XX集团系统SSLVPN方案Word文档下载推荐.docx

1、1.2 需求分析结合目前的网络状况，我们看到有以下几个方面的问题亟需解决1、身份认证安全如何采用的较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。2.终端访问安全一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。为了保证整体安全防御水平，就需要对接入的

2、终端主机的安全水平采取一定的控制措施。3.权限划分安全总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。所以，对于不同的应用系统需要对访问人员做好细致的访问权限控制，4.应用访问审计安全为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。第二章 XX系统安全接入方案设计2.1 方案设计说明 考虑到

3、XX集团整体XX系统SSL VPN接入安全性问题，本方案的设计思路从身份认证安全（访问事前控制）、终端访问及数据传输安全（访问事中检查）、权限和应用访问审计（访问事后追查），这三个方面来进行安全体系来深入考虑，。2. 2 事前控制：接入身份安全、合法性保障方案设计2.2.1 访问接入方式一：用户名及密码强保护 针对密码安全方面，本方案首先建议采用防暴破登录设置，通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。并自定义设置封锁恢复时间。防密码爆破操作设置图同时，在我们建议可以采用以下密码安全保障策略，如软键盘、图形校验码、最小密码长度设置等多

4、重密码安全保护策略，加强密码的安全强度。1） 限定密码长度至少多少位；密码不能包含用户名；首次登陆必须修改密码 2） 新密码不能与旧密码一样；密码必须包括：数字，字母，特殊字符3） 每隔几天必须修改密码，密码过期前几天开始提示用户修改密码4） 软键盘：每次使用软键盘，其上的数字、字母顺序将变化一次，保证安全性密码安全保障策略设置示意图图形验证码及软键盘功能图 为防止非法使用者通用自动猜解程序进行的试探和防止被木马程序截获用户输入的密码信息。在密码安全保护方面，我们建议可以采用图形验证码和供动态变换软键盘，进一步保证密码的安全性。2.2.2 访问接入方式二：身份认证安全保障 除了普通用户名和密码

5、外，为了进一步保障核心系统安全。我们建议采用多种认证方式组合认证的方式。如USB KEY、硬件特征码、短信认证、动态令牌卡等认证方式。单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，建议采用混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。用户身份认证方式说明图 由于本方案认证方式组合较为灵活，因此结合目前XX集团整体SSL VPN接入的实际情况来考虑，按照使用人员及安全程度级别，我们建议划分以下4种认证方式：1） USB KEY或动态令牌认证面对领导和核心访问人员对于业务系统核心访问人员，我们建议采用无驱USB KEY或动态令牌来实现认证。对于USB key，由

6、设备本身将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。在动态令牌方面，通过符合国际安全认可的OATH动态口令演算标准，为XX集团系统安全接入提供了极高的安全性保证。 2） 手机短信认证面对普通接入人员面对大量的访问人员，从整体对XX系统接入访问身份安全性和方便性，我们建议可以采用短信认证方式结合用户名密码的方式登陆。当用户在进行SSL VPN登录认证时，短信服务器将为该用户自动生成一个6位的数字随机认证码，并以短信的方式发送到用户所绑定手机号码的手持终端上，用户即可在认证界面上输入该6位认证码通

7、过短信认证。实现安全性与使用便捷性。3） 硬件绑定（HardCA）接入终端认证除了考虑到接入人员身份的认证外，我们提出了对系统接入终端进行绑定。因为XX系统是贵单位的核心的业务系统，为了保证用户登录系统限定在某一台或是某几台终端上，降低因用户帐号意外泄漏、盗用导致数据的泄露问题。本方案通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息，如CPU、硬盘等信息生成数字证书，和用户进行绑定实现用户身份的唯一性控制。硬件特征码认证操作设置图4） 主从帐号绑定防止系统访问越权传统的SSL VPN对于成功接入到内网的SSL VPN用户就完全不做身份确认上的控制，若某个用户在

8、登录SSL VPN之后，使用如领导等人享有较高权限的应用帐号登录某系统进行越权访问，将造成重要数据的泄漏，导致的危害将无法估量。为了解决此问题，本方案建议采用主从帐号绑定技术，通过将SSL VPN登录帐号与应用帐号的对应绑定，杜绝用户在登录VPN后使用他人帐号访问应用的行为，防止越权访问。实现效果：用户登录SSLVPN后，可直接点击资源列表的链接进入资源，用户名已经自动填入SSLVPN设备绑定的账号且不可修改，密码可自行输入；也可手动打开客户端进行访问，此时用户名密码都没有预先填入，需要用户自行输入。若是输入的用户名与绑定的用户名不符，有警告提示。 直接在资源列表页面点击绑定进行主从绑定配置界

9、面。2.3 事中检查：系统终端访问过程安全优化方案设计2.3.1 访问系统资源过程安全控制 安全桌面：实现对核心系统资源的安全保护针对BOSS核心系统中包含有较为重要、敏感的数据，在访问这些应用系统的过程中，应该更应该考虑访问、读取过程的安全。我们建议采用了安全桌面（沙盒技术），指定部分或全部对数据安全性要求高的应用必须置于安全桌面中访问。当客户端登录 VPN后，将在客户端自动使用虚拟技术生成与原有默认桌面完全一样封闭式的安全桌面，用户在通过VPN访问启用了安全桌面的应用时，终端与服务器端所有交互的数据将仅会保存在该沙盒之中，并进行高强度的加密。当用户退出SSL VPN之后，沙盒中的所有数据都

10、进行清除，所有的操作将会被重定向。即使是断电导致的安全桌面崩溃，沙盒中的数据也是通过高强度加密保证安全性。下一次SSL VPN登录启动时，安装桌面会自动检测之前的遗留痕迹并进行清除。在安全桌面内可做到：禁止与本计算机通讯：禁止安全桌面与默认桌面通信禁止与本地网络通讯：安全桌面内禁止与内网内其他计算机通信。禁止与外网通讯：安全桌面内禁止使用网络应用或将数据通过网络通信泄漏禁止使用外设拷贝（USB，打印机，COM，CD-RW等）安全桌面实现效果及价值1.）指定用户或指定访问XX系统时强制启用安全桌面（否则无法访问）；2）在安全桌面下正常使用XX系统及本机其它软件（如OFFICE ）办公；3）安全桌

11、面内各种应用（包括网上邻居）不能与局域网或Internet通讯；4） 也阻止出差环境中的病毒木马导致泄密；5） 服务器上下载的各类资料不能通过外设拷贝；6） 退出安全桌面后所有服务器留在本地的资料被清除；安全桌面配置示意图 1、若设置允许切换桌面，并在安全桌面显示服务页面，在登录SSL VPN并完成安全桌面初始化后，将在任务栏显示一个“切换到安全桌面”的标签。点击该标签可切换到安全桌面，资源列表界面将在安全桌面下显示。 在安全桌面中直接点击未设置受安全桌面保护的资源，并把该资源的数据保存在安全桌面中，这些数据同样受到安全桌面的限制。需正常打开资源并将数据保存在本机，可回到默认桌面下直接访问这些

12、资源。 2. 若设置允许切换桌面，并在默认桌面显示服务页面，在登录SSL VPN并完成安全桌面初始化后，将在任务栏显示一个“切换到安全桌面”的标签点击该标签可切换到安全桌面，资源列表界面将在默认桌面下显示。 若在默认桌面中的资源列表界面点击受安全桌面保护的资源，将显示无法访问。需正常打开这些被保护的资源可回到安全桌面下直接访问。2.3.2 访问接入系统客户端安全检查终端的接入过程影响着整个系统的安全，对于终端接入的安全需要从终端本身方面保证，控制终端的必须达到一定的安全标准才允许接入，避免危险终端的接入。本方案建议根据情况来，客户端安全检查结果进行相应应用访问权限的准入和授权。1） 客户端安全

13、检查的准入通过VPN设备对接入XX系统终端进行操作系统、注册表、文件、进程、登录IP（用户端）、接入线路IP（设备端）、使用终端、登录时间进行“与”、“或”组合的登录前登录后全程检测。通过客户端的安全检测，可限定用户在指定的IP范围、使用指定安全级别的终端、在指定的时间、通过指定的线路进行SSL VPN登录。同时通过内置客户端安全检查策略库，并支持自动升级，为用户提供更加灵活的端点安全控制策略，提高系统整体的安全性。2） 客户端安全检查的授权本方案建议根据客户端安全检测结果基于角色进行相应的准入和授权控制。管理员可依据安全需求，设定客户端安全检测的组合规则，并根据不同的检测结果判断是否允许该客

14、户端进行接入、允许接入后能访问什么应用。通过准入和授权的配置组合，可达到以下效果：（1）对于登录时间、地点、终端不符合要求的主机，可通过策略规则的组合不允许该主机接入SSL VPN或只允许其访问一些基本应用操作；（2）对于符合登录时间、地点、终端要求的主机，并达到一较低安全水平的主机，允许其使用安全级别要求较低的应用，对于安全级别要求较高应用则不允许其访问；（3）对于符合登录时间、地点、终端要求的主机，并符合较高安全水平的主机，允许其享有该用户可拥有的所有应用的访问权限。2.3.3 访问接入终端使用安全保障 1）用户超时控制功能，保障访问安全为防止用户在没有注销的情况下长时间离开，导致他人窥探

15、到SSL VPN内的机密信息，本方案建议对不活动终端进行检测，对用户超时时间进行控制，超时用户进行自动断线。 2） VPN专线，防止黑客控制由于大量接入访问XX系统的终端环境是多变而复杂的，安全状况难以得到很好的保证，极易感染各种病毒、木马。SSL VPN用户使用了这些不安全的终端进行登录时，易成为黑客进攻内网的跳板。所以如果要保障接入安全，本方案建议采用VPN专线，一旦用户通过SSL VPN成功接入到内网中，则自动断开其他的Internet线路，只保留SSL VPN的通道，防止黑客通过Internet控制接入电脑。 3）客户端零痕迹清除，保障数据安全 用户在通过SSL VPN访问到总部的应用

16、时，往往会在本机的Cookie、临时文件、访问记录等留下登录SSL VPN、访问应用的操作记录、IP地址、帐号信息等。尤其是使用一些公共电脑进行SSL VPN登录，若不及时清除缓存易给不法用心者留下漏洞，通过获取这些“痕迹”进行伪装登录。为了避免由于未能及时手动清除缓存造成的信息泄漏威胁，SANGFOR SSL VPN支持退出SSL VPN自动清除缓存功能，当用户结束访问之后，拔出DKEY时将自动注销用户，同时清除Cookie、临时文件等遗留在本机的信息，实现“零痕迹”访问，避免安全隐患。2.3.4 访问接入速度优化, 提升XX系统业务效率 出充分考虑到对XX系统安全接入以外，在考虑到此核心系

17、统访问速率直接影响到XX集团的业务效率。因此，我们建议可以通过相关加速优化技术来提升整体系统的访问速度。本方案建议采用流缓存技术对应用进行加速。本方案融合了加速引擎中 “基于码流特征的数据优化”技术，能够大大降低广域网传输过程中的数据流量，根据实际的测试最多时甚至能够将流量减少80%以上。“基于码流特征的数据优化”技术能够把传输数据包拆分成很多“碎片”，并对“碎片”分配唯一指针，将指针分别存储在本地设备和目的地主机中。当具有相同指针内容再次需要传输时，只传输指针到目的地，接收端根据指针便在本地的设备中提取出内容。只要“碎片”足够小，传递内容相同的概率就会足够大。对于同一个用户而言，往往需要频繁

18、传输相同或相似信息，比如说某一应用系统的页面元素、数据元素，效果非常明显。区别于一般的缓存技术存在数据更新滞后等问题，基于码流特征的数据优化采用数据流Cache加速技术，通过数据包分片标签机制并结合优化的模式匹配算法，在保证数据实时性的同时大大降低数据传输量提高访问速度。通过基于码流特征的数据优化技术，可大幅削减数据传输量，并可在管理员控制台查看设备整体开启流缓存功能的流量削减效果。同时，在用户SSL VPN界面查看到加速技术的应用加速效果。管理员控制台查看流缓存功能流量削减效果图用户端查看应用加速效果在客户端，成功登录SSL VPN后，若是流缓存启动成功，将会在右下角显示一个弹出窗口提示流缓

19、存启动成功。2.4. 事后追查：整体保障XX系统安全运维管理2.4.1 访问资源及权限划分 在应用访问权限的划分上，本方案建议通过IP、端口、服务、URL等方式对内网应用以“资源”的方式进行定义，并基于“角色”将特定用户/用户组与相应的资源进行对应绑定，实现指定用户只能访问指定的应用的权限划分。通过对角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。同时，基于角色的授权机制可结合对客户端安全检查结果的准入和授权，做到根据用户所属角色、用户登录时间、登录终端、终端安全检查结果的细致应用访问授权。2

20、.4.2 访问应用系统安全审计 本方案在对SSL VPN访问过程的日记记录方面，提供了管理日志和服务日志两大类型日志。管理日志可提供管理员访问、操作日志，服务日志提供信息、告警、调试、错误日志，方便管理员对系统进行诊断。管理日志服务日志为了更好的了解VPN网关的运行、使用情况，本方案提供了独立的日志中心，仅需要在内网中使用一台主机安装日志中心软件并进行相应配置，即可将SSL VPN的各类详尽日志实时的同步到独立日志中心。独立日志中心中详细记录包括用户访问日志、资源访问日志、安全日志、管理员日志、系统日志五大类型的日志，提供丰富的流量、流速、访问频度统计排行及报表，为管理员提供最为丰富的审计记录

21、，便于日后的风险防范，同时也为进一步的网络规划、应用规划提供详尽的数据支持。用户日志：用户访问日志（登录IP、访问资源、时间、认证方式）、用户活跃程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询；资源日志：资源活跃程度统计、无效资源统计、资源流量排行及查询、资源流速趋势及查询等；管理员日志：管理员操作日志（管理员IP、时间、管理员、行为、对象、操作结果、详情）等；安全日志：告警日志（暴破登录攻击记录、CPU长时间占用过高记录、设备内存不足）、用户暴破登录、主从用户名非法访问记录等；系统日志：分为信息、告警、错误、调试四个日志等级，记录包括防火墙、防Dos攻击、多线路状态检测、邮件告

22、警、SSL VPN等多种系统日志。通过独立日志中心，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数，用户的登录次数、告警次数等进行直观显示，并可直接打印和导出。同时我们提供了丰富的日志中心，为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。用户访问，公网地址，用户名，NAT之前的私网地址查看用户流量趋势示意图用户流量排行统计图资源流量趋势图第三章 部署模式及管理方案设计3.1 VPN设备部署模式设计 针对XX集团对整体网络的冗余性保障，同时考虑到XX系统核心接入的稳定。我们建议采用集群方式部署SSL VPN设备。SSL VPN支持高达253个

23、节点的非对称集群，通过集群组提供对该节点用户SSL VPN接入的高稳定服务。如下图所示：SSL VPN设备部署说明： 1）设备部署：在XX集团中心机房安装以旁路模式部署SANGFOR SSL VPN安全网关两台构成集群以主主工作模式保证运行稳定性。（无需改动现有网络结构） 2） 在总部内网中使用一台电脑/服务器安装日志中心软件作为SSL VPN独立日志中心，并在SSL VPN设备上做相应的配置以实现联动。该独立日志中心可提供详细的SSL VPN用户登录、应用访问、安全、管理员、系统日志，为日后的网络规划及安全风险审计提供详尽的依据。 3） 依据XX集团部门组织架构在SSL VPN设备中建立树形

24、用户组结构，并根据不同部门的需要，采用用户名密码+USB Key认证登录，采用用户名密码+短信认证方式，多认证方式结合保证用户身份的确定性。 4）终端账号权限配置：在主机上将终端和应用服务通过角色关联起来，比如该终端账号属于A，则该账号登陆后只能访问与A相关联的应用系统。 5）硬件绑定配置：通过终端的硬件特征码，将每个终端和对应终端账号进行绑定，保证该账号只能在指定终端上登陆。 6）开放前置端口：如果以单臂形式部署，需要在前置设备（防火墙）上做TCP的 443端口映射，保证能够正常访问。如果需要远程进行登录维护请开启1000端口。如果开启了使用快速传输协议，需要在前置设备（防火墙）上UDP的4

25、43端口映射。VPN设备集群部署情况说明：1） 设备集群对用户的访问是透明的，集群组对外显示为同一虚拟IP，用户通过接入该虚拟IP发起SSL VPN接入请求。2） 集群组中包含的SSL VPN设备可分为分发器和服务器两种属性。一个集群组中有且只有一台分发器进行用户SSL VPN负载分发，其余设备都将自动成为节点服务器。3） 管理员可根据设备型号、性能等自定义设置各台SSL VPN设备的集群优先级，优先级数值越低则相应的成为分发器的优先级越高。节点在加入集群组时将通过该优先级自动选取性能较强的设备为分发器，其余设备将自动成为节点服务器。4） SSL VPN集群组通过控制管理权限保证整体配置的统一

26、性。在整个集群组中，只有分发器享有配置的设置修改权限，而其余节点服务器仅享有配置的查看权限而没有编辑权限。在完成分发器自动选取后，所有节点服务器将通过网络与分发器进行配置和数据的同步，从而保证整个集群组配置的统一性。5） 同时，本方案集群支持邮件告警功能。当出现服务器SSL VPN服务异常停止、WAN/LAN口掉线、断电等服务器故障，新增节点加入，双分发器等分发器异常情况时，可以邮件的方式及时通知管理员，方便管理。3.2 设备配置维护管理简介 考虑到XX集团全省接入单位人数众多，所以整体安全接入方案无论在前期实施，后期维护及管理要求都应该能实现简单方便的原则。针对以上情况，本方案在维护管理方面

27、体现以下价值：3.2.1用户分级管理，实现整网科学管理针对XX集团组织结构多级、树形的架构。在设备中进行用户组建设的时候，需要最大的贴合到组织的架构进行用户管理，方便IT管理员直观的对所有用户进行SSL VPN访问控制管理。本方案提供了多达16级的用户组分级管理提高管理员的管理便利性。如下图所示，用户组的分级管理可依据组织的架构而设，并在用户属性上可选下级组是否继承上级组的关联角色、认证方式、流量及会话限制、日志审计记录、帐号过期时间、登录超时时间等设置。实现管理上的统一性，方便管理。用户组树形分级结构下级组可选继承上级组关联角色、属性3.2.2 管理员分级权限管理，提高运维效率对于XX集团规

28、模庞大、人数众多的组织而言，管理往往需要多人协作，所以在管理的权限上就需要做到合理的分级管理、分权限管理。本方案在运维管理上，可设置多达16级的管理员分级管理。可由系统管理员、上级管理员指派下级管理员可管理的用户组、资源、角色范围。下级管理员可在自己的权限范围内建立用户、资源、角色、管理员，并进行相应操作。不同的管理员在登录控制台的时候只能查看到所属权限范围的配置管理，与其他管理员逻辑隔离。通过分级分权限管理，可安全、合理的分配管理权限，提高了管理的效率。如本次XX集团的SSL VPN管理，即可由总部的系统管理员为各个分公司、子公司分别设置一级管理员，各一级管理员可根据自身的需要设置下级管理员进行分权管理，提高管理效率。管理权限可划分到用户、资源、角色、配置示意图管理权限可分“可管理”、“仅可查看”示意图