SANGFORIPSec+VPNV43技术白皮书05.docx
- 文档编号:10478835
- 上传时间:2023-02-13
- 格式:DOCX
- 页数:29
- 大小:1.12MB
SANGFORIPSec+VPNV43技术白皮书05.docx
《SANGFORIPSec+VPNV43技术白皮书05.docx》由会员分享,可在线阅读,更多相关《SANGFORIPSec+VPNV43技术白皮书05.docx(29页珍藏版)》请在冰豆网上搜索。
SANGFORIPSec+VPNV43技术白皮书05
IPSecVPNV4.3
技术白皮书
深信服科技有限公司
2009年4月12日
目录
第1章序言1
第2章SANGFORIPSecVPN产品简介3
2.1SANGFORIPSecVPN硬件产品3
2.2SANGFORIPSecVPN软件产品4
2.3SANGFORSC集中安全管理平台4
第3章背景知识技术介绍6
3.1链路层VPN技术7
3.2会话/应用层VPN技术8
3.3网络层VPN技术8
第4章SANGFORIPSecVPN主要优点9
4.1安全的VPN体系9
4.2稳定可靠的VPN系统14
4.3高速的VPN系统16
4.4高品质保证的VPN系统18
4.5方便灵活的VPN系统20
4.6软硬件一体化的VPN系统22
第5章SANGFORSC集中安全管理平台主要技术特点23
5.1全面集中管理23
5.2设备状态实时监控24
5.3智能升级功能25
5.4完善安全功能25
5.5独立报表中心26
第1章序言
随着计算机技术的飞速发展以及Internet宽带网络的逐渐普及,传统企业的工作模式正在发生着巨大的改变,越来越多的企业开始基于计算机技术、网络技术以及各种应用系统展开业务工作。
并且随着Internet宽带网络的普及,企业和单位开始连接到互联网获取商业机会,与客户交流,发布商业信息,利用丰富的Internet资源来展开商务活动。
目前稍具规模的企业,都不仅只有一个办公场所,而是拥有众多的分公司、办事处、工厂等。
随着企业信息化的发展,越来越多的应用系统开始用来处理企业的各项业务,如何将公司总部的各项应用系统推广到各个分支机构、办事处,实现应用系统的实时,统一的管理,就成为当前众多企业所面临的问题。
正是用户的需求促进了VPN的诞生和高速的发展。
传统专用线路(如DDN)的高昂成本和长期的使用费,成为了企业很大的负担,很多企业无法利用这种方式来建立自己的专网,而在Internet发展的早期,窄带线路的通信质量、带宽、以及资费,都无法满足企业长期利用其来构建自身远程私有网络的需要。
如今,各种宽带上网方式(如ADSL、城域网等)都在迅速发展,带宽和通信质量已经不在是瓶颈,资费也极大的降低。
企业完全能够使用VPN这种高效率、低成本的解决方案来满足企业异地网络互联互通的需要。
深信服科技是国内领先的VPN及网络安全厂商,长期专注于VPN和网络安全领域产品的研发。
目前已经拥有:
IPSecVPN、SSLVPN、IPSec/SSL一体化、SC集中安全管理平台以及集VPN、防火墙、内容过滤、访问控制、网关杀毒、垃圾邮件过滤等多功能于一身的UTM产品。
对于目前主流的IPSecVPN,深信服科技推出有:
SANGFORIPSecVPN软件产品、SANGFORIPSecVPN硬件网关以及SC集中安全管理平台。
其中SANGFORIPSecVPN软件产品分为:
DLAN标准版、DLAN安全版、DLAN专业版;硬件产品分为:
M5400千兆设备、M5100百兆设备、小型硬件设备S5100。
对于拥有众多分布式办公地点的大型企业来说,部署大规模的VPN/防火墙设备时,企业往往将面临以下问题:
1.由于VPN或防火墙等安全设备部署在不同地点,往往简单的远程维护不能满足同时部署、监控和维护大量远程设备的要求。
如果增加网络维护人员又增加了IT运营成本。
2.大量设备需要独立部署安全规则,因此很难保证所有场所的安全策略都是一致和安全的。
在一个大的VPN网络内可能存在多个点有较多安全漏洞,但却无法发现。
3.当网络规模或结构发生变化的时候,往往需要重新调整和配置众多节点的设备。
比如当一个网络发生变化时,需要同时修改和该网络相连的所有VPN设备的参数。
4.如果有大量的移动办公用户,帮助这些用户配置和维护VPN客户端将花费管理员大量的时间和精力。
5.随着新的安全漏洞的发现或攻击方式的产生,所有VPN/防火墙设备必须不断升级,大量设备的升级难以同时完成,另外异地众多设备的升级还需要耗去大量的人力物力。
深信服科技作为领先的研发厂商,提供了以上问题的一体化解决方案-SANGFORSC集中安全管理平台。
通过SC集中安全管理平台,一个管理员就可以同时监控和部署成百上千个VPN网络和VPN/防火墙设备。
极大的降低企业或运营商管理大型网络的成本,并消除因不同防火墙和VPN策略造成的安全漏洞。
深信服科技丰富的产品足以满足不同用户的需求,为广大用户量身订制适合企业自身业务需求和未来发展的专业VPN产品。
第2章
SANGFORIPSecVPN产品简介
2.1SANGFORIPSecVPN硬件产品
SANGFORM5100
作为国内领先的VPN和网络安全研发产商,深信服科技推出的SANGFORM5100,获得2004~2005年“计算机世界”的年度产品奖和“中国计算机报”的编辑选择奖。
是一款高性价比的硬件VPN/防火墙网关,用于中型企业总部网络或大型企业的区域总部网络。
该产品又分标准版、专业版两款,其中标准版支持3个百兆网络接口(1LAN,1WAN,1DMZ),为单线路VPN。
专业版支持4个百兆网络接口(1LAN,2WAN,1DMZ),为双线路VPN,支持两条Internet线路带宽叠加及备份。
SANGFORM5100具有强大的VPN功能,支持各种Internet接入方式(包括ADSL、LAN宽带、XDSL等等)。
设备内置WebAgent动态IP寻址机制,双寻址方式保证了寻址的稳定性。
SANGFORM5100采用了改进的IPSec协议,在确保VPN隧道安全的同时、进一步提高了数据传输的效率。
同时集成了LZO高速流压缩算法,对常见的应用(如文件传输、数据库查询等)大大提高了速度。
同时,在安全性上,SANGFORM5100网关集成了高强度的加密算法,并可以进一步通过软件或硬件卡的形式进行加密算法的扩展,保证了数据传输的安全。
其次,网关系统内置Radius服务、并采用了HARDCA硬件证书的形式进行身份认证,确保接入用户的合法有效。
另外,SANGFORM5100还针对内网用户可以设定细致的访问权限、避免了病毒类文件的随意传播和越权访问带来的安全隐患。
并且,M5100本身也是一台高性能的防火墙设备,能有效抵御外网的攻击。
SANGFORM5400
SANGFORM5400是一款功能强大的安全平台,是千兆高性能的硬件VPN/防火墙网关,用于大型企业或重要网络的中心节点。
标准配置的一台设备支持4个千兆接口(其中2个WAN口,1个LAN口,1个DMZ口)和2个百兆接口(用于WAN口)。
各网口均可自定义,并能通过模块扩充的方式、增加网口或者光口。
对于大型企业或重要网络来说,带宽和稳定性的要求更高。
SANGFORM5400支持4个WAN口(其中1000M*2&10/100M*2),可支持四条Internet出口线路的带宽叠加和备份,增强了网络的稳定性和出口带宽。
同时,多条线路与其他节点建立VPN连接时,能够根据线路匹配质量智能选择通信线路,尤其适用于分支或移动节点分布于不同运营商网络中的情况。
SANGFORM5400同样支持深信服科技VPN产品的全部特性,能够和M5400、M5100、S5100及SANGFORDLANVPN软件互连互通,按需组网。
SANGFORS5100
SANGFORS5100是集成VPN/防火墙的硬件网关,采用了最先进的嵌入式一体化硬件平台、RISCNP处理器,保证了高可靠性和突出的性能。
S5100支持3个百兆网络接口(1LAN,1WAN,1DMZ),为小型企业、分支机构提供了强大的安全网关(VPN/防火墙/共享上网)功能。
S5100的VPN吞吐量为:
5-10M(AES加密),而防火墙的吞吐量达到50M,完全能够满足绝大部分中小型企业ADSL等宽带网络接入环境。
在外观设计上,SANGFORS5100设备紧凑、美观。
所采用全钢结构的外壳,标准化的1U尺寸,一体化的嵌入式硬件平台和低功耗的设计,非常适用于小型企业或分支机构等规模较小的网络。
2.2SANGFORIPSecVPN软件产品
SANGFORDLANVPN
SANGFORDLANVPN软件是领先的VPN软件系统,从产品功能上分为标准版、安全版(集成DWALL软件防火墙)和专业版(支持多线路绑定、带宽叠加)三种类型。
每一类型的产品均由总部模块(MDLAN)、分支模块(SDLAN)和移动用户模块(PDLAN)构成,用户可根据自身的网络规模,选择合适的产品类型、模块数量,构建适合自身业务需求的VPN网络平台。
SANGFORDLANVPN软件同样可以和SANGFOR硬件各系列产品无缝连接,与M5100、M5400、S5100等硬件产品互连互通。
2.3SANGFORSC集中安全管理平台
SANGFORSC集中安全管理平台
VPN产品与其他网络产品相比、有一个非常显著的特点,就是VPN产品在应用中的部署一定是跨地域的、分布式的,如何将这个跨地域的网络集中、统一的管理起来,并有效的进行部署和升级,保障整网的安全和可持续发展?
SANGFORVPN集中安全管理中心(SecureCenter)能够很好的解决这些问题。
SANGFORSC集中管理平台可为您带来以下好处:
1.启用集中配置策略下发,SC内置的任务计划功能可以避免众多受控端同时连接到SC设备同步配置而带来的网络拥塞,通过对整网的VPN设备进行统一配置,能有效统一整网的安全策略及等级,而且大大减少IT管理人员的工作量。
2.启用快速网点管理,支持按用户的地域分布、组织结构来构建管理区域,更适合用户的组织架构及管理习惯。
能以多种方式快速新建受控网点帐户,能跟用户原有认证系统相结合,只要分支受控端接入互联网,便可自行与SC内建的网点帐户相关联。
3.启用对整网的动态监控,通过SC的状态监控模块,可以清楚直观的显示分支网点信息,包括实时信息、异常信息、以及整网VPN设备拓补等,管理人员在任何地方都可以清楚的了解各分支网络设备的运行情况,也为企业整体的信息化建设提供决策依据。
4.启用远程维护,对分支设备出现的故障情况,无论IT管理员身处何地,通过SC设备都可快速、便捷的处置,从而使设备的故障问题能得到快速响应和解决,有效节省企业的现场维护成本。
5.启用SC报表中心,对整网VPN设备线路流量、流通状态、帐户流量、帐户安全、帐户使用状况等进行全面的记录、报表和订阅,为管理人员合理规划网络提供了丰富的依据。
SC集中管理平台为广大企业级用户提供一种全面综合的VPN网络管理解决方案,综合多种管理手段将明显改善和提高企业VPN网络的安全性及管理性,因此而提高了整个企业的商业运行效率。
以上介绍的所有的技术手段都集成在一个综合的技术体系之中,并应用在统一的硬件平台之上。
SC产品系列包括有M5100-SC、M5500-SC。
这些平台可提供从800到10000规模的VPN网络管理。
通过配置SC产品族的不同设备组合可以支持管理无限个站点。
系统图如下:
图2.1SANGFORSC集中安全管理平台系统图
第3章背景知识技术介绍
VPN是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(InternetServiceProvider服务提供商)和其它NSP(NetworkServiceprovider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
IETF组织对基于IP的VPN解释为:
通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
早期的虚拟专用网一般指的是电信运营商提供的FrameRelay或ATM等虚拟固定线路(PVC)服务的网络,或通过运营商的DDN专线网络构建用户自己虚拟专用网。
现在的VPN是在Internet上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,同时除了购买VPN设备或VPN软件产品外,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,对于不同地区的客户联系也节省了长途电话费。
这就是VPN价格低廉的原因。
以OSI模型参照标准,不同的VPN技术可以在不同的OSI协议层实现。
如表3.1所示:
VPN在OSI中的层次
VPN实现技术
数据链路层
PPTP及L2TP
网络层
IPSecSANGFORSL
会话层
Socket5
应用层
SSL
表3.1VPN在OSI中的实现方式
3.1链路层VPN技术
PPTP协议:
PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全VPN业务,1996年成为IETF草案。
PPTP是PPP协议的一种扩展,提供了在IP网上建立多协议的安全VPN的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。
PPTP提供PPTP客户机和PPTP服务器之间的保密通信。
PPTP客户机是指运行该协议的PC机,PPTP服务器是指运行该协议的服务器。
通过PPTP,客户可以采用拨号方式接入公共的IP网。
拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。
PPTP隧道实质上是基于IP协议的另一个PPP连接,其中IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。
对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接与PPTP服务器建立虚拟通路。
PPTP的最大优势是Microsoft公司的支持,另外一个优势是它支持流量控制,可保证客户机与服务器之间不会拥塞,改善通信性能,最大限度地减少包丢失和重发现象。
PPTP把建立隧道的主动权交给了客户,但客户需要在其PC机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。
另外,PPTP仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
L2F/L2TP协议:
L2F(Layer2Forwarding)是由Cisco公司提出的,可以在多种介质(如ATM、FR、IP)上建立多协议的安全VPN的通信方式。
它将链路层的协议(如HDLC、PPP、ASYNC等)封装起来传送,因此网络的链路层完全独立于用户的链路层协议。
该协议1998年提交给IETF,成为RFC2341。
L2F远端用户能够通过任何拨号方式接入公共IP网络。
首先,按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器,这种方式下,隧道的配置和建立对用户是完全透明的。
L2F允许拨号服务器发送PPP帧,并通过WAN连接到L2F服务器。
L2F服务器将包去封装后,把它们接入到企业自己的网络中。
与PPTP所不同的是,L2F没有定义客户。
L2F的主要缺陷是没有把标准加密方法包括在内,因此它基本上已经成为一个过时的隧道协议。
3.2会话/应用层VPN技术
SSL协议:
安全套接字层(SecureSocketLayer,SSL)属于高层安全机制,广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密。
在SSL中,身份认证是基于证书的。
服务器方向客户方的认证是必须的,而SSL版本3中客户方向服务方的认证只是可选项,但是并没有得到广泛的应用。
SSL会话中包含一个握手阶段,在这个阶段通信双方交换证书,生成会话密钥,协商以后通信使用的加密算法。
完成了握手以后,应用程序就可以安全地传输数据而无需做很大修改,除了在传输数据时要调用SSLAPI而不是传统的套接字API。
SSL是一个端到端协议,因而是在处于通信通路端点的机器上实现(通常是在客户机和服务器上),而不需要在通信通路的中间节点(如路由器或防火墙)上实现。
SSL可以用于保护TCP/IP通信,在SSL通信中,服务器方使用443端口,而客户方的端口是任选的。
SOCKS协议:
SOCKS处于OSI模型的会话层,在SOCKS协议中,客户程序通常是先连接到防火墙1080端口,然后由防火墙建立到目的主机的单独会话,这种情况下客户程序对目的主机是不可见的。
SOCKS的问题在于必须对客户端应用程序做修改,加入对SOCKS协议的支持。
3.3网络层VPN技术
IPSec协议:
IPSec也是IETF支持的标准之一,它和前两种不同之处在于它是第三层即IP层的加密。
IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
IPSec协议可以设置成在两种模式下运行:
一种是隧道(tunnel)模式,一种是传输(transport)模式。
在隧道模式下,IPSec把传输层的数据包封装在安全的IP包中。
传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
由于IPSec是基于网络层的,不能穿越通常的NAT,防火墙。
SANGFORSL协议:
SANGFORSL是SANGFORIPSecVPN采用的安全链路协议。
SANGFORSL是基于IPSec协议的安全隧道,但改进了如下过程:
6.提供压缩的IP头算法,由此提高网络利用率。
普通的IPSec网络利用率在70%左右,而SANGFORSL达到90%
7.改进的IP封装技术,使得SANGFORSL可通过任何路由器,提高对网络的适应能力。
SANGFORSL提供基于挑战―响应模式的身份认证。
同时也提供基于硬件证书(HARDCA)的鉴权体系。
数据传输采用隧道模式,支持各种加密算法,对会话的管理更具有灵活性,同时能适应各种网络层。
第4章SANGFORIPSecVPN主要优点
4.1安全的VPN体系
8.基于IPSec协议,提供安全、高效、灵活的隧道协议
SANGFORIPSecVPN产品遵循IPSec协议。
IPSec是目前最为安全VPN协议。
通过IPSec在Internet上建立安全可信的隧道,各实体之间的数据都是通过安全隧道传递,安全隧道的实现方式如图4.1所示:
图4.1改进后的SANGFORSL数据包格式
局域网内原始IP的IP头包含本局域网信息。
经加密后,多个原始IP成为隧道IP的负载,隧道封装的IP头为隧道两端的InternetIP,这样就保护了内部网络信息,而且原始IP的数据已被加密成为负载,防止了内容泄漏。
同时添加ESP、AH帧头标志,用于识别正确的隧道封装IP,防止内容被篡改,支持MD5算法。
SANGFORIPSecVPN缺省使用AES128位加密算法,该加密算法是美国国防部采用的标准,比同等级别的3DES快3倍。
并且所有的SANGFORVPN产品可以进一步通过添加加密算法或硬件卡的形式进行加密算法的扩展,保证了数据传输的安全。
SANGFORSL协议是改进IPSec协议,改进的方法为:
(1)采用多包封装,减少冗余数据;
(2)采用流压缩技术,使得网络利用率提高到130%;
(3)采用TCP封装,可以适应各种复杂网络结构,灵活的建立安全隧道。
在建立隧道的过程中采用互协商机制,因此只要求隧道的一方具有InternetIP,隧道的另外一方可在NAT以内,示意图如图4.2:
图4.2SANGFORVPN支持NAT穿透
9.完备的接入鉴权和硬件绑定CA认证机制
SANGFORIPSecVPN产品内置RADIUS服务,完成对接入分支、移动的用户名,密码认证。
RADIUS认证过程采用挑战―应答模式,在这种认证模式下,认证信息不在网络上传递,而且挑战不同的分支或移动答复也不同,保证认证信息不会被窃听。
同时,SANGFORIPSecVPN还支持AD(活动目录)认证、第三方RADIUS认证等,满足了用户多种接入认证方式,保证了用户接入的安全。
但是,传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。
为避免传统方案的泄密缺陷,SANGFORIPSecVPN使用了深信服公司的专利技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证。
该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法用户接入。
HARDCA认证方式示意图如图4.3所示:
鉴权结果
密文
请求鉴权
KeyA
产生(keyA,KeyB)
用keyA对认证信息进行加密
用KeyB对密文解密得到认证信息
总部分支/移动
图4.3SANGFORHARDCA认证过程
其过程描述如下:
(4)由分支模式或移动用户运行鉴权程序,该程序收集计算机的硬件信息,产生同分支或移动对应的一个唯一的ID文件(HARDID),由总部模式管理员将此HARDID输入到总部模式的鉴权管理库里(IDBASE)。
(5)总部在同分支建立数据隧道前,先要在命令通道进行HARDCA认证,经过命令通道HARDID认证的分支或移动,才允许建立数据隧道。
认证的流程遵循RADIUS认证过程。
10.集成USBKey的硬件身份识别功能
对于远程移动办公人员,由于计算机存在失窃或被非法使用的可能性,深信服科技采用基于硬件USBKey的身份验证机制来保证VPN移动用户的身份不被盗用。
每个用户随身携带标识自己身份的Dkey(一种类似U盘的USB钥匙),在任何一台安装有PDLAN的PC上,插入Dkey,输入自己的私人密码后就可以完成接入,类似银行取款卡,简单而安全。
采用USBKey的硬件身份认证机制和硬件身份认证HARDCA这两项专利技术,使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能,极大的提高了VPN网络的整体安全性。
该USBKey同时可以支持深信服科技的IPSecVPN和SSLVPN产品。
11.更细致的权限粒度
在VPN网络中还存在一些潜在的安全隐患,比如分支的用户可以接入总部访问所有资源;黑客可以入侵分支,然后通过VPN入侵到总部,非法获得商业机密;病毒可以通过VPN隧道在企业的各个网络传播。
这些都是VPN网络中可能存在的种种安全陷阱。
如果能够有效限制每个VPN用户在VPN网络内的访问范围和访问权限,就能最大限度的降低这种风险。
但目前大多数VPN产品都没有一种简单的机制来保证VPN的内网安全,SANGFORIPSecVPN采用VPN权限粒度分析技术,可以简单灵活的指定每个VPN用户的具体权限,可以细致到端口级别的权限。
通过这项技术可以使得指定的资源只有授权的用户才能访问。
如图4.4所示,使用SANGFORIPSecVPN,就可以通过VPN权限粒度保证高级权限的用户能访问总部的所有服务器,而
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SANGFORIPSec VPNV43 技术 白皮书 05