企业远程安全访问接入解决方案广州神州数码有限公司2005年11月目录第一章简介..................................................................................................................................................3第二章需求分析..........................................................................................................................................42.1具体需求分析..................................................................................................................................4第三章SSL-VPN解决方案........................................................................................................................53.1网络拓补图......................................................................................................................................53.2方案分析..........................................................................................................................................5第四章SSLVPN产品选型.........................................................................................................................84.1F5FirePass的关键技术..................................................................................................................84.2F5FirePass系统设备型号选择.....................................................................................................11第五章成功案例........................................................................................................................................15第一章简介什么是VPN:VPN就是指利用公共网络,如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息,形成逻辑上的专用网络。VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的用户、企业的需求正是VPN技术诞生的直接原因:高效的管理及信息的即时获取需要随时随地的访问需要强的安全控制需要容易部署和管理VPN实现安全接入的两种主要办法IPSecVPNSSLVPNSSLVPN将成为远程访问技术主流降低维护费用并提高效率与IPSec相比采用SSLVPN在三年的时间内节省$80,000到$260,000(BreakawayMarketingGroupAugust2004)丰富的客户端活动日志和审计功能优异的安全性精确适当的访问权限IPSec用来为子网对子网的安全通道而设计,不适用于远程客户端访问远程访问系统是管理系统而非纯业务系统第二章需求分析某企业的总公司设在南宁,南宁本地也有自己的分公司,另在全国各地有24家办事处,七百多业务员:通过VPN实现总部和分公司及各办事处的互联VPN主要跑ERP数据和OA系统业务员通过OA发送销售日报、周报、月报回总公司业务员会在公共场所发送数据,要确保数据的安全性,可行性不需在客户端安装软件即能实现VPN的连接2.1具体需求分析根据客户的SSLVPN的要求,我们总结出来,具体需求如下:1.通过SSLVPN来实现对总局内部网络的无客户端软件访问模式,实现方便快捷的访问;2.SSLVPN用户最大并发的SSLVPN访问人数可能达到700人;以后随着业务的增长,并发数有可能继续增长;3.保证业务员在公共场所发送数据的安全性。用户的认证管理既可以使用Firepass自身的用户数据库进行管理,也支持使用用户已有的用户数据库进行认证,并且支持多种认证方式,包括外部RadiusServer认证管理模式以及双因数认证方式,例如RSA的SecuID和RAINBOW的IEKY;5.通过SSLVPN接入总公司内部以后,可以支持总公司内部资源的访问及其它典型应用。6.灵活的扩展空间,根据实际应用的需求灵活投资,提高整体服务能力第三章SSL-VPN解决方案3.1网络拓补图3.2方案分析将F5FirePass连接到总公司的核心交换机上,利用原有存在防火墙,在防火墙上映射一个合法可路由的IP地址为FirePassVPN设备,并添加相应的安全策略,在FirePassvpn设备上添加用户组,并且为每个用户组添加相应的用户(如广州办、福州办等),为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名即可访问到FirePassvpn的首页内容,然后输入分配的用户名和密码,即可访问相应的内部资源。该方案有以下优点:移动用户Internet移动用户应用服务器组F5-FirePass1、适宜具体需求,满足用户的应用;2、可行性强,实施方便,减少整体投资,具有良好的性能价格比;3、系统可扩展性强,因为VPN是建立在公网上的私有连接,因此当网络拓扑改变时,不依附于资源提供商和物理设备;可以很好适宜各种网络结构,对网络的调整减少到最小;5、数据高度保密,提供最高级别的安全保护;6、可以设定每条vpn通道的策略,确保每个连接权限;7、易用性和灵活性好,用户可以通过固定网络(ADSL/DDN/FR/ISDN)或拨号随时随地通过VPN访问数据。如果专线出现问题或若分支机构地点改变不会影响同网络安全及VPN中心信息交换,这很好解决由于专线出故障无法同网络安全及VPN中心信息交换的问题。方案具体说明:将F5FirePass连接到防火墙的DMZ区上,利用防火墙,在防火墙上映射一个合法可路由的IP地址为FirePassVPN设备,并添加相应的安全策略,可实现下列的安全远程访问:1、ERP及OA系统的应用1)可以通过网络访问方式或者通过网站访问入口方式实现访问总公司的ERP及OA应用系统,进行日报、周报、月报的工作,并能支持各种正常的B/S结构访问处理;2)可以沿用网络中心对总公司资源的访问控制方式,在原有基础上,定义一个固定网段的地址范围才能访问总公司资源,而这个地址范围为Firepass为通过认证的用户分配的虚拟地址池2、日后扩展的办公自动化系统的应用通过INTERNET,访问总公司内部的资源,进行公文处理、文件传输、收发邮件等工作;1)内部网邮件系统的使用支持microsoftoutlook等客户端邮件系统的应用,支持采用pop3、smtp收发邮件的方式;支持基于web的邮件收发方式(http方式);2)文件传输支持ftp文件传输,包括normal、passive两种方式。3)文件共享支持与内部网microsoftwindows桌面系统的文件共享。4)基于web的intranet系统的应用通过http方式,访问内部OA网站,进行办公自动化处理。3、远程技术支持及维护当总公司的计算机业务处理系统发生故障,而相关的技术部维护人员不在现场时,可以通过INTERNET,以最快速度连接我的内部网络上,进行故障排查及系统维护,能够大大提高技术部人员对计算机业务处理系统的故障响应速度。1)telnet应用远程用户可以通过telnet程序,连接到内部网。2)支持client/server的应用模式支持基于tcp协议的、自定义端口的应用系统的远程应用。client端程序可以工作在远端,通过安全的vpn通道,连接到内部网的服务器或主机上。4、安全管理的需求1)用户角色划分及对网络资源的分权访问要求根据实际需求,将vpn用户划分为不同角色,并根据不同角色,分配给用户不同的网络资源访问权限。用户可访问的网络资源需细化到应用层(如具有某个ip地址的主机上的使用某个特殊tcp端口的应用)。2)支持用户分组支持用户分组功能,支持基于用户组的权限管理。3)用户认证方式的灵活选择可以针对不同的用户或用户组,指定不同的用户认证方式。如可以强制部分用户必须通过第三方认证服务器提供的一次性口令认证,而其他用户则可以使用vpn系统的静态口令。第四章SSLVPN产品选型4.1F5FirePass的关键技术安全管理访问权限可授予单个用户或用户群(例如:“销售人员、“合作伙伴”、“IT”)FirePass将单个用户和用户群的访问限制在具体的资源范围内。合作伙伴可能只允许访问外联网服务器,而销售人员则可连接到电子邮件、公司内联网和CRM系统。客户机-服务器连接器许多企业都部署了像PeopleSoft®、SAP®、或Oracle®ERP应用这样的传统“胖客户机”体系结构,并且在每个用户的设备上都配备ERP应用客户机。通常这些应用需要面向公司网络之外的外出办公人员或合作伙伴。直到现在,这些合作伙伴和外出办公人员都需要在每个远程设备上配备特别配置的“VPN”软件。这些软件可以使他们在互联网与公司网络之间建立起一条“隧道”。这样他们才能够访问整个目标网络。一种更好的方法:F5的FirePass不是利用传统的VPN客户机来提供全部网络接入支持,而是利用浏览器作为客户机与服务器之间的连接器,来支持远程访问个别应用。•支持从远端客户机访问应用服务器上的TCP应用。•可支持本地客户机端应用通过浏览器与FirePass服务器之间的安全隧道,与公司的应用服务器进行通信。•允许连接的用户将LAN驱动器映射到远程系统。•无需用户预先安装或配置任何额外组件。•在网络端,被访问的应用服务器上无需安装额外软件。•采用标准HTTPS协议,并以SSL作为传输协议,因此可支持任何HTTP代理–包括公共接入点、专用LAN以及任何不支持传统IPSecVPN的其它网络和ISP。•标准的客户机-服务器连接器包括Outlook、ExchangeCluster、FTP、CitrixNfuse。管理员可以为那些使用静态TCP端口的应用建立客户的客户机-服务连接器。过滤技术内容检查,FirePass对远程进入流量进行更深入的检查,FirePass控制器能扫描Web流量中不适当的内容(如:在POST数据中深入的脚本)或者太长的数据包,当发现恶意的内容,FirePass阻止用户的访问客户机端证书的动态政策FirePass支持管理员根据用于访问FirePass服务器的设备类型来限制或允许访问。例如,用户在使用公司膝上型电脑时允许访问所有的内联网和客户机/服务器应用,而在公共热点上网时则只允许访问内联网。用户登录时,FirePass服务器还会核查客户机端的数字证书,这一证书将只授