网络安全与VPN部署解决方案.docx

1、网络安全与VPN部署解决方案 XX公司网络安全项目建议书前 言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，使得网络边界安全问题变得越来越重要。目前互联网已经成为最大的公共数据网络，在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行；移动员工、远程办公人员和分支机构都利用互联

2、网来从远程连接他们的企业网络；而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机，因而企业必须学会保护自己免受这些威胁的危害。在捍卫网络安全的过程中，防火墙受到人们越来越多的青睐。作为一种提供信息安全服务、实现网络和信息安全的基础设施，防火墙采用将内部网和公众网如Internet分开的方法，可以作为不同网络或网络安全域之间信息的出入口，根据企业的安全策略控制出入网络的信息流。再加上防火墙本身具有较强的抗攻击能力，能有效地监控内部网和Internet之间的任何活动，从而为内部网络的安全提供了有力的保证。随

3、着技术的发展，各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，如针对Windows系统和Oracle/SQL Server等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的净荷部分。传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力，因为它们只查TCP/IP协议包头部分而不检查数据包的内容。此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。同时层出不穷的即时消息和对等应用如MSN，QQ，BT等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁，传统的

4、防火墙设备已经不能满足客户的安全需求。同时，随着个人电脑和互联网应用技术的进一步普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴的人员也希望能访问到相应的信息资源，企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。要满足以上需求最有效的办法是利用

5、SSL VPN技术接入，利用互联网互联互通、成本低廉，SSL VPN技术得到了最广范的应用。另外，网络身份认证是网络安全最为重要的一环。在网络认证个人身份的过程当中可以保护个人或公司的资产及智慧财产权。在面临网络安全威胁时，用户非常需要有一个相对安全的、性能稳定可靠的、易于使用和管理的身份认证系统，做到可以用非常小的投入来满足电子商务的安全性要求。美国SonicWALL公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。一般来讲，UTM通常包括防火墙，网关防病毒和IPS，SonicWALL公司的UTM在此基础上又增加了反间谍软件服务，进一步确保企业信息安全。SonicWALL

6、采用自有专利技术的逐个包扫描深度包检测引擎（DPI），无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护，彻底消除了网关设备对同时下载的文件数目和文件的大小的限制，从UTM技术上是一个突破。SonicWALL UTM设备能够并行扫描超过50种协议上的近25000种病毒，检测并阻断近2000种入侵威胁。 SonicWALL还支持近百种签名对及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT下载、eMule下载)的通信进行控制，如封堵QQ2005，能够扫描NetBIOS 协议，防止病毒通过Windows文件共享进行扩散。此外， SonicWALL的网关防病毒和入侵

7、防护功能也能防护从Internet过来的安全威胁。SonicWALL Aventail 是SSL VPN技术的先驱，目前被广泛认为是安全远程访问技术的领导厂商和前瞻性厂商。全球有超过250万的最终用户依靠SonicWALL Aventail公司的技术和产品在企业 级高端控制部署中获得所需要的安全性、接入能力、策略管理、端点控制以及移动能力。SonicWALL Aventail公司的技术可以满足高端用户需求，是 SonicWALL公司现有的面向中小型企业简单易用的SSL VPN产品线的一个有力补充。关于SonicWALL公司SonicWALL创立于1991年，1999年在美国纳斯达克上市（NAS

8、DAQ：SNWL），是为中小型和企业级客户提供网络安全服务的全球领先品牌，获得了业内人士的高度认可。SonicWALL大大简化了网络安全的复杂性，使得所有机构都能够利用互联网和内部网络来提高生产力，同时维护自身信息的保密性、完整性和稳定性。SonicWALL作为一家全球性公司： 在19个国家拥有25个办事处 700名员工 全球拥有五大区域性支持服务机构 业务遍及38个国家SonicWALL作为业内领袖： 在全球拥有数百万客户 获得Gartner神奇象限SSL VPN领袖厂商认证* 拥有多种杰出产品和奖项SonicWALL作为值得信赖的合作伙伴： 全球拥有15,000家合作伙伴 CMP五星级渠道

9、商奖项和ARC奖项获得者 为合作伙伴提供全面支持和产品培训 与技术领先的革新者建立合作伙伴关系，例如惠普的ProCurve网络SonicWALL是网络信息安全领域公认的领袖企业。SonicWALL的解决方案通过智能化的服务、软件和硬件来确保高效的业务网络运行，同时控制运行风险、成本和复杂性。二十年来，SonicWALL的解决方案和服务提供商为数百万用户提供了性能卓越、极具竞争力的安全服务。SonicWALL的解决方案被应用于中小型企业及遍布全球的不同企业环境中，包括政府、保健机构以及销售点的零售和安装。二十年来对技术研发的长期投入及其自身技术实力的强劲增长说明SonicWALL以实际行动来实践

10、着自己持续创新的郑重承诺。随着贵单位的发展，您所面临的安全威胁也将与日俱增，您可完全信赖SonicWALL，我们将伴随您共同成长。SonicWALL根据每位客户的特殊需求提供个性化的方案设计，致力于为各种规模的机构提供更高性价比、更具竞争力的解决方案。卓越的性能和安全性SonicWALL的工程师们将软硬件与解决方案完美结合，不断提供高效的网络安全、安全远程访问、网络和邮件安全、反垃圾邮件、备份和恢复等各种综合性智能服务。我们领先的统一威胁管理技术可为各种规模的有线或无线网络提供世界级的防病毒、反间谍软件和入侵防御服务，并进行全球统一管理。SonicWALL遍布全球的战略合作伙伴、零售商和经销商

11、汇聚了IT领域的众多知名品牌。SonicWALL丰富的网络安全解决经验为数百万客户的业务提供了全面保护而并不仅限于对其网络的保护。始终保持领先地位SonicWALL荣获了Gartner公司神奇象限2007年度SSL VPN神奇象限奖项，并仅在过去12个月中就分别荣获了包括InfoWorld Technology杂志的年度奖项、CMP Xchange的安全技术创新者奖项和最佳测试奖二十强及五星级评选项目在内的多项比赛成果。在全球范围内拥有一万五千家渠道合作伙伴和超过一百万客户的SonicWALL，已连续四年荣获安全应用领域的VAR年度报告奖。CMP的VAR Business杂志将SonicWAL

12、L排名为美国经销商的三大品牌之一第一章 用户现状及需求分析1.1 用户网络现状XX公司现有一家分支机构，总部和分支机构均有接入到互联网，目前总部通过光纤接入到互联网。公司现有X台服务器,分别提供不同的应用层服务，XX公司希望加强企业INTRANET的安全性，保障各服务器及的安全运行及内网的安全；同时通过安全的手段将分支机构和总部安全互联，并针对不同的远程用户安全接入到公司总部并访问总部资源同时实现不同的访问控制授权。XX公司的网络现状中存在如下的风险：1. 来自外部网络的非授权访问2. 来自外部网络的攻击3. 从外部网络中流入到企业内部的病毒、木马、间谍软件4. 内部用户对于internet资

13、源的非授权访问5. 内部用户对于internet资源的滥用6. 可能存在的内部的恶意攻击行为，包含病毒攻击等等7. 分支机构和总部之间的互联互通过程中的机密性和安全性问题8. 移动用户访问总司总部所带来的机密性、安全性以及访问授权问题XX公司网络中可能存在的问题：1. 来自外部网络的非授权访问，可能导致企业内部机密数据的失密，甚至是服务器和内部网络遭受攻击2. 来自外部网络的攻击，可能直接导致服务器宕机，企业电子化流程无法正常运行，甚至是核心数据被篡改、修改、破坏或者被恶意删除3. 来自外部网络流入到企业内部的病毒、木马或者间谍软件，可能直接导致企业数据丢失甚至是全网瘫痪，企业的电子化流程无法

14、正常运做4. 内部用户对于internet的非授权访问，直接导致的结果就是降低员工工作效率，影响企业生产力！5. 内部用户对于internet资源的滥用，会直接导致内部网络塞车，正常的业务流程无法顺畅甚至根本不能正常运行，更有甚者甚至导致公司的机密资源泄露，给公司造成巨大损失。6. 分支机构和总部之间的数据传输直接在公网上传输，容易导致泄密，同时由于相互的授权交流而导致的安全威胁如病毒、木马在子网间的相互传导而导致大面积感染，严重影响生产力和生产效率。1.2需求分析综上现状分析，我们认为XX公司当前迫切需要的安全措施是：1. 有效隔离外部用户对内部网络的访问2. 有效防范来自外部网络的攻击3.

15、 在网关隔离设备部署应用层安全过滤系统，过滤流出流入到企业内部的网络数据文件中存在的安全威胁，包含病毒、攻击、间谍软件、木马等4. 对内部用户的internet访问实施访问授权，不同的用户对应不同的访问权限，能够访问不同的网络资源5. 针对授权用户的internet访问行为进行规范，防范网络资源的滥用，一方面能够减少由此访问而带入到企业内部的网络威胁，另一方面也能够给关键业务腾出足够的网络带宽，保障了关键业务流程的正常运作6. 针对内部用户的网络访问实施应用层安全过滤，防范内部用户的恶意攻击或者由病毒爆发所引起的被动攻击行为。事实上，很多的攻击行为并不完全来自外部，很多的时候，它是内外攻击结合

16、的产物。另外，内部用户的恶意攻击也是导致服务器被攻击的一个重要原因。7. 将分支机构和总部之间通过IP-Sec VPN隧道安全的互联起来，并在互联隧道中实现访问控制和应用层安全过滤，实现访问分支和总部之间的访问授权以及过滤流出流入到企业内部的网络数据文件中存在的安全威胁，包含病毒、攻击、间谍软件、木马等。8. 针对移动用户，鉴于移动用户的灵活移动特点，需要采用SSL-VPN来实现远程用户在任何地方都能够方便安全的连接到公司内部网络，同时针对用户进行身份鉴别和访问资源授权以及对用户所访问的相关的数据安全保密措施。1.3方案目的通过在分支和总部之间分别部署防火墙来实现针对外网（internet）上

17、不安全访问的隔离，同时在防火墙上部署UTM功能来实现流经防火墙的数据的应用层过滤（如过滤病毒、入侵、木马等）。通过在分支结构和总部之间部署IP-Sec VPN来实现分支和总部之间的双向保密互通，同时，借助防火墙内置的ACL访问控制技术来实现双方的有限互联互访，同时，配合防火墙上部署的UTM来过滤在两个机构之间交换的数据的应用层威胁（如过滤病毒、入侵、木马等）。在总部部署SSL-VPN设备来支持远程用户的安全接入，以SSL-VPN技术来解决远程用户的安全接入、身份认证、访问控制、数据保密和安全性等问题。有鉴如此，我们设计了如下方案：第二章：安全解决方案2.3方案设计防火墙部署设计我们在XX电子有

18、限公司总部的internet出口处配置一台高性能的SonicWALL NSA4500防火墙，通过防火墙有效隔离和阻断来自外网（internet）上的非授权访问，同时通过开启防火墙上的IPS功能来阻断和处理来自外网的攻击。通过启用UTM功能，可以有效防范从intenet流入流出到企业内部网络的病毒、间谍软件、木马等攻击行为。同时，通过开启防火墙上的用户认证功能来对内部用户访问internet进行授权，防止非授权访问，针对不同的用户角色身份生成不同的访问权制，确保只有授权的内部用户才能够访问到符合他自己身份的网络资源。另外，通过开启UTM功能中的IPS模块，可以有效处理内部用户的网络滥用行为，如B

19、T/EMUEL/EDONKEY等网络带宽“杀手”，保证企业正常业务流程能够获得足够的带宽，保障业务流程的顺畅运行。对于影响员工工作效率的一些网络应用，如IM类的QQ/MSN等网络聊天应用，SonicWALL的IPS功能也能够轻松应对，针对不同的用户组和用户，部署不同的访问控制策略，可以有效防范此类严重影响企业生产力的网络应用的滥用，保障企业的生产力。同样，我们在XX公司的分支也部署一台NSA3500防火墙，并在防火墙上开启和总部一样的安全策略。通过NSA内建的IP-Sec VPN技术，在总部的NSA4500和分支的NSA3500之间建立IP-Sec VPN隧道。保障分支和总部之间通讯的机密性和

20、安全性。同时在总部和分支的VPN隧道中部署访问控制，根据公司宏观策略实现总部和分支之间的有限访问授权。在此VPN隧道的技术上，再部署UTM，来实现对VPN隧道的数据流量进行安全扫描过滤。SonicWALL Aventail SSLVPN部署设计SonicWALL Aventail提供的SSL VPN解决方案是一种基于SSL技术的新型VPN解决方案，它的访问代理提供安全访问各种应用环境的能力。SonicWALL Aventail SSL VPN是用另外一种不同的方法在公用网络上传输私有数据。但不是依靠终端用户在公司笔记本上配置客户端，SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种

21、机制在所有的标准Web浏览器上都有，不用额外的软件实现。SSL对大部分用户来讲是熟悉的，即便是没有技术背景的用户，也可以方便地使用。SSL已经被安装到任何一台可以通过标准Web浏览器访问Internet的设备上，独立于任何操作系统，所以操作系统的变化并不需要对SSL进行更新。而且因为SSL VPN在应用层实现，对应用的更进一步的细化控制也成为可能，使它对移动员工和来自非安全点的用户来说尤为理想。 SonicWALL Aventail SSL VPN总体方案设计将SonicWALL Aventail SSL VPN网关部署于XX公司防火墙内DMZ区域，对现有网络不需进行任何修改(但需要开放防火墙

22、相应端口)；同时，还可将设备配置为HA模式（可选），提供高可用性，具有可靠的冗余、负载均衡能力，排除了单点故障的可能性，减少系统停机时间，在不需要第第三方负载均衡设备的情况，它可以支持主动/主动负载，提高系统的整体性能。由于SonicWALL Aventail SSL VPN远程接入产品是坚固可靠的应用层网关，采用应用层的安全策略后，内部的应用服务器可以得到有效保护，而不必将内部服务器的第4层端口完全暴露给Internet，前端的防火墙上也只需开放 SSL（TCP 443）端口即可,这可以大大提高内部服务器的安全性。远程用户只需要通过Web浏览器访问到SonicWALL Aventail站点，

23、当经过Token动态密码认证和AD的用户名、密码的双重安全认证后，用户就可以安全访问到授权访问的应用，会话过程使用SSL加密；同时，在SSL VPN会话开始，在客户端会自动启动SonicWALL Aventail安全桌面，在会话过程中，用户不能使用Print Screen键、copy等动作将SSL VPN会话中的数据复制到本地PC，这可有效防止公司资料通过SSL VPN外泄的可能；当SSL VPN会话结束，SonicWALL Aventail安全桌面会删除会话过程中的所有数据(包括临时文件等)，从而保证会话中数据不会遗留在本地PC上。方案拓扑图SonicWALL Aventail SSL VP

24、N网络方案详细描述SonicWALL Aventail EX-1600在XX公司内部网络实际部署，如下图：将SonicWALL Aventail EX-1600放于防火墙DMZ区域，给其分配一个公网IP供外部用户访问/内部管理员进行管理（单臂模式），并且在防火墙上设置的相关访问规则，如下表：FromToPortActionAnySonicWALL Aventail Public IPTCP 443AllowSonicWALL Aventail public IPToken ServerUDP 1812AllowSonicWALL Aventail public IPDNS ServerTCP

25、53AllowSonicWALL Aventail public IPExchange OWA(172.24.208.64)HTTPSAllow测试中使用PSTN Dial-up作为Internet接入方式，模拟远程用户通过SSL VPN访问企业内部资源。实施SonicWALL Aventail SSL VPN安全接入非常简单： 安装SonicWALL Aventail EX-2500硬件系统 将系统连接到网络上，并定义一些系统设置 将该服务发布给公司普通用户、高级用户、客户和合作伙伴 （可选）通过SonicWALL Aventail管理控制台AMC（SonicWALL Aventail AS

26、AP (Anywhere Secure Access Policy)Manage Console）包括几个功能管理界面来简单的管理SonicWALL Aventail EX-1600，你可以用标准Web浏览器进行管理SonicWALL Aventail： 资源管理器管理员定义用户可以访问的企业资源。SonicWALL Aventail SSL VPN可以将企业资源定义为三种类型，URL、File System、network。URL资源包括企业内部的WEB资源，File System包括企业的文件共享资源，network可以定义为企业的所有内部资源。 用户和组管理器管理员可以查看和管理系统用户

27、组和修改属性，确定哪些用户可以访问内部资源。 访问控制列表管理器使管理员可以基于用户组的方式建立集中访问控制权限，提供对服务器、文件共享或URL级别的资源访问控制。管理员可以用此定义哪些用户能访问资源、能访问哪些资源、什么时候能访问、哪些源地址可以访问及数据加密的长度等。访问控制粒度(可对隶属于不同组(AD中的用户组，非SSL VPN本地组，并可实现与AD动态查询组成员)的用户)赋予不同的访问控制权限和策略，并支持不同用户组访问应用列表不同。 支持Permit和Deny策略。策略设置至少支持如下方式：URL、HOST、IP TCP、IP UDP、IP、SUBNET、机器名。网络配置管理器管理员

28、使用此界面进行SonicWALL Aventail设备的网络配置,包括接口IP、Gateway及路由设置。 认证管理器管理员可以同时使用多种认证系统来对用户进行认证，可以与现有目录结构进行无缝集成，包括LDAP、Radius、windows AD等多种认证体系，认证方式也是多样化的，支持用户名/密码、数字证书、Token(令牌)等。 支持Active Directory组的嵌套和叠加。设备应支持Active Directory中英文组的嵌套功能，通过相应机制，中英文组的嵌套层级不受限制。 设备支持Active Directory中英文组的叠加功能，当user1同时属于Group1和Group2

29、时，user1将同时具有赋予Group1和Group2组的权限并能访问两个组所开放的应用列表。 日志管理器管理员可以实时查看日志信息或SYSLOG服务器的信息,并以图形化的方式对设备运行状态进行监控；用户可对日志进行分析，生成图形化的报表，方便管理员及时掌握资源的访问情况。 日志存储方式支持关系型数据库、Syslog、共享文件夹方式，并支持将数据导入到Sql2005。支持实时和历史统计、设备性能统计、策略统计、流量统计、接入用户访问应用地址统计。按接入用户帐号、显示名称、所属Active Directory组分类。按接入时间、IP地址、事件严重级别、接入设备、停留时间、访问应用、同一时间最大连

30、接数及用户清单，特定时间并发用户数及用户清单、按时间段报表统计，自定义报表等功能。报表支持按应用区分，如Web访问，文件共享，VPN接入，TCP应用等。报表支持关键字模糊查询。 用户界面客户化管理器管理员可以客户化用户界面，使得用户访问的界面匹配公司的Logo、颜色等，还可以将公司常使用的登录首页设为SonicWALL Aventail首页。 支持 域名自动跳转到 证书管理器简单的Web服务器证书和客户端证书管理。 终端控制管理器管理员使用终端控制管理器可以对集成无客户端扫描系统、独有的策略区域技术、高级缓存控制技术和虚拟安全桌面进行安全配置。远程接入用户访问公司内部资源的布署根据XX公司的需

31、求，远程用户通过Workplace访问内部应用系统，客户端不需作任何配置。SonicWALL Aventail ASAP (Anywhere Secure Access Policy) WorkPlaceSonicWALL Aventail ASAP WorkPlace是SonicWALL Aventail的一个基本模块，任何熟悉浏览器的用户无需任何特殊的培训就可以使用SonicWALL Aventail SSL VPN系统。用户经过安全认证后，登录到Workplace平台， 见下图，当经过用户名、密码的安全认证后，用户就可以安全访问到授权访问的应用，会话过程使用SSL加密；同时，在SSL VPN会话开始，在客户端会自动启动SonicWALL Aventail安全桌面，在会话过程中，用户不能使用Print Screen键、copy等动作将SSL VPN会话中的数据复制到本地PC，这可有效防止公司资料通过SSL VPN外泄的可能（可选功能）；当SSL VPN会话结束，SonicWALL Aventail安全桌面会删除会话过程中的所有数据(包括临时文件等)，从而保证会话中数据不会遗留在本地PC上（可选功能）。用户可以连接到SonicWALL Aventail SSL VPN系统通过以下步骤来实现： 启动具有Internet连接的Web浏览器 浏览网络管理员定义的SonicWALL