策略分发、权限管理、统一监控和日志报警等功能支持最新NAT穿越（NATT）协议，支持双向NAT穿越支持隧道数据压缩支持星型、树型和网状VPN组网方式支持全动态IP地址的VPN组网方案支持动态域名解析（DDNS），提供VPN专用DDNS服务器支持PPTP、L2TP和GRE隧道协议集成华盾VPN动态隧道技术，与华盾VPN网关、安全管理中心SMC、VPN客户端全面兼容灵活易用的VPN客户端，

8、支持硬件特征码绑定和认证，提供6个不同安全等级的版本，可根据不同安全需求限定客户端的版本支持移动用户的访问授权控制内容过滤采用完全内容检测（Complete Content Inspection）技术支持IPSEC/SSL VPN隧道内的内容过滤支持基于流、数据包、透明代理的过滤方式支持对HTTP、SMTP、POP3、FTP、IMAP、RSH等协议的深度内容过滤，可以根据需要过滤对敏感内容的访问支持URL过滤，可以根据需要过滤对敏感页面的访问支持对移动代码如Java Applet、Active-X、VBScript、JScript、Java Script的过滤支持对邮件的收发地址以及附件的文件

9、名、文件类型过滤支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER和版本信息。支持MSN，QQ，Skype、YahooMSG、网易泡泡、新浪UC、阿里旺旺等Instant Messenger通信，并可对这些应用进行限制可对BT，eMule，eDonkey、PPLive、PPStream、迅雷、超级旋风等P2P应用实现禁止、带宽控制或连接数限制，保障正常业务访问的带宽。入侵防御可防御Synflood、Icmpflood、Udpflood、Portscan、ipsweep

10、、land 、Smurf、Ping of Death、winnuke 、tcp_scan、ip_option、teardrop、targa3、ipspoof等攻击支持抗CC攻击，可通过设置端口和阀值阻断CC攻击可与国内主流的IDS设备联动，以提高入侵检测效率可根据数据包的来源和特征进行阻断设置SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤当有攻击事件发生时，可记录日志并开启报警功能流量管理根据IP、协议、网络接口、时间定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理支持8级优先级控制支持VPN隧道内的带宽管理QOS高可用性支持双机热备（Active-Stan

11、dby模式）支持负载均衡（Active-Active模式）支持系统故障切换支持服务器的负载均衡，提供轮询、加权轮叫、最少连接、加权最少连接等多种负载均衡方式供用户选择支持生成树协议，可实现链路负载均衡支持链路备份功能支持双系统引导，当主系统损坏时，可以启用备用系统，不影响设备的正常使用支持Watchdog功能用户认证支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式支持使用第三方认证服务器，如RADIUS、TACACS/TACACS+、LDAP、AD域认证等安全认证方式，支持OCSP在线证书认证支持Session认证、HTTP会话认

12、证 支持认证保活功能可将认证用户信息加密存放在本地数据库网络功能支持路由、透明、混合模式支持静态路由、动态路由支持基于源/目的地址、接口、Metric的策略路由支持单臂路由，可以单臂模式接入网络，并提供路由转发支持Vlan路由，能在不同的VLAN虚接口间实现路由支持RIP、OSPF等路由协议支持IGMP组播协议支持IGMP SNOOPING可有效地实现视频会议等多媒体应用支持与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由支持802.1Q，能进行802.1Q的封装和解封支持ISL，能进行ISL的封装和解封在同一个Vlan内能进行二层交换支持802.1D生成树协议，包括P

13、VST及CST等协议支持ARP代理、ARP学习可设置静态ARP支持对非IP 协议IPX/NetBEUI 的传输与控制支持DHCP Client、DHCP Relay、DHCP Server支持以太网、光纤、ADSL、CDMA、GPRS等多种接入方式支持多线路捆绑和负载均衡安全管理支持Welf、Syslog等多种日志格式的输出支持通过第三方软件来查看日志支持日志分级支持对接收到的日志进行缓冲存储通过安全审计系统，可获得更详尽的日志分析、审计和报表功能,并能提供员工上网行为管理功能支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监

14、测可根据配置文件进行错误恢复报警事件：内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类报警方式：采用邮件、NETBIOS、声音、SNMP、控制台等多种报警方式，报警方式可以组合使用系统管理支持WEBUI管理、命令行配置支持本地配置、远程配置支持基于SSH、SSL的安全配置支持配置命令分级保护支持CLI中英文命令行CLI命令行支持命令超时、历史命令、命令补齐、错误提示、中英文命令帮助等功能支持SNMP 的v1 、v2 、v2c 、v3 版本 与当前通用的网络管理平台兼容，如HP Openview 等支持远程维护和系统升级、支持TFTP、F

15、TP、WEBUI方式升级设备提供强大的报文调试功能，可帮助管理员发现、调试和解决问题可以进行配置文件和认证数据库的备份、下载、删除、恢复和上载支持网络时钟协议NTP，可自动根据NTP服务器时钟调整本机时间一.3 华盾VPN280SSL产品介绍1U机架式；标配4个百兆电口，2个扩展插槽，最大支持8个电口；SSL并发用户：标配50个，最大可扩展至2000个；最大IPSEC并发隧道数：500条；明文转发速率：单口100Mbps；最大并发连接数：100万；VPN加密速度：80Mbps一.4 华盾SSL VPN网关产品特点一.4.1 多种VPN技术有机融合目前主流的各种VPN技术的优缺点，这些技术有其不

16、同的适用范围。在实际的用户网络中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和安全性都会面临新的挑战。华盾SSL VPN网关是东方华盾在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在华盾安全操作系统平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。一.4.2 安全接入与安全防护无缝结合VPN网关作为网络边界设备，除了

17、完成远端网络或移动用户的远程接入功能外，对用户网络边界安全也是至关重要的。华盾SSL VPN网关构建在华盾安全操作系统平台基础上，集成了业内领先的防火墙功能模块，能够为用户的VPN网络提供高等级的边界安全防护。华盾SSL VPN网关支持完善的基于内容检测的网络访问控制。内容检测技术发展至今，大致经历了三个阶段，从早期的状态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而

18、CCI 则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。华盾SSL VPN网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP、UDP端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。华盾SSL VPN网关提供了强大的网络应用控制功能。用户可以轻

19、松的针对一些典型网络应用，如BT、MSN、QQ、Edonkey、Skype 等实行灵活的访问控制策略，如禁止、限时、乃至流量控制。防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。华盾SSL VPN网关还拥有强大的地址转换能力。同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式，可以满足绝大多数网络环境的需求。华盾SSL VPN网关集成了高级的Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括Syn Flood、Smurf、Targ

20、a3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP 碎片、大包ICMP 攻击、不明协议攻击、IP 欺骗、IP security options、IP source route、IP record route 、IP bad options、IP 碎片、端口扫描等几十种攻击。一.4.3 多种SSL VPN技术结合实现

21、应用系统全覆盖目前SSL VPN接入技术大致分为三类：WEB转发（WEB FORWARD），端口转发（PORT FORWARD 或者称为APP PROXY）和全网接入（NETWORK ACCESS或者称为IP TUNNEL）。这三种技术的技术特点和适用范围各不相同，在华盾SSL VPN网关中对这三种SSL VPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。华盾SSL VPN网关通过在WEB转发模式中应用独创

22、的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好，但其要求在客户端安装一个ActiveX控件。华盾SSL VPN网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系

23、统，其同样要求在客户端系统上安装一个ActiveX的控件。华盾SSL VPN网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道（SPLIT TUNNEL即可以同时访问VPN和因特网）或完全隧道（FULL TUNNEL即只能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了网络的整体安全性。一.4.4 完善的身份认证技术确保内部资源安全VPN的接入用户都具有远程访问部分企业内部资源的权限，而这些移动用户的接入地点是非常分散的，如果在接入时没有对用户身份进行严格的认证和授权，将会给企业内网带来很严重的安全因患。华盾SSL VPN网关为

24、通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信，管理员可以配置简单的“用户名口令”认证方式，从而达到简单易用的效果；为了防止线路窃听和重播攻击，管理员可以采用“用户名口令图形认证码”的方式对移动用户进行身份认证；对于需要强身份认证机制的用户，管理员可以采用“数字证书”的认证方式，通过强度非常高的密码运算来保证用户的用户的身份标识不会受到“字典攻击”等暴力攻击的威胁；当然，还可以通过“数字证书UKEY口令”的双因子认证方式来确保移动用户的证书不会被盗用，来进一步加强认证的安全性。华盾SSL VPN网关除能够在本地对用户进行身份认证，还支持通过RADIUS/

25、 TARCAS/ LDAP等标准协议与外部专用的用户身份认证管理系统进行互动，从而能够实现动态口令认证、域认证等高级的认证方式。这既可以与用户的其他应用系统和安全产品共用用户认证数据库，实现用户集中管理和认证，又可以充分利用用户已有的资源，避免管理员大量重复的体力劳动。为了便于管理员的管理配置，同时也方便企业的合作伙伴能够及时方便地与其进行信息共享，有时需要建立一个级别较低共用帐户，满足众多移动用户的快速接入。华盾SSL VPN网关支持配置多个不同权限的公共帐户，并且能够实时监控每个采用公共帐户登录的用户的行为，对于存在异常访问行为的用户可以强制其下线，而不会影响其他使用该帐户的合法用户的正常

26、访问。一.4.5 多级用户授权机制提供灵活的用户授权组合授权是对移动用户通过身份认证接入网关后，允许访问的内网资源权限进行控制，是保护内网资源安全的主要技术手段。管理员对用户授权的需求往往是复杂多样的，最简单直接的需求是能够根据用户的身份划分多个组，每个组享有不同的资源访问权限；有时某个用户可能具有多重身份，分属于多个用户组，享有多个组的访问权限；有时在同一个用户组下面，可能某一个或某几个用户在具备用户组访问权限的同时，还有部分特权能够访问更高安全级别的资源，等等。华盾SSL VPN网关采用多级授权机制和用户授权继承的策略，完全满足上述的各种用户授权需求。在用户授权的粒度上，华盾SSL VPN

27、网关支持基于URL/目录/文件等访问内容的控制策略，支持用户行为动作的访问控制策略，支持基于访问时间的控制策略，能够充分满足管理员的各种用户授权需求。一.4.6 完善的PKI体系提高用户网络的安全等级随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。华盾SSL VPN网关全面支持标准PKI体系结构，既能够通过内置的CA模块独立为移动用户签发数字证书，又能够通过导入CA根证书CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体PKI功能

28、包括：􀂾支持标准X509.V3格式数字证书；􀂾支持DER、PEM、PKCS12等多种证书编码格式；􀂾支持通过内置CA模块为用户签发标准数字证书；􀂾支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证；􀂾支持通过OCSP/LDAP等标准协议向第三方CA进行在线证书认证；􀂾支持CRL列表文件的导入和通过HTTP自动下载；东方华盾与国内主要CA厂商有着长期的合作，华盾SSL VPN网关与这些厂商的CA系统均能够无缝集成。一.4.7 卓越的网络及应用环境适应能力华盾VPN网关经过多

29、年的技术积累和庞大的用户群为其产品提供了卓越的网络及应用环境适应能力。其支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、H.323、MMS等等，适用网络的范围非常广泛，充分保证了用户的网络的可用性。同时，针对国内用户动态IP地址较多的现状，华盾VPN网关整合了东方华盾独立维护的EZVPN动态域名系统，为华盾VPN用户提供专用的动态地址域名解析服务，从而很好地解决了动态地址的VPN接入问题。一.5 本解决方案的主要特点设计全面：全面的安全防护解决方案，帮助用户打造高效率和高安全性的网络平台； 功能强大：同时提供防火墙、VPN、入侵防御、内容过滤、流量管理及安全

30、审计等功能，从而构建主动防御、多层次防御的企业安全保障体系，从容应对各种外来威胁； 整体协防：各防御模块之间相互协同工作，全面提升系统的整体安全水平，缔造更可信的网络；健壮性：SSL VPN设备基于专用安全操作系统，具有良好的自身安全性；透明性：现有业务系统和网络结构无须做任何调整或只需做少量改动；适应性：能很好适应系统网络结构的调整和发展；互通性：SSL VPN内置的Ipsec功能可与采用国际标准Ipsec的设备之间互通互联；高性能：开启各项安全功能后，华盾SSL VPN网关的处理性能和数据转发速率仍能够保持高水准，完全能够满足互联网出口的接入速率，不会成为传输瓶颈；便于实施：安装、维护简单快速，可随时进行而不影响正常业务；低成本：一机多能，大大降低了安全产品的采购、部署和运营成本，使用户获得最大的投资回报；扩展性：华盾SSL VPN网关产品采用模块化设计，具有极强的扩展性，可以随着用户网络的扩展平滑升级。