Juniper sslvpn解决方案Word文件下载.docx

1、3.3 安全访问产品的选择 153.3.1 Juniper远程访问系统产品线说明 153.3.2 产品的选择 163.4 部署和管理远程访问系统 173.4.1 部署过程 173.4.2 管理配置 173.4.3 系统日志和维护 183.4.4 管理员权限分配 184 Juniper公司介绍 194.1 公司介绍 194.2 企业构想 194.3 联系方式 201 企业网络远程访问面临挑战随着互联网的发展和电子商务的普及，越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务，象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。同时，这种网络连接的发生也为企业网络引

2、入了新的安全威胁，但是目前的网络安全方案又是十分的昂贵和复杂。目前的企业极需要一种简单实用的解决方案，可以安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问，而又不会为企业网络带来新的安全风险。2 Juniper远程安全访问解决方案企业通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势，在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时，一般采用IPsec技术；在实施普通应用的移动用户接入VPN时，通常采用SSL技术。Juniper的SSL安全访问产品（可简称为IV

3、E）从根本上解决了企业的远程访问问题，可以为企业的远程员工、合作伙伴提供对内网资源的安全远程访问。同时它又消除了因为远程用户客户端的维护等带来的诸多不便。 极大的减少了工程投资Juniper的远程访问解决方案极大的减少了工程的投资，IVE设备的部署和维护都十分的简单，不需要任何客户端软件的安装，也不需要对服务器端进行特殊的设置，是目前仅有的可以通过很短时间的配置就可以为成千用户提供远程访问的方案，同时这种方案不需要指定单独的客户端设备、不需要其他的安全设备和应用程序的支持，仅仅利用标准WEB浏览器的安全功能就实现了安全的远程访问。同其他的网络层的VPN设备一样，IVE平台也兼容已经存在的网络服

4、务器和网络资源，不需要再做单独的定制开发和软件集成，IVE平台大大减少了系统部署的费用，由于不存在客户端软件的安装，也就减少了由此而引起的出差维护和管理的费用。 提高了系统安全性IVE平台提供整体的网络安全设计，通过坚固的系统完成对外部应用请求的转换，同时对各种连接进行细粒度的访问控制，而这种安全上的保障，是不以投资、复杂性和稳定性的牺牲为前提的。3 Juniper远程访问解决方案3.1 全面的远程访问接入IVE平台可以为用户提供方便安全的远程访问，包含但不局限于以下应用： 内部网络的内容应用和基于WEB的应用 客户端/服务器 应用 所有的消息服务器（MS Exchange,Lotus Not

5、es） 文件服务器（MS CIFS,NFS） Telnet,SSH 标准的邮件服务器（IMAP,POP,SMTP）下图描述了Juniper远程安全访问应用的简单模型，远程员工或者合作伙伴通过INTERNET 连接到IVE设备上，该设备通过认证、授权和中间转换等技术响应用户对内部资源的访问，而不需要对内部的服务器做任何的改动。3.1.1 网络部署XXX网络需要部署边界的网络防火墙，将企业的网络划分为两个部分：内网和服务器区，一般来说，远程的用户对企业内部网络的访问主要是针对服务器区的一些重要的应用服务器，如OA系统、业务系统、邮件系统等等。我们建议将Juniper的远程访问系统安装在用户网络的D

6、MZ区。在企业的出口防火墙上，需要为IVE设备映射一个合法可路由的IP地址，以便互联网的用户可以正常的连接到IVE设备上，同时在防火墙上也需要添加相应的安全策略，远程用户只能访问IVE设备的443端口（HTTPS连接），对IVE设备和内部服务器进行保护。同时我们也需要不是身份认证服务器对远程用户的身份信息进行验证。对于XXX网络，由于已经部署了PKI系统，可以利用X.509格式证书认证的方式，来实现远程用户的访问。远程的用户首先通过WEB浏览器登陆IVE设备，向IVE递交相应的证书，IVE验证客户端证书后，可以向相应的LDAP服务器进行查询，得到该证书的相关属性，并且进行访问的授权，这样的话，

7、用户就可以访问内部相关的服务器资源。远程用户的客户机与IVE设备之间的通讯，采用了SSL加密的手段，也就保证了这些敏感的数据在不可信任的互联网上的安全传输。同时，为了保证业务的连续性，为远程的用户提供不间断的服务，可以采用Juniper的多台IVE设备，配置成集群的模式，集群模式可以采用主备的模式，在一台IVE设备发生故障的时候，另外的设备可以自动的接替它的工作；也可以采用多主的模式，对远程连接实现负载均担，提高网络的访问性能。下图是Juniper IVE设备部署的一个典型的拓扑图：3.1.2 无需安装客户端的远程安全访问Juniper的IVE远程安全访问系统，在无需安装客户端的前提下，利用系

8、统已有的标准的WEB浏览器，通过浏览器支持的SSL安全协议，实现对企业内网的应用服务器的安全访问。访问过程中，重要数据在互联网上以SSL加密的形式传输。IVE系统通过以下三种方式帮助远程客户端实现对企业内部应用服务器的访问。3.1.2.1 核心WEB方式核心方式（core access）的访问采用标准WEB方式，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，直接点击IVE系统主页上的相关预定义好的网络标签实现对内部服务器的访问。核心方式的访问支持如下的应用： 安全的web应用访问：对基于web的内容和应用提供支持，也包括 HTML, Javascript

9、, DHTML, VBScript, Java applets等。 安全的文件共享访问：动态 Windows 和 Unix 文件 （CIFS/NFS）的web化 基于标准的 E-mail 客户端访问（outlook web access） 安全的终端访问：对Telnet/SSH 主机 （VT100, VT320）的访问CORE方式主要适合于远程合作伙伴或者用户进行WEB访问之用。3.1.2.2 安全内容管理器 在安全内容管理器（SAM, secure application manager） 方式中，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，远程系统

10、会自动加载一个小插件，这个插件可以将指定的网络访问进行重新的定向和SSL封装，将请求传给SA系统，由IVE系统对请求进行解析，并且对企业内部的应用服务器进行访问请求。SAM模式可以保证现有的客户化应用不受改变。采用SAM的方式可以支持如下的应用： 访问客户端/服务器应用, 包括native messaging clients（Microsoft Outlook and IBM/Lotus Notes） 其他的基于固定服务端口，较为简单的应用SAM方式主要适合于远程合作伙伴或者用户进行C/S架构的相关访问之用。3.1.2.3 网络层连接（network connect）在网络层连接（networ

11、k connect）方式中，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，远程系统会自动加载一个小插件，这个插件可以从IVE系统中自动的获得一个内部网络的IP地址，从而实现对内部网络资源的访问，该种访问方式与IPSec类似。采用NC的方式可以支持几乎全部的网络应用，包括相对复杂的视频会议、IP电话等等。一般来说这种方式的访问适合于网络管理员进行远程管理用。3.1.3 提高网络传输性能远程访问的速度问题，一直是VPN系统需要解决的问题之一，与IPSec的VPN解决方案方便，Juniper IVE系统提供了更高的网络传输性能，采用的技术手段包括： 利用预协商

12、好的GZIP压缩机制来在对应用部分的流量在加密之前首先进行压缩处理，只对应用层的数据进行加密，不进行协议的再次封装，从而减少互联网上传送的流量, 提高了网络传输的性能。 提供隧道分割（Split Tunneling）能力，如果使用了NC或者SAM方式，系统通过设置可以完成只允许流向LAN的流量通过VPN连接器进行传输。而去其他地方（如其他的互联网访问）的流量将通过客户端原有的网关之间访问。3.1.4 用户使用界面自定制管理员可以自由调整用户登陆IVE系统的标识与详细界面的外观，比如可以修改LOGO,界面的颜色等等，这样可以更好地匹配公司的风格。同时管理员可以对不同的用户组实现不同的登陆界面和U

13、RL。3.1.5 系统日志和维护IVE系统可以生成详细的日志信息，这些日志信息可以在本地保存，也可以传送给相应的SYSLOG服务器，由于SSL信道和认证子模块可以对客户端和服务器终端进行检查，并且记录下相关的信息，我们可以用这些日志进行审计。管理员通过IVE系统的日志管理器或者SYSLOG日志服务器，可以判断什么用户在指定的系统或者资源上做了什么访问。同时可以利用日志管理器提供的过滤搜索功能，方便的查找出你想得到的信息。同时，IVE系统内部也提供了多种维护和调试的工具，如系统的状态显示、PING/TRACEROUTE/TCPDUMP等工具等。3.1.6 高可用性配置为了解决单机单点故障引起的远

14、程访问的中断，Juniper IVE设备支持HA功能。可以支持状态保持下的主/备模式，当主IVE设备出现故障（包括网络故障和主机故障），备份的IVE设备就会自动的切换为主设备，接替原有设备的工作，由于多台集群设备之间实现了状态的自动同步，已有的用户连接不会中断。配合流量负载设备，Juniper IVE系统支持多主的负载均担方式，不仅可以实现备份功能，更可以扩大容量（如增加系统的并发用户数），又可以实现流量分担，提供访问的速度。互为集群的设备之间，可以针对以下的信息进行同步。 系统状态 用户档案状态 会话状态 群集对 多站点群集对主动/主动配置选项3.2 全面的远程接入安全保护Juniper 的

15、远程接入解决方案提供全方位的安全保护，从客户端的接入，到数据在互联网上的传输，再到IVE接入平台，到对后台服务器的资源防护控制等各个方面，都提供了相应的安全机制。3.2.1 接入节点的安全3.2.1.1 节点安全机制检查随着远程用户的接入，对于网络管理员来说，相当于将企业的办公网络进行了延伸，如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效，Juniper的IVE系统提供全面的解决方案，可以对接入节点的安全策略进行检查，并且根据检查的结果，实施相应的访问控制。并且允许管理员对以下的选项进行定制。 和第三方节点安全解决方案整合，如InfoExpress，McAfee，Sygate

16、，Zone Labs等 注册表参数检查 开放/不允许的 ports检查 允许/不允许的进程检查 允许/不允许的文件检查 检查定制的dlls 对第三方软件实施心跳检查 应用认证检查 （进程, 文件 MD5 Hash） 与赛们铁可的恶意软件防护功能相结合，提供了客户端对恶意软件访问的支持3.2.1.2 访问缓存清除代理如果远程用户使用了不可信任的远程主机，对企业的内部网络进行了访问，浏览器的缓存中将会保留一部分访问的数据，很容易造成敏感信息的意外泄漏，Juniper的IVE系统为此提供了缓存清除的功能，用户在登陆内部网络的时候，自动在本地加载一个缓存清除代理，在用户正常注销或者非正常退出的情况下，

17、清除系统的该次访问留下的会话数据和临时文件。保证了敏感信息不会保留在客户端主机上。3.2.1.3 对登陆用户的身份验证IVE系统支持数字证书的使用，可以单独的利用客户端的数字证书对用户身份进行验证，从而避免了输入用户名/密码的麻烦。同时，IVE系统还支持多种认证服务器（包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证，包括ActivCard ActivPack、RSA SecurID和Secure Computing SafeWord PremierAccess以及X.509客户端数字证书），也可在设

18、备上建立本地用户数据库，更支持LDAP/Active Directory的用户组的特性，方便管理员定义策略。对于XXX系统，由于已经存在了PKI系统，我们可以利用证书的方式对客户端进行认证，这样我们需要为IVE系统也申请一个数字证书（也可以将根CA证书导入到IVE系统当中），这样的话，只有递交了正确的数字证书的用户，才能够通过IVE系统的认证，具有对后台服务器的访问权限。同时，IVE系统还支持通过CRL下载或者OCSP协议等，对证书的状态进行查询，这样的话，失效的证书也无法登陆IVE平台。同时我们也可以采用用户名、密码与数字证书相结合的方式，登陆的用户必须在递交合法的数字证书的同时，输入相应的

19、用户名和密码，才能够登陆IVE平台。IVE平台也提供了对用户端密码暴力破解的防护，为了防止字典探测攻击。系统对多次登陆请求的频率进行了限制。3.2.2 安全的数据传输远程访问的用户的数据在不可信任的互联网上传输的时候，采用了SSL加密的技术，保证了信息不会因为被侦听，窃取而造成重要信息的泄露。SSL 传输可以设定相关的加密的强度，为了安全需要，可以采用高强度的加密传输，数据的加密采用对称密钥的方式，系统缺省2分钟协商一次密钥信息，保证了恶意的攻击者无法得到准确的密钥。如果用户提交的认证信息正确，系统将会发放一个授权的标记（TOKEN），在WEB请求当中，这个标记保存在一个加密的回话COOKIE

20、当中，这种做法保证了系统不会受到冒认者的攻击。因为一个攻击者需要来伪造一个会话的标记（TOKEN）才能达到冒认的效果，而这又是很难实现的，同时在互联网上传输的数据包，其目的地址都是对于与IVE平台的公网地址，也不会泄露网络内部服务器的网络拓扑。3.2.3 坚固安全的系统平台IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统，该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。系统可以通过只运行完成关键任务的服务来防止攻击，这些关键的服务在开发时就进行了安全加固，确保系统的安全性。IVE系统不运行通常的用户和程序服务，因此不会导致针对这些服务的攻击。IVE系统不

21、允许管理员创建、维护系统级的用户帐号。因为没有交互式的Shell和打开的系统帐号，潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。IVE系统内部采用了内核级别的包过滤机制，利用预定义的一些规则，对进入系统的数据包进行判断和检查，保证了只有合法的数据包才可以进入或者通过IVE系统。IVE系统上的所有信息都采用了AES的加密处理，保证了及时设备被进入或者被偷走，恶意的攻击者都无法看到系统中的相关信息。Juniper IVE 平台的设计和开发过程通过多个安全专业保障公司和专家的审查和验证，TrueSecure，世界领先的针对互联网连接安全提供保证方案的组织，为Juni

22、per IVE平台进行了验证，并且提供了相关的报告，Juniper IVE也是SSL VPN同类产品中唯一通过TrueSecure验证的产品，另外，Dan Farmer（SATAN的作者，一位受人尊重的安全专家）和Cryptography Research（SSL 3.0的合作设计者）也对IVE系统进行了审计和验证。3.2.4 动态全面的资源访问控制Juniper IVE系统支持全面的细粒度的访问控制机制，真正实现了对用户身份（Who）,访问的目的资源（What）,时间（When）,位置（Where）和方式（How）的动态控制。 动态认证策略：IVE平台可以通过多种要素对用户身份进行认证，包括

23、提供身份前检查和提供身份后检查，其中提供身份前检查的内容可包括：源地址、网络接口（内/外）、证书、节点安全状况检查（包括主机检查和缓存清除）、浏览器、登录的URL、SSL版本和加密级别；提供身份后检查的内容可包括：身份确定、证书特性、密码长度、同时登录用户数、目录服务密码等等；IVE平台可以根据这些内容，将登陆的用户划分为相应的角色，并且基于角色实现授权。另外上面的很大一部分检查都是一个动态的过程，IVE平台可以定时的检查客户端的相关信息。如可以定时的检查客户端的防病毒软件是否开启，如果用户在使用过程中关闭了防病毒软件，系统可能会因此在用户的访问过程中改变该用户所属的角色，重新为该用户分配相应

24、的权限。这样的话，就实现了一个动态的访问规则的控制。 角色定义和访问手段的控制：管理员可以定义用户属于一个或多个角色，对不同角色提供不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和，也可以让用户选择采用某个角色进行应用访问；对于不同的用户角色，管理员赋予不同的访问权限，首先是对访问方式的授权，如指定的用户只能通过WEB或者C/S方式进行等等 对目的资源的访问控制策略：对于不同的应用资源，管理员可以提供不同的访问策略，策略可以以IP地址为基础，也可以实现到基于URL级别或者文件级别的应用层的访问控制， 对于XXX网络，我们可以实现通过得到LDAP目录服务器的相关证书信息，根

25、据这些信息进行权限的分配。3.3 安全访问产品的选择3.3.1 Juniper远程访问系统产品线说明Juniper网络公司提供的系列SSL VPN远程访问系统可以根据用户应用情况、使用环境等的不同，提供四款不同型号的产品，来满足不同用户的实际需求。Secure Access 700系列，为中小企业提供经济高效的安全方式，支持员工远程安全的接入企业网络。Secure Access 700系列支持的并发用户数为1025个，可以根据license的不同进行限制。Secure Access 700系列使用安全套接层（SSL）提供加密传输，因此，用户只需Web浏览器便可即时接入网络。这消除了为每位用户安

26、装、配置以及维护客户端软件的高昂成本。由于使用SSL传输， Secure Access 700还消除了传统远程接入产品中常见的网络地址转换（NAT）和防火墙穿越问题。Secure Access 700利用了网络连接技术，这扩展了最广泛的远程连接形式，且无需安装桌面系统软件，因为它使用了包含在标准Web浏览器中的安全协议。Secure Access 2000系列和Secure Access 4000系列SSL VPN分别为中小型企业和大中型企业提供经济高效安全的远程接入。SA2000系列支持的并发用户数为25100个，SA4000系列支持的并发用户数为501000个,可以根据license的不同

27、进行限制。SA 2000和SA 4000系列基于Instant Virtual Extranet平台，该平台使用所有标准Web浏览器中所使用的安全协议SSL作为安全接入传输机制。SSL的使用使客户不再需要部署客户端软件、修改内部服务器或进行成本高昂的后期维护。Secure Access产品还可以提供先进的合作伙伴/客户外联网特性来只允许特定用户和用户组接入，而且只需要很少甚至根本不需要基础设施修改、DMZ部署或软件代理程序。这一功能还使企业可以保护企业内联网接入的安全性，使管理员可以根据不同员工、承包商和访问者需要的资源来限制他们的接入权限。该系列产品可以部署在经济高效的群集对（Cluster

28、 Pair）中以提供企业需要的冗余性、高可用性和无缝的故障切换功能。Secure Access 6000系列SSL VPN可以为那些有大量安全接入和复杂授权要求的企业提供一流的性能、可扩展性和冗余。单台SA6000系列支持的并发用户数为100-2500个该产品系列专门设计用于满足最严格的性能要求-支持大量用户、资源密集型应用程序和复杂的使用模式-以提供更高的可扩展性。SA 6000系列产品可以提供丰富的接入管理策略实施功能，使企业可以为大量差分用户提供安全远程接入的优势，同时轻松而经济高效地保护外联网和内联网的安全性。借助NetScreen-SA 6000，企业就可以获得安全的合作伙伴/客户外

29、联网的优势，同时最大限度地减少成本很高而且需要大量维护工作的基础设施修改、DMZ部署和/或分布式软件代理程序。SA 6000产品系列还可以用于保护企业内联网安全性。此外，由于SA 6000产品可以集中管理并以多单元和多站点群集的方式部署，所以这种安全解决方案易于管理而且可扩展。SA 6000产品可以提供企业级性能可扩展性和高可用性，其特性包括两个千兆以太网端口、SSL加速和基于硬件的HTTP压缩功能，因此可以提供最高的性能。这些产品既可以作为独立设备以群集对（Cluster Pairs）方式部署，又可以部署为多单元群集（Multi-Unit Clusters）以实现无与伦比的高吞吐量和冗余。3

30、.3.2 产品的选择在选择产品型号时，考虑的因素包括并发用户数、网络的应用的复杂程度和实际流量，其中并发用户数是一个最主要的指标。由于IVE系统无需客户端，所以无需考虑客户端软件的费用。根据项目的经验，对于远程访问，并发用户一般是系统总用户数的1/5到1/4，用户可以根据自己的实际情况选择相应的产品型号和用户数许可证。对于IVE平台的访问方式的支持，需要根据系统中实际的应用来判断，如远程用户使用WEB进行访问，建议采用CORE的方式，远程用户使用CS架构进行访问，建议采用SAM，远程管理员进行远程维护，建议采用NC的方式。3.4 部署和管理远程访问系统3.4.1 部署过程通常的基于客户端的VP

31、N解决方案，在部署的时候，无论是VPN服务器，还是数量众多的客户端，都需要花费大量的资金，并且在系统的管理和维护上也需要IT部门大量的时间。而部署Juniper远程访问系统则很简单，只需要进行下面几个步骤：1 安装并且启动远程访问系统；2 将远程访问系统接入INTERNET ,并且进行简单的网络设置和用户访问控制设置，如接口的IP地址、用户的认证授权服务器等；3 告诉你的员工、客户和合作伙伴你已经可以提供这项服务，告诉他们一个URL地址，通过这个地址可以远程访问内部的资源。3.4.2 管理配置系统的管理采用WEB的方式，简单易用，你可以采用标准的WEB浏览器来访问和管理配置该设备。IVE的管理和配置可