网通产品安全白皮书.doc

网通产品安全白皮书Sinfor DLAN -VPN整体解决方案，大大降低了企业Internet化的整体成本。在Sinfor DLAN中集成了高效的端到端VPN、桌面到端VPN、状态检测防火墙、代理上网服务、访问控制服务，并大大简化了整个系统的维护管理过程，是中型网络乃至大型网络接入Internet的高性价比方案。由于VPN网络以INTERNET作为传输介质，企业网络在接入INTERNET时容易受到外界的攻击和入侵，客户对VPN网络的安全还存在顾虑，现从VPN接入鉴权、防火墙对企业网络的保护以及VPN用户权限的控制等方面对Sinfor DLAN解决方案所采用的安全机制及对企业整体网络的保护措施进行简单探讨。一、 VPN接入鉴权1、 寻址技术的安全：Sinfor DLAN软件能够支持动态IP寻址，通过基于Web的动态寻址技术，使得Sinfor DLAN可以支持各种上网方式，无需固定IP或有效IP，为企业选择合适的ISP提供了极大的方便。WebAgent是一个普通的文件，只要求网站支持ASP或PHP即可。用户完全可以将WebAgent置于自己的网站上，建立完全属于自己的VPN全套系统。在寻址过程中，所有信息均使用DES加密。实现方式如下图：由于采用了DES加密，非法用户无法从WebAgent中获得总部的配置信息，在总部使用动态IP的情况下非法用户无法通过INTERNET直接连接总部，避免来自INTERNET的直接攻击。目前也有像动态域名等其他的动态寻址方法，但是一般都需要专门的第三方服务提供商，一方面会带来长期的服务成本，另一方面如果服务提供商停止服务，也会给用户带来不可预见的风险。而Web寻址技术使用企业自身的Web网站或虚拟空间帮助寻址，不增加额外费用，也不依赖专门的服务提供商。另外Web寻址技术还加入了备份机制，以保证其稳定性。因此，Web寻址技术相对其他寻址技术(如动态DNS)有如下优点:a) 寻址安全。b) 更节省成本。c) 不依赖于专门的第三方服务提供商。d) 更稳定。2、 加密的传输隧道：SINFOR DLAN 遵循SINFORSL协议(改进的IPSEC协议)，在Internet上建立安全可信的隧道。各实体之间的数据都是通过安全隧道传递，局域网内原始IP的IP头包含本局域网信息。经加密后，原始IP成为隧道IP的负载，隧道封装的IP头为隧道两端的Internet IP,这样就保护了内部网络信息，而且原始IP的数据已被加密成为负载，防止了内容泄漏。同时添加帧头标志，用于识别正确的隧道封装IP，帧头采用HASH函数生产，支持MD5,SHA-1算法，防止内容被篡改和侦听。3、 接入权限的控制：SINFOR DLAN 内置RADIUS服务，完成对接入分支、移动的用户名，密码认证。RADIUS认证过程采用挑战应答模式，在这种认证模式下，认证信息不在网络上传递，而且挑战不同的分支或移动答复也不同，保证认证信息不会被窃听。但是，用户名和密码或者传统的CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷SINFOR DLAN中使用了专利技术基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。通过该认证方法，只有指定的机器才能接入。HARDCA认证过程描述如下：(1) 由分支模式或移动用户运行鉴权程序，该程序收集计算机的硬件信息，产生同分支或移动对应的一个唯一的ID证书（HARDID），分支和移动用户将此证书通过手动方式将传送给总部管理员，由总部管理员手动将此HARDID证书输入到总部模式的鉴权管理库里(IDBASE)。(2) 总部在同分支建立数据隧道前，先要在命令通道进行HARDCA认证，经过命令通道HARDID认证的分支或移动（即其自动上报的ID证书为总部鉴权管理库里存在的ID），才允许建立数据隧道。认证的流程遵循RADIUS认证过程。实现效果：如果企业有员工离职或无意中泄密，传统的各种鉴权方式在鉴权信息（用户名、密码或CA证书）泄露的情况下，非法用户可利用泄密信息登录总部局域网，造成机密信息的泄露或是破坏。采用Sinfor DLAN VPN方案后，通过完整的接入鉴权管理，Sinfor DLAN能够确保只有指定用户（使用总部规定的用户名密码）使用指定计算机（该用户名密码用友的ID证书所对应的唯一硬件信息）才能接入总部局域网，即便用户名密码及加密密钥等信息泄露也不会造成安全隐患。对于部分权限较高的移动用户，为防止其计算机被非法使用，Sinfor DLAN利用DKEY这种USB的便携设备的唯一ID号作为其使用VPN的许可方式，使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能，极大的提高了VPN的整体安全性；管理员可选择是否为该移动用户启用DKEY，若启用，需将对应DKEY插入总部模块所在计算机的USB口上，DLAN总部模块将会把此移动用户接入VPN所需的配置信息导入DKEY，并将DKEY作为用户接入时的身份认证依据（每个DKEY具有唯一的ID）。二、 防火墙对企业网络的保护Sinfor DWALL内置了基于状态检测的包过滤防火墙，在企业接入INTERNET的时候为企业网络提供保护。1、 动态状态检测：传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于每个IP都要进行所有的规则检查因此效率很低，防火墙的性能也会大幅度降低。另外黑客也会采用IP伪造技术将自己的非法包伪装成某个合法IP包从而穿透防火墙，产生安全漏洞。Sinfor DWALL采用了基于连接状态检测技术，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合大大地提高了系统的性能。同时由于不是孤立看待每一个IP包，因此黑客很难伪造一个连续的状态，也大大加强了系统的安全性。2、 内置攻击防范：在Sinfor DWALL中内置了对多种攻击行为的识别和防御，包括各种分片攻击和DOS攻击(含各种Flooding攻击、Jolt2、Ping of death、ICMP Smurf Attack 等)。用户无需对防火墙进行复杂的配置即可实现对各种攻击的防范。3、 虚拟测试功能，杜绝人为错误在讨论网络安全时，大家往往都忽视了一个重要的安全隐患因为配置错误导致的安全漏洞，事实上由于人为错误导致的安全漏洞在网络攻击事件中比例高达40%。而众多的防火墙规则和访问控制规则配置起来往往都比较复杂，在配置完毕后很难对设置的规则是否能满足需要做完善的测试，这是导致上述安全隐患的主要原因。Sinfor DWALL内置了虚拟测试环境，通过可视化的对各种安全设置规则进行测试，从而杜绝人为错误导致的安全漏洞。4、 分级的安全管理，配置更方便分为高、中、低和自定义四个安全级别，用户可以根据需要灵活配置。使用内置的高、中、低 安全级别，使得网络防火墙的配置和个人防火墙一样容易；即使不懂网络也可以配置出安全的防火墙。5、 流量监控及最近100个访问记录对于管理员来说，网络带宽被非法大量占用的时候如果无法查到具体情况非常麻烦的，采用Sinfor DWALL防火墙后，可随时提供当时占用带宽最多的五个用户情况，帮助管理员更好的管理网络。局域网用户正在访问哪些站点？是否超出了公司的规定？Sinfor DWALL防火墙可为管理员提供最近100条Internet访问记录，所有非法访问尽在掌握之中。6、 基于URL和目的地址的访问控制管理员可以将内网用户分成不同的权限组，可以为每个权限组分配不同的上网权限，访问控制可基于IP和URL，并支持时段管理(7*24小时自由定义)。如内网用户分为财务、市场、技术，财务组完全不允许上网，市场组可以上新闻类网站（如和），技术组则只能上技术类网站（如CSDN.net等），URL设置支持通配符（如*.sina.*）。用户管理支持IP和MAC的绑定，用户无法随意更改IP地址绕过防火墙的限制。三、 VPN用户权限的控制在VPN网络中还存在一些潜在的安全隐患，分支和移动用户通过VPN接入到总部后的权限没有得到有效控制，可以访问总部局域网内所有资源，而分支机构和移动用户由于种种因素往往没有完善的保护措施，黑客可以通过入侵分支，然后通过VPN进入总部局域网，由于VPN用户权限过大，黑客可以很容易的非法获得所需机密信息或造成破坏等等。因此需要在VPN系统中设置更细致的服务访问权限来杜绝这些安全隐患。Sinfor DLAN 集成了非常细致的权限粒度控制，可以使得指定的资源只有授权的用户才能访问。1、 对特定资源的访问控制：总部可对所有分支机构用户和移动用户进行详细的VPN权限设置，可以针对每个用户设定不同的接入访问权限，如某些分支或移动用户只能访问总部的OA系统，不能访问总部的财务系统等，不同的VPN用户可以设定对不同资源的访问权限，避免因为VP