XX采购中心VPN方案设计.doc

XX采购中心VPN方案设计 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 2 个人收集整理 勿做商业用途 XX采购中心VPN方案设计 V1.0 2008年6月30日 文档控制 文档名称 XX采购中心VPN方案设计 文档管理编号 SECWORLD—SY—CC-36 保密级别 商密 文档版本号 1。0 制作人 王铁成 制作日期 2008-6-30 复审人 孙立波 复审日期 扩散范围 XX采购中心，网御神州 扩散批准人 文档说明 本文档是网御神州科技（北京)有限公司（以下简称网御神州）为XX采购中心制作的其VPN系统设计方案，仅供XX采购中心相关项目负责人进行参考,并不做其他用途。 版本变更记录 时间 版本 说明 修改人 2008-6—21 1.0 创建 王铁成 目 录 1 VPN技术概述 4 1.1 VPN的概念和功能 4 1.2 VPN的现状和优势 5 2 需求分析 6 3 方案设计 7 4 IPSec简介 8 4。1 IPSec技术优势 8 4.2 IPSec技术原理 8 4。3 IPSec实现方式 10 4。4 IPSec与NAT协同工作 10 5 方案选型产品介绍 12 5。1 产品概述 12 5.2 产品特点 12 5.3 主要功能 13 5。4 产品资质 16 1 VPN技术概述 1.1 VPN的概念和功能 虚拟私有网络（VPN,Virtual Private Network）是一种利用公共网络来构建私人专用网络的技术,用于构建VPN的公共网络包括Internet、帧中继、ATM等，我们通常将利用帧中继、ATM等网络技术组建的VPN归为专线网络，而在Internet上构建的VPN则是基于IPSec技术提供的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN具有和本地私有网络一样的安全性、可靠性和可管理性等特点。在本文中如果没有特别的说明，VPN就是特指这种建立在Internet上的利用IPSec技术的VPN。 “虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远程办事机构、出差工作人员以及业务合作伙伴,如下页图1。1所示。 图1。1 关键业务网络系统的典型架构 由图可知，关键业务网络系统的典型架构是由企业或政府部门的机构设置所决定。一般而言，一个典型的关键业务网络系统由一个总部、若干分支机构、数量不等的合作伙伴及移动远程用户所组成。除远程用户外,其余各部分均为规模不等的局域网所组成，其中总部局域网是整个网络系统的核心，为企业各类中心服务器所在地,同时也是网络管理中心。各部分之间的连接方式多种多样，包括远程拨号、专线、Internet等。从互联方式来看，VPN则可分为三种模式： 远程访问VPN（Access VPN)：远程访问可以使得移动用户访问公司的电子信箱和其他商业资源.通常这需要用户拨号到企业的modem池中，但是公司需要支付昂贵的长话费用；现在授权用户只需接入本地ISP的POP（Point Of Presence，接入服务提供点），就可以建立基于IPSec的VPN连接，远程访问总部的网络资源。 企业内部VPN（Intranet VPN）：Intranet将企业的各个分支机构连接在一起，共享应用程序和文件。虽然帧中继、ATM以及MPLS等技术也能完成这样的功能，但是它们都有缺陷，尤其是当企业业务遍及世界时，这些技术都不足以满足企业不断发展的需求，而且其昂贵的线路费用也是企业沉重的负担。现在VPN使用廉价的Internet网络资源,加上IPSec技术就可以组建Intranet，安全便捷的为企业提供信息共享服务。 企业外延VPN（Extranet VPN)：Extranet是多个企业之间的安全商业连接，企业通常利用Extranet与客户及供应商发展合作关系.由于连接费用、时间延迟以及访问可靠性等方面的制约，仅仅依靠传统的网络技术是很难完成这些任务的。VPN技术则是Extranet应用的理想解决方案，可以为企业提供快速、便宜而且安全的Internet连接,协助企业完成即定的商业目标。 1.2 VPN的现状和优势 在经济全球化的今天，越来越多的公司、企业开始在各地建立分支机构，开展业务，移动办公人员也随之剧增.在这样的背景下，这些 Telecomputer（在家办公或下班后继续工作的人员)和移动办公人员、远程办公室、总部以及客户之间必须建立连接通道。 传统的企业网组网方案中，要进行远程 LAN 到 LAN 互连，除了租用 DDN 专线或帧中继之外，并无更好的解决方法;对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的内部网；这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，VPN（Virtual Private Network）虚拟专用网的概念与市场随之出现。 VPN的优势： VPN技术的安全性：利用对称密码和非对称密码技术，VPN可以为用户提供身份认证、IP报文信息加密、信息完整性等安全保护功能。 利用VPN技术组建的网络费用比专线网络或帧中继网络的费用低:由于利用Internet相对便宜的传输带宽、核心设备和操作维护费用,大大地降低了网络的总成本。最近的一份研究报告表明，与专线网络和帧中继网络相比，利用VPN技术组建的远程分支机构可以节省20％～47％的组网费用；而且研究同时显示，VPN运行数月之后其带来的收益完全可以抵消它的维护成本。 VPN技术给用户带来更大的灵活性:与其他组建WAN的技术相比，VPN具有更大的灵活性和扩展性。用户可以简单快速地增加或删除网络连接，以适应不断变化地商业需求;同时它也可以利用绝大多数网络资源，而其他技术方案往往会因为某些限制而无法使用. 对于商业应用VPN总是开放的：Internet从来不会关闭,因此VPN技术也会为关键商业数据和应用提供24小时全天候服务. VPN技术提供了成熟而简单的解决方案:无处不在的Internet可以为用户提供方便而安全的数据传输媒体；同时解决方案的简单性可以减轻企业的管理负担，将精力集中在核心商业目标上。 2 需求分析 XX采购中心在全省总共有8个分支机构，各个分支机构同省中心间迫切需要实现网络互联，以便一些信息系统的应用，在保证网络安全性、稳定性和可靠性的基础之上，同时能够降低组网成本,XX采购中心提出基于互联网构建自己的VPN系统. 在XX采购中心部署一台高性能VPN网关设备，在每个分支节点部署一台低性能VPN网关设备,实现所有分支机构与中心之间、各分支机构之间的数据传输是加密的。 3 方案设计 为了满足XX采购中心追求数据保密性和完整性、可用性的需求，结合网御神州在行业内的成功经验,我们建议在XX采购中心中心使用网御神州的防火墙Secgate3600—F3—VPN,产品标配为4个百兆电口，吞吐量高达400Mbps,完全可以满足中心节点的需求;在各个分支机构采用网御神州的防火墙Secgate3600-F1—VPN，产品标配为4个百兆电口，吞吐量可达100Mbps，完全满足分支机构的需求。产品部署如图3。1所示： 图3.1:XX采购中心VPN产品部署示意图 网御神州VPN系统基于IPSec技术构建在互联网基础之上。 1. 每个分支节点代表了不同的用户群,每个用户群有不同的访问需求，在中心针对不同的用户群建立不同的VPN隧道,在隧道内进行严格的访问控制,禁止已知的蠕虫病毒通过VPN隧道进行传播. 2. 中心VPN网关和分支机构VPN网关启用NAT穿越功能,防止建立VPN隧道时无法穿越原有防火墙的NAT设置。VPN隧道的建立在IKE阶段和IPSec阶段分别采用安全的加密算法和认证算法，采用完美向前保护机制，保证协商的密钥在每一个更新周期内都是一个随机的加密值.启用DPD功能，快速判断和检测VPN隧道链路的状态，及时建立或切断VPN隧道。 3. 在防火墙上可以通过VPN隧道监控功能，实时监测VPN隧道建立的相关信息。 4 IPSec简介 4.1 IPSec技术优势 IPSec（IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准，IPSec的结构文档RFC2401定义了IPSec的基本结构，所有具体的实施方案均建立在它的基础之上。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。尽管现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议(SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）.然而，VPN需要的是网络级的安全功能，这也正是IPSec所提供的。下面为IPSec的一些优点: Ø IPSec在传输层之下,对于应用程序来说是透明的。当在广域网出口处安装IPSec时，无需更改用户或服务器系统中的软件设置.即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响. Ø IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。 Ø 如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。 4.2 IPSec技术原理 IPSec包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的各种保护方式；密钥协商部分则定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义，但其核心由其中的三个最基本的协议组成。即：认证协议头（AH）、安全载荷封装（ESP）和互联网密钥管理协议(IKMP）。 认证协议头（AH）协议提供数据源认证,无连接的完整性，以及一个可选的抗重放服务。AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。 安全载荷封装(ESP）协议通过对数据包的全部数据和加载内容进行全加密，来提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性,以及抗重放服务。和AH不同的是，ESP认证功能不对IP数据报头中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。 在IPSec中，AH和ESP是两个独立的协议，可以仅使用其中一个协议,也可以两者同时使用。大部分的应用实例中都采用了ESP或同时使用ESP和AH，但对于某些仅需要保证完整性的应用(如股市行情的发送)，也可仅使用AH。 IPSec支持手工密钥设置和自动协商两种密钥管理方式。手工密钥管理方式是指管理员使用自己的密钥手工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商管理方式则能满足其它所有的应用要求。使用自动协商管理方式,通讯双方在建立安全连接(SA）时可以动态地协商本次会话所需的加密密钥和其它各种安全参数，无须用户的介入. IPSec使用Internet密钥交换（IKE）协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等，这些安全参数的总体称之为安全关联（SA）。IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商.IKE通过两个阶段的协商来完成安全关联(SA）的建立，第一阶段，由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMP SA的安全关联；第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSec SA的协商。 设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。因此,IPSec协议中涉及各种密码算法，具体的加密和认证算法的选择因IPSec的实现不同而不同，但为了保证互操作性，IPSec中规定了每个IPSec实现要强制实现的算法.IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法,而认证算法是HMAC-MD5、HMAC—SHA-1和NULL认证算法.必须强调指出的是，高强度的密码算法是国家专控商品，至今美国仍实行对加密长度超过128位的加密算法的出口限制。我国颁布的《中华人民共和国商用密码管理条例》中规定，“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理.”，“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”，因此在选择VPN产品时，应采用经过国家密码管理机构认可的产品。 4.3 IPSec实现方式 IPSec的一个最基本的优势是它可以在各种网络访问设备、主机服务器和工作站上完全实现,从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端，可以在路由器、防火墙、代理网关等设备中实现VPN网关;在客户端,IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性：传输模式和隧道模式。 传送模式通常当通讯发生在主机（客户机或服务器)之间时使用。传输模式使用原始明文IP头，AH或ESP被插在IP头之后,但在所有的传输层协议之前。由于没有对原始IP头进行加密，因此传输模式不能抗数据流量分析. 隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。在隧道模式下，AH或ESP被插在原始IP头之前，同时生成一个新的IP头,并用自己的地址作为源地址加入到新的IP头.当隧道模式用于用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 4.4 IPSec与NAT协同工作 网络地址转换（NAT）是IETF为了解决IPv4协议定义的IP地址不足问题而提出的一种解决方案。它的主要工作原理是:在内部网络中使用IPv4保留的私有地址对主机进行地址分配，同时在NAT网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP地址（通常为NAT网关的外网口地址）。目前NAT技术以其简单实用的特点在国内得到了非常广泛的应用，比如：企业局域网通过代理或防火墙共享上网，小区和智能大厦提供的宽带接入,宽带城域网接入业务等等；而且在很多地方用户访问因特网的数据往往通过了多层NAT网关的转换。 在多数情况下NAT的处理对用户使用是完全透明的,但是当希望使用IPSec技术组建VPN网络时，NAT却带来了很大的麻烦。由于NAT处理过程是需要修改IP数据报文的IP头数据、传输层报文头数据甚至传输数据的内容(如FTP应用），而在IPSec协议中是对整个IP报文数据进行了加密和完整性认证处理的，所以一旦经过IPSec处理的IP包穿过NAT网关时，包内容被网关所改动，改数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是非法数据而被丢弃。这就是组建VPN网关最常见的“IPSec与NAT协调工作”的问题。 为了解决这个问题IETF专门为IPSec制定的“NAT穿越（NATT）”的协议草案，是2002年刚刚提出的。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装,这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动;在目的主机处再把外层的IP/UDP封装去掉，就可以获得完整的IPSec数据包。 由于NATT协议标准制定的时间还比较短，而且还没有最终形成RFC的标准，所以目前国内VPN厂商真正支持这个标准的产品几乎没有,国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准.网御VPN的全系列产品（从网关到移动客户端软件）都支持最新的NATT标准.由于NAT技术在国内的广泛应用，所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标. 5 方案选型产品介绍 5.1 产品概述 网御神州F系列企业级百兆防火墙基于自主开发的SecOS和安全协议栈，在消除通用操作系统漏洞的前提下，完整实现了状态检测包过滤/应用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSec VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。基于成熟可靠的专用硬件平台，网御神州推出了六个系列百兆级防火墙产品,可有效覆盖从总部到分支机构的各类网络安全边界隔离控制要求. 5.2 产品特点 n 安全防御水平高:系统采用自主开发的SecOS网关安全操作系统，独立实现各种安全访问控制，摆脱了庞大复杂的通用操作系统束缚。系统内核稳定，安全应用功能随需扩展,安全防御水平保持与国际一流厂商保持同步领先。 n 网络处理性能好：千锤百炼的SecOS操作系统,量身定制的网络设备驱动，与专业打造的硬件平台完美结合,使相同硬件平台下的系统吞吐能力、新建连接速率等核心性能指标比业界平均水平高出30%。 n 集中管控能力强：系统可与自主研发的SecGateManager 防火墙集中管理软件无缝集成，同时还提供丰富简捷的初始配置向导和多种配置管理方式。其集中统一的管理手段、灵活易用的管理方法和精确严格的控制策略，可显著提升系统的可用性、可视性和可控性。 n 深度内容检测细：网神防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障. 5.3 主要功能 安全防御能力 提供基于状态检测的动态包过滤 支持SIP/H.323/H.323网守/FTP/SQL。Net/MMS/RTSP/TFTP等动态协议 支持802。1Q VLAN协议 支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT 支持静态桥转发表 支持多纯透明子桥和接口联动 支持IP/MAC地址绑定和自动探测 支持新建连接/并发连接限制 提供透明网关式应用代理 提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等 提供与应用服务无关的用户认证 提供基于Web/Portal的无客户端认证 有效抵御各种DoS/DDoS攻击 提供实时网络连接监控和实时中断 提供全面的内外网连接监控 VPN 支持标准IPSec VPN 能够与使用标准IPSec 的网关或客户端互联互通 支持基于策略的VPN应用 支持基于路由的VPN应用（特别适用于大型纵向网络环境） 支持基于路由的双VPN隧道备份 支持VPN的星型、网状等多种接入方式 支持VPN的NAT穿越 支持DHCP over IPSec VPN 支持VPN远端状态探测DPD 支持遵守VPN客户端提案方式 支持PPTP/L2TP 拨号VPN 支持X-AUTH扩展认证 支持本地和RADIUS认证 支持LDAP证书获取方式 支持VPN证书一次导入导出 支持SSL VPN 网络适应能力 支持透明/桥接/路由/混合模式 可适应多种网络拓扑结构和VLAN Trunk环境 支持策略路由 支持基于服务的策略路由 支持动态路由RIPv1/v2和OSPF 提供目的地址路由、源地址路由和路由负载均衡 支持基于应用探测和链路质量探测的多出口路由备份切换 支持PPPOE协议,提供ADSL接入方式 支持多条ADSL拨号和自动负载均衡 提供QoS带宽管理 支持DHCP服务器/中继/客户端 支持DNS中继 支持PPTP的NAT穿越 支持数据包分片重组功能 深度内容检测 支持对 URL 进行过滤、网页内容过滤、黑名单、白名单、可对允许访问的 URL 和禁止访问的 URL 进行日志记录、支持关键字导入 支持BT/eDonkey/Kazaa 等P2P 软件限制 支持对即时通信软件(MSN、QQ、Skype）限制 支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务 防 MAC 欺骗和 IP 盗用 可对 SMTP 协议进行病毒过滤 可对 POP3 协议进行病毒过滤 可限制文件最大容量、附件数量,可设置文件夹最大压缩层数 支持病毒库升级 可对多种常见网络蠕虫进行过滤 支持多家IDS联动 支持 Web应用协议实时入侵防御阻断 支持IPS特征库升级 高可用性能力 支持防火墙双机热备 支持防火墙多机负载均衡 支持端口链路备份和负载均衡 支持服务器负载均衡 管理审计能力 支持SecGateManager防火墙集中管理系统 提供灵活的软件升级方式 提供强大的日志管理和日志审计 管理员身份认证支持电子钥匙认证或证书认证 支持防火墙系统的实时监控 支持实时连接状态监控 支持实时路由表查看 支持当前配置查看 支持IP地址冲突检测 支持桥转发表查看 支持中文对象名 支持管理员分级管理 支持配置向导 支持系统导入导出配置 支持Web界面导出调试信息功能 5.4 产品资质 公安部销售许可证 国家信息安全认证产品型号证书 国家保密局涉密信息系统产品检测证书 军B级信息安全产品认证证书 计算机软件著作权登记证书 © 2008 网御神州科技（北京）有限公司 Page 18 of 18