技术建议书-H3C远程安全接入解决方案V1.0.doc
《技术建议书-H3C远程安全接入解决方案V1.0.doc》由会员分享,可在线阅读,更多相关《技术建议书-H3C远程安全接入解决方案V1.0.doc(31页珍藏版)》请在冰点文库上搜索。
远程安全接入解决方案技术建议书
杭州华三通信技术有限公司
目录
1. 远程接入模式分析 4
2. VPN技术介绍 4
2.1. VPN定义 4
2.2. VPN的类型 5
2.2.1 AccessVPN 5
2.2.2 IntranetVPN 6
2.2.3 ExtranetVPN 6
2.3. VPN的优点 6
2.4. 隧道技术 7
2.4.1 二层隧道协议 7
2.4.2 三层隧道协议 7
2.5. 加密技术 9
2.6. 身份认证技术 10
3. H3C安全建设理念 11
3.1. 智能安全渗透网络简介 11
3.2. 智能安全渗透网络——局部安全 12
3.3. 智能安全渗透网络——全局安全 12
3.4. 智能安全渗透网络——智能安全 12
4. XX系统远程安全接入解决方案 13
4.1. XX系统远程安全接入需求分析 13
4.2. 解决方案设计原则 14
5. XX系统远程安全接入解决方案 17
5.1. 远程接入安全解决方案 17
5.1.1. 大型分支接入 17
5.1.2. 中小分支合作伙伴接入 18
5.1.3. 移动用户接入方式 19
5.2. 可靠性方案 20
5.2.1. 双出口备份 20
5.2.2. 双机备份 22
5.2.3. 快速切换 23
5.3. VPN管理系统 25
5.3.1. 轻松部署安全网络 25
5.3.2. 直观展示VPN拓扑 26
5.3.3. 全方位监控网络性能 26
5.3.4. 快速定位网络故障 27
5.4. BIMS分支智能管理系统 28
5.5. 统一安全管理中心 30
6. 总结 31
1.远程接入模式分析
随着网络,尤其是网络经济的发展,为提高沟通效率和资源利用效率,建立分支与总部、机构与机构之间的具有保密性的网络连接是十分必要的。
此外,工作人员出差时也需要访问系统内部的一些信息资源,这时同样需要建立保密的网络连接。
怎样为这些分支、机构、出差人员提供一个安全、经济、方便和高效的安全接入方式,成为XX系统亟需解决的一个问题。
建立保密的网络连接一种方案是使用专线,其基本方式是进行每个层次之间的专线方式连接,通过这种方式可以实现的星形结构的全局网络连接,基本满足分支与总部、机构与机构之间的数据传输需求,但是这种方式存在非常大的两个缺点:
第一是不灵活,不能满足出差人员随时随地接入的需求;第二是费用高,专线方式的网络连接需要支付高昂的专线租用费用。
另外一种方式是通过拨号的方式,通过利用PSTN/ISDN的模拟电话线路,移动用户主机配置的调制解调器,采用拨号的方式,登录到公司内部的拨号服务器,实现远程对公司内部资源的访问。
这种方式的优点在于比较灵活,PSTN电话线路资源比较容易获得。
缺点在于网络连接性能低,PSTN电话最多提供64K带宽,相对现在的宽带网络,已经基本不可用,而且此方式没有任何安全措施,数据在传输过程中存在很大的安全风险。
随着VPN技术的发展,VPN技术已经成为一种非常成熟的网络连接方式,VPN具有高性价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势,已经被广泛替代专线用来进行广域网络的衔接,下面我们将以VPN模式为核心,提供H3C全面的VPN解决方案。
2.VPN技术介绍
2.1.VPN定义
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,VirtualPrivateNetwork),用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。
对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。
图1.VPN应用示意图
由图可知,企业内部资源享用者只需连入本地ISP即可访问中心或者相互通信。
这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。
并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
2.2.VPN的类型
VPN分为三种类型:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的 VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
2.2.1AccessVPN
随着当前移动办公的日益增多,远程用户需要及时地访问Intranet和Extranet。
对于出差流动员工、远程办公人员和远程小办公室,AccessVPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。
在AccessVPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
用户发起的VPN连接指的是以下这种情况:
首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。
在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。
在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。
2.2.2IntranetVPN
IntranetVPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。
利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。
结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。
基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。
而另一方面,基于Internet构建VPN是最为经济的方式,但服务质量难以保证。
企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
2.2.3ExtranetVPN
ExtranetVPN是指利用VPN将企业网延伸至合作伙伴与客户。
在传统的专线构建方式下,Extranet通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,而同样降低不了复杂度。
因合作伙伴与客户的分布广泛,这样的Extranet建设与维护是非常昂贵的。
因此,诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。
ExtranetVPN以其易于构建与管理为解决以上问题提供了有效的手段,其实现技术与AccessVPN和IntranetVPN相同。
Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。
2.3.VPN的优点
利用公用网络构建VPN是个新型的网络概念,对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。
据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
2.4.隧道技术
对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。
网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。
现有两种类型的隧道协议:
一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建AccessVPN和ExtranetVPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
2.4.1二层隧道协议
二层隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)、L2F(Layer2Forwarding,二层转发协议)和L2TP(Layer2TunnelingProtocol,二层隧道协议)。
其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。
应用L2TP构建的典型VPN服务的结构如下图所示:
图2.典型拨号VPN业务示意图
2.4.2三层隧道协议
用于传输三层网络协议的隧道协议叫三层隧道协议。
三层隧道协议并非是一种很新的技术,早已出现的RFC1701GenericRoutingEncapsulation(GRE)协议就是一个三层隧道协议,此外还有IETF的IPSec协议。
GRE
GRE与IPinIP、IPXoverIP等封装形式很相似,但比他们更通用。
在GRE的处理中,很多协议的细微差异都被忽略,这使得GRE不限于某个特定的“XoverY”应用,而是一种最基本的封装形式。
在最简单的情况下,路由器接收到一个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文,接着被封装在IP协议中,然后完全由IP层负责此报文的转发。
原始报文的协议被称之为乘客协议,GRE被称之为封装协议,而负责转发的IP协议被称之为传递(Delivery)协议或传输(Transport)协议。
注意到在以上的流程中不用关心乘客协议的具体格式或内容。
整个被封装的报文具有下图所示格式:
图3. 通过GRE传输报文形式
IPSec
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
Ÿ私有性-IPSec在传输数据包之前将其加密.以保证数据的私有性;
Ÿ完整性-IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
Ÿ真实性-IPSec端要验证所有受IPSec保护的数据包;
Ÿ防重放-IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
IPSec在两个端点之间通过建立安全联盟(SecurityAssociation)进行数据传输。
安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。
IPSec在转发加密数据时产生新的AH和/或ESP附加报头,用于保证IP数据包的安全性。
IPSec有隧道和传输两种工作方式。
在隧道方式中,用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据包中;在传输方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。
AH报头用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。
考虑到计算效率,AH没有采用数字签名,而是采用了安全哈希算法来对数据包进行保护。
AH没有对用户数据进行加密。
AH在IP包中的位置如图所示(隧道方式):
图4.AH处理示意图
ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。
ESP头在IP包中的位置如下(隧道方式):
图5.ESP处理示意图
AH和ESP可以单独使用,也可以同时使用。
使用IPSec,数据就可以在公网上安全传输,而不必担心数据被监视、修改或伪造。
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。
在两个端点之间可以建立多个安全联盟,并结合访问控制列表(access-list),IPSec可以对不同的数据流实施不同的保护策略,达到不同的保护效果。
安全联盟是有方向性的(单向)。
通常在两个端点之间存在四个安全联盟,每个端点两个,一个用于数据发送,一个用于数据接收。
IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时,手工配置将非常困难,而且难以保证安全性。
这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。
2.5.加密技术
Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。
IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥。
其中的核心技术就是DH(DiffieHellman)交换技术。
DH交换基于公开的信息计算私有信息,数学上已经证明,破解DH交换的计算复杂度非常高从而是不可实现的。
所以,DH交换技术可以保证双方能够安全地获得公有信息,即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
在身份验证方面,IKE提供了共享验证字(Pre-sharedKey)、公钥加密验证、数字签名验证等验证方法。
后两种方法通过对CA(CertificateAuthority)中心的支持来实现。
IKE密钥交换分为两个阶段,其中阶段1建立ISAKMPSA,有主模式(MainMode)和激进模式(AggressiveMode)两种;阶段2在阶段1ISAKMPSA的保护下建立IPSecSA,称之为快速模式(QuickMode)。
IPSecSA用于最终的IP数据安全传送。
另外,IKE还包含有传送信息的信息交换(InformationalExchange)和建立新DH组的组交换(DHGroupExchange)。
2.6.身份认证技术
IPSec隧道建立的前提是双方的身份的得到了认证,这就是所谓的身份验证。
身份验证确认通信双方的身份。
目前有两种方式:
一种是域共享密钥(pre-sharedkey)验证方法,验证字用来作为一个输入产生密钥,验证字不同是不可能在双方产生相同的密钥的。
验证字是验证双方身份的关键。
这种认证方式的优点是简单,但有一个严重的缺点就是验证字作为明文字符串,很容易泄漏。
另一种是PKI(rsa-signature)验证方法。
这种方法通过数字证书对身份进行认证,安全级别很高,是目前最先进的身份认证方式。
公钥基础设施(PublicKeyInfrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系,它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。
PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,以在网上验证用户的身份。
PKI为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一个PKI系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的PKI存储库共同组成。
图6.PKI组成框图
其中,认证机构用于签发并管理证书;注册机构用于个人身份审核、证书废除列表管理等;PKI存储库用于对证书和日志等信息进行存储和管理,并提供一定的查询功能;数字证书是PKI应用信任的基础,是PKI系统的安全凭据。
数字证书又称为公共密钥证书PKC(PublicKeyCertificate),是基于公共密钥技术发展起来的一种主要用于验证的技术,它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,可作为各类实体在网上进行信息交流及商务活动的身份证明。
证书是有生命期的,在证书生成时指定,认证中心也可以在证书的有效期到来前吊销证书,结束证书的生命期。
3.H3C安全建设理念
理念是人们对于不同事物从自身角度出发确定下来的正确看法,并用于指导人们的行为实践。
正确的安全建设理念可以指导用户解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方。
H3C公司提出的智能安全渗透网络理念(intelligentSafePervasiveNetwork,简称iSPN)体现了H3C在网络信息安全方面专业和独到的见解,使其成为客户最可信赖的安全建设指导思想。
3.1.智能安全渗透网络简介
互联网的广泛应用,大大改变了企业业务流程的开展方式。
但是,随着信息化建设的不断深入,网络安全问题也成为影响企业信息化建设的瓶颈。
遭受过由于网络安全问题带来的损失的企业,极容易失去对网络的信任,从而错失很多商业机会,这时他们需要的是一个安全的保障,在享用互联网带来无限商机的同时保证业务的持续可用及信息安全。
智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。
局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
3.2.智能安全渗透网络——局部安全
网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品,进行2~7层的威胁防范,当前企业绝大部分采用的都是这种单点威胁防御方式。
这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。
在这种方式下,H3C强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。
3.3.智能安全渗透网络——全局安全
由于安全产品种类的不断丰富,使得局部安全可以应对企业的大部分基础网络安全问题。
然而此时用户意识到,局部安全的防护手段相对比较孤立,只有将产品的相互协作作为安全规划的必备因素,形成整网的安全保护才能抵御日趋严重的混合型安全威胁。
为此,H3C推出了全局安全理念,借助于IToIP的网络优势,通过技术和产品的协作,将网络中的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制,向用户提供端到端的安全解决方案。
以H3C的端点准入防御及安全事件分析机制为例,它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。
在统一的安全策略下,利用各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统一的平台上进行安全事件的收集、整理、分析,可以做到整网安全风险的提前预防与及时控制。
3.4.智能安全渗透网络——智能安全
随着网络建设的日趋完善,面向业务的安全已经成为新的发展方向。
只有理解企业业务,将企业的业务需求及流程建设充分融合到网络安全建设中来,从信息的计算、通信及存储等信息安全状态出发,以面向应用的统一安全平台为基础,通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应,将智能的安全融入企业业务流程中,形成开放融合、相互渗透的安全实体,才能实现真正的网络安全智能化。
帮助企业将业务信息的所有状态都控制在安全管理的范围内,这样的需求正是智能安全产生的原动力。
目前,政府制定了网络安全相关的法律法规,促使各行业必须遵循一定的安全标准,以帮助提高企业的攻击防范能力。
为了帮助用户构建等级安全体系,实现按需防御需要,H3C数十人的专业安全服务团队,借助严格完善的网络安全评估规范,对企业IT环境现状进行安全评估,并对企业网络结构及业务流程进行统一的安全咨询和规划,为用户度身定制一整套闭环的安全建设方案,并通过培训提升企业安全管理人员的素质,保证安全性的延续。
有了量身定制的建设方案与安全策略,如何将这样的方案落到实处是下一步的难题,网络威胁千变万化、多种多样,业内还没有任何一个安全厂家可以解决所有的安全问题。
因此,为保证企业网络安全建设能符合未来发展趋势,需要建立一个由厂商、代理商和客户组成的大安全联盟,允许各个组织和个人都可以通过标准的接口将安全快速嵌入网络,实现弹性扩展与智能融合。
H3C在智能安全中采用开放应用架构(OAA,OpenApplicationArchitecture)为用户提供开放的硬件平台、标准的接口,允许第三方技术的无缝融合,从而将网络安全的边界打通,将业界的先进技术配合适当的安全策略,最终完成网络安全建设的蓝海战略。
完善的安全管理体制是加强信息系统安全防范的组织保证。
iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据,保证企业信息系统的安全运行。
iSPN全局安全管理平台以开放的安全管理中心和智能管理中心为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。
H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。
高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略,并最大限度的利用现有网络安全资源,通过智能分析和协同响应及时应对各种真正的网络攻击。
在局部安全、全局安全的基础上,H3CiSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。
2007年,H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案,为企业打造一个领先的、全面的、可信赖的IP安全平台。
4.XX系统远程安全接入解决方案
4.1.XX系统远程安全接入需求分
升级会员 