企业网络安全vpn解决方案教学内容.docx
《企业网络安全vpn解决方案教学内容.docx》由会员分享,可在线阅读,更多相关《企业网络安全vpn解决方案教学内容.docx(18页珍藏版)》请在冰点文库上搜索。
企业网络安全vpn解决方案教学内容
企业网络安全-vpn解决方案
信息技术中心-安全管理部
2017年9月13日星期三
前言
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。
随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。
计算机网络犯罪所造成的经济损失实在令人吃惊。
仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
在全球平均每二十秒就发生一次网上入侵事件。
有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。
面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。
随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQLServer等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。
传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。
此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。
同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率。
如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。
美国Xx公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。
一般来讲,UTM通常包括防火墙/VPN,网关防病毒和IPS,Xx公司的UTM在此基础上又增加了反间谍软件服务,进一步确保企业信息安全。
Xx采用独一无二的逐个包扫描深度包检测引擎,无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护,彻底消除了网关设备对同时下载的文件数目和文件的大小的限制,从UTM技术上是一个突破。
XxUTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
Xx还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行控制,如封堵QQ2005,能够扫描NetBIOS协议,防止病毒通过Windows文件共享进行扩散。
采用高性能的专用硬件实现IPSecVPN的加解密,使得Xx设备在3DES和AES算法具备同样出色的表现。
对于分布式的企业,通过Internet建立VPN连接是安全经济的信息传输方式,此外,Xx的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁,而且还能阻挡企业其它分支机构通过VPN隧道带来的安全威胁。
第一章用户需求分析
1.1业务背景
xxxx有限公司是国内首屈一指的食品加工销售企业,业务遍及全国各省。
物流和财务信息的传输需要确保安区,但是申请专线的费用很高。
Internet为企业的信息传输提供了一个经济有效的平台,然而安全问题值得担忧。
目前有20个分公司遍布全国各地,还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。
1.2需求分析
信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一,集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员,而在外工作的业务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部,并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前,一直是我集团期待解决的问题之一。
公司在国内的驻外人员分布在各省会城市,负责该省内的所有产品营销业务。
由于需要及时和企业总部进行财务及其它信息的传输,这些业务数据在Internet上直接传输时又存在较高的安全风险,一旦这些数据被盗取或泄漏出去,必然会造成公司业务的严重损失。
初步需求如下:
4个分公司分别通过当地电信部门接入Internet。
这些分支机构的网络要受到安全设备的防护,必须有防火墙设备,此外,为防止遭受病毒,黑客入侵的威胁,应用层的安全必须受到保护,设防火墙设备应该具备防病毒和防入侵的功能。
企业总部网络有重要的数据库系统,防止病毒和黑客的入侵极为重要。
由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输,高性能的VPN功能必须集成在设备内部,便于统一管理。
此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库,移动用户必须通过VPN加密方式访问企业网络资源。
1.3方案目的
作为保护企业内部网免遭外部攻击,确保信息安全地通过Internet传输,最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备(即:
防火墙+VPN+网关防病毒+IPS),通过设置有效的安全策略,做到对企业内部网的访问控制。
为了方便远程/移动用户安全访问集团内部的机密资料,并为公司建立起安全经济的网络通信连接,故推荐配置使用基于深度包检测技术的UTM设备——(防火墙+VPN+网关防病毒+防入侵)。
第二章VPN技术核心
1.VPN概念
虚拟专用网(VirtualPrivateNetwork)技术是指在公共网络中建立专用网络,数据通过安全的"加密管道"在公共网络中传播。
利用VPN技术,单位只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,单位还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入内联网中。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后内联网络发展的趋势。
简单的来说,VPN可以看作是内部网在公众信息网(宽带城域网)上的延伸,通过在宽带城域网中一个私用的通道来创建一个安全的私有连接,VPN通过这个安全通道将远程用户,分支机构,业务合作伙伴等机构的内联网连接起来,构成一个扩展的内联网络(如图2-1)。
图2-1
公众信息网
总部
分部
办事处
单机用户
VPN网关
VPN网关
VPN客户端
2.VPN技术核心
2.1VPN分类
VPN可分为三种类型:
∙远程访问虚拟网(AccessVPN)
AccessVPN是指单位员工或单位的小分支机构通过公网远程拨号的方式构筑的虚拟网。
∙内部虚拟网(IntranetVPN)
IntranetVPN是指单位的总部与分支机构间通过公网构筑的虚拟网
∙扩展虚拟网(ExtranetVPN)
ExtranetVPN是指单位间发生收购、兼并或单位间建立战略联盟时,不同内联网通过公网来构筑的虚拟网。
这三种类型的VPN分别与传统的远程访问网络、内部Intranet以及内联网和相关合作伙伴的内联网所构成的Extranet相对应。
其中我们通常把AccessVPN叫做拨号VPN,即VPDN;将IntranetVPN和ExtranetVPN统称为专线VPN。
2.2VPN技术标准
VPN的具体实现是采用隧道技术,将内联网的数据封装在隧道中进行传输。
隧道协议中最为典型的有GRE、IPSec、L2TP、PPTP、L2F等。
其中GRE、IPSec属于第三层隧道协议,L2TP、PPTP、L2F属于第二层隧道协议。
第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。
L2TP与IPSec是与VPN相关的两个最重要的协议。
IETF制定的与IPSec相关的RFC文档主要包括RFC2104、RFC2401~2409、RFC2451;而L2TP协议是由3Com、Cisco、Ascend、Microsoft及Bay等厂商共同制定的,其控制包和数据包都是在LAC和LNS间通过UDP/IP传输;此外MPLS、RADIUS、LDAP、VPMT等协议都有部分涉及到VPN。
2.3IPSec协议
IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。
IPSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认识IPSec是很重要的。
自从1995年开始IPSec的研究工作以来,IETFIPSec工作组在它的主页上发布了几十个宽带城域网草案文献和12个RFC文件。
其中,比较重要的有RFC2409IKE互连网密钥交换、RFC2401IPSec协议、RFC2402AH验证包头、RFC2406ESP加密数据等文件。
IPSec安全结构包括3个基本协议:
IPSec协议族
子协议
AH验证包头协议
ESP封包安全协议
IKE密钥管理协议
功能
IPSec验证
IPSec数据加密
IPSec密钥交换加密
∙AH协议(AuthenticationHeader)
IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。
其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。
AH本身其实并不支持任何形式的加密,它不能保证通过宽带城域网发送的数据的可信程度。
AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球宽带城域网的安全性。
当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。
AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。
一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。
消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。
消息文摘5算法(MD5)是一个单向数学函数。
当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。
每个128比特为一组的信息是大分组数据的压缩或摘要的表示。
当以这种方式使用时,MD5只提供数字的完整性服务。
一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。
如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。
这样就防止了无意或恶意的窜改。
在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。
从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。
接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。
如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。
∙ESP封包安全协议
封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的:
隧道(Tunneling)模式和传输(Transport)模式。
两者的区别在于IP数据报的ESP负载部分的内容不同。
在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。
当这完成以后,真正的IP源地址和目的地址都可以被隐藏为宽带城域网发送的普通数据。
这种模式的一种典型用法就是在Site-Site之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。
在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。
在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。
美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。
它最早是在由美国政府公布的,最初是用于商业应用。
到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。
IPSecESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。
DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。
DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。
一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。
DES-CBC主要是使用一个由通信各方共享的相同的密钥。
正因为如此,它被认为是一个对称的密码算法。
接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。
因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。
目前最流行的安全加密标准提供3倍DES的算法,可以使用168比特的密钥长度进行数据安全加密。
∙密钥交换协议IKE
IKE属于一种混合型协议,由宽带城域网安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。
IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式。
IKE使用了两个阶段的ISAKMP:
第一阶段,协商创建一个通信信道(IKESA),并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务;第二阶段,使用已建立的IKESA建立IPsecSA。
IKE共定义了5种交换。
阶段1有两种模式的交换:
对身份进行保护的“主模式”交换以及根据基本ISAKMP文档制订的“野蛮模式”交换。
阶段2交换使用“快速模式”交换。
IKE自己定义了两种交换:
为通信各方间协商一个新的DiffieHellman组类型的“新组模式”交换;
在IKE通信双方间传送错误及状态消息的ISAKMP信息交换。
ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。
最后,解释域(DOI)通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。
由于IPSec的存在,VPN的安全性得到了巨大的提高,从而使VPN广泛的应用成为广大单位用户的福音。
VPN利于开展电子商务应用,扩展性好,不受地理位置限制,节约费用的优越性将得到充分的发挥,VPN的发展潜力巨大。
∙数据(隧道)加密深度
对于在宽带城域网络中,根据对每个数据包加密的手段实现密文隧道传递,是IPSecVPN建立有效、安全数据传输的基本依据。
为支持更高的数据安全(不可见)性能,加密深度成为评价IPSecVPN的优劣的重要标准。
(下表为全球领先)
VPN加密深度
CiscoVPN网关
NetScreenVPN网关
XxVPN网关
硬件网关
56bit、128bit
56bit、128bit、
168bit
56bit、128bit、
168bit、192bit、256bit
软件加密
-
192bit、256bit
-
付费硬件
168bit、192bit、256bit
-
-
2.4VPN的优势
VPN作为一种新技术的出现,带来了很多优点,给单位带来了无限的商机和发展机遇。
VPN的主要优势有:
∙开展电子政/商务
有了VPN,各级政府和单位可以通过宽带城域网实现远程办公和会议,也可以和用户直接远程谈判,协商业务,签订合同;有了这些,VPN不但给我们的工作带来了巨大的方便,节省大量的时间,大大提高了工作效率,而且直接节约了大量的费用。
之所以有这些,正是因为VPN能通过安全的数据通道将加密的技术数据和关键性的商务应用及数据进行传输。
离开这一点,不难想象进行远程商务谈判和技术数据传输对各级政府和单位的影响有多大。
∙不受地理位置的限制
宽带城域网发展到现在几乎无处不在,它的接入是到处都有的,我们只要将各个接入点都接在宽带城域网上,然后再实现VPN,就可以将有关关键性的数据进行安全的传输。
要达到安全的传输,当然还有专线传输。
例如ATM,光纤等等。
一来他们的费用高昂,二来他们的接入点找起来是不方便的。
∙可扩展性强
宽带城域网的无处不在决定了增加或减少用户接入是非常容易的。
而专线就不同,减少几个接入点还好办,要是增加几个用户,首先用户得搞清楚附近有没有接入点,即使有了接入点,也必须进行工程布线才能接入。
∙节省大量费用
使用VPN通过远程办公,远程商务洽谈,远程技术支持,节约大量的时间,办公费用,节约了庞大的出差费。
根据InfoneticsResearch单位的一个VPN研究报告,将租用线路替换成VPN来连接远程站点可以节约20%-40%的开支。
对于远程访问VPN,节约下来的费用可以达到单位远程拨号费用的60%-80%。
还可节省由于带宽升级而重新布线所产生的费用。
∙节省投资
由于宽带城域网网络技术的飞速发展,网络带宽将会无限增长。
如要升级,单位只需考虑自己的机器的升级就行,而无需考虑宽带城域网的升级。
如果使用专线则不同,由于时代的进步,单位的发展,线路的带宽就会成为瓶颈。
基于IPSec标准的VPN技术,不限制用户的接入方式,带宽取决于用户的接入带宽,中国电信常用的宽带接入方式为:
ADSL或FTTX+LAN,一般ADSL最大带宽可达8Mbps,FTTX+LAN可达到100Mbps,同时可以支持以后的VDSL,具有非常良好的性能价格比和扩展性。
3.VPN的发展前景
安全VPN隧道技术能够拓展各级单位的业务和工作、并为单位节省资金。
随着全球化进程的不断深入和移动办公队伍的不断增长,这种网络技术也正在越来越多地被加以采用。
一个新的、属于VPN的时代正在各类大、中、小型单位中成为现实。
VPN迎合了用户对安全性和网络性能的追求,并且可以较以前的产品提供更为丰富的特性和功能。
越来越多的政府和企业开始注意到VPN网络为公司带来的效率和效益。
我们坚信在未来的发展历程中,VPN技术将为各行各业带来经济效益的高速增长和信息沟通模式的变革。
第三章VPN解决方案
考虑在的具体情况,推荐基于IPSec核心技术的高性能加密产品来组建xxxx公司VPN网络---XxUTM(防火墙+VPN+网关防病毒+IPS)。
Xx防火墙和VPN是当前国际最先进的网络技术之一,销售数量占据全球第一位。
1.方案设计原则
VPN方案的设计至少包含以下原则:
高安全性、最优化网络、完善的管理等。
1.1高安全性
由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
确保VPN通道上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
保证数据的真实性:
通信主机必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力。
保证数据的完整性:
接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:
提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能,提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击内联网络的能力,并且可以对VPN通道进行访问控制(AccessControl)。
1.2最优网络
充分有效地利用当前有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
1.3完善管理
一个完善的VPN管理系统是必不可少的。
我们构建VPN的管理目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括加密管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.VPN实施方案
根据公司当前的网络状况,,提出本实施方案。
2.1总部网络拓扑
网络结构如图:
企业总部xx设备,具备防火墙功能,VPN功能,此外客户可选的其它安全服务包括网关防病毒,入侵防御,反间谍软件等等。
考虑到分公司的规模,所有分公司采用xx用户设备,xx用户设备具备与xx同样的功能,适用于小型的分支机构。
所有的移动用户在笔记本电脑上安装VPN客户端软件GVC,随时随地方便快捷地与企业总部甚至分支建立VPN连接,安全地访问企业的信息。
企业总部与各个分公司建立点到点的VPN隧道,出差在外的移动用户与企业总部的TZ170建立客户端VPN连接。
这样分布式企业的所有网络出口入口都受到防火墙的保护,分公司与总公司及移动用户与总公司的通信都受VPN隧道的保护,如果启用网关防病毒,入侵防御和反间谍软件功能,则所有地点的内部网络都受到应用层的安全防护。
此外,xx设备能够阻断病毒,入侵在企业各个分公司和总公司之间通过VPN隧道的传播。
间谍软件会造成企业或个人的敏感信息的泄漏,Xx防间谍软件功能使Xx能够中断来自计算机中已存在的间谍软件的后台通信,同时通过扫描并屏蔽间谍软件感染的电子邮件以及检测自动安装的ActiveX控件的方式阻止间谍软件的传播。
Xx系列UTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
Xx还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行控制,如封堵QQ2005,能够扫描NetBIOS协议,防止病毒通过Windows文件共享进行扩散。
2.2分部网络拓扑
各分公司由于人数少于25人,故选择Xx用户的产品。
由于Xx产品是UTM设备,防火墙和VPN二合一(同时有可选的网关防病毒,入侵检测和防御及反间谍软件功能),不用担心黑客的攻击。
不象其他网络全产品公司,有些型号的产品是收购其他公司,所以不同型号的产品功能有很大区别,Xx全线产品都是Xx公司开发,具备同样的安全防护功能。
Xx产品除了支持DDN专线等固定IP地址的线路外,还支持DHCP、PPPoE、PPTP或L2TP,甚至ISDN或电话线拨号。
不用担心现在的购买的Xx产品,将来因公司的发展要更换线路而不适用。
计算机在25台之内的分公司建议采用XxTZ50用户,此建议只是作为参考,有时需要结合更具体的环境进行调整。
xx设备除了防火墙,VPN功能之外,还有可选得网关防病毒,入侵防御和反间谍软件功能,此外还能封堵QQ,MSN,BT等应用,提高工作效率。
网关防病毒和入侵防御等还可以阻止通过VPN隧道传输过来的网络安全威胁。
2.3访问控制
鉴于XX公司的网络环境和规模,方案设计采用Xx标准版,公司总部的局域网接在LAN口上,防火墙会阻止所有未经许可的访问到LAN口上的电脑;通过这种解决方案有效地保证公司局域网、各类服务器免受来自互联网黑客的各种攻击。
移动用户采用VPN客户端和总部连接。
客户还可以购买网关防病毒,入侵检测和防御及反间谍软件服务,确保应用层的安全,防护针对Windows操作系统和数据库诸如Oracle和SQLServer的攻击,还可以阻断不必要的应用如QQ2005等等,提高员工的工作效率。
2.4VPN场景应用
A、XX总部和分公司SitetositeVPN
VPN在网络中拓扑示意图如下图所示。
下面是VPN的实现过程。
如图下图所示:
在两台VPN1(总部)和VPN2(分部)之间建立一个VPN通道。
假设网络A中的主机A与网
升级会员 