VPN网建设方案V10文档格式.docx
《VPN网建设方案V10文档格式.docx》由会员分享,可在线阅读,更多相关《VPN网建设方案V10文档格式.docx(22页珍藏版)》请在冰点文库上搜索。
3.9数据机密性保护17
3.10数据完整性保护17
3.11保证数据的不可否认性18
3.12统一日志管理18
3.13VPN的集中管理18
第四节VPN应用19
4.1VPN的点对点接入19
4.2星型拓扑的VPN接入19
4.3动态IP地址接入20
4.4NAT穿越的接入21
第一章VPN网络建设需求
由于业务发展需要,拟建立全市范围内的VPN业务专网。
VPN网络建立在互联网之上,使总部和各个分支机构的用户根据不同业务需要可灵活接入到VPN内部专网,所有用户依靠该网络还可按策略访问互联网。
内部专网采用安全成熟的IPsecVPN技术来建立VPN网络,VPN采用以成都为中心的星型结构。
第二章VPN网络方案建议
根据的多层接入,并按需分配权限的特点,我们建议网络方案如下:
●系统组成
根据需求,具有IPsecVPN和防火墙功能的百兆安全网关架设在总部,连接到互联网,提供VPN主站点服务,允许各分支拨入。
分支机构选用百兆安全网关接入互联网,与总部建立IPsecVPN通道,根据权限访问专网资源。
移动用户通过VPN客户端软件灵活接入到各VPN专网节点。
●集团中心VPN方案
做为总部,选用百兆Amaranten安全网关做为出口,出口通过运营商接入互联网,支持来自互联网的VPN拨入。
安全网关提供VPN和防火墙功能,可灵活控制内网用户访问互联网及VPN访问。
建立动态域名(DDNS)服务器,直接连接到安全网关设备上。
●各远程接入用户连接VPN方案
分支机构采用ADSL拨入接入互联网,安全网关使用动态IP地址,所有用户通过百兆安全网关接入互联网,利用安全网关防火墙功能控制互联网访问权限,并通过安全网关与集团总部或其他地区建立VPN,访问专用资源。
IPsecVPN是建立一条双方信任的数据加密通道,通信的双方必须知道对端的IP信息,分支机构使用安全网关可以在总部IP固定的情况下,单项建立VPN连接请求,总部安全网关接收到该请求后得到分支VPN拨入设备的IP信息,从而建立双向的完整VPN通道。
对于VPN接入用户较少的情况,客户端选用VPN客户端软件,填写总部VPN网关IP后,建立VPN连接请求,总部得到所需信息后建立完整双向VPN通道。
VPN设备之间或者VPN设备与客户端设备之间在建立隧道的时候支持明密结合的隧道方式,也就是说:
设在不同地理位置的分公司与总公司职员通过VPN设备可以象在同一局域网内部进行相互访问,资源共享,方便用户使用,经过VPN设备对穿越Internet的数据进行加密,保证数据的机密性。
同时总部和分部都可以通过VPN设备做NAT访问Internet,保证了日常办公的正常进行,从而建立起明密结合VPN隧道,安全、便捷的进行网络应用和办公自动化的顺利、安全进行。
VPN是和防火墙集成在一起,因此在VPN建立隧道以后可以通过防火墙对建立VPN隧道双方进行访问控制,可以根据VPN访问的源和目的地址、源和目的的端口、IP协议号、VLAN信息等进行控制,保证了VPN互连以后企业网络的安全性。
●安全网关设备管理
所有安全网关设备采用集中管理的方式,总部安装集中管理软件后通过与安全网关设备唯一匹配的密钥验证来与设备通信,实现远程集中管理。
管理中心可以授权新增、更改、删除安全网关的包括路由、策略等所有配置。
安全网关自身包含了防火墙模块,对包括DDoS等各类网络攻击有非常强有力的防范抵御功能。
集中管理器与安全网关通信也是cast128位加密通信,保障管理的安全性。
●安全网关稳定可靠
百兆安全网关选用NP架构平台,精简硬件架构,平均无故障时间超过40000小时,百兆安全网关具有4个对称设计的接口并集成了一个6个端口的交换机可满足日后网络扩展的需要。
●移动用户拨入方案
移动用户外网动态获取IP地址,通过VPN客户端软件拨入安全网关设备,并以XAuth方式实现Radius认证,访问内部专网资源。
●功能实现
远程接入点采用专线或ADSL拨号接入,有固定IP地址或浮动IP地址。
远程接入点可以与在平台内的,具有接入功能的所有VPN网关建立连接,而且平台实现单点接入,全网访问。
异地机构采用浮动IP地址,可以直接进行数据交换,并能及时更新VPN路由表。
中心采用固定IP地址,所有异地机构采用浮动IP地址,异地机构之间的数据交换通过在总部注册动态地址,异地安全网关设备间通过动态域名方式建立VPN连接数据交换可以不通过中心。
第四章VPN技术
第一节虚拟专用网络概述
1.1VPN的产生背景
随着连入Internet的用户迅速增加,各个公司都在考虑怎样利用Internet来获取更多的商业利益。
早期,公司只是利用Internet宣传其形象和产品,提供WWW访问,现在可利用Internet实现网络银行、电子购物、电子商务等。
要实现这些新功能必采用安全技术,虚拟专用网(VPN)技术便是重要手段之一。
我们可以看到,企业和公司组织的发展,往往需要将分布于各地的分支机构联成网络,并需要方便的与出差在外员工保持联系,最好与其它合作公司、供应商、销售商、等建立紧密的高效的联系,建立起Internet或Extranet。
而以往的办法无非是:
专用WAN、拨号网络以及直接利用Internet构筑起本公司的Internet或Extranet。
我们先看一下传统的解决办法:
1、专用WAN
通过专用(如FR或ATM连接)永久的保持多个站点的连接,通过CPE(CustomerPremisesEquipment)路由器或交换器连接专用设备,无疑代价和复杂度都非常可观。
2、拨号上网
通过PSTN或ISDN按需要建立与私有网络的连接,通常采用NAS(NetworkAccessServers)分布在一个或多个中心节点,用户拨号到NAS,由其进行Authentication,Authentication和Accounting(AAA),效率、速度等往往很难令人满意。
3、直接利用Internet构筑起本公司的Intranet或Extranet
Internet迅速发展无所不在以及诱人的低价位,的确令众多厂商开始采用这种办法,但Internet天生的开放性特点令人无所适从,安全性又成了问题,公司的机密数据一旦在Internet传输,若没有安全性保障,其后果可想而知。
在这种情况下,VPN应运而生。
首先它利用了Internet,其次它通过一系列措施来保障其安全性。
通过采用加密、认证、隧道、协议封装等技术在Internet上构筑起一条安全通道,使用户的敏感数据可以安全的开放网上传输。
1.2VPN的定义
VPN(VirtualPrivateNetwork虚拟专用网)是通过在两台计算机之间建立一条专用连接从而达到在共享或者公共网络(一般是指Internet)上传输私有数据的目的,即所谓的“化公为私”的这样一种技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(Internet、ATM、FrameRelay等)之上的逻辑网络,用户数据在逻辑链路中传输。
通过采用相应的加密和认证技术来保证用内部网络数据在公网上安全传输,从而真正实现网络数据的专用性。
这样,各个组织可以通在Internet上建立私有的WAN,来和自己的分支组织以及远程用户通信,从而进一步拓展了业务。
它的吸引人之处在于它基于分布广泛、全球化的Internet,并提供了一种快速、安全、廉价的建立通信链接的办法。
下图即为典型的企业VPN的系统组成。
图1
基于Internet组建企业VPN,第一步就是将其地理上分布的各网段以及各远程用Internet,远程用户可利用Modem通过PSTN拨号至本地ISP的NAS(NetworkAccessServer,网络接入服务器)接入Internet;
公司总部网段配有VPN中心,它通过路由器接入Internet,各分支机构和合作伙伴子网也通过VPN网关与总部LA进行连接。
1.3VPN的优点
VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为Internet和Extranet的应用带来良好的前景。
VPN技术的主要目标是节省企业的通信费用,特别是替代企业已有的专线,并且提高企业网络的可管理性,降低企业的通信成本。
具体而言,VPN具有以下显著的优点:
1、降低成本
当使用Internet时,实际上只需要付短途电话费,却收到了长途通信的效果。
因此,借助ISP来建立VPN,就可以节省大量的通信费,此外,VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。
2、容易扩展
支持多种隧道实现方式,并且网络是动态的,可以随时增减用户,便于集中控制访问权限。
如果企业想扩大VPN的容量和覆盖范围,企业做的事情很少,而且能立时实现;
企业只需与新的ISP签约,建立帐户;
或者与原有的ISP重签合约,扩大服务范围。
在远程办公室增加VPN能力也很简单:
几条命令就可以使Extranet路由器具有Internet和VPN能力,路由器还能对工作站自动进行配置。
3、可随意与合作伙伴联网
在过去企业如想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建自助用线路或帧中继线路,有了VPN以后,这种协商毫无必要,真正达到了要连就连、要断就断。
4、完全控制主动权
VPN使企业可以使用NSP的设施和服务,同时又完全掌握着自己网络的控制权。
比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
5、便于兼容
传统的远程拨号网络服务只支持注册的IP地址,限定了用户企业网络的访问。
而VPN的实现支持多种网络层协议和没有注册的专用IP地址,很好的解决了Internet公网与专网的兼容性问题。
第二节VPN技术
VPN支持传输模式的VPN技术和隧洞模式的VPN技术,通过这两种技术实现不同种类的VPN接入,形成了五彩缤纷的VPN接入。
VPN设备使用IPSec协议来实现VPN的技术。
IPSEC是一个应用广泛,开放的VPN安全协议。
。
通过IPSec协议,VPN用提供以下安全服务:
接入控制,数据完整性,数据源认证,防重放,加密,防传输流分析。
VPN支持一系列加密算法如AES、DES、3DES、IDEA、Twofish、Blowfish、CAST-128等,支持X.509证书和共享密钥的认证方式,支持MD5和SHA等Hash算法。
下面介绍VPN的接入技术和安全技术。
2.1接入技术
2.1.1传输模式
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。
它所保护的数据包的通信终点也是IPsec终点。
当数据包从传输层递给网络层时,AH和ESP会进行"
拦截"
,在IP头与上层协议头之间需插入一个IPsec头(AH头或ESP头)。
当对一个同时应用AH和ESP传输模式时,应先应用ESP,再应用AH,这样数据完整性可应用到ESP载荷。
因为传输模式不改变IP地址的头部,因此此种模式的VPN适用于合法IP地址之间的点对点通讯,适用范围比较窄。
2.1.2隧道模式
要能够使得企业网内一个局网的数据透明的穿过公用网到达另一个局网,虚拟专用网采用了一种称之为隧道的技术。
隧道技术的基本过程是在源局网与公用网的接口处将局网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的局网与公用网的接口处将公用网的数据解封装后,取出负载即源局网发送的数据在目的局网传输。
由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局网中的其他设备将不会觉察到这一过程。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
图2
隧道模式是通过IPIP技术实现的,IPIP协议是将一个IP包作为另一个IP的负载来处理。
举个简单的例子来说明IPIP协议的工作过程。
一个IP包源为A,A所在的局网与Internet的接口为B,目的地为远地的D,D所在的局网与Internet的接口为C,IP包要穿过Internet到达D,可在B作如下图的封装,数据包在Internet上可以按照路由到达C,在C处解封装去掉外
Media
外部目的C
外部源B
内部目的D
内部源A
用户数据
图3IPIP封装
部IP协议头,将内部IP包在局网上发送。
数据包将按照局网的路由到达D。
IPIP协议在具体的使用中要考虑如何建立外部IP协议头的内容,要考虑内部IP协议头中的某些内容如服务质量参数,是否要拷贝到外部协议头中。
实际上图的示意并不准确,在两个IP协议头之间可以插入其它的协议内容。
IPSec协议族在使用IPIP隧道时就可能插入另外两个协议头:
AH、ESP。
IPSec协议族建立隧道可能采用如下的方式:
外部IP
AH
内部IP
方式1
ESP
方式2
方式3
图4IPIP在IPSec中的使用
2.2安全技术
由于VPN是在不安全的Internet中进行通信,而通信的内容可能涉及到企业的机密数据,因此其安全性就显得非常重要,必须采取一系列的安全机制来保证VPN的安全。
通常由加密、认证及密钥交换与管理组成了VPN的安全机制。
2.2.1认证技术
认证技术可以区分真实数据与伪造、被篡改过的数据。
这对于网络数据传输,特别是电子商务是极其重要的。
认证协议一般都要采用一种称为摘要的技术。
摘要技术主要是采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。
由于HASH函数的特性,使得要找到两个不同的报文具有相同的摘要是困难的。
该特性使得摘要技术在VPN中有两个用途:
Ø
验证数据的完整性。
发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。
由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算,不知道秘密信息将很难伪造一个匹配的摘要,从而保证了接收方可以辨认出伪造或篡改过的报文。
用户认证。
该功能实际上是上一种功能的延伸。
当一方希望验证对方,但又不希望验证秘密在网络上传送,这时一方可以发送一段随机报文,要求对方将秘密信息连接上该报文作摘要后发回,接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息,从而达到验证对方的目的。
常用的HASH函数有MD5,SHA-1等。
2.2.2加密技术简介
在VPN中为了保证重要的数据在公共网上传输时不被他人窃取,采用了加密机制。
IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。
在现代密码学中,加密算法被分为对称加密算法和非对称加密算法。
对称加密算法采用同一把密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。
使用不对称加密加密时,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥d,另一个则是对应的公用密钥e,任何人都可以获得公用密钥e。
专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。
由于不对称加密运算量大,一般用于加密对称加密算法中使用的密钥。
不对称加密还有一个重要用途即数字签名。
目前,常用的数据加密算法有:
对称加密算法:
♦国际数据加密算法(IDEA:
InternationalData EncryptionAlgorithm):
128位长密钥,把64位的明文块加密成64位的密文块。
♦DES和3DES加密算法(TheDataEncryptionStandard):
DES有64位长密钥,实际上只使用56位密钥。
♦AES:
Rijndial加密算法
不对称加密算法:
♦RSA
♦椭圆曲线制算法
第三节VPN的功能
VPN支持多种接入模式,可以在不同的网络环境非常方便、灵活的建立VPN隧道;
同时具有强大的加密和认证功能,保证数据在Internet上传输的安全性。
3.1明密结合的VPN接入
3.2星形拓扑连接
VPN除了支持点对点的连接以外,还支持星形拓扑的连接。
星形连接适用于多个分公司的接入,如果企业VPN进行点对点接入时,需要所有企业之间都必须相互建立隧道,假如这个集团有100个分公司,就需要建立每一个VPN设备支持100条隧道,而支持如此多的隧道的设备价格都比较高,这给企业的投资带来较大的问题。
如果利用星型拓扑可以轻松解决这个问题,星型拓扑接入时只需要每一个分公司与总部建立一条隧道,分公司之间的访问通过总部的VPN进行转发即可。
3.3动态IP的VPN接入
VPN支持动态IP的VPN接入,可以根据指定对方VPN设备的IP地址或者域名建立VPN隧道。
因此只需为动态IP地址申请一个免费的动态域名,VPN根据申请到的域名建立隧道,从而实现了动态IP地址的VPN接入。
3.4DHCPOVERIPSEC
许多网络通过DHCP的方式管理网络中的IP地址,从而有效的避免了网络中的IP地址冲突并且简化了IP地址的管理。
如果一个集团全部用这中方式进行IP地址的管理,就需要有多少个分公司配置多少台DHCP服务器。
VPN设备建立VPN隧道以后,只需要在总部设立一台VPN设备,通过DHCPOVERIPSEC的功能就可以通过总部的DHCP服务器为各个分公司分配动态的IP地址,节省了网络建设的投资。
3.5NAT穿越
IPSec封装协议封装后的数据包,如果经过NAT网关设备,封装包头的地址被替换,封装包的完整性就会遭到破坏,导致认证失败,VPN隧道无法建立。
所以如果VPN隧道之间有NAT网关设备存在,VPN隧道将无法建立。
VPN通过独特的IPSec代理技术,解决了这一技术难题,使VPN隧道可以在NAT环境中自由穿越因此可以经过NAT设备以后建立VPN隧道。
NAT穿越包括客户端的穿越和VPN设备之间的穿越。
3.6VPN接入的访问控制
3.7VPN的带宽QOS保证
VPN隧道建立以后会和网络中的其他应用(例如:
企业用户从Internet下载东西、看网络电影等)共同占据企业的线路租用带宽,此时留给VPN的带宽就很有限了。
为了保证企业之间VPN访问的顺利进行,可以对VPN的带宽进行保证,从而保证企业之间可以顺利的互相访问。
3.8VPN内的QOS保证
许多用户建立VPN隧道以后通过VOIP设备可以实现企业之间免费打IP电话或者视频电话,同时进行企业之间数据的互相传输,实现了语音、图像、数据同时传输,而语音信息要求的时时性比较强,否则对方就听不清讲话的内容,而数据信息就不存在这样的问题,因此需要对语音信息作带宽保证。
防火墙具有CoS/QoS功能,使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。
防火墙通过定义管道的方式提供COS/QOS功能,并且管道没有数量的限制,可以基于IP、基于协议、基于接口、VLAN等信息进行带宽管理。
并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量。
总体来说,具有以下的特点:
带宽限制
带宽保证
优先级控制
动态流量均衡
3.9数据机密性保护
要想保护用户的信息在公用数据链路上传输的过程中不被泄漏出去,保证用户数据的机密性,必须对数据进行加密。
VPN设备之间以及VPN设备与VPN客户端软件支持AES、3DES、DES、Twofish等多种加密算法,通过加密保证数据的机密性。
3.10数据完整性保护
除了能够保证数据的机密性外,VPN设备之间还提供了IP数据包的完整性和认证机制。
完整性保证数据报不被无意的或恶意的方式被篡改,而认证则提供验证数据的来源(主机、用户、网络等)。
在实际的过程中,VPN设备通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务,一个消息文摘就是一个特定的单向数据函数。
它能够创建数据报的唯一的数字指纹。
VPN支持MD5和SHA两种HASH运算。
3.11保证数据的不可否认性
数据的不可否认性用来防止有人发送数据包后因某种原因反悔,否认自己曾发过此数据。
VPN设备通过在整个IP数据报中实施一个消息摘要后,用自己的私钥对摘要进行加密。
等到数据到达对方后,再用相应的公钥对摘要进行解密,然后再与重新对数据做的摘要进行对比。
两者相同,则可认定此数据包肯定是对方发出的。
因为加密的私钥只有相应的人员知道,所以通过此种方式可以保证数据的不可否认性。
3.12统一日志管理
日志对于防火墙或者VPN设备非常重用,通过日志可以对进行网络的数据进行审计,对网络入侵和破坏提供最有效、最直接的证据。
日志服务器可以将网络中所有VPN设备的日志统一管理,所有VPN设备可以将各自的日志自动的导入到服务器上,从而实现统一的管理
3.13VPN的集中管理
VPN的管理器可以对多台VPN设备进行统一的、集中的管理,方便用户在一台管理器上对多个VPN设备的远程管理。
并且可以定义全局的服务、对象名称,提供对所有VPN设备策略修改、上传、下载功能。
从而实现统一的集中管理。
第四节VPN应用
4.1VPN的点对点接入
点对点接入是VPN比较常见的一种接入模式,他适用于数量不多的企业之间进行互连。
企业之间通过VPN隧道的连接,建立一条可以穿越Internet的隧道,通过这条隧道可以实现以下功能(结合图形说明):
北京用户与上海用户通过私有地址通讯,同时可以访问Internet;
出差用户通过VPN客户端与北京总部或者上海分部通讯,同时可以访问Internet;
北京用户可以通过VOIP设备与上海用户免费通话;
北京用户与上海用户进行点对点连接,出差用户与北京、上海点
升级会员 