Juniper SSL VPN结合RSA双因素身份认证解决方案.docx
- 文档编号:8696739
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:15
- 大小:240.47KB
Juniper SSL VPN结合RSA双因素身份认证解决方案.docx
《Juniper SSL VPN结合RSA双因素身份认证解决方案.docx》由会员分享,可在线阅读,更多相关《Juniper SSL VPN结合RSA双因素身份认证解决方案.docx(15页珍藏版)》请在冰豆网上搜索。
JuniperSSLVPN结合RSA双因素身份认证解决方案
JuniperSSLVPN结合RSA双因素身份认证
实现远程用户安全接入解决方案
JuniperNetworks,Inc.
2009年3月
目录
1企业网络远程访问面临挑战4
2Juniper远程安全访问解决方案4
3Juniper远程接入解决方案5
3.1全面的远程接入5
3.1.1网络部署6
3.1.2无需安装客户端的远程安全接入7
3.1.3提高网络传输性能8
3.1.4用户使用界面自定制9
3.1.5系统日志和维护9
3.1.6高可用性配置9
3.2全面的远程接入安全保护10
3.2.1接入节点的安全10
3.2.2安全的数据传输11
3.2.3坚固安全的系统设备11
3.2.4动态全面的资源访问控制12
3.3安全访问系统的选择13
3.3.1Juniper远程访问系统产品线说明13
3.3.2产品的选择14
3.3.3产品的优势15
4RSASecurID双因素身份认证解决方案15
4.1概述15
4.2认证方式及原理16
4.3RSASecurID认证系统16
5SSLVPN+RSA双因素身份认证系统建立18
6SSLVPN+RSA双因素身份认证系统工作机制18
7用户使用19
8结束语20
企业网络远程访问面临挑战
随着信息技术的快速发展,为了提高服务的质量和水平、在市场竞争中取得优势,企业建立了内部局域网,使内部办公人员通过网络可以迅速地获取信息。
然而,随着个人电脑和互联网应用技术的普及,“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及,同时合作伙伴的人员也希望能访问到相应的信息资源,企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求,为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。
然而,要享受通过互联网访问企业内部的信息资源的便利,就需要实施适当的信息安全策略,在严格防止企业信息资源被非法窃取的同时,对合法的访问要提供方便,同时还需尽量降低信息安全策略的实施和维护成本。
信息安全涉及到信息的机密性、完整性、可用性、抗回放攻击等不同方面,针对OSI(OpenSystemInterconnection)模型提出了实现系统安全所需要的5种服务:
身份认证、访问控制、数据完整性、数据机密性和抗回放攻击,其中身份认证是信息安全中的第一道防线。
用户在访问安全系统之前,首先经过身份认证系统识别身份,然后根据用户的身份和授权决定用户是否能够访问某个资源,审计系统根据参数设置来记录用户的请求和行为,同时入侵检测系统实时或非实时地侦测是否有入侵行为,访问控制和审计系统都要依赖于身份认证系统所提供的“信息”—即用户的身份,可见身份认证是安全系统中最基本的安全服务,一旦身份认证系统被攻破,系统中所有的安全措施都将形同虚设。
因此,身份认证对信息系统的安全有着重要的意义。
在本方案中,我们注重介绍Juniper公司的SSLVPN产品结合RSA实现远程安全访问的解决方案。
Juniper远程安全访问解决方案
企业通过互联网数据传输设备,通过自己搭建加密的VPN实现安全接入的办法主要有两种:
一种是IPsecVPN,另一种是SSLVPN。
两种技术在不同领域各有其优势,在实施固定的站点到站点的用户远程访问时,建议采用站点到站点的IPsecVPN技术,在固定站点的两端安装IPsecVPN网关设备(如Juniper的NetScreen防火墙系列或路由器系列产品);
在实施移动用户终端设备通过互联网远程访问某固定站点时,建议采用SSLVPN技术,只需要在固定站点一端安装SSLVPN网关设备(如Juniper的SecureAccess系列产品),移动用户的终端设备无需预先安装任何额外软件,只需要有网页浏览器软件即可。
这种技术解决了传统上采用IPsecVPN做移动用户安全接入时需要安装和维护客户端软件的不便。
Juniper的SecureAccess系列产品(简称SA),从根本上解决了企业的远程接入问题,安全性高,而且性能稳定,部署快捷,维护方便,是为企业的远程员工、合作伙伴提供对内网应用和资源远程安全访问的最佳选择。
●极大的减少了工程投资
Juniper的远程安全接入解决方案极大的减少了工程的投资,SA设备的部署和维护都十分的简单,不需要任何客户端软件的安装,也不需要对服务器端进行特殊的设置,是可以通过很短时间的配置就可以为数以千计的用户提供远程接入的方案,同时这种方案不需要指定单独的客户端设备、不需要其他的安全设备和应用程序的支持,仅仅利用标准网页浏览器的安全功能就实现了安全的远程接入。
同其他的网络层的VPN设备一样,SA设备也兼容已经存在的网络服务器和网络资源,不需要再做单独的定制开发和软件集成,SA设备大大减少了系统部署的费用,由于不存在客户端软件的安装,也就减少了由此而引起的出差维护和管理的费用。
●提高了系统安全性
SA设备提供整体的网络安全设计,通过坚固的系统完成对外部应用请求的转换,同时对各种连接进行细粒度的访问控制,对于端点设备(如用户的PC等),可以进行端点安全属性的动态判断,从而动态分配给用户相应的访问权限。
而这种安全上的保障,是不以投资、复杂性和稳定性的牺牲为前提的。
Juniper远程接入解决方案
全面的远程接入
SA设备可以为用户提供方便安全的远程接入,可支持包括以下应用在内的多种应用:
•内部网络的内容应用和基于WEB的应用
•客户端/服务器应用
•所有的消息服务器(MSExchange,LotusNotes)
•文件服务器(MSCIFS,NFS)
•Telnet,SSH
•标准的邮件服务器(IMAP,POP,SMTP)
•其他应用:
包括TCP、UDP和ICMP和组播
下图描述了Juniper远程安全接入应用的简单模型,远程员工或者合作伙伴通过互联网连接到SA设备上,该设备通过认证、授权和中间转换等技术响应用户对内部资源的访问,而不需要对内部的服务器做任何的改动。
网络部署
企业网络需要部署处于互联网边界的防火墙,建议将Juniper的远程安全访问SA产品安装在用户网络的DMZ区。
在该互联网出口防火墙上,需要为SA设备映射一个合法可路由的公网IP地址,以便互联网的用户可以正常的连接到SA设备上,同时在防火墙上也需要添加相应的安全策略,使远程用户只能访问SA设备的SSLVPN的端口(HTTPS连接和/或IPsec连接),从而在开放了对SA设备的远程登陆的同时避免用户访问其他的内部网络。
用户在远程访问企业内部应用前首先需要进行身份认证。
身份认证可以采用SA设备的内部认证数据库,也可以采用外置的认证服务器进行身份认证。
Juniper的SA设备可以和多种认证服务器兼容,通过外置的认证服务器对远程用户的身份信息进行验证。
同时,为了保证业务的连续性,为远程的用户提供不间断的服务,可以采用Juniper的多台SA设备,配置成集群的模式,集群模式可以采用主备的模式,在一台SA设备发生故障的时候,另外的设备可以自动的接替它的工作;也可以采用多主的模式,对远程连接实现负载均担,提高网络的访问性能。
JuniperSA系统部署简便,可以串联入网,也可以并联旁路接入网络,不需要对网络进行复杂的调整。
无需安装客户端的远程安全接入
Juniper的SA远程安全访问系统,在无需安装客户端的前提下,利用端点设备已有的标准的WEB浏览器,通过浏览器支持的SSL安全协议,实现对企业内网的应用服务器的安全访问。
访问过程中,数据在互联网上以SSL加密的形式传输。
远程安全访问SA产品通过以下三种方式帮助远程客户端实现对企业内部应用服务器的访问。
核心WEB方式
核心方式(coreaccess)的访问采用标准Web方式,远程用户首先登陆到JUNIPERSA设备当中,进行相关的安全机制检查和身份认证,通过认证和授权后,直接点击JUNIPERSA登陆主页上的相关预定义好的网络标签实现对内部服务器的访问(当然也可以在主页里的对话栏里填入需要访问的内部Web服务器或文件服务器的名字或IP地址来访问该服务器的应用和资源)。
核心方式的访问下可访问如下的应用:
•安全的web应用访问:
对基于web的内容和应用提供支持,也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。
•安全的文件共享访问:
动态Windows和Unix文件(CIFS/NFS)的web化
•基于标准的E-mail客户端访问(outlookwebaccess)
•安全的终端访问:
对Telnet/SSH主机(VT100,VT320…)的访问
安全内容管理器
在安全内容管理器(SAM,secureapplicationmanager)方式中,远程用户首先登陆到JUNIPERSA系统当中,进行相关的安全机制检查和身份认证,通过认证和授权后,远程系统会自动加载一个小插件,这个插件可以将指定的网络访问进行重新的定向和SSL封装,将请求传给SA系统,由JUNIPERSA系统对请求进行解析,并且对企业内部的应用服务器进行访问请求。
SAM模式可以保证现有的客户化应用不受改变。
采用SAM的方式可以支持如下的应用:
•访问客户端/服务器应用,包括nativemessagingclients(MicrosoftOutlookandIBM/LotusNotes)
•其他的基于固定服务端口,较为简单的应用
SAM方式主要适合于进行基于静态TCP端口的C/S架构的相关访问之用。
网络层连接(networkconnect)
在网络层连接(networkconnect)方式中,远程用户首先登陆到JUNIPERSA系统当中,进行相关的安全机制检查和身份认证,通过认证和授权后,远程系统会自动加载一个小插件,这个插件会在用户的端点设备上生成虚拟网卡,并可以从JUNIPERSA系统中自动的获得一个IP地址、DNS服务器地址、和WINS服务器地址,从而实现对内部网络资源的访问,该种访问方式与IPSec类似。
采用NC的方式可以支持几乎全部的网络应用。
提高网络传输性能
远程访问的速度问题,一直是VPN系统需要解决的问题之一,与IPSec的VPN解决方案更方便,JuniperSA系统提供了更高的网络传输性能,采用的技术手段包括:
•利用预协商好的GZIP压缩机制来在对应用部分的流量在加密之前首先进行压缩处理,只对应用层的数据进行加密,不进行协议的再次封装,从而减少互联网上传送的流量,提高了网络传输的性能。
•提供隧道分割(SplitTunneling)能力,如果使用了NC或者SAM方式,系统通过设置可以完成只允许流向LAN的流量通过VPN连接器进行传输。
而去其他地方(如其他的互联网访问)的流量将通过客户端原有的网关之间访问。
•在实施NC方式时,JUNIPERSA系统可以根据网络状况(如是否发生地址翻译等)自动选择VPN的封装方式,情况允许时采用带宽消耗较小的IPsecVPN方式,否则采用对网络环境适应性更好的SSLVPN方式。
用户使用界面自定制
管理员可以自由调整用户登陆JUNIPERSA系统的标识与详细界面的外观,比如可以修改LOGO,界面的颜色等等,这样可以更好地匹配公司的风格。
同时管理员可以对不同的用户组实现不同的登陆界面和URL。
系统日志和维护
JUNIPERSA系统可以生成详细的日志信息,这些日志信息可以在本地保存,也可以传送给相应的SYSLOG服务器,由于SSL信道和认证子模块可以对客户端和服务器终端进行检查,并且记录下相关的信息,我们可以用这些日志进行审计。
管理员通过JUNIPERSA系统的日志管理器或者SYSLOG日志服务器,可以判断什么用户在指定的系统或者资源上做了什么访问。
同时可以利用日志管理器提供的过滤搜索功能,方便的查找出你想得到的信息。
同时,JUNIPERSA系统内部也提供了多种维护和调试的工具,如系统的状态显示、PING/TRACEROUTE/TCPDUMP等工具等。
高可用性配置
为了解决单机单点故障引起的远程访问的中断,JuniperSA设备支持HA功能。
可以支持状态保持下的主/备模式,当主SA设备出现故障(包括网络故障和主机故障),备份的SA设备就会自动的切换为主设备,接替原有设备的工作,由于多台集群设备之间实现了状态的自动同步,已有的用户连接不会中断。
配合流量负载设备,JuniperJUNIPERSA系统支持多主的负载均担方式,不仅可以实现备份功能,更可以扩大容量(如增加系统的并发用户数),又可以实现流量分担,提供访问的速度。
互为集群的设备之间,可以针对以下的信息进行同步。
•系统状态
•用户档案状态
•会话状态
•群集对
•多站点群集对
•主动/主动配置选项
全面的远程接入安全保护
Juniper的远程接入解决方案提供全方位的安全保护,从客户端的接入,到数据在互联网上的传输,再到SA接入设备,到对后台服务器的资源防护控制等各个方面,都提供了相应的安全机制。
接入节点的安全
节点安全机制检查
随着远程用户的接入,对于网络管理员来说,相当于将企业的办公网络进行了延伸,如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效,Juniper的JUNIPERSA系统提供全面的解决方案,可以对接入节点的安全策略进行检查,并且根据检查的结果,实施相应的访问控制。
并且允许管理员对以下的选项进行定制。
•和第三方节点安全解决方案整合,如InfoExpress,McAfee,Sygate,ZoneLabs等
•注册表参数检查
•开放/不允许的ports检查
•允许/不允许的进程检查
•允许/不允许的文件检查
•检查定制的dlls
•对第三方软件实施心跳检查
•应用认证检查(进程,文件MD5Hash)
•与赛们铁克的恶意软件防护功能相结合,提供了客户端对恶意软件访问的支持
访问缓存清除代理
如果远程用户使用了不可信任的远程主机,对企业的内部网络进行了访问,浏览器的缓存中将会保留一部分访问的数据,很容易造成敏感信息的意外泄漏,Juniper的JUNIPERSA系统为此提供了缓存清除的功能,用户在登陆内部网络的时候,自动在本地加载一个缓存清除代理,在用户正常注销或者非正常退出的情况下,清除系统的该次访问留下的会话数据和临时文件。
保证了敏感信息不会保留在客户端主机上。
对登陆用户的身份验证
JuniperSA系统支持数字证书的使用,可以单独的利用客户端的数字证书对用户身份进行验证,从而避免了输入用户名/密码的麻烦。
同时,JuniperSA系统还支持多种认证服务器(包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor认证,包括ActivCardActivPack™、RSASecurID®和SecureComputingSafeWord™PremierAccess™以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/ActSADirectory的用户组的特性,方便管理员定义策略。
同时我们也可以采用用户名、密码与数字证书相结合的方式,登陆的用户必须在递交合法的数字证书的同时,输入相应的用户名和密码,才能够登陆SA设备。
SA设备也提供了对用户端密码暴力破解的防护,为了防止字典探测攻击。
系统对多次登陆请求的频率进行了限制。
在本方案中,我们将采用RSA公司的SecurID双因素身份认证系统对远程接入用户进行身份验证。
安全的数据传输
远程访问的用户的数据在不可信任的互联网上传输的时候,采用了SSL加密的技术,保证了信息不会因为被侦听,窃取而造成重要信息的泄露。
SSL传输可以设定相关的加密的强度,为了安全需要,可以采用高强度的加密传输,数据的加密采用对称密钥的方式,系统缺省2分钟协商一次密钥信息,保证了恶意的攻击者无法得到准确的密钥。
如果用户提交的认证信息正确,系统将会发放一个授权的标记(TOKEN),在WEB请求当中,这个标记保存在一个加密的回话COOKIE当中,这种做法保证了系统不会受到冒认者的攻击。
因为一个攻击者需要来伪造一个会话的标记(TOKEN)才能达到冒认的效果,而这又是很难实现的,
同时在互联网上传输的数据包,其目的地址都是对于与SA设备的公网地址,也不会泄露网络内部服务器的网络拓扑。
坚固安全的系统设备
JuniperSA系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。
系统可以通过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性。
JuniperSA系统不运行通常的用户和程序服务,因此不会导致针对这些服务的攻击。
JuniperSA系统不允许管理员创建、维护系统级的用户帐号。
因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。
JuniperSA系统内部采用了内核级别的包过滤机制,利用预定义的一些规则,对进入系统的数据包进行判断和检查,保证了只有合法的数据包才可以进入或者通过JUNIPERSA系统。
JuniperSA系统上的所有信息都采用了AES的加密处理,保证了及时设备被进入或者被偷走,恶意的攻击者都无法看到系统中的相关信息。
JuniperSA设备的设计和开发过程通过多个安全专业保障公司和专家的审查和验证,TrueSecure,世界领先的针对互联网连接安全提供保证方案的组织,为JuniperSA设备进行了验证,并且提供了相关的报告,JuniperSA也是SSLVPN同类产品中唯一通过TrueSecure验证的产品,另外,DanFarmer(SATAN的作者,一位受人尊重的安全专家)和CryptographyResearch(SSL3.0的合作设计者)也对JuniperSA系统进行了审计和验证。
动态全面的资源访问控制
JuniperSA系统支持全面的细粒度的访问控制机制,真正实现了对用户身份(Who),访问的目的资源(What),时间(When),位置(Where)和方式(How)的动态控制。
•动态认证策略:
SA设备可以通过多种要素对用户身份进行认证,包括提供身份前检查和提供身份后检查,其中提供身份前检查的内容可包括:
源地址、网络接口(内/外)、证书、节点安全状况检查(包括主机检查和缓存清除)、浏览器、登录的URL、SSL版本和加密级别;提供身份后检查的内容可包括:
身份确定、证书特性、密码长度、同时登录用户数、目录服务密码等等;SA设备可以根据这些内容,将登陆的用户划分为相应的角色,并且基于角色实现授权。
另外上面的很大一部分检查都是一个动态的过程,SA设备可以定时的检查客户端的相关信息。
如可以定时的检查客户端的防病毒软件是否开启,如果用户在使用过程中关闭了防病毒软件,系统可能会因此在用户的访问过程中改变该用户所属的角色,重新为该用户分配相应的权限。
这样的话,就实现了一个动态的访问规则的控制。
•角色定义和访问手段的控制:
管理员可以定义用户属于一个或多个角色,对不同角色提供不同的访问权限。
对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问;对于不同的用户角色,管理员赋予不同的访问权限,首先是对访问方式的授权,如指定的用户只能通过WEB或者C/S方式进行等等
•对目的资源的访问控制策略:
对于不同的应用资源,管理员可以提供不同的访问策略,策略可以以IP地址为基础,也可以实现到基于URL级别或者文件级别的应用层的访问控制,
安全访问系统的选择
Juniper远程访问系统产品线说明
Juniper网络公司提供的系列SSLVPN远程访问系统可以根据用户应用情况、使用环境等的不同,提供四款不同型号的产品,来满足不同用户的实际需求。
ØSecureAccess700系列:
为中小企业提供经济高效的安全方式,支持员工远程安全的接入企业网络。
SecureAccess700系列支持的并发用户数为10-25个,可以根据license的不同进行限制。
SecureAccess700系列使用安全套接层(SSL)提供加密传输,因此,用户只需Web浏览器便可即时接入网络。
这消除了为每位用户安装、配置以及维护客户端软件的高昂成本。
由于使用SSL传输,SecureAccess700还消除了传统远程接入产品中常见的网络地址转换(NAT)和防火墙穿越问题。
SecureAccess700利用了网络连接技术,这扩展了最广泛的远程连接形式,且无需安装桌面系统软件,因为它使用了包含在标准Web浏览器中的安全协议。
ØSecureAccess2000系列和SecureAccess4000系列:
SSLVPN分别为中小型企业和大中型企业提供经济高效安全的远程接入。
SA2000系列支持的并发用户数为25-100个,SA4000系列支持的并发用户数为50-1000个,可以根据license的不同进行限制。
SA2000和SA4000系列使用所有标准Web浏览器中所使用的安全协议SSL作为安全接入传输机制。
SSL的使用使客户不再需要部署客户端软件、修改内部服务器或进行成本高昂的后期维护。
SecureAccess产品还可以提供先进的合作伙伴/客户外联网特性来只允许特定用户和用户组接入,而且只需要很少甚至根本不需要基础设施修改、DMZ部署或软件代理程序。
这一功能还使企业可以保护企业内联网接入的安全性,使管理员可以根据不同员工、承包商和访问者需要的资源来限制他们的接入权限。
该系列产品可以部署在经济高效的群集对(ClusterPair)中以提供企业需要的冗余性、高可用性和无缝的故障切换功能。
ØSecureAccess6000系列:
SSLVPN可以为那些有大量安全接入和复杂授权要求的企业提供一流的性能、可扩展性和冗余。
单台SA6000系列支持的并发用户数为100-2500个该产品系列专门设计用于满足最严格的性能要求--支持大量用户、资源密集型应用程序和复杂的使用模式--以提供更高的可扩展性。
SA6000系列产品可以提供丰富的接入管理策略实施功能,使企业可以为大量差分用户提供安全远程接入的优势,同时轻松而经济高效地保护外联网和内联网的安全性。
借助NetScreen-SA6000,企业就可以获得安全的合作伙伴/客户外联网的优势,同时最大限度地减少成本很高而且需要大量维护工作的基础设施修改、DMZ部署和/或分布式软件代理程序。
SA6000产品系列还可以用于保护企业内联网安全性。
此外,由于SA6000产品可以集中管理并以多单元和多站点群集的方式部署,所以这种安全解决方案易于管理而且可扩展。
SA6000产品可以提供企业级性能可扩展性和高可用性,其特性包括可提供4个千兆以太网端口、1个带外管理以太网口、1个console口,SSL硬件加速和基于硬件的HTTP压缩功能,因此可以提供最高的性能。
这些产品既可以作为独立设备以群集对(ClusterPairs)方式部署,又可以部署为多单元群集(Multi-U
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper SSL VPN结合RSA双因素身份认证解决方案 VPN 结合 RSA 因素 身份 认证 解决方案