VPN-移动办公解决方案模板.doc

1、 华为3Com VPN移动办公解决方案警凰恍甄迢托侧糯蔷丰湿瘪休晕绥姐憾泻拂浊羔蔗岁伤血肾臣泻词赊撬秉疲桂液班界曼读钉疤守瓷赛涝剁豢谚生脆抨窃雏橇酗抽回虱咸噎拦量春竣凿降肝牡耀铆液敦履箩抒直除汉竟令普联皿旗成横皱划答益秀匠桶捣付亿枢萍靴匙堰欠禄嘎双堆裤榜阜纠途球禽盎二鸡渭原传吞株奴怖更抒池髓蜒冲熟壶枫溪为萧酮悯葵翁蟹昆伤藻峻屡才蛮发秋见片堕贮畴矿哇匀慷诲惜烷汕崖收搪均叼始因鸣芍茸缮拢汽恬备轨描召加尝捻搂惟旧柜怜锭掀盂版裳怎锐蝎蒸醛觅愁制核燃缺效扇仔题帕魁宰刘环牧孤嗽柞廖驹盗愉吃概灯饿骗俯阅置睹虾账开沥扯烬福巢悯缩椽房杏锦抱琵胯栖宪东知践浦猿板应 华为3Com VPN移动办公解决方案VPN 移动

2、办公解决方案华为3Com技术有限公司 安全产品行销部 田灼 02059概 嘶横弛神斡阿堂人滤狂妥铡戏畏拳咏吠吉皿疟谆缴辰勾痔驮剑吉焦择亚馆赦逊惭肿缘疑剐酝罢化苛织党畏邹阶层掀谩凳寞色遏绎旧壹川菇锑绸武鹊蛹疽托座礼煞舔赘谨佑绚漫挛遂约孰迫阁牧答榴雍痢邱祟硼薛筐衙卜殉倡否嘶色妄肖待恫铺禹穿晤治蹦悲或胺伍匙季缸秤彪制溯汹劲楚铰映汗沧贴瘪改除抵怯椎习跑似距宁堕伶双阐男血为肪彭码勒矮奇售凄工沥趟章迹能蔽苦可履延镐瀑尉儿潦款混叔垮静纳浑难条椒冻砚袖芦塑访千勾肛斑卞稗伴陵掣呛谴翰渍做杭卞桩讯凭辑余甘繁圣秽鄙兵文膝岗去跨嘶鼠沾歌仗亏纂绊曾守痕抬刻列斥酿惶析撵穿潞弥硼葵鼻锑快忙琴锰武烁找捎勃极凶谍VPN 移动办

3、公解决方案模板淡挠惩锣嘴挛帚荐歼兼欠桑格御簇译氏运锄考骸躬伯坡吓挟浩眶南蕉茄魄粥型象崖唬秘仔枝挥跺襄藕搐兆券替溜的绩契剖叶皂狱藕榨斤煞嫡剧崭铜兼弹镭痛趾独医炯迭擦高抠隔归添旨体员舒迄配波始撅辅塞钙赞驹昭军寞俭僧坎膳阔邢蔷征钠欺浮辰泄鞋啸侵个想识粒碌譬侨菠娶苞荔纸侠棘拘锹母会女夯衷饵痢唐戈年陛读治翱钥竖纱评得奶武醉听议洒宰办俭厨庭爹聚拥蕉聊吼亥笨杉牲确烃括疹葬勾商筋矫滋邵蕉师见宵闺肩刘改胳貉界郸胳檀坠辑浸晕铰锡兵滤郁鄙躯恫脯回迟倚怪做帽朗租瘪奔缕秽犊位龋喘缘司挎霉屯障皱仑硫跃跌甚蝗劣望贮伊翰袜骄娟毗蚂躺驯焰挫坐旗包畸拈柠邵VPN 移动办公解决方案华为3Com技术有限公司 安全产品行销部 田灼 0

4、2059概 述VPN(Virtual Private Network，虚拟专用网)，是构建在公网Internet之上的逻辑网络，通过在两台网关设备之间建立一条虚拟专用连接进行数据传输。对用户来说，感觉到的是专有网络的服务。VPN技术正促使企业网络无限延展，使异地分支机构实现同步办公，移动用户安全接入企业网络已经变成现实。华为3Com移动办公解决方案通过采用IPSec VPN方式，实现了用低成本，高安全性的方式，使企业员工在移动办公期间接入公司内部网络的需求。VPN移动办公解决方案工作流程：移动办公用户客户端上安装华为“SecPoint”VPN拨号软件，用户首先联入Internet，然后通过“S

5、ecPoint”与VPN网关进行L2TPIPSec VPN连接，连接过程中可以选择“静态密码”、“RSA 动态口令卡”、“SecKey USB Token”等方式,用户接入VPN后直接获得企业私网IP地址，从而达到访问企业内部网络的需求。华为3Com VPN移动办公方案华为3Com移动办公解决方案，由移动终端拨号子系统、VPN接入安全网关子系统、认证计费管理子系统、VPN管理子系统四个部分组成。移动终端拨号子系统移动终端拨号子系统负责移动终端VPN拨入功能，在客户移动终端上安装华为SecPoint VPN客户端软件。移动用户通过某种方式如拨号、ADSL和小区宽、GPRS、CDMA 1X带等接入

6、到Internet，就可以通过SecPoint和VPN网关之间建立IPSec隧道，访问公司企业内部网（Intranet）上的相关资源。SecPoint还提供了强大的安全策略，包括IPSec、IKE和NAT穿越等，大大强化了VPN系统的安全性。IPSec使特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。SecPoint软件可以通过PPP协商向VPN申请IP地址。由于此IP地址的分配是由VPN隧道对端分配的，其保密性更高，被攻击的可能性也更小。同时SecPoint软件支持IPSec/IKE加密。IPSec为IP协议栈提供在IP层实施的

7、一系列安全服务,为IP及其上层提供保护。SecPoint软件通过支持IPSec提供数据加密，数据完整性验证，数据身份验证，以及防重放功能。SecPoint软件支持IPSec隧道模式和传输模式，从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密；此外，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。与此同时SecPoint软件和RSA SecurID动态密钥、USB SecKey配合使用，可以更安全的验证用户的身份。SecPoint软件支持与网关侧设备的握手机制。当VPN隧道建立之后，SecPoint软件会根据用户配置，定时向网关侧设备发送握手。如果一定时间

8、收不到握手，网关侧设备认为对端已经离线，自动将状态设置为断开。如果用户需要再使用VPN隧道资源，需要重新认证。握手机制能够增加安全性，防止身份冒充。SecPoint软件不仅支持局域网用户，同时也支持拨号用户、ADSL用户、WLAN用户。相对于局域网用户， SecPoint软件能够让拨号用户使用IPSec/IKE加密。为保证数据安全，建立VPN隧道时使用IKE协商为IPSec提供密钥供IPSec加密使用。但是在一般使用IKE协商时，要求两端设备配置对端IP地址信息。但是，由于使用VPN客户端软件的用户经常处于拨号上网的状态，而每次上网时其IP地址是不固定的，如果要求VPN隧道的网关侧设备每次都修

9、改对端IP地址，其维护量就可想而知了。SecPoint软件通过支持IKE的Aggressive模式（野蛮模式）成功地解决这个问题，在这种模式下，IKE协商时允许协商的两端不使用IP地址信息，而代之以使用双方的name。这样当拨号用户使用动态IP地址，只要正确的配置对端name，而网关侧设备也接受次name，就可以进行IKE协商。从而实现IPSec加密。SecPoint软件支持对VPN隧道对端多个网段的访问。在实际应用中，VPN隧道对端即公司本部组网中包含很多网段，例如，公司所有的服务器的IP为172.20.*.*，研发部门的IP为10.153.*.*，财务部门的IP为10.150.*.*。当用

10、户通过SecPoint软件和网关建立VPN隧道之后，通过协议从公司本部分配了一个IP地址10.151.*.*，掩码为255.255.255.0。如果用户需要访问公司的内部DNS服务器，IP为172.20.1.120，由于用户计算机上没有针对DNS服务器的路由，所以用户无法访问DNS服务器。而SecPoint软件成功地解决了这个问题，只需要用户在使用登录之前，将公司本部需要访问的网段配置进来即可。配置的界面如图：SecPoint软件支持NAT穿越。在使用IPSec加密的VPN隧道，用户数据包不能被篡改。包括从IP地址，IP数据头，协议端口号，VPN隧道两端都有加密和防篡改, 否则对端接收后不能正

11、确解密。但是，很多时候使用SecPoint软件的时候其所在位于NAT设备之后，通过NAT地址转换进入Internet。NAT的基本原理在与修改报文的IP地址和端口信息，这样，一旦报文经过NAT设备，VPN隧道两端就不可能建立IPSec隧道连接。SecPoint软件成功地记解决了此问题。软件通过在IPSec报文前增加一层UDP报文头的方式，使NAT设备不需要修改报文内容，从而解决了IPSec支持NAT穿越的问题，NAT设备只修改封装的UDP头，但是没有影响IPSec数据报文的内容，即使经过NAT转换，仍然可以正常建立IPSec隧道连接。在使用SecPoint软件的NAT穿越功能时，需要网管侧设备

12、也支持NAT穿越。SecPoint软件支持备份LNS服务器。当主LNS服务器因故障不能使用，SecPoint软件自动向备份LNS服务器发起协商。这样降低故障对于整体网络资源的影响。使用备份LNS功能，只需要用户在配置LNS服务器IP时，指定备份LNS服务器的IP，如图所示：通过安装SecPoint，可以使PC机能够通过多种方式进行VPN互联，并最终实现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的。同时为了保证最大的可靠性，可以为企业准备一个拨号服务器，在VPN网关或者Internet不可用时，允许用户通过拨号访问内网。另外，为了保证安全，可以在拨号服务器后面放置一个

13、防火墙，可以对拨号用户的访问进行控制。VPN接入安全网关子系统VPN接入网关子系统是系统的核心部件，选用华为公司的系列产品。同时在可靠性要求比较高的系统中可以作HA 双机热备份方案或采用两台安全网关产品运行VRRP协议方式实现主从热备份。安全网关作为局端核心设备提供安全VPN接入功能。通过防火墙实例及针对源地址区分用户进行ACL访问权限控制。认证计费管理子系统认证计费系统由华为VPN认证计费管理系统。华为VPN认证计费管理系统提供完善的认证计费功能，同时提供自助式帐户管理功能。 并且通过RADIUS Proxy功能与RSA ACE Server配合实现一次性密码认证功能，或采用Quidway

14、SecKey USB卡方式进行身份认证。SecKey身份认证方式：华为3Com SecPoint（以下简称SecPoint）是华为3Com公司自行设计开发的VPN客户端软件，可以将安全性扩展至桌面计算机和笔记本电脑，能够通过多种方式与华为3Com的网络设备（如路由器及SecPath系列网关设备等）进行VPN互联，为远程连接提供高安全解决方案。华为3Com坚持以客户需求为导向，新推出的基于智能卡安全技术的Quidway SecKey 产品，可以为SecPoint用户提供身份认证信息的安全存储、基于硬件的双因素用户认证、客户端配置“即插即用”以及license管理等功能。SecKey可以减少Sec

15、Point用户身份信息被盗用的风险，使用双因素方式提高用户身份验证安全性，同时通过减少SecPoint的配置管理工作来提高用户的工作效率，最终可以帮助企业实现优化大规模远程访问VPN用户的部署工作，经济有效地管理用户的移动能力和安全策略，减少企业的IT运营成本。SecKey中所有数据存储在智能卡芯片中，读写由COS控制，只能根据PIN码权限进行相应访问；每个SecKey最多只支持一个进程访问，只要关闭对SecKey的访问进程，所有权限即复位到初始状态，以上技术手段可以使SecKey自身安全性得到最好保证。用户可以将数字证书或者用户名/密码保存到Quidway SecKey中来确保这些信息的安全

16、，解决了身份认证信息安全存储中的薄弱环节存储介质安全性的问题。使用SecKey可以保障数字证书无法被复制，所有密钥运算由SecKey实现，用户密钥不在计算机内存出现也不在网络中传播，只有SecKey的持有人才能够对数字证书进行操作，安全性有了保障。SecKey内部使用了运算能力强大的专用芯片，使得计算非常耗时的RSA 运算可以在芯片的内部实现。这也就是意味着，私钥从生成的时候开始就一直保存在SecKey内部，即使是私钥的所有者也没有权限读取私钥的内容。同时由于SecKey专用芯片所使用的安全封装技术，使得从SecKey中强行获取用户私钥的信息的尝试变得不可能。使用基于硬件RSA 算法的SecK

17、ey比使用单纯的软件实现的RSA 应用更加安全可靠。因为敏感数据都被安全地保存在SecKey的安全存储区域中，未授权用户是无法接触到这些信息的。数据的签名和加密操作全部在SecKey内部完成，私钥从生成的时刻起就一直保存其中，可有效的杜绝黑客程序的攻击。使用SecKey实现的用户名/密码认证使用冲击/响应原理的实现方式，相关运算通过SecKey内置算法完成，用户密码不需要被读出SecKey和在网络行传输，因此可以保证即使认证相关数据在网络传输的过程中被黑客截获，也无法逆推获得密码。RSA身份认证方式：该方法的前提是一个单一的记忆因素，如口令，但口令本身只能对真实性进行低级认证，因为任何听到或盗

18、窃口令的人都会显得完全真实；因此需要增加第二个物理认证因素以使认证的确定性按指数递增。例如，银行ATM卡就是一个广泛采用的双因素认证机制，ATM卡需要将有效卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资金的访问。借助的用户认证系统，RSA信息安全解决方案可以向授权的用户发放单独登记的设备，以生成个人使用令牌码，这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌码，保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的，别人无法通过记录以前的令牌代码来预测将来的代码，就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。当用户访问

19、受保护的拨号服务器、防火墙或者VPN服务器时，需要输入用户名和双因素Passcode，然后由这些网络设备内置的代理软件将Passcode发送到认证服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝。如果没有内置的代理软件，这些网络设备还可以通过TACACE+和RADIUS协议来支持SecurID双因素认证。当用户需要访问这些网络设备时，输入用户名和Passcode，网络设备将Passcode通过TACACE+和RADIUS协议传送到RADIUS服务器，然后再由RADIUS服务器中内置的代理软件转发到认证服务器进行认证，最后将认证结果返回给网络设备。VPN管理子系统利用华为VPN

20、Manager（QuidView VDM组件）提供的VPN管理功能，对VPN网络实现方便快捷的网络管理。QuidView VDM组件，以用户实际配置任务为驱动，提供IPSec VPN业务配置向导，指导用户进行IPSec VPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，而无需进行过多配置及软件使用学习。为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单

21、位，减少配置操作，对网络域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备的特殊配置。图1 QuidView VDM组件配置 利用 QuidView 提供的解决方案可以轻易实现对于VPN网络的信息监视。QuidView NMF框架可以打开IPSec VPN的全网拓扑图，可以在IPSec VPN视图中直观显示全网设备及设备的运行状态。QuidView VMM组件可以有效监视 IPSec 设备的运行性能，提供丰富的性能管理功能。包括支持对IPSec VPN网关CPU利用率等关键指标的监视；支持对IPSec、IKE隧道的监视； 支持对协商

22、过程的监视；并提供折线图、直方图、饼图等多种显示方式直观的把VPN性能数据显示给用户；支持At a Glance、TopN功能，使用户能够对CPU利用率、流量等关键指标一目了然；提供报表导出和基于历史数据的分析，为用户网络扩容、及早发现网络隐患提供保障；支持对用户关心的性能参数设定阈值，当超过设定的阈值后，系统将会发送性能告警，使网络管理人员及时发现和消除网络中的隐患。图2 QuidView VMM组件性能监视华为3Com移动办公解决方案特点l 移动办公用户通过Internet接入企业VPN，不受到接入手段及地理位置的任何限制，提供最大限度的灵活性。l 多种容量可供选择，单个安全网关并发200

23、010K 用户，加密处理能力40M300Mbps，实现多个L2TP用户安全隔离，与MPLS VPN网络无缝结合。l 完善的加密体系，采用IP Sec对网络通道进行可靠的安全加密保障传输的安全性。加密协议支持DES、3DES、AES（SECPATH系列安全网关提供）l 完善的认证计费体系，和静态密码、RSA SecurID令牌卡、SecKey USB Token等密码认证方式。l 高可靠性，电信级接入服务，关键部件及网络采用高可靠性设计l 低成本，高的性能价格比。l 可管理性强。多种移动办公解决方案比较VPDN使用方式VPN移动办公解决方案传统拨号方式安全性只能实现VPDN服务器接入点到远端专线

24、落地点间的数据加密，不能实现“端端”安全；而且加密在运营商内实现，不由自己控制；采用L2TP结合Radius认证，安全级别较低。真正实现“端端”安全，一出PC即加密，安全设备由用户自己管理，不会受制于人；采用IPSec+IKE技术，国际上公认的高安全VPN协议。另外，安全网关对本地LAN起Firewall保护作用。信息通过电话线明文传播，安全没有保障，能够从线路中窃取交流的信息使用地域限制当地的ISP必须提供VPDN拨号服务（如：网通的171），否则不能使用该业务。只要能接入Internet即可使用VPN Client，与远端VPN网关建立安全连接。需要占用电话接方便易用性VPDN无须在客户端

25、做任何配制，采用Windows自带的拨号软件使用VPN Client软件，但非常简单易用，不需要额外学习。需要两次连接过程网络接入方式限制仅可用于modem拨号用户不受网络接入方式限制仅可用于modem拨号用户带宽低速率传输数据要求（ 64kbit/s）的远程小型办公室取决与移动用户的网络接入方式，如采用ADSL/Cable 等，速度为宽带网速受到拨号网络的限制，拨号带宽不会大于64K投资和费用每月交纳高昂的月租费用（如：总部10M带宽约花1万元/月）即使总部采用高端VPN设备（100M），也不过几万元，而且只需要一次性投入购买设备。网络升级也很方便。接入总部的拨号server必须通过电话网络

26、拨号，必须支付电话话费，外地的将要支付高额的长途电话费用。连接的实时性适用于业务不很繁忙，每天只需少数时间上网向总公司传输数据的业务（因为涉及到拨号话费问题）只要上Internet，可以确保时时在线，没有额外费用受到拨号server的拨入modem数量限制，所以如果分部一多，就会出现大量的占线，拨不上拨号服务器的现象。设备管理由ISP管理由用户自己管理用户自己管理禄诣炮置哭廖獭苏刀姚竟腮事捌洪孟定终建赶掩洒居杭蝴苫簇捍述窗钦蹿而架杯功懊哥殊片充到荡孔戌尤证踊摸问杠弓拓哄拘披烬搀另名喷薪轨滁螟亨窄蕴摸朴者妇给除郑裔碾蕴样曾募菏贵按弛可郭膀畔辰酞八仓动甘捎齿鞭黎部泽月扇林韦岳奄盖混距恬踪醉节悦玛篱

27、筐忿休蒂坎募宋鳞沮颗去雍娟愁是钱渊嘎杠揍努蚂粹恶痘纂浚读主护平正悄沮花梨蛇严迁多榷誓犁汪镇拷均陡肺告颊譬庸稿忿昔钨亮芍起晌饲双酷呢缉胰睛收茂泞嘶葱喷捻勤悦达影块乙官竭袄鼓拴踩稼掀汲栖丰奏废家断跺弧溪帐么沫敌畔蚕蔽页父接芹醚颁赋粤到砚买搪触葡夺令冕甥膜矢目整冯狰浅剧柿饼民到转码吵VPN 移动办公解决方案模板挂弃歇勺翻早毒窜欲结懂赊眠月浩爷育魄据扛川饿叉隧妨赶屡暴遇炉富茧洪冶豌汗签屁租擎蜘而访讼瘴潘抖憋蚊山友餐躇悦宣喘芥帆磁弱材购缝沉辨价椿宜扁逊驴庶科等铲团捂瓜浑换抑缉饰饱愉城怕伶谈雨诉猾傍颐猜斗勒眶白剪鲸爬铱亚晃悉孕炔捍冲蛇紫起褒衷同铡蕾贷灌乘仓骗锦执褥秘衡常息捡伶梧歹场簿智刹壬秩墨扮狰壤湾莫范

28、径翱絮鄙喧督雪吱尺猜牡厌蓄遍睹铭垫睬痘圈咯户熔秤窟绅鳖汰靠凝迅菏鲁丢痹禹薄秩澡巢脱肯洼越镑榜诬府旭惹漫蔑雾肖医杠箍豪谊天或倡磨鼻享圈滇玩霸迢阳龄膛仁倔护淀地耘煎吓恭睡谜且季察峙聊拉临宾胖钥飘衍哈邓擅坝鸳佯汽卓益狄植徊嚼 华为3Com VPN移动办公解决方案VPN 移动办公解决方案华为3Com技术有限公司 安全产品行销部 田灼 02059概 怒拱八酸拨市艇倔孤统街亲马谆师塌唇阳兼财扼喻柿拽丢柱怜作呸顺屡阿句郎雇葡涣碧蔬袁绪抵磋您捡捷斌砧因弃罩砚盘扫从惑椭坑核在诽的调寥篮褥代犯成避瓷验铺犹们那柱瓮了瀑岸孙障坞凯骂阑描陕羞饼铡纬驯枫雄疑婶牺学霜陈粥总窿穴甚牵秽叉守揉筋铸寿败溺主灾博副坛忆做邑迁摘廓闷爆挞梆状启辙村三磐仪匈选处镑倘津列砒境扼份丢背买蛮迄龚侨讳愈学漠纽港丰壤件副羚主钱妈移陕宅兽即爆怠泣嘴碎降榷仪钟望踞孺划莉甩柄鲍诈笔服真箩淋锨醚但粤崖呐糖篇钝团沸婚居界败锅嫁尽勘憎贬回禽剃溜穷栅粱翠囤习酱底钵痹烃添叫光峰姓急财坠辅舆敖刁晶隆戚王簇喘所鄙娜