VPNl解决方案.docx

1、VPNl解决方案CISCO SSL VPN 实施方案一.SSL VPN技术简介 IPSEC是由IP安全性工作组定义的协议集，它提供了最高级别的VPN安全协议。有了IPSec,就可以对网络层的每一项内容进行加密，确保网络层之间的安全通信。SSL协议安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，如果你使用过hotmail（用户密码保护），使用过网上银行（用户认证和传输数据加密），那你已经对它有所了解，它是一种鉴证和保密机制，特别针对网络电子商务而开发。SSL 它运行在OSI模式的第四层（传输层），在TCP/IP和H

2、TTP，FTP等之间。SSL协议主要包含两类子协议SSL握手协议和SSL记录协议，握手协议负责协商约定服务器和客户端间联系的协议版本、服务器认证方式、客户端认证方式（可选）以及用于数据加密和认证的共享密钥。SSL记录协议要将传输的数据流转换成加密数据块，形成“隧道”，并实施认证和完整性检验，使用的是SSL握手协议产生的密钥。SSL协议与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)可以建立于SSL协议之上，由于SSL协议在应用层协议通信之前完成加密算法、通信密钥的协商及服务器认证工作，从而保证在其上的应用层协议所传送的数据都会被加密，从而保证通信的安全性，包括

3、：数据的加密；数据的完整性检验，提供检验机制对传输的加密数据进行校验，保证数据在传输过程中没有被篡改过；端点的安全验证，提供检验机制对SSL协议的服务器和客户端进行认证，保证使用者的拥用正确身份。同时，SSL协议运行在传输层，只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密（网络层）。在使用SSL协议的通信中，每一个应用是一个安全的独立体。利用SSL协议进行VPN通信，进行通信的应用必须能够支持SSL技术，常见应用，IE、Netscape浏览器，OutLook、 Eudora邮件等一般都可直接运用SSL协议。 二.SSL VPNSSL VPN利用了SSL协议

4、，并针对VPN应用加入了必要的功能特征： 代理、协议转换和端口转发：为了让应用层协议和程序可以不加改动地利用SSL协议隧道，建立SSL VPN连接，它必须提供应用层协议到SSL协议的转换和访问代理，以及必要的通讯端口转发，如HTTPS, SMB/FTP/NFS等等 面向远程访问的设计：1. 无客户端访问：不论何种SSL VPN产品，均可利用浏览器和HTTPS进行WEB SERVER访问，避免客户端的安装和配置工作。高端产品则提供某种基于Java或ActiveX客户端扩展，或者直接安装客户端来提供扩展应用2. 从SSL VPN部署和配置上尽量简化客户端一方，而在服务器一端表现出门户式的服务入口3

5、. 强化的客户端身份认证机制和客户端安全保障，确保访问位置的无条件和安全4. 强化的安全审计 灵活的用户授权和访问控制：SSL代理为应用层的应用服务，结合用户权限设置和安全策略，SSL更容易提供细粒度远程访问控制。三.应用方向 SSL VPN面向远程访问，面向应用系统的接入和保护，特别是基于浏览器（WEB方式）的B/S结构网络应用。 SSL VPN将远程安全接入延伸到其他VPN方案不易扩展到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN正在成为远程接入的一种模式。四.应用场景: 企业内部运行了的办公自动化软件（ OA 系统），

6、在外地的分公司和出差员工利用SSL VPN就可以访问企业的 OA ，并且有足够的安全措施保证数据和系统安全。 文件分发和共享,这是在用户LAN内的重要网络应用,通过SSL VPN,员工可以从外地和合作伙伴的办公地点对LAN内的文件和文件夹进行安全读写,同时必须遵守由管理员制定的权限规则。 企业已将ERP 、CRM或进销存系统纳入企业的核心作业工具，业务人员和分公司不论身在何处均必须及时将信息反馈到中央数据库，并即时取得业务数据。有了SSL VPN，用户只要可以上网，就可及时安全地访问处于总部内网的数据库服务器。 部署网络图五.SSL VPN方案优势-远程接入VPN的首选5.1、SSL VPN的

7、优势 SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。这就易于安装和配置，明显降低成本 只要安装好SSL VPN，后需的专业服务需求较少，用户没有专业IT支持部门也完全可以使用，所以维护成本可以忽略不计。 SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上，具有穿越防火墙和NAT的能力。这种能力使SSL VPN能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突等困难。

8、支持多种设备，只要此设备提供标准浏览器，如可以上网的手机和PDA通信产品。也适用于大多数操作系统：不管是Windows、Macintosh、UNIX还是 Linux，只要运行标准的浏览器，都可以支持SSL VPN对企业内部网站和Web站点进行访问。 良好的安全性： SSL VPN使用SSL代理为上层应用提供服务，只向用户提供针对授权资源的代理连接，远程用户不会直接连接到企业网络上，因而不会威胁到其他网络资源，提供更高的安全性。 SSL VPN具有划分隧道的功能，即一位用户同时访问Internet和企业内部资源的能力在SSL VPN上是可以控制的。 SSL VPN还具有精细的访问控制能力，可以为

9、不同的用户提供不同的访问权限。这种精确的访问控制功能是IPSec VPN通常所不具有的。5.2、SSL VPN方案不足 对于C/S结构的非Web系统应用支持需要一定的配置和技术支持，在服务器端要进行针对性的配置,客户端则可能需要安装杂件插件,这带来部署和应用上的不便。这种配置只能基于已知或流行的应用系统。 由于对移动用户的良好支持，SSL VPN要经受用户从任意地点和设备访问应用系统的考验，要承受更大风险，如用户可能从信息亭或网吧种上网来访问，地点和设备均不受用户控制，也不可预测设备安全状况。 SSL VPN是应用层加密，性能比较差，需要使用加速装置。基于用户的需求，我们选择CISCO 281

10、1 带SSL VPN 硬件加速模块，实现安全，稳定，简便，快捷的远程接入本方案拓扑图：六、本方案产品配置Product Configuration ProductDescriptionQuantityCISCO2811-HSEC/K92811 Bundle w/AIM-VPN/SSL-2,Adv IP Serv,10 SSL lic,128F/512D1CAB-ACAAC Power Cord (China/Australia), C13, AS 3112, 2.5m1MEM2811-512U768D512 to 768MB DDR DRAM factory upgrade for the C

11、isco 28111MEM2800-128U256CF128 to 256 MB CF Factory Upgrade for Cisco 2800 Series1MEMUSB-256FT256MB USB Flash Token for Cisco 1800/2800/3800 series1FL-WEBVPN-25-K9Feature License IOS SSL VPN Up To 25 Users (Incremental)1CCP-CDCisco Config Professional on CD, CCP-Express on Router Flash1S28NAISK9-150

12、01MCisco 2800 ADVANCED IP SERVICES1PWR-2811-ACCisco 2811 AC power supply1AIM-VPN/SSL-2DES/3DES/AES/SSL VPN Encryption/Compression1FL-WEBVPN-10-K9Feature License IOS SSL VPN Up To 10 Users (Incremental)1ACS-2811-STANCisco 2811 Standard Accessory Kit1产品介绍Cisco 2800 C系列集成多业务路由器 产品简介思科系统公司正在重新定义一流大型企业和中

13、小企业路由，推出了一系列全新的集成多业务路由器，这些产品经过专门优化，能够以线速安全地交付并发数据、语音、视频和无线服务。建立在思科20年的领先地位和创新技术基础之上，Cisco 2800 C系列集成多业务路由器（参见图1）能够智能地将数据、安全、语音和无线服务嵌入一个永续的系统之中，从而实现快速、可扩展地交付关键业务应用。Cisco 2800 C系列的独特集成系统架构提供了最高业务灵活性和投资保护。图1. Cisco 2800 C系列产品概述Cisco 2800 C系列包括三个平台（参见图1）：Cisco 2801C、Cisco 2811C和Cisco 2821C。Cisco 2800 C系

14、列集成多业务路由器与前几代思科路由器相比，以相似价位提供了更高价值，性能提高了五倍，安全和语音性能提高了十倍，还提供有嵌入式服务选项，并且大大提高了插槽性能和密度，同时仍支持50多种现有的Cisco 1700、Cisco 2600和Cisco 3700系列模块。Cisco 2800 C系列能够以线速向多条T1/E1/xDSL连接提供多项高质量同时服务。这些路由器提供有内嵌在主板语音数字信号处理器(DSP）插槽中的加密加速功能；入侵防御系统(IPS)和防火墙功能；能够满足广泛有线和无线连接要求的高密度接口；以及足够高的性能和插槽密度，能够支持未来网络扩展和高级应用。安全的数据、语音和视频网络连接

15、安全性一直是所有网络的基本构成要素，因为安全功能需要内嵌在整个网络中，所以路由器在任何网络防御战略中都发挥着重要角色。Cisco 2800 C系列具有先进、集成的端到端安全特性，能够交付融合的服务和应用。借助Cisco IOS 软件高级安全特性集，Cisco 2800可在一个安全解决方案集中提供一系列强大的通用安全特性，如Cisco IOS软件防火墙、入侵防御、IPSec VPN、安全套接字层(SSL) VPN、高级应用检测和控制、Secure Shell(SSH)协议2.0版和简单网络管理协议(SNMPv3)等。此外，通过将安全功能直接集成到路由器中，思科能够提供其他安全设备所不能提供的独特

16、智能安全解决方案，如用于防病毒的网络准入控制(NAC)；在结合语音、视频和VPN时用于改进服务质量(QoS）的语音和视频VPN (V3PN)；以及用于支持可扩展性和可管理性更高的VPN网络的Easy VPN等。此外，思科还提供大量安全加速硬件，如入侵防御网络模块和支持加密的高级集成模块(AIM)等，使得Cisco 2800 C系列成为业界最强大的分支机构适应性安全解决方案。如图2所示，使用Cisco 2800 C系列产品，能够帮助客户以线速性能为并发、关键任务数据、语音和视频应用提供集成的端到端安全性。融合IP通信如图2所示，Cisco 2800 C系列能够满足中小企业和大型企业分支机构的IP

17、通信需求，同时在单一路由平台中提供业界领先的安全性。借助Cisco 2800 C系列，客户能够在一个平台上为其中小企业分支机构安全地部署数据、语音和IP电话，帮助他们简化运营和降低网络成本。无线服务这些路由器上的Cisco 2800 C系列3G无线选项提供了一款经济高效、易于部署、安全可靠的备份解决方案。因为数据传输速率接近T1速度，3G无线能够在DSL和ISDN等有线服务不可用或部署起来过于昂贵的地点，用于主用广域网连接。Cisco 2800 C系列集成多业务路由器支持最新3G标准（高速分组接入HSPA) 。集成服务图2还表明，借助Cisco 2800 C系列独特的集成多业务架构，客户现在能

18、够通过传统IP路由来安全地部署IP通信，将接口和模块插槽用于提供更多先进服务。通过可选集成大量服务模块，Cisco 2800 C系列能够轻松将独立网络设备和组件集成到Cisco 2800 C系列机箱中。其中许多模块，如思科入侵检测模块和广域应用服务模块等，拥有嵌入式处理器和硬盘，使它们能在很大程度上独立于路由器运行，且能通过单一管理界面对它们进行管理。这一灵活性大大扩展了Cisco 2800 C系列除了传统路由之外的潜在应用范围，同时仍保持集成优势。这些优势包括易管理性、更低的解决方案成本（投资开支和运营开支）以及更快的部署速度等。通过安全网络连接提供融合IP通信图2. 通过安全网络连接提供融

19、合IP通信架构特性和优势Cisco 2800 C系列架构进行了专门设计，旨在满足大型企业分支机构和中小企业对于当今和未来应用不断提高的要求。Cisco 2800 C系列提供了业界最广泛的连接选项和领先的可用性及可靠性特性。此外，Cisco IOS软件支持全套传输协议、服务质量(QoS)工具，以及先进的安全和语音应用，可支持无线和有线部署。特性优势模块化架构提供了广泛的局域网和广域网选项。网络接口可现场升级以支持未来技术。提供多种插槽类型，能在未来以“随增长、随集成”的方式添加连接和服务。Cisco 2800支持90多种模块，包括WIC、VIC、网络模块、PVDM和AIM（注：Cisco 280

20、1C路由器不支持网络模块）。嵌入式安全硬件加速每个Cisco 2800 C系列路由器都标配有嵌入式硬件加密加速器，当与可选Cisco IOS软件升级相结合时，可支持广域网链路安全和VPN服务。集成双快速以太网或千兆以太网端口Cisco 2800 C系列在Cisco 2801C、Cisco 2811C上提供了2个10/100端口，在Cisco 2821C上提供了2个10/100/1000端口。支持Cisco IOS软件 提供64 MB闪存和256 MB同步动态RAM (SDRAM) 内存，以支持并发服务的部署 可选集成通用直流电源在Cisco 2811C和2821C路由器上有一个可选直流电源，能

21、够扩展部署环境，如中央办公室和工业环境（注：Cisco 2801C不提供此电源）。集成冗余电源(RPS)连接器在Cisco 2811C和2821C上有一个内置外部电源连接器，能够轻松添加可与其他思科产品共享的外部冗余电源，从而缩短网络停运时间，保护网络组件不会因电源故障而中断运行。模块化特性和优势Cisco 2800 C系列在出色保护客户投资的情况下，提供了增强的模块化功能。该模块化架构经过重新设计，旨在满足日益提高的带宽要求，支持时分多路复用(TDM)互联，同时支持大多数现有模块。该路由器系列支持50多种可与其他思科路由器（如Cisco 1700、1800、2600、3700和3800系列等

22、）共享的模块。用于Cisco 2800 C系列的接口能与其他思科路由器轻松互换，在网络升级方面提供最大投资保护。此外，在网络中使用通用接口卡，可大大降低管理库存要求、实施大型网络部署，以及维护各种规模分支机构配置的复杂性。思科群组加密传输 VPN - 无隧道VPN提供广域网加密和认证服务产品概述语音和视频等网络化应用加速了企业对即时互联分支机构、可确保服务质量(QoS)的广域网的需求。这些应用特有的分布式性质促使企业日益需要大规模部署。同时，企业广域网技术也迫使企业在提供基于 QoS 的分支机构互联与确保传输安全性之间做出选择。随着网络安全风险的加剧以及法规遵从能力越来越重要，作为下一代广域网

23、加密技术的思科 群组加密传输 VPN 可帮助您同时在网络智能和数据私密性方面做到尽善尽美。通过推出群组加密传输技术，思科构建了无需隧道的新型虚拟专用网(VPN)。无需部署点到点隧道，分布式的分支机构网络即能够大规模扩展，同时保持对于确保语音和视频质量至关重要的网络智能特性 - 如 QoS、路由和组播等。群组加密传输技术基于可信组员的概念，提供基于标准的全新 IP 安全 (IPsec) 模式。可信的成员路由器使用通用的安全方法，与任何点到点的 IPsec 隧道无关。 基于群组加密传输技术的网络可运行在各类广域网环境中，包括 IP 和多协议标签交换(MPLS)。使用这项加密技术的 MPLS VPN

24、 具有高可扩展、可管理和经济高效性，能满足硬性的加密要求。群组加密传输技术内置了灵活性，允许重视安全性的企业自己管理网络安全性，不使用电信运营商的广域网服务，或将加密服务外包给运营商。群组加密传输技术能简化需要局部或全网状连接的大型 L2 或 MPLS 网络的安全保护流程。主要特性和优势群组加密传输技术构建在基于标准的技术之上，能够将路由和安全性轻松集成到网络阵列中。企业可通过 IFTF标准群组解释域(GDOI)来管理安全的组员。简化安全策略的分发工作GDOI使用户无需配置隧道终端，由一个密钥服务器向所有已注册并经过认证的路由器成员分发密钥和策略(图1)。通过从中央位置分发策略并与经过认证的组

25、员共享相同的群组安全信息，企业能大幅度简化密钥的分发和管理工作。 IP 路由保留基于群组加密传输技术的安全模式使用现有的路由基础设施，而不是使用传统的 IPsec 覆盖法。数据包继续使用其原始的源和目的地 IP 地址(图2)。通过在 IPsec 数据包中保留原始的 IP 报头，群组加密传输技术允许企业使用现有的 L3 路由信息，从而能够解决组播复制的低效问题并提高网络性能。图2. IPsec 与群组加密传输技术之间的 IP 路由比较群组加密传输技术还允许所有站点之间开展不间断的直接通信，无需穿越中央站点，从而确保语音、视频和其他延迟敏感型流程的低延迟和低抖动。此外，群组加密传输技术避免了 IP

26、sec 加密网络中常见的广播流量复制问题，从而减轻了 IP L3 VPN 上的组播流量负载。 表1 总结了群组加密传输 VPN 的主要特性。特性说明群组解释域GDOI (RFC 3547) 是密钥管理协议，能在授权的组员路由器之间建立安全关联。IP 报头保留保留 IPsec 数据包中原始的 IP 报头。集中的密钥和策略管理位于中央位置的密钥服务器，通常是头端路由器，负责向授权的组员路由器发布密钥和再加密的消息以及安全策略。支持适用于所有组员的当地和全局策略，例如加密所有流量的策略Permit any any。密钥服务器的高可用性密钥服务器负责分发密钥和策略消息，能在主备密钥服务器之间实现密钥和

27、策略数据库同步，从而支持高可用性。支持防重放功能 防重放支持能防御中间人攻击。加密支持数据加密标准(DES)、三重 DES (3DES)、高级加密标准 (AES)硬件支持IPsec 加密的硬件加速功能有助于确保满足性能要求。思科系统公司? 建议尽量使用 IPsec 的硬件加速功能。思科集成多业务路由器、安装了 VPN 模块的Cisco 7200 系列路由器以及 Cisco 7301 路由器都通过板载加速功能支持 IPsec 加速和群组加密传输特性。关于思科路由器的加速支持，请见表2。 表2. GET VPN 的思科硬件支持特性平台思科VPN加速GET VPN 组员Cisco 850, 870,

28、 1800 系列, 2800 系列和 3800 系列板载 IPSec 加速 Cisco 1841, 2800 和 3800 系列 Cisco AIM-VPN-II-PLUS, AIM-VPN/SSL 模块Cisco 7200 系列和 7301 路由器 Cisco VPN 加速模块 2+ GET VPN 密钥服务器Cisco 3800 系列, Cisco 7200 系列和 7301 路由器Cisco AIM-VPN/SSL 模块(Cisco ISR); Cisco VPN 加速模块 2+ (Cisco 7200 系列和 7301 路由器)思科群组加密传输技术的优势群组加密传输技术通过同时加密和认

29、证组播与单播流量而扩展了 GDOI，为大量应用提供了优势： 通过加密所有的广域网流量来提供数据安全性和传输认证，帮助满足安全法规和内部规定的要求 提供高度可扩展的网状网络并通过群组密钥管理消除了复杂的对等间密钥管理需求 对于 MPLS 网络，可维护全网状连接、自然的路由路径及 QoS 等网络智能 中央密钥服务器允许轻松管理组员关系 允许站点间开展不中断的直接通信，无需穿越中央站点，从而确保低延迟和低抖动 使用核心网络来复制组播流量 - 避免逐个对等位置地复制数据包，从而减少客户端设备(CPE)和运营商边缘加密设备的流量负载 应用专用广域网环境网络安全风险的加剧以及法规遵从要求的日益严格迫使企业

30、急需广域网传输安全性。无论是自己管理 MPLS 的企业，还是从电信运营商处购买 MPLS 或专用广域网服务的企业，都能自己部署群组加密传输技术，确保数据私密性，同时维护多个专用广域网中固有的任意到任意连接。这种做法使企业不仅能够对自己和电信运营商进行合理的安全控制，而且还能满足安全法规的要求。公共互联网环境对于 IPsec VPN 穿过公共互联网的企业来说，群组加密传输技术能使用群组共享密钥，经济高效地提供高度可扩展的、可管理的网状网络，从而增强动态多点 VPN (DMVPN) 和基于 GRE 的站点间 VPN。群组加密传输技术通过这种方法简化了大规模网络部署中的密钥管理工作。如需了解思科为无隧道和有隧道环境提供的 IPSec 站点间解决方案有何不同，请参见思科站点间解决方案概览文档。管理除同时为组员路由器和密钥服务器提供监控与排障功能外，思科群组加密传输技术还支持轻松安全的设备部署，以便在 PKI 部署中安全地配置设备。产品未来将支持思科安全管理器。