1第一章SSLVPN接入解决方案根据******移动用户接入实际情况,我们采用华盾SSLVPN系列产品提供整体网络安全互联解决方案,解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。1.1VPN解决方案SSLVPN配置方案如下描述:1.在总部Internet出口处安装华盾VPN280SSL安全网关,其接入方式为采用路由模式。另外,还可以在SSLVPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能,根据实际需要设置各个功能模块的具体安全防护策略,以确保中心本地网络免受各种外来威胁。华盾VPN280SSL网关最大可支持2000并发用户,完全满足目前应用及以后扩展的需求;2.在网关上根据不同用户的划分可以对用户进行角色和组的权限设定,这种设定可以细致的划分每一个用户的访问权限,即可指定某用户在指定时间访问指定服务器的指定端口,从而保证了内网服务器的安全性;同时,为了保护内网服务器的安全,管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器,这样进一步对内网进行防护;3.移动用户要访问内网服务器时,仅需打开浏览器,输入公开的服务器地址及自己的用户名口令(或者直接用证书的形式访问,免除输入用户名口令的麻烦),即可访问授权的内部资源,由于各种访问资源的权限已经由管理员设定好,用户可以直接点击资源连接进行访问;4.对于管理员的操作及用户的访问,华盾VPN网关提供详细的日志查询功能(包括管理员、用户及服务器),可以很容易的看到各种状态。还可以在线管理(禁用,踢下线)用户,日志为标准Syslog格式,可导入其他日志查看器查看。5.使用华盾SSLVPN实现的远程接入如下图所示:2图4.1SSLVPN网络结构通过部署华盾SSLVPN设备组建的企业移动办公网络,网络结构简单,维护成本低,用户只需使用浏览器就可以做到安全的连接网络,并能针对不同的用户,给予不同的应用权限。因此通过华盾SSLVPN很好的解决了“随时随地”的网络资源安全共享的需求。1.1华盾IPSec/SSLVPN一体化安全网关主要功能功能类别描述SSLVPN提供远程安全接入功能,通过通用浏览器登录,即可访问内部网络资源3无需安装和配置客户端支持SSL2.0/3.0/TLS1.0协议,支持多种标准算法选择支持Web转发、端口转发、全网接入、Web文件共享支持“用户名+口令”、“用户名+口令+图形认证码”认证支持数字证书+UKEY+口令多因子认证支持X.509数字证书认证,内置CA中心,支持第三方CA支持帐户启用和禁止管理,支持公共帐户登录支持本地数据库认证(Localdb)支持基于RADIUS/AD/LDAP/SecureID等协议的外部服务器认证支持分组授权、支持独立用户授权和授权继承支持基于URL、访问路径、访问文件、访问动作的细粒度授权支持基于时间的访问授权方式支持本地授权、支持外部组映射授权、支持证书用户授权支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用支持基于IP协议的各种B/S、C/S应用,如WEB、EMAIL,FTP,ERP,CRM,Oracle,OA,文件共享,VOIP及视频点播等支持端点安全策略,接入客户端能够清除cookie、缓存、历史记录等访问痕迹,支持隧道内的内容过滤和病毒过滤支持拔KEY隧道自动中断支持用户超时自动退出,超时时间可以设置实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种信息,管理员可强制中断在线用户的隧道连接支持本地日志和外部日志服务器,详细记录用户登录认证过程、各种认证授权错误、内网资源访问情况、访问流量等信息防火墙基于状态检测的动态包过滤防火墙,支持完全内容检测CCI支持基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间、用户、角色的访问控制策略支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、TFTP等协议支持报文合法性检查支持双向NAT支持动态地址转换和静态地址转换支持多对一、一对多和一对一等多种方式的地址转换支持虚拟防火墙,支持虚拟服务器功能支持IP/MAC绑定,支持IP/MAC地址自动探测IPSecVPN符合国家密码管理政策,支持国家密码管理机构批准的高强度专用算法,支持国际标准加密算法全面支持IPSec协议标准支持标准PKI体系结构,支持预共享密钥、数字证书的身份认证,支持X.509标准证书提供完善的VPN网络安全管理中心(SMC),支持集中认证、策略分发、权限管理、统一监控和日志报警等功能4支持最新NAT穿越(NATT)协议,支持双向NAT穿越支持隧道数据压缩支持星型、树型和网状VPN组网方式支持全动态IP地址的VPN组网方案支持动态域名解析(DDNS),提供VPN专用DDNS服务器支持PPTP、L2TP和GRE隧道协议集成华盾VPN动态隧道技术,与华盾VPN网关、安全管理中心SMC、VPN客户端全面兼容灵活易用的VPN客户端,支持硬件特征码绑定和认证,提供6个不同安全等级的版本,可根据不同安全需求限定客户端的版本支持移动用户的访问授权控制内容过滤采用完全内容检测(CompleteContentInspection)技术支持IPSEC/SSLVPN隧道内的内容过滤支持基于流、数据包、透明代理的过滤方式支持对HTTP、SMTP、POP3、FTP、IMAP、RSH等协议的深度内容过滤,可以根据需要过滤对敏感内容的访问支持URL过滤,可以根据需要过滤对敏感页面的访问支持对移动代码如JavaApplet、Active-X、VBScript、JScript、JavaScript的过滤支持对邮件的收发地址以及附件的文件名、文件类型过滤支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER和版本信息。支持MSN,QQ,Skype、YahooMSG、网易泡泡、新浪UC、阿里旺旺等InstantMessenger通信,并可对这些应用进行限制可对BT,eMule,eDonkey、PPLive、PPStream、迅雷、超级旋风等P2P应用实现禁止、带宽控制或连接数限制,保障正常业务访问的带宽。入侵防御可防御Synflood、Icmpflood、Udpflood、Portscan、ipsweep、land、Smurf、PingofDeath、winnuke、tcp_scan、ip_option、teardrop、targa3、ipspoof等攻击支持抗CC攻击,可通过设置端口和阀值阻断CC攻击可与国内主流的IDS设备联动,以提高入侵检测效率可根据数据包的来源和特征进行阻断设置SYN代理:对来自定义区域的SynFlood攻击行为进行阻断过滤当有攻击事件发生时,可记录日志并开启报警功能流量管理根据IP、协议、网络接口、时间定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理支持8级优先级控制支持VPN隧道内的带宽管理QOS高可用性支持双机热备(Active-Standby模式)支持负载均衡(Active-Active模式)5支持系统故障切换支持服务器的负载均衡,提供轮询、加权轮叫、最少连接、加权最少连接等多种负载均衡方式供用户选择支持生成树协议,可实现链路负载均衡支持链路备份功能支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用支持Watchdog功能用户认证支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecurID)以及数字证书(CA)等常用的安全认证方式支持使用第三方认证服务器,如RADIUS、TACACS/TACACS+、LDAP、AD域认证等安全认证方式,支持OCSP在线证书认证支持Session认证、HTTP会话认证支持认证保活功能可将认证用户信息加密存放在本地数据库网络功能支持路由、透明、混合模式支持静态路由、动态路由支持基于源/目的地址、接口、Metric的策略路由支持单臂路由,可以单臂模式接入网络,并提供路由转发支持Vlan路由,能在不同的VLAN虚接口间实现路由支持RIP、OSPF等路由协议支持IGMP组播协议支持IGMPSNOOPING可有效地实现视频会议等多媒体应用支持与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备传播路由支持802.1Q,能进行802.1Q的封装和解封支持ISL,能进行ISL的封装和解封在同一个Vlan内能进行二层交换支持802.1D生成树协议,包括PVST及CST等协议支持ARP代理、ARP学习可设置静态ARP支持对非IP协议IPX/NetBEUI的传输与控制支持DHCPClient、DHCPRelay、DHCPServer支持以太网、光纤、ADSL、CDMA、GPRS等多种接入方式支持多线路捆绑和负载均衡安全管理支持Welf、Syslog等多种日志格式的输出支持通过第三方软件来查看日志支持日志分级支持对接收到的日志进行缓冲存储通过安全审计系统,可获得更详尽的日志分析、审计和报表功能,并能提供员工上网行为管理功能支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状6况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测可根据配置文件进行错误恢复报警事件:内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类报警方式:采用邮件、NETBIOS、声音、SNMP、控制台等多种报警方式,报警方式可以组合使用系统管理支持WEBUI管理、命令行配置支持本地配置、远程配置支持基于SSH、SSL的安全配置支持配置命令分级保护支持CLI中英文命令行CLI命令行支持命令超时、历史命令、命令补齐、错误提示、中英文命令帮助等功能支持SNMP的v1、v2、v2c、v3版本与当前通用的网络管理平台兼容,如HPOpenview等支持远程维护和系统升级、支持TFTP、FTP、WEBUI方式升级设备提供强大的报文调试功能,可帮助管理员发现、调试和解决问题可以进行配置文件和认证数据库的备份、下载、删除、恢复和上载支持网络时钟协议NTP,可自动根据NTP服务器时钟调整本机时间1.2华盾VPN280SSL产品介绍1U机架式;标配4个百兆电口,2个扩展插槽,最大支持8个电口;SSL并发用户:标配50个,最大可扩展至2000个;最大IPSEC并发隧道数:500条;明文转发速率:单口100Mbps;最大并发连接数:100万;VPN加密速度:80Mbps1.3华盾SSLVPN网关产品特点1.3.1多种VPN技术有机融合目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围。在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台7不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。华盾SSLVPN网关是东方华盾在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在华盾安全操作系统平台强大的整合能力保障下,各种VPN模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台。1.3.2安全接入与安全防护无缝结合VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,对用户网络边界安全也是至关重要的。华盾SSLVPN网关构建在华盾安全操作系统平台基础上,集成了业内领先的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护。华盾SSLVPN网关支持完善的基于内容检测的网络访问控制。内容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(StatusInspection)到后来的深度包检测(DeepPacketInspection),现在已经发展到了最新的完全内容检测(CCI,Comple