VPN 移动办公解决方案模板

华为3ComVPN移动办公解决方案VPN移动办公解决方案华为3Com技术有限公司安全产品行销部田灼02059华为3ComVPN移动办公解决方案概述VPN(VirtualPrivateNetwork，虚拟专用网)，是构建在公网Internet之上的逻辑网络，通过在两台网关设备之间建立一条虚拟专用连接进行数据传输。对用户来说，感觉到的是专有网络的服务。VPN技术正促使企业网络无限延展，使异地分支机构实现同步办公，移动用户安全接入企业网络已经变成现实。华为3Com移动办公解决方案通过采用IPSecVPN方式，实现了用低成本，高安全性的方式，使企业员工在移动办公期间接入公司内部网络的需求。VPN移动办公解决方案工作流程：移动办公用户客户端上安装华为“SecPoint”VPN拨号软件，用户首先联入Internet，然后通过“SecPoint”与VPN网关进行L2TP＋IPSecVPN连接，连接过程中可以选择“静态密码”、“RSA动态口令卡”、“SecKeyUSBToken”等方式,用户接入VPN后直接获得企业私网IP地址，从而达到访问企业内部网络的需求。华为3ComVPN移动办公方案华为3Com移动办公解决方案，由移动终端拨号子系统、VPN接入安全网关子系统、认证计费管理子系统、VPN管理子系统四个部分组成。华为3ComVPN移动办公解决方案VPN移动办公解决方案VPNManagerCAMS系统应用和业务服务器总部网络中心SecPath安全网关×2负载分担/冗余备份SecPoint＋RSAtokenSecPoint＋SecKeyRSA认证服务器或CA证书服务器Modem接入ADSL接入LAN接入WLANSecPoint＋RSAtokenSecPoint＋SecKeySecPoint＋RSAtokenSecPoint＋SecKeySecPoint＋RSAtokenSecPoint＋SecKey移动终端拨号子系统VPN接入安全网关子系统VPN管理子系统认证计费管理子系统移动终端拨号子系统移动终端拨号子系统负责移动终端VPN拨入功能，在客户移动终端上安装华为SecPointVPN客户端软件。移动用户通过某种方式如拨号、ADSL和小区宽、GPRS、CDMA1X带等接入到Internet，就可以通过SecPoint和VPN网关之间建立IPSec隧道，访问公司企业内部网（Intranet）上的相关资源。SecPoint还提供了强大的安全策略，包括IPSec、IKE和NAT穿越等，大大强化了VPN系统的安全性。IPSec使特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。SecPoint软件可以通过PPP协商向VPN申请IP地址。由于此IP地址的分配是由VPN隧道对端分配的，其保密性更高，被攻击的可能性也更小。同时SecPoint软件支持IPSec/IKE加密。IPSec为IP协议栈提供在IP层实施的一系列安全服务,为IP及其上层提供保护。SecPoint软件通过支持IPSec提供数据加密，数据完整性验证，数据身份验证，以及防重放功能。SecPoint软件支持IPSec隧华为3ComVPN移动办公解决方案道模式和传输模式，从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密；此外，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。与此同时SecPoint软件和RSASecurID动态密钥、USBSecKey配合使用，可以更安全的验证用户的身份。SecPoint软件支持与网关侧设备的握手机制。当VPN隧道建立之后，SecPoint软件会根据用户配置，定时向网关侧设备发送握手。如果一定时间收不到握手，网关侧设备认为对端已经离线，自动将状态设置为断开。如果用户需要再使用VPN隧道资源，需要重新认证。握手机制能够增加安全性，防止身份冒充。SecPoint软件不仅支持局域网用户，同时也支持拨号用户、ADSL用户、WLAN用户。相对于局域网用户，SecPoint软件能够让拨号用户使用IPSec/IKE加密。为保证数据安全，建立VPN隧道时使用IKE协商为IPSec提供密钥供IPSec加密使用。但是在一般使用IKE协商时，要求两端设备配置对端IP地址信息。但是，由于使用VPN`客户端软件的用户经常处于拨号上网的状态，而每次上网时其IP地址是不固定的，如果要求VPN隧道的网关侧设备每次都修改对端IP地址，其维护量就可想而知了。SecPoint软件通过支持IKE的Aggressive模式（野蛮模式）成功地解决这个问题，在这种模式下，IKE协商时允许协商的两端不使用IP地址信息，而代之以使用双方的name。这样当拨号用户使用动态IP地址，只要正确的配置对端name，而网关侧设备也接受次name，就可以进行IKE协商。从而实现IPSec加密。SecPoint软件支持对VPN隧道对端多个网段的访问。在实际应用中，VPN隧道对端即公司本部组网中包含很多网段，例如，公司所有的服务器的IP为172.20.*.*，研发部门的IP为10.153.*.*，财务部门的IP为10.150.*.*。当用户通过SecPoint软件和网关建立VPN隧道之后，通过协议从公司本部分配了一个IP地址10.151.*.*，掩码为255.255.255.0。如果用户需要访问公司的内部DNS服务器，IP为172.20.1.120，由于用户计算机上没有针对DNS服务器的路由，所以用户无法访问DNS服务器。而SecPoint软件成功地解决了这个问题，只需要用户在使用登录之前，将公司本部需要访问的网段配置进来即可。配置的界面如图：华为3ComVPN移动办公解决方案SecPoint软件支持NAT穿越。在使用IPSec加密的VPN隧道，用户数据包不能被篡改。包括从IP地址，IP数据头，协议端口号，VPN隧道两端都有加密和防篡改,否则对端接收后不能正确解密。但是，很多时候使用SecPoint软件的时候其所在位于NAT设备之后，通过NAT地址转换进入Internet。NAT的基本原理在与修改报文的IP地址和端口信息，这样，一旦报文经过NAT设备，VPN隧道两端就不可能建立IPSec隧道连接。SecPoint软件成功地记解决了此问题。软件通过在IPSec报文前增加一层UDP报文头的方式，使NAT设备不需要修改报文内容，从而解决了IPSec支持NAT穿越的问题，NAT设备只修改封装的UDP头，但是没有影响IPSec数据报文的内容，即使经过NAT转换，仍然可以正常建立IPSec隧道连接。在使用SecPoint软件的NAT穿越功能时，需要网管侧设备也支持NAT穿越。SecPoint软件支持备份LNS服务器。当主LNS服务器因故障不能使用，SecPoint软件自动向备份LNS服务器发起协商。这样降低故障对于整体网络资源的影响。使用备份LNS功能，只需要用户在配置LNS服务器IP时，指定备份LNS服务器的IP，如图所示：华为3ComVPN移动办公解决方案通过安装SecPoint，可以使PC机能够通过多种方式进行VPN互联，并最终实现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的。同时为了保证最大的可靠性，可以为企业准备一个拨号服务器，在VPN网关或者Internet不可用时，允许用户通过拨号访问内网。另外，为了保证安全，可以在拨号服务器后面放置一个防火墙，可以对拨号用户的访问进行控制。VPN接入安全网关子系统VPN接入网关子系统是系统的核心部件，选用华为公司的系列产品。同时在可靠性要求比较高的系统中可以作HA双机热备份方案或采用两台安全网关产品运行VRRP协议方式实现主从热备份。安全网关作为局端核心设备提供安全VPN接入功能。通过防火墙实例及针对源地址区分用户进行ACL访问权限控制。认证计费管理子系统认证计费系统由华为VPN认证计费管理系统。华为VPN认证计费管理系统提供完善的认证计费功能，同时提供自助式帐户管理功能。并且通过RADIUSProxy功能与RSAACEServer配合实现一次性密码认证功能，或采用QuidwaySecKeyUSB卡方式进行身份认证。SecKey身份认证方式：华为3ComSecPoint（以下简称SecPoint）是华为3Com公司自行设计开发的VPN客户端软件，可以将安全性扩展至桌面计算机和笔记本电脑，能够通过多种方式与华为3Com的网络设备（如路由器及SecPath系列网关设备等）进行VPN互联，为远程连接提供高安全解决方案。华为3Com坚持以客户需求为导向，新推出的基于智能卡安全技术的QuidwaySecKey产品，可以为SecPoint用户提供身份认证信息的安全存储、基于硬件的双因素用户认证、客户端配置“即插即用”以及license管理等功能。SecKey可以减少SecPoint用户身份信息被盗用的风险，使用双因素方式提高用户身份验证安全性，同时通过减少SecPoint的配置管理工作来提高用户的工作效率，最终可以帮助企业实现优化大规模远程访问VPN用户的部署工作，经济有效地管理用户的移动能力和安全策略，减少企业的IT运营成本。华为3ComVPN移动办公解决方案SecKey中所有数据存储在智能卡芯片中，读写由COS控制，只能根据PIN码权限进行相应访问；每个SecKey最多只支持一个进程访问，只要关闭对SecKey的访问进程，所有权限即复位到初始状态，以上技术手段可以使SecKey自身安全性得到最好保证。用户可以将数字证书或者用户名/密码保存到QuidwaySecKey中来确保这些信息的安全，解决了身份认证信息安全存储中的薄弱环节――存储介质安全性的问题。使用SecKey可以保障数字证书无法被复制，所有密钥运算由SecKey实现，用户密钥不在计算机内存出现也不在网络中传播，只有SecKey的持有人才能够对数字证书进行操作，安全性有了保障。SecKey内部使用了运算能力强大的专用芯片，使得计算非常耗时的RSA运算可以在芯片的内部实现。这也就是意味着，私钥从生成的时候开始就一直保存在SecKey内部，即使是私钥的所有者也没有权限读取私钥的内容。同时由于SecKey专用芯片所使用的安全封装技术，使得从SecKey中强行获取用户私钥的信息的尝试变得不可能。使用基于硬件RSA算法的SecKey比使用单纯的软件实现的RSA应用更加安全可靠。因为敏感数据都被安全地保存在SecKey的安全存储区域中，未授权用户是无法接触到这些信息的。数据的签名和加密操作全部在SecKey内部完成，私钥从生成的时华为3ComVPN移动办公解决方案刻起就一直保存其中，可有效的杜绝黑客程序的攻击。使用SecKey实现的用户名/密码认证使用冲击/响应原理的实现方式，相关运算通过SecKey内置算法完成，用户密码不需要被读出SecKey和在网络行传输，因此可以保证即使认证相关数据在网络传输的过程中被黑客截获，也无法逆推获得密码。RSA身份认证方式：该方法的前提是一个单一的记忆因素，如口令，但口令本身只能对真实性进行低级认证，因为任何听到或盗窃口令的人都会显得完全真实；因此需要增加第二个物理认证因素以使认证的确定性按指数递增。例如，银行ATM卡就是一个广泛采用的双因素认证机制，ATM卡需要将有效卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资金的访问。借助的用户认证系统，RSA信息安全解决方案可以向授权的用户发放单独登记的设备，以生成个人使用令牌码，这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌码，保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的，别人无法通过记录以前的令牌代码来预测将来的代码，就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。当用户访问受保护的拨号服务器、防火墙或者VPN服务器时，需要输入用户名和双因素Passcode，然后由这些网络设备内置的代理软件将Passcode发送到认证服务器进行认证，如果是合法用户则