Fortinet安全解决方案VPNWord格式文档下载.docx
- 文档编号:14523521
- 上传时间:2022-10-23
- 格式:DOCX
- 页数:11
- 大小:1.46MB
Fortinet安全解决方案VPNWord格式文档下载.docx
《Fortinet安全解决方案VPNWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《Fortinet安全解决方案VPNWord格式文档下载.docx(11页珍藏版)》请在冰豆网上搜索。
在独立防火墙和VPN部署方式下,防火墙无法对VPN数据流量进行任何访问控制,由此带来安全性、性能、管理上一系列问题。
因此,在防火墙安全网关上集成VPN能提供一个灵活、高效、完整安全方案,是当前安全产品发展趋势。
它可以保证加密流量在解密后,同样需要经过严格访问控制策略检查,保护VPN网关免受DoS攻击和入侵威胁;
提供更好处理性能,简化网络管理任务,快速适应动态、变化网络环境。
因此,VPN技术已经成为安全网关产品组成部分。
FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身综合安全网关,可以提供各安全功能之间完美联动、良好兼容性和性能。
FortiGateVPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议,提供了前所未有方便和灵活选择。
对远程移动用户或企业出差用户来说,既可以使用Windows等系统自带PPTP/L2TP拨号软件,也可以使用IPSec客户端软件FortiClient和企业建立VPN连接,还可以直接使用IE浏览器,通过Web方式创建基于SSLVPN隧道。
应用PPTP、L2TP、SSL好处是方便使用,不需要附加软件。
而用IPSec客户端软件好处是高度安全性保证,可以采用动态密钥保证数据安全。
在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN连接和数据高度安全控制。
配置简单灵活。
由于充分利用了专用ASIC芯片技术,处理复杂VPN加密和认证过程,极大加快了VPN通道建立速度和数据加/解密处理时间,达到了极高VPN处理速度。
内容处理器以独特设计方式,解决了防火墙设备处理高速加密数据流瓶颈问题,并通过简单易用WEB管理提供给用户人性化管理界面。
高性能VPN加密处理(DES,3DES,AES,MD5,SHA1)使企业可以充分利用VPN技术构建自己Intranet网络,无须考虑设备处理速度影响,256位AES算法更提供了业界最高级别安全防御体系,使企业内部数据可以无忧地在公网上传输,以达到企业内部网络安全扩展目。
而今,迅速发展广域网技术使公网带宽成倍增长,同时又为企业VPN网络提供了广阔发展空间。
2.IPSecVPN解决方案
企业Intranet网络建设VPN连接方案,利用IPSec安全协议VPN和加密能力,实现两个或多个企业之间跨越Internet企业内部网络连接,实现了安全企业内部数据通信。
通过网关内部策略控制体系对VPN数据可以进行有效控制和管理,使企业内部网络通信具有良好扩展性和管理性。
如下图所示,IPSecVPN部署都是成对进行,既可以在设备与设备之间(例如总部FortiGate与分支机构、合作伙伴、SOHO办公等节点FortiGate)建立IPSecVPN隧道,又可以在设备与客户端软件(例如总部FortiGate与移动办公用户PC上安装FortiClientVPN客户端软件)间建立。
通过在广域网各个节点上安装部署IPSecVPN设备或软件,并进行适当设置,便可建立全网IPSecVPN隧道,使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet数据传输均经过IPSecVPN加密及认证保护,黑客无法在途中窃取、篡改或破坏数据。
上图中总部与分支机构A、移动办公用户之间IPSecVPN隧道用红色虚线表示,实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSecVPN通信。
FortiGateIPSecVPN有如下常见场景:
●LAN-LANVPN
LAN-LANVPN是两个局域网之间VPN,在两个局域网Internet出口处部署VPN网关实现,通常有以下几种环境:
Ø
两个局域网均使用静态公网IP地址接入Internet:
最简单、经典VPN应用;
其中一个或两个局域网使用动态公网IP地址接入Internet,例如ADSL方式:
可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立VPN隧道双方均使用FQDN域名与对方通信;
其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址(静态或动态IP地址均可),分支机构使用私网IP地址:
可以使用拨号VPN方式建立隧道,由分支机构向总部公网IP地址或FQDN域名发起连接,总部无须事先知道分支机构使用IP地址。
利用NAT穿越技术,FortiGate可以在NAT环境下,保证VPN正常通信。
当前在国内IP地址紧张情况下,很多分支机构都是通过服务商提供私有网络地址连接公网,在服务商网络出口处统一进行地址转换。
在这种情况下,只有支持NAT穿越技术VPN产品能够适应服务商NAT环境。
●拨号VPN
拨号VPN与点对点VPN不同,VPN隧道双方不是对等角色,而是一方扮演服务器,一方扮演客户端,通常用于大量分支节点接入一个中心节点环境,例如集团公司大量分支机构及移动办公用户都通过IPSecVPN与总部连接,并进行数据交换。
拨号VPN客户端既可以使用FortiGate设备(如分支机构节点),也可以使用FortiClient客户端软件(如移动办公用户)。
FortiClient具有PC和手机版本,支持Windows2000以上PC操作系统及Android、iOS等系统智能终端,移动办公用户可以使用多种接入终端设备(PC、智能手机、Pad等)接入VPN网络,扩展了VPN网络覆盖度。
使用客户端方式实现拨号VPN方式时,在核心VPN网关上可以通过配置向导功能,简单选择选项、填写参数,并点击下一步,即可完成复杂IPSecVPN配置。
FortiGate支持多种身份认证方法,包括预共享密钥和数字证书认证,X.509数字证书认证可以与企业或机构现有PKI体系相结合,提供更高级别安全保护。
FortiGate支持离线或SCEP在线申请数字证书方式,FortiClient软件支持PC本地存储或USBKey存储数字证书,使用更加灵活方便。
除预共享密钥及数字证书外,FortiGate还支持本地用户、Windows域、Radius、LDAP、TACACS+等方式用户名和密码认证,在预共享密钥及数字证书基础上进一步提高安全性。
●星形VPN(Hub-Spoke)
在实际应用中,很多时候也需要进行多个节点之间VPN互访,如下图所示,除了总部与分支机构A、B之间通信外,分支机构A和B之间也需要进行数据交换。
FortiGate可以通过星形VPN或全网状VPN来实现这一需求。
FortiGate使用Hub-Spoke方式实现星形VPN。
在此结构下,各分支机构、合作伙伴、SOHO及移动用户都与总部建立VPN隧道,而分支节点之间互访都是通过总部节点进行,例如上图中分支机构A和B之间数据通信都绕经总部FortiGate设备进行。
对于快速扩张企业或机构,星形VPN具有好扩展性,新VPN分支节点只需跟中心节点之间建立一条VPN通道,便可很容易加入到Hub-Spoke星形结构中,实现与现有VPN网络中所有节点通信;
且只需要中心节点(总部)具有一个公网IP地址,其余节点均可以使用私网IP地址。
星形VPN缺点是中心节点故障将导致所有分支节点也无法互访。
●全网状VPN(FullMesh)
通过全网状VPN部署方式,可以克服星形VPN中心节点故障而导致所有分支节点无法互访缺点。
如下图所示:
在全网状VPN结构下,每两个节点之间都建立直连IPSecVPN隧道,无需第三方介入即可直接通信。
全网状VPN优点是任意一点故障都不会影响其它节点互访,但它也有明显缺点,一是配置工作量大,且扩展比较复杂,每一个新加入VPN网络节点都需要与其它节点一一建立VPN隧道;
二是对网络环境要求更高,例如如果分支机构A和B都使用私网IP地址,便无法直接建立VPN。
星形VPN和全网状VPN都可以使用FortiManagerVPN管理功能快速配置,从而减少VPN管理员配置难度和工作量。
●基于策略与路由模式VPN
除了传统基于策略IPSecVPN外,FortiGate还支持基于路由VPN,在IPSecVPN隧道上建立虚拟接口,IPSecVPN数据传输都在虚拟接口之间进行。
如上图所示,物理接口之间进行VPN隧道协商,虚拟接口之间进行数据通信。
在FortiGate上,IPSecVPN虚拟接口与物理接口一样可以进行路由、安全策略等设置。
使用基于路由VPN,可以很容易实现更多高级功能:
在VPN隧道中实现OSPF、BGP等动态路由或组播路由;
通过静态路由、动态路由、策略路由、等值路由等实现VPN链路冗余或负载分担;
远程拨号VPN用户可以使用VPN链路访问Internet,一来可以提高访问安全性,二来便于企业或机构对移动办公用户上网行为进行过滤和监控;
●透明模式下VPN
通常IPSecVPN都是在路由/NAT模式下实施,但有时根据网络结构,VPN网关需要配置为透明模式,如下图所示,内网PC网关指向路由器192.168.1.1,FortiGate工作于透明模式。
在这种情况下,FortiGate仍然能够根据管理员设置VPN策略,截获来自于内网PC向远端局域网访问请求,然后使用IPSecVPN进行加密封装后发往对端FortiGate设备;
当对端FortiGate设备返回数据时,FortiGate也能进行解密操作并转发回内网PC。
●相同IP地址段间VPN
通常情况下,VPN网络两端局域网应当使用不同IP地址段,以免发生IP地址冲突,但由于机构合并,或某些比较老网络在规划时并未考虑到将来可能VPN互联,而在不同分支节点使用了同一段IP地址,如下图所示,分支机构A和B都使用了192.168.1.0/24这一段IP地址。
利用FortiGateIPSecVPN双向NAT功能,可以支持这种相同IP地址段间IPSecVPN通信需求。
通过将两端IP地址段进行NAT转换后再进入IPSec隧道,例如转换为192.168.2.0和192.168.3.0,便可顺利将这两个192.168.1.0/24网络通过IPSecVPN连通。
●VPN隧道中安全过滤
单独VPN网关主要功能是IPSec数据包加密/解密处理和身份认证,没有很强访问控制功能(防火墙过滤、防病毒、入侵防御等)。
而由于VPN加密特性,使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输,在独立安全网关和VPN部署方式下,安全网关无法对VPN隧道中加密信息进行任何安全过滤,病毒、攻击等可以很容易通过VPN在广域网各节点之间传播扩散,由此带来安全性、性能、管理上一系列问题。
因此,将VPN和其它安全功能集成,提供一个灵活、高效、完整安全方案,是当前安全技术发展趋势。
它可以保证加密流量在解密后,同样需要经过严格访问控制策略检查,保护VPN网络免受病毒、入侵等威胁;
FortiGate便是一个集VP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Fortinet 安全 解决方案 VPN