天津亚希尔Juniper SSL VPN标准方案.docx

天津亚希尔Juniper SSL VPN标准方案.docx

《天津亚希尔Juniper SSL VPN标准方案.docx》由会员分享，可在线阅读，更多相关《天津亚希尔Juniper SSL VPN标准方案.docx（26页珍藏版）》请在冰豆网上搜索。

天津亚希尔JuniperSSLVPN标准方案

JuniperSSLVPN

远程安全接入解决方案

JuniperNetworks

编辑记录：

文档版本号

编辑人员

修改完成日期

编辑说明

V1.0

孙阳

2007-3-5

将“XXX公司”替换“公司名”即可

目录

1VPN（虚拟专有网络）技术兴起的背景3

2XXX公司远程接入面临的挑战以及应对之策4

2.1公司远程接入网络的现状4

2.2如何构建应用系统远程接入网络平台5

2.3如何部署以及管理远程访问系统6

2.4如何保证远程接入平台及构筑于其上的应用系统的安全7

3增强远程接入系统抵御内部的入侵和攻击的能力8

3.1IDP技术增强了网络抵御风险的能力8

3.2JuniperIDP入侵防御产品的解决之道9

4Juniper远程访问业务系统解决方案11

4.1全面的远程访问接入12

4.1.1网络部署12

4.1.2无需安装客户端的远程安全访问13

4.1.3提高网络传输性能15

4.1.4用户使用界面自定制15

4.1.5系统日志和维护15

4.1.6高可用性配置15

4.2全面的远程接入安全保护16

4.2.1接入节点的安全16

4.2.2安全的数据传输17

4.2.3坚固安全的系统平台17

4.2.4动态全面的资源访问控制18

4.3安全访问产品的选择19

4.3.1Juniper远程访问系统产品线说明19

4.3.2产品的选择20

4.4管理远程访问系统20

4.4.1管理配置20

4.4.2系统日志和维护21

4.4.3管理员权限分配21

5Juniper解决方案为XXX公司带来的优势21

6Juniper公司简介22

1VPN（虚拟专有网络）技术兴起的背景

在经济全球化的今天，随着网络，尤其是网络经济的发展，客户分布日益广泛，合作伙伴增多，移动办公人员也随之剧增。

传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。

在这样的背景下，远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。

　　而在传统的企业组网方案中，要进行远程LAN到LAN互联，除了租用DDN专线或帧中继之外，并没有更好的解决方法。

对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。

这样的方案必然导致高昂的专线租用费及长途电话费。

于是，虚拟专用网VPN（VirtualPrivateNetwork）的概念与市场随之出现。

利用VPN网络能够使远程用户方便的接入企业网络并访问企业的内部资源，同时还能够节省大笔的专线租用费及长途电话费。

公众信息网是对整个社会开放的公众基础网络，具有覆盖范围广、速度快、费用低、使用方便等特点。

虚拟专用网（VirtualPrivateNetwork）简称VPN，是建立在公共网络平台上的虚拟专用网络。

VPN技术就是利用公众信息网中传输,就如同在茫茫的广域网中为用户拉出一条专线。

对于用户来讲，公众网络起到了“虚拟专用”的效果。

VPN可以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。

就如同在Internet这条公共路上临时开辟了一条临时专用通道，让我们企业的数据能够快速、安全的抵达目的。

通过VPN，网络对每个使用者也是专用的。

也就是说，VPN根据使用者的身份和权限，直接将使用者接入他所应该接触的信息中。

所以VPN对于每个用户，也是“专用”的，这一点应该是VPN给用户带来的最明显的变化。

　　所以，使用VPN技术来进行远程接入，具有方便、经济、安全、低复杂性的特点。

所以该技术的出现迅速得到了市场的认同，该技术降低了远程接入的门槛，使得构建企业远程接入网络时最头疼的问题迎刃而解，例如：

接入地点分散、费用高、当地电信运营商技术条件不高、维护不便。

2XXX公司远程接入面临的挑战以及应对之策

2.1公司远程接入网络的现状

图一

XXX公司的现有网络架构如上图，现在的远程接入方式采用IPsecVPN技术，总部使用带有IPsecVPN功能的CiscoPIX防火墙、各接入点使用带有IPsecVPN功能的路由器，必须每个接入点都部署相关IPsecVPN设备。

应用服务器部署在防火墙的DMZ区。

现有的IPsecVPN远程接入平台的用户大约在23家，远程接入平台未来将要扩展到能够承载200～300个远程用户的业务处理。

现在存在接入速度慢、部署复杂、维护困难、信息安全等问题。

接入速度慢、掉线的问题，很大一部分是由于南北两大电信运营商：

网通和电信的互联互通问题造成的。

可以通过总部使用网通和电信双出口的方式解决。

部署复杂和维护困难主要是由于各接入点分散、各地的技术力量参差不齐，现阶段该问题已经初露端倪，如果远程接入用户进一步扩展，必然会出现运维困难，业务中断的情况。

信息安全问题，主要由于各个接入点的情况不能够很好的掌控，IPsecVPN虽然解决了数据在Internet上传输的数据安全，但由于IPsecVPN没有相应的安全机制来控制每个远程接入点对总部资源的访问，实际上使整个远程接入业务平台暴露在不可信任的各个远程接入者面前。

如何保证各个接入点很好的遵循企业的安全策略，避免发自内部的攻击和泄密，就成为XXX公司远程接入业务平台的严峻挑战。

2.2如何构建应用系统远程接入网络平台

随着信息技术的快速发展，为了提高服务的质量和水平、在市场竞争中取得优势，XXX公司建立了内部局域网以及构架与其上的应用业务系统，使内部办公人员可以通过网络迅速地获取信息或处理业务。

同时，随着个人电脑和互联网应用技术的普及，移动办公人员、合作伙伴远程访问企业内部局域网资源的需求也逐步提上日程。

企业的IT管理人员面临：

如何将远程办公模式作为内部办公网络的延伸以及对合作伙伴人员提供业务系统接入、为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。

现有的VPN远程接入方式主要有两种：

IPsecVPN和SSLVPN。

这两种技术各具特色，各有千秋。

SSLVPN比较适合用于单点用户的远程接入（Client-Site），而IPSecVPN则在网对网（Site-Site）的VPN连接中具备先天优势。

这两种产品将在VPN市场上长期共存，优势互补。

在产品的表现形式上，两者有以下几大差异：

1、IPsecVPN多用于“网—网”连接，SSLVPN用于“点—网”连接。

SSLVPN用户使用标准的浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络；而IPSecVPN的用户需要安装配置硬件设备或专门的IPSec客户端软件。

2、SSLVPN是基于应用层的VPN，而IPsecVPN是基于网络层的VPN。

IPsecVPN无法对应用做到细致有效的保护；而SSLVPN则在这方面更有优势，。

3、SSLVPN用户不受上网方式限制，SSLVPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。

对于一些电信业务比较落后的二、三线城市，SSLVPN无疑更具有优势。

4、SSLVPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。

而IPSecVPN需要管理通讯的每个节点，网管专业性较强，工作量大。

5、SSLVPN更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：

radius、AD等）结合更加便捷。

而IPSecVPN主要基于IP五元组对用户进行访问控制。

对于XXX公司的远程接入业务平台，可以采用IPsecVPN与SSLVPN并存，以SSLVPN为主的方式，由于大部分的远程接入点仅需要一台PC接入，SSLVPN的无客户端、不受上网方式限制特性，使得我们几乎无需维护分散的各个接入点，无疑为部署和维护以及整套业务系统的平稳运行带来巨大的帮助。

而对于需要整网接入总部的合作伙伴或者分公司，我们仍可使用现有的IPsecVPN设备，使得整个方案既能够物尽其用，又具有良好的灵活性。

NetScreenSA系列的远程接入产品是广受好评的SSLVPN产品，采用的是InstantVirtualExtranet（IVE）的系统平台，客户只要有标准的web浏览器，无需进行任何部署获安装硬件、软件客户端设备，也无需对内部服务器进行任何修改，没有地址翻译穿越的影响，也不受私有地址冲突的影响，而且几乎不需要任何后期维护，所以可以方便地让用户安全地接入网络。

2.3如何部署以及管理远程访问系统

通常的基于客户端的VPN解决方案，在部署的时候，无论是VPN服务器，还是数量众多的客户端，都需要花费大量的资金，并且在系统的管理和维护上也需要IT部门大量的时间。

而部署Juniper远程访问系统则很简单，只需要进行下面几个步骤：

1．安装并且启动远程访问系统硬件――SA6000；

2．将SA6000接入INTERNET,并且进行简单的网络设置和用户访问控制设置，如接口的IP地址、用户的认证授权服务器等；

3．告诉你的员工、客户和合作伙伴你已经可以提供这项服务，告诉他们URL地址，通过这个地址可以远程访问内部的资源。

系统的管理采用WEB的方式，简单易用，你可以采用标准的WEB浏览器来访问和管理配置该设备。

IVE的管理和配置可以分为如下几个功能模块：

1．系统管理器

显示当前系统资源使用状况，允许你远程重启或者关掉系统，同时也支持许可证的安装，系统升级管理和NTP时间同步管理等。

2．配置管理器

支持系统配置的导入/导出，你可以将系统恢复到以前的某个配置，也可以将配置导入另外的系统当中。

3．用户（组）管理器

管理员可以浏览和管理IVE系统中的用户（组），修改相关的用户的连接属性和IP访问规则，同时也支持对基于用户（组）的网络标签（Bookmark）的设置。

4．访问控制管理器

管理员可以集中的管理每个用户组的访问权限，可以定义用户允许或者不允许访问指定服务器上的网络资源，访问控制策略可以细化到文件共享和URL以及子目录级别。

5．日志管理器

管理员可以登陆到IVE服务器，实时的浏览日志，也可以通过设置SYSLOG日志服务器的方式，自动的接收日志。

6．用户界面定制管理器

管理员可以定制系统的用户界面，可以加入企业的LOGO，颜色配置等等。

7．证书管理

简化WEB服务器证书和客户端证书的管理。

2.4如何保证远程接入平台及构筑于其上的应用系统的安全

要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。

整套远程接入平台的安全实际上可以分为两个层面，一方面是数据在传输中的安全、一方面是系统本身如何规范与抵御内部使用者的不当行为。

在数据传输安全方面：

安全协议安全套接层（SSL）技术是一项在互联网上广泛实施的标准安全协议，全面支持认证和加密，所有标准web浏览器都支持SSL。

基于贵公司的安全接入模式，我们建议大部分的用户采用SSLVPN方案。

本方案将重点强调NetScreen的SSLVPN产品的特点。

规范与抵御内部使用者的不当行为方面：

NetScreen-SA系列的远程接入产品可以强制对远程用户的安装防火墙及防病毒软件做出要求。

NetScreenIVE系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合，如SygateEnforcementAPI、SygateSecurityAgent、ZoneLabs:

ZoneAlarmProandZoneLabsIntegrity、McAfeeDesktopFirewall、InfoExpressCyberGatekeeperAgent等，用户只需要用鼠标选择一些选项便可完成。

而且用户还可以自行定义强制检查其它的运行程序或windows注册表项目。

并且NetScreen-SA系列在安全策略上实施的是应用层面的安全策略，可以比IPsec更加细化，它可以依照使用者的权限严格定义他们能够接触到的信息资源。

同时，屏蔽他们任何不当的网络行为；由于NetScreenSA系列的远程接入产品是坚固可靠的应用层网关，采用应用层面的安全策略后，内部的应用服务器可以得到有效保护，而不必将服务器的第4层端口完全暴露给外部；前端的防火墙上只需配置打开tcpSSL端口的策略即可。

3增强远程接入系统抵御内部的入侵和攻击的能力

3.1IDP技术增强了网络抵御风险的能力

在IT行业历史的安全事件中，无论是1988年的莫里斯蠕虫病毒（Worm）、后门（Rootkit）还是90年代的IP欺骗、2000年的分布式拒绝服务攻击（DDoS）、2001年的HTTP蠕虫和2003年的蠕虫王（SQLSlammer）和冲击波（MSSlammer），都直接揭示了当时网络安全技术和产品的死角，我们没有办法完全避免这些死角，但我们可以通过部署成熟的网络安全技术与产品、提供资深的安全服务来帮助用户应付最新的安全威胁。

网络入侵防御系统（IDP）是一项很新的网络安全技术，目前虽只有几年的历史，但已受到广泛的关注，它的出现是对原有安全系统的一个重要补充。

入侵检测系统收集计算机系统和网络的信息，并对这些信息加以分析，对保护的系统进行安全审计、监控、攻击识别以及作出实时的反应来保护企业的信息安全。

入侵防御产品可以实现如下功能：

（1）拦截对网站构成严重威胁的恶意访问（包括未授权访问）；

（2）防止拒绝服务（DoS）攻击；

（3）遏制和隔离病毒/蠕虫等恶意流量的攻击；

（4）识别和拦截应用攻击；

（5）防止非善意的网络侦察；

（6）监控进出网络的访问和流量；

（7）迅速定位来自内部的恶意流量源和未授权访问发起点。

3.2JuniperIDP入侵防御产品的解决之道

NetScreen-IDP产品用来监控它所在的网络。

这个传感器是运行着IDP传感器软件的硬件设备（称作IDP设备）。

传感器的主要作用是在IDP规则库里所定义的特定规则的基础上，检测可疑的和不正常的网络流量。

如果这个传感器运行在in-line模式，它也可以针对恶意流量采取预定的动作。

图二

NetScreen-IDP设备支持不同的工作模式，各种工作模式具有各自不同的特点。

在实施过程中，有可能在不同的实施阶段需要不同的工作模式达到特定的目的。

IDP的实施过程是一个较为复杂的过程，涉及网络业务内容、攻击类型、安全级别等多方面的因素。

因此对IDP设备的实施不是一个简单的过程，NetScreen建议采用一个三段式实施步骤，引导如何从打开包装开始，直到IDP系统可以对网络的攻击进行预防，完全发挥功能。

这个过程为嗅探模式->微调->线内模式。

这个有顺序的实施过程是最有效和直接的方式。

图三

1）第一阶段，嗅探模式

在这个阶段，将在网络中实施嗅探模式的IDP系统。

此时IDP起到一个被动入侵监测系统的作用。

安装一个管理主机和管理接口软件，并且装入能够立即开始生成安全日志的安全策略，以便随时回顾日志记录。

2）第二阶段，微调

在第二个实施阶段，将开始定制安全策略以减少误报、漏报率，检测到真正的针对网络的攻击。

在这个阶段将会开始理解网络流量的种类，并学习识别良性和恶意的行为。

在这第二个实施阶段，并没有准备丢弃包含恶意事件的网络流量，但是可以认出这些事件并产生告警，以提醒用户注意这些攻击企图。

在第三个阶段，就可以真正预防这些攻击，使它们根本不会奏效。

3）第三阶段，线内模式

在实施的最后一个步骤，将IDP从被动的嗅探模式迁移到主动的线内模式，以便使之能够在恶意流量到达网络之前将它们丢掉。

在这个阶段里，用户将会开始理解IDP系统独一无二的特性，以及在攻击发生时检测并通知的能力，但现在它可以真正地保护网络防止被那些攻击产生破坏了。

在第三阶段：

●重新配置IDP系统使之工作在线内模式。

第二阶段已经微调了IDP，此后，就可以准备将IDP直接放到网络流量的线上了。

使用基于web页面的设备配置管理器（ACM），把IDP系统实施为具有完全网络保护能力的线内模式

●检查日志记录，看看IDP发现了什么，警告了什么

一旦设备工作在线内，请检查日志记录、做进一步微调，在这个多次重复的过程中确认IDP确实以所希望的方式工作。

●在IDP规则库中将“DROP”指令加入到规则中。

这是最后一步，修改IDP的规则库使之包含丢弃动作，将修订过的安全策略加载到IDP传感器上。

4Juniper远程访问业务系统解决方案

图四

在我们的方案中，在原有网络基础上增添了：

1.JuniperSSG520防火墙一台

2.JuniperSA6000SSLVPN两台（双机冗余）

3.JuniperIDP200入侵防御一台

4.电信Internet接入线路一条（实现双线接入）

该方案所有的设备部署在总部，为解决南北互连问题使用了双线接入。

所有的远程用户无需安装部署任何客户端软件或者硬件，只需要能够联入Internet并使用浏览器即可进行远程连接的建立。

如此以来，能够让我们快速部署远程业务，并在日后的管理维护中享受到巨大的便利。

由于JuniperSA6000产品具有严格的权限划分和资源保护能力，而且他还能够与保护应用服务器的IDP设备联动，使得整套远程接入平台系统以及平台承载的业务得到最周到的保护。

4.1全面的远程访问接入

IVE平台可以为用户提供方便安全的远程访问，包含但不局限于以下应用：

✓内部网络的内容应用和基于WEB的应用

✓客户端/服务器应用

✓所有的消息服务器（MSExchange,LotusNotes）

✓文件服务器（MSCIFS,NFS）

✓Telnet,SSH

✓标准的邮件服务器（IMAP,POP,SMTP）

下图描述了Juniper远程安全访问应用的简单模型，远程员工或者合作伙伴通过INTERNET连接到IVE设备上，该设备通过认证、授权和中间转换等技术响应用户对内部资源的访问，而不需要对内部的服务器做任何的改动。

图五

4.1.1网络部署

XXX公司网络需要部署边界的网络防火墙，将企业的网络划分为两个部分：

内网和服务器区，一般来说，远程的用户对企业内部网络的访问主要是针对服务器区的一些重要的应用服务器，如OA系统、业务系统、邮件系统等等。

我们建议将Juniper的远程访问系统安装在用户网络的DMZ区。

在企业的出口防火墙上，需要为IVE设备映射一个合法可路由的IP地址，以便互联网的用户可以正常的连接到IVE设备上，同时在防火墙上也需要添加相应的安全策略，远程用户只能访问IVE设备的443端口（HTTPS连接），对IVE设备和内部服务器进行保护。

同时我们也需要不是身份认证服务器对远程用户的身份信息进行验证。

对于XXX公司网络，由于已经部署了PKI系统，可以利用X.509格式证书认证的方式，来实现远程用户的访问。

远程的用户首先通过WEB浏览器登陆IVE设备，向IVE递交相应的证书，IVE验证客户端证书后，可以向相应的LDAP服务器进行查询，得到该证书的相关属性，并且进行访问的授权，这样的话，用户就可以访问内部相关的服务器资源。

远程用户的客户机与IVE设备之间的通讯，采用了SSL加密的手段，也就保证了这些敏感的数据在不可信任的互联网上的安全传输。

同时，为了保证业务的连续性，为远程的用户提供不间断的服务，可以采用Juniper的多台IVE设备，配置成集群的模式，集群模式可以采用主备的模式，在一台IVE设备发生故障的时候，另外的设备可以自动的接替它的工作；也可以采用多主的模式，对远程连接实现负载均担，提高网络的访问性能。

下图是JuniperIVE设备部署的一个典型的拓扑图：

图六

4.1.2

无需安装客户端的远程安全访问

Juniper的IVE远程安全访问系统，在无需安装客户端的前提下，利用系统已有的标准的WEB浏览器，通过浏览器支持的SSL安全协议，实现对企业内网的应用服务器的安全访问。

访问过程中，重要数据在互联网上以SSL加密的形式传输。

IVE系统通过以下三种方式帮助远程客户端实现对企业内部应用服务器的访问。

核心WEB方式

核心方式（coreaccess）的访问采用标准WEB方式，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，直接点击IVE系统主页上的相关预定义好的网络标签实现对内部服务器的访问。

核心方式的访问支持如下的应用：

✓安全的web应用访问：

对基于web的内容和应用提供支持，也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。

✓安全的文件共享访问：

动态Windows和Unix文件（CIFS/NFS）的web化

✓基于标准的E-mail客户端访问（outlookwebaccess）

✓安全的终端访问：

对Telnet/SSH主机（VT100,VT320…）的访问

CORE方式主要适合于远程合作伙伴或者用户进行WEB访问之用。

安全内容管理器

在安全内容管理器（SAM,secureapplicationmanager）方式中，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，远程系统会自动加载一个小插件，这个插件可以将指定的网络访问进行重新的定向和SSL封装，将请求传给SA系统，由IVE系统对请求进行解析，并且对企业内部的应用服务器进行访问请求。

SAM模式可以保证现有的客户化应用不受改变。

采用SAM的方式可以支持如下的应用：

✓访问客户端/服务器应用,包括nativemessagingclients（MicrosoftOutlookandIBM/LotusNotes）

✓其他的基于固定服务端口，较为简单的应用

SAM方式主要适合于远程合作伙伴或者用户进行C/S架构的相关访问之用。

网络层连接（networkconnect）

在网络层连接（networkconnect）方式中，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，远程系统会自动加载一个小插件，这个插件可以从IVE系统中自动的获得一个内部网络的IP地址，从而实现对内部网络资源的访问，该种访问方式与IPSec类似。

采用NC的方式可以支持几乎全部的网络应用，包括相对复杂的视频会议、IP电话等等。

一般来说这种方式的访问适合于网络管理员进行远程管理用。

4.1.3提高网络传输性能

远程访问的速度问题，一直是VPN系统需要解决的问题之一，与IPSec的VPN解决方案方便，JuniperIVE系统提供了更高的网络传输性能，采用的技术手段包括：

✓利用预协商好的GZIP压缩机制来在对应用部分的流量在加密之前首先进行压缩处理，只对应用层的数据进行加密，不进行协议的再次封装，从而减少互联网上传送的流量,提高了网络传输的性能。

✓提供隧道分割（SplitTunneling）能力，如果使用了NC或者SAM方式，系统通过设置可以完成只允许流向LAN的流量通过VPN连接器进行传输。

而去其他地方（如其他的互联网访问）的流量将通过客户端原有的