SANGFORIPSecVPN网络建设报告.doc

IPSec VPN网络建设报告二零一一年五月目录第1章需求背景1第2章解决方案2第3章方案（Sinfor VPN SSL解决方案）3第4章IPSec VPN方案优势及效益分析4第5章深信服 M5X00 系列VPN设备55.1品牌55.2资质65.3技术65.3.1稳定可靠性65.3.2安全性75.3.3高效85.3.4便捷性95.4服务9附录：IPSec VPN技术背景1第1章 需求背景随着信息技术和网络技术日新月异，网络技术的发展特别是国际互联网的出现和发展，政府信息化实现了跨跃式发展，信息技术的应用的深度和广度上也达到前所未有的地步。随着成都高新投资集团有限公司信息化的不断提升，为了提高办公效率，统一管理，计划将集团机房搬迁到高新孵化园，在高新孵化园机房组建整个集团公司信息平台，对项目进行管理。下属机构等约七个子公司需要实现各内部工作人员在外办公时能够通过Internet连入集团中心网络并进行数据交换，应用信息系统的异地同步运行和数据的共享。并且子公司之间也能相互访问，数据传输，网上邻居互通。而在对外部人员接入提供相应整合数据，要求进行安全防护，有效权限控制，移动办公以安全、易用的方式连入公司总部局域网以应用各种信息系统通过互联网访问集团公司服务器。成都高新投资集团有限公司为了提高办公效率，提升信息化建设，准备将集团机房搬迁到高新孵化园，在高新孵化园机房建设整个集团公司信息平台，对项目进行管理。下属机构子公司等通过互联网访问集团公司服务器。随着信息化的发展，越来越多的应用系统开始用来处理的各项业务，如何将总部的各项应用系统推广到各个分支机构、办事处，实现应用系统的实时，统一的管理，就成为当前众多组织机构所面临的问题。另外一方面，随着政府电子化办公进入全面、快速发展阶段，与其配套的应用系统的功能日益凸显，经过多年建设，目前全国大部分的部门体系，省级的相关体系网络服务建设逐渐完备，逐渐建立了电子政务网，报税系统这样一些比较常见的政府业务网等。为业务的进一步的快速发展奠定了坚实的基础。然而，在享受互联网带来快速便捷的同时，却也不得不担心另外一些问题，目前互联网技术的普及，使得网络上传输的安全性成了很大的问题，尤其是把部门一些核心业务的数据通过广域网传输，容易遭不法分子截取到相关的信息，而政府则更为严重，数据泄密甚至有可能影响到社会的和谐稳定，那么是不是回到过去的纸质的办公环境呢？以降低效率的方式来保障安全性，这个问题困扰着目前包括企业，银行，政府等各行各业的领导者，如何来既能享受互联网为工作带来的快速高效的同时，有保障数据的高安全性呢？第2章 解决方案为了建立符合业务需求、实用灵活的信息管理平台，加强信息网络安全建设，确保组织稳定安全发展，建立核心的信息系统，解决各分支机构数据孤岛和信息资源不能共享的问题，建立畅通安全的信息共享及互联平台等已经成为目前急需解决的问题。 一种方式采取运营商专线进行数据的互联互通，但其高昂成本和长期的租赁费用，几乎成了IT部门最主要的开支，使企业不堪重负，而且存在部署过程繁琐，扩展性不强，无法实现移动办公等无法克服的缺点。传统专用线路（如DDN）的高昂成本和长期的使用费，使组织无法利用这种方式来建立自己的专网。第二种方式就是通过VPN（virtual private network）技术即虚拟专用网解决这个问题。通过在公网上建立VPN隧道的方式为核心数据提供一个安全的通道，并且此专有网络拥有高安全、可管理及其它功能等特点，我们完全能够使用VPN这种高效率、低成本的解决方案来满足异地网络互联互通的需要。目前国外大部分组织已普遍利用VPN技术将Internet作为构建组织私有网络的平台。 相比之下；采用VPN方式组网具有投资成本低，高带宽，高可靠性，高安全性以及灵活的可扩展性的优点，且VPN产品特有的具有对Internet上的内部移动用户安全接入，可以彻底消除地域差异，实现可移动用户的网络互连及基于Internet的可移动安全访问控制.因此，采用VPN方式组网对组织来说是一种现实可行的，完全可以满足组织领导及员工在办事处，在外出差，在家秉承办公的业务需要。第3章 方案（Sinfor VPN SSL解决方案）备注：1，在成都市高新投资集团有限公司天府孵化园机房内网部署深信服科技SANGFOR 2150 VPN二合一VPN/防火墙网关，分配固定或动态Internet IP，作为整个系统的VPN网关服务器。2，高新管委会总部，高新置业以及高新建设等下属子公司内网部署 SANGFOR M5X00 系列 VPN/防火墙网关，每台网关可与孵化园服务器机房VPN总部网关互联，也可相互之间建立网络通道，形成网状网络架构，网上邻居可见。移动办公用户通过浏览器与部署好的SANGFOR 2150 VPN建立SSL VPN隧道建立通信，无需安装客户端软件，考虑到身份认证的需要，可以为各用户配置用于增加安全性的DKEY，为移动办公用户设置不同的访问权限，保证内网的安全性。效果:高新投资集团服务器与子公司之间，采用VPN形式达到互联，在公众网络上通过加密手段传输内部数据，保证业务系统的使用。VPN应用：总部所有局域网内网络化的应用都可以在整个VPN网络平台（包扩子公司和移动用户）上实现应用扩展，各类型的分支机构用户和移动用户均可根据自身需要和总部对其的要求进行权限内的VPN访问，访问内容包括信息共享、文件传输、应用系统、音频/视频应用等。深信服SANGFOR 2150 VPN网关自建CA证书认证中心，可自主发放，不依赖第三方证书机构，减少安全架构成本。依靠3层防护保证接入用户的合法与唯一性，防止冒充接入：用户名密码，证书认证，USBKEY三层防护。保障数据在传输过程中的安全性，采用AES128位加密算法。防止黑客拦截或者解密， 并可以进一步通过软件或硬件卡的形式进行加密算法的扩展，保证了数据传输的安全。 系统内置Radius服务、并采用了HARDCA硬件证书的形式进行身份认证，确保接入用户的合法有效。另外，M5100系列还针对内网用户可以设定细致的访问权限、避免了病毒类文件的随意传播和越权访问带来的安全隐患。QOS应用：基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送，防火墙的QOS在整个带宽基础上为VPN保留合理的带宽，避免网内用户的上网行为对VPN造成影响，而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽，在网络繁忙时优先传送更重要的数据（如对时延较为敏感的VOIP及视频数据及数据库查询等），而智能的QOS在网络空闲时可充分利用所有带宽。多线路复用和备份：由于总部通过多条Internet实现接入，利用Sinfor DLAN的多线路复用技术，只要其中一条线路能够确保畅通，即可保证整个VPN网络不会因为Internet线路的不稳定而产生故障，而多条Internet 线路的使用又大大提高了总部的Internet带宽。防火墙：基于状态检测的包过滤防火墙可实现防止来自Internet的攻击和入侵，自检测功能防止因为规则设定不当带来的安全隐患。防火墙内含有NAT、DHCP、QOS、自动拨号、基于URL的访问控制等多种功能模块。访问控制：总部和分支机构可对局域网内所有用户的上网权限进行控制，能够限制用户对Internet特定资源的访问权限，可实现用户分组和独立的权限设定，所有限制或允许可基于URL、IP地址、时间或是服务，设置灵活方便。第4章 IPSec VPN方案优势及效益分析1.信息互联互通带来效益。过去组织由于信息沟通障碍带来业务上的隐性损失非常可观。部署了VPN解决方案后，总部可以及时了解各分支的具体业务情况，迅速做出最具实效性的决策，出差人员在外地仍然可以获得总部的IT支持，领导即使出了组织大楼也能在第一时间了解组织的业务运转情况。这些无疑能大大增强企业的竞争力，在市场形势瞬息万变的今天，具备更高的应变能力及跨分支协作能力。2.杜绝可能的安全隐患。如果组织部分内部IT服务通过网络出口直接向Internet开放，带来很大的安全隐患，由于数据采用明文方式传输，而且缺乏严格的身份认证措施，组织内部重要数据（如财务等）一旦被不怀好意之人侦听，危害不言而喻。采用VPN解决方案后，可以杜绝IT应用发布环节上的安全隐患。3.极大降低网络通讯费用。对于北京一个有十个分支机构的企业来说，分支采用256K专线与总部互连，每月的专线费用高达100，000元左右（各地资费稍有不同），采用帧中继（FR）方式，每月费用也达50，000左右，这些还不包括高昂的初装费。而采用VPN方式，总部可以绑定4条ADSL线路，实现4M的带宽出口，分支采用1M的ADSL宽带，每月的ADSL上网费用只需2，000元，3个月便可收回所有投资。投资回报率（ROI）分析表明，部署该方案可以实现很好的财务效益，平均回报期仅为5个月。4.降低维护成本。除了专线昂贵的接入设备费用，由于其固有的局限性，但机构地址改变，网络拓扑发生变化时，原有的投资将得不到保护。相反，采用VPN方式，可轻松应对任何变动，无需追加投资。在移动办公的解决上，采用SSL VPN无需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，让管理员无需面对大量客户端的安装和配置而耗费大量精力。第5章 深信服 M5X00 系列VPN设备5.1 品牌深信服科技始终致力于宽带安全领域的研发，立志成为全球领先的Internet边界网络方案提供商。目前已有的产品线包括：IPSec VPN、SSL VPN、UTM（多功能安全网关）、上网行为管理，网间加速产品等互联网边界网络产品。在过去的六年间，深信服科技保持着年均人员增长2倍、销售收入增长34倍的成长速度。2005，2006深信服科连续两年获得中国高科技高成长50强的荣誉。深信服以庞大的用户群，成熟的产品，创新的技术，一流的服务成为国内当之无愧的一线品牌。截至到2007年2月，SANGFOR VPN及网络安全解决方案已成功应用于八千多家客户，数十万个网络，移动用户达数十万。国内VPN领域专利数目第一第一个推出SSL 和 IPSec 一体化VPN的厂商国内唯一提供全线软硬件VPN产品的厂商5.2 资质国家密码管理局商用密码产品生产定点单位证书国家密码管理局商用密码产品销售许可证国家密码管理局商用密码产品型号证书公安部计算机信息系统安全产品质量监督检验中心检验报告公安部计算机信息系统安全专用产品销售许可证5.3 技术5.3.1 稳定可靠性深信服VPN系统经过了广东省联通和西安电信的严格测试，此外，全国5000多家客户、上万个网络的大容量成功实际使用也证明了此系统的高稳定性。在技术上，深信服科技的M5100以上系列硬件网关通过多路复用、双机热备等功能彻底解决了因公网线路中断或设备故障引发的稳定性问题，具体描述如下： 由于VPN技术是建立在INTERNET基础上的，一般当上网线路中断的时候，VPN也会随之中断。深信服科技的M5100以上系列硬件网关能够实现多路复用，同时捆绑多条上网线路进行VPN连接，其中一条上网线路中段的时候，VPN数据将自动切换到正常运行的上网线路上，实现线路备份。平时各捆绑线路都正常工作时，多路复用技术还可以将各条线路叠加起来，产生更大的带宽，增加VPN处理效率，图示如下：DLAN M5100以上系列产品提供双机热备功能，当主设备发生故障时，备份设备将自动承担起连接作用，图示如下：5.3.2 安全性综合考虑用户的具体应用和需求，VPN网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。第一个层次：数据传输的安全。数据传输的安全主要取决于所采用的加密算法的加密级别。SANGFOR DLAN VPN系统内置了DES/3DES/AES等多种国际主流加密算法，因此能够保证数据安全。第二个层次也就是用户接入的安全是更为重要的。SANGFOR DLAN VPN采用了深信服科技的发明专利技术（基于硬件特征的身份认证技术）来解决用户的接入认证问题。该技术将接入用户的身份鉴别与计算机的硬件特性进行绑定，由于每台计算机具备唯一的硬件身份（如网卡的MAC地址、硬盘和CPU的特征码等），而且具有不可伪造的特性，DLAN VPN在用户接入之前、会自动对该请求接入的计算机进行硬件特性的比对。这就保障了只有指定的计算机设备才能接入VPN网络。通过这种技术的采用，即便接入的用户名、密码等账号信息泄露也不会造成非法用户的接入。SANGFOR DLAN VPN对移动用户还提供了硬件加密客户端USB KEY的方式进行身份认证。并且在KEY中集成了用户的基本配置信息，实现了即插即用的VPN、随身携带的VPN。最后，SANGFOR DLAN VPN还增强了对内网的安全设置，保障了第三个层次内网资源访问的安全。SANGFOR DLAN VPN提供了对内网访问权限的细致设定，可以对不同的用户分配不同的权限规则，避免内部出现的安全隐患，一个合法的VPN用户接入总部后，他对总部资源的访问权限能够被限定在一个很小的范围内，在XX公司的网络应用中，可以指定某一用户接入VPN后只能访问指定服务器，所有的这些权限都可以通过简单的配置迅速完成，极大的方便了IT安全部门的管理工作。5.3.3 高效SANGFOR DLAN VPN通过两种方式提高VPN的速度。首先是数据流压缩技术，SANGFOR DLAN VPN内置了数据压缩算法，对所有的传输数据进行压缩之后、再传输，这就在无形中极大的提高了带宽，经实际测试、很多应用情况下甚至比直接连接还要快。以下是SANGFOR DLAN VPN在两端通过ADSL连接时，进行文件拷贝和SQL数据库查询时的性能比较：文件拷贝（用FTP传输）单位：秒Word文档（8.4M）Bmp图片（18.7M）Winzip压缩文件（9.8M）直接连接150330175通过DLAN VPN7350134数据库查询（SQL SERVER 2000，表中有记录9000多条）单位：秒查询所需时间直接连接48通过DLAN VPN30另外，由于部分用户对速度的要求非常高，而Internet带宽的发展毕竟有个时间。SANGFOR DLAN VPN为满足这些用户的需求，特别增加了多线路捆绑的功能。用户可以申请多条Internet线路，然后将多条线路的带宽进行绑定、并发使用，使得带宽成倍增加，并可实现在此基础上的QOS管理。此外，由于南北电信运行商（南电信北网通）不同，很多南北公司之间的互联速度比较慢，大大影响了传输效率，深信服科技的多路复用技术还可以达到线路优先选择的效果，连接速度快的那条线路将被优先建立VPN隧道，最大程度降低了因客观原因造成的效率损耗。5.3.4 便捷性SANGFOR DLAN VPN系统采用GUI图形界面管理，维护简便。并提供了完善的日志服务、故障诊断等工具，方便总部管理员对系统的维护和管理。详细完善的日志功能，能够实时备份，并进行日志导入导出操作，对用户接入、退出、使用、网络故障等各种情况进行描述记录，方便管理、统计并及时查找出错原因。SANGFOR DLAN VPN对移动用户提供了强大的支持，并且支持“移动IP”方便的实现移动办公，同时，SANGFOR DLAN VPN还提供了USB KEY的身份认证方式和配置集成功能（深信服科技发明专利）。通过即插即用的硬件加密客户端DKEY，实现了VPN的身份安全认证，可以方便的实现移动办公。5.4 服务两条800免费电话， 8条技术支持热线CRM系统以及客户服务系统724小时的不间断电话支持和远程服务以客户为中心的服务理念和管理制度拥有广泛的服务网络覆盖全国的服务网络，二十多个发达城市建立办事处提供现场服务，提供VPN领域国内最完善的售后服务网络和体系。附录：IPSec VPN技术背景VPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet Service Provider 服务提供商）和其它NSP（Network Service provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。IETF 组织对基于IP 的VPN 解释为：通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。早期的虚拟专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路（PVC）服务的网络，或通过运营商的DDN 专线网络构建用户自己虚拟专用网。现在的VPN 是在Internet 上临时建立的安全专用虚拟网络，用户节省了租用专线的费用，同时除了购买VPN 设备或VPN软件产品外，企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用，对于不同地区的客户联系也节省了长途电话费。这就是VPN 价格低廉的原因。IPSec 也是IETF 支持的标准之一，它是第三层即IP层的加密。IPSec 不是某种特殊的加密算法或认证算法，也没有在它的数据结构中指定某种特殊的加密算法或认证算法，它只是一个开放的结构，定义在IP数据包格式中，不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。我们对于IPSec大致按照以下几个方面理解。 1.为什么要导入IPSec协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSec引进了完整的安全机制，包括加密、认证和数据防篡改功能。另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。2.IPSec协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。本来不能通讯的两个异地的局域网，通过出口处的IP地址封装，就可以实现局域网对局域网的通讯。引进这种包封装协议，实在是有点不得已。理想的组网方式，当然是全路由方式。任意节点之间可达（就像理想的现实通讯方式是任何人之间都可以直接写信互通一样）。3.安全协议（加密）IPSec协议的加密技术和这个方式是一样的，既然能够把数据封装，自然也可以把数据变换，只要到达目的地的时候，能够把数据恢复成原来的样子就可以了。这个加密工作在Internet出口的VPN网关上完成。4.安全协议（数据认证） 仅仅有加密是不够的。就要引入数据防篡改机制。万一数据被非法修改，能够很快识别出来。这在现实通讯中间可以采用类似这样的算法，计算信件特征（比如统计这封信件的笔划、有多少字），然后把这些特征用暗号标识在信件后面。收信人会检验这个信件特征，由于信件改变，特征也会变。所以，如果修改人没有暗号，改了以后，数据特征值就不匹配了。收信人可以看出来。实际的IPSec通讯的数据认证也是这样的，使用md5算法计算包文特征，报文还原以后，就会检查这个特征码，看看是否匹配。证明数据传输过程是否被篡改。5.安全协议（身份认证）常见的VPN身份认证可以包括预共享密钥，通讯双方实现约定加密解密的密码，直接