中国移动NortelContivity1700VPN产品

zmn1211
3 ℃
2017-08-03

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

密级：文档编号：项目代号：中国移动NortelContivity1700VPN产品安全配置手册Version1.1中国移动通信有限公司二零零四年十二月山东移动统一信息平台：VPN安全配置手册第页共26页2拟制:审核:批准:会签:标准化:山东移动统一信息平台：VPN安全配置手册第页共26页4版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系山东移动统一信息平台：VPN安全配置手册第页共26页5目录目录............................................................5第一章VPN概述...................................................61.1简介.................................................................................................................................61.2分类及其工作原理.........................................................................................................61.2.1AccessVPN.....................................................................................错误!未定义书签。1.2.2IntranetVPN.................................................................................错误!未定义书签。1.2.3ExtranetVPN.................................................................................错误!未定义书签。1.3功能与定位.....................................................................................................................61.4特点与局限性.................................................................................................................81.4.1VPN的优点......................................................................................................................81.4.2VPN的局限性..................................................................................................................9第二章VPN适用环境及部署原则.................................122.1适用环境.......................................................................................................................122.2安全部署原则...............................................................................................................122.2.1安全性...........................................................................................................................122.2.2网络优化.......................................................................................................................132.2.3VPN管理........................................................................................................................14第三章VPN的安全管理与配置...................................164.1服务器安全策略...........................................................................................................164.2日志审计及控制...........................................................................................................164.3密码策略管理...............................................................................................................164.4主要配置说明...............................................................................................................17第四章技术规范－特性及功能....................错误!未定义书签。第五章系统报告................................错误!未定义书签。山东移动统一信息平台：VPN安全配置手册第页共26页6第一章ContivityVPN概述1.1简介ContivityVPN可以在因特网上建立安全连接，提供路由、VPN、防火墙、带宽管理、加密、鉴权和数据完整性功能。ContivityVPN可以连接远程用户、分支机构、供应商和客户，同时利用公共网络的成本和性能优势且具备专用网络的安全性和控制优势。1.2分类及其工作原理由于目前出差办公用户的的日益增多，远程用户需要及时地访问Intranet和Extranet。所采用的ContivityVPN实现AccessVPN的功能，即，对于出差流动员工，AccessVPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在AccessVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。AccessVPN方案采用的是用户发起（Client-initiated）的VPN连接。用户发起的VPN连接指的是以下这种情况：首先，远程用户通过服务提供点（POP）拨入Internet，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。1.3功能与定位1.3.1所需功能需要提供内部信息安全访问通道，为内部工作人员及经常外出的工作人员提供信息传递及信息查询。使用人员预计数千名员工，其中有部分员工需要经常在公司外部进行移动办公。这些移动办公人员使用本机通过Internet，访问山东移动统一信息平台：VPN安全配置手册第页共26页7该企业的Web服务器，从而实现信息交互业务。1.3.2ContivityVPN功能ContivityVPN1700所提供的主要功能如下：经济高效地将基于IP的远程接入扩展到需要500条隧道的位置。单种设备可用作IP接入路由器、专用VPN设备或防火墙。小巧的低成本产品可提供高端Contivity软件和管理性能。支持隧道流量和非隧道流量的动态路由和负载平衡、先进的服务质量(QoS)和带宽管理性能。可使用ContivityConfigurationManager、Web浏览器或命令行界面，通过安全的加密互联网隧道，进行集中式管理。1.3.3方案定位由于移动办公用户需要通过拨号（或其他设备）接入Internet，访问该企业的Web服务器，实现信息交互。由于Internet的广泛性和开放性，给该企业的系统应用带来了很多安全隐患，给系统提出了信息加密传输、登陆身份认证需求。如果使用“用户名＋密码”的方法验证移动用户的身份，在先进技术发展的背景下会存在诸多安全隐患：首先，用户可能具有多个应用系统的访问帐号，随着时间的推移，用户大多都无法记住自己在每个应用系统的用户名和密码，从而导致了系统管理员的维护工作大大增加。用户不断埋怨，工作人员工作压力越来越大。其次，用户名和密码在网上传输中很容易被窃取，现在已经有很多黑客软件，例如各种版本的网络嗅探器，通过网络监听就很容易截取用户名和密码。另外，用户设置的用户名和密码都有一些个人习惯，密码往往是和自己有关系的单词或数字，很容易被别人猜出。移动办公人员通过互联网传递信息，由于互联网传输协议的开放性，使得传输的信息非常容易遭到窃听、截获、篡改等安全威胁。因此，需要采用有加密传输与身份认证结合的安全机制，实现对访问用户山东移动统一信息平台：VPN安全配置手册第页共26页8的身份验、传输信道加密，确保身份真实的用户能够安全的访问系统、放心的传输数据。1.4ContivityVPN特点与局限性1.4.1易于部署和管理ContivityVPN交换机具有全面的特性，可用于构建高性能、可扩展、安全的VPN接入。ContivityVPN交换机易于在企业站点部署，可以支持多种接口，可以与现有的网络组件(如路由器、防火墙、服务器)互操作。它具有一个功能强大的综合管理系统，可以在下列方面提供有效的VPN业务管理：•故障管理(如告警监视器、历史故障浏览器、故障顾问)•性能管理•记帐界面•设置•创建和监控业务级别协议•创建和监控业务级别协议借助综合管理系统，服务供应商和企业可以轻松地大批量设置交换机。1.4.2支持目录的安全联网ContivityVPN交换机只接受通过经过鉴权的隧道化连接传输的入局业务。所有连接均进行加密，以保证私密性，而且所有交易均被记录。每条用户、小组或分支机构连接(内部或外部)均可以拥有独特的过滤信息档案，并享有不同的接入权限。1.4.3集成式防火墙保护网络中心、分支机构或远端的ContivityVPN交换机可以与高性能的Contivity状态防火墙集成。山东移动统一信息平台：VPN安全配置手册第页共26页9每个用户或小组特有的过滤信息档案可以对所有连接进行鉴权和加密，并提供进一步的保护。此外，还可以利用Entrust和VeriSign在整个生命周期内提供的数字证书鉴权。1.4.4广泛的客户机支持ContivityVPNIPSec客户机免费提供，同时还包括一个不受限制的分销许可证。该客户机可以定制以增加特殊图标和标记，而且受口令保护，可以实现双因子认证，以进一步提高安全性。1.4.5ContivityVPN方案的局限性ContivityVPN产品同时支持IPSec与SSL两种加密协议。但是两种加密协议都各有利弊。在设计上，IPSecVPN是一种基础设施性质的安全技