VPN网络安全接入方案建议书(2)

防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。网络应用的内容安全，如在网关上对计算机病毒进行实时的扫描和防护便是最新加入防火墙的功能。根据国际计算机安全协会（ICSA）的一份报告，在1996年有23%的病毒感染是由Email引起的。某些防火墙产品已能够监测通过HTTP，FTP，SMTP等协议传输的已知病毒。 1.4 安全网络

一个安全的网络系统应包括以下几个方面:

(1) 访问控制

实施企业网与外部、企业内部不同部门之间的隔离。其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。 (2) 普通授权与认证

提供多种认证和授权方法,控制不同的信息源。 (3) 内容安全

对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。 (4) 加密

提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。 (5) 网络设备安全管理

目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护，如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。 (6) 集中管理

实施一个企业一种安全策略,实现集中管理、集中监控等。 (7) 提供记帐、报警功能

实施移动方式的报警功能,包括E-mail、SNMP等。 1.5 虚拟专用网VPN

EXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考

第 5 页 共18 页 5

虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。

1.5.1 如何构筑虚拟专用网VPN

企业利用Internet构筑虚拟专用网络(VPN)，意味着可以削减巨额广域网成本，然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。

削减广域网成本，吸引新客户，这是当今每一位企业主管的求胜之路。但是涉及到Internet，企业有得又有失，比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%，而且可以将Internet上的多个网站连接起来，使企业接触新的企业伙伴和客户。

1)明确远程访问的需求

首先企业要明确需要与哪种WAN连接，用户是通过LAN/WAN还是拨号链路进入企业网络，远程用户是否为同一机构的成员等问题。

WAN的连接有两类：内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户，这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。

对于内联网连接，VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策，远程用户至少要经过一次认证。

围绕下属办事处，VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素，从下属办事处的密钥和锁，到计算设备的物理访问，再到可访问设施的非雇员数量等等。如果所有这一切都万无一失，在总部和下属办事处之间就可以建立一个“开放管道”的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证，因为我们认为这样的连接是安全的。但是，如果这些地方有问题，网络设计人员就要考虑采用更严格的安全措施。例如，VPN需要严格认证，或者将对总部网络的访问限制在某个孤立的子网中。

VPN对外联网的安全要求通常十分严格，对保密信息的访问只有在需要时才能获准，而敏感的网络资源则禁止访问。由于外联网连接可能会涉及机构外人员，解决用户的变化问题则很有挑战性。从根本上说，这是严格政治问题。但在机构确定用户时，这是严格急需解

第 6 页 共18 页 6

决的技术问题。

2) 注重管理

企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的，决策中还要确定相应的VPN设备和实施选择方法。

一般来说，决策者应解决VPN特有的几个问题：远程访问的资格，可执行的计算能力，外联网连接的责任，以及VPN资源的监管。另外，还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然，决策中应包括一些技术细节，例如加密密钥长度，如果VPN的加密算法要求公开认证，则还需要法律的支持保护。

对外另外而言，决策中应具体说明及时通报远程用户人员变更的步骤，被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常，企业的人事部门已制定有人事管理规定，这些规定可能也适用于VPN用户。

3） 确定最佳的产品组合

可选择的VPN产品很多，但产品基本上可分成三大类：基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。

硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。

基于防火墙的VPN则利用了防火墙安全机制的优势，可以对内部网络访问进行限制。此外，它们还执行地址的翻译，满足严格的认证功能要求，提供实时报警，具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导，因此，提供操作系统保护是这种VPN的一大优势。

什么时候企业选择基于防火墙的VPN呢？一般是在远程用户或网络充满潜在敌意的时候。这时，网管员可建立起所谓的非军事区（DMZ），部分，系统一般使用在防火墙上的一个第三方界面，并有自己的访问控制规则。攻击者也许能到达DMZ，但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的，它是软件产品中最容易保证安全和管理的产品。

第 7 页 共18 页 7

Ipsec是IETF(Internet Engineering Task Force)组织为TCP/IP协议集增加的标准认证与加密功能。随着Ipsec越来越稳定和实施越来越广泛，VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作，但是到目前为止，实施成功的VPN通常意味着要从同一家厂商购买所有的设备。

尽管大部分VPN可保留自己的认证数据库，但网管员也希望借助于现有的认证服务器。比如，许多远程访问服务器使用下述两种协议之一的外部系统来认证用户：远程认证拨入用户服务器（Radius）或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性，即无论增加多少台访问设备，一台认证服务器就足矣。

如果一个企业的VPN延伸到海外，网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口，尽管未来立法可能会或多或少地放宽限制，但一般跨国经营的美国公民可能需要部署两个VPN系统：一个加密功能较弱，用于国际用户的，一个加密功能较强，用于国内用户。

4）为VPN服务器选择位置

远程用户的从属关系有助于确定VPN设备放置的位置。对于期望通过远程访问复制办事处工作环境的员工来说，VPN服务器最好直接放在专用网络中，但这一方法也最易成为攻击者的攻击目标。

对于员工企业，如果绝大多数远程用户属于外部机构，将VPN设备放在DMZ网络上意义更大，因为它要比内部网络更为安全，屏蔽DMZ的防火墙有助于保护其间的设备。这种方法也比将VPN设备完全放在安全设施周边之外更安全。如果一台认证服务器属于DMZ子网，它会得到细心的管理和保护，免于内部和外部的威胁。

企业在设计安全内联网和外联网时，安置VPN和认证服务器是关键的一步。其中，建立与下属办事处的链路最简单：一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行的员工或远程工作站需要进行认证，因此，它们建立与VPN服务器的链路，将认证请求传送到DMZ上的认证服务器。外界顾问不需要认证，他们只需同另一台VPN服务器连接起来，这一台服务器应位于第二个DMZ上，以保护公司的认证服务器。另外值得注意的是，企业为业务伙伴进行的连接配置最需要技巧，连接请求首先到达第二个DMZ上的VPN服务器，之后请求被传送到第一个DMZ上的认证服务器，最后，批准的请求被传送到请求访问的资源中。

第 8 页 共18 页 8

1.5.2 安装和配置VPN

我们构建VPN的方法是使用Hillstone防火墙自带的VPN功能，Hillstone防火墙在VPN方面也是采用专有的硬件结构来实现的，我们购买了防火墙后，就作为防火墙的一个功能提供给客户。

对VPN进行配置时，网管员要为一系列因素设定参数，包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备（而不是用户）的身份，大部分VPN产品都提供此功能。对此，一些厂商的实现的方式是，让所有信息进入总部设备下载相关信息。而对于远程用户，则需要建立口令，准备连接脚本，确立认证步骤。

网管员还要让认证和授权程序协调起来。两者听起来差不多，但有些微妙且重要的差别。认证是要证明远程用户是她或他声称的身份（在外联网设置中，要证明的则相反，即服务器可信）。授权是要确定远程用户有权访问何种网络资源。如果认证服务器还控制授权分组，例如营销或策划小组的授权，则系统还要注意核查它是否能正确地同VPN设备联络组信息。而使用Hillstone防火墙的VPN功能我们可以方便对防火墙进行设置，就可以自如的建立各种VPN策略和通道。

第二章 用户总体需求分析

对企业内部网络安全的设计，首要考虑到企业的内部网络拓扑结构。由于当初在设计企业网络时受到资金和技术的局限性，所以很容易会在企业的内部网络中留下了安全隐患，从而导致了网络内部安全问题的产生。

目前XX的局域网的内部网络已经建立完善。网络拓扑是典型的星型结构，在总部公司已经实现了办公自动化。同时内部的用户们通过连接INTERNET的路由器，而后再通过光纤专线上网。

XX公司结构散布在全国各地的分支机构有3个，每个分支机构有一定数量台计算机，上网方式多是以宽带线路，与总部没有直接的连接！急需一种安全的连接方式。

从对其网络结构的分析可以看到，XX公司总部的内部网络的架构严谨，但是却存在极大的安全隐患，有以下安全问题需要解决：

? 来自Internet网络安全威胁，如病毒传播和黑客攻击。

? 来自内部局域网用户间的安全威胁，主要指非法操作和病毒传播。

第 9 页 共18 页 9

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库VPN网络安全接入方案建议书(2)在线全文阅读。