企业网络安全vpn解决方案
目录
第章 户需求分析 5
11 业务背景 5
12 需求分析 5
13 方案目 6
第二章 VPN技术核心 6
1VPN概念 6
2.VPN技术核心 7
21 VPN分类 7
22 VPN技术标准 7
23 IPSec协议 8
24 VPN优势 11
3.VPN发展前景 12
第三章VPN解决方案 12
1 方案设计原 12
11 高安全性 13
12 优网络 13
13 完善理 13
2 VPN实施方案 13
21总部网络拓扑 14
22 分部网络拓扑 15
23访问控制 16
24 VPN 场景应 16
3方案实现高价值 18
前 言
着计算机技术通讯技术飞速发展网络正逐步改变着工作方式生活方式成社会发展题网络开放性互连性享性程度扩特Internet出现网络重性社会影响越越着网络电子商务电子现金数字货币网络保险等新兴业务兴起网络安全问题变越越重计算机网络犯罪造成济损失实令吃惊仅美国年计算机犯罪造成直接济损失达150亿美元全球均二十秒发生次网入侵事件80公司少周网络规模入侵次旦黑客找系统薄弱环节户会遭殃面计算机网络种种安全威胁必须采取力措施保证安全
着技术发展种入侵攻击针TCPIP协议身弱点攻击转针特定系统应漏洞攻击针Windows系统OracleSQL Server等数库攻击攻击入侵手段封装TCPIP协议净荷部分传统防火墙设备第代包滤防火墙第二代应代理防火墙第三代全状态检测防火墙类攻击力查TCPIP协议包头部分检查数包容外基网络传播病毒间谍软件互联网户造成巨损失时层出穷时消息等应MSNQQBT等带安全威胁降低员工工作效率安全威胁已发展成混合型安全威胁传统防火墙设备已满足客户安全需求
美国Xx公司应客户需求时推出全新设计高性UTM体化网络安全设备般讲UTM通常包括防火墙VPN网关防病毒IPSXx公司UTM基础增加反间谍软件服务进步确保企业信息安全Xx采独二逐包扫描深度包检测引擎需数包重组文件进行缓存实现病毒入侵间谍软件扫描防护彻底消网关设备时载文件数目文件限制UTM技术突破Xx UTM设备够行扫描超50种协议25000种病毒检测阻断2000种入侵威胁
Xx支持百种签名时消息(IMMSNQQ)等应(P2PBT载eMule载)通信进行控制封堵QQ2005够扫描NetBIOS 协议防止病毒通Windows文件享进行扩散
采高性专硬件实现IPSec VPN加解密Xx设备3DESAES算法具备样出色表现分布式企业通Internet建立VPN连接安全济信息传输方式 外 Xx网关防病毒入侵防护功仅防护Internet安全威胁阻挡企业分支机构通VPN隧道带安全威胁
第章 户需求分析
11 业务背景
xxxx限公司国首屈指食品加工销售企业业务遍全国省物流财务信息传输需确保安区申请专线费高 Internet企业信息传输提供济效台然安全问题值担忧目前20分公司遍布全国量出差外业务员需时安全访问企业总部服务器
12 需求分析
信息时沟通资源享制约企业业务飞速发展重素集团部类信息营销策略时送达外工作业务员外工作业务通种高效安全方式业务开展情况反馈集团总部通企业部营销系统ERP等业务系统迅速展现企业决策者面前直集团期解决问题
公司国驻外员分布省会城市负责该省产品营销业务需时企业总部进行财务信息传输业务数Internet直接传输时存较高安全风险旦数盗取泄漏出必然会造成公司业务严重损失
初步需求:
4分公司分通电信部门接入Internet分支机构网络受安全设备防护必须防火墙设备外防止遭受病毒黑客入侵威胁应层安全必须受保护设防火墙设备应该具备防病毒防入侵功 企业总部网络重数库系统防止病毒黑客入侵极重
分公司企业总部建立点点VPN连接实现安全数传输高性VPN功必须集成设备部便统理外出差外员工够时通Internet安全访问企业数库移动户必须通VPN加密方式访问企业网络资源
13 方案目
作保护企业部网免遭外部攻击确保信息安全通Internet传输效措施分企业系统部网外部广域网间放置UTM设备(:防火墙+ VPN +网关防病毒+ IPS)通设置效安全策略做企业部网访问控制方便远程移动户安全访问集团部机密资料公司建立起安全济网络通信连接推荐配置基深度包检测技术UTM设备——(防火墙 + VPN + 网关防病毒 + 防入侵)
第二章 VPN技术核心
1VPN概念
虚拟专网(Virtual Private Network)技术指公网络中建立专网络数通安全加密道公网络中传播利VPN技术单位需租数专线连接公众信息网机构互相传递信息时单位利公众信息网拨号接入设备户拨号公众信息网连接进入联网中VPN节省成提供远程访问扩展性强便理实现全面控制等处目前联网络发展趋势
简单说VPN作部网公众信息网(宽带城域网)延伸通宽带城域网中私通道创建安全私连接VPN通安全通道远程户分支机构业务合作伙伴等机构联网连接起构成扩展联网络(图21)
图21
公众信息网
总部
分部
办事处
单机户
VPN网关
VPN网关
VPN客户端
2.VPN技术核心
21 VPN分类
VPN分三种类型:
· 远程访问虚拟网(Access VPN)
Access VPN指单位员工单位分支机构通公网远程拨号方式构筑虚拟网
· 部虚拟网(Intranet VPN)
Intranet VPN指单位总部分支机构间通公网构筑虚拟网
· 扩展虚拟网(Extranet VPN)
Extranet VPN指单位间发生收购兼单位间建立战略联盟时联网通公网构筑虚拟网
三种类型VPN分传统远程访问网络部Intranet联网相关合作伙伴联网构成Extranet相应中通常Access VPN做拨号VPNVPDNIntranet VPN Extranet VPN统称专线VPN
22 VPN技术标准
VPN具体实现采隧道技术联网数封装隧道中进行传输隧道协议中典型GREIPSecL2TPPPTPL2F等中GREIPSec属第三层隧道协议L2TPPPTPL2F属第二层隧道协议第二层隧道第三层隧道质区户IP数包封装种数包中隧道里传输
L2TPIPSecVPN相关两重协议IETF制定IPSec相关RFC文档包括RFC2104RFC2401~2409RFC2451L2TP协议3ComCiscoAscendMicrosoftBay等厂商制定控制包数包LACLNS间通UDPIP传输外MPLSRADIUSLDAPVPMT等协议部分涉VPN
23 IPSec协议
IPSecIETF正式定制开放性IP安全标准虚拟专网基础已相成熟IPSec实际套协议包单协议点认识IPSec重1995年开始IPSec研究工作 IETF IPSec工作组页发布十宽带城域网草案文献12RFC文件中较重RFC2409 IKE互连网密钥交换RFC2401 IPSec协议RFC2402 AH验证包头RFC2406 ESP 加密数等文件 IPSec安全结构包括3基协议:
IPSec协议族
子协议
AH验证包头协议
ESP封包安全协议
IKE密钥理协议
功
IPSec验证
IPSec数加密
IPSec密钥交换加密
· AH协议(Authentication Header)
IPSec认证包头(AH)提供IP数报完整性认证机制完整性保证数报意恶意方式改变认证验证数源(识机户网络等)AH身实支持形式加密保证通宽带城域网发送数信程度AH加密出口进口受政府限制情况提高全球宽带城域网安全性全部功实现通认证IP包减少基IP欺骗攻击机率提供更安全服务AH包头放标准IPv4IPv6包头高层协议帧(TCPUDPICMP等)间
AH协议通整IP数报中实施消息文摘计算提供完整性认证服务消息文摘特定单数函数够创建数报唯数字指纹消息文摘算法输出结果放AH包头认证数(Authentication_Data)区消息文摘5算法(MD5)单数学函数应分组数中时整数分割成干128特信息分组128特组信息分组数压缩摘表示种方式时MD5提供数字完整性服务消息文摘发送前数接收根组数计算出果两次计算出文摘值样分组数传输程中没改变样防止意恶意窜改HMAC-MD5认证数交换中发送者前交换密钥首次计算数报64特分组MD5文摘系列16特中计算出文摘值累加成值然放AH包头认证数区数报发送接收者接收者必须知道密钥值便计算出正确消息文摘接收认证消息文摘进行适配果计算出接收文摘值相等数报发送程中没改变相信知道秘密密钥方发送
· ESP封包安全协议
封包安全协议(ESP)包头提供IP数报完整性信性服务ESP协议设计两种模式工作:隧道(Tunneling)模式传输(Transport)模式两者区IP数报ESP负载部分容隧道模式中整IP数报ESP负载中进行封装加密完成真正IP源址目址隐藏宽带城域网发送普通数种模式种典型法Site-Site间通虚拟专网连接时进行机拓扑隐藏传输模式中更高层协议帧(TCPUDPICMP等)放加密IP数报ESP负载部分种模式中源目IP址IP包头域加密发送
IPSec求ESP实现中通缺省算法DES-CBC算法美国数加密标准(DES)现非常普遍加密算法早美国政府公布初商业应现DES专利保护期已期全球免费实现IPSec ESP标准求ESP实现支持密码分组链方式(CBC)DES作缺省算法DES-CBC通组成完整IP数包(隧道模式)更高层协议帧(传输模式)8特数分组中加入数函数工作DES-CBC8特组加密数(密文)代8特组未加密数(明文)机8特初始化量(IV)加密第明文分组保证明文信息开头相时保证加密信息机性DES-CBC通信方享相密钥正认称密码算法接收方发送者加密数密钥加密数进行解密DES-CBC算法效性赖秘密密钥安全ESPDES-CBC密钥长度56特目前流行安全加密标准提供3倍DES算法168特密钥长度进行数安全加密
· 密钥交换协议IKE
IKE属种混合型协议宽带城域网安全关联密钥理协议(ISAKMP)两种密钥交换协议OAKLEYSKEME组成IKE创建ISAKMP定义框架OAKLEY密钥交换模式SKEME享密钥更新技术定义两种密钥交换方式
IKE两阶段ISAKMP:第阶段协商创建通信信道(IKE SA)该信道进行验证双方进步IKE通信提供机密性消息完整性消息源验证服务第二阶段已建立IKE SA建立IPsec SA
IKE定义5种交换阶段1两种模式交换:身份进行保护模式交换根基ISAKMP 文档制订野蛮模式交换阶段2 交换快速模式交换IKE 定义两种交换:①通信方间协商新DiffieHellman 组类型新组模式交换②IKE 通信双方间传送错误状态消息ISAKMP信息交换
ESPAH协议相关系列支持文件规定加密认证算法解释域(DOI)通系列命令算法属性参数连接IPSec组文件
IPSec存VPN安全性巨提高VPN广泛应成广单位户福音VPN利开展电子商务应扩展性受理位置限制节约费优越性充分发挥VPN发展潜力巨
· 数(隧道)加密深度
宽带城域网络中根数包加密手段实现密文隧道传递IPSec VPN建立效安全数传输基支持更高数安全(见)性加密深度成评价IPSec VPN优劣重标准(表全球领先)
VPN加密深度
Cisco VPN网关
NetScreen VPN 网关
Xx VPN 网关
硬件网关
56bit128bit
56bit128bit
168bit
56bit128bit
168bit192bit 256bit
软件加密
192bit256bit
付费硬件
168bit192bit 256bit
24 VPN优势
VPN作种新技术出现带优点单位带限商机发展机遇VPN优势:
· 开展电子政商务
VPN级政府单位通宽带城域网实现远程办公会议户直接远程谈判协商业务签订合VPN工作带巨方便节省量时间提高工作效率直接节约量费正VPN通安全数通道加密技术数关键性商务应数进行传输离开点难想象进行远程商务谈判技术数传输级政府单位影响
· 受理位置限制
宽带城域网发展现处接入处接入点接宽带城域网然实现VPN关关键性数进行安全传输达安全传输然专线传输例ATM光纤等等费高昂二接入点找起方便
· 扩展性强
宽带城域网处决定增加减少户接入非常容易专线减少接入点办增加户首先户搞清楚附没接入点接入点必须进行工程布线接入
· 节省量费
VPN通远程办公远程商务洽谈远程技术支持节约量时间办公费节约庞出差费根Infonetics Research单位VPN研究报告租线路换成VPN连接远程站点节约2040开支远程访问VPN节约费达单位远程拨号费6080节省带宽升级重新布线产生费
· 节省投资
宽带城域网网络技术飞速发展网络带宽会限增长升级单位需考虑机器升级行需考虑宽带城域网升级果专线时代进步单位发展线路带宽会成瓶颈
基IPSec标准VPN技术限制户接入方式带宽取决户接入带宽中国电信常宽带接入方式:ADSLFTTX+LAN般ADSL带宽达8MbpsFTTX+LAN达100Mbps时支持VDSL具非常良性价格扩展性
3.VPN发展前景
安全VPN隧道技术够拓展级单位业务工作单位节省资金着全球化进程断深入移动办公队伍断增长种网络技术正越越加采新属VPN时代正类中型单位中成现实VPN迎合户安全性网络性追求较前产品提供更丰富特性功越越政府企业开始注意VPN网络公司带效率效益坚信未发展历程中 VPN技术行业带济效益高速增长信息沟通模式变革
第三章VPN解决方案
考虑具体情况推荐基IPSec核心技术高性加密产品组建xxxx公司VPN网络Xx UTM ( 防火墙 + VPN + 网关防病毒 + IPS)Xx 防火墙VPN 前国际先进网络技术销售数量占全球第位
1 方案设计原
VPN方案设计少包含原:高安全性优化网络完善理等
11 高安全性
VPN直接构建公网实现简单方便灵活时安全问题更突出确保VPN通道传送数攻击者窥视篡改防止非法户网络资源私信息访问
保证数真实性:通信机必须授权抵抗址认(IP Spoofing)力
保证数完整性:接收数必须发送时致抵抗法分子纂改数力
保证通道机密性:提供强力加密手段必须偷听者破解拦截通道数 提供动态密匙交换功提供密匙中心理服务器必须具备防止数重演(Replay)功保证通道重演
提供安全防护措施访问控制抵抗黑客通VPN通道攻击联网络力VPN通道进行访问控制(Access Control)
12 优网络
充分效利前限广域网资源重数提供带宽广域网流量确定性带宽利率低流量高峰时引起网络阻塞产生网络瓶颈实时性求高数时发送流量低谷时造成量网络带宽空闲QoS通流量预测流量控制策略优先级分配带宽资源实现带宽理类数够合理先发送预防阻塞发生
13 完善理
完善VPN理系统必少构建VPN理目标:减网络风险具高扩展性济性高性等优点事实VPN理包括加密理设备理配置理访问控制列表理QoS理等容
2 VPN实施方案
根公司前网络状况提出实施方案
21总部网络拓扑
网络结构图
企业总部xx设备 具备防火墙功 VPN 功外客户选安全服务包括网关防病毒入侵防御反间谍软件等等
考虑分公司规模分公司采xx 户设备xx户设备具备xx样功适型分支机构
移动户笔记电脑安装VPN客户端软件GVC时方便快捷企业总部甚分支建立VPN连接安全访问企业信息
企业总部分公司建立点点VPN隧道出差外移动户企业总部TZ170建立客户端VPN连接样分布式企业网络出口入口受防火墙保护分公司总公司移动户总公司通信受VPN隧道保护果启网关防病毒入侵防御反间谍软件功点部网络受应层安全防护 外xx设备够阻断病毒入侵企业分公司总公司间通VPN隧道传播 间谍软件会造成企业敏感信息泄漏Xx防间谍软件功Xx够中断计算机中已存间谍软件台通信时通扫描屏蔽间谍软件感染电子邮件检测动安装ActiveX 控件方式阻止间谍软件传播
Xx 系列UTM设备够行扫描超50种协议25000种病毒检测阻断2000种入侵威胁
Xx支持百种签名时消息(IMMSNQQ)等应(P2PBT载eMule载)通信进行控制封堵QQ2005够扫描NetBIOS 协议防止病毒通Windows文件享进行扩散
22 分部网络拓扑
分公司数少25选择Xx户产品Xx产品UTM设备防火墙VPN二合(时选网关防病毒入侵检测防御反间谍软件功)担心黑客攻击象网络全产品公司型号产品收购公司型号产品功区Xx 全线产品Xx 公司开发具备样安全防护功Xx 产品支持DDN专线等固定IP址线路外支持DHCPPPPoEPPTPL2TP甚ISDN电话线拨号担心现购买Xx 产品公司发展更换线路适计算机25台分公司建议采Xx TZ 50户建议作参考时需结合更具体环境进行调整
xx设备防火墙VPN功外 选网关防病毒入侵防御反间谍软件功外封堵QQ MSN BT等应提高工作效率网关防病毒入侵防御等阻止通VPN隧道传输网络安全威胁
23访问控制
鉴XX公司网络环境规模方案设计采Xx标准版公司总部局域网接LAN口防火墙会阻止未许访问LAN口电脑通种解决方案效保证公司局域网类服务器免受互联网黑客种攻击移动户采VPN 客户端总部连接
客户购买网关防病毒入侵检测防御反间谍软件服务确保应层安全防护针Windows操作系统数库诸OracleSQL Server攻击阻断必应QQ2005 等等提高员工工作效率
24 VPN 场景应
AXX总部分公司Site to site VPN
VPN网络中拓扑示意图图示
面VPN实现程图图示:
两台VPN1(总部)VPN2(分部)间建立VPN通道假设网络A中机A网络B中机B间进行通讯A发出请求包该数包首先达VPN1VPN 1进行认证加密然通建立VPN通道传送VPN 2VPN 2该数包进行认证解密然包传送机B反数包样程样保证数包通讯程中完整性机密性
B移动户访问XX总部Client to Site (客户端总部) VPN
Client to Site (客户端总部) VPN连接程图32:
Site—Client VPN
图32
IPSec VPN隧道
168bit加密隧道
VPN客户端
总部
移动户
Internet
VPN网关
DHCP服务器
根中心远程节点设计方法采移动户总部网互联方式站站(SiteClient)VPN连接方式连接程:
① 移动户VPN客户端总部VPN网关发起连接请求发送第阶段(Phase 1)户验证密匙信息(MD5SHA1加密)
② 总部VPN网关响应请求移动发户密匙进行验证
③ 果第阶段验证通端发送第二阶段(Phase 2)验证挑战请求
④ 端发送第二阶段(Phase 2)户验证密匙信息(MD5SHA1加密)
⑤ 果第二阶段验证通两端VPN核心引擎开始采168位(3DES)协调数加密算法建立标准IPSec VPN通道双方局域网户VPN通道传送加密户数传送数包会机选择密钥进行数加密
备注: Xx VPN 客户端认证支持部数库认证Radius RSA SecureID 第三方证书等等
3方案实现高价值
· 灵活性 —— Any –to Any
Xx VPN产品完全基工业加密标准IPSec协议构建VPN加密通道提供AnytoAnyVPN连接图:
Xx VPN客户端
网络接口:太网Modem线GPRSCDMA
操作系统:Windows 98MENT2000XP
PSTN拨号
ISDN拨号
宽带城域网网络连接
ADSL
Cable Modem
专线方式
宽带城域网
满足条件:网络层址达VPN网关
远程VPN网关
①Any运行台:VPN客户端软件完全支持Windows系列台包括Windows 98NT2000XP等
② Any接口:支持太网接口Modem接口线(蓝牙)网络接口新兴GPRSCDMA接口等满足网络层址(IP址)达条件建立VPN连接
③Any接入方式:支持前数互联网连接包括ADSLCable ModemISDNPSTN拨号种专线方式等
④Any点:没理位置局限
· 扩展性
总部分公司通VPN建立网络连接:
(1) 日ERP OA视频等应扩量户仅需直接扩租带宽需进行硬件投资
(2) 方便单位领导系统理员移动办公(笔记电脑)届时仅需VPN网关里添加专门户帐号加密设置移动计算机安装VPN Client软件需进行硬件投资
(3) Xx产品防火墙VPN二合公司实现部业务通信时兼备宽带城域网安全访问
(4) Xx VPN防火墙具备发VPN隧道支持户未新添级机构进行网络互联中心(局端)需做硬件调整投资
(5) 支持前数宽带城域网连接ADSLCable ModemISDNPSTN拨号等
· (理)易性
(1) Xx全线产品均通Xx GMS(全球网络理系统)进行统界面网设定等操作网工程师方系统轻松实施理
(2) Xx日志理密钥理等特性户轻松掌握监控系统运行易
(3) VPN产品基嵌入式(ASIC专芯片)设计VPN设备客户端软件安装维护十分简单需专业技术员掌握简单维护知识
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档