XX VPN企业解决方案.docx

1、XX VPN企业解决方案XX VPN企业解决方案1.方案背景概述1.1现状分析 1.1.1行业背景简述随着网络技术及移动、智能终端的发展，携带设备办公（BYOD）成为越来越普遍的趋势。BYOD要求员工无论在什么地方、采用什么样的终端，在安全的身份验证及严格的权限控制下都能够安全地访问到业务数据。1.1.2具体背景 经过前期的安全建设，已具备了一定程度的安全防护措施。目前主要实现的网络出口安全保障主是在边界网络出口通过部署远程访问接入IPSec VPN 一系列传统的VPN系统，保障企业内资源的远程安全访问，保障员工和专家在企业外部能够安全便捷的访问企业内部的信息化系统。1.1.3传统VPN存在的

2、缺陷但随着用户网络规模越来越大，上千个网络节点已经稀疏平常，企业数据迁移至云环境带来的数据传输安全保密性需求，同时用户业务对网络质量的要求也越来越高，导致网络维护人员的压力倍增，而传统VPN网络的复杂维护就是其中压力之一。 IPSec VPN设备配置命令多，参数专业性强，参数之间的关系复杂，如何快速完成业务规划部署？ 如何监视IPSec VPN网络的运行状态？ 如何能够监控用户租用VPN的性能? 如何快速定位IPSec VPN设备的故障？其次，企业园区内网对网络可靠性、安全性需求较高，各种不同的业务系统依赖于稳定的网络，出口设备承担的负担较重，发生设备宕机将会造成业务中断。使对组网通信安全保障

3、提出更高的要求。1.2 VPN需求列举1.2.1前端安全需求对于前端的VPN接入需求进行加密措施，有效防止违规接入；1.2.2传统VPN建设瓶颈：（1）网络配置复杂，设备上线对技术水平要求较高；（2）解决VPN故障耗时较长，必须依赖于人工；（3）部分业务近乎苛刻的网络连续性需求无法满足；（4）多链路出口无法智能选路、冗余备份；（5）偏远地区网络互连需求；所有业务流量共享相同VPN隧道，无法根据应用进行区分。1.2.3链路稳定性不足基于传统VPN组网对链路稳定性不足，网络环境中突发路由问题，会导致通信中断或时断时续。如何才能快速地检测到故障并迅速恢复用户业务成为电子政务内网的迫切需求。1.3方案

4、解决思路SSL VPN以其良好的兼容性、简单易操作性、细粒度的权限控制及终端安全策略成为BYOD时代的首选。SSL是一个安全协议，为基于TCP的应用层协议（如HTTP）提供安全连接。SSL VPN是以SSL为基础的VPN技术，充分利用了SSL协议提供的基于数字证书的身份认证、数据加密和消息完整性验证机制，能够为应用层之间的通信建立安全连接。 SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务，并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络，访问内部网络的共享资源。2.总体设计2.1总计设计理念 通过对准入认证、网络授权、用户管理；终端管

5、理、数据安全、应用管理、内容管理等维度来解决对应的VPN问题。2.2 建设目标在完成了企业的VPN网络建设后，将为应用系统提供统一、安全、高速、可靠的网络传输平台，具体能够实现以下目标：1）网络互联可实现“企业总部-分公司-分支机构”及各分公司、分支机构之间的安全互连，为内部应用系统的运行提供互连互通、安全可控、自主管理的网络平台。2）独立性 能够根据用户的需要有选择地对需要的业务数据进行加密，不需要加密的数据和Internet接入业务可以不受到影响。3）网络安全性 安全周边安全：VPN安全网关融合了VPN、路由、上网行为管理、防火墙等功能，可对外来及内部攻击进行主动防御，更能保证整个网络平台

6、的安全及每个局域网内部的安全。VPN安全网关其内置防火墙其抗攻击能力优异。 信息传输安全：通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式，保证信息传输的完整性、保密性及不可抵赖性，把安全真正掌握在用户手里。 可靠性：XX SSL VPN安全网关性能稳定可靠，为系统长期稳定运行提供强有力的保证。4）系统扩展和变更的灵活性系统VPN网络的扩展非常容易，同时又不会带来安全隐患。5）网络通讯效率此次网络建设所选用的设备具有很高的加密速率，不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。6）高性价比本项目实施后不但解决了很高的信息数据传输安

7、全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。本方案提供了完整的思路，具有极高的性能价格比和投资回报率。2.3设计原则1）可靠性在考虑技术先进性和开放性的同时，还应从系统结构，技术措施，系统管理等方面入手，确保SSL VPN运行的可靠性及稳定性，达到最大的平均无故障时间，尽量在长时间运行的情况下，避免SSL VPN中出现问题。2)先进性对所需的各类安全产品提出了很高的要求，须采用先进成熟的技术和设备及服务手段，能反映当今信息安全领域的先进技术和理念,满足国内信息系统安全隐患发现的能力，使整个系统在一段时期内能够保持技术的先进性。3）实用性原则系统在设计上一方面将满

8、足双向的数据传送、实时处理的要求；另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。4）安全性原则以高度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。5）可扩展性原则系统建设应该是统一规划、分步实施、逐步完善的的过程。我企业在该方案的设计中充分考虑它的可扩展性，使系统能够方便的扩展。6）可推广性原则该方案具有很强的推广性，可根据实际情况逐步扩展网点数量。7）易管理性原则网络系统的管理和维护工作也是至关重要的。在系统设

9、计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。2.4设计依据与标准本项目主要依据标准和规范如下：1)中华人民共和国网络安全法2)信息安全等级保护管理办法（公通字200743号）3)GB/T22239.1信息安全技术网络安全等级保护基本要求第1部分安全通用要求4)GB/T22239.2信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求5)GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求6)GB/T20269-2006信息安全技术信息系统安全管理要求7)GB/T20984-2007信息安全技术信息安全风险评

10、估规范8)ISO/IEC27001:2013信息技术安全技术信息安全管理体系-要求3.技术方案3.1功能设计3.1.1主机安全状态检查可以对操作系统、浏览器、杀毒软件的类型、版本、补丁进行检查。用户证书检查。指定文件、进程检查。3.1.2 接入方式免客户端支持WEB接入、TCP接入、IP接入。3.1.3 支持多种加密算法支持RSA数字签名算法。支持MD5、SHA1摘要算法。支持RC4、DES、3DES、AES等加密算法。3.1.4 支持多种认证方式支持本地认证、adius认证、LDAP认证、AD认证、证书认证、双因子认证。3.1.5 拥有网络安全防火墙功能支持访问控制。ASPF应用层报文过滤。

11、DoS/DDoS攻击防范。流量统计。P2P流量控制。3.1.6 拥有网络安全内容过滤功能支持邮件过滤、网页过滤、应用层过滤。3.1.7安全日志及统计用户行为流日志、攻击实时日志、邮件告警功能。3.2技术实现方案3.2.1 SSL VPN技术SSL是一个安全协议，为基于TCP的应用层协议（如HTTP）提供安全连接。SSL VPN是以SSL为基础的VPN技术，充分利用了SSL协议提供的基于数字证书的身份认证、数据加密和消息完整性验证机制，能够为应用层之间的通信建立安全连接。 SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务，并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联

12、网的位置安全地接入到企业内部网络，访问内部网络的共享资源。3.2.2 集成IPsec技术 IPsec是一种三层隧道加密协议，它通过在特定通信方之间（例如两个安全网关之间）建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为IPsec隧道。IPsec支持认证及加密机制，认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。3.2.3 VPN集中管理机制 一直困扰IPSec VPN网络管理的难题在于通过NAT进行IP地址转换或动态分配IP地址的Spoke设备无法通过SNMP、T

13、elnet等传统网络管理方式进行管理。组建IPSec VPN网络需要维护人员到Spoke设备上逐个进行本地配置。IPSec VPN网络管理只能对已建立的IPSec VPN网络进行监控。XX推出了iMC IVM、iMC BIMS的融合管理方案，真正做到IPSec VPN全流程管理。iMC BIMS通过TR069协议发现全网Spoke设备。iMC IVM对全网Spoke设备进行预配置，建立虚拟IPSec隧道，并将配置下发到iMC BIMS。Spoke设备上线后，iMC BIMS通过TR069协议将IPSec隧道设置下发到Spoke设备上，真正建立起IPSec隧道，完成IPSec VPN网络的建立。

14、IPSec VPN网络建立后，由iMC IVM进行全面的IPSec VPN网络管理功能，提供向导性的批量资源管理、隧道管理、性能管理、拓扑管理等能力。 3.2.4 智能VPN技术 针对解决VPN故障耗时较长，必须依赖于人工。所有业务流量共享相同VPN隧道，无法根据应用进行区分等问题，采用智能VPN技术。智能VPN技术：隧道自动切换。当隧道A质量下降或中断，防火墙可以根据负载均衡算法和链路质量探测技术，将业务流量自动切换到其他隧道B，待隧道A恢复后，流量可自动切换回去，保证业务流量自始至终的高质量传输。基于应用的选路。根据业务的关键程度选用不同质量的链路，让客户在成本和业务质量上取得平衡。隧道自

15、动建立，无需首包流量触发，确保流畅上网3.2.5 采用ADVPN技术ADVPN是三层VPN技术，公网作为VPN网络的链路层，实现了点到多点的自动隧道技术。ADVPN可以看成是GRE+IPSec隧道的改进升级，和GRE隧道类似，在节点上有对应的tunnel虚接口。ADVPN隧道是点到多点的隧道技术，对端节点很多，而且随时有可能有节点加入和退出，而且各个节点的地址可能是动态变化的，所以不能在本地配置所有对端节点的公网地址。因此增加了VAM Server这个角色，所有的节点将自己的公网地址和tunnel接口的私网地址向VAM Server进行注册。VAM Server负责维护各个节点的信息。本端节点

16、如果需要发送报文给对端节点连接的私网，查询路由表，发现下一跳是对端节点的tunnel私网地址，此时，如果本端节点还没有建立到对端节点的隧道，那么向VAM Server发起查询，通过对端的私网地址去查询对端的公网地址，然后发起隧道的建立过程。很多政府、金融、电力、能源企业有为数众多的分支机构，因此企业对利用公共网络组建VPN的需求越来越多。 ADVPN具有优势在于： 第一，组网简单、可扩展性好，减少分支机构众多时配置和维护的复杂性。其次，保证网络安全性，报文要加密传输，防止非法分支接入。除此之外还具有良好的适应性，支持固定、动态地址接入。 可以有效弥补点到点隧道IPSec，配置多点传输很麻烦，维

17、护性差等不足。3.2.6设备虚拟化技术XX SSL VPN支持2级虚拟化技术应对不同的场景需求。针对仅需要支持对外访问及业务隔离的场景，可以通过sslvpn context实现。在配置管理上，SSLVPN context通过将部分业务进行实例化，实现不同访问域之间的配置独立，在访问管理上通过不同的访问域名、下拉域名列表、访问IP满足用户访问入口的隔离，在转发管理上，通过VRF多实例实现不同访问实例之间转发数据的隔离。同时XX SSL VPN基于XX最新一代ComwareV7操作系统，支持完备的虚拟化技术Device context，通过操作系统级别的虚拟化，可以实现在管理、转发上的完全隔离，对

18、外完全呈现为独立的SSL VPN网关,这种完全虚拟化技术适用于多租户业务模型，不同租户管理员需要有独立的管理界面，在这种模式下，不同租户虽然共享硬件资源，但是缺省管理员可以给每一个租户对应的设备分配独立的安全能力。每一个租户管理员也可以在本租户的Device context内进一步地创建SSLVPN Context从而实现两级虚拟化，满足更灵活的业务需求。同时管理员可以灵活分配每个context/sslvpn context支持的用户数。3.3方案技术优势 支持SSL VPN、IPsec、L2TP三种VPN技术，其中SSL VPN较适用于主机到网络的连接，IPsec较适用于网络到网络的连接，L

19、2TP适用于拨号接入网络。除此以外，还支持L2TP over IPsec，可以使拨号网络的数据传输更加安全。因此客户可以通过灵活组合各种技术，来满足不同的需求场景。支持VPN接入和AAA相结合，既可以采用本地认证本地授权的方式，也可以采用远程认证授权的方式，支持和AAA服务器使用Radius协议交互。因此客户可以根据需求场景来选择不同的认证方式，使VPN接入用户的身份认证更加灵活可靠。支持VPN数据传输和QoS相结合，通过修改报文的DSCP优先级、拥塞管理或者流量整形等方式，达到合理分配带宽、保障优先业务、提升服务质量的目的，使VPN的数据传输可以高效利用有限的网络带宽。支持3/4G建联。针对

20、移动、偏远、小微分支场景，3/4G跟有线接入搭配使用，提供更加方便、高效的局域网移动办公需求。4 硬件方案4.1实施、部署方案VPN统一管理方案组网图部署如图所示，核心交换机上旁挂一台SSL VPN网关，提供移动办公用户SSL安全接入.BYOD部署EMO，识别终端类型，对终端进行安全管控.EMO提供应用推送功能：央视会将自己开发的测试app推送到员工的终端上.EMO提供远程擦除功能：如果员工的终端丢失，将信息反馈给网络管理员，网络管理员对注册的终端进行安全擦除.5 方案价值受益1、安全性加强：VPN网关的加密模块针对APP流量能够自动加密并进行隧道封装，实现银行企业数据经VPN隧道加密传输，有

21、效保障数据传输的安全。2.办公效率提升：任何时间地点，碎片时间快速响应，员工满意度提高。3.IT管理能力的提高：跨平台、设备、网络统一关系，领导满意度提高。4.业务模式的创新：移动营销、移动展业、无线考勤，客户满意度提高。5.易用性提高：在用户登陆时实现单点登录，APP登录时无需输入VPN的用户名和密码，通过单点登录API获取VPN用户名、密码及凭据，自动完成VPN登录，提升银行员工操作体验感。6.运行稳定：可轻松实现备份方案，在Internet线路出现故障的情况下可迅速实现平滑切换，确保网络时刻可用；可管理的网状网络在某些网络节点故障的情况下不会影响其它网络节点的使用，并且在Internet线路恢复以后故障的网络节点能够在12分钟内恢复正常工作。