Juniper-SSL-VPN遠程安全接入解決方案

JuniperSSLVPN遠程平安接入技術方案第21頁共21頁JuniperSSLVPN遠程平安接入解決方案上海軟盛信息技術JuniperSSLVPN遠程平安接入技術方案第21頁共21頁目錄一、企業(yè)網(wǎng)絡遠程訪問面臨挑戰(zhàn) 3二、平安接入技術的選擇 3三、方案建議 43.1系統(tǒng)特性 63.2IVE系統(tǒng)對平安的控制 73.3員工和合作伙伴輕松訪問相應的應用和資源 83．3．1無需安裝客戶端的遠程平安訪問 93．3．5提高網(wǎng)絡傳輸性能 103．3．6用戶使用界面自定制 103.4系統(tǒng)擴展性和高可用性 113．5全面的遠程接入平安保護 113．5．4平安的數(shù)據(jù)傳輸 123．5．5穩(wěn)固平安的系統(tǒng)平臺 133．7部署和管理遠程訪問系統(tǒng) 133．7．1部署過程 133．7．2管理配置 143．7．3系統(tǒng)日志和維護 143．7．4管理員權限分配 15四、總結 15五、成功案例 155．1東方航空SSLVPN應用案例 155．2掌上靈通SSLVPN應用案例 18JuniperSSLVPN遠程平安接入技術方案第21頁共21頁一、企業(yè)網(wǎng)絡遠程訪問面臨挑戰(zhàn)隨著互聯(lián)網(wǎng)的開展和電子商務的普及，越來越多公司的員工已經(jīng)不僅僅是坐在辦公室里處理日常事務，象出差員工、家庭辦公等多種類型的遠程訪問公司內(nèi)部資源和應用的需要變得十分的迫切。同時，這種網(wǎng)絡連接的發(fā)生也為企業(yè)網(wǎng)絡引入了新的平安威脅，但是目前的網(wǎng)絡平安方案又是十分的昂貴和復雜。目前的企業(yè)極需要一種簡單實用的解決方案，可以平安的實現(xiàn)遠程員工、合作伙伴乃至客戶對企業(yè)內(nèi)部網(wǎng)絡資源的訪問，而又不會為企業(yè)網(wǎng)絡帶來新的平安風險。二、平安接入技術的選擇隨著信息技術的快速開展，為了提高效勞的質(zhì)量和水平、在市場競爭中取得優(yōu)勢，企業(yè)建立了內(nèi)部局域網(wǎng)，使內(nèi)部辦公人員通過網(wǎng)絡可以迅速地獲取信息。然而，隨著個人電腦和互聯(lián)網(wǎng)應用技術的普及，“在家辦公〞、“異地辦公〞、“移動辦公〞等多種遠程辦公模式逐漸普及，同時合作伙伴的人員也希望能訪問到相應的信息資源，企業(yè)的IT管理人員面臨將遠程辦公模式作為內(nèi)部辦公網(wǎng)絡的延伸和對合作伙伴人員提供外聯(lián)網(wǎng)接入的需求，為遠程辦公的員工提供訪問內(nèi)部信息和為合作伙伴人員訪問與其身份相符的信息的方便。然而，要享受通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的信息資源的便利，就需要實施適當?shù)男畔⑵桨膊呗裕趪栏穹乐蛊髽I(yè)信息資源被非法竊取的同時，對合法的訪問要提供方便，同時還需盡量降低信息平安策略的實施和維護本錢。企業(yè)通過Internet數(shù)據(jù)傳輸平臺，實施加密的VPN實現(xiàn)平安接入的方法主要有兩種：一種是IPsecVPN，另一種是SSLVPN。兩種技術在不同領域各有其優(yōu)勢，我們建議：在實施固定的站點到站點的VPN和復雜應用的移動用戶接入VPN時，采用IPsec技術；在實施普通應用的移動用戶接入VPN時，采用SSL技術，原因是SSL無需在客戶端安裝客戶端軟件、實施和維護靈活簡單、不受地址翻譯影響、控制策略更加細化、總體擁有本錢較低，而且由于SSLVPN不是翻開一個網(wǎng)絡層通道，而只是提供了聯(lián)系應用層請求的固化網(wǎng)絡接口，所以提高了與VPN相關的整個系統(tǒng)的平安性。SSL和IPsec技術的詳細比較請參考?SSLvs.IPSec?一文。在本方案中，我們建議根據(jù)具體的網(wǎng)絡需求，靈活結合兩種流行VPN。當然，因為目前的需求僅僅是總體建議，還需要針對更具體的網(wǎng)絡情況進行調(diào)整。JuniperSSLVPN遠程平安接入技術方案第21頁共21頁三、方案建議平安協(xié)議平安套接層〔SSL〕技術是一項在互聯(lián)網(wǎng)上廣泛實施的標準平安協(xié)議，全面支持認證和加密，所有標準web瀏覽器都支持SSL?；谫F公司的平安接入模式以移動辦公用戶遠程訪問為主，我們建議主要采用SSLVPN方案，對于一些特殊的應用和特殊的用戶環(huán)境，輔助以IPSecVPN。JuniperSA系列的遠程接入產(chǎn)品是廣受好評的SSLVPN產(chǎn)品，采用的是InstantVirtualExtranet(IVE)的系統(tǒng)平臺，客戶只要有標準的web瀏覽器，無需進行任何部署或安裝硬件、軟件客戶端設備，也無需對內(nèi)部效勞器進行任何修改，沒有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護，所以可以方便地讓用戶平安地接入網(wǎng)絡。建議在貴公司實施的SSLVPN平安接入的網(wǎng)絡拓撲示范圖如下：設備采用雙層保護，防火墻實現(xiàn)根本DoS保護、策略過濾，以及IPSecVPN功能。SA設備那么實現(xiàn)SSLVPN，進行應用層保護過濾和接入。對于核心的基于WEB的應用，如內(nèi)部郵件、辦公應用系統(tǒng)等，JuniperSA產(chǎn)品提供全面的效勞。包括ActiveX、Java、JavaScript、PHP等，支持的全面性、靈活性遠遠超過我們的競爭對手。并且在平安策略上實施的是應用層面的平安策略，可以比IPsec更加細化；由于JuniperSA系列的遠程接入產(chǎn)品是穩(wěn)固可靠的應用層網(wǎng)關，采用應用層面的平安策略后，內(nèi)部的應用效勞器可以得到有效保護，而不必將效勞JuniperSSLVPN遠程平安接入技術方案第21頁共21頁器的第4層端口完全暴露給外部；前端的防火墻上只需配置翻開tcpSSL端口的策略即可。除了對web和email等應用的支持外，JuniperSA對非web的許多客戶端/效勞器應用也提供很好的支持，所以采用JuniperSA系列的遠程接入產(chǎn)品實施SSLVPN來實現(xiàn)遠程接入被許多國際著名企業(yè)〔如花旗銀行、德意志銀行〕采用。對貴公司來說，最常用的應用包括Outlook等系列軟件，JuniperIVE雖然將這些應用轉(zhuǎn)化為SSL標準數(shù)據(jù)流，但并不影響這些應用，例如，文件仍然可以下載到本地。對于絕大多數(shù)的C/S應用，例如Passive模式FTP、貴公司獨立開發(fā)的TCP特殊應用、數(shù)據(jù)庫遠程連接等，JuniperSA是透明支持的。對于許多常用的C/S應用，如Telnet/SSH和Citrix等，JuniperSA都已經(jīng)將這些應用的支持固化在核心WEB應用當中，用戶無需再定義可直接使用。Juniper支持廣泛的文件共享，Unix和Windows，并且支持中文共享。對于特殊的應用，特別是那些需要更底層通訊功能的協(xié)議，JuniperSA還提供了NetworkConnect功能，相當于三層的通道，適用于幾乎所有的IP層協(xié)議應用。例如Active模式的FTP，流媒體應用等。中心點按照我們的建議已經(jīng)放置了支持IPSecVPN的防火墻，可以建立到分支點出口防火墻的VPN，以及PC撥號DialupVPN。JuniperSA設備支持HA功能。配合流量負載設備，JuniperSA支持active-active的HA方式，不僅可以實現(xiàn)備份功能，更可以擴大容量，實現(xiàn)流量分擔。同時，Juniper-SA系列的遠程接入產(chǎn)品可以強制對遠程用戶的安裝防火墻及防病毒軟件做出要求。JuniperIVE系統(tǒng)與當前市場上流行的個人防火墻、防病毒軟件做最緊密的結合，如SygateEnforcementAPI、SygateSecurityAgent、ZoneLabs:ZoneAlarmProandZoneLabsIntegrity、McAfeeDesktopFirewall、InfoExpressCyberGatekeeperAgent等，用戶只需要用鼠標選擇一些選項便可完成。而且用戶還可以自行定義強制檢查其它的運行程序或windows注冊表工程。JuniperSA系列的遠程接入產(chǎn)品獲得的獎項包括?PC雜志?的2003年最正確網(wǎng)絡獎，?網(wǎng)絡世界?SSLVPN網(wǎng)關評測中獲得評分最高的世界級產(chǎn)品獎，和?網(wǎng)絡計算?雜志的編輯選擇獎。IVE系統(tǒng)的設計和開發(fā)被平安保障公司和參謀TruSecure所審查和驗證，TruSecure是世界級Internet互聯(lián)平安保障解決方案的領先者，為JuniperIVE硬件系統(tǒng)發(fā)布了一個平安保障聲明。DanFarmer，令人尊重的平安參謀和SATAN〔SecuirtyAdministratorToolforAnalyzingNetworks〕的作者，以及CryptographyResearch，SSL3.0的設計者之一，也對JuniperIVE系統(tǒng)進行了審查和驗證。JuniperSSLVPN遠程平安接入技術方案第21頁共21頁3.1系統(tǒng)特性為了從根本上簡化平安遠程訪問，Juniper的IVE系統(tǒng)按以下目標進行架構和設計：運行平臺必須抵御針對平安、設備與系統(tǒng)軟件集成方面的攻擊。為了滿足該目標，系統(tǒng)被固化，核心層對流量進行數(shù)據(jù)包級過濾。運行平臺必須抵御針對機密性和所有通過IVE系統(tǒng)的數(shù)據(jù)集成方面的攻擊。為了滿足該目標，系統(tǒng)使用SSL在本地文件系統(tǒng)上存儲加密的信息。系統(tǒng)必須能夠通過簡單的基于Web的管理控制臺在幾小時內(nèi)進行實施。為了滿足該目標，IVE系統(tǒng)進行大量的預先配制工作，管理員只需要進行少量的系統(tǒng)和網(wǎng)絡配置就可以完成IVE系統(tǒng)的實施。系統(tǒng)必須提供應客戶與直接訪問公司內(nèi)部網(wǎng)相同的訪問能力。為了滿足該目標，系統(tǒng)使用Juniper代理引擎來透明地向遠程用戶發(fā)送資源。系統(tǒng)必須具有可靠性和可擴展性，能夠擴展到多個硬件系統(tǒng)。為了滿足該目標，系統(tǒng)支持集群系統(tǒng)，集群中的多個系統(tǒng)提供故障恢復能力、性能擴展能力，并且支持主－備或雙主動模式。Juniper的IVE系統(tǒng)可以支持廣泛的企業(yè)應用，包括：基于Web的各項應用，包括瀏覽企業(yè)內(nèi)網(wǎng)、訪問基于web的outlook和iNotes；基于MicrosoftExchange和LotusNotes郵件系統(tǒng)、以及其他基于IMAP4、POP3和SMTP的標準的郵件應用；對于文件效勞器的文件及目錄共享控制提供支持，方便用戶上傳、下傳文件；Telnet/SSH；對大多數(shù)cient/server應用提供支持；網(wǎng)絡全連接方式〔即PC的全部流量都可以通過SSLVPN到達企業(yè)內(nèi)網(wǎng)〕；個人防火墻/防病毒軟件等強制性檢查；對于來自非平安設備或臨時訪問設備〔如網(wǎng)吧〕的訪問，強制cache去除。JuniperIVE系統(tǒng)支持的接入平安控制的細化包括：動態(tài)認證策略：可以通過多種要素對用戶身份進行認證，包括提供身份前檢查和提供身份后檢查，其中提供身份前檢查的內(nèi)容可包括：源地址、網(wǎng)絡接口〔內(nèi)/外〕、證書、節(jié)點平安〔包括主機檢查和緩存去除〕、瀏覽器的userJuniperSSLVPN遠程平安接入技術方案第21頁共21頁agent、登錄的URL、SSL版本和加密級別；提供身份后檢查的內(nèi)容可包括：身份確定、證書特性、密碼長度、同時登錄用戶數(shù)、目錄效勞密碼；角色定義和策略匹配：管理員可以定義用戶屬于一個或多個角色，對不同角色提供不同的訪問權限。對屬于多個角色的用戶可以一次性地給該用戶多個角色的總和，也可以讓用戶選擇采用某個角色進行應用訪問；資源訪問策略：對于不同的應用資源，管理員可以提供不同的訪問策略，作為第三層的訪問控制手段；JuniperIVE系統(tǒng)支持數(shù)字證書的使用，支持多種認證效勞器〔包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor認證，包括ActivCardActivPack?、RSASecurID?和SecureComputingSafeWord?PremierAccess?以及客戶端數(shù)字證書〕，也可在設備上建立本地用戶數(shù)據(jù)庫，更支持LDAP/ActiveDirectory的用戶組的特性，方便管理員定義策略。此外，還支持一次登錄訪問多個需認證的應用的功能〔基于cookie的認證〕，為遠程平安接入用戶提供方便。3.2IVE系統(tǒng)對平安的控制1)硬件平臺和加固的操作系統(tǒng)IVE系統(tǒng)采用了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的效勞器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設計成可以抵御針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過只運行完成關鍵任務的效勞來防止攻擊，這些關鍵的效勞在開發(fā)時就進行了平安加固，確保系統(tǒng)的平安性。IVE系統(tǒng)不運行通常的用戶和程序效勞，因此不會導致針對這些效勞的攻擊。IVE系統(tǒng)不允許管理員創(chuàng)立、維護系統(tǒng)級的用戶帳號。因為沒有交互式的Shell和翻開的系統(tǒng)帳號，潛在的入侵者無法嘗試利用脆弱的口令、缺省帳號或遺棄的帳號對系統(tǒng)進行非授權的訪問。2)流量監(jiān)控和過濾IVE使用核心級包過濾模塊來監(jiān)控系統(tǒng)所收到的包，并決定是接受或拒絕該流量。該特性使得系統(tǒng)使用預定義的控制網(wǎng)絡流量規(guī)那么組，在接受之前在不同階段對流量進行驗證。包過濾限制了流量從本系統(tǒng)到想要連接的系統(tǒng)。3)數(shù)據(jù)的完整性和機密性IVE使用世界范圍的Internet平安標準協(xié)議：SecureSocketsLayer(SSL)。SSL在Web瀏覽器和IVE系統(tǒng)之間提供一個平安的通道。SSL有效地阻止了人為的效勞器欺騙和數(shù)據(jù)完整性的攻擊，因為：所有通訊采用128位密鑰加密系統(tǒng)通過證書進行認證JuniperSSLVPN遠程平安接入技術方案第21頁共21頁IVE也可選來支持客戶端證書，它可以通過基于X.509的證書對用戶進行鑒別。SSL對系統(tǒng)之間的交換數(shù)據(jù)的完整性和機密性的保護，確保任何未經(jīng)授權訪問的發(fā)生。4〕用戶鑒別和認證IVE系統(tǒng)集成了領先的認證系統(tǒng)，包括雙因子系統(tǒng)和客戶端證書系統(tǒng)。通過一個合法的證書，用戶可以發(fā)起一個會話。每個到系統(tǒng)的子請求根據(jù)該會話進行認證，系統(tǒng)對非法登錄請求的頻率進行限制，防止字典攻擊。如果用戶信息是合法的，系統(tǒng)產(chǎn)生一個認證令牌。通過Web請求，該令牌被保存在一個加密的會話Cookie中。因為系統(tǒng)使用HTTPS和SSL對傳送的數(shù)據(jù)進行加密，在這過程中會話不可能被劫取。5)審計系統(tǒng)產(chǎn)生細化的日志，該日志存儲在本地，系統(tǒng)也可以將這些信息發(fā)送到SYSLOG效勞器。系統(tǒng)管理員可以通過用系統(tǒng)的日志管理器或外部的SYSLOG效勞器審計的資源或應用程序?qū)我挥脩舻脑L問采取一些操作。6)文件系統(tǒng)和I/O所有存儲在設備上的數(shù)據(jù)使用AES進行加密，只有Juniper的系統(tǒng)軟件可以讀取存儲的加密數(shù)據(jù)。更進一步講，用戶和管理員不能替換任意的可執(zhí)行文件，他們也無法擁有系統(tǒng)級的帳號，因此，黑客無法針對系統(tǒng)進行權限升級的攻擊。系統(tǒng)本身的平安性遠遠高于我們的競爭對手。3.3員工和合作伙伴輕松訪問相應的應用和資源任何熟悉瀏覽器的用戶無需任何特殊的培訓就可以使用IVE系統(tǒng)。用戶登錄后就可以訪問電子郵件、文件效勞器和Web資源。認證和啟用一個IVE會話之后，用戶可以訪問通過訪問控制列表和基于組權限的資源。系統(tǒng)以平安方式存儲了用戶的認證信息使得用戶無需登錄屢次，用戶就可以使用瀏覽器、標準的電子郵件客戶端、私有的信息應用程序或其他客戶端訪問所需要的資源。訪問Web應用、IntranetWeb站點、文件效勞器和Telnet/SSH為了訪問文件和Web資源，用戶可以連接到IVE系統(tǒng)通過以下方式來實現(xiàn)：啟動具有Internet連接的Web瀏覽器瀏覽網(wǎng)絡管理員定義的平安的URL資源登錄到系統(tǒng)JuniperSSLVPN遠程平安接入技術方案第21頁共21頁瀏覽IVE主頁上提供的資源，用戶可以自己定制URL書簽和文件效勞器。使用IVE訪問信息效勞器和客戶端－效勞器應用為了訪問這些效勞器，用戶可以登錄到IVE并啟動會話，當用戶被認證通過，IVE自動啟動平安應用管理器〔SAM〕，該管理器可以通過SSL作為網(wǎng)關連接內(nèi)部應用。對于telnet和SSH，它可以用作終端仿真器。對于信息和客戶端－效勞器應用，它可以用作基于Java或Windows的應用代理，SAM在SSL中封裝流量，客戶端和內(nèi)部效勞器通過IVE系統(tǒng)建立平安的連接和通訊。IVE系統(tǒng)可以使遠程用戶在不安裝任何客戶端軟件和修改任何配置的條件下，透過Internet提供對現(xiàn)有應用和效勞器的平安訪問。3．3．1無需安裝客戶端的遠程平安訪問Juniper的IVE遠程平安訪問系統(tǒng)，在無需安裝客戶端的前提下，利用系統(tǒng)已有的標準的WEB瀏覽器，通過瀏覽器支持的SSL平安協(xié)議，實現(xiàn)對企業(yè)內(nèi)網(wǎng)的應用效勞器的平安訪問。訪問過程中，重要數(shù)據(jù)在互聯(lián)網(wǎng)上以SSL加密的形式傳輸。IVE系統(tǒng)通過以下三種方式幫助遠程客戶端實現(xiàn)對企業(yè)內(nèi)部應用效勞器的訪問。3．3．2核心WEB方式核心方式〔coreaccess〕的訪問采用標準WEB方式，遠程用戶首先登陸到IVE系統(tǒng)當中，進行相關的平安機制檢查和身份認證，通過認證和授權后，直接點擊IVE系統(tǒng)主頁上的相關預定義好的網(wǎng)絡標簽實現(xiàn)對內(nèi)部效勞器的訪問。核心方式的訪問支持如下的應用：平安的web應用訪問：對基于web的內(nèi)容和應用提供支持，也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。平安的文件共享訪問：動態(tài)Windows和Unix文件(CIFS/NFS)的web化基于標準的E-mail客戶端訪問〔outlookwebaccess〕平安的終端訪問：對Telnet/SSH主機(VT100,VT320…)的訪問CORE方式主要適合于遠程合作伙伴或者用戶進行WEB訪問之用。JuniperSSLVPN遠程平安接入技術方案第21頁共21頁3．3．3平安內(nèi)容管理器在平安內(nèi)容管理器〔SAM,secureapplicationmanager)方式中，遠程用戶首先登陸到IVE系統(tǒng)當中，進行相關的平安機制檢查和身份認證，通過認證和授權后，遠程系統(tǒng)會自動加載一個小插件，這個插件可以將指定的網(wǎng)絡訪問進行重新的定向和SSL封裝，將請求傳給SA系統(tǒng)，由IVE系統(tǒng)對請求進行解析，并且對企業(yè)內(nèi)部的應用效勞器進行訪問請求。SAM模式可以保證現(xiàn)有的客戶化應用不受改變。采用SAM的方式可以支持如下的應用：訪問客戶端/效勞器應用,包括nativemessagingclients〔MicrosoftOutlookandIBM/LotusNotes〕其他的基于固定效勞端口，較為簡單的應用SAM方式主要適合于遠程合作伙伴或者用戶進行C/S架構的相關訪問之用。3．3．4網(wǎng)絡層連接〔networkconnect〕在網(wǎng)絡層連接〔networkconnect〕方式中，遠程用戶首先登陸到IVE系統(tǒng)當中，進行相關的平安機制檢查和身份認證，通過認證和授權后，遠程系統(tǒng)會自動加載一個小插件，這個插件可以從IVE系統(tǒng)中自動的獲得一個內(nèi)部網(wǎng)絡的IP地址，從而實現(xiàn)對內(nèi)部網(wǎng)絡資源的訪問，該種訪問方式與IPSec類似。采用NC的方式可以支持幾乎全部的網(wǎng)絡應用，包括相對復雜的視頻會議、IP等等。一般來說這種方式的訪問適合于網(wǎng)絡管理員進行遠程管理用。3．3．5提高網(wǎng)絡傳輸性能遠程訪問的速度問題，一直是VPN系統(tǒng)需要解決的問題之一，與IPSec的VPN解決方案方便，JuniperIVE系統(tǒng)提供了更高的網(wǎng)絡傳輸性能，采用的技術手段包括：利用預協(xié)商好的GZIP壓縮機制來在對應用局部的流量在加密之前首先進行壓縮處理，只對應用層的數(shù)據(jù)進行加密，不進行協(xié)議的再次封裝，從而減少互聯(lián)網(wǎng)上傳送的流量,提高了網(wǎng)絡傳輸?shù)男阅堋Ｌ峁┧淼婪指?SplitTunneling)能力，如果使用了NC或者SAM方式，系統(tǒng)通過設置可以完成只允許流向LAN的流量通過VPN連接器進行傳輸。而去其他地方(如其他的互聯(lián)網(wǎng)訪問)的流量將通過客戶端原有的網(wǎng)關之間訪問。3．3．6用戶使用界面自定制JuniperSSLVPN遠程平安接入技術方案第21頁共21頁管理員可以自由調(diào)整用戶登陸IVE系統(tǒng)的標識與詳細界面的外觀，比方可以修改LOGO,界面的顏色等等，這樣可以更好地匹配公司的風格。同時管理員可以對不同的用戶組實現(xiàn)不同的登陸界面和URL。3.4系統(tǒng)擴展性和高可用性在選擇產(chǎn)品型號時，考慮的因素包括并發(fā)用戶數(shù)、網(wǎng)絡的應用的復雜程度和實際流量，其中并發(fā)用戶數(shù)是一個最主要的指標。由于JuniperIVE系統(tǒng)無需客戶端，所以無需考慮客戶端軟件的費用。高可用性方面，可以通過兩臺NS-SA設備實現(xiàn)狀態(tài)保持下的主/備切換，也可通過第三方的負載均衡器來實現(xiàn)雙主動。 高可用性解決方案實現(xiàn)故障切換和最正確性能，系統(tǒng)對端可以同步：? 系統(tǒng)狀態(tài)? 用戶檔案狀態(tài)? 會話狀態(tài)? 群集對? 多站點群集對? LAN上的主動/主動配置選項? WAN上的主動/被動配置選項3．5全面的遠程接入平安保護Juniper的遠程接入解決方案提供全方位的平安保護，從客戶端的接入，到數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸，再到IVE接入平臺，到對后臺效勞器的資源防護控制等各個方面，都提供了相應的平安機制。3．5．1節(jié)點平安機制檢查JuniperSSLVPN遠程平安接入技術方案第21頁共21頁隨著遠程用戶的接入，對于網(wǎng)絡管理員來說，相當于將企業(yè)的辦公網(wǎng)絡進行了延伸，如何將企業(yè)原有的平安保護措施和平安策略對于新接入的主機也同樣有效，Juniper的IVE系統(tǒng)提供全面的解決方案，可以對接入節(jié)點的平安策略進行檢查，并且根據(jù)檢查的結果，實施相應的訪問控制。并且允許管理員對以下的選項進行定制。和第三方節(jié)點平安解決方案整合，如InfoExpress，McAfee，Sygate，ZoneLabs等注冊表參數(shù)檢查開放/不允許的ports檢查允許/不允許的進程檢查允許/不允許的文件檢查檢查定制的dlls對第三方軟件實施心跳檢查應用認證檢查(進程,文件MD5Hash)與賽們鐵可的惡意軟件防護功能相結合，提供了客戶端對惡意軟件訪問的支持3．5．2訪問緩存去除代理如果遠程用戶使用了不可信任的遠程主機，對企業(yè)的內(nèi)部網(wǎng)絡進行了訪問，瀏覽器的緩存中將會保存一局部訪問的數(shù)據(jù)，很容易造成敏感信息的意外泄漏，Juniper的IVE系統(tǒng)為此提供了緩存去除的功能，用戶在登陸內(nèi)部網(wǎng)絡的時候，自動在本地加載一個緩存去除代理，在用戶正常注銷或者非正常退出的情況下，去除系統(tǒng)的該次訪問留下的會話數(shù)據(jù)和臨時文件。保證了敏感信息不會保存在客戶端主機上。3．5．3對登陸用戶的身份驗證IVE系統(tǒng)支持數(shù)字證書的使用，可以單獨的利用客戶端的數(shù)字證書對用戶身份進行驗證，從而防止了輸入用戶名/密碼的麻煩。同時，IVE系統(tǒng)還支持多種認證效勞器〔包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor認證，包括ActivCardActivPack?、RSASecurID?和SecureComputingSafeWord?PremierAccess?以及客戶端數(shù)字證書〕，也可在設備上建立本地用戶數(shù)據(jù)庫，更支持LDAP/ActiveDirectory的用戶組的特性，方便管理員定義策略。3．5．4平安的數(shù)據(jù)傳輸遠程訪問的用戶的數(shù)據(jù)在不可信任的互聯(lián)網(wǎng)上傳輸?shù)臅r候，采用了SSL加密的技術，保證了信息不會因為被偵聽，竊取而造成重要信息的泄露。SSL傳輸可以設定相關的加密的強度，為了平安需要，可以采用高強度的加密傳輸，數(shù)據(jù)的加密采用對稱密鑰的方式，系統(tǒng)缺省2分鐘協(xié)商一次密鑰信息，保證了惡意的攻擊者無法得到準確的密鑰。JuniperSSLVPN遠程平安接入技術方案第21頁共21頁如果用戶提交的認證信息正確，系統(tǒng)將會發(fā)放一個授權的標記〔TOKEN〕，在WEB請求當中，這個標記保存在一個加密的回話COOKIE當中，這種做法保證了系統(tǒng)不會受到冒認者的攻擊。因為一個攻擊者需要來偽造一個會話的標記〔TOKEN〕才能到達冒認的效果，而這又是很難實現(xiàn)的，同時在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包，其目的地址都是對于與IVE平臺的公網(wǎng)地址，也不會泄露網(wǎng)絡內(nèi)部效勞器的網(wǎng)絡拓撲。3．5．5穩(wěn)固平安的系統(tǒng)平臺IVE系統(tǒng)采用了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的效勞器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設計成可以抵御針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過只運行完成關鍵任務的效勞來防止攻擊，這些關鍵的效勞在開發(fā)時就進行了平安加固，確保系統(tǒng)的平安性。IVE系統(tǒng)不運行通常的用戶和程序效勞，因此不會導致針對這些效勞的攻擊。IVE系統(tǒng)不允許管理員創(chuàng)立、維護系統(tǒng)級的用戶帳號。因為沒有交互式的Shell和翻開的系統(tǒng)帳號，潛在的入侵者無法嘗試利用脆弱的口令、缺省帳號或遺棄的帳號對系統(tǒng)進行非授權的訪問。IVE系統(tǒng)內(nèi)部采用了內(nèi)核級別的包過濾機制，利用預定義的一些規(guī)那么，對進入系統(tǒng)的數(shù)據(jù)包進行判斷和檢查，保證了只有合法的數(shù)據(jù)包才可以進入或者通過IVE系統(tǒng)。IVE系統(tǒng)上的所有信息都采用了AES的加密處理，保證了及時設備被進入或者被偷走，惡意的攻擊者都無法看到系統(tǒng)中的相關信息。JuniperIVE平臺的設計和開發(fā)過程通過多個平安專業(yè)保障公司和專家的審查和驗證，TrueSecure，世界領先的針對互聯(lián)網(wǎng)連接平安提供保證方案的組織，為JuniperIVE平臺進行了驗證，并且提供了相關的報告，JuniperIVE也是SSLVPN同類產(chǎn)品中唯一通過TrueSecure驗證的產(chǎn)品，另外，DanFarmer〔SATAN的作者，一位受人尊重的平安專家〕和CryptographyResearch〔SSL3.0的合作設計者〕也對IVE系統(tǒng)進行了審計和驗證3．7部署和管理遠程訪問系統(tǒng)3．7．1部署過程通常的基于客戶端的VPN解決方案，在部署的時候，無論是VPN效勞器，還是數(shù)量眾多的客戶端，都需要花費大量的資金，并且在系統(tǒng)的管理和維護上也需要IT部門大量的時間。而部署Juniper遠程訪問系統(tǒng)那么很簡單，只需要進行下面幾個步驟：安裝并且啟動遠程訪問系統(tǒng)；將遠程訪問系統(tǒng)接入INTERNET,并且進行簡單的網(wǎng)絡設置和用戶訪問控制設置，如接口的IP地址、用戶的認證授權效勞器等；JuniperSSLVPN遠程平安接入技術方案第21頁共21頁告訴你的員工、客戶和合作伙伴你已經(jīng)可以提供這項效勞，告訴他們一個URL地址，通過這個地址可以遠程訪問內(nèi)部的資源。3．7．2管理配置系統(tǒng)的管理采用WEB的方式，簡單易用，你可以采用標準的WEB瀏覽器來訪問和管理配置該設備。IVE的管理和配置可以分為如下幾個功能模塊：系統(tǒng)管理器顯示當前系統(tǒng)資源使用狀況，允許你遠程重啟或者關掉系統(tǒng)，同時也支持許可證的安裝，系統(tǒng)升級管理和NTP時間同步管理等。配置管理器支持系統(tǒng)配置的導入/導出，你可以將系統(tǒng)恢復到以前的某個配置，也可以將配置導入另外的系統(tǒng)當中。用戶〔組〕管理器管理員可以瀏覽和管理IVE系統(tǒng)中的用戶〔組〕，修改相關的用戶的連接屬性和IP訪問規(guī)那么，同時也支持對基于用戶〔組〕的網(wǎng)絡標簽〔Bookmark〕的設置。訪問控制管理器管理員可以集中的管理每個用戶組的訪問權限，可以定義用戶允許或者不允許訪問指定效勞器上的網(wǎng)絡資源，訪問控制策略可以細化到文件共享和URL以及子目錄級別。日志管理器管理員可以登陸到IVE效勞器，實時的瀏覽日志，也可以通過設置SYSLOG日志效勞器的方式，自動的接收日志。用戶界面定制管理器管理員可以定制系統(tǒng)的用戶界面，可以參加企業(yè)的LOGO，顏色配置等等。證書管理簡化WEB效勞器證書和客戶端證書的管理。3．7．3系統(tǒng)日志和維護IVE系統(tǒng)可以生成詳細的日志信息，這些日志信息可以在本地保存，也可以傳送給相應的SYSLOG效勞器，由于SSL信道和認證子模塊可以對客戶端和效勞器終端進行檢查，并且記錄下相關的信息，我們可以用這些日志進行審計。管理員通過IVE系統(tǒng)的日志管理器或者SYSLOG日志效勞器，可以判斷什么用戶在指定的系統(tǒng)或者資源上做了什么訪問。同時可以利用日志管理器提供的過濾搜索功能，方便的查找出你想得到的信息。JuniperSSLVPN遠程平安接入技術方案第21頁共21頁同時，IVE系統(tǒng)內(nèi)部也提供了多種維護和調(diào)試的工具，如系統(tǒng)的狀態(tài)顯示、PING/TRACEROUTE/TCPDUMP等工具等。3．7．4管理員權限分配IVE系統(tǒng)對不同的管理員用戶進行策略的匹配和相關的權限的分配，確定管理員角色的因素包括用戶名、用戶屬性、客戶端IP地址、客戶端證書、證書屬性、節(jié)點平安狀況、瀏覽器等等；管理員從權限上也可以劃分為超級用戶、只讀用戶等多種，同時針對特定的用戶組，也可以設定改組的管理員用戶，可以對僅限于改組的用戶信息進行維護，包括增加用戶、刪除用戶等等。四、總結采用Juniper基于IVE系統(tǒng)的遠程平安接入產(chǎn)品防止了復雜的客戶端軟件的安裝、配置和維護，實施的是基于應用和資源訪問權限的細化的應用訪問策略，內(nèi)網(wǎng)的效勞器受JuniperIVE系統(tǒng)的保護而不直接暴露給用戶，既提高了平安性，又降低了總體擁有本錢。五、成功案例5．1東方航空SSLVPN應用案例中國東方航空集團公司是中國三大國有大型骨干航空企業(yè)集團之一，于2002年在原東方航空集團的根底上，兼并中國西北航空公司，聯(lián)合云南航空公司重組而成。集團總部位于中國經(jīng)濟最活潑、最興旺的城市――上海，擁有貫穿中國東西部，連接亞洲、歐洲、澳洲和美洲的龐大航線網(wǎng)絡。中國東方航空股份自成立以來在業(yè)界獲得過許多榮譽，其品牌在海內(nèi)享有廣泛聲譽，創(chuàng)造過全國民航效勞質(zhì)量評比唯一“五連冠〞紀錄，還榮獲國際航空業(yè)界的“五星鉆石獎〞。在航空運輸主營業(yè)務方面，集團正全面實施“中樞網(wǎng)絡運營〞戰(zhàn)略，一個以上海為中心、依托長三角、連接全球市場、客貨并重的龐大航空網(wǎng)絡正在快速形成中。同時，集團全力構建、完善高效的“統(tǒng)一運營管理模式〞，逐步建立起與世界水平接近的飛行平安技術、空中和地面效勞、機務維修、市場營銷、運行控制等支柱性業(yè)務體系。多元化拓展是集團戰(zhàn)略重要的一環(huán)，航空進出口、金融效勞、航空食品、旅游票務、房產(chǎn)物業(yè)、通用航空、機械制造、廣告?zhèn)髅降容o業(yè)板塊已經(jīng)初步建立，多元化拓展已形成全新格局。需求分析：JuniperSSLVPN遠程平安接入技術方案第21頁共21頁隨著公司業(yè)務的增加，個人電腦和互聯(lián)網(wǎng)應用技術的普及，“分公司人員〞、“出差員工〞、“在家辦公〞、“異地辦公〞、“移動辦公〞等多種遠程辦公模式的需求日益增加，同時合作伙伴的人員也希望能訪問到相應的信息資源，企業(yè)的IT管理人員面臨將遠程辦公模式作為內(nèi)部辦公網(wǎng)絡的延伸和對合作伙伴人員提供外聯(lián)網(wǎng)接入的需求，需要為遠程辦公的員工提供訪問內(nèi)部信息和為合作伙伴人員訪問與其身份相符的信息。公司內(nèi)部具有復雜的ERP應用系統(tǒng)，包括：物流、內(nèi)部網(wǎng)站、票物系統(tǒng)、內(nèi)部郵件等。公司原來部署了IPSECVPN來滿足加油站、外部合作單位的業(yè)務需求。這種方式有以下缺點：不易維護和擴展——需要在每個客戶端安裝vpn客戶端軟件，不易部署。總部網(wǎng)絡存在平安風險——由于ipsecvpn方式?jīng)]有很好的權限管理策略，所以下屬網(wǎng)點與總部間的網(wǎng)絡通道可能成為病毒和黑客攻擊公司總部的跳板。高昂的本錢——由于需要在每個分支機構部署VPN網(wǎng)關，對于售票點這樣級別的客戶來說，量非常大且不易維護。技術要求針對東方航空公司的網(wǎng)絡狀況和應用現(xiàn)狀，其主要的技術要求如下：方便的無客戶端安裝的遠程訪問；數(shù)據(jù)在不可信任互聯(lián)網(wǎng)上的加密傳輸；細粒度的訪問控制策略；與PKI系統(tǒng)無縫的身份認證的結合。替換現(xiàn)有的繁瑣的IPSECVPN連接方式，使用更為簡便使用及維護的方法來進行VPN接入軟盛提供的解決方案針對東方航空公司的需求及技術要求，軟盛推薦采用Juniper公司的SA6000系統(tǒng)實現(xiàn)平安的遠程訪問。任何可以熟練使用WEB瀏覽器的用戶，都可以很方便的使用遠程訪問系統(tǒng)。用戶通過WEB瀏覽器登陸Juniper提供的SA效勞器的主頁，身份認證結束后，就可以訪問內(nèi)部網(wǎng)絡的資源，用戶可以通過WEB瀏覽器，標準的EMAIL客戶端以及其他的一些客戶端程序，方便的實現(xiàn)遠程資源訪問或者遠程辦公。軟盛提供的部屬與實施方案軟盛將Juniper的SA6000遠程訪問系統(tǒng)安裝在用戶網(wǎng)絡的效勞器區(qū)。在企業(yè)的出口防火墻上，為SA設備映射一個合法可路由的IP地址，以便互聯(lián)網(wǎng)的用戶可以正常的連接到IVE設備上，同時在防火墻上也需要添加相應的平安策略，遠程用戶只能訪問SA設備的443端口〔HTTPS連接〕，對SA設備和內(nèi)部效勞器進行保護。具體的拓撲圖如下：JuniperSSLVPN遠程平安接入技術方案第21頁共21頁軟盛提供的售后技術效勞硬件設備的部署及功能配置：效勞描述：對工程所設計的硬件設備在網(wǎng)絡中的接入進行規(guī)劃并進行部署及配置，包括內(nèi)部門人員上網(wǎng)的策略制定、效勞器保護的策略配置、外部移用用戶訪問與底下核心交換機的聯(lián)動等。應急響應上門效勞效勞描述：對用戶發(fā)生的緊急平安事件提供規(guī)定時間內(nèi)的效勞方式：包括對問題事件的判別、異常訪問的控制、處理報告記錄等。及郵件支持效勞效勞描述：當出現(xiàn)一些不是非常嚴重的故障，可以直接通過或者電子郵件尋求我們工程師的支持。如有必要，我們也可以通過自己的網(wǎng)絡系統(tǒng)或者撥號上網(wǎng)與客戶的網(wǎng)絡系統(tǒng)進行連接，遠程對客戶系統(tǒng)所出現(xiàn)的故障進行診斷、分析。投資回報分析與客戶評價Juniper的SA遠程平安訪問解決方案從根本上解決了東方航空公司辦公網(wǎng)絡的遠程訪問問題，可以為山東網(wǎng)通的遠程員工、合作伙伴提供對企業(yè)內(nèi)網(wǎng)資源的平安遠程訪問。同時它又消除了由于遠程用戶的客戶端軟件的維護工作等帶來的諸多不便。降低總擁有本錢，提高投資回報——采用Junipersslvpn后，總公司部署了一臺SA-6000，每個售票點申請一條adsl，而且速度大大提高，加快了售票點的業(yè)務流程。網(wǎng)絡平安得到保障——所有的數(shù)據(jù)傳輸都是基于ssl加密，并且Juniper具有主機檢查和緩存去除功能，所以無論是客戶端、效勞器還是傳輸過程都是保證了平安。JuniperSSLVPN遠程平安接入技術方案第21頁共21頁簡化維護流程——所有的策略都在總公司的SA-6000上面部署，客戶端無需安裝任何軟件，只要有標準的瀏覽器即可。并可實現(xiàn)復雜的動態(tài)平安策略。上海東方航空公司的采購中心劉經(jīng)理感言：通過軟盛公司提供的JuniperSA6000遠程訪問解決方案，我們可以輕松的，隨時隨地的實現(xiàn)了企業(yè)局域網(wǎng)的接入，大大提高了對于緊急事件的響應速度，提高了工作的效率。5．2掌上靈通SSLVPN應用案例掌上靈通是中國最大的無線增值效勞供應商之一。公司1999年成立于上海，2004年3月在美國納斯達克成功上市：NASDAQ:LTON，成為全球第一個在NASDAQ上市的無線增值業(yè)務效勞商。掌上靈通的總部在上海，是為中國用戶提供增值效勞〔如媒體、娛樂及聯(lián)系等〕的最大供應商。通過與中國移動和中國聯(lián)通的緊密合作，掌上靈通為世界最大的無線市場中國的用戶提供了多種效勞和大量的內(nèi)容，其中包括彩鈴、圖像、屏保、互動短信、游戲及信息效勞等。公司為中國用戶開展、集合并分配了這些產(chǎn)品，并利用內(nèi)部的開展團隊聯(lián)合了國際著名內(nèi)容提供商如卡通網(wǎng)、星空衛(wèi)視、索尼唱片等等。掌上靈通在全國多個省市設有分公司和辦事處，其中在上海的總部和在北京的分公司均設有兩百人以上的團隊。公司提供標準、嚴謹?shù)墓ぷ鳝h(huán)境和有競爭力的薪酬福利。2005年11月，掌上靈通公司獲得由?財富?雜志中文版與華信惠悅〔WatsonWyattWorldwide〕聯(lián)合評選的“2005年最正確雇主〞的稱號。目前公司在全國有700人左右員工，其中有300人左右銷售人員分布在全國各地，為了便于銷售人員在外地使用公司lotusnotes和erp系統(tǒng)，決定實施SSLVPN工程。業(yè)務問題與障礙掌上靈通作為一家效勞提供企業(yè)，其網(wǎng)絡的平安性和穩(wěn)定性是非常重要的，必須通過有效的網(wǎng)絡平安保護措施，保證其內(nèi)部網(wǎng)絡的機密性、完整性和可用性。保證其重要應用和主機的平安，穩(wěn)定運行。掌上靈通的網(wǎng)絡是一個大型的企業(yè)局域網(wǎng)絡，存在著多個分支公司網(wǎng)絡，接入的方式采用的是電信幀中繼專線的模式，同時隨著業(yè)務的增加，也有大量的移動用戶撥入公司網(wǎng)絡的需求。掌上靈通內(nèi)部的重要敏感信息在這些網(wǎng)絡中傳輸，存在著很大的平安隱患，惡意的用戶可以通過偵聽，截取和偽造等多種技術手段，來竊取掌上靈通的重要信息，甚至可以對信息進行篡改和冒認。同時，要享受通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的信息資源的便利，就需要實施適當?shù)男畔⑵桨膊呗?，由于掌上靈通的核心業(yè)務信息的敏感性，要求必須采取相應的技術手段，嚴格防止企業(yè)信息資源被非法竊取。對合法的訪問要提供方便，還需盡量降低信息平安JuniperSSLVPN遠程平安接入技術方案第21頁共21頁策略的實施和維護本錢。技術要求針對掌上靈通的網(wǎng)絡狀況和應用現(xiàn)狀，其主要的技術要求如下：利用防火墻技術對內(nèi)部重要資源進行訪問控制和攻擊阻斷；總部與分支節(jié)點實現(xiàn)網(wǎng)絡共享連接；對于撥入的移動客戶端，實現(xiàn)方便的無客戶端安裝的遠程訪問；數(shù)據(jù)在不可信任互聯(lián)網(wǎng)上的加密傳輸；細粒