《JuniperSSLVPN远程安全接入解决方案.doc》由会员分享,可在线阅读,更多相关《JuniperSSLVPN远程安全接入解决方案.doc(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Juniper SSL VPN 远程安全接入解决方案Juniper Networks目 录一、安全接入技术的选择3二、方案建议32.1 系统特性52.2 IVE系统对安全的控制72.3 网络管理员如何实施和管理IVE系统82.4 系统扩展性和高可用性92.5 员工和合作伙伴利用IVE系统轻松访问相应的应用和资源102.6 IVE系统设备型号选择10三、总结11四、成功案例11五、市场占有率:12六、荣获奖项12七、演示站点13一、安全接入技术的选择随着信息技术的快速发展,为了提高服务的质量和水平、在市场竞争中取得优势,企业建立了内部局域网,使内部办公人员通过网络可以迅速地获取信息。然而,随着个
2、人电脑和互联网应用技术的普及,“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及,同时合作伙伴的人员也希望能访问到相应的信息资源,企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求,为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而,要享受通过互联网访问企业内部的信息资源的便利,就需要实施适当的信息安全策略,在严格防止企业信息资源被非法窃取的同时,对合法的访问要提供方便,同时还需尽量降低信息安全策略的实施和维护成本。企业通过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:一种
3、是IPsec VPN,另一种是SSL VPN。两种技术在不同领域各有其优势,我们建议:在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时,采用IPsec技术;在实施普通应用的移动用户接入VPN时,采用SSL技术,原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低,而且由于SSL VPN不是打开一个网络层通道,而只是提供了联系应用层请求的固化网络接口,所以提高了与VPN相关的整个系统的安全性。SSL和IPsec技术的详细比较请参考SSL vs. IPSec一文。在本方案中,我们建议根据具体的网络需求,灵活结合两种流行VPN
4、。当然,因为目前的需求仅仅是总体建议,还需要针对更具体的网络情况进行调整。二、方案建议安全协议安全套接层(SSL)技术是一项在互联网上广泛实施的标准安全协议,全面支持认证和加密,所有标准web浏览器都支持SSL。基于贵公司的安全接入模式以移动办公用户远程访问为主,我们建议主要采用SSL VPN方案,对于一些特殊的应用和特殊的用户环境,辅助以IPSec VPN。NetScreen SA 系列的远程接入产品是广受好评的SSL VPN产品,采用的是Instant Virtual Extranet(IVE)的系统平台,客户只要有标准的web浏览器,无需进行任何部署或安装硬件、软件客户端设备,也无需对内
5、部服务器进行任何修改,没有地址翻译穿越的影响,也不受私有地址冲突的影响,而且几乎不需要任何后期维护,所以可以方便地让用户安全地接入网络。建议在贵公司实施的SSL VPN安全接入的网络拓扑示范图如下:设备采用双层保护,防火墙实现基本DoS保护、策略过滤,以及IPSec VPN功能。SA设备则实现SSL VPN,进行应用层保护过滤和接入。对于核心的基于WEB的应用,如内部邮件、办公应用系统等,NetScreen SA产品提供全面的服务。包括ActiveX、Java、JavaScript、PHP等,支持的全面性、灵活性远远超过我们的竞争对手。并且在安全策略上实施的是应用层面的安全策略,可以比IPse
6、c更加细化;由于NetScreen SA 系列的远程接入产品是坚固可靠的应用层网关,采用应用层面的安全策略后,内部的应用服务器可以得到有效保护,而不必将服务器的第4层端口完全暴露给外部;前端的防火墙上只需配置打开tcp SSL端口的策略即可。除了对web和email等应用的支持外,NetScreen SA对非web的许多客户端/服务器应用也提供很好的支持,所以采用NetScreen SA系列的远程接入产品实施SSL VPN来实现远程接入被许多国际著名企业(如花旗银行、德意志银行)采用。对贵公司来说,最常用的应用包括Outlook等系列软件,NetScreen IVE虽然将这些应用转化为SSL标
7、准数据流,但并不影响这些应用,例如,文件仍然可以下载到本地。对于绝大多数的C/S应用,例如Passive模式FTP、贵公司独立开发的TCP特殊应用、数据库远程连接等,NetScreen SA是透明支持的。对于许多常用的C/S应用,如Telnet/SSH和Citrix等,NetScreen SA都已经将这些应用的支持固化在核心WEB应用当中,用户无需再定义可直接使用。NetScreen支持广泛的文件共享,Unix和Windows,并且支持中文共享。对于特殊的应用,特别是那些需要更底层通讯功能的协议,NetScreen SA还提供了Network Connect功能,相当于三层的通道,适用于几乎所
8、有的IP层协议应用。例如Active模式的FTP,流媒体应用等。中心点按照我们的建议已经放置了支持IPSec VPN的防火墙,可以建立到分支点出口防火墙的VPN,以及PC拨号Dialup VPN。NetScreen SA设备支持HA功能。配合流量负载设备,NetScreen SA支持active-active的HA方式,不仅可以实现备份功能,更可以扩大容量,实现流量分担。同时,NetScreen-SA 系列的远程接入产品可以强制对远程用户的安装防火墙及防病毒软件做出要求。NetScreen IVE系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合,如Sygate Enforcement
9、 API、Sygate Security Agent、Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、McAfee Desktop Firewall、InfoExpress CyberGatekeeper Agent等,用户只需要用鼠标选择一些选项便可完成。而且用户还可以自行定义强制检查其它的运行程序或windows注册表项目。NetScreen SA 系列的远程接入产品获得的奖项包括PC杂志的2003年最佳网络奖,网络世界SSL VPN 网关评测中获得评分最高的世界级产品奖,和网络计算杂志的编辑选择奖。IVE系统的设计和开发被安全保障公司和顾
10、问TruSecure所审查和验证,TruSecure是世界级Internet互联安全保障解决方案的领先者,为NetScreen IVE硬件系统发布了一个安全保障声明。Dan Farmer,令人尊重的安全顾问和SATAN(Secuirty Administrator Tool for Analyzing Networks)的作者,以及Cryptography Research,SSL 3.0的设计者之一,也对NetScreen IVE系统进行了审查和验证。2.1 系统特性为了从根本上简化安全远程访问,NetScreen的IVE系统按以下目标进行架构和设计: l 运行平台必须抵御针对安全、设备与系
11、统软件集成方面的攻击。为了满足该目标,系统被固化,核心层对流量进行数据包级过滤。l 运行平台必须抵御针对机密性和所有通过IVE系统的数据集成方面的攻击。为了满足该目标,系统使用SSL在本地文件系统上存储加密的信息。l 系统必须能够通过简单的基于Web的管理控制台在几小时内进行实施。为了满足该目标,IVE系统进行大量的预先配制工作,管理员只需要进行少量的系统和网络配置就可以完成IVE系统的实施。l 系统必须提供给客户与直接访问公司内部网相同的访问能力。为了满足该目标,系统使用NetScreen代理引擎来透明地向远程用户发送资源。l 系统必须具有可靠性和可扩展性,能够扩展到多个硬件系统。为了满足该
12、目标,系统支持集群系统,集群中的多个系统提供故障恢复能力、性能扩展能力,并且支持主备或双主动模式。NetScreen 的IVE系统可以支持广泛的企业应用,包括:1、 基于Web的各项应用,包括浏览企业内网、访问基于web的outlook和iNotes;2、 基于Microsoft Exchange和Lotus Notes邮件系统、以及其他基于IMAP4、POP3和SMTP的标准的邮件应用;3、 对于文件服务器的文件及目录共享控制提供支持,方便用户上传、下传文件;4、 Telnet/SSH;5、 对大多数cient/server应用提供支持; 6、 网络全连接方式(即PC的全部流量都可以通过SS
13、L VPN到达企业内网); 7、 个人防火墙/防病毒软件等强制性检查;8、 对于来自非安全设备或临时访问设备(如网吧)的访问,强制cache清除。NetScreen IVE系统支持的接入安全控制的细化包括:1、 动态认证策略:可以通过多种要素对用户身份进行认证,包括提供身份前检查和提供身份后检查,其中提供身份前检查的内容可包括:源地址、网络接口(内/外)、证书、节点安全(包括主机检查和缓存清除)、浏览器的user agent、登录的URL、SSL版本和加密级别;提供身份后检查的内容可包括:身份确定、证书特性、密码长度、同时登录用户数、目录服务密码;2、 角色定义和策略匹配:管理员可以定义用户属
14、于一个或多个角色,对不同角色提供不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问;3、 资源访问策略:对于不同的应用资源,管理员可以提供不同的访问策略,作为第三层的访问控制手段;NetScreen IVE系统支持数字证书的使用,支持多种认证服务器(包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证,包括ActivCard ActivPack、RSA SecurID和Secure Computing SafeWord PremierAcces
15、s以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/Active Directory的用户组的特性,方便管理员定义策略。此外,还支持一次登录访问多个需认证的应用的功能(基于cookie的认证),为远程安全接入用户提供方便。2.2 IVE系统对安全的控制1) 硬件平台和加固的操作系统IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。系统可以通过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性。IVE系统不运行通常的用户和程序服务,因此不
16、会导致针对这些服务的攻击。IVE系统不允许管理员创建、维护系统级的用户帐号。因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。2) 流量监控和过滤IVE使用核心级包过滤模块来监控系统所收到的包,并决定是接受或拒绝该流量。该特性使得系统使用预定义的控制网络流量规则组,在接受之前在不同阶段对流量进行验证。包过滤限制了流量从本系统到想要连接的系统。3) 数据的完整性和机密性IVE使用世界范围的Internet安全标准协议:Secure Sockets Layer (SSL)。SSL在Web浏览器和IVE系统之间提供一个安全的通
17、道。SSL有效地阻止了人为的服务器欺骗和数据完整性的攻击,因为:所有通讯采用128位密钥加密系统通过证书进行认证IVE也可选来支持客户端证书,它可以通过基于X.509的证书对用户进行鉴别。SSL对系统之间的交换数据的完整性和机密性的保护,确保任何未经授权访问的发生。4) 用户鉴别和认证IVE系统集成了领先的认证系统,包括双因子系统和客户端证书系统。通过一个合法的证书,用户可以发起一个会话。每个到系统的子请求根据该会话进行认证,系统对非法登录请求的频率进行限制,防止字典攻击。如果用户信息是合法的,系统产生一个认证令牌。通过Web请求,该令牌被保存在一个加密的会话Cookie中。因为系统使用HTT
18、PS和SSL对传送的数据进行加密,在这过程中会话不可能被劫取。5) 审计系统产生细化的日志,该日志存储在本地,系统也可以将这些信息发送到SYSLOG服务器。系统管理员可以通过用系统的日志管理器或外部的SYSLOG服务器审计的资源或应用程序对单一用户的访问采取一些操作。6) 文件系统和I/O所有存储在设备上的数据使用AES进行加密,只有NetScreen的系统软件可以读取存储的加密数据。更进一步讲,用户和管理员不能替换任意的可执行文件,他们也无法拥有系统级的帐号,因此,黑客无法针对系统进行权限升级的攻击。系统本身的安全性远远高于我们的竞争对手。2.3 网络管理员如何实施和管理IVE系统 传统VP
19、N或客户Extranet的实施需要在服务器和客户端软件上投入大量的资金,IT人员需要耗费大量的时间在系统的实施和后续的支持和维护上。实施NetScreen安全接入则非常简单:安装硬件系统将系统连接到网络上,并定义一些系统设置将该服务发布给公司员工、客户和或合作伙伴 通过NetScreen管理员控制台包括几个基于Web的应用程序来简单的管理IVE系统,你可以用标准Web浏览器访问应用程序: 系统管理器显示当前系统的状态,管理员可以远程地重新启动或关闭IVE系统,该工具也支持用户许可管理、系统升级管理和基于NTP服务器的时间管理。 配置管理器支持系统配置的输入输出,管理员可以存储以前的配置或移植一
20、个配置到另外的系统上。 用户和组管理器管理员可以查看和管理系统用户组和修改会话属性,也可以在系统范围内或组对组的基础上设置IVE的“bookmarks”。 访问控制列表管理器使管理员可以基于用户组的方式建立集中访问控制权限,提供对服务器上、文件共享或URL级别的资源访问控制。 日志管理器管理员可以实时查看日志信息或SYSLOG服务器的信息 用户界面客户化管理器管理员可以客户化用户界面,使得该界面匹配公司的Logo、颜色和启用和关闭最终用户的应用程序。 证书管理器简单的Web服务器证书和客户端证书管理NetScreen SA系列的远程安全接入产品提供非常详细的审计和日志功能,几乎用户的每个点击都
21、可被记录,其内容包括:用户登录/退出、传递数据流量、用户文件访问请求(上传/下传)、浏览网页情况等等,并可通过定义过滤器设置的方式将日志导出,方便管理员审计。2.4 系统扩展性和高可用性在选择产品型号时,考虑的因素包括并发用户数、网络的应用的复杂程度和实际流量,其中并发用户数是一个最主要的指标。由于NetScreen IVE系统无需客户端,所以无需考虑客户端软件的费用。高可用性方面,可以通过两台NS-SA设备实现状态保持下的主/备切换,也可通过第三方的负载均衡器来实现双主动。0 高可用性解决方案实现故障切换和最佳性能,系统对端可以同步: 系统状态 用户档案状态 会话状态 群集对多站点群集对LA
22、N上的主动/主动配置选项WAN上的主动/被动配置选项2.5 员工和合作伙伴利用IVE系统轻松访问相应的应用和资源任何熟悉浏览器的用户无需任何特殊的培训就可以使用IVE系统。用户登录后就可以访问电子邮件、文件服务器和Web资源。认证和启用一个IVE会话之后,用户可以访问通过访问控制列表和基于组权限的资源。系统以安全方式存储了用户的认证信息使得用户无需登录多次,用户就可以使用浏览器、标准的电子邮件客户端、私有的信息应用程序或其他客户端访问所需要的资源。1) 访问Web应用、Intranet Web站点、文件服务器和Telnet/SSH为了访问文件和Web资源,用户可以连接到IVE系统通过以下方式来
23、实现:a) 启动具有Internet连接的Web浏览器b) 浏览网络管理员定义的安全的URL资源c) 登录到系统d) 浏览IVE主页上提供的资源,用户可以自己定制URL书签和文件服务器。2) 使用IVE访问信息服务器和客户端服务器应用为了访问这些服务器,用户可以登录到IVE并启动会话,当用户被认证通过,IVE自动启动安全应用管理器(SAM),该管理器可以通过SSL作为网关连接内部应用。对于telnet和SSH,它可以用作终端仿真器。对于信息和客户端服务器应用,它可以用作基于Java或Windows的应用代理,SAM在SSL中封装流量,客户端和内部服务器通过IVE系统建立安全的连接和通讯。IVE
24、系统可以使远程用户在不安装任何客户端软件和修改任何配置的条件下,透过Internet提供对现有应用和服务器的安全访问。 2.6 IVE系统设备型号选择NetScreen提供以下基于IVE系统平台的安全接入产品线:l RA 500: 为中小型企业提供最佳性价比的远程安全解决方案,减少传统VPN的管理负担。l SA 1000: 为中小型企业提供最佳性价比的远程安全解决方案,减少传统VPN的管理负担。l SA 3000: 提供企业级的安全访问、授权、最佳性价比的安全访问解决方案,提供对不同用户组的访问控制能力。l SA 5000: 提供性能卓越的扩展性和高可用性,包括硬件SSL加速和压缩,最大限度地
25、满足企业安全访问和授权的需求。三、总结采用NetScreen 基于IVE 系统的远程安全接入产品避免了复杂的客户端软件的安装、配置和维护,实施的是基于应用和资源访问权限的细化的应用访问策略,内网的服务器受NetScreen IVE系统的保护而不直接暴露给用户,既提高了安全性,又降低了总体拥有成本。四、成功案例l 金融行业:China Everbright Bank、Fidelity、Morgan Stanley、Merrill Lynch、Citigroup、Deutsche Bank、Marsh、UBS PainWebber等l 高科技:Tom、AMD、Intel、Bea、Borland、P
26、alm等l 政府:Beijing Sinopec、National Aeronautics and Space Administration、US Department of Energy等l 电信:NTT Communications、INET等l 制造: 3M、Bayer、长春一汽、南方电网、Kyocera、Powerchip semiconductor(Taiwan) 等l 综合:GE、Fujitsu、Cap Gemini等l 其他:McDonalds、ESPN等五、市场占有率:六、荣获奖项 Info World test Award Network World World Class award Network Computing Editors choice: 510&pgno=4 InfoWorld Test Award PC Magazine Editors choice PC Magazine First Look七、演示站点