SSLVPN方案模板初稿.doc-得力文库

资源描述

《SSLVPN方案模板初稿.doc》由会员分享，可在线阅读，更多相关《SSLVPN方案模板初稿.doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、XXX VPN远程安全接入解决方案1.概述：作为一种成熟有效的低成本广域网互联解决方案，通过VPN技术实现远程安全接入已经得到了普遍的接受和广泛的应用。通过VPN，可以让远程的分支机构、移动办公用户乃至于合作伙伴在一个类似于局域网的环境下协同工作。在所有VPN技术中，IPSec VPN与SSL VPN是公认的最佳的网络到网络VPN解决方案，广泛应用于总部和分支机构之间的互联。IPSec是标准的网络安全协议，它可以提供透明的IP层加密通讯服务，加密强度根据选择的加密算法不同而有所区别。由于是基于IP层进行加密，所以与上层协议与应用无关，对各种应用的支持较好。但是IPSec VPN不支持路由协议的

2、透传，因此在进行需要透传路由协议的相对复杂组网的时候会遇到困难。为了解决这一难题，业内也开发了很多解决方案，其中最佳的就是利用GRE隧道技术与IPSec技术相结合的组网方式。在移动用户接入时，相对于IPSec VPN需要额外安装客户端以及需要对客户端进行比较复杂的配置的缺点，SSL VPN提供了更加简便的无客户端的移动用户接入解决方案。SSL VPN使用了面向HTTP应用的SSL协议对TCP协议进行加密。由于SSL协议得到了浏览器的广泛支持，因此在使用SSL VPN的时候不需要安装客户端和进行复杂的配置，只需要使用浏览器即可。同时结合ActiveX控件，SSL VPN可以实现对非HTTP应用

3、的支持，以及VPN客户端接入时的安全校验等功能。2.需求设计在XXX网络环境进行VPN设计时应当考虑以下问题：分析业务的实际需求，综合采用多种VPN技术，灵活网络设计。一般说来，网络到网络比较适合接入采用IPSec VPN，远程办公用户接入比较适合采用SSL VPN，而在需要透传路由协议的情况下，则需要使用GRE VPN承载IPSec VPN的方法。考虑到不同的远程接入网络/远程接入用户的业务需求不同，应用采用分域的方法进行VPN设计。比如分支机构与合作伙伴通过VPN接入的时候就应该接入不同的域。与通过专线进行广域网设计类似，在设计时要考虑对蠕虫病毒等恶意流量的防护问题。在多数情况下，

4、用于VPN连接的互联网链路往往同时也是访问互联网的链路，因此在进行设计时，要考虑与边界防护设计的融合问题。充分考虑统一安全策略部署，与统一配置管理问题。3典型组网DPtech远程安全接入解决方案综合应用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多种VPN技术，为用户提供多样的、高可靠性的远程安全接入解决方案，实现分支机构、合作伙伴、移动用户的一体化远程安全接入。同时根据实际情况，应用杭州迪普科技有限公司的防火墙、UTM和IPS产品，提供了全面的L27层安全防护，统一的安全策略部署与配置管理能力，以及与边界防护解决方案的融合能力。4.功能与优势网络级的性能迪普相关

5、产品基于APP-X硬件平台，可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。不会因为增加了新的设备而使得应用的性能出现下降。网络适应性迪普相关产品基于Conplat软件平台，提供了丰富的网络适应性，可以在IPv6、MPLS等复杂网络环境下良好的工作。设备部署的时候，可不受网络环境的限制，也不需要大面积调整网络结构。丰富的VPN组网能力综合应用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多种VPN技术，提供了丰富的VPN接入手段和组网方法。完善的L27安全保护通过DPtech防火墙、UTM和IPS产批为核心，提供了完善的L27层安全保护能力。可有效抵御V

6、PN内的病毒传播，以及抵御来自于互联网的攻击。虚拟化安全服务所有产品都支持虚拟化功能，可以虚拟成为多个独立设备使用。这在分域设计以及多种安全策略并存的环境下，可以有效的降低安全策略设计的复杂性。快速部署及排错所有设备都支持统一管理，能对所有设备进行统一系统软件升级、策略集中下发，提供了快速部署及排错能力。完善的高可靠性保障根据组网方式的不同，可支持链路备份、VRRP、路由备份等多种高可靠性设计，提供微秒级的故障切换能力。5.SSL VPN 技术简介随着 WEB 化和移动办公的普及，大量企业出差员工、分支机构员工、合作伙伴与公司总部业务系统的联系日益紧密。如何能让市场人员或者分支机构在外

7、也能及时与公司总部的业务系统沟通？如何能让企业老总们能够在家方便管理公司事务，随时了解公司情况？这些都需要企业构筑一个基于 Internet 的信息网络，但也要注意到 Internet 带来便捷的同时，也引入了黑客攻击、数据泄密等不安全的事件，在开放的 Internet 上进行信息安全、便捷的信息传递，是企业面临的难题，SSL VPN 正是在这种需求下应运而生。首先介绍一下 SSL 协议，SSL(Secure Socket Layer)是在Internet 基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进

8、行认证。SSL 协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：HTTP，)能透明的建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。通过以上叙述，SSL 协议提供的安全信道有以下三个特性：私密性。因为在握手协议定义了会话密钥后，所有的消息都被加密。确认性。因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。可靠性。因为传送的消息包括消息完整性检查(使用 MAC)。SSL VPN 技术帮助用户通过标准的 Web 浏览器就可以访问重

9、要的企业应用。这使得企业员工出差时甚至不必再携带自己的笔记本电脑，仅仅通过一台接入了 Internet 的计算机就能访问企业资源，这为企业提高了效率也带来了方便。由于 SSL VPN 不像 IPSec VPN 那样要购买和维护远程客户端或软件，因而要比后者系统造价低很多。DPtech 公司紧密跟踪客户需求，通过在防火墙系列中扩展 SSL VPN 插卡，为用户提供一体化 VPN 接入。通过硬件加速和优化的 TCP/IP 内核，可以提供高性能的 SSL 接入能力；同时，内置防火墙和用户认证模块等安全模块，支持热备份，从而提高了整个网络系统的安全性。拓扑如下：5.1DPtech SSL V

10、PN 技术特点SSL VPN 和传统的 IPSec VPN 相比，有着自身鲜明的技术特点，IPSec VPN 需要客户处安装专用的客户端程序，对于需要提供公共服务的系统往往是不能接受的。相比之下， SSL VPN 的技术特点如下：5.1.1无客户端接入与传统 VPN 解决方案相比较，SSL VPN 使用维护简单，不用更改现有网络结构；移动性强，不需要安装安全客户端程序；具有强有力的访问控制能力，可以使移动用户轻松访问公司内部 B/S 和 C/S 应用和其他核心资源。由于目前流行的 Web 浏览器都内置了 SSL 模块，所以对于基于 B/S 模型的应用，客户不需要另外安装和配置任何客户端

11、软件，就可以通过 Web 浏览器安全的访问数据了，系统的部署和用户的使用都极为方便。另外，对于传统的 C/S 模型的应用，DPtech 也可以提供两种基于 SSL VPN 的安全访问手段：用户既可以通过 Web 界面自动下载安装 JAVA 应用程序来建立安全的 SSL 加密通道，也可以通过 DPtech 特有的 SSL VPN 设备透明的构建 SSL VPN 通道。5.1.2强大的用户认证SSL 应用需要客户和服务器相互进行身份认证，客户对服务器的认证采用数字证书的方式，这个是必须的。服务端对客户的认证是可以选择的，可以选择不进行认证，这种网络一般面对公共用户提供开发式服务。对于客户

12、的认证可以支持如下：普通的“用户名+密码”认证方式。管理员既可以根据需要通过集成 LDAP、RADIUS 服务器，实现对用户的企业级集中认证；也可以在 SSL VPN 网关上直接开户，从而实现本地认证。“SecKey+PIN 码”双因子认证方式。SecKey 是 DPtech 提供的基于 USB 接口身份验证令牌，可以方便的连接到兼容 USB 的终端设备上，实现终端设备的方便接入。数字证书认证方式。数字证书可以存储在用户个人计算机上，也可以存储在SecKey 里面。系统通过提供硬件加速，实现用户的高速安全连接。5.1.3可管理性和可维护性可管理性包括 SSL VPN 的用户策略配置管理，SS

13、L VPN 连接的管理、配置策略的下发更新，对用户访问权限和业务资源进行有效的管理和配置。可维护性方面，SSL VPN 具有很强大的审计、日志和报告功能。记录每次配置修改，用户会话信息，用户登录退出信息，以及用户使用的业务资源，和相关业务统计数据。5.1.4高可靠性对于 SSL VPN，在为后台服务器提供 SSL 代理服务的时候，需要增强自身的高可靠性，通过状态热备和 VRRP 协议，或者通过和负载均衡设备的配合，来实现 SSL VPN 设备备份，从而避免单点故障。同时对于用户安全接入来讲，需要建立备份设备和备份链路，当一个设备或一条链路出现故障时备用设备或链路可以平滑地建立备份 VP

14、N 连接，保证网络无间断。网络的灵活性体现在用户不论是以什么样的接入方式接入 Internet 都可以方便地建立 VPN 连接。通过在 Internet 上承载业务，为用户节省了租用专线的费用，大大降低了企业运营成本，具有极高的经济性。5.1.6 SSL VPN 客户化解决方案DPtech SSL VPN 很成功的解决了网络上两个应用之间的安全连接，方便用户安全接入网络的同时，保护了网络业务资源。5.1.7基于 Internet 的电子商务应用在电子商务网络，包括购物、拍卖、网上银行等，都需要提供对用户的数据安全性的保护，从而避免造成用户利益损失。这种网络特点是保护用户的交易阶段，对用

15、户在网站上浏览阶段，为保证服务器的响应速度，不进行特别保护。同时由于是公共服务系统，所以在用户建立 SSL 加密隧道的时候，不对用户身份进行认证，只需要用户对服务器的进行认证。用户建立安全隧道之后，进行业务交易，根据需要，后台的应用服务可以对用户进行传统的身份认证，整个过程已经在安全保护下。SSL VPN 在这里主要的作用是对 SSL 应用进行加速，因为服务器一般都是通用 CPU，对加密解密是采用软件方式实现，SSL 应用中加密解密需要消耗大量的 CPU 资源，有测试第 10 页数据表明：PII 的 NT 服务器，能处理的 HTTP 服务是 1400 个，能处理的 HTTPS 服务是

16、在70 个左右。可见普通服务器应用 SSL 服务，性能下降到 1/20。同时对于用户来讲，长时间的业务处理等待，严重影响服务质量，降低交易成功率。SSL VPN 的出现，卸载了服务器的加密解密处理，增强系统处理能力。在这时候 SSL VPN 的网络位置一般是放在防火墙与后端服务器之间，从客户端到 SSL VPN 之间的通讯都采用 SSL 协议加密，而 SSL VPN 与服务器之间的通讯则使用标准的 http 协议（对于 Web 应用）,或相应的 TCP 端口（对于 C/S 结构应用程序），因此不会因为 SSL 加解密工作给服务器带来任何负担。5.1.8远程接入应用对于企业网络用户，出差

17、员工或者销售代理机构，需要密切保持和总部业务系统的联系，以方便及时处理订单等业务数据。这就要求可以方便的接入企业网络，同时考虑网络安全性，对用户进行身份认证和策略控制。用户登录时可以使用“SecKey+PIN”码的双因素认证方式，其中对服务器身份使用标准数字证书验证，对客户端身份使用基于 HMAC 的冲击响应进行验证。双方验证结束后，所有通讯均使用 HTTPS 协议，保证了从客户端到 SSL VPN 之间的通讯安全。信息传递到 SSL VPN，由 SSL VPN 将其解密后以标准 HTTP 协议或通过相应 TCP 端口，传递到后端的服务器，从服务器返回的信息，再由 SSL VPN 加密后传递到客户端。同样可以采用数字证书的方式认证，数字证书储存在个人 PC 上或者是 SecKey 里面，这样保证了证书的安全性。最后，还可以通过和 RSA 服务器的集成，采用静态密码加动态密码方式，实现了双因子验证，从而提高了口令的安全性。用户接入认证后，可以根据用户权限，控制用户访问的目录和服务，同时对用户访问行为进行详细的日志记录。6.总结DPtech SSL VPN 系统可为XXX用户提供一种灵活方便的安全接入方式，将极大的提高用户的工作效率，同时也大大的降低管理员的部署复杂度。

展开阅读全文