华堂SSLVPN白皮书.docx

1、华堂SSLVPN白皮书白皮书2008年12月版权声明本手册的所有内容，其版权属于上海华堂网络有限公司所有，未经华堂许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，华堂及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，华堂恕不承担另行通知之义务。版权所有 不得翻印上海华堂网络有限公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。上海华堂网络有限公司1.

2、 前言1.1. 背景现阶段，我国的信息安全体系的创建基本完成，来自全国各地的安全厂商为电子政务、电子商务以及各大行业提供了品种繁多的产品，诸如防火墙、VPN、防病毒、IDS等，这些产品为各行各业的网络平台提供了基本的安全保障并有效地防止了各种恶意攻击、提高了系统的稳定性，并且有效地利用了系统资源加速了社会经济的发展。但是，随着信息安全技术进入到后信息安全时代，我们注意到各种应用对信息安全提出了新的需求，原有的技术已经无法完全满足这些新的市场需求，基于传统安全理论架构开发的安全产品也难以应付越来越高的安全需求。1.2. II-SEC体系华堂一直致力于全方面的安全解决方案，根据在为客户服务过程中长

3、期积累的经验，我们认为时间跨度最长的运营服务管理应给予更多的重视。信息系统对于信息技术和安全技术有较强的依赖性，高质产品由于技术服务管理质量对应用业务系统的冲击将等同于劣质产品所带来的负面影响。尤其是当今应用业务需要根据市场变化、竞争对手情况等日益复杂的环境进行灵活的调整、变更，传统的以技术为中心的模式由于过于注重技术而正面临对业务造成负面影响的窘境，已无法更好的满足当今业务灵活变化的需求。另外，随着业务本身的发展、变化，对安全性提出了更高的要求，众多来自不同厂商的安全产品在信息系统得到大量的推广和应用，由不同厂商独立开发的各类安全产品、系统之间由于设备、系统之间的互操作性差，导致IT部门管理

4、人员的管理复杂度大大增加，成本随之相应增加。更严重的是，由于管理复杂度的增加而容易导致配置上的疏忽和漏洞，从而影响整个系统的安全性，安全保障也随之失去应有的功效，这就要求建立整网安全管理平台，构建各种安全设备、系统之间的交互的渠道，统一管理，协调操作。因此，树立以服务为中心，安全管理为技术手段的理念就非常必要。从技术的角度来看，由于应用业务种类日益繁多，需求更加灵活变化，这对于安全产品技术本身提出了更高的要求，需要投入更多的精力研制开发升级产品来满足客户业务功能不断增加、需求灵活变化的特点，也使得安全产品技术本身更加高端，产品本身的配置使用也日益复杂。众所周知，任何设备和产品都应服务于业务本身

5、，最终的目标应该与业务本身的目的吻合，因此，在信息技术和安全技术快速发展的当今，对产品本身的易用性 提出了更高的要求。正如我们所指出的那样，信息化的发展是“双刃剑”，在给人们日常工作、生活带来巨大便利，推动社会进步的同时，也带来的更多的风险，信息泄密、网络经济犯罪、非法信息传播等一系列信息安全问题严重威胁社会稳定，造成重大的经济损失，因此，有必要建立完善的监查和应急系统，维护信息系统的正常运转，保证网络的可控性。华堂根据长期信息安全技术开发和安全服务的经验积累，针对当今高速互联网背景下的安全需求，推崇构建可控安全网络的理念：基于自主和服务管理的安全、易用、可控网络建设II-SEC NETWOR

6、K。“自主可控”是未来我国安全技术发展的总体方向，信息安全从小的方面会关系到个人和企业的正常生活和运转，从大的角度看会影响到国民经济的稳定发展和危及国家安全。大力发展自主的安全技术，构建安全可控的网络具有非常重大的社会经济意义。1.3. CSN系统遵循II-SEC体系，华堂推出了最新的CSN系统。CSN采用可控网络技术对包含内网和外部接入网在内的整个网络进行安全加固，确保全网的每个终端都是安全、有效、可控的。CSN系统借助网关和主机微引擎的联动体系，一体化解决用户在网络边界、接入链路、主机、网络数据、业务平台上遇到的管理问题，将“主机本地局域网远地局域网移动节点”的资源和安全策略进行统一管理。

7、1.4. 产品体系华堂主营产品包括：防火墙、SSLVPN、防病毒网关、IPSecVPN、内网安全防御系统、上网行为管理、防垃圾邮件网关、UTM、安全邮件网关、流量管理等。具体参见下图。华堂产品体系图2. 产品介绍2.1. 产品简介SSL VPN技术目的是采用SSL (Secure socket Layer)协议为通信双方在公共网络上提供一条安全的通道，在保障安全的前提下，不影响通信的效率。SSL VPN不需要复杂的客户端支撑，易于安装和配置，明显降低成本。SSL能基于Internet实现安全数据通信：数据在从浏览器发出时进行加密，到达数据中心后解密；同样地，数据在传回客户端时也进行加密，再在

8、Internet中传输。它工作于高层，SSL会话由两部分组成：连接和应用会话。在连接阶段，客户端与服务器交换证书并协议安全参数，如果客户端接受了服务器证书，便生成主密钥，并对所有后续通信进行加密。在应用会话阶段，客户端与服务器间安全传输各类信息，如认证卡号、股票交易数据、个人健康状况这类敏感或机密数据。华堂本着依靠自己的技术实力的思想，根据S.E.C网络体系标准，提出我们关于SSL VPN 产品的解决方案，希望能够为民族的信息安全领域作出应有的贡献。华堂SSL VPN系统是基于专用安全操作系统，由我公司自主开发完成，拥有自主知识版权。相比于普通SSLVPN它是一个更强大的资源平台，具有更灵活的

9、部署方式，更方便的安全接入和更全面的管理功能。2.2. 产品功能华堂SSL VPN充分考虑到用户的实际需要，为用户提供了丰富的产品功能，包括：功能类别功能项功能描述网络功能工作模式支持路由、透明、混合模式静态路由支持静态路由高级路由支持源地址路由和策略路由动态路由支持RIP v2、OSPF、BGP等动态路由协议多ISP冗余支持多ISP链路的负载均衡VLAN支持VLAN支持VLAN TrunkPPPoE支持PPPoE拨号连接DHCP支持DHCP Server、DHCP Relay和DHCP ClientDNS支持DNS域名解析DDNS支持DDNS动态域名解析静态ARP支持IP/MAC地址绑定组播

10、支持IGMP、DVMRP、PIM-SM等组播协议动态端口支持视频会议（H.323）支持FTP协议支持SQL*NET安全功能包过滤支持状态检测支持基于源/目的IP、源/目的端口和协议的包过滤支持基于时间段的访问控制内容过滤支持对HTTP、FTP、SMTP、POP3和Telnet的深度过滤攻击防范支持DoS/DDoS攻击防范支持扫描攻击支持蠕虫攻击防范支持地址欺骗攻击防范身份认证支持简单认证、一次一密认证、USB Key认证支持RADIUS、TACACS/TACACS+、NT域等第三方认证支持用户和组认证管理入侵检测支持基于网络入侵检测系统功能，检测多种网络攻击行为。超过3000多种的过滤规则类型

11、。防病毒支持防病毒（MAV）防垃圾邮件支持防垃圾邮件NAT功能静态NAT一对一，双向动态NAT支持多对多的源转换和多对一的源转换端口映射支持单个端口和端口段方式映射VPN功能工作模式支持端到端、点到端、点到点的SSLVPN服务加密算法支持3DES、CAST、IDEA、BLOWFISH身份认证支持MD5和SHA1隧道技术支持PPTP、L2TP、IPSec、SSL VPN密钥管理支持预共享密钥、IKE和数字证书资源发布基于用户组的资源发布功能自定义用户通告自定义用户通告功能视频应用支持视频应用二层支持支持IPX，NETBUI，广播，组播动态地址支持动态地址接入（PPPOE用户接入VPN）冗余支持支

12、持多级热备和负载均衡IPSEC接入支持IPSEC接入访问控制基于用户组的访问控制功能多级应用控制可选择二次认证，提高安全性多种认证方式本地认证、动态目录(域认证)、LDAP、Radius、TACACS+、短信认证、动态口令认证多种证书认证单双向认证选择、多证书链、多种证书等证书传递支持cookie方式证书传递证书，并支持cookie类型选择小型CA系统不仅可以满足自身的需要，同时可以为第三方产品提供数字证书服务Cookie可选允许用户自行选择需要传输Cookie类型，提高性能，节省网络流量CRL动态更新支持从LDAP动态更新CRL列表，保持最新状态图形化配置图形化配置功能带宽管理带宽管理、流量

13、控制动态监控支持动态监控VPN用户连接状态和流量信息、动态黑名单日志审计全面的日志审计功能高级功能QoS流量管理支持自定义带宽分配策略、最小保证带宽和最大限制带宽HA（高可用性）支持主从热备和双活热备支持设备状态探测和链路状态探测端口聚合支持端口聚合（bonding）SNMP支持SNMP v1/v2/v3IDS联动支持与主流IDS设备的联动ICD检测支持地址冲突检测Watchdog支持防死机安全管理日志分析支持多种日志类型的记录和图形化分析日志维护支持日志备份、删除、导入和导出状态监控支持对CPU、内存、磁盘、网络流量和应用模块的监控系统报警支持多种报警事件和报警方式系统管理管理方式支持集中管

14、理、分布式管理和命令行管理维护方式支持快速配置向导，支持远程维护和升级支持配置文件的保存、备份和恢复用户管理支持多级用户管理2.3. 技术特色华堂SSL VPN是华堂网络凭借在安全领域多年积累的经验开发而成的，拥有领先的技术优势,支持HTTP、HTTPS 、FTP、网络邻居远程桌面等多种应用。2.3.1. VPN用户的一致性认证传统的VPN网关产品只是建立了一个底层加密连接，与WEB层应用系统无直接关联，当用户使用登录应用系统时，需要再次输入口令进行验证，这种两次口令验证过程比较复杂，对用户使用不易，使用时容易生产混乱。能不能有一种方便的VPN网关产品，一次性解决VPN用户登录时的验证和WEB

15、层应用系统登录时的用户验证呢，同时又能保护系统的安全？答案非常肯定，华堂SSLVPN使用先进的COOKIE技术，在保护用户系统的同时，又可以方便地登录用户系统，在用户登录VPN后，自动将用户身份信息传递给后台WEB应用系统进行验证，同时还动态地从CA服务上自动调用CRL列表动态更新用户证书有效情况，防止过期证书的使用, 即用户使用一张证书登录所有应用系统。2.3.2. PKI 数字证书的全面支持基于业界标准PKI 体系，华堂SSLPVN具备了对PKI 的全面支持： 证书单双向的认证选择：关可以配置建立加密连接时是否认证用户证书。 多服务，多站点证书支持：可以建立多个服务，保护不同的应用，每个服

16、务可以使用不同的站点证书。 完善的证书管理，支持多种客户端证书认证方式，支持多CA环境(例如上海CA、安微CA、格尔CA)，支持多证书链交叉认证； CRL列表态更新：可以自动到LDAP 发布点获取CRL列表，并动态更新，不需要重新启动服务。2.3.3. 丰富的Cookie控制允许用户自行选择需要传输Cookie类型，提高性能，节省网络流量。cookie由变量名和值组成。其属性里既有标准的Cookie变量，也有用户自己创建的变量，属性中变量是用“变量=值”形式来保存。2.3.4. 二次认证可选允许可选择二次认证，提高安全性。在高级别的安全应用中如果要求进行多级认证控制，可以打开二次认证功能。2.

17、3.5. 强大的移动商务/政务应用平台华堂SSL VPN采用先进的VPN Portal技术，提供了基于用户组的资源发布。通过不用的用户组来分配不同的网络应用资源，用户无需记忆网络应用，比如公司ERP系统、财务系统、供应链系统等等，系统通过灵活方便的用户通告和自定义企业Portal，将其直接显示在登录后的界面上，只需要双击就可以启动相应的网络应用。2.3.6. 更灵活的部署方式支持端到端的SSLVPN服务，提供给用户灵活多变的接入支持，方便用户对网络连接的各种需求。同时华堂SSL VPN支持透明模式，使用户方便地使用网络邻居、视频点播、视频会议等日常应用。支持SSLVPN无客户端，支持各类的操作

18、系统平台用户接入，包括Windows/Linux /Unix/Mac OS X等。兼容性：支持IE、Netscape、Firefox 等主流浏览器，支持IIS、Websphere、Weblogic、apache、tomcat 等主流Web 服务器。支持动态地址接入，包括DDNS服务，即使客户端和服务端都是动态地址的情况下，一样能建立VPN连接，方便用户组网。同时系统支持多级热备和负载均衡功能，可以不断提升SSL VPN的性能与可靠性。支持IPSec VPN接入，保护用户原有的网络投资，灵活部署网络。2.3.7. 更方便的安全接入支多种身份认证方式，包括本地认证、动态目录(域认证)、LDAP、R

19、adius、TACACS+、短信认证、动态口令认证；支持硬件特征码认证，并支持硬件特征码自动学习。支持USB令牌功能，支持双因子认证方式。短信认证、动态口令认证方式，进一步提高VPN应用的安全性。防止非法用户仅凭密码就可以登录系统的情况，在方便接入的同时又有安全可靠的保密。华堂SSLVPN支持独创的硬件特征码技术，保证接入端电脑的唯一性，智能识别每一个接入点的安全标志。做到口令与登录电脑的绑定，提供高级别的安全保护措施。2.3.8. 更全面的集中统一管理平台图形化配置管理，具有强大网络拓扑图管理功能，用户根据网络实际情况建立拓扑，同时显示各网络端口的流量，VPN运行时的CUP占用率、内存占用率

20、；丰富详细的日志管理，用户通过数据日志、审计日志、及安全日志来全方面掌握VPN运行状态。支持Syslog等多种日志格式的输出、支持通过第三方软件来查看日志、支持日志分级、支持对接收到的日志进行缓冲存储；支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密卡状况监测。支持WEB管理、命令行配置、支持本地配置、远程配置等多种配置方式；支持SNMP功能、与当前通用的网络管理平台兼容，如HP Openview 等。2.4. 产品型号华堂SSL VPN的产品规格如下： 性能指标产品型号SJW22A-10SJW22A-20SJW22

21、A-25SJW22A-50SJW22A-80SJW22A-100适用用户群部门级小企业级中型企业大型企业级行业级电信级用户数20501002005001500加密速率15M30M60M80M200M240M日志容量10G20G20G40G40G60G网口数量4百兆电口4千兆电口4千兆电口6千兆电口8千兆(4光/电+4电)12千兆光/电3. 产品部署3.1. 部署策略华堂SSL VPN采用硬件形式封装。支持网桥模式，用户可以直接访问网络邻居、视频会议和视频点播等应用。华堂SSL VPN可以方便灵活地部署在用户的网络环境中。用户只需要在防火墙上开放相应的端口就可以实现华堂SSL VPN的部署。客户

22、端软件不需要安装其它任何支撑软件，对计算机硬件没有特殊要求。华堂SSL VPN目前支持的客户端为Windows 2000/XP/2003。3.2. 解决方案华堂SSL VPN具有良好的网络适应性，适应从单机应用到大规模分布式应用等不同层次的应用，支持多网段环境。典型应用如下图所示：3.2.1. 教育行业SSL VPN解决方案需求分析：如下图所示某大学各分散校区之间，需要安全访问远程的市图书馆。使用户端安全地访问图书馆系统，实现远程查询，书籍借阅等应用。华堂解决方案： 各校区安全互联；通过对端到端SSL VPN的支持，达到各校区之间安全互访。 方便易用的图书馆远程访问；各分校区的用户可以方便安全

23、地访问市图书馆的网络应用，方便学校远程教育使用。图1：学校部署图3.2.2. 电子政务解决方案需求分析：某政府部门的政务网络环境，通过内部通过百兆网络接连，并通过华堂防火墙连接到Internet。局域网内存在电子政务服务器、文件共享服务器、FTP服务器、打印服务器等。需要保证上下级单位之间资料安全传输，VPN联网快速稳定，部署方便，维护量小。外出出差人员能够随时随地通过互联网安全地访问政务系统。同时系统提供所有访问的详细记录，并且访问控制的颗粒度细化。华堂解决方案： 主管部门与下级单位安全互联；下级单位可以方便快捷安全地访问主管部门的服务器，安全地使用其业务应用系统。 政府部门外出人员安全接入；政府人员出差时方便地上网通过SSLVPN访问需要的政务资源；支持USB KEY的认证方式，适合保密要求高的用户。 详细的访问日志记录；系统提供完整详细的访问日志记录，真实反映SSL VPN网络访问状态。 访问控制的颗粒度细化；系统提供多达三重的访问控制，最大限度地细化访问控制的颗粒度，使用户应用部署更加灵活。图3：政府用户部署图4. 资质认证 国家密码管理局发布的商用密码产品销售许可证 国家密码管理委员会办公室颁布的商用密码产品生产定点单位证书