[信息与通信]IPSECVPN全局方案.doc

XXXX公司 VPN 全局部署项目 北京天融信科技有限公司北京天融信科技有限公司 2008 年年 1 月月 i 目目 录录 1VPN 全局部署方案全局部署方案1 1.1项目背景分析1 1.2用户需求描述2 1.3解决方案设计3 1.3.1VPN 技术的选择.3 1.3.2VPN 系统部署方式.6 1.3.3VPN 产品选型配置建议.8 1.3.4VPN 管理策略设计.11 设备管理策略.11 .1安全域管理11 .2设备管理13 .3设备监控14 移动用户（VRC）管理策略14 .1地址管理15 .2移动用户组（VRC 组）管理 .15 .3移动用户（VRC）管理 16 .4权限管理18 .5移动用户（VRC）监控 20 .6移动用户自动部署21 管理员管理策略.23 .1管理员认证24 .2管理员权限24 .3管理员管理范围25 隧道管理策略.28 1.4相关产品介绍31 1.4.1天融信 IPSEC VPN 产品介绍31 产品概述.31 产品特点.31 天融信 IPSEC VPN 网关主要功能37 天融信 IPSEC VPN 客户端主要功能37 产品运行环境.38 .1天融信 VPN 网关硬件运行环境 38 .2天融信 VPN 客户端程序（VRC）运行环境.39 产品规格.39 1.4.2天融信安全策略统一管理系统产品介绍.40 产品概述.40 系统组成.41 产品特点.41 主要功能.44 产品运行环境.47 产品规格.48 1 1 VPN 全局部署方案全局部署方案 1.1 项目背景分析项目背景分析 信息技术和信息产业的发展，推动了计算机及其网络在社会生活各个领域的 广泛应用。随着信息网络技术的应用日益普及，应用层次逐渐深入，应用领域从 传统的、小型业务系统逐渐向大型、关键业务系统扩展，如党政部门信息系统、 金融业务系统、企业商务系统等。当前，借助各种各样完备的信息技术和计算机 网络产品，企业的秘密信息和财富高度集中于计算机系统中进行存储和处理，并 依靠计算机网络进行传输，从而方便地实现跨区域的机构、部门相互间的信息交 互，分布各地的用户对核心服务器上业务数据的访问，以及系统管理员对目标系 统的远程管理、控制等。但是所有的应用，都离不开一个基本前提：都要先建立 一个安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络，传统的 做法是通过租用电信运营商的线路建立一个物理专网，而对于大部分企业和政府 机构来讲，这种方式无论在建设成本上还是后期维护上，都是比较耗费资金的。 随着国际化的互联网的迅猛发展，给政府机构、企事业单位跨地域的业务信 息交互提供了更经济的选择，使得他们能够利用互联网提高办事效率和市场反应 能力，提升竞争力。但同时也令他们不得不去面对基于 TCP/IP 协议的互联网的 开放性、自由性所带来的数据和系统安全的新挑战和新危胁。在开放的网络环境 中传输的各种重要的和敏感的信息数据，不可避免会受到来自各个方面的各种主 动或被动的人为攻击，如信息窃听、数据篡改、会话劫持等。因此，要利用互联 网的经济性和便利性来实现远程业务，还必须解决一个关键问题，即如何确保远 程数据传输的安全性。而 VPN 技术正是解决这一问题的最佳手段。 VPN 是利用公共网络资源来构建的虚拟专用网络，它是通过特殊设计的硬件 或软件直接在共享网络中通过隧道、加密技术来保证用户数据的安全性，提供与 专用网络一样的安全和功能保障。使得整个企业网络在逻辑上成为一个单独的透 明内部网络，具有安全性、可靠性和可管理性。今天，VPN 虚拟专用网已经具 有与专线几乎相近的稳定性和安全性。 2 XX 公司总部位于北京，目前已经在全国设立了若干家分公司，并且随着业 务的不断扩充，企业规模也在不断扩大，将陆续在全国各地增设分支机构。目前 公司总公司与各区域分公司之间租用了运营商的数据专线进行远程数据传输，但 随着各区域内的支公司的不断增加，有限的广域网带宽资源将无法满足越来越大 量的数据通信需求。为确保公司业务的正常开展，XX 公司计划对没有架设专线 的分支机构（包括合作伙伴）采取 VPN 方式接入总公司网络。 天融信公司非常有幸能够参与本次项目，将在充分理解用户现状和需求的基 础上，为用户设计出一套满足应用和管理需要的技术方案，并希望能够凭借公司 在项目实施、技术服务、产品研发方面的丰富经验和雄厚实力，在 XX 公司的 VPN 全局部署项目建设中发挥一定的作用。 1.2 用户需求描述用户需求描述 XX 公司按照层级进行管理，分公司对区域内的支公司进行管理，并负责与 区域内的合作伙伴的相关合作事宜。 XX 公司网络中运行的主要应用系统包括 OA 系统、CRM 系统、业务系统、 财务系统等，所有应用系统的服务器和数据库系统均集中在总公司网络中心，各 下属机构的工作人员均需通过网络远程访问总公司的服务器系统实现相关办公应 用和业务处理，并实现远程资源共享。各合作伙伴的业务操作人员也需要访问总 公司的业务系统和财务系统以实现相关业务数据的交互。但目前仅有各分公司网 络才具备与总公司网络之间的专线连接，其他下属机构、合作伙伴如何连接总公 司网络并实现安全的远程数据通信正是本次项目所需要解决的问题。 为确保公司业务的正常开展，XX 公司拟对分公司以下的各分支机构、合作 伙伴等采取 VPN 方式接入。具体需求如下： （一）接入规模 所有支公司、合作伙伴通过软 VPN 方式接入总公司，部分中心支公司（接 入数超过 20 用户）采用 VPN 设备接入总公司，分公司暂不考虑部署 VPN 设备， 前期拟部署 1000 客户端。 （二）部署要求 1、采取集中部署、分散管理的接入方式 3 原则上采取星型结构的接入方式，所有业务点统一登录到总公司，各分公司 对各自区域的 VPN 用户进行管理。 2、分支机构与合作伙伴的区别管理 对分支机构及合作伙伴的帐户管理上要做到区别管理，由分公司对各自 VPN 用户及合作伙伴进行统一管理。 3、有一定扩展性。 1.3 解决方案设计解决方案设计 1.3.1 VPN 技术的技术的选择选择 在 XX 公司网络中，各分支机构（分公司除外）、合作伙伴将采用在互联网 上建立 VPN 的方式远程访问总公司网络中的相关应用，并进行安全的远程数据 传输。 VPN（Virtual Private Network：虚拟专用网）是企业网在因特网等公共网络 上的延伸，通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟 公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉 察到公共网络的存在，仿佛所有的主机都处于一个独立的专有网络之中。公共网 络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。 VPN 通常会采用一种被称为“隧道”的技术在公共网络上创建一个虚拟的 私有连接。隧道技术的基本过程是在源内部网与公用网的接口处将内部网发送的 数据(可以是 ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可 以在公用网上传输的数据格式中，在目的内部网与公用网的接口处将公用网的数 据解封装后，取出负载即源内网发送的数据向目的内网传输。由于封装与解封装 只在双方网络接口处由 VPN 设备（或软件）按照隧道协议配置进行，对于内部 网用户和应用程序来说这一切都是透明的。在隧道技术的基础上，再结合认证、 加密、访问控制等多种安全技术，虚拟专用网便可提供远程网络之间、网络与端 点之间或端点与端点之间在不安全的公网中进行安全的资源共享、数据交互的能 力。 之所以采用虚拟专用网是因为VPN有以下几方面优点： 4 降低成本 通过公用网来建立 VPN 与建立 DDN、PSTN 等专线方式相比，可以节省 大量的费用开支。 容易扩展 如果用户想扩大 VPN 的容量和覆盖范围，只需改变一些配置，或增加几 台设备、扩大服务范围。在远程办公室增加 VPN 也很简单，只需通过作适当 的设备配置即可。 伸缩性高 用户如果想与合作伙伴联网，如果没有 VPN，双方的信息技术部门就必 须协商如何在双方之间建立租用线路或帧中继线路，有了 VPN 之后，只需双 方配置安全连接信息即可。当不再需要联网时，也很容易拆除连接。 完全控制主动权 企业可以利用公网或在网络内部自己组建管理 VPN。由自己负责用户的 查验、访问权、网络地址、安全性和网络变化管理等重要工作。 全方位的安全保护 VPN 不仅能在网络与网络之间建立专用通道，保护网关与网关之间信息 传输的安全，而且能在企业内部的用户与网关之间、移动办公用户和网关之 间、用户与用户之间建立安全通道，建立全方位的安全保护，保证网络的安 全。 高的性价比 VPN 致力于为网络提供整体的安全性，是性能价格比比较高的安全方式。 使用和管理方便 VPN 产品可以在网络连接中透明地配置，而不需要修改网络或客户端的 配置，非常方便使用。VPN 产品可以实现集中管理，也就是在同一个地方实 现对不同地方 VPN 的配置、监控和维护等。 投资保护 VPN 产品基于国际标准实现，不同厂商的产品之间可相互兼容，容易被 大家接受，对将来用户网络的改造和扩展提供很好的投资保护。 5 有许多可以实现 VPN 的技术途径，如 PPTP、L2TP、MPLS、IPSec、SSL 等， 但其中真正能提供足够的安全性保障的 VPN 技术只有 IPSec 和 SSL 两种。 IPSec IPSec（IP Security）是一组开放协议的总称，特定的通信方之间在 IP 层通过 加密与数据源进行验证，以保证数据包在 Internet 网上传输时的保密性、完整性 和真实性。它是通过 AH（Authentication Header）和 ESP（Encapsulating Security Payload）两个安全协议来实现的，而且此实现不会对用户、主机或其它网络组件 造成影响；用户也可以选择不同的硬件和软件加密算法，而不会影响其它部分的 实现。 IPSec 提供以下几种网络安全服务： 保密性IPSec 在传输数据包之前将其加密，以保证数据的保密性； 完整性IPSec 在目的地要验证数据包，以保证该数据包任传输过程中 没有被修改或替换； 真实性IPSec 端要验证所有受 IPSec 保护的数据包； 抗重放IPSec 防止了数据包被捕捉并重新投放到网上，即目的地会拒 绝老的或重复的数据包，它通过报文的序列号实现。 其中 AH 协议用以保证数据包的完整性和真实性，防止黑客截断数据包或向 网络中插入伪造的数据包。考虑到计算效率，AH 没有采用数字签名，而是采用 了安全哈希算法来对数据包进行保护，而且 AH 没有对用户数据进行加密。ESP 协议则是将需要保护的用户数据进行加密后封装到 IP 包中，它为数据的完整性、 真实性和保密性提供了保障。 IPSec VPN 的整体解决方案中通常包括以下几个组件： IPSec VPN 网关：专用的软硬件一体设备，位于被保护的网络或服务器 前端，负责数据的封装/解封装、加密/解密等工作，对内部网络透明； IPSec VPN 客户端：专用的客户端软件，安装于单台计算机之上，负责 建立与远程 VPN 网关或 VPN 客户端之间的安全传输隧道，对上层应用 透明； IPSec VPN 管理中心：专用的 VPN 集中管理软件，安装在一台网络服务 6 器上，负责对全网的 VPN 设备、VPN 客户端进行统一管理和监控，并 负责隧道策略的集中定制、分发，提供集中的认证管理、密钥管理等； IPSec VPN 管理器：VPN 管理中心的客户端操作软件，安装在管理员计 算机上，通过远程访问管理中心服务器实现各种管理和维护操作。 SSL Secure socket layer(SSL)协议最初由 Netscape 企业发展，现已成为网络用来鉴 别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯 的全球化标准 。由于 SSL 技术已建立到所有主要的浏览器和 WEB 服务器程序 中，对于 Web 信息传输通道的机密性及完整性，SSL 是最佳的解决方案，目前 所有的浏览器和 Web 服务器都支持 SSL，采用 SSL 在技术上已经很成熟，互联 网的安全敏感数据几乎都是由 SSL 通道传输的。SSL 技术一般采用公开密钥技术， 能够提供：信息加密服务，信息完整性服务，相互认证服务这三项服务。 针对 XX 公司分支机构、合作伙伴单位数量众多、位置分散、业务人员计算 机水平参差不齐的情况，采用无需专门安装客户端软件的 SSL VPN 解决方案应 该是比较好的选择。但是目前的 SSL VPN 解决方案多采用单级集中管理的方式， 即对所有的 VPN 接入用户的配置管理必须由管理员集中执行，因此无法做到 XX 公司所提出的“集中部署、分散管理”的需求，即无法做到由各分公司管理员对 各自区域的 VPN 用户进行管理，这样将给管理工作带来很大的困难。鉴于这种 情况，我们建议采用支持分级、分域配置管理方式的 IPSec VPN 解决方案，通过 部署 VPN 集中管理软件，实现对 XX 公司遍布全国各地分支机构、合作伙伴的 VPN 网关设备和 VPN 客户端的灵活、高效的部署和管理。 1.3.2 VPN 系统部署系统部署方式方式 建议在 XX 公司中进行如下图所示的 VPN 全局部署： 7 DB服务器 SiSi 交换机 SiSi 路由器 Internet DDN 总总公公司司局局域域网网 工作站 路由器 省省分分公公司司局局域域网网 工作站VPN管理器 IPSECVPN网关 工作站 业务服务器 办公服务器 工作站 小中支公司/ 支公司 合作伙伴 工作站 大大中中支支公公司司局局域域网网 工作站 IPSECVPN 网关 工作站 路由器 省省分分公公司司局局域域网网 工作站 工作站 大大中中支支公公司司局局域域网网 工作站 IPSECVPN 网关 VPN管理中心 VPN管理器 IPSECVPN 客户端 IPSECVPN 客户端 IPSECVPN 客户端 IPSECVPN 客户端 VPN管理器 小中支公司/ 支公司 合作伙伴 VPN 网关部署网关部署 建议在总公司网络的互联网出口位置部署一台 IPSEC VPN 网关，在部分大 型中心支公司（接入数超过 20 用户）网络的互联网出口各部署一台 IPSEC VPN 网关，通过建立“网关-网关”的 IPSec 加密隧道，来为远程网络之间的数据传输 提供加密和认证保护，以保证在公共通信网络中传输的企业私有信息数据的机密 性、真实性及完整性。 各省分公司虽然采用专线连接总公司网络，但是为了避免因线路故障影响正 常的业务通讯，也可以采用 VPN 作为广域网备份方式，根据用户要求，在本项 目中暂不考虑各分公司的 VPN 部署。 VPN 客户端部署客户端部署 对于其他的小型中心支公司（接入数少于 20 用户），所有支公司、合作伙 伴等，均在业务人员的计算机上安装 IPSEC VPN 客户端软件，可通过各种方式 （拨号、ADSL、PPPoE、LAN、无线等）接入互联网，通过建立与总公司网络 IPSec VPN 网关之间的“端-网关”的 IPSec 加密隧道，来为远程业务终端与总公 8 司网络之间的数据传输提供加密和认证保护，以保证在公共通信网络中传输的企 业私有信息数据的机密性、真实性及完整性。 VPN 管理中心（服务器端）部署管理中心（服务器端）部署 在总公司网络中部署一套 VPN 管理中心服务器，用于实现对全局所有 IPSec VPN 网关设备和 IPSec VPN 客户端的集中管理，包括身份认证，状态监控，配 置管理，拓扑显示，VPN 客户端自动部署，VPN 策略的统一下发等。 VPN 管理器（客户端）部署管理器（客户端）部署 在总公司及各省分公司网络中各部署一套 VPN 管理器，为各级管理员提供 方便直观的图形管理工具，通过加密方式安全地访问位于总公司网络的 VPN 管 理中心服务器，完成对服务器的管理配置，对网络设备的监控，和对 VPN 网络 运行状态的监控。 1.3.3 VPN 产品选型配置建议产品选型配置建议 本次项目中，我们将在总公司和部分大型中心支公司（接入数超过 20 用户） 网络的互联网出口部署 IPSEC VPN 网关设备，对其他所有小型中心支公司、支 公司、合作伙伴等均在业务人员计算机上部署 IPSEC VPN 客户端软件，推荐全 部采用天融信公司自主研发的网络卫士 IPSec VPN 系列产品（包括网关设备和客 户端软件）。我们将在总公司网络中部署一套 VPN 集中管理软件天融信安 全策略统一管理系统，从而构成完整的 IPSEC VPN 解决方案，满足 XX 公司的 VPN 全局部署和管理需要。 具体产品选型建议如下： 总公司 VPN 网关 建议采用一台天融信网络卫士 IPSEC VPN 网关（TV-6624），主要指 标如下：1U 机型，4 个 10/100BASE-TX；2 个扩展插槽；最多可支持 8 个百兆端口；最大隧道数 5000 条；加密速度 100M；防火墙并发连 接数： 120 万。采用该款设备完全可以满足上千个 VPN 客户端和 几十个 VPN 网关同时接入总公司网络时的处理能力要求，并具备一 9 定的冗余。 分支机构 VPN 网关 对于大型中心支公司（接入数超过 20 用户），建议各采用一台天融 信网络卫士 IPSEC VPN 网关（TV-6303），主要指标如下：1U 机型， 3 个 10/100BASE-TX；最大 IPSEC 隧道数 25 条；加密速度 20M；防火 墙并发连接数：20 万。采用该款设备完全可以满足每个分支机构网 络中多达 100 个用户同时通过 VPN 隧道访问总公司网络时的处理能 力要求。 VPN 客户端 对于其他的小型中心支公司（接入数少于 20 用户），所有支公司、 合作伙伴等，建议在业务人员的计算机上安装天融信网络卫士 IPSEC VPN 客户端软件（IPSECVPN-VRC）；该产品的运行平台支持 Windows 98/2000/XP/2003 操作系统。 VPN 管理系统 建议采用天融信网络卫士安全策略统一管理系统（TSM-TopPolicy）， 该产品由 TopPolicy 管理器、TopPolicy 服务器和 TopPolicy 数据库 三个产品组件组成，其中：TopPolicy 数据库主要用于存储整个网络 中 VPN 网关设备的相关信息及 VPN 安全策略；TopPolicy 服务器主要 完成认证设备、维护设备、维护 VPN 隧道、维护 VRC 信息等工作； TopPolicy 管理器是一个管理员使用的图形界面程序，它主要完成对 TopPolicy 服务器的管理配置，对 VPN 网关设备的监控，及对 VPN 网 络运行状态的监控。TopPolicy 系统最大支持对 3000 台设备和 30000 个 VRC 的集中管理，因此在 VPN 系统规模上提供了非常大的扩展 空间。 具体产品选型配置方案如下： 序序 号号 设备或软件设备或软件 名称名称 推荐产品型号推荐产品型号简要技术规格简要技术规格数量数量备注备注 10 天融信网络卫士 IPSEC VPN 网关 （TV-6624） 1U 机型，4 个 10/100BASE-TX；2 个扩 展插槽；最多可支持 8 个 百兆端口；最大隧道数 5000 条；加密速度 100M；防火墙并发连接数： 120 万；5 个客户端许 可 1 部署在总公 司互联网出 口 1VPN 网关 天融信网络卫士 IPSEC VPN 网关 （TV-6303） 1U 机型，3 个 10/100BASE-TX；最大 IPSEC 隧道数 25 条；加 密速度 20M；防火墙并发 连接数：20 万；5 个客 户端许可 10 部署在 20 人以上的中 心支公司 （暂定 10 个）互联网 出口 天融信网络卫士 IPSEC VPN 客户 端软件 （IPSECVPN- VRC） VPN 客户端光盘；如用 户不需要光盘，该软件可 免费提供 0 2 VPN 客户端 天融信网络卫士 IPSEC VPN 客户 端许可 （IPSECVPN- VRC-LICENSE） 1 个客户端使用许可；每 个客户端需要一个客户端 使用许可 995 部署在 20 人以下的中 心支公司、 支公司、合 作伙伴的业 务终端上 天融信网络卫士 策略统一管理系 统（TSM- TopPolicy） 用于 IPSEC VPN 网关设备 和 VRC 等的集中监控，集 中管理，拓扑显示，VRC 自动部署，VPN 策略的统 一管理 1 部署在总公 司局域网中； 需要专门配 备一台服务 器，安装 Windows 操 作系统， MySQL 数据 库及 IIS 服 务器软件 3 VPN 管理系 统 网关设备管理许 可（TSM- TopPolicy-GW- LIC） License 数量控制可管理 的网关设备的数量 11 可管理的 VPN 网关设 备包括总公 司 1 台和 20 人以上 的中心支公 司 10 台 （暂定） 11 VRC 用户管理许 可（TSM- TopPolicy-VRC- LIC） License 数量控制可管理 的客户端 VRC 的数量 1000 可管理的 VRC 包括 20 人以下的中 心支公司、 支公司、合 作伙伴的业 务终端 管理员认证密钥 （TopSEC-KEY） USB KEY，用于管理器的 KEY 方式认证及 VPN 密钥 存储 14 总公司和 13 个省分 公司各部署 一台 VPN 管 理器 1.3.4 VPN 管理策略设计管理策略设计 我们将采用天融信网络卫士策略统一管理系统（TSM-TopPolicy），实现对 XX 公司网络中的 VPN 设备运行状态、VPN 隧道信息、移动用户接入等进行集中管 理。本节将对在 VPN 系统部署中的一些主要的管理策略及其具体实现方式进行详 细说明。 设备管理策略设备管理策略 天融信 TopPolicy 系统针对 VPN 设备的管理提出了域的概念，使得设备的管 理集中而有序。在这种管理模型下，所有防火墙和 VPN 设备首先需要通过 TPManager（TopPolicy 管理器）添加到 TopPolicy 系统中，由 TPManager 根据相 关网络通讯策略统一集中地管理，大大提高了设备管理的简单性和方便性。 .1安全域管理安全域管理 为了便于 XX 公司根据其内部组织管理机构对 VPN 系统进行管理，天融信 TopPolicy 系统通过类似 DNS 系统的树型结构对网络中的所有 VPN 网关进行分 域管理。如图 -1 所示： 12 图 -1 VPN 网关设备管理结构 注：图中实线部分代表 VPN 隧道的实际连接，虚线部分代表对 VPN 设备的管理 连接。 树中的每个中间节点都是一个域，每一个域中都可以包括本域的网络设备和 “子域”，天融信 TopPolicy 系统最多支持用户定义三级子域。所有的节点构成 了完整的“企业域”。 网关设备通过“内部域名”进行唯一标识，内部域名为从根域开始的各级子 域名加上网关名称，通过“.”符号连接组成的。比如：在图 -1 中，一个 从属于“jinan”/“shandong”域中的网关设备，其设备名称为“Device1”，则 该设备的内部域名为：Device1.jinan.shandong.root。在整个 TopPolicy 系统的管理 过程中，均采用设备的内部域名作为设备的唯一标识。 13 .2设备管理设备管理 定义好管理域后，我们便可以将需要管理的 VPN 设备添加到相应的域中， 例如，将总公司的 VPN 网关添加到根域中，将各省分公司的 VPN 网关（如果有） 添加到对应的一级域中，将各中心支公司的 VPN 网关（如果有）添加到对应的 二级域中。如图 -2 所示： 图 -2 添加要管理的 VPN 网关设备 TopPolicy 系统对被管理的 VPN 网关设备提供了基于数字证书的认证方式。 在上图中，如果采用 TopPolicy 系统内置的 CA 服务器为设备签发证书，则可以 选择“生成证书”，结果是在管理员生成设备的同时，系统自动完成了为该设备 向内置 CA 服务器申请签发证书，并将签发好的证书自动保存到 TopPolicy 系统 的证书库中；如果采用用户自己的 CA 服务器为设备签发证书，则在添加设备时 需要选择“暂不生成证书”，则可以在任何需要证书的时候通过在新生成的设备 图标上点击鼠标右键即可为该设备生成证书请求或导入现成的证书。 安全域和设备添加完成后，其标识将出现 TopPolicy 系统管理界面左侧的树 形结构中，如图 -3 所示。 14 图 -3 设备管理 .3设备监控设备监控 TopPolicy 系统提供了对设备的实时监控功能，主要包括对 CPU 信息、内存 信息、接口信息和连接信息等设备性能信息的监控，以及对 VPN 网关-网关隧道 的监控和 VPN 客户端-网关隧道的监控。对于要监控的设备，需要将其加入“设 备监视列表”，当设备在线时，管理员就可以方便地通过管理界面对设备的运行 情况进行监控，并了解当前与该设备相关的隧道信息，包括隧道状态、隧道名称、 隧道对端的设备名称、该设备远程客户端的在线信息等。 移动用户（移动用户（VRC）管理策略）管理策略 TopPolicy 系统对 VPN 远程客户端（VRC，或称移动用户）的管理是通过移 动用户组来实现的。移动用户组是具有相同属性、相同权限的移动用户的集合。 管理员可以在 TopPolicy 系统中设置移动用户组，并为其进行授权，然后将每个 移动用户添加到特定的组中以获得其访问权限，而不需要对每个用户单独进行权 限分配，大大减少了管理的工作量。 对于 XX 公司，我们建议为每个采用 VPN 客户端方式访问总公司网络的分 支机构和合作伙伴分别定义一个移动用户组，并允许每个组访问总公司 VPN 网 关设备及其所在的域。每个分支机构或合作伙伴机构的业务人员都作为一个移动 用户，只能被分配到所在机构的移动用户组中，按照相应组权限进行 VPN 网络 访问。 15 .1地址管理地址管理 当移动用户上线时需要获取一个合法的 IP 地址以便访问相应的网络。移动 用户必须属于某个移动用户组，并被分配该 VRC 组所在网段的 IP 地址。对移动 用户 IP 地址的分配有两种方式：随机分配或手工指定。 （1）随机分配 IP 地址 TopPolicy 系统是通过地址池的方式来实现为移动用户随机分配虚拟 IP 地址的。地址池的内容包括： 用于为 VRC 用户分配的子网地址及掩码（即地址网段） 可供 VRC 用户使用的 DNS 服务器的 IP 地址 可供 VRC 用户使用的 WINS 服务器的 IP 地址 首先需要从地址池中选取一个 IP 地址网段分配给移动用户组，当属于 这个组的移动用户每次上线时，TopPolicy 系统便从该组地址范围内随机地 为其分配一个 IP 地址，当移动用户下线时，TopPolicy 系统将收回该地址。 （2）手工指定 IP 地址 管理员在创建移动用户时可以为其手工指定虚拟 IP 地址，此地址必须 在该移动用户所在分组的地址范围内。一旦指定了移动用户的虚拟 IP 地址， 则该移动用户每次上线时都使用这个 IP。 .2移动用户组（移动用户组（VRC 组）管理组）管理 TopPolicy 系统采用树形结构进行移动用户组的管理，系统支持添加多级移 动用户分组，最多支持 10 级分组，但各分组的权限、验证方式、地址池等均不 具有继承性。添加移动用户组的操作如图 -1 所示。 16 图 -1 添加移动用户组 “地址网段”下拉框用于从地址池中选择该移动用户组需要使用的 IP 地址 段，即在全局地址范围中使用哪段地址作为该组的地址范围。如果没有为移动用 户手工指定地址，则从该范围为其分配 IP 地址。 选择“是否验证口令”，表示在该组中的移动用户登录时，需要验证其密码； 选择“是否验证证书”，则指该组中的移动用户登录时，需要验证其证书。为保 证移动用户身份验证过程的安全性，建议采用证书验证方式。 当该移动用户组中的移动用户上下线时，TopPolicy 系统会自动给该移动用 户组管理员发送邮件进行通知。需要在“邮件接收人列表”中设置该移动用户组 管理员的 Email 地址。 .3移动用户（移动用户（VRC）管理）管理 TopPolicy 系统对于移动用户的创建提供了三种方式：管理员手工添加、通 过 XLS 文件导入以及通过证书导入。 17 （1）手工添加移动用户 管理员可以在其负责管理的移动用户组中添加移动用户，每个移动用户 使用“用户名称”作为唯一标识，且每个移动用户必须属于某个移动用户组， 拥有该组的访问权限，并被分配该组所在网段的 IP 地址。如图 -2 所 示。 图 -2 添加移动用户到组中 对于移动用户的身份认证，可采用密码（口令）验证方式或证书验证方 式。如果管理员在创建移动用户组时选择了“验证口令”，则可以在此设置 “用户密码”；如果管理员在创建移动用户组时选择了“验证证书”，并且 是由 TopPolicy 系统内置的 CA 服务器为用户发放证书，则管理员需要在此 选择“使用本地证书”，并为移动用户进行证书的发放。 对上图中其他一些设置项的说明如下： 用户邮件：移动用户的 Email 地址，用于为用户进行软件分发； 虚拟地址：虚拟网卡的 IP 地址，此地址应在该移动用户所在分组的地 址范围内； 特征码：特征码存放与移动用户所使用的计算机相关的信息，可以防止 非法用户在取得合法用户名口令和证书的情况下从其他机器登录； 邮件接收人：主要用于通知 VRC 用户的上/下线操作，通常为管理员； 18 访问时间：移动用户访问 VPN 网络的时间，可以是任何时间，也可以 设定某个时间段。 （2）通过 XLS 文件导入移动用户 管理员需要事先根据 TopPolicy 系统提供的模版和实际的 VRC 用户信 息生成 Excel 格式的移动用户文件（XLS 文件），然后就可以执行“通过 XLS 文件导入移动用户”的操作。 （3）通过证书导入移动用户 如果管理员在创建移动用户组时选择了“验证证书”，但是由第三方 CA 进行证书的发放，则需要采用通过证书导入的方式添加移动用户。 在通过证书导入移动用户的同时，也将该用户的证书进行了导入。 .4权限管理权限管理 根据 XX 公司的实际业务模式，所有分支机构、合作伙伴的业务终端统一登 录到总公司进行访问，并且分支机构的 VRC 用户与合作伙伴的 VRC 用户对于总 公司网络资源的访问权限是存在差异的。而且由于移动用户终端系统的安全性是 不可控的，一旦为其开放的权限过大将可能导致公司的业务系统和信息数据遭到 不必要的损害或泄漏。因此我们需要根据实际业务应用需要，对移动用户设定适 当的访问权限。在 TopPolicy 系统中，通过给移动用户组指定访问权限，就可以 实现使该组中的所有用户便按照组权限进行 VPN 网络访问，而无需为每个移动 用户单独进行访问权限的设置。 管理员首先需要为移动用户组添加可访问的 VPN 安全域和 VPN 网关设备， 即在“设备管理”部分所设置的安全域和设备列表中进行选择。如图 -3 所 示。 19 图 -3 定义移动用户组可访问的 VPN 安全域和 VPN 网关设备 接下来管理员就要为每个网关设备定义该移动用户组的访问权限，以限制该 组中的移动用户通过各台网关设备可访问的网络资源。如图 -4 所示。 图 -4 定义移动用户组的访问权限 20 在为每个分支机构或合作伙伴机构所对应的移动用户组设置访问控制规则时， 建议缺省规则是禁止所有访问，并在充分满足实际访问需要的前提下，适当开放 相应的访问权限。例如，对于合作伙伴的移动用户组，只允许其访问总公司网络 中的业务和财务应用服务器，并且只允许其访问应用相关的网络协议和服务端口， 拒绝其他所有访问；对于公司下属分支机构的移动用户组，则可以允许其访问总 公司网络中的 OA、CRM、业务和财务应用服务器，进行局域网资源共享等，拒 绝其他所有访问。 一旦设置好了移动用户组的访问权限后，TopPolicy 系统就可以自动为该组 内的移动用户分配访问权限了。可访问的域和网关仅在验证移动用户身份时作为 一个验证依据，验证成功以后移动用户才可登录该网关，并且获取对网络资源的 实际访问权限。为移动用户分配访问权限的基本流程如下：当远程移动用户尝试 登录 VPN 网关时， VPN 网关会向 TopPolicy 系统发送身份认证请求，由 TopPolicy 系统对移动用户进行认证，通过认证的移动用户将被允许登录 VPN 网 关，并被授予所属分组的权限以访问由该 VPN 网关所连接的网络资源。 .5移动用户（移动用户（VRC）监控）监控 作为集中的 VPN 管理平台，TopPolicy 系统不仅能够对整个网络中 VPN 设 备的运行状态进行集中监控，还能对登录 VPN 网关设备的远程用户进行集中监 控。 管理员可通过图形界面实时查看登录 VPN 网关设备的在线 VRC 移动用户的 状态信息。如图 -5 所示。 图 -5 VRC 监控 管理员可以执行“同步在线用户列表”的操作，则 TopPolicy 的服务器会向 当前在线的所有 VPN 网关设备发送同步 VRC 用户信息的命令，设备接收到该命 令后会将该设备当前的所有在线客户端的信息通告 TopPolicy，从而实现对全局 所有在线 VRC 用户信息的同步。 21 .6移动用户自动部署移动用户自动部署 TopPolicy 系统中内含自动部署系统（Automatic Distribution System：ADS）， 是我国第一套自行研制开发的为整个 VPN 系统提供 VPN 客户端软件安全部署服 务的软件。它能够对 VPN 客户端软件进行集中部署和必要的证书管理，并且为 每个 VPN 客户端软件的部署提供必要的安全服务。它基于 Windows 操作平台、 IE 浏览器和 IIS HTTP 服务器，界面友好，使用简便。TopPolicy 自动部署系统能 够实现对企业内部所有 VRC 的全面部署和证书、密钥的统一管理，管理员可以 在任何网络环境中实现 VRC 的自动部署，根据企业的实际需求制定全局 VRC 部 署策略，从而使繁重的 VRC 部署工作变得简单有序。管理员用户可以在异地对 自动部署系统的服务器进行操作，提高了自动部署的机动性和灵活性。 TopPolicy 系统提供 VPN 客户端软件分发功能，向移动用户分发 VRC 客户 端的安装程序，从而实现移动用户的自动部署。 管理员可以选择整个移动用户组或单个移动用户进行 VRC 客户端软件分发。 TopPolicy 系统进行 VPN 客户端软件分发时会给移动用户发送一封通知邮件，该 邮件地址即是管理员在添加移动用户时所设置的“用户邮件”。VRC 用户收到 的邮件内容大致如图 -6。 图 -6 VPN 客户端软件分发通知邮件 用户只需点击邮件中给出的链接，登录 TopPolicy 自动部署系统，输入邮件 通知中给出的登录账号和密码，下载 VRC 客户端安装文件包到本地硬盘中并进 行安装。安装完成后，会在桌面创建启动 VPN 连接的快捷方式，如下图。 双击该图标，进入 VPN 客户端连接管理器，如图 -7。 22 图 -7 VPN 客户端连接管理器 如上图，VRC 安装系统根据 TopPolicy 系统为该 VRC 用户所在的移动用户 组分配的权限（可访问的域和设备），自动为该 VRC 用户建立了 VPN 连接。 VPN 连接的名称即是该 VRC 用户可访问的 VPN 网关设备的名称。安装程序已 经配置好了 VRC 用户可以访问的 VPN 网关，及登录网关认证需要的口令或证书。 用户只需在 VPN 客户端连接管理界面双击已建立好的 VPN 连接名称，便可以看 到 VPN 客户端的用户名及口令已经自动设置完成，如图 -8。 23 图 -8 进行 VPN 连接 用户只需点击“连接”按钮，便可建立 VPN 连接。 管理员管理策略管理员管理策略 TopPolicy 系统最多支持 32 个系统管理员同时对其进行管理操作，具有不同 操作权限的系统管理员分为两类：root 管理员和普通管理员。如果没有特殊说明， 本文中的“管理员”指包括 root 管理员在内的所有系统管理员。root 为系统中缺 省的根系统管理员，默认具有 TopPolicy 系统中所有的管理权限；普通系统管理 员只具有被赋予的管理范围和管理权限，无法看到 root 管理员的相关信息，更无 权对其进行任何操作。 由于 XX 公司要求 VPN 系统采用集中部署、分散管理的运营模式，因此我 们至少需要在总公司和各省公司设置两级 TopPolicy 系统管理控制台。并且可以 给总公司的系统管理员赋予 root 管理员身份，而所有省分公司管理员均为普通管 理员。 具有“用户管理”权限的系统管理员可以在 TopPolicy 管理器中添加普通管 理员并进行权限分配。TopPolicy 系统中的管理员分级管理模式如图 -1 所 示。 图 -1 TopPolicy 系统管理员分级模型 24 对于 XX 公司，建议对所有普通管理员的添加、修改、删除和权限分配工作 均由总公司的 root 管理员执行，而对普通管理员，不赋予其“用户管理”的权力 （注意区别于 VRC 管理）。 .1管理员认证管理员认证 对于新增普通管理员的认证类型可选：用户名口令认证，用户名口令+证书 认证。证书导入方式包括 USBKEY 和文件导入方式，USBKEY 类型支持 ROCKEY（E-PASS1000）、MS-CSP（E-PASS2000）等，证书文件格式支持 PEM、DER 等。如图 -2 所示。 图 -2 管理员登录认证界面 .2管理员权限管理员权限 TopPolicy 系统中的管理员用户权限设置界面如图 -3 所示。 25 图 -3 普通管理员用户权限设置 注：管理员的管理权限可为单个权限或为多个权限的组合。 对于 XX 公司，可以给总公司的系统管理员赋予 root 管理员身份，具有 TopPolicy 系统中所有的管理权限；而所有省分公司管理员均为普通管理员，由 root 管理员统一创建并赋予适当的管理权限，如 VRC 管理、监控管理等，而对 于一些系统级的管理权限如域管理、设备管理、系统管理、用户管理等则尽可能 不要赋予普通管理员，避免因其操作失误或滥用权力而给公司整个 VPN 系统带 来不必要的安全隐患和管理混乱。 .3管理员管理范围管理员管理范围 根据 XX 公司 VPN 系统的管理要求，由各分公司对各自区域的 VPN 用户进 行管理，一方面可以大大减轻总公司管理员的维护工作量，另一方面也可避免由 于频繁增减、更改用户而造成管理上的混乱。我们可以通过 TopPolicy 系统为每 个分公司的普通管理员设置其可以管理的范围，包括安全域和移动用户组。 TopPolicy 系统中对不同管理员的可赋予的管理范围如图 -4 所示： 26 图 -4 TopPolicy 系统管理员的管理范围 说明： 管理员的管理范围可为根域下的所有子域及所有设备 管理员的管理范围可为子域及子域下的所有设备 管理员的管理范围可为域和 VRC 组，以及 VRC 组下的所有 VRC 用户 管理员将不能看到不在其管理范围内的域、设备、VRC 组、VRC 用户 在 TopPolicy 系统中，为某个普通管理员设置可以管理的安全域范围的配置 界面如图 -5 所示。 图 -5 为普通管理员选择可以管理的域 27 在 TopPolicy 系统中，为某个普通管理员设置可以管理的移动用户组范围的 配置界面如图 -6 所示。 图 -6 为普通管理员选择可以管理的移动用户组 根据 XX 公司的实际业务需要，由于所有移动用户需要统一登录总公司的 VPN 网关进行网络访问，而对移动用户的管理工作是由各省分公司的管理员执 行的，因此需要给各省分公司管理员赋予总公司根域的管理权限，这样当省分公 司管理员在对下属的移动用户组进行权限设置时才能看到总公司的域和 VPN 网 关设备，并进行添加，以便省内各分支机构、合作伙伴的移动用户可访问到。 建议 XX 公司 VPN 各级系统管理员的管理范围如下： 总公司 root 管理员的管理范围为根域（包含下属所有子域）和所有 移动用户组，以及各安全域下的所有设备和各移动用户组下的所有 VRC 用户 省分公司管理员的管理范围为根域（包含下属所有子域）和省内各分 支机构、合作伙伴机构对应的移动用户组，以及各安全域下的所有设备和 各移动用户组下的所有 VRC 用户（注意省分公司管理员并没有设备管理 权限，因此他们不能通过 TopPolicy 系统对 VPN 网关设备进行管理操作） 28 省分公司管理员不能看到不在其管理范围内的移动用户组和 VRC 用 户 隧道管理策略隧道管理策略 隧道管理主要针对的是两个 VPN 网关设备相互之间的隧道通信策略管理。 XX 公司的 VPN 隧道通信策略可采用集中式或分布式两种管理方式。 1）分布式管理 在分布管理方式下，隧道两端网络的系统管理员根据对端 VPN 网关设备的 IP 地址（域名地址）和子网掩码等信息，各自在本地配置隧道策略后，建立隧道 而进行安全的通信，通过这种方式建立的隧道即为静态隧道。 静态隧道的配置相对来说对用户的要求较高，需要知道配置一条隧道参数的 所有信息，且两台 VPN 设备要采用静态隧道通信，两端的参数必须对称。 采用静态隧道可以方便地实现与第三方 VPN 设备进行互连。 2）集中式管理 在集中管理方式下，所有的隧道策略均由 TopPolicy 系统制定，TopPolicy 系 统可以对 IPSec VPN 隧道进行全面管理，包括隧道的建立、监控、维护。 TopPolicy 系统建立隧