大中型企业网络综合接入研究
2012-05-18长白县地方税务局于世波
长白县地方税务局 于世波
一、概述
随着信息化网络化的发展,企业服务普遍化、多样化,现有的单一固定网点的专线接入已越来越不能够满足需求,多种形式的综合接入将丰富企业业务的网点,可作为现有接入的补充。随着通信网络技术地不断发展,可选择性也不断增加,可以使用更方便、灵活、经济接入方式,不但扩大企业服务范围,更节约运营成本。
二、网络综合接入需求
根据不同业务需求、地理位置、系统平台的特点,安全综合接入平台建设须达到如下技术要求:
(一)边界安全防护
接入平台具有良好的边界安全防护能力,不仅能够在互联网边界提供各种三层到七层的网络攻击防护;还能对后端的应用服务器也提供WEB防护。
(二)身份认证
接入人员需要经过严格的安全认证之后才可以登录接入平台,进行业务系统的操作。认证必须包括用户身份合法性以及用户所使用的终端设备合法性及安全性的校验。通过认证之后,必须对不同的接入人员进行访问权限控制,按不同级别来控制访问不同内部业务平台。
表1
(三)安全审计
必须对接入用户的访问行为进行安全审计,记录下哪个用户、通过哪个IP地址、访问了内部什么业务系统。
(四)分级运维管理
需要综合考虑整个平台的运维管理,要求能够实现管理员的分级分权限管理,省级管理员具有对地市的超级管理权限,地市管理员具有对本地市内接入用户的管理权限。
(五)多种终端接入
接入平台的灵活性要求能够适应传统有线及新的无线3G环境,能够实现在包括PC、智能手机、EPOS机等终端上接入。
图1 部署拓扑图
三、VPN技术介绍
VPN(Virtual Private Network)是虚拟专用网的简称,虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术,实现低成本、高安全地解决数据传输及应用发布平台。VPN架构中采用了多种安全机制,如身份认证技术(Authentication)、加解密技术(Encryption)、密钥管理技术、隧道技术(Tunneling)等。通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
IP Sec VPN和SSL VPN是目前最主流的两种VPN技术。
IP Sec (IP Security)是由IETF IP Sec工作组制订的一系列RFC标准协议所组成的体系.IP Sec是在网络层实现数据加密和验证,提供端到端的网络安全方案,可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。
SSL VPN是指采用SSL(Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议,它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
相对于IPSec VPN等其他传统的VPN技术而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,非常适用于无专门管理人员的远程接入场景。而从OSI七层模型来看,SSL VPN是基于第七层应用层的VPN技术,相对于传统的IPSec VPN(三层网络层)、L2TP(二层数据链路层)、PPTP(二层数据链路层)等VPN连接方式,SSL VPN在对应用权限的划分上可做得更为细致,数据传递机制也不是简单的封装转发,从整体业务发布安全性的角度上来说安全系数更高。所以我们采用SSL VPN的方式构建整个企业安全接入平台。
四、解决方案
(一)方案概述
接入平台主要由接入安全网关,应用防火墙,应用性能管理设备以及高端交换机组成。应用防火墙设备部署在互联网最边界,实现边界的安全防护以及对内部应用服务器的保护;VPN设备旁路部署在交换机上,形成集群,对外提供接入服务。应用性能管理设备同样旁挂在服务器前面的三层交换机上,通过端口镜像监听以及SNMP的模式,对安全接入平台的运行状态以及用户的访问过程进行监控分析,实现故障的告警以及快速定位。部署拓扑图如图1。
应用防火墙配置:
防火墙通过基础网络安全、应用管控、应用安全防护两大功能模块,可以提供包括抗DDoS、漏洞利用、SQL注入、Web篡改、病毒蠕虫、恶意代码、内容过滤在内的全面安全防护功能。
图2
设备以路由模式部署,外接各运营商线路。分别定义lan和wan的区域,并将接口划入对应的区域;为该设备配置DNS地址,如需要则启用DNS代理;给设备设置上外网的缺省路由。如果内网有多网段,需要给设备加上系统路由指向三层交换机。配置地址转换,做DNAT。
SSL集群配置:
配置两台设备真实LAN口以及真实WAN1口IP地址,配置SSL集群模块,一台设备配置为分发器、另外一台配置为真实服务器;并且启用集群密码;集群WAN1口IP为广域网分配给SSL VPN的IP;两台设备集群加入成功之后,通过配置用户、资源、角色来进行SSL资源权限分配;
应用性能管理设备配置:
设备以单臂模式部署,在三层交换机上做端口镜像,把远端用户到后端服务器的访问流量镜像到APM设备的LAN口。
DC(外置数据中心)设备配置:
以单臂模式部署服务器,安装外置数据中心软件程序可实现审计内容自动导出等功能。
(二)远程访问接入
根据安全性和灵活性的不同,不同的用户可采用短信认证+硬件特征码的方式进行接入认证,也可采用USBKEY+硬件特征码的方式进行接入认证。
用户通过认证之后,可以根据不同帐号显示不同的业务系统列表。用户点击对应系统的图标即可访问不同的业务系统登录页面。
1.硬件特征码认证技术
通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息,如CPU、硬盘、网卡等生成HARDCA,并对证书和用户进行绑定实现用户身份的唯一性控制。
2.短信认证与UKEY认证技术
Ukey认证是传统的安全认证手段,主要是通过在USBKEY中存放安全证书CA来实现用户接入的认证。广泛应用于网上银行、网上交易等领域。
短信认证是基于用户手机来实现的一种灵活高效安全的新型认证手段,主要通过向用户手机发送一次性的动态验证码来实现用户接入的认证。主要应用于运营商、网上交易等领域。两种方式的对比如表1。
3.统一入口单点登录
为了最大的提高用户的终端易用性,引入了单点登录功能,在通过SSL VPN的严格身份认证之后,用户在访问应用系统时无需再次进行应用系统的认证,可直接点击进入访问,避免记忆众多的应用系统密码而带来的麻烦,提高访问效率。
五、运维管理
(一)运维管理手段
系统的管理可以实时监控综合安全管理系统的软件系统和硬件配套设备的运行状态。实现用户访问监控、故障的告警及快速定位。管理功能需分为以下模块:
1.系统管理
通过管理平台对设备性能进行全方面了解,显示当前系统资源使用状况,允许远程控制系统等管理工作。
2.配置管理
支持系统配置的导入/导出,可以将系统恢复到以前的任意的某个配置,也可以将配置导入另外的系统当中。
3.用户(组)管理器
管理员可以浏览和管理系统中的用户(组),修改相关的用户的连接属性和IP访问规则。
4.访问控制管理器
管理员可以集中地管理每个用户组的访问权限,可以定义用户允许或者不允许访问指定服务器上的网络资源,访问控制策略可以细化到文件共享和URL以及子目录级别。
5.日志管理器
管理员可以登陆到IVE服务器,实时的浏览日志,也可以通过设置SYSLOG日志服务器的方式,自动的接收日志。
6.用户界面定制管理器
管理员可以定制系统的用户界面,可以加入企业的LOGO,颜色配置等等。
7.证书管理
简化WEB服务器证书和客户端证书的管理。
(二)管理员的分级分权限管理
可设置多级的管理员分级管理,通过分级分权限管理,可安全、合理的分配管理权限,提高了管理的效率,如图2。
(三)故障告警及定位
提供针对接入平台运行状况的故障告警功能,一旦检测到故障信息,可以进行智能的短信告警,及时通知管理员进行事故处理。提高运维响应效率。
六、安全审计技术
VPN网关需提供管理日志和服务日志两大类型日志。管理日志可提供管理员操作和用户访问日志,服务日志提供信息、告警、调试、错误日志,方便管理员对系统进行诊断。
七、结束语
综合接入平台的建设为企业业务延伸及网络接入的多样化打下了基础,通过本次研究,比较IP Sec VPN和SSL VPN是目前最主流的两种VPN技术,对双重接入认证方式及单点登录进行了探讨。通过本次研究,对企业综合接入的工程提供了便利,更为各项接入需求提供了高效、可靠、安全的补充。