九乡新闻网艾尔之光搓冰机:包头市交通局虚拟专用网络(VPN)系统解决方案(一) - microsoftblog的日志...
来源:百度文库 编辑:九乡新闻网 时间:2024/07/07 12:14:12
包头市交通局虚拟专用网络(VPN)系统解决方案(一)
默认分类 2009-02-12 20:29:22 阅读103 评论0 字号:大中小 订阅
包头市交通局虚拟专用网络(VPN)系统解决方案
目 录
第一章 网络现状及需求分析.... 1
1. 企业网络安全概述... 1
2. 现有组网方式的缺陷... 1
3. 需求分析... 4
第二章 VPN技术概述.... 5
1. VPN基本概念... 5
2. VPN的基本技术... 5
3. 一般VPN解决方案所面临的几个问题... 7
第三章 SJW08 VPN系列产品及其优势.... 9
1. SJW08 VPN系列产品... 9
2. 技术指标... 12
3. 产品优势... 13
第四章 防毒墙技术与产品综述.... 14
1. 防毒墙概念... 14
2. 防毒墙的优势... 14
3. 卡巴斯基防毒安全网关产品性能指标... 15
4. 卡巴斯基防毒网关功能列表... 15
第五章网络防毒解决方案.... 18
1. 市交通局网络面临的威胁... 18
2. 市交通局网络安全设计原则... 18
3. 市交通局整体网络安全系统架构... 19
4. 市交通局网络安全防毒解决方案... 20
第六章 VPN解决方案.... 22
1. 解决方案... 22
2. 通信过程分析... 25
3. 安全性分析... 26
4. 本解决方案的主要特点... 26
第七章 成功案例.... 28
第一章 网络现状及需求分析
1. 企业网络安全概述
在当今经济全球化、竞争白热化和信息技术应用飞速发展的时代,信息化已经成为改善政府和企业管理水平、提高工作效率、增强企业核心竞争力的有力武器,企业信息化的核心是企业的各种网络基础设施以及办公应用系统,大体可以分为生产网、办公网、以及合作伙伴、远程接入、移动办公接入网络等等几个部分。随着网络和信息化的飞速发展,政府对信息化的依赖日益加深,网络安全问题开始凸显。影响网络系统安全的因素很多,可能是有意的攻击,也可能是无意的误操作;可能是内部的破坏,也可能是外来攻击者对网络系统资源的非法使用。包头市交通局由市交通局、公路局、运管处等二级单位以及各斜管单位下属单位等三级部门结构组成,一直以来,由于交通局没有建设一套完整的网络安全体系,因而在政府信息化方面存在大量的安全隐患,另外市交通局与其下属单位均通过各自的Internet互相连接,没有进行相应的数据通讯。虽然所有单位都通过Internet进行互联,但访问权限有所不同,信息流基本都是单向的,同级单位之间也不可互访。
2. 现有组网方式的缺陷
包头市交通局及下属单位的Internet接入方式都比较稳定(光纤)、接入速率较高,因此,Internet连接的可靠性可以保证但仍然存在问题,归结起来,主要有如下几个方面:
1) 访问受到限制
l 在现有组网方式下,包头市交通局及下属单位以及远程移动办公用户均通过因特网与所属单位取得联系,增大了泄露机密数据的可能性;另一方面交通局内网用户无法和外出人员或下属单位及时主动取得联系,因而信息资源无法实现共享;另外,IP地址没有统一规划,使访问控制变得复杂,容易造成安全疏漏。
2) 数据传输不具备安全性
l 在现有组网方式下,所有信息点均暴露在互联网上,不具备任何抗黑客攻击、抗病毒攻击的能力;所有信息传输均未加密,很容易遭到窃听,增大了泄露机密数据的可能性;
3) 信息系统安全不具备安全性,主要有以下几个方面:
u 人为的无意失误
如安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人,或与别人共享信息资源,内部人员的误操作等等都会对网络安全带来威胁。
u 人为的恶意攻击
典型的黑客攻击和计算机犯罪属于这一类威胁。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的机密性、可用性和完整性,包括使用各种木马,钓鱼等方法;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致企业机密数据的泄漏和丢失。
u 操作系统和应用软件的漏洞
以微软windows为代表的各种操作系统不断发现漏洞,通常在漏洞被披露的1 ~ 2 周之内,相应的蠕虫病毒就产生了,这对安全补丁工作提出了极大的要求,在目前企业安全人员严重不足的情况下,在短时间内完成成百上千台计算机补丁的部署带来巨大的工作量;另外,软件的“后门”有些是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。同时也存在BO、Netbus等诸多专业黑客后门程序,一旦通过网络植入内部网络,将大开方便之门。
u 蠕虫、病毒、垃圾邮件、间谍软件等等的威胁
病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等等很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于网络用户的各种危险的应用:不安装杀毒软件;安装杀毒软件但未能及时升级;网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中,特别是Internet;移动办公用户计算机连接到各种情况不明网络环境后,在没有采取任何措施情况下又连入企业网络;终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施、企业业务带来无法估量的损失。
u 网络边界扩展带来的威胁
随着各种网上交易和电子商务活动的展开,企业网络边界不断扩展,远程拨号用户、 VPN用户、分支机构、合作伙伴、无线局域网等等已经大大地扩展了网络的边界,网络的扩展给企业带来办公便利的同时也引入了潜在的风险,网络边界模糊化导致传统的边界保护更加困难。
u 海量安全事件信息带来的问题
通常情况下,企业在信息安全方面的投资有限,仅有少量的或者没有专职的安全管理人员,面对复杂多变的风险,如何能使有限的财力、人力用到刀刃上,真正起到保护企业安全的目标?目前的实际情况是,有限的IT管理人员要面对不同厂商的多种产品:防火墙、防病毒网关、内容过滤、防垃圾邮件等,以及这些产品几乎时时刻刻都在产生的海量的、分散的、相互之间没有关联的安全事件信息,难免不被这些告警信息所淹没,导致真正的威胁反而被忽略,如何避免处理海量安全事件和告警所需要的大量人力资源带来的管理和成本风险,如何对企业的安全资源进行的有效的整合和集中管理,这是所有企业管理者都在思考的问题。
4) 无法运行内部管理软件
l 市交通局内网和下属单位内网之间不能互通,一些应用系统管理平台无法运行,如办公OA系统、人力资源系统、ERP等。
5) 增值服务无法实施
l 由于缺乏保密措施,像视频电视、电话会议、IP电话之类的增值服务在这个网络上无法开展。
6) 无法满足国家相关部门对信息化建设的安全需求。
3. 需求分析
基于以上的几个问题,当今较为完善的解决方案是实施VPN和卡巴斯基防毒墙并行工作的组网方式构建整体安全体系框架,根据包头市交通局现有的网络情况和业务情况,希望改建之后的网络可以满足以下的方面的需求:
l 保证市交通局系统内部单位之间的信息传输安全
l 市交通局可以和下属所有单位以及移动办公用户之间能够相互访问,如有部分人员需要移动办公,移动用户在外地也需要能够通过VPN网络连接到内网中,访问管理网服务器及共享内网的信息平台,移动用户VPN安全威胁较高,需要详细考虑移动用户的认证、授权的安全因素,对移动用户的管理由交通局内部直接管理。我们建议针对移动办公人员,安装VPN软件客户端,软件客户端和市交通局VPN硬件网关建立安全的通道,可以保证移动办公人员灵活、安全、快捷的访问交通局内部网络。
l 根据对企业网络现状、病毒威胁及其防毒的迫切需求的分析,通过在网络边界处架设卡巴斯基防毒墙系统,可实现如下针对性的过滤:1)HTTP和FTP协议病毒过滤;2)SMTP和POP3协议病毒过滤;3)病毒邮件和垃圾邮件
l IP地址统一规划,访问控制简单且可靠性强,网络具有可扩展性
l 支持交通局的各项应用系统平台的实施
l 支持IP语音业务
l 支持视频会议系统、办公OA系统、人力资源系统
l 满足今后市交通局信息化发展的需要
以下将详细论述VPN的基本原理,我们推荐的产品及详细解决方案
第二章 VPN技术概述
1. VPN基本概念
VPN——Virtual Private Network,即虚拟专用网络。它是在Internet网络中建立一条虚拟的专用通道,让两个远距离的网络客户能在一个专用的网络通道中相互传递资料而不会被外界干扰或窃听,从而保证了资料的安全,却不必支付高昂的专线费用。客户只需连入所在地的ISP,就完全可以通过ISP骨干网,在Internet公网上把您遍布全球的企业内部网络连接起来。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
按照企业以前的组网方案,企业与其子公司之间要拉一根专线,而每年却需为这根专线支付昂贵的专线费,如若改用VPN方案,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet上网费,无疑是非常有吸引力的,如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
2. VPN的基本技术
目前,VPN的实现主要采用四项技术:隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
l 隧道技术(Tunneling):类似于点对点技术,它在公用网络上建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。
由于受到Internet网络中IP地址资源短缺的影响,各企业内部网络使用的多为私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的, 而必须代之以合法的IP地址。有多种方法可以完成这种地址转换,如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,对于VPN而言,数据包封装(隧道)是最常用的技术。数据包封装发生在VPN的发送节点,此时需将原数据包打包,添加合法的外层IP包头,这个包可通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术,下图为IPSec VPN隧道模式下对数据包的封装过程:
隧道封装后的数据包
新IP头
AH
Data
IP头
ESP
IP头
Data
原数据包
l 加解密技术(Encryption & Decryption):这是一种比较成熟的技术。
l 密钥管理技术(Key Management):主要任务就是如何在公网上安全传输密钥而不被窃取。
l 使用者与设备身份认证技术(Authentication):正确分辨哪些设备是与本身相关且需要相互流通,并且让非法用户无法进入系统。
图 2-1 VPN和虚拟隧道模型
一个VPN和“虚拟隧道”模型的实例如图2-1所示:
3. 一般VPN解决方案所面临的几个问题
1) 管理配置复杂。
2) 客户端软件不全面。
3) 动态IP的网状联通性。
大部分的VPN产品即使支持子公司采用动态拨号的方式接入,但不能实现两个动态拨号接入的子公司相互通信。
4) NAT穿越。
由于合法IP地址的有限性,现在有很多的地方的上网方式是以城域网的方式接入,也就是说ISP服务商分配给拨号用户的IP地址不是因特网的合法地址,而是一个私网地址,由ISP服务商做一层NAT接入。而IPSEC协议与NAT具有不兼容性。
江南计算技术研究所依赖强大的技术力量,将上述缺陷都已一一解决:
1) 管理配置复杂。
提供基于串口超级终端和远程telnet两种登录管理方式,管理员可以使用命令行的方式对设备进行配置;同时提供基于windows的GUI管理控制界面,管理员可以不用记忆复杂的配置命令,而仅通过点击鼠标就可完成全部配置工作。另外,由于设备支持从安全策略服务器自动进行策略下载的集中管理配置工作模式,所以对于分支网关的安装人员来讲只需要配置网关的网络地址信息和中心策略服务器的地址信息,就完成了全部配置工作。如果在分支网关安装之前,有中心的管理人员将这两项信息预先配置完成,则分支网关的安装过程可以做到真正的“零配置”。
2) 客户端软件不全面。
不但提供完整的IPSec协议实现,支持移动办公用户的VPN接入需求,而且内置完善的软件防火墙功能、支持PPPoE拨号协议、支持动态VPN策略下载、支持同时激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大的安全功能,所以其可以作为软件VPN网关安装在企业局域网的代理服务器上,作为硬件网关的备份或补充。
3) 动态IP的网状联通性。
通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况。
4) NAT穿越。
为了解决这个问题,IETF专门为IPSec制定了“NAT穿越(NATT)”协议草案,目前该草案的最新版本为v0.6。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装,这样当此数据包穿过NAT网关时,被修改的只是最外层的IP/UDP数据,而对其内部真正的IPSec数据没有进行改动;在目的主机处再把外层的IP/UDP封装去掉,就可以获得完整的IPSec数据包。
由于NATT协议标准制定的时间还比较短,而且还没有最终形成RFC的标准,所以目前国内VPN厂商真正支持这个标准的产品几乎没有,国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准。我们的全系列产品都支持最新的NATT标准。由于NAT技术在国内的广泛应用,所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。
第三章 SJW08 VPN系列产品及其优势
1. SJW08 VPN系列产品
SJW08 VPN系列产品是由无锡江南计算技术研究所自行开发、拥有自主版权,并通过国家主管部门完全认证的VPN产品。SJW08-VPN系列产品包括 SJW08-VPN硬件安全网关、 SJW08-VPN软件客户端以及 VPN安全管理中心(SMC)。
SJW08 VPN系列产品由下列设备和软件包所组成:
1) SJW08-3000:主要应用于网络结构复杂、高带宽、高流量的大中型骨干级企业网络中心,主要特点包括:
产品硬件规格:
网络接口:4个10/100M Ethernet口
控制口:1个串行控制口
USB接口:1个USB接口
重量:3.5Kg
尺寸:2U标准机架式
扩展性:无
主要功能性能指标:
Ø 支持3000个并发VPN隧道
Ø 国家密码管理机构批准的高强度算法(SF33)速度可以达到130Mbps,
Ø 3DES、AES算法速度可以达到300Mbps
Ø 内置功能完备的防火墙
Ø 内置功能强大的安全策略服务器
Ø 支持小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、普通电话拨号接入等多种因特网接入方式;
Ø 支持IPSec ESP AH的隧道模式封装和传输模式封装;
Ø 支持DES、3DES、AES、blowfish、two fish等通用加密算法;
Ø 支持MD5、SHA1、SHA2等通用认证算法;
Ø 支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法;
Ø 支持预共享密钥、数字证书的身份认证;
Ø 支持IKE自动密钥协商协议;
Ø 支持NAT穿越(NATT v 0.3);
Ø 内置DHCP服务器,可以完成企业内部网主机IP地址的动态分配;
Ø 提供完善的网络流量控制机制,合理分配因特网接入带宽;
Ø 支持DDNS的动态域名解析功能;
2) SJW08-2000:主要应用于网络结构复杂、高带宽的大中型网络中心和企业分支机构,主要特点包括:
产品硬件规格:
网络接口:4个10/100M Ethernet口
控制口:1个串行控制口
USB接口:1个USB接口
重量:3.5Kg
尺寸:1U标准机架式
扩展性:无
主要功能性能指标:
Ø 支持2000个并发VPN隧道
Ø 国家密码管理机构批准的高强度算法(SF33)速度可以达到50M
Ø 3DES、AES算法速度可以达到200Mbps
Ø 内置功能完备的防火墙
Ø 支持小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、普通电话拨号接入等多种因特网接入方式;
Ø 支持IPSec ESP AH的隧道模式封装和传输模式封装;
Ø 支持DES、3 DES、AES、blowfish、two fish等通用加密算法;
Ø 支持MD5、SHA1、SHA2等通用认证算法;
Ø 支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法;
Ø 支持预共享密钥、数字证书的身份认证;
Ø 支持IKE自动密钥协商协议;
Ø 支持NAT穿越(NATT v 0.3);
Ø 内置DHCP服务器,可以完成企业内部网主机IP地址的动态分配;
Ø 提供完善的网络流量控制机制,合理分配因特网接入带宽;
Ø 支持DDNS的动态域名解析功能;
3) SJW08-VPN客户端
SJW08-VPN软件客户端是无锡江南计算技术研究所完全自主版权的IPSec VPN软件产品。它可以完成移动办公用户远程接入企业内网。
SJW08-VPN客户端的运行对用户表现为全透明,即:用户的应用系统无需作任何适应性调整,其网络配置也不必作任何改动。
软件支持平台: Microsoft Windows 98/Me、Microsoft Windows 2000/XP/2003/Vista
主要功能性能指标:
支持1个并发VPN隧道
支持IPSec ESP AH的隧道模式封装和传输模式封装;
支持商密硬件设备提供的算法;
支持3 DES加密算法和MD5认证算法;
支持DH1024、RSA1024非对称加密算法;
支持预共享密钥、数字证书的身份认证;
支持IKE自动密钥协商协议;
支持NAT穿越(NATT v 0.3)。
4) VPN综合安全管理中心(SMC)
SMC管理器是基于Windows的图形界面程序,它主要完成浏览、配置SMC所维护的VPN设备信息和VPN安全策略信息。
对任何一个SJW08 系列的VPN产品节点,必须导入一个合法的数字证书,才能和其它VPN节点进行基于电子证书的双向身份认证,进而协商建立安全加密隧道。 SJW08-VPN支持符合X.509标准的证书,用户可以从第三方独立CA处获得证书,也可采用 VPN安全管理中心来自行生成、发放和管理企业自身的证书库。
软件支持平台: Microsoft Windows 2000/xp/2003
2. 技术指标
(1)VPN性能
l 支持静态—静态、静态—动态、动态—动态IP地址间的相互通信;
l 支持小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、普通电话拨号接入等多种因特网接入方式;
l 通过NAT方式为用户局域网用户提供因特网接入共享服务;
l 为企业内部网提供完善的状态包过滤防火墙保护功能;
l 支持IPSec ESP AH的隧道模式封装和传输模式封装;
l 支持DES、3DES、AES、blowfish、two fish等通用加密算法;
l 支持MD5、SHA1、SHA2等通用认证算法;
l 支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法;
l 支持SSF33、SSF09等国家商用密码管理委员会机构批准的高强度算法;
l 支持预共享密钥、数字证书的身份认证;
l 支持IKE主模式/野蛮模式的自动密钥协商协议;
l 支持NAT穿越(NATT v 0.5);
l 支持DHCP over IPSec的动态内部地址获取;
l 支持L2TP with IPSec的二层隧道建立;
l 内置DHCP服务器,可以完成企业内部网主机IP地址的动态分配;
l 提供完善的网络流量控制机制,合理分配因特网接入带宽;
l 支持DDNS的动态域名解析功能;
l 支持windows系统自带的PPTP/L2TP/IPSEC VPN移动办公用户解决方案;
l 内置安全策略服务器,提供集中的安全策略制定和下发。
(2)防火墙性能
l 防火墙类型支持状态检测、包过滤及其混合方式;
l 支持透明模式和NAT、路由模式同时使用;
l 双因子认证功能;
l 多级登陆权限设置;
l 直观的安全策略设置;
l 支持与IDS互动以提高安全性;
l 深层次日志、以及详细的审计分析功能;
l 多级过滤的网络访问控制功能,分别作用于IP层、应用层,形成立体网络防护;
l 具有MAC地址绑定、支持双向DNS、支持DMZ区;
l 可防IP地址欺骗、端口扫描;
l 抗DOS/DDOS攻击、IP碎片攻击、SYN攻击、DNS/RIP/ICMP攻击等;
l 系统配置文件的备份和系统快速恢复。
3. 产品优势
作为国内推出最早,成熟度较高的VPN产品,SJW08 VPN系列产品的优势包括:
1) SJW08 VPN系列产品由于开发早,应用面广,目前其市场占有率、客户数目、在线工作的机器数量等领先于同类产品,产品成熟度和工程实施经验明显居于前列。
2) 由于采用了切合实际的设计理念,其产品的结构合理性和网络适应性得到有效保证。
3) 作为VPN类产品,它完整地通过了国家密码管理委员会立项、安全审查、技术鉴定全过程。
4) 无缝支持NAT-T。
5) 支持动态域名解析。
6) 支持网状互联。
7) 完善的集中管理功能。
8) 提供功能强大的软件安全包。
9) 兼带动态带宽管理功能。
10) 集成完善的防火墙功能。