VPN 移动办公解决方案模板

1、华为3ComVPN华为3ComVPN移动办公解决方案VPN移动办公解决方案华为3com华为3Com技术有限公司安全产品行销部田灼02059概述VPN（VirtualPrivateNetwork，虚拟专用网），是构建在公网Internet之上的逻辑网络，通过在两台网关设备之间建立一条虚拟专用连接进行数据传输。对用户来说，感觉到的是专有网络的服务。VPN技术正促使企业网络无限延展，使异地分支机构实现同步办公，移动用户安全接入企业网络已经变成现实。华为3Com移动办公解决方案通过采用IPSecVPN方式，实现了用低成本，高安全性的方式，使企业员工在移动办公期间接入公司内部网络的需求。VPN移动办公解

2、决方案工作流程：移动办公用户客户端上安装华为“SecPoint”VPN拨号软件，用户首先联入Internet，然后通过“SecPoint”与VPN网关进行L2TPIPSecVPN连接，连接过程中可以选择“静态密码”、“RSA动态口令卡”、“SecKeyUSBToken”等方式，用户接入VPN后直接获得企业私网IP地址，从而达到访问企业内部网络的需求。华为3ComVPN移动办公方案华为3Com移动办公解决方案，由移动终端拨号子系统、VPN接入安全网关子系统、认证计费管理子系统、VPN管理子系统四个部分组成。华为3ComVPN华为3ComVPN移动办公解决方案华为3ComVPN华为3ComVPN移

3、动办公解决方案华为3rom华为3rom华为3ComVPN移动办公解决方案华为scornModem接入ADSL接入SecPoint+RSAtokenSecPoint+SecKeySecPoint+RSAtokenSecPoint+SecKey-LAN接入SecPoint+RSAtokenSecPoint+SecKeySecPath安全网关X2负载分担/冗余备份VPN接入安全网关子系统华为scornModem接入ADSL接入SecPoint+RSAtokenSecPoint+SecKeySecPoint+RSAtokenSecPoint+SecKey-LAN接入SecPoint+RSAtokenS

4、ecPoint+SecKeySecPath安全网关X2负载分担/冗余备份VPN接入安全网关子系统总部网络中心RSA认证服务器或CA证书服务器应用和业务服务器vpn管理；-子系统VPNManagerCAMS系统认证计费管理子系统.SecPoint+RSAtokenWLANJSecPoint+SecKey*%:移动终端；:拨号子系统IVPN移动办公解决方案你身边的好网络 HYPERLINK 你身边的好网络移动终端拨号子系统移动终端拨号子系统负责移动终端VPN拨入功能，在客户移动终端上安装华为SecPointVPN客户端软件。移动用户通过某种方式如拨号、ADSL和小区宽、GPRS、CDMAIX带等接

5、入到Internet，就可以通过SecPoint和VPN网关之间建立IPSec隧道，访问公司企业内部网（Intranet）上的相关资源。SecPoint还提供了强大的安全策略，包括IPSec、IKE和NAT穿越等，大大强化了VPN系统的安全性。IPSec使特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。SecPoint软件可以通过PPP协商向VPN申请IP地址。由于此IP地址的分配是由VPN隧道对端分配的，其保密性更高，被攻击的可能性也更小。同时SecPoint软件支持IPSec/IKE加密。IPSec为IP协议栈提供在IP层实施

6、的一系列安全服务，为IP及其上层提供保护。SecPoint软件通过支持IPSec提供数据加密,数据完整性验证，数据身份验证，以及防重放功能。SecPoint软件支持IPSec隧道模式和传输模式，从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密；此外，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。与此同时SecPoint软件和RSASecurlD动态密钥、USBSecKey配合使用，可以更安全的验证用户的身份。SecPoint软件支持与网关侧设备的握手机制。当VPN隧道建立之后,SecPoint软件会根据用户配置，定时向网关侧设备发送握手。如果一定时间收

7、不到握手，网关侧设备认为对端已经离线,自动将状态设置为断开。如果用户需要再使用VPN隧道资源，需要重新认证。握手机制能够增加安全性，防止身份冒充。SecPoint软件不仅支持局域网用户,同时也支持拨号用户、ADSL用户、WLAN用户。相对于局域网用户，SecPoint软件能够让拨号用户使用IPSec/IKE加密。为保证数据安全，建立VPN隧道时使用IKE协商为IPSec提供密钥供IPSec加密使用。但是在一般使用IKE协商时，要求两端设备配置对端IP地址信息。但是，由于使用VPN、客户端软件的用户经常处于拨号上网的状态，而每次上网时其IP地址是不固定的，如果要求VPN隧道的网关侧设备每次都修改

8、对端IP地址，其维护量就可想而知了。SecPoint软件通过支持IKE的Aggressive模式（野蛮模式）成功地解决这个问题，在这种模式下，IKE协商时允许协商的两端不使用IP地址信息，而代之以使用双方的name。这样当拨号用户使用动态IP地址,只要正确的配置对端name，而网关侧设备也接受次name，就可以进行IKE协商。从而实现IPSec加密。SecPoint软件支持对VPN隧道对端多个网段的访问。在实际应用中，VPN隧道对端即公司本部组网中包含很多网段，例如，公司所有的服务器的IP为172.20.*.*,研发部门的IP为10.153.*.*,财务部门的IP为10.150.*.*。当用户

9、通过SecPoint软件和网关建立VPN隧道之后，通过协议从公司本部分配了一个IP地址10.151.*.*,掩码为。如果用户需要访问公司的内部DNS服务器，IP为20，由于用户计算机上没有针对DNS服务器的路由，所以用户无法访问DNS服务器。而SecPoint软件成功地解决了这个问题，只需要用户在使用登录之前，将公司本部需要访问的网段配置进来即可。配置的界面如图：SecPoint软件支持NAT穿越。在使用IPSec加密的VPN隧道，用户数据包不能被篡改。包括从IP地址，IP数据头，协议端口号，VPN隧道两端都有加密和防篡改，否则对端接收后不能正确解密。但是，很多时候使用SecPoint软件的时

10、候其所在位于NAT设备之后，通过NAT地址转换进入Internet。NAT的基本原理在与修改报文的IP地址和端口信息，这样，一旦报文经过NAT设备，VPN隧道两端就不可能建立IPSec隧道连接。SecPoint软件成功地记解决了此问题。软件通过在IPSec报文前增加一层UDP报文头的方式，使NAT设备不需要修改报文内容，从而解决了IPSec支持NAT穿越的问题,NAT设备只修改封装的UDP头，但是没有影响IPSec数据报文的内容，即使经过NAT转换，仍然可以正常建立IPSec隧道连接。在使用SecPoint软件的NAT穿越功能时，需要网管侧设备也支持NAT穿越。SecPoint软件支持备份LN

11、S服务器。当主LNS服务器因故障不能使用，SecPoint软件自动向备份LNS服务器发起协商。这样降低故障对于整体网络资源的影响。使用备份LNS功能，只需要用户在配置LNS服务器IP时，指定备份LNS服务器的IP,如图所示：通过安装SecPoint,可以使PC机能够通过多种方式进行VPN互联，并最终实现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的。同时为了保证最大的可靠性，可以为企业准备一个拨号服务器，在VPN网关或者Internet不可用时，允许用户通过拨号访问内网。另外，为了保证安全，可以在拨号服务器后面放置一个防火墙，可以对拨号用户的访问进行控制。VPN接入安

12、全网关子系统VPN接入网关子系统是系统的核心部件，选用华为公司的系列产品。同时在可靠性要求比较高的系统中可以作HA双机热备份方案或采用两台安全网关产品运行VRRP协议方式实现主从热备份。安全网关作为局端核心设备提供安全VPN接入功能。通过防火墙实例及针对源地址区分用户进行ACL访问权限控制。认证计费管理子系统认证计费系统由华为VPN认证计费管理系统。华为VPN认证计费管理系统提供完善的认证计费功能，同时提供自助式帐户管理功能。并且通过RADIUSProxy功能与RSAACEServer配合实现一次性密码认证功能，或采用QuidwaySecKeyUSB卡方式进行身份认证。SecKey身份认证方式

13、:华为3ComSecPoint（以下简称SecPoint）是华为3Com公司自行设计开发的VPN客户端软件，可以将安全性扩展至桌面计算机和笔记本电脑，能够通过多种方式与华为3Com的网络设备（如路由器及SecPath系列网关设备等）进行VPN互联，为远程连接提供高安全解决方案。华为3Com坚持以客户需求为导向，新推出的基于智能卡安全技术的QuidwaySecKey产品，可以为SecPoint用户提供身份认证信息的安全存储、基于硬件的双因素用户认证、客户端配置“即插即用”以及license管理等功能。SecKey可以减少SecPoint用户身份信息被盗用的风险，使用双因素方式提高用户身份验证安全

14、性，同时通过减少SecPoint的配置管理工作来提高用户的工作效率，最终可以帮助企业实现优化大规模远程访问VPN用户的部署工作，经济有效地管理用户的移动能力和安全策略，减少企业的IT运营成本。华为3ComVPN华为3ComVPN移动办公解决方案华为3ComVPN华为3ComVPN移动办公解决方案华为3：华为3：om华为3ComVPN移动办公解决方案SecKey中所有数据存储在智能卡芯片中，读写由COS控制，只能根据PIN码权限进行相应访问;每个SecKey最多只支持一个进程访问，只要关闭对SecKey的访问进程，所有权限即复位到初始状态，以上技术手段可以使SecKey自身安全性得到最好保证。用

15、户可以将数字证书或者用户名/密码保存到QuidwaySecKey中来确保这些信息的安全，解决了身份认证信息安全存储中的薄弱环节存储介质安全性的问题。使用SecKey可以保障数字证书无法被复制，所有密钥运算由SecKey实现，用户密钥不在计算机内存出现也不在网络中传播，只有SecKey的持有人才能够对数字证书进行操作，安全性有了保障。SecKey内部使用了运算能力强大的专用芯片，使得计算非常耗时的RSA运算可以在芯片的内部实现。这也就是意味着，私钥从生成的时候开始就一直保存在SecKey内部，即使是私钥的所有者也没有权限读取私钥的内容。同时由于SecKey专用芯片所使用的安全封装技术，使得从Se

16、cKey中强行获取用户私钥的信息的尝试变得不可能。使用基于硬件RSA算法的SecKey比使用单纯的软件实现的RSA应用更加安全可靠。因为敏感数据都被安全地保存在SecKey的安全存储区域中，未授权用户是无法接触到这些信息的。数据的签名和加密操作全部在SecKey内部完成，私钥从生成的时刻起就一直保存其中，可有效的杜绝黑客程序的攻击。使用SecKey实现的用户名/密码认证使用冲击/响应原理的实现方式，相关运算通过SecKey内置算法完成，用户密码不需要被读出SecKey和在网络行传输，因此可以保证即使认证相关数据在网络传输的过程中被黑客截获，也无法逆推获得密码。RSA身份认证方式：该方法的前提是

17、一个单一的记忆因素，如口令，但口令RadiusUseriiiiiiiraiiiiiiiiiiiiiiiiiiiiiiiiiiiiHuaweiSecPathRadiusUseriiiiiiiraiiiiiiiiiiiiiiiiiiiiiiiiiiiiHuaweiSecPathPasscodeforwardtoRadiusServerRadiusServerfirstHuaweiiTELLIN1.Username,PASSCODE本身只能对真实性进行低级认证，因为任何听到或盗窃口令的人都会显得完全真实；因此需要增加第二个物理认证因素以使认证的确定性按指数递增。例如，银行ATM卡就是一个广泛采用的双

18、因素认证机制,ATM卡需要将有效卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资金的访问。借助的用户认证系统，RSA信息安全解决方案可以向授权的用户发放单独登记的设备，以生成个人使用令牌码，这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌码，保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的，别人无法通过记录以前的令牌代码来预测将来的代码，就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。当用户访问受保护的拨号服务器、防火墙或者VPN服务器时，需要输入用户名和双因素Passcode，然后由这些网络设备内置的代理软件将Pa

19、sscode发送到认证服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝。如果没有内置的代理软件，这些网络设备还可以通过TACACE+和RADIUS协议来支持SecurlD双因素认证。当用户需要访问这些网络设备时，输入用户名和Passcode，网络设备将Passcode通过TACACE+和RADIUS协议传送到RADIUS服务器，然后再由RADIUS服务器中内置的代理软件转发到认证服务器进行认证，最后将认证结果返回给网络设备。VPN管理子系统利用华为VPNManager（QuidViewVDM组件）提供的VPN管理功能，对VPN网络实现方便快捷的网络管理。QuidViewVDM组

20、件，以用户实际配置任务为驱动，提供IPSecVPN业务配置向导，指导用户进行IPSecVPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSecVPN设备，而无需进行过多配置及软件使用学习。为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备

21、的特殊配置。图1QuidViewVDM组件配置利用QuidView提供的解决方案可以轻易实现对于VPN网络的信息监视。QuidViewNMF框架可以打开IPSecVPN的全网拓扑图，可以在IPSecVPN视图中直观显示全网设备及设备的运行状态。QuidViewVMM组件可以有效监视IPSec设备的运行性能，提供丰富的性能管理功能。包括支持对IPSecVPN网关CPU利用率等关键指标的监视；支持对IPSec、IKE隧道的监视；支持对协商过程的监视；并提供折线图、直方图、饼图等多种显示方式直观的把VPN性能数据显示给用户；支持AtaGlance、TopN功能，使用户能够对CPU利用率、流量等关键指

22、标一目了然；提供报表导出和基于历史数据的分析，为用户网络扩容、及早发现网络隐患提供保障；支持对用户关心的性能参数设定阈值，当超过设定的阈值后，系统将会发送性能告警，使网络管理人员及时发现和消除网络中的隐患。Quidview平均值18.243650793650794系统国资源管理操作日志也）设备升级管理9）性能监视窗口帮助化0资源安全|凰rootQuidview平均值18.243650793650794系统国资源管理操作日志也）设备升级管理9）性能监视窗口帮助化0资源安全|畛VPN视圉0自定文视圉Qsysadm(1.固R2501(2)|R2501E(3)Jg|R4001-1(9)固R2509(4

23、)Jg|R4001-2(0)Jg|sysadm(7)Jg|R4001E(2606)(-02(2)Jg|sysadm()Router(8)Jg|R2631E(8/接口:EthernetO/23Eh.1.3.3/接口:EthernetO/2412.161111111111108图/接口:EthernetO/23Eh.1.3.3/接口:EthernetO/2412.161111111111108华为3Com移动办公解决方案特点移动办公用户通过Internet接入企业VPN,不受到接入手段及地理位置的任何限制，提供最大限度的灵活性。多种容量可供选择，单个安全网关并发200010K用户，加密处理能力40

24、M300Mbps，实现多个L2TP用户安全隔离，与MPLSVPN网络无缝结合。完善的加密体系，采用IPSec对网络通道进行可靠的安全加密保障传输的安全性。加密协议支持DES、3DES、AES（SECPATH系列安全网关提供）完善的认证计费体系，和静态密码、RSASecurlD令牌卡、SecKeyUSBToken等密码认证方式。高可靠性，电信级接入服务，关键部件及网络采用高可靠性设计低成本，高的性能价格比。可管理性强。多种移动办公解决方案比较VPDN使用方式VPN移动办公解决方案传统拨号方式安全性只能实现VPDN服务器接入点到远端专线落地点间的数据加密，不能实现“端一端”安全；而且加密在运营商内实