VPN-移動辦公解決方案模板

VPN移動辦公解決方案華為3Com技術(shù)有限公司平安產(chǎn)品德銷部田灼02059概述VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))，是構(gòu)建在公網(wǎng)Internet之上的邏輯網(wǎng)絡(luò)，通過在兩臺網(wǎng)關(guān)設(shè)備之間建立一條虛擬專用連接進行數(shù)據(jù)傳輸。對用戶來說，感覺到的是專有網(wǎng)絡(luò)的服務(wù)。VPN技術(shù)正促使企業(yè)網(wǎng)絡(luò)無限延展，使異地分支機構(gòu)實現(xiàn)同步辦公，移動用戶平安接入企業(yè)網(wǎng)絡(luò)已經(jīng)變成現(xiàn)實。華為3Com移動辦公解決方案通過采納IPSecVPN方式，實現(xiàn)了用低成本，高平安性的方式，使企業(yè)員工在移動辦公期間接入公司內(nèi)部網(wǎng)絡(luò)的需求。VPN移動辦公解決方案工作流程：移動辦公用戶客戶端上安裝華為“SecPoint”VPN撥號軟件，用戶首先聯(lián)入Internet，然后通過“SecPoint”與VPN網(wǎng)關(guān)進行L2TP＋IPSecVPN連接，連接過程中可以選擇“靜態(tài)密碼”、“RSA動態(tài)口令卡”、“SecKeyUSBToken”等方式,用戶接入VPN后干脆獲得企業(yè)私網(wǎng)IP地址，從而達到訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的需求。華為3ComVPN移動辦公方案華為3Com移動辦公解決方案，由移動終端撥號子系統(tǒng)、VPN接入平安網(wǎng)關(guān)子系統(tǒng)、認證計費管理子系統(tǒng)、VPN管理子系統(tǒng)四個部分組成。移動終端撥號子系統(tǒng)移動終端撥號子系統(tǒng)負責移動終端VPN撥入功能，在客戶移動終端上安裝華為SecPointVPN客戶端軟件。移動用戶通過某種方式如撥號、ADSL和小區(qū)寬、GPRS、CDMA1X帶等接入到Internet，就可以通過SecPoint和VPN網(wǎng)關(guān)之間建立IPSec隧道，訪問公司企業(yè)內(nèi)部網(wǎng)（Intranet）上的相關(guān)資源。SecPoint還供應(yīng)了強大的平安策略，包括IPSec、IKE和NAT穿越等，大大強化了VPN系統(tǒng)的平安性。IPSec使特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式，來保證數(shù)據(jù)報在網(wǎng)絡(luò)上傳輸時的私有性、完整性、真實性和防重放。SecPoint軟件可以通過PPP協(xié)商向VPN申請IP地址。由于此IP地址的安排是由VPN隧道對端安排的，其保密性更高，被攻擊的可能性也更小。同時SecPoint軟件支持IPSec/IKE加密。IPSec為IP協(xié)議棧供應(yīng)在IP層實施的一系列平安服務(wù),為IP及其上層供應(yīng)愛護。SecPoint軟件通過支持IPSec供應(yīng)數(shù)據(jù)加密，數(shù)據(jù)完整性驗證，數(shù)據(jù)身份驗證，以及防重放功能。SecPoint軟件支持IPSec隧道模式和傳輸模式，從平安性來講，隧道模式優(yōu)于傳輸模式。它可以完全地對原始IP數(shù)據(jù)報進行驗證和加密；此外，可以運用IPSec對等體的IP地址來隱藏客戶機的IP地址。與此同時SecPoint軟件和RSASecurID動態(tài)密鑰、USBSecKey協(xié)作運用，可以更平安的驗證用戶的身份。SecPoint軟件支持與網(wǎng)關(guān)側(cè)設(shè)備的握手機制。當VPN隧道建立之后，SecPoint軟件會依據(jù)用戶配置，定時向網(wǎng)關(guān)側(cè)設(shè)備發(fā)送握手。假如肯定時間收不到握手，網(wǎng)關(guān)側(cè)設(shè)備認為對端已經(jīng)離線，自動將狀態(tài)設(shè)置為斷開。假如用戶須要再運用VPN隧道資源，須要重新認證。握手機制能夠增加平安性，防止身份冒充。SecPoint軟件不僅支持局域網(wǎng)用戶，同時也支持撥號用戶、ADSL用戶、WLAN用戶。相對于局域網(wǎng)用戶，SecPoint軟件能夠讓撥號用戶運用IPSec/IKE加密。為保證數(shù)據(jù)平安，建立VPN隧道時運用IKE協(xié)商為IPSec供應(yīng)密鑰供IPSec加密運用。但是在一般運用IKE協(xié)商時，要求兩端設(shè)備配置對端IP地址信息。但是，由于運用VPN`客戶端軟件的用戶常常處于撥號上網(wǎng)的狀態(tài)，而每次上網(wǎng)時其IP地址是不固定的，假如要求VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都修改對端IP地址，其維護量就可想而知了。SecPoint軟件通過支持IKE的Aggressive模式（野蠻模式）勝利地解決這個問題，在這種模式下，IKE協(xié)商時允許協(xié)商的兩端不運用IP地址信息，而代之以運用雙方的name。這樣當撥號用戶運用動態(tài)IP地址，只要正確的配置對端name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次name，就可以進行IKE協(xié)商。從而實現(xiàn)IPSec加密。SecPoint軟件支持對VPN隧道對端多個網(wǎng)段的訪問。在實際應(yīng)用中，VPN隧道對端即公司本部組網(wǎng)中包含許多網(wǎng)段，例如，公司全部的服務(wù)器的IP為172.20.*.*，研發(fā)部門的IP為10.153.*.*，財務(wù)部門的IP為10.150.*.*。當用戶通過SecPoint軟件和網(wǎng)關(guān)建立VPN隧道之后，通過協(xié)議從公司本部安排了一個IP地址10.151.*.*，掩碼為255.255.255.0。假如用戶須要訪問公司的內(nèi)部DNS服務(wù)器，IP為172.20.1.120，由于用戶計算機上沒有針對DNS服務(wù)器的路由，所以用戶無法訪問DNS服務(wù)器。而SecPoint軟件勝利地解決了這個問題，只須要用戶在運用登錄之前，將公司本部須要訪問的網(wǎng)段配置進來即可。配置的界面如圖：SecPoint軟件支持NAT穿越。在運用IPSec加密的VPN隧道，用戶數(shù)據(jù)包不能被篡改。包括從IP地址，IP數(shù)據(jù)頭，協(xié)議端口號，VPN隧道兩端都有加密和防篡改,否則對端接收后不能正確解密。但是，許多時候運用SecPoint軟件的時候其所在位于NAT設(shè)備之后，通過NAT地址轉(zhuǎn)換進入Internet。NAT的基本原理在與修改報文的IP地址和端口信息，這樣，一旦報文經(jīng)過NAT設(shè)備，VPN隧道兩端就不行能建立IPSec隧道連接。SecPoint軟件勝利地記解決了此問題。軟件通過在IPSec報文前增加一層UDP報文頭的方式，使NAT設(shè)備不須要修改報文內(nèi)容，從而解決了IPSec支持NAT穿越的問題，NAT設(shè)備只修改封裝的UDP頭，但是沒有影響IPSec數(shù)據(jù)報文的內(nèi)容，即使經(jīng)過NAT轉(zhuǎn)換，仍舊可以正常建立IPSec隧道連接。在運用SecPoint軟件的NAT穿越功能時，須要網(wǎng)管側(cè)設(shè)備也支持NAT穿越。SecPoint軟件支持備份LNS服務(wù)器。當主LNS服務(wù)器因故障不能運用，SecPoint軟件自動向備份LNS服務(wù)器發(fā)起協(xié)商。這樣降低故障對于整體網(wǎng)絡(luò)資源的影響。運用備份LNS功能，只須要用戶在配置LNS服務(wù)器IP時，指定備份LNS服務(wù)器的IP，如圖所示：通過安裝SecPoint，可以使PC機能夠通過多種方式進行VPN互聯(lián)，并最終實現(xiàn)遠端PC能夠平安、快捷地通過Internet訪問相應(yīng)企業(yè)總部VPN的目的。同時為了保證最大的牢靠性，可以為企業(yè)打算一個撥號服務(wù)器，在VPN網(wǎng)關(guān)或者Internet不行用時，允許用戶通過撥號訪問內(nèi)網(wǎng)。另外，為了保證平安，可以在撥號服務(wù)器后面放置一個防火墻，可以對撥號用戶的訪問進行限制。VPN接入平安網(wǎng)關(guān)子系統(tǒng)VPN接入網(wǎng)關(guān)子系統(tǒng)是系統(tǒng)的核心部件，選用華為公司的系列產(chǎn)品。同時在牢靠性要求比較高的系統(tǒng)中可以作HA雙機熱備份方案或采納兩臺平安網(wǎng)關(guān)產(chǎn)品運行VRRP協(xié)議方式實現(xiàn)主從熱備份。平安網(wǎng)關(guān)作為局端核心設(shè)備供應(yīng)平安VPN接入功能。通過防火墻實例及針對源地址區(qū)分用戶進行ACL訪問權(quán)限限制。認證計費管理子系統(tǒng)認證計費系統(tǒng)由華為VPN認證計費管理系統(tǒng)。華為VPN認證計費管理系統(tǒng)供應(yīng)完善的認證計費功能，同時供應(yīng)自助式帳戶管理功能。并且通過RADIUSProxy功能與RSAACEServer協(xié)作實現(xiàn)一次性密碼認證功能，或采納QuidwaySecKeyUSB卡方式進行身份認證。SecKey身份認證方式：華為3ComSecPoint（以下簡稱SecPoint）是華為3Com公司自行設(shè)計開發(fā)的VPN客戶端軟件，可以將平安性擴展至桌面計算機和筆記本電腦，能夠通過多種方式與華為3Com的網(wǎng)絡(luò)設(shè)備（如路由器及SecPath系列網(wǎng)關(guān)設(shè)備等）進行VPN互聯(lián)，為遠程連接供應(yīng)高平安解決方案。華為3Com堅持以客戶需求為導(dǎo)向，新推出的基于智能卡平安技術(shù)的QuidwaySecKey產(chǎn)品，可以為SecPoint用戶供應(yīng)身份認證信息的平安存儲、基于硬件的雙因素用戶認證、客戶端配置“即插即用”以及l(fā)icense管理等功能。SecKey可以削減SecPoint用戶身份信息被盜用的風險，運用雙因素方式提高用戶身份驗證平安性，同時通過削減SecPoint的配置管理工作來提高用戶的工作效率，最終可以幫助企業(yè)實現(xiàn)優(yōu)化大規(guī)模遠程訪問VPN用戶的部署工作，經(jīng)濟有效地管理用戶的移動實力和平安策略，削減企業(yè)的IT運營成本。SecKey中全部數(shù)據(jù)存儲在智能卡芯片中，讀寫由COS限制，只能依據(jù)PIN碼權(quán)限進行相應(yīng)訪問；每個SecKey最多只支持一個進程訪問，只要關(guān)閉對SecKey的訪問進程，全部權(quán)限即復(fù)位到初始狀態(tài)，以上技術(shù)手段可以使SecKey自身平安性得到最好保證。用戶可以將數(shù)字證書或者用戶名/密碼保存到QuidwaySecKey中來確保這些信息的平安，解決了身份認證信息平安存儲中的薄弱環(huán)節(jié)――存儲介質(zhì)平安性的問題。運用SecKey可以保障數(shù)字證書無法被復(fù)制，全部密鑰運算由SecKey實現(xiàn)，用戶密鑰不在計算機內(nèi)存出現(xiàn)也不在網(wǎng)絡(luò)中傳播，只有SecKey的持有人才能夠?qū)?shù)字證書進行操作，平安性有了保障。SecKey內(nèi)部運用了運算實力強大的專用芯片，使得計算特別耗時的RSA運算可以在芯片的內(nèi)部實現(xiàn)。這也就是意味著，私鑰從生成的時候起先就始終保存在SecKey內(nèi)部，即使是私鑰的全部者也沒有權(quán)限讀取私鑰的內(nèi)容。同時由于SecKey專用芯片所運用的平安封裝技術(shù)，使得從SecKey中強行獲得用戶私鑰的信息的嘗試變得不行能。運用基于硬件RSA算法的SecKey比運用單純的軟件實現(xiàn)的RSA應(yīng)用更加平安牢靠。因為敏感數(shù)據(jù)都被平安地保存在SecKey的平安存儲區(qū)域中，未授權(quán)用戶是無法接觸到這些信息的。數(shù)據(jù)的簽名和加密操作全部在SecKey內(nèi)部完成，私鑰從生成的時刻起就始終保存其中，可有效的杜絕黑客程序的攻擊。運用SecKey實現(xiàn)的用戶名/密碼認證運用沖擊/響應(yīng)原理的實現(xiàn)方式，相關(guān)運算通過SecKey內(nèi)置算法完成，用戶密碼不須要被讀出SecKey和在網(wǎng)絡(luò)行傳輸，因此可以保證即使認證相關(guān)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^程中被黑客截獲，也無法逆推獲得密碼。RSA身份認證方式：該方法的前提是一個單一的記憶因素，如口令，但口令本身只能對真實性進行低級認證，因為任何聽到或盜竊口令的人都會顯得完全真實；因此須要增加其次個物理認證因素以使認證的確定性按指數(shù)遞增。例如，銀行ATM卡就是一個廣泛采納的雙因素認證機制，ATM卡須要將有效卡和PIN（個人身份號碼）結(jié)合運用，供應(yīng)了足夠的平安級別，以支持用戶對銀行服務(wù)及資金的訪問。借助的用戶認證系統(tǒng)，RSA信息平安解決方案可以向授權(quán)的用戶發(fā)放單獨登記的設(shè)備，以生成個人運用令牌碼，這一代碼可以依據(jù)時間而改變。每60秒就會生成一個不同的令牌碼，愛護網(wǎng)絡(luò)的認證服務(wù)器能夠驗證這個改變的代碼是否有效。每個認證設(shè)備都是唯一的，別人無法通過記錄以前的令牌代碼來預(yù)料將來的代碼，就可以高度確信該用戶即擁有RSA平安認證令牌的合法用戶。當用戶訪問受愛護的撥號服務(wù)器、防火墻或者VPN服務(wù)器時，須要輸入用戶名和雙因素Passcode，然后由這些網(wǎng)絡(luò)設(shè)備內(nèi)置的代理軟件將Passcode發(fā)送到認證服務(wù)器進行認證，假如是合法用戶則可以訪問網(wǎng)絡(luò)資源，否則就會被拒絕。假如沒有內(nèi)置的代理軟件，這些網(wǎng)絡(luò)設(shè)備還可以通過TACACE+和RADIUS協(xié)議來支持SecurID雙因素認證。當用戶須要訪問這些網(wǎng)絡(luò)設(shè)備時，輸入用戶名和Passcode，網(wǎng)絡(luò)設(shè)備將Passcode通過TACACE+和RADIUS協(xié)議傳送到RADIUS服務(wù)器，然后再由RADIUS服務(wù)器中內(nèi)置的代理軟件轉(zhuǎn)發(fā)到認證服務(wù)器進行認證，最終將認證結(jié)果返回給網(wǎng)絡(luò)設(shè)備。VPN管理子系統(tǒng)利用華為VPNManager（QuidViewVDM組件）供應(yīng)的VPN管理功能，對VPN網(wǎng)絡(luò)實現(xiàn)便利快捷的網(wǎng)絡(luò)管理。QuidViewVDM組件，以用戶實際配置任務(wù)為驅(qū)動，供應(yīng)IPSecVPN業(yè)務(wù)配置向?qū)?，指?dǎo)用戶進行IPSecVPN設(shè)備配置，構(gòu)建VPN網(wǎng)絡(luò)。在配置業(yè)務(wù)中，供應(yīng)預(yù)定義配置參數(shù)功能，以便利高級用戶預(yù)定義、重用配置信息。并供應(yīng)缺省配置，以運用戶初次運用本管理軟件時，能快速配置IPSecVPN設(shè)備，而無需進行過多配置及軟件運用學(xué)習。為了避開在設(shè)備上留下冗余的配置信息，支持“清除”功能，能夠在重新配置以及配置吩咐下發(fā)過程中出現(xiàn)失敗的狀況下，清除設(shè)備已配置的信息。為了管理便利，以網(wǎng)絡(luò)域為配置單位，削減配置操作，對網(wǎng)絡(luò)域的配置會自動給予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對網(wǎng)絡(luò)域內(nèi)全部設(shè)備進行相同配置部署。同時，用戶也可指定某個設(shè)備的特別配置。QuidViewVDM組件配置利用QuidView供應(yīng)的解決方案可以輕易實現(xiàn)對于VPN網(wǎng)絡(luò)的信息監(jiān)視。QuidViewNMF框架可以打開IPSecVPN的全網(wǎng)拓撲圖，可以在IPSecVPN視圖中直觀顯示全網(wǎng)設(shè)備及設(shè)備的運行狀態(tài)。QuidViewVMM組件可以有效監(jiān)視IPSec設(shè)備的運行性能，供應(yīng)豐富的性能管理功能。包括支持對IPSecVPN網(wǎng)關(guān)CPU利用率等關(guān)鍵指標的監(jiān)視；支持對IPSec、IKE隧道的監(jiān)視；支持對協(xié)商過程的監(jiān)視；并供應(yīng)折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據(jù)顯示給用戶；支持AtaGlance、TopN功能，運用戶能夠?qū)PU利用率、流量等關(guān)鍵指標一目了然；供應(yīng)報表導(dǎo)出和基于歷史數(shù)據(jù)的分析，為用戶網(wǎng)絡(luò)擴容、及早發(fā)覺網(wǎng)絡(luò)隱患供應(yīng)保障；支持對用戶關(guān)切的性能參數(shù)設(shè)定閾值，當超過設(shè)定的閾值后，系統(tǒng)將會發(fā)送性能告警，使網(wǎng)絡(luò)管理人員剛好發(fā)覺和消退網(wǎng)絡(luò)中的隱患。QuidViewVMM組件性能監(jiān)視華為3Com移動辦公解決方案特點移動辦公用戶通過Internet接入企業(yè)VPN，不受到接入手段及地理位置的任何限制，供應(yīng)最大限度的敏捷性。多種容量可供選擇，單個平安網(wǎng)關(guān)并發(fā)2000~10K用戶，加密處理實力40M~300Mbps，實現(xiàn)多個L2TP用戶平安隔離，與MPLSVPN網(wǎng)絡(luò)無縫結(jié)合。完善的加密體系，采納IPSec對網(wǎng)絡(luò)通道進行牢靠的平安加密保障傳輸?shù)钠桨残?。加密協(xié)議支持DES、3DES、AES（SECPATH系列平安網(wǎng)關(guān)供應(yīng)）完善的認證計費體系，和靜態(tài)密碼、RSASecurID令牌卡、SecKeyUSBToken等密碼認證方式。高牢靠性，電信級接入服務(wù)，關(guān)鍵部件及網(wǎng)絡(luò)采納高牢靠性設(shè)計低成本，高的性能價格比?？晒芾硇詮姟６喾N移動辦公解決方案比較VPDN運用方式VPN移動辦公解決方案傳統(tǒng)撥號方式平安性只能實現(xiàn)VPDN服務(wù)器接入點到遠端專線落地點間的數(shù)據(jù)加密，不能實現(xiàn)“端—端”平安；而且加密在運營商內(nèi)實現(xiàn)，不由自己限制；采納L2TP結(jié)合Radius認證，平安級別較低。真正實現(xiàn)“端—端”平安，一出PC即加密，平安設(shè)備由用戶自己管理，不會受制