《方正VPN系统技术白皮书862.pdf》由会员分享,可在线阅读,更多相关《方正VPN系统技术白皮书862.pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 方正 VPN 系统 产品技术白皮书 方正信息安全技术有限公司 Founder Information Security Technology Co.,Ltd.二零一一年一月 版权信息 方正 VPN 产品技术白皮书 版权所有20042010,方正信息安全技术有限公司 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均归方正信息安全技术有限公司所有,受国家有关产权及版权法保护。任何个人、机构未经方正信息安全技术有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。第三方信息 本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。联系我们:方
2、正信息安全技术有限公司 地址:北京市海淀区中关村北大街 128 号 邮编:100080 电话:(86)10-82532888 传真:(86)10-82532712 网址:http:/ 方正 VPN 产品技术白皮书 目录 一、产品定义.4 二 前言.4 三、产品特点.5 3.1 多合一 VPN.5 3.2 强大的防火墙功能.5 3.3 安全接入与安全防护无缝结合.6 3.4 完善的 PKI/CA 支持.6 3.5 智能应用封装.6 3.6 强大的网络及应用环境适应能力.6 3.7 广泛应用的轻松支持.6 3.8 灵活的 Site-to-Site 拓扑接入.6 3.9 SSL VPN 对多种软件平
3、台的支持.7 3.10 灵活的 SSL VPN 客户端软件.7 3.11 灵活的资源访问控制.7 3.12 完善的身份认证技术.7 3.13 高可靠性.7 四、VPN 组网模式.8 方正 VPN 产品技术白皮书 本手册相关词汇的定义、说明:企业:广义上的企业,包括军队、政府、金融、电力、通信、交通、教育、流通、制造等等组织、机构。IPSec VPNs:采用 IPSec VPN 技术实现的 VPN 产品。SSL VPNs:采用 SSL VPN 技术实现的 VPN 产品。Foundersec:方正安全的英文名、方正信息安全技术有限公司网站的英文域名。内网:企业建立的、私密的、较安全的局域网络。外网
4、:通常指 Internet 网络。客户端:需要接入企业局域网的远程桌面 PC、笔记本电脑、智能手机、PDA 等。一、产品定义 方正专业的 VPN 网关符合国密局最新制定的IPSEC/ssL VPN 技术规范,为用户基于因特网构建安全的虚拟专用网络而设计的系列产品形态。通 过 IPSec/SSL VPN 产品用户可以实现总部与各个分支机构、企业与合作伙伴、移动办公人员的远程接入等多种网络互联需求,同时对这些远程网络中传输的数据提供私密性、完整性等安全防护手段。二 前言 在信息化高度发展,电子商务、电子政务开始被企业和政府等行业普遍应用的今天,不同的分支机构之间、不同的信息系统之间有着非常迫切的联
5、网需求,如我们经常提到的ERP、CRM、SCM、OA、VOIP、视频等。所有的应用,无论是企业信息化应用,还是电子政务应用,都离不开一个基本前提:都要先建立一个可以安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络,传统的做法是采用电信提供的专线。例如 DDN、帧中继、MPLS 等,或者早期很多用户采用电话拨号的方式。一些特殊的行业,如金融、电力、铁路、政府等,他们对网络的可靠性、安全性有非常高的要求,一直以来都是采用物理专线的方式来连接地处不同位置的办公室、分支机构。但是对于大部分企业和很多政府机构来讲,无论在建设成本上还是后期维护上,要建立一个物理专网都是比较困难的。随着 Inte
6、rnet 的迅猛发展及 VPN 技术的出现,为企业、政府信息化应用提供了良机和更好的选择。VPN(Virtual Private Network,虚拟专用网)是利用公共网络资源来构建的虚拟专用网络,它是通过特殊设计的硬件或软件直接在共享网络中通过隧道、加密技术来保证用户数据的安全性,提供与专用网络一样的安全和功能保障。使得整个企业网络在逻辑上成为一个单独的透明内部网络,具 方正 VPN 产品技术白皮书 有安全性、可靠性和可管理性。IPSec VPN 网关在这样的应用背景下诞生。同时随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。据统计2003 年全美就有54%的雇员平时在家时
7、通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。而在中国,这种远程接入办公的趋势也同样越来越明显。过去,大多数公司都是使用传统的IPSec VPN 来解决远程接入的问题。但是IPSec VPN 最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。因此SSLVPN 技术就孕育而生了,SSLVPN 的突出优势在于Web 安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件 但SSL VPN 并不能完全取代IPSec VPN,这两种技术目前应用在不同
8、的领域,是可以进行互补的。SSL VPN 考虑的是单点接入网络,是应用在点对网结构的接入模式,特殊情况下会用到网关对网关模式;而IPSec VPN 是在两个局域网之间通过Internet 建立的安全连接,保护的是网对网之间的通信。所以我们在选择VPN 技术的时候应该根据实际的业务需求出发,选择某一种或者二合一的VPN 技术。基于此方正安全推出了功能强大的多合一的VPN设备,用户可以根据自己的实际情况灵活选择,这样既可以降低成本,又不需要掌握多个VPN的管理界面。三、产品特点 3.1 多合一 VPN 客户对 VPN 的需求呈现多样化,从对 L2TP VPN 一直到 SSL VPN 等都有多种选择
9、,在这种情况下方正 VPN 系列产品集成 SSL VPN,IPSEC VPN,PPTP VPN,L2TP VPN 于一体,并可同时应用多种 VPN 接入模式,方便用户选择。3.2 强大的防火墙功能 实践表明,在 VPN 产品里面必须具备严格的访问控制措施,这样才能保证整体有效的信息安全,作为传统的老安全厂商,在访问控制以及 VPN 技术方面有深厚的积累,因此方正 VPN 系列产品集成了强大的防火墙产品功能,为用户的 VPN 网络提供高等级的边界安全防护,通过智能 IP 识别技术,对 VPN 的数据流进行动态识别,快速准确的进行控制。在专业的 VPN 平台上,可以对未加密的数据和已加密的数据流能
10、进行五元组的访问控制,方便用户的选择。方正 VPN 产品技术白皮书 3.3 安全接入与安全防护无缝结合 方正 VPN 系列产品具有强大的安全防护功能,除了上述的防火墙功能外,还支持完善的基于内容检测和智能 IP 识别的网络访问控制、MAC 地址的过滤控制、各种网络应用控制、地址转换、入侵保护、入侵检测、病毒防护等多种高额附加值的安全功能。用户可以一键顺利的对 VPN 产品进行配置,同时也可以对应用层的攻击防护做规则设置,保证用户全方位的安全。3.4 完善的 PKI/CA 支持 方正安全 VPN 系统内置一个强大的 CA 中心,既能够通过内置的 CA 模块独立为移动用户签发数字证书,又能够通过导
11、入 CA 根证书CRL 列表方式对第三方 CA 签发的证书进行认证,同时还能够通过 OCSP/LDAP 等标准协议向第三方 CA 提交在线证书认真请求。方正安全与国内主要 CA厂商有着长期的合作,方正 VPN 多合一网关与这些厂商的 CA 系统均能够无缝集成。3.5 智能应用封装 方正安全 VPN 系列产品智能应用封装技术使远端工作或漫游工作等远程客户能够对企业网络进行 IP 接入,能够在应用层提供与应用无关的智能封装,解决了 WEB 应用以外的透明接入。3.6 强大的网络及应用环境适应能力 方正安全VPN系列产品支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1
12、Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC 等等,适用网络的范围非常广泛,充分保证了用户的网络的可用性。3.7 广泛应用的轻松支持 方正安全 VPN 系列产品不仅支持通常的 B/S 应用,也支持 C/S 应用,是一个适合各种应用的安全接入平台。3.8 灵活的 Site-to-Site 拓扑接入 方正安全 VPN 系列产品中的 IPSEC/SSL VPN 不仅仅支持客户端对网关模式,还创新实现了SSL VPN 的网关对网关模式,给用户提供组网上的灵活性,方便用户选择使用。方正 VPN 产品技术白皮书 3.9 SSL VPN 对多种软件
13、平台的支持 目前 SSL 已经成为网络中用来鉴别网站和网页浏览者身份,在浏览器使用者及 Web 服务器之间进行加密通信的全球化标准。SSL 协议已被集成到大部分的浏览器中,如 IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器的计算机都支持 SSL 连接。SSL VPN 的客户端基于 SSL协议,绝大多数的软件运行环境都可以作为 SSL VPN 客户端。3.10 灵活的 SSL VPN 客户端软件 在某些特殊应用中需要安装额外客户端软件的应用中,SSL VPN 提供了安装客户端软件的功能,退出 SSL VPN 时,还可以卸载并删除客户端软件,极大地方便了用户的使用。3.
14、11 灵活的资源访问控制 内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入,支持LDAP/AD、RADIUS 等第三方认证,可以根据用户、用户组、等多种方式对用户进行管理。管理员可根据角色、Web 资源、C/S 资源、IP 资源等权限划分方式,为远程接入用户分配细致的访问权限控制。3.12 完善的身份认证技术 方正安全 VPN系列产品为通过 SSL隧道接入的用户提供了完整的身份认证手段。除了支持“用户名口令”、“用户名口令证书”、“数字证书”等多种身份认证机制外,还支持通过RADIUS/TARCAS/LDAP 等标准协议与外部专用的用户身份认证管理系统进行互动,从而能够实现动态口
15、令认证、域认证等高级的认证方式。3.13 高可靠性 为了提高网络的高可靠性,保证用户业务的连续性,方正安全 VPN 系列产品支持多机集群,多机之间可以实现 AA 模式以及 AS 模式,独有的方正 VRRP 算法保证系统快速切换。方正 VPN 产品技术白皮书 四、VPN 组网模式 本章重点讨论 SSL VPN 的组网模式,对 IPSEC/PP2P/L2TP 的组网模式不再进行讨论,SSL VPN组网模式可以分为双臂模式和单臂模式,双臂模式是 vpn 设备串联在客户的网络上,对内网的资源进行保护,双臂模式可以提供对内网的完全保护,但是由于 SSL VPN 网关处在内网与外网通讯的关键路径上,其性能
16、和稳定性对内外网之间的数据传输有很大的影响,因此在购买 VPN 并确定是双臂部署时候,一定对客户的拓扑以及实际的网络流量进行准确的评估,选择一款性能满足客户需求的VPN 产品,双臂在不同场景下的部署模式如下:应用场景一:SSL VPN 作为企业的网络出口 应用场景二:SSL VPN 网关保护企业网内的重要服务器 以上是双臂模式的应用场景,单臂模式中 SSL VPN 网关相当于一台代理服务器,代理远程的请求,与内部服务器进行通信。此时 SSL VPN 网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得 SSL VPN 网关不能全面地保护企业内部的网络资源。应用场景如下所示: