广西企业远程访问接入解决方案.doc

企业远程安全访问接入解决方案广州神州数码有限公司2005年11月目录第一章 简介2第二章 需求分析32.1具体需求分析4第三章 SSL-VPN 解决方案53.1网络拓补图53.2方案分析5第四章 SSL VPN 产品选型84.1 F5 FirePass 的关键技术84.2 F5 FirePass系统设备型号选择11第五章 成功案例15 第一章 简介 什么是VPN: VPN就是指利用公共网络，如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息，形成逻辑上的专用网络。VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的 用户、企业的需求正是 VPN 技术诞生的直接原因：l 高效的管理及信息的即时获取需要随时随地的访问l 需要强的安全控制l 需要容易部署和管理 VPN实现安全接入的两种主要办法l IPSec VPNl SSL VPN SSL VPN将成为远程访问技术主流l 降低维护费用并提高效率l 与IPSec 相比采用SSL VPN 在三年的时间内节省 $80,000 到 $260,000 (Breakaway Marketing Group August 2004)l 丰富的客户端活动日志和审计功能l 优异的安全性l 精确适当的访问权限l IPSec 用来为子网对子网的安全通道而设计，不适用于远程客户端访问 远程访问系统是管理系统而非纯业务系统 第二章 需求分析某企业的总公司设在南宁，南宁本地也有自己的分公司，另在全国各地有24家办事处，七百多业务员： 通过VPN实现总部和分公司及各办事处的互联 VPN主要跑ERP数据和OA系统 业务员通过OA发送销售日报、周报、月报回总公司 业务员会在公共场所发送数据，要确保数据的安全性，可行性 不需在客户端安装软件即能实现VPN的连接2.1具体需求分析根据客户的SSLVPN的要求,我们总结出来，具体需求如下:1通过SSL VPN来实现对总局内部网络的无客户端软件访问模式，实现方便快捷的访问；2SSLVPN用户最大并发的SSL VPN访问人数可能达到700人；以后随着业务的增长，并发数有可能继续增长；3保证业务员在公共场所发送数据的安全性。用户的认证管理既可以使用Firepass自身的用户数据库进行管理，也支持使用用户已有的用户数据库进行认证，并且支持多种认证方式，包括外部Radius Server认证管理模式以及双因数认证方式，例如RSA的SecuID和RAINBOW的IEKY；5通过SSL VPN接入总公司内部以后，可以支持总公司内部资源的访问及其它典型应用。6灵活的扩展空间，根据实际应用的需求灵活投资，提高整体服务能力第三章 SSL-VPN 解决方案3.1网络拓补图移动用户Internet移动用户应用服务器组F5-FirePass3.2方案分析将F5 FirePass 连接到总公司的核心交换机上，利用原有存在防火墙，在防火墙上映射一个合法可路由的IP地址为FirePass VPN设备，并添加相应的安全策略，在FirePass vpn 设备上添加用户组，并且为每个用户组添加相应的用户（如广州办、福州办等），为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名即可访问到FirePass vpn的首页内容，然后输入分配的用户名和密码，即可访问相应的内部资源。该方案有以下优点：1、适宜具体需求，满足用户的应用；2、可行性强，实施方便，减少整体投资，具有良好的性能价格比；3、系统可扩展性强，因为VPN是建立在公网上的私有连接，因此当网络拓扑改变时，不依附于资源提供商和物理设备；可以很好适宜各种网络结构，对网络的调整减少到最小；5、数据高度保密, 提供最高级别的安全保护；6、可以设定每条vpn通道的策略，确保每个连接权限；7、易用性和灵活性好，用户可以通过固定网络（ADSL/DDN/FR/ISDN）或拨号随时随地通过VPN访问数据。如果专线出现问题或若分支机构地点改变不会影响同网络安全及VPN中心信息交换， 这很好解决由于专线出故障无法同网络安全及VPN中心信息交换的问题。方案具体说明：将F5 FirePass 连接到防火墙的DMZ区上，利用防火墙，在防火墙上映射一个合法可路由的IP地址为FirePass VPN设备，并添加相应的安全策略，可实现下列的安全远程访问：1、ERP及OA系统的应用1) 可以通过网络访问方式或者通过网站访问入口方式实现访问总公司的ERP及OA应用系统，进行日报、周报、月报的工作，并能支持各种正常的B/S结构访问处理； 2) 可以沿用网络中心对总公司资源的访问控制方式，在原有基础上，定义一个固定网段的地址范围才能访问总公司资源，而这个地址范围为Firepass为通过认证的用户分配的虚拟地址池2、日后扩展的办公自动化系统的应用通过INTERNET，访问总公司内部的资源，进行公文处理、文件传输、收发邮件等工作； 1)内部网邮件系统的使用支持microsoft outlook等客户端邮件系统的应用，支持采用pop3、smtp收发邮件的方式；支持基于web的邮件收发方式（http方式）；2)文件传输支持ftp文件传输，包括normal、passive两种方式。3)文件共享支持与内部网microsoft windows桌面系统的文件共享。4)基于web的intranet系统的应用通过http方式，访问内部OA网站，进行办公自动化处理。3、远程技术支持及维护当总公司的计算机业务处理系统发生故障，而相关的技术部维护人员不在现场时，可以通过INTERNET，以最快速度连接我的内部网络上，进行故障排查及系统维护，能够大大提高技术部人员对计算机业务处理系统的故障响应速度。1)telnet应用远程用户可以通过telnet程序，连接到内部网。2)支持client/server的应用模式支持基于tcp协议的、自定义端口的应用系统的远程应用。client端程序可以工作在远端，通过安全的vpn通道，连接到内部网的服务器或主机上。4、安全管理的需求1)用户角色划分及对网络资源的分权访问要求根据实际需求，将vpn用户划分为不同角色，并根据不同角色，分配给用户不同的网络资源访问权限。用户可访问的网络资源需细化到应用层（如具有某个ip地址的主机上的使用某个特殊tcp端口的应用）。2)支持用户分组支持用户分组功能，支持基于用户组的权限管理。3)用户认证方式的灵活选择可以针对不同的用户或用户组，指定不同的用户认证方式。如可以强制部分用户必须通过第三方认证服务器提供的一次性口令认证，而其他用户则可以使用vpn系统的静态口令。第四章 SSL VPN 产品选型4.1 F5 FirePass 的关键技术安全管理访问权限可授予单个用户或用户群（例如：“销售人员、“合作伙伴”、“IT”）FirePass将单个用户和用户群的访问限制在具体的资源范围内。合作伙伴可能只允许访问外联网服务器，而销售人员则可连接到电子邮件、公司内联网和CRM系统。客户机-服务器连接器许多企业都部署了像PeopleSoft、SAP、或Oracle ERP应用这样的传统“胖客户机”体系结构，并且在每个用户的设备上都配备ERP应用客户机。通常这些应用需要面向公司网络之外的外出办公人员或合作伙伴。直到现在，这些合作伙伴和外出办公人员都需要在每个远程设备上配备特别配置的“VPN”软件。这些软件可以使他们在互联网与公司网络之间建立起一条“隧道”。这样他们才能够访问整个目标网络。一种更好的方法：F5的FirePass不是利用传统的VPN客户机来提供全部网络接入支持，而是利用浏览器作为客户机与服务器之间的连接器，来支持远程访问个别应用。支持从远端客户机访问应用服务器上的TCP应用。可支持本地客户机端应用通过浏览器与FirePass服务器之间的安全隧道，与公司的应用服务器进行通信。允许连接的用户将LAN驱动器映射到远程系统。无需用户预先安装或配置任何额外组件。在网络端，被访问的应用服务器上无需安装额外软件。采用标准HTTPS协议，并以SSL作为传输协议，因此可支持任何HTTP代理包括公共接入点、专用LAN以及任何不支持传统IPSec VPN的其它网络和ISP。标准的客户机-服务器连接器包括Outlook、Exchange Cluster、FTP、Citrix Nfuse。管理员可以为那些使用静态TCP端口的应用建立客户的客户机-服务连接器。过滤技术 内容检查，FirePass对远程进入流量进行更深入的检查，FirePass 控制器能扫描Web流量中不适当的内容（如：在POST数据中深入的脚本）或者太长的数据包，当发现恶意的内容，FirePass 阻止用户的访问客户机端证书的动态政策FirePass支持管理员根据用于访问FirePass 服务器的设备类型来限制或允许访问。例如，用户在使用公司膝上型电脑时允许访问所有的内联网和客户机/服务器应用，而在公共热点上网时则只允许访问内联网。用户登录时，FirePass服务器还会核查客户机端的数字证书，这一证书将只授予膝上型电脑。根据该证书的核查情况，FirePass服务器将允许更广泛的应用访问。身份认证技术1 用户鉴权缺省模式下，系统通过密码来对照内部FirePass数据库进行鉴权。FirePass经配置后可与RADIUS和LDAP鉴权方法、基于表格的基本HTTP鉴权以及负责鉴权与访问管理的Windows Domain Server联合运行。2 双因素鉴权许多公司都需要“双因素”鉴权，即使用用户ID与密码之外的信息进行鉴权。FirePass完全支持美国市场上领先的RSA SecurID 令牌式鉴权，并提供了内建的VASCO Digipass实施。同时可以支持“数字证书+用户名密码”的方式，来提高接入的安全性。FirePass VPN连接器安全地访问所有基于IP的（TCP、UDP）应用。一旦VPN连接器被激活之后，所有指向公司网络的流量都将通过一条安全的SSL隧道进行发送。无需在远程系统上预先安装和配置任何VPN软件。现场员工和外出人员无需在他们的电脑上进行任何特别设置和配置即可访问其应用。升级或更换现场的电脑时不会带来任何与VPN有关的额外维护工作；对主机网络、用户密码或IP地址进行的任何改动会自动传播到用户的个人电脑上。利用GZIP压缩机制来在对流量进行加密之前进行压缩处理，从而减少互联网上传送的流量, 进一步改善性能。提供隧道分割(Split Tunneling)能力，只允许流向LAN的流量通过VPN连接器进行传输。无需向每位访问用户开放整个网络，即可实现全部的客户机-服务器应用支持。不间断的故障切换通过在公司网络上配置一台在线备用FirePass服务器，用户可在发生故障时不间断地切换到备用服务器上。提供自动驱动器映射功能 一旦VPN连接器被激活，网络驱动器可自动被映射到用户的电脑上。提供代理遍历能力-支持通过本地（例如部署在公司网络上）代理服务器和远程(例如部署在远程接入点网络上)代理服务器来访问公司网络。审计服务FirePass可提供有关会话和活动日志的报告。汇总报告将按日期、时间、访问OS、使用特性、会话持续时间和会话终端类型来汇总提供网络的使用报告。UI定制管理员可以自由调整FirePass标识与详细界面的外观，以更好地匹配公司的风格。高可用性集群FirePass设备可集群配置以在单条逻辑URL上支持10,000条并发连接，同时不会带来任何性能降级。高级负载平衡能够有效地在所有可用服务器上分配会话，以最大限度地提高吞吐量。 故障切换FirePass可支持在紧耦合服务器对（在线服务器与备用服务器）之间进行整个状态的热故障切换，不会导致任何的会话中断或终止。这意味着，当偶然发生服务器故障时，所有的会话数据都将得到保留，并切换到用户不可见的备用设备上。4.2 F5 FirePass系统设备型号选择在此方案中，根据我们在以往项目上的经验，我们推荐使用firepass 4140。FirePass 4140系列产品是一种企业级高性能安全设备。它的标配支持1000个并发数的用户，它单台最大可支持2000个并发用户，并带有两个光纤口，同时还支持集群功能，使得最大并发数可达到10000，完全可以满足日后扩展的需要。为以Web方式远程访问各种应用和服务器提供了一套全面的解决方案。FirePass4140支持全套FirePass软件特性。企业级高性能安全设备2.4GHz双处理器主板结合了创新的体系结构，可以为用户提供网速级的性能，支持安全可靠的应用访问。面向未来的网络采用千兆位铜线以太网和千兆位光纤以太网精心打造的全千兆位体系结构确保了网络可适应未来的要求，充分满足用户对应用及服务器能力不断增长的需求。 SSL加速4100平台提供了内置的SSL加速功能，具有卸载SSL会话设置（握手）、块加密和解密能力，可提供优化的SSL性能。它卸载了SSL密钥交换和加密/解密功能，并交给新一代专门SSL组件来完成；即使在SSL容量实现最大化时，CPU的负荷也被降至最低。易于管理每个4100单元包括一个集成、独立的管理电脑，用来进行无人值守（light-out）远程管理和远程引导。另外，4100平台还支持多重引导、热升级和高级仪器的使用。降低拥有成本F5安全平台的热插拔组件能够减少停机时间、降低总体拥有成本，例如在每个单元安装的热插拔风扇、可访问的标准闪存（Compact Flash闪存）、硬盘和热插拔电源。先进的设计使其具有无人值守（远程）管理、多重引导支持、USB支持、简化的安装和高级管理能力，它改善了冗余操作，并显著降低了操作成本及拥有成本。提高可见性通过液晶显示屏，用户可以执行基本的设备管理功能，并借肋更高的可见性从数据中心对F5设备进行远程管理，这有利于企业避免意外停机，节省大量时间。LCD可为用户提供详细信息，包括系统信息、流量统计、配置选项、设备状态、告警及更多信息（以帮助用户进行故障诊断和容量规划）。FirePass SSL VPN远程访问F5的FirePass通过标准Web浏览器技术对公司应用和数据进行安全远程访问。无需使用复杂的IPSec VPN，它即可将公司的安全远程访问能力扩展到任何使用台式机、笔记本电脑、PDA、信息亭等设备连接到互联网上的用户。FirePass是第一个完全支持跨平台操作的SSL VPN解决方案。除了Windows系统以外，FirePass还把对任何IP应用的支持扩展到了Macintosh、PocketPC和Linux 客户端，这增强了客户机