技術(shù)建議書-H3C遠(yuǎn)程安全接入解決方案V1

遠(yuǎn)程安全接入解決方案技術(shù)建議書杭州華三通信技術(shù)有限公司HBCITolP解決方案專家目錄TOC\o"1-5"\h\z\o"CurrentDocument".遠(yuǎn)程接入模式分析 4. VPN技術(shù)介紹 5\o"CurrentDocument"2.1.VPN定義 5\o"CurrentDocument"2.2.VPN的類型 5\o"CurrentDocument"2.2.1AccessVPN 62.2.2IntranetVPN 62.2.3ExtranetVPN 7\o"CurrentDocument"2.3.VPN的優(yōu)點(diǎn) 7\o"CurrentDocument"2.4.隧道技術(shù) 7\o"CurrentDocument"4.1二層隧道協(xié)議 8\o"CurrentDocument"4.2三層隧道協(xié)議 8\o"CurrentDocument"5.加密技術(shù) 11\o"CurrentDocument"6.身份認(rèn)證技術(shù) 12H3C安全建設(shè)理念 13\o"CurrentDocument"智能安全滲透網(wǎng)絡(luò)簡介 14\o"CurrentDocument"2.智能安全滲透網(wǎng)絡(luò)一一局部安全 14\o"CurrentDocument"3.智能安全滲透網(wǎng)絡(luò)一一全局安全 14\o"CurrentDocument"4.智能安全滲透網(wǎng)絡(luò)一一智能安全 15\o"CurrentDocument"XX系統(tǒng)遠(yuǎn)程安全接入解決方案 17\o"CurrentDocument"XX系統(tǒng)遠(yuǎn)程安全接入需求分析 17\o"CurrentDocument"2.解決方案設(shè)計(jì)原則 18\o"CurrentDocument"XX系統(tǒng)遠(yuǎn)程安全接入解決方案 21\o"CurrentDocument"遠(yuǎn)程接入安全解決方案 21\o"CurrentDocument"5.1.1.大型分支接入 22\o"CurrentDocument"5.1.2.中小分支合作伙伴接入 23\o"CurrentDocument"5.1.3.移動用戶接入方式 24\o"CurrentDocument"5.2.可靠性方案 25\o"CurrentDocument"5.2.1.雙出口備份 26\o"CurrentDocument"5.2.2.雙機(jī)備份 27\o"CurrentDocument"5.2.3.快速切換 29\o"CurrentDocument"5.3.VPN管理系統(tǒng) 32\o"CurrentDocument"5.3.1.輕松部署安全網(wǎng)絡(luò) 32\o"CurrentDocument"5.3.2.直觀展示VPN拓?fù)?33\o"CurrentDocument"5.3.3.全方位監(jiān)控網(wǎng)絡(luò)性能 34\o"CurrentDocument"5.3.4.快速定位網(wǎng)絡(luò)故障 35\o"CurrentDocument"4.BIMS分支智能管理系統(tǒng) 36\o"CurrentDocument"5.統(tǒng)一安全管理中心 39總、結(jié) 40.遠(yuǎn)程接入模式分析隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，為提高溝通效率和資源利用效率，建立分支與總部、機(jī)構(gòu)與機(jī)構(gòu)之間的具有保密性的網(wǎng)絡(luò)連接是十分必要的。此外，工作人員出差時也需要訪問系統(tǒng)內(nèi)部的一些信息資源，這時同樣需要建立保密的網(wǎng)絡(luò)連接。怎樣為這些分支、機(jī)構(gòu)、出差人員提供一個安全、經(jīng)濟(jì)、方便和高效的安全接入方式，成為XX系統(tǒng)亟需解決的一個問題。建立保密的網(wǎng)絡(luò)連接一種方案是使用專線，其基本方式是進(jìn)行每個層次之間的專線方式連接，通過這種方式可以實(shí)現(xiàn)的星形結(jié)構(gòu)的全局網(wǎng)絡(luò)連接，基本滿足分支與總部、機(jī)構(gòu)與機(jī)構(gòu)之間的數(shù)據(jù)傳輸需求，但是這種方式存在非常大的兩個缺點(diǎn)：第一是不靈活，不能滿足出差人員隨時隨地接入的需求；第二是費(fèi)用高，專線方式的網(wǎng)絡(luò)連接需要支付高昂的專線租用費(fèi)用。另外一種方式是通過撥號的方式，通過利用PSTN/ISDN的模擬電話線路，移動用戶主機(jī)配置的調(diào)制解調(diào)器，采用撥號的方式，登錄到公司內(nèi)部的撥號服務(wù)器，實(shí)現(xiàn)遠(yuǎn)程對公司內(nèi)部資源的訪問。這種方式的優(yōu)點(diǎn)在于比較靈活，PSTN電話線路資源比較容易獲得。缺點(diǎn)在于網(wǎng)絡(luò)連接性能低，PSTN電話最多提供64K帶寬，相對現(xiàn)在的寬帶網(wǎng)絡(luò)，已經(jīng)基本不可用，而且此方式?jīng)]有任何安全措施，數(shù)據(jù)在傳輸過程中存在很大的安全風(fēng)險(xiǎn)。隨著VPN技術(shù)的發(fā)展，VPN技術(shù)已經(jīng)成為一種非常成熟的網(wǎng)絡(luò)連接方式，VPN具有高性價(jià)比、強(qiáng)適應(yīng)能力、具備很強(qiáng)的網(wǎng)絡(luò)安全特性以及動態(tài)的擴(kuò)展能力等優(yōu)勢，已經(jīng)被廣泛替代專線用來進(jìn)行廣域網(wǎng)絡(luò)的銜接，下面我們將以VPN模式為核心，提供H3c全面的VPN解決方案。.VPN技術(shù)介紹VPN定義利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)(VPN,VirtualPrivateNetwork),用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等?！疤摂M”的概念是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號連接來實(shí)現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實(shí)現(xiàn)遠(yuǎn)程的廣域連接。通過VPN,企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴，如圖1所示。圖1.VPN應(yīng)用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP即可訪問中心或者相互通信。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺VPN服務(wù)器就可以了。2.2.VPN的類型VPN分為三種類型：遠(yuǎn)程訪問虛擬網(wǎng)(AccessVPN)、企業(yè)內(nèi)部虛擬網(wǎng)(IntranetVPN)和企業(yè)擴(kuò)展虛擬網(wǎng)(ExtranetVPN),這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。AccessVPN隨著當(dāng)前移動辦公的日益增多，遠(yuǎn)程用戶需要及時地訪問Intranet和Extranet。對于出差流動員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室，AccessVPN通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在AccessVPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道(Tunnel)連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。AccessVPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起(Client-initiated)的VPN連接，另一種是接入服務(wù)器發(fā)起(NAS-initiated)的VPN連接。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠(yuǎn)程用戶通過服務(wù)提供點(diǎn)(POP)撥入Internet,接著，用戶通過網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道(可加密)連接從而訪問企業(yè)網(wǎng)內(nèi)部資源。在這種情況下，用戶端必須維護(hù)與管理發(fā)起隧道連接的有關(guān)協(xié)議和軟件。在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過本地號碼或免費(fèi)號碼撥入ISP,然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對遠(yuǎn)端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負(fù)責(zé)管理和維護(hù)。IntranetVPNIntranetVPN通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量?；贏TM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時應(yīng)根據(jù)自身的需求對以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。ExtranetVPNExtranetVPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。在傳統(tǒng)的專線構(gòu)建方式下,Extranet通過專線互聯(lián)實(shí)現(xiàn)，網(wǎng)絡(luò)管理與訪問控制需要維護(hù)，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備;雖然可以通過撥號方式構(gòu)建Extranet,但此時需要為不同的Extranet用戶進(jìn)行設(shè)置，而同樣降低不了復(fù)雜度。因合作伙伴與客戶的分布廣泛，這樣的Extranet建設(shè)與維護(hù)是非常昂貴的。因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet,結(jié)果使得企業(yè)間的商業(yè)交易程序復(fù)雜化，商業(yè)效率被迫降低。ExtranetVPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實(shí)現(xiàn)技術(shù)與AccessVPN和IntranetVPN相同。Extranet用戶對于ExtranetVPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。3.VPN的優(yōu)點(diǎn)利用公用網(wǎng)絡(luò)構(gòu)建VPN是個新型的網(wǎng)絡(luò)概念，對于企業(yè)而言，利用Internet組建私有網(wǎng),將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和Internet費(fèi)用。據(jù)報(bào)道，局域網(wǎng)互聯(lián)費(fèi)用可降低20~40%,而遠(yuǎn)程接入費(fèi)用更可減少60-80%,這無疑是非常有吸引力的；VPN大大降低了網(wǎng)絡(luò)復(fù)雜度、VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配、VPN組網(wǎng)的靈活方便等特性簡化了企業(yè)的網(wǎng)絡(luò)管理，另外，在VPN應(yīng)用中，通過遠(yuǎn)端用戶驗(yàn)證以及隧道數(shù)據(jù)加密等技術(shù)保證了通過公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性。隧道技術(shù)對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議?，F(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建AccessVPN和ExtranetVPN;另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建IntranetVPN和ExtranetVPNO二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（PointtoPointTunnelingProtocol,點(diǎn)對點(diǎn)隧道協(xié)議）、L2F（Layer2Forwarding,二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer2TunnelingProtocol,二層隧道協(xié)議）。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點(diǎn)，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。應(yīng)用L2TP構(gòu)建的典型VPN服務(wù)的結(jié)構(gòu)如下圖所示:圖2.典型撥號VPN業(yè)務(wù)示意圖三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC1701GenericRoutingEncapsulation(GRE)協(xié)議就是一個三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GREGRE與IPinIP,IPXoverIP等封裝形式很相似,但比他們更通用。在GRE的處理中，很多協(xié)議的細(xì)微差異都被忽略，這使得GRE不限于某個特定的“XoverY”應(yīng)用，而是一種最基本的封裝形式。在最簡單的情況下，路由器接收到一個需要封裝和路由的原始數(shù)據(jù)報(bào)文(Payload),這個報(bào)文首先被GRE封裝而成GRE報(bào)文，接著被封裝在IP協(xié)議中，然后完全由IP層負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)。原始報(bào)文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議被稱之為傳遞(Delivery)協(xié)議或傳輸(Transport)協(xié)議。注意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或內(nèi)容。整個被封裝的報(bào)文具有下圖所示格式：Header(TransportProtocoi)GREHeader(EncapsulationProtocol)

RayloadPacket

(PassengerProtocol)

圖3.通過GRE傳輸報(bào)文形式IPSecIPSec(IPSecurity)是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實(shí)性。IPSec通過AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)這兩個安全協(xié)議來實(shí)現(xiàn)。而且此實(shí)現(xiàn)不會對用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實(shí)現(xiàn)。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：私有性-IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的私有性；完整性-IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；真實(shí)性-IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；防重放-IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號實(shí)現(xiàn)。IPSec在兩個端點(diǎn)之間通過建立安全聯(lián)盟（SecurityAssociation）進(jìn)行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及安全聯(lián)盟的有效時間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的AH和/或ESP附加報(bào)頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP,ICMP）數(shù)據(jù)被用來計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。AH報(bào)頭用以保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計(jì)算效率，AH沒有采用數(shù)字簽名，而是采用了安全哈希算法來對數(shù)據(jù)包進(jìn)行保護(hù)。AH沒有對用戶數(shù)據(jù)進(jìn)行加密。AH在IP包中的位置如圖所示（隧道方式）：[*AH|IP[TCP[1）?可圖4.AH處理示意圖ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。ESP頭在IP包中的位置如下（隧道方式）：圖5.ESP處理示意圖AH和ESP可以單獨(dú)使用，也可以同時使用。使用IPSec,數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個主機(jī)之間、兩個安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個端點(diǎn)之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（access-list）,IPSec可以對不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，達(dá)到不同的保護(hù)效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個端點(diǎn)之間存在四個安全聯(lián)盟，每個端點(diǎn)兩個，一個用于數(shù)據(jù)發(fā)送，一個用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時，手工配置將非常困難，而且難以保證安全性。這時就要使用IKE自動地進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。5.加密技術(shù)Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰。其中的核心技術(shù)就是DH（DiffieHellman）交換技術(shù)。DH交換基于公開的信息計(jì)算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計(jì)算復(fù)雜度非常高從而是不可實(shí)現(xiàn)的。所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息，即使第三方截獲了雙方用于計(jì)算空鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。在身份驗(yàn)證方面，IKE提供了共享驗(yàn)證字(Pre-sharedKey)、公鑰加密驗(yàn)證、數(shù)字簽名驗(yàn)證等驗(yàn)證方法。后兩種方法通過對CA(CertificateAuthority)中心的支持來實(shí)現(xiàn)。IKE密鑰交換分為兩個階段，其中階段1建立ISAKMPSA,有主模式(MainMode)和激進(jìn)模式(AggressiveMode)兩種；階段2在階段1ISAKMPSA的保護(hù)下建立IPSecSA,稱之為快速模式(QuickMode)。IPSecSA用于最終的IP數(shù)據(jù)安全傳送。另外，IKE還包含有傳送信息的信息交換(InformationalExchange)和建立新DH組的組交換(DHGroupExchange)o6.身份認(rèn)證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認(rèn)證，這就是所謂的身份驗(yàn)證。身份驗(yàn)證確認(rèn)通信雙方的身份。目前有兩種方式：一種是域共享密鑰(pre-sharedkey)驗(yàn)證方法，驗(yàn)證字用來作為一個輸入產(chǎn)生密鑰，驗(yàn)證字不同是不可能在雙方產(chǎn)生相同的密鑰的。驗(yàn)證字是驗(yàn)證雙方身份的關(guān)鍵。這種認(rèn)證方式的優(yōu)點(diǎn)是簡單，但有一個嚴(yán)重的缺點(diǎn)就是驗(yàn)證字作為明文字符串，很容易泄漏。另一種是PKI(rsa-signature)驗(yàn)證方法。這種方法通過數(shù)字證書對身份進(jìn)行認(rèn)證，安全級別很高，是目前最先進(jìn)的身份認(rèn)證方式。公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,簡稱PKI)是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全機(jī)制。PKI采用證書進(jìn)行公鑰管理，通過第三方的可信任機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，以在網(wǎng)上驗(yàn)證用戶的身份。PKT為用戶建立起一個安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性。數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。一個PKI系統(tǒng)由公開密鑰密碼技術(shù)、證書認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)、數(shù)字證書和相應(yīng)的PKI存儲庫共同組成。PK1應(yīng)用

~~ZV~~

數(shù)字證書TOC\o"1-5"\h\zI, , I認(rèn)證機(jī)構(gòu) 注冊機(jī)構(gòu) PKI存儲庫I II II _. ?圖6.PKI組成框圖其中，認(rèn)證機(jī)構(gòu)用于簽發(fā)并管理證書；注冊機(jī)構(gòu)用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對證書和日志等信息進(jìn)行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應(yīng)用信任的基礎(chǔ)，是PKI系統(tǒng)的安全憑據(jù)。數(shù)字證書又稱為公共密鑰證書PKC(PublicKeyCertificate),是基于公共密鑰技術(shù)發(fā)展起來的一種主要用于驗(yàn)證的技術(shù)，它是一個經(jīng)證書認(rèn)證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，可作為各類實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明。證書是有生命期的，在證書生成時指定，認(rèn)證中心也可以在證書的有效期到來前吊銷證書，結(jié)束證書的生命期。H3c安全建設(shè)理念理念是人們對于不同事物從自身角度出發(fā)確定下來的正確看法，并用于指導(dǎo)人們的行為實(shí)踐。正確的安全建設(shè)理念可以指導(dǎo)用戶解決所面臨的最主要的安全問題，將有限的資源投入到最有效的地方。H3C公司提出的智能安全滲透網(wǎng)絡(luò)理念(intelligentSafePervasiveNetwork,簡稱iSPN)體現(xiàn)了H3c在網(wǎng)絡(luò)信息安全方面專業(yè)和獨(dú)到的見解，使其成為客戶最可信賴的安全建設(shè)指導(dǎo)思想。智能安全滲透網(wǎng)絡(luò)簡介互聯(lián)網(wǎng)的廣泛應(yīng)用，大大改變了企業(yè)業(yè)務(wù)流程的開展方式。但是，隨著信息化建設(shè)的不斷深入，網(wǎng)絡(luò)安全問題也成為影響企業(yè)信息化建設(shè)的瓶頸。遭受過由于網(wǎng)絡(luò)安全問題帶來的損失的企業(yè)，極容易失去對網(wǎng)絡(luò)的信任，從而錯失很多商業(yè)機(jī)會，這時他們需要的是一個安全的保障，在享用互聯(lián)網(wǎng)帶來無限商機(jī)的同時保證業(yè)務(wù)的持續(xù)可用及信息安全。智能安全滲透網(wǎng)絡(luò)(iSPN)提出了一個整體安全架構(gòu)，從局部安全、全局安全、智能安全三個層面，為用戶提供一個多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體。局部安全針對關(guān)鍵問題點(diǎn)進(jìn)行安全部署，抵御最基礎(chǔ)的安全威脅；全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達(dá)到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺基礎(chǔ)上，借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實(shí)體。2.智能安全滲透網(wǎng)絡(luò)一一局部安全網(wǎng)絡(luò)安全最基礎(chǔ)的防護(hù)方式是關(guān)鍵點(diǎn)安全，即對出現(xiàn)問題的薄弱環(huán)節(jié)或有可能出現(xiàn)問題的節(jié)點(diǎn)部署安全產(chǎn)品，進(jìn)行2—7層的威脅防范，當(dāng)前企業(yè)絕大部分采用的都是這種單點(diǎn)威脅防御方式。這種局部安全方式簡單有效并有極強(qiáng)的針對性，適合網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善而安全因素考慮不足的情況。在這種方式下，H3C強(qiáng)調(diào)通過“集成”來提供最佳的防御效果，即通過在網(wǎng)絡(luò)產(chǎn)品上集成安全技術(shù)、在安全產(chǎn)品上集成網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)與安全的插卡集成等方式，實(shí)現(xiàn)了安全技術(shù)和網(wǎng)絡(luò)技術(shù)在無縫融合上做出的第一步最佳實(shí)踐。3.智能安全滲透網(wǎng)絡(luò)一一全局安全由于安全產(chǎn)品種類的不斷豐富，使得局部安全可以應(yīng)對企業(yè)的大部分基礎(chǔ)網(wǎng)絡(luò)安全問題。然而此時用戶意識到，局部安全的防護(hù)手段相對比較孤立，只有將產(chǎn)品的相互協(xié)作作為安全規(guī)劃的必備因素，形成整網(wǎng)的安全保護(hù)才能抵御日趨嚴(yán)重的混合型安全威脅。為此，H3c推出了全局安全理念，借助于IToIP的網(wǎng)絡(luò)優(yōu)勢，通過技術(shù)和產(chǎn)品的協(xié)作，將網(wǎng)絡(luò)中的多個網(wǎng)絡(luò)設(shè)備、安全設(shè)備和各組件聯(lián)動起來，并通過多層次的安全策略和流程控制，向用戶提供端到端的安全解決方案。以H3C的端點(diǎn)準(zhǔn)入防御及安全事件分析機(jī)制為例，它將計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的通用操作系統(tǒng)、主機(jī)應(yīng)用系統(tǒng)等企業(yè)資源都納入到安全保護(hù)的范晴內(nèi)。在統(tǒng)一的安全策略下，利用各部分組件的協(xié)同聯(lián)動，保證網(wǎng)絡(luò)各端點(diǎn)的安全性與可控性；同時，在統(tǒng)一的平臺上進(jìn)行安全事件的收集、整理、分析，可以做到整網(wǎng)安全風(fēng)險(xiǎn)的提前預(yù)防與及時控制。4.智能安全滲透網(wǎng)絡(luò)一一智能安全隨著網(wǎng)絡(luò)建設(shè)的日趨完善，面向業(yè)務(wù)的安全已經(jīng)成為新的發(fā)展方向。只有理解企業(yè)業(yè)務(wù).將企業(yè)的業(yè)務(wù)需求及流程建設(shè)充分融合到網(wǎng)絡(luò)安全建設(shè)中來，從信息的計(jì)算、通信及存儲等信息安全狀態(tài)出發(fā)，以面向應(yīng)用的統(tǒng)一安全平臺為基礎(chǔ)，通過安全事件的實(shí)時感知、安全策略的動態(tài)部署、網(wǎng)絡(luò)安全設(shè)備的自動響應(yīng)，將智能的安全融入企業(yè)業(yè)務(wù)流程中，形成開放融合、相互滲透的安全實(shí)體，才能實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全智能化。幫助企業(yè)將業(yè)務(wù)信息的所有狀態(tài)都控制在安全管理的范圍內(nèi)，這樣的需求正是智能安全產(chǎn)生的原動力。目前，政府制定了網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，促使各行業(yè)必須遵循一定的安全標(biāo)準(zhǔn)，以幫助提高企業(yè)的攻擊防范能力。為了幫助用戶構(gòu)建等級安全體系，實(shí)現(xiàn)按需防御需要，H3c數(shù)十人的專業(yè)安全服務(wù)團(tuán)隊(duì)，借助嚴(yán)格完善的網(wǎng)絡(luò)安全評估規(guī)范，對企業(yè)IT環(huán)境現(xiàn)狀進(jìn)行安全評估，并對企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù)流程進(jìn)行統(tǒng)一的安全咨詢和規(guī)劃，為用戶度身定制一整套閉環(huán)的安全建設(shè)方案，并通過培訓(xùn)提升企業(yè)安全管理人員的素質(zhì)，保證安全性的延續(xù)。有了量身定制的建設(shè)方案與安全策略，如何將這樣的方案落到實(shí)處是下一步的難題，網(wǎng)絡(luò)威脅千變?nèi)f化、多種多樣，業(yè)內(nèi)還沒有任何一個安全廠家可以解決所有的安全問題。因此,為保證企業(yè)網(wǎng)絡(luò)安全建設(shè)能符合未來發(fā)展趨勢，需要建立一個由廠商、代理商和客戶組成的大安全聯(lián)盟，允許各個組織和個人都可以通過標(biāo)準(zhǔn)的接口將安全快速嵌入網(wǎng)絡(luò)，實(shí)現(xiàn)彈性擴(kuò)展與智能融合。H3c在智能安全中采用開放應(yīng)用架構(gòu)(OAA,OpenApplicationArchitecture)為用戶提供開放的硬件平臺、標(biāo)準(zhǔn)的接口，允許第三方技術(shù)的無縫融合，從而將網(wǎng)絡(luò)安全的邊界打通，將業(yè)界的先進(jìn)技術(shù)配合適當(dāng)?shù)陌踩呗?，最終完成網(wǎng)絡(luò)安全建設(shè)的藍(lán)海戰(zhàn)略。完善的安全管理體制是加強(qiáng)信息系統(tǒng)安全防范的組織保證。iSPN全局安全管理平臺可以對全網(wǎng)的安全信息做到統(tǒng)一管理、統(tǒng)一下發(fā)安全策略以及統(tǒng)一分析安全數(shù)據(jù)，保證企業(yè)信息系統(tǒng)的安全運(yùn)行。iSPN全局安全管理平臺以開放的安全管理中心和智能管理中心為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個緊密的統(tǒng)一管理平臺中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個智能安全防御體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體安全防御能力。H3c全局安全管理平臺由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成,與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨(dú)立功能部件通過各種信息交互接□形成一個完整的協(xié)同防御體系。高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時，我們能夠迅速察覺、準(zhǔn)確定位，更重要的是我們能夠及時制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過智能分析和協(xié)同響應(yīng)及時應(yīng)對各種真正的網(wǎng)絡(luò)攻擊。在局部安全、全局安全的基礎(chǔ)上，H3CiSPN為實(shí)現(xiàn)這一目標(biāo)而構(gòu)建了專業(yè)安全服務(wù)、開放應(yīng)用架構(gòu)和可持續(xù)演進(jìn)的全局安全管理平臺，通過對防護(hù)、檢測和響應(yīng)等不同生命周期的各個安全環(huán)節(jié)進(jìn)行基于策略的管理，揩各種異構(gòu)的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機(jī)的連接起來，構(gòu)成了一個智能的、聯(lián)動的閉環(huán)響應(yīng)體系，可在保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上有效應(yīng)對新的安全威脅、大幅提升對企業(yè)基礎(chǔ)業(yè)務(wù)的安全保障。2007年，H3c將以全新的iSPN理念配合先進(jìn)的產(chǎn)品技術(shù)與日趨完善的面向應(yīng)用解決方案，為企業(yè)打造一個領(lǐng)先的、全面的、可信賴的IP安全平臺。XX系統(tǒng)遠(yuǎn)程安全接入解決方案XX系統(tǒng)遠(yuǎn)程安全接入需求分析請根據(jù)具體項(xiàng)目情況添加描述舉例:交通部交通部全國網(wǎng)絡(luò)的建設(shè)目前已經(jīng)全面展開,隨著交通系統(tǒng)應(yīng)用的不斷增多,各個業(yè)務(wù)單位對于網(wǎng)絡(luò)的需求也越來越來越大,目前隨著應(yīng)用系統(tǒng)的建設(shè)，“交通政務(wù)信息網(wǎng)"和“道路運(yùn)輸數(shù)據(jù)交換平臺網(wǎng)絡(luò)”的建設(shè)需求日益迫切,下面簡述一下這兩個系統(tǒng)的建設(shè)思路。交通政務(wù)信息網(wǎng)概況交通政務(wù)信息網(wǎng)絡(luò)成員單位194家分為8個組,第一組為各省、自治區(qū)交通廳計(jì)27個,第二組為各直轄市、計(jì)劃單列市交通管理部門計(jì)19個,第三組為部內(nèi)司局計(jì)17個,第四組為海事局、救撈局、中國船級社計(jì)29個,第五組為港航單位計(jì)28個單位,第六組是交通科研、教育、協(xié)會、學(xué)會、設(shè)計(jì)單位計(jì)20個,第九組為市級交通局計(jì)28個,第十組為縣級交通局計(jì)26個。目前部機(jī)關(guān)各同局可以直接連接交通行業(yè)專網(wǎng)（以后簡稱“專網(wǎng)第一組和第二組的單位已經(jīng)通過專線連接專網(wǎng),并以INTERNETVPN連接作為備份,部機(jī)關(guān)的VPN接入設(shè)備是華為的產(chǎn)品,其它組的單位尚未與專網(wǎng)連接,其中第五組中的港口單位與水運(yùn)司聯(lián)網(wǎng)的80余家港口單位有重復(fù),可以考慮與水運(yùn)司的業(yè)務(wù)共享線路,不再重復(fù)建設(shè)。根據(jù)交通行業(yè)專網(wǎng)建設(shè)的總體思路,這些未連接專網(wǎng)的單位可以通過INTERNETVPN方式連接。道路運(yùn)輸數(shù)據(jù)交換平臺網(wǎng)絡(luò)概況按照“立足成果部省聯(lián)動”的建設(shè)原則,部級道路運(yùn)輸數(shù)據(jù)交換平臺的網(wǎng)絡(luò)通信建設(shè)方案充分利用交通部信息化二期建設(shè)的成果,從安全性和經(jīng)濟(jì)性考慮,以交通部交通行業(yè)信息專網(wǎng)（SDH專網(wǎng)）作為數(shù)據(jù)交換的主要通訊方式,以交通行業(yè)虛擬信息專網(wǎng)作為應(yīng)急備份網(wǎng)絡(luò)。2.解決方案設(shè)計(jì)原則在規(guī)劃xx系統(tǒng)安全建設(shè)時，我們將遵循以下原則，提供完善的遠(yuǎn)程安全接入解決方案：?PDCA原則信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)IS015408-1（信息安全風(fēng)險(xiǎn)管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖所示:所有者W 一-希冢卜卜化嚷f豬施S距低. 船既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799)，信息安全管理過程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評估-維護(hù)和改進(jìn))的循環(huán)過程。Act利a伏停Act利a伏停wnvJin信?安全?遵循統(tǒng)籌規(guī)劃、分步實(shí)施原則解決方案是XX系統(tǒng)整體安全規(guī)劃的一部分，必須在統(tǒng)一領(lǐng)導(dǎo)下，統(tǒng)籌規(guī)劃，根據(jù)需要接入單位，逐步擴(kuò)大網(wǎng)絡(luò)覆蓋面，增強(qiáng)網(wǎng)絡(luò)功能。隨著網(wǎng)絡(luò)覆蓋面的擴(kuò)大及功能的增強(qiáng)，可以促進(jìn)網(wǎng)上應(yīng)用建設(shè)。網(wǎng)絡(luò)和應(yīng)用的建設(shè)相互推動，促使專網(wǎng)建設(shè)成良性循環(huán)。堅(jiān)持安全第一原則XX系統(tǒng)的承載數(shù)據(jù)具有高度的機(jī)密性，通過公共網(wǎng)絡(luò)傳輸數(shù)據(jù)時，既要保證傳輸內(nèi)容不被竊聽、篡改，同時還要保證接入端的可信任，以及設(shè)備的抗攻擊性，從而保證XX系統(tǒng)的整體安全性和可靠性。堅(jiān)持實(shí)用性原則XX系統(tǒng)VPN系統(tǒng)的建設(shè)應(yīng)從透明性、友善性、有效性等幾個方面考慮實(shí)用性的設(shè)計(jì)。透明性是指安全機(jī)制的設(shè)置和運(yùn)行對于普通用戶應(yīng)盡量透明，使他感覺不到其存在。友善性是指對于包括安全管理中心在內(nèi)的所有需要進(jìn)行操作的人機(jī)界面應(yīng)做到安全、簡捷、方便。有效性一方面是指安全機(jī)制的設(shè)置確實(shí)達(dá)到設(shè)計(jì)要求，另一方面是指增加安全機(jī)制以后新增加的系統(tǒng)開銷所帶來的性能下降要在應(yīng)用系統(tǒng)運(yùn)行所能承受的范圍之內(nèi)。簡易性也是VPN建設(shè)需要考慮的一個關(guān)鍵因素，對于營業(yè)網(wǎng)點(diǎn)或者移動用戶，都必須提供最簡單的VPN網(wǎng)絡(luò)接入方式，以保證VPN網(wǎng)絡(luò)的部署不會對正常的網(wǎng)絡(luò)應(yīng)用造成影響。堅(jiān)持技術(shù)與管理密切結(jié)合的原則任何安全系統(tǒng)的可靠運(yùn)行，必須有嚴(yán)格的管理，并把兩者密切結(jié)合起來。管理首先是管理人員，然后再通過被管理的人實(shí)現(xiàn)對VPN系統(tǒng)運(yùn)行的控制和管理。要有完備的規(guī)章制度和切實(shí)可行的操作規(guī)程來規(guī)范各類人員的操作。任何安全系統(tǒng)或者一個分系統(tǒng)都必須把人考慮在內(nèi)才是完備的。由于分支機(jī)構(gòu)缺少足夠的技術(shù)人員，因此VPN網(wǎng)絡(luò)管理應(yīng)該以區(qū)域集中管理為主要模式,因此VPN的建設(shè)必須提供足夠的技術(shù)支撐能力，以實(shí)現(xiàn)這種管理模式的需求。堅(jiān)持前瞻性原則設(shè)計(jì)網(wǎng)絡(luò)時即要考慮當(dāng)前需求，也要考慮未來的需求，即要考慮單一應(yīng)用需求也要考慮綜合應(yīng)用需求。目前政務(wù)信息主要是文字性的內(nèi)容，數(shù)據(jù)流量相對較小，隨著信息工作不斷推進(jìn)，將來勢必會增加圖片、音像、視頻等多媒體信息，數(shù)據(jù)量會大量增加，對網(wǎng)絡(luò)性能要求也會大大增加。另外我們也要考慮到其它的業(yè)務(wù)應(yīng)用，如：電視會議、其它業(yè)務(wù)系統(tǒng)等。其它應(yīng)用建設(shè)時涉及已經(jīng)聯(lián)網(wǎng)的可以不再單獨(dú)建設(shè)，基于以上原因網(wǎng)絡(luò)建設(shè)時盡量做到具有前瞻性，保證在設(shè)備生命周期內(nèi)能夠滿足業(yè)務(wù)需要。XX系統(tǒng)遠(yuǎn)程安全接入解決方案遠(yuǎn)程接入安全解決方案根據(jù)xx系統(tǒng)的需求，建議按照如下的組網(wǎng)圖進(jìn)行建設(shè)：此處請補(bǔ)充根據(jù)客戶實(shí)際組網(wǎng)做得方案建議圖,以下圖為例。服務(wù)器區(qū)WMSSecCenfervPNManaoer同時請根據(jù)具體用戶需求,刪除或增加下面的技術(shù)介紹章節(jié):大型分支接入VPNSecPath組網(wǎng)特點(diǎn)：/VPN內(nèi)部需要建立統(tǒng)一的OSPF路由域。/VPN內(nèi)部可以支持MPLS、IPX等非IP協(xié)議的網(wǎng)絡(luò)。部署要點(diǎn)/兩端的VPN網(wǎng)關(guān)的Loopback接口之間建立GRE隧道，然后符IPSec策略應(yīng)用到Wan接口上從而建立IPSec隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；/在GRE隧道接口上使能0SPF;方案特點(diǎn)/GRE的特點(diǎn)是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。如果企業(yè)網(wǎng)內(nèi)有IPX.MPLS等應(yīng)用，建議可以先借用GRE承載非IP協(xié)議，然后才能使用IPSec保護(hù)GRE報(bào)文。/GRE是基于路由的，而IPSec是基于策略。如果需要在企業(yè)網(wǎng)內(nèi)統(tǒng)一規(guī)劃路由方案，GREoverIPSec的方式邏輯就比較清晰。因?yàn)镮PSec的策略是針對GRE隧道的，而GRE隧道是基于路由的，所以整個VPN內(nèi)的路由是統(tǒng)一的。/對業(yè)務(wù)流量，諸如路由協(xié)議、語音、視頻等數(shù)據(jù)先進(jìn)行GRE封裝，然后再對封裝后的報(bào)文進(jìn)行IPSec的加密處理。/不必配置大量的靜態(tài)路由，配置簡單。/GRE還支持由用戶選擇記錄Tunnel接口的識別關(guān)鍵字，和對封裝的報(bào)文進(jìn)行端到端校驗(yàn);/GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降；中小分支合作伙伴接入組網(wǎng)特點(diǎn)：/VPN客戶端設(shè)備相對來說比較簡單。部署要點(diǎn)/VPN客戶端可以使用動態(tài)地址接入服務(wù)器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。同時，這樣也便于使用VPNManager的配置管理功能。方案特點(diǎn)/組網(wǎng)簡單，易于部署;/由于IPSec不能承載路由協(xié)議，需要在分支結(jié)構(gòu)和園區(qū)網(wǎng)配置大量的靜態(tài)路由。/單純的IPSec封裝，對于帶寬資源消耗較小;5.1.3.移動用戶接入方式組網(wǎng)特點(diǎn)組網(wǎng)特點(diǎn)：/移動用戶靈活接入，安全認(rèn)證、數(shù)據(jù)保護(hù)。部署要點(diǎn),無須客戶端軟件/使用SSL完成用戶身份認(rèn)證和報(bào)文加密/認(rèn)證方式多樣，可包括本地認(rèn)證、Radius認(rèn)證、LDAP認(rèn)證、AD認(rèn)證、證書認(rèn)證、雙因素認(rèn)證/VPN服務(wù)器側(cè)可以考慮使用單臺設(shè)備，也可以考慮使用雙VPN服務(wù)器備份/接入方式靈活，各種接入方式都可支持方案特點(diǎn)/靈活、安全5.2.可靠性方案H3C遠(yuǎn)程安全接入高可靠性設(shè)計(jì)的核心理念就是增大網(wǎng)絡(luò)冗余性的同時做到負(fù)載分擔(dān)。衡量可靠性設(shè)計(jì)優(yōu)劣的標(biāo)準(zhǔn)就是網(wǎng)絡(luò)異常業(yè)務(wù)流量中斷時間?？煽啃栽O(shè)計(jì)重點(diǎn)體現(xiàn)在VPNServer的雙出口備份、雙機(jī)備份、負(fù)載分擔(dān)和異?？焖偾袚Q3個方面。5.2.1.雙出口備份對于遠(yuǎn)程安全接入，出現(xiàn)故障更多的時候在于運(yùn)營商健路的不可靠。而對于運(yùn)營商鏈路傳輸?shù)臓顩r，H3c的L3Monitor特性能夠做到實(shí)時的監(jiān)視，以保證VPN隧道的實(shí)時切換。Server/業(yè)務(wù)系統(tǒng)傳統(tǒng)的備份實(shí)現(xiàn)方式，通常依靠檢測接口的物理UP、Down變化消息或者網(wǎng)絡(luò)層協(xié)議UP、Down變化來觸發(fā)主備切換。L3Monitor自動偵測特性利用ICMP的request/response報(bào)文，檢測目的地的可達(dá)性，檢測結(jié)果反饋到與之聯(lián)動的備份功能模塊，觸發(fā)其主備切換，從而提供了基于網(wǎng)絡(luò)層應(yīng)用可達(dá)性的備份功能。L3Monitor的整個工作流程如下：(1)首先，用戶配置全局的L3Monitor自動偵測組：包括被監(jiān)測的地址以及下一跳。另外還可以很靈活地定義一些偵測策略。比如：配置偵測組的偵測周期、配置一次偵測中的最大重試次數(shù)、配置一次偵測的超時時間。另外，同一個偵測組的多個被偵測對象之間的關(guān)系可以配置為“與”或者"或“。如果當(dāng)被偵測對象之間的關(guān)系為“與”時：有一個IP地址無法Ping通即認(rèn)為該偵測組不可達(dá)，并不再偵測其余的地址；當(dāng)偵測對象之間的關(guān)系為“或”時：有一個IP地址ping通即認(rèn)為該偵測組可達(dá)，并不再偵測其余的地址；(2)當(dāng)某個備份功能希望使用該自動偵測組時，就通過命令與該自動偵測組關(guān)聯(lián)；(3)自動偵測組在后臺不斷向被偵測對象發(fā)送ICMP探測報(bào)文，按照之前定義的偵測策略,如偵測次數(shù)、超時時間等等來判斷當(dāng)前被偵測對象是否可達(dá)；(4)自動偵測組在每次偵測結(jié)束時，向與之關(guān)聯(lián)的備份模塊發(fā)送消息通知自己這一輪檢測的結(jié)果，這些模塊，比如路由備份、接口備份或者VRRP就會根據(jù)Auto-detect發(fā)送過來的目的地可達(dá)性消息決定是否進(jìn)行主備切換。5.2.2.雙機(jī)備份雙機(jī)備份是通過VRRP實(shí)現(xiàn)的。VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種容錯協(xié)議。通常，一個網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由(如下圖所示，),這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過缺省路由發(fā)往路由器RouterA,從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。局域網(wǎng)組網(wǎng)方案VRRP就是為解決上述問題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計(jì)。我們結(jié)合下圖來看一下VRRP的實(shí)現(xiàn)原理。VRRP將局域網(wǎng)的一組路由器（包括一個Master即活動路由器和若干個Backup即備份路由器）組織成一個虛擬路由器，稱之為一個備份組。Etheme( LAN1Hostl Host2Host3VRRP組網(wǎng)示意圖這個虛擬的路由器擁有自己的IP地址（這個IP地址可以和備份組內(nèi)的某個路由器的接口地址相同），備份組內(nèi)的路由器也有自己的IP地址（如Master的IP地址為100.10.2,Backup的IP地址為)。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個虛擬路由器的IP地址,而并不知道具體的Master路由器的IP地址以及Backup路由器的IP地址,它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.lo于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的Master路由器壞掉，Backup路由器相會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。5.2.3快速切換網(wǎng)絡(luò)異常的情況有很多種。如果不考慮運(yùn)營商的網(wǎng)絡(luò)異常，VPN的異常主要有兩大類：第一類是網(wǎng)關(guān)異常，包括網(wǎng)關(guān)癱瘓、重啟等等；第二類是網(wǎng)關(guān)鏈路異常。在網(wǎng)絡(luò)出現(xiàn)異常時,如何保證業(yè)務(wù)流量能夠盡快恢復(fù)？網(wǎng)關(guān)快速切換，這一切換由L3Monitor發(fā)現(xiàn)，VRRP實(shí)現(xiàn)。當(dāng)主網(wǎng)關(guān)或其鏈路出現(xiàn)異常時，L3Monitor能夠保證在廣2秒內(nèi)發(fā)現(xiàn)，通過VRRP3~4秒內(nèi)完成主備網(wǎng)關(guān)的切換。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外的流量能同時切換到新的網(wǎng)關(guān)上，需要在網(wǎng)關(guān)內(nèi)外都設(shè)置VRRP組，并將這一對VRRP組關(guān)聯(lián)起來。一旦其中一個VRRP組發(fā)生切換，另一個方向的VRRP能發(fā)起同步切換。IPSec隧道快速切換，這一切換由IPSecDPD實(shí)現(xiàn)。IPSecDPD(IPSecDeadPeerDetectionon-demand)為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當(dāng)接收端長時間收不到對端的報(bào)文時，能夠觸發(fā)DPD查詢，主動向?qū)Χ税l(fā)送請求報(bào)文，對IKEPeer是否存在進(jìn)行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測及時、隧道恢復(fù)快的優(yōu)點(diǎn)。IPSecDPD(IPSecDeadPeerDetectionon-demand)為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當(dāng)接收端長時間收不到對端的報(bào)文時，能夠觸發(fā)DPD查詢，主動向?qū)Χ税l(fā)送請求報(bào)文，對IKEPeer是否存在進(jìn)行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測及時、隧道恢復(fù)快的優(yōu)點(diǎn)。在路由器與VRRP備份組的虛地址之間建立1SAKMPSA的應(yīng)用方案中，DPD功能保證了VRRP備份組中主備切換時安全隧道能夠迅速自動恢復(fù)。解決了VRRP備份組主備切換使安全隧道通信中斷的問題，擴(kuò)展了IPSec的應(yīng)用范圍，提高了IPSec協(xié)議的健壯性。數(shù)據(jù)結(jié)構(gòu)DPD數(shù)據(jù)結(jié)構(gòu)(簡稱為DPD結(jié)構(gòu))用于配置DPD查詢參數(shù)，包括DPD查詢時間間隔及等待DPD應(yīng)答報(bào)文超時時間間隔。該數(shù)據(jù)結(jié)構(gòu)可以被多個IKEPeer引用，這樣用戶不必針對接口一一進(jìn)行重復(fù)配置。定時器IPSecDPD在發(fā)送和接收DPD報(bào)文中使用了兩個定時器：intervaltime和ervaltime:觸發(fā)DPD查詢的間隔時間，該時間指明隔多久沒有收到對端IPSec報(bào)文時觸發(fā)DPD查詢。timeout:等待DPD應(yīng)答報(bào)文超時時間。運(yùn)行機(jī)制發(fā)送端：當(dāng)啟動了DPD功能以后，如在intervaltime定時器指定的時間間隔內(nèi)沒有收到對端的IPSec報(bào)文，且本端欲向?qū)Χ税l(fā)送IPSec報(bào)文時，DPD向?qū)Χ税l(fā)送DPD請求，并等待應(yīng)答報(bào)文。如果超過timeout定時器設(shè)定的超時時間仍然未收到正確的應(yīng)答報(bào)文，DPD記錄失敗事件1次。當(dāng)失敗事件達(dá)到3次時，刪除ISAKMPSA和相應(yīng)的IPSecSAO對于路由器與VRRP備份組虛地址之間建立的IPSecSA,連續(xù)3次失敗后，安全隧道同樣會被刪除，但是當(dāng)有符合安全策略的報(bào)文重新觸發(fā)安全聯(lián)盟協(xié)商時，會重新建立起安全隧道。切換時間的長短與timeout定時器的設(shè)置有關(guān)，定時器設(shè)定的超時時間越短，通信中斷時間越短（注意：超時時間過短會增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。接收端：收到請求報(bào)文后，發(fā)送響應(yīng)報(bào)文。5.3.VPN管理系統(tǒng)IPSecVPN的命令行配置非常復(fù)雜，需要大量的培訓(xùn)工作，同時日常的維護(hù)管理工作也極為繁重。IPSecVPNManager的VSM和VDM模塊主要應(yīng)用于IPSec主模式，可以實(shí)現(xiàn)VPN的簡化配置，也可以有效的完成對網(wǎng)路的VPN狀態(tài)的監(jiān)控，提供圖形化的管理界面，簡化配置管理，同時便于實(shí)時監(jiān)控VPN狀態(tài)；5.3.1.輕松部署安全網(wǎng)絡(luò)QuidviewIPSecVPN軟件提供配置向?qū)Чδ?，指?dǎo)用戶構(gòu)建VPN網(wǎng)絡(luò).不必通過復(fù)雜的手工執(zhí)行命令行來部署IPSecVPN網(wǎng)絡(luò)，減輕了部署難度.也降低了維護(hù)成本，即使初次使用該軟件的用戶，也能根據(jù)配置向?qū)В晒?chuàng)建一個IPSecVPN網(wǎng)絡(luò)。配置向?qū)蛴脩籼峁┝舜罅砍Ｓ玫娜笔∨渲?，幫助初級用戶快速配置IPSecVPN業(yè)務(wù)。同時，提供了預(yù)定義配置參數(shù)功能，方便高級用戶設(shè)置高級選項(xiàng)，重用配置信息。為了避免在設(shè)備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設(shè)備上不需要的冗余的配置。為了減少配置操作，IPSecVPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域?yàn)榕渲脝挝?，對網(wǎng)絡(luò)域的配置會自動賦予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對網(wǎng)絡(luò)域內(nèi)所有設(shè)備進(jìn)行相同配置部署。同時用戶也可指定某個設(shè)備的特殊配置，方便用戶操作。

IPSecVPNManager配置界面5.3.2.直觀展示VPN拓?fù)銺uidviewIPSecVPN軟件能夠自動發(fā)現(xiàn)和構(gòu)建VPN拓?fù)?，用戶在拓?fù)渖峡梢灾庇^查看VPN通道狀態(tài)、通道流量情況、VPN設(shè)備的運(yùn)行情況等。

M?MM*atmrri??v>^vmr^r?10&ca|Dasoooe口&■■?*??z，“H6a?MFMiooarnuimoei? 2，*”?*M*R0crc〃g■“卬”岬?M?MM*atmrri??v>^vmr^r?10&ca|Dasoooe口&■■?*??z，“H6a?MFMiooarnuimoei? 2，*”?*M*R0crc〃g■“卬”岬?JFSB2C”9*>—》》M，#?***?■■0????UMK，jM.3*.-1**1.i?*m?―逢，~iRBonjkiuftt?MK?12tJ9)■?a?v*vXAC?o<9OOOOOOIPSecVPNManager顯示拓?fù)?.3.全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSecVPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對VPN網(wǎng)絡(luò)中的各項(xiàng)重要性能指標(biāo)進(jìn)行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運(yùn)行狀態(tài)。支持對IPSecVPN設(shè)備CPU利用率等關(guān)鍵指標(biāo)的監(jiān)視；支持對IPSec、IKE隧道的監(jiān)視；支持對協(xié)商過程的監(jiān)視；提供折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據(jù)顯示給用戶；支持TopN功能，使用戶能夠?qū)﹃P(guān)鍵設(shè)備指標(biāo)一目了然；提供報(bào)表導(dǎo)出和基于歷史數(shù)據(jù)的分析，為用戶網(wǎng)絡(luò)擴(kuò)容、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障;

支持對用戶關(guān)心的性能參數(shù)設(shè)定闞值，當(dāng)超過闞值后,系統(tǒng)將會發(fā)送性能告警，使網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的隱患。IPSecVPNManager監(jiān)控網(wǎng)絡(luò)5.3.4.快速定位網(wǎng)絡(luò)故障利用QuidviewIPSecVPN軟件的故障管理模塊可以實(shí)時接收IPSecVPN設(shè)備的告警，并利用該模塊提供的豐富的過濾功能定位關(guān)鍵的告警數(shù)據(jù)?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障管理模塊能夠與QuidviewIPSecVPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障。當(dāng)QuidviewIPSecVPN性能監(jiān)視模塊進(jìn)行VPN設(shè)備閾值監(jiān)控時，如果發(fā)現(xiàn)閾值超過指標(biāo)會

向故障模塊發(fā)送告警，故障模塊會迅速做出反應(yīng)，以聲光告警、Email、短信等方式及時通知到管理人員。同時，VPN拓?fù)鋱D將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。圖1IPSecVPNManager定位故障4.