技術建議書-H3C遠程安全接入解決方案V1

遠程安全接入解決方案技術建議書杭州華三通信技術有限公司HBCITolP解決方案專家目錄TOC\o"1-5"\h\z\o"CurrentDocument".遠程接入模式分析 4. VPN技術介紹 5\o"CurrentDocument"2.1.VPN定義 5\o"CurrentDocument"2.2.VPN的類型 5\o"CurrentDocument"2.2.1AccessVPN 62.2.2IntranetVPN 62.2.3ExtranetVPN 7\o"CurrentDocument"2.3.VPN的優(yōu)點 7\o"CurrentDocument"2.4.隧道技術 7\o"CurrentDocument"4.1二層隧道協(xié)議 8\o"CurrentDocument"4.2三層隧道協(xié)議 8\o"CurrentDocument"5.加密技術 11\o"CurrentDocument"6.身份認證技術 12H3C安全建設理念 13\o"CurrentDocument"智能安全滲透網絡簡介 14\o"CurrentDocument"2.智能安全滲透網絡一一局部安全 14\o"CurrentDocument"3.智能安全滲透網絡一一全局安全 14\o"CurrentDocument"4.智能安全滲透網絡一一智能安全 15\o"CurrentDocument"XX系統(tǒng)遠程安全接入解決方案 17\o"CurrentDocument"XX系統(tǒng)遠程安全接入需求分析 17\o"CurrentDocument"2.解決方案設計原則 18\o"CurrentDocument"XX系統(tǒng)遠程安全接入解決方案 21\o"CurrentDocument"遠程接入安全解決方案 21\o"CurrentDocument"5.1.1.大型分支接入 22\o"CurrentDocument"5.1.2.中小分支合作伙伴接入 23\o"CurrentDocument"5.1.3.移動用戶接入方式 24\o"CurrentDocument"5.2.可靠性方案 25\o"CurrentDocument"5.2.1.雙出口備份 26\o"CurrentDocument"5.2.2.雙機備份 27\o"CurrentDocument"5.2.3.快速切換 29\o"CurrentDocument"5.3.VPN管理系統(tǒng) 32\o"CurrentDocument"5.3.1.輕松部署安全網絡 32\o"CurrentDocument"5.3.2.直觀展示VPN拓撲 33\o"CurrentDocument"5.3.3.全方位監(jiān)控網絡性能 34\o"CurrentDocument"5.3.4.快速定位網絡故障 35\o"CurrentDocument"4.BIMS分支智能管理系統(tǒng) 36\o"CurrentDocument"5.統(tǒng)一安全管理中心 39總、結 40.遠程接入模式分析隨著網絡，尤其是網絡經濟的發(fā)展，為提高溝通效率和資源利用效率，建立分支與總部、機構與機構之間的具有保密性的網絡連接是十分必要的。此外，工作人員出差時也需要訪問系統(tǒng)內部的一些信息資源，這時同樣需要建立保密的網絡連接。怎樣為這些分支、機構、出差人員提供一個安全、經濟、方便和高效的安全接入方式，成為XX系統(tǒng)亟需解決的一個問題。建立保密的網絡連接一種方案是使用專線，其基本方式是進行每個層次之間的專線方式連接，通過這種方式可以實現(xiàn)的星形結構的全局網絡連接，基本滿足分支與總部、機構與機構之間的數(shù)據傳輸需求，但是這種方式存在非常大的兩個缺點：第一是不靈活，不能滿足出差人員隨時隨地接入的需求；第二是費用高，專線方式的網絡連接需要支付高昂的專線租用費用。另外一種方式是通過撥號的方式，通過利用PSTN/ISDN的模擬電話線路，移動用戶主機配置的調制解調器，采用撥號的方式，登錄到公司內部的撥號服務器，實現(xiàn)遠程對公司內部資源的訪問。這種方式的優(yōu)點在于比較靈活，PSTN電話線路資源比較容易獲得。缺點在于網絡連接性能低，PSTN電話最多提供64K帶寬，相對現(xiàn)在的寬帶網絡，已經基本不可用，而且此方式沒有任何安全措施，數(shù)據在傳輸過程中存在很大的安全風險。隨著VPN技術的發(fā)展，VPN技術已經成為一種非常成熟的網絡連接方式，VPN具有高性價比、強適應能力、具備很強的網絡安全特性以及動態(tài)的擴展能力等優(yōu)勢，已經被廣泛替代專線用來進行廣域網絡的銜接，下面我們將以VPN模式為核心，提供H3c全面的VPN解決方案。.VPN技術介紹VPN定義利用公共網絡來構建的私人專用網絡稱為虛擬私有網絡(VPN,VirtualPrivateNetwork),用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN象企業(yè)現(xiàn)有的私有網絡一樣提供安全性、可靠性和可管理性等?！疤摂M”的概念是相對傳統(tǒng)私有網絡的構建方式而言的。對于廣域網連接，傳統(tǒng)的組網方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網絡來實現(xiàn)遠程的廣域連接。通過VPN,企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴，如圖1所示。圖1.VPN應用示意圖由圖可知，企業(yè)內部資源享用者只需連入本地ISP即可訪問中心或者相互通信。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。2.2.VPN的類型VPN分為三種類型：遠程訪問虛擬網(AccessVPN)、企業(yè)內部虛擬網(IntranetVPN)和企業(yè)擴展虛擬網(ExtranetVPN),這三種類型的 VPN分別與傳統(tǒng)的遠程訪問網絡、企業(yè)內部的Intranet以及企業(yè)網和相關合作伙伴的企業(yè)網所構成的Extranet相對應。AccessVPN隨著當前移動辦公的日益增多，遠程用戶需要及時地訪問Intranet和Extranet。對于出差流動員工、遠程辦公人員和遠程小辦公室，AccessVPN通過公用網絡與企業(yè)的Intranet和Extranet建立私有的網絡連接。在AccessVPN的應用中，利用了二層網絡隧道技術在公用網絡上建立VPN隧道(Tunnel)連接來傳輸私有網絡數(shù)據。AccessVPN的結構有兩種類型，一種是用戶發(fā)起(Client-initiated)的VPN連接，另一種是接入服務器發(fā)起(NAS-initiated)的VPN連接。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠程用戶通過服務提供點(POP)撥入Internet,接著，用戶通過網絡隧道協(xié)議與企業(yè)網建立一條的隧道(可加密)連接從而訪問企業(yè)網內部資源。在這種情況下，用戶端必須維護與管理發(fā)起隧道連接的有關協(xié)議和軟件。在接入服務器發(fā)起的VPN連接應用中，用戶通過本地號碼或免費號碼撥入ISP,然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構建VPN所需的協(xié)議及軟件均由ISP負責管理和維護。IntranetVPNIntranetVPN通過公用網絡進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網或其他企業(yè)網的擴展或替代形式。利用IP網絡構建VPN的實質是通過公用網在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網絡數(shù)據，用于構建這種VPN連接的隧道技術有IPSec、GRE等。結合服務商提供的QoS機制，可以有效而且可靠地使用網絡資源，保證了網絡質量?；贏TM或幀中繼的虛電路技術構建的VPN也可實現(xiàn)可靠的網絡質量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構建VPN是最為經濟的方式，但服務質量難以保證。企業(yè)在規(guī)劃VPN建設時應根據自身的需求對以上的各種公用網絡方案進行權衡。ExtranetVPNExtranetVPN是指利用VPN將企業(yè)網延伸至合作伙伴與客戶。在傳統(tǒng)的專線構建方式下,Extranet通過專線互聯(lián)實現(xiàn)，網絡管理與訪問控制需要維護，甚至還需要在Extranet的用戶側安裝兼容的網絡設備;雖然可以通過撥號方式構建Extranet,但此時需要為不同的Extranet用戶進行設置，而同樣降低不了復雜度。因合作伙伴與客戶的分布廣泛，這樣的Extranet建設與維護是非常昂貴的。因此，諸多的企業(yè)常常是放棄構建Extranet,結果使得企業(yè)間的商業(yè)交易程序復雜化，商業(yè)效率被迫降低。ExtranetVPN以其易于構建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術與AccessVPN和IntranetVPN相同。Extranet用戶對于ExtranetVPN的訪問權限可以通過防火墻等手段來設置與管理。3.VPN的優(yōu)點利用公用網絡構建VPN是個新型的網絡概念，對于企業(yè)而言，利用Internet組建私有網,將大筆的專線費用縮減為少量的市話費用和Internet費用。據報道，局域網互聯(lián)費用可降低20~40%,而遠程接入費用更可減少60-80%,這無疑是非常有吸引力的；VPN大大降低了網絡復雜度、VPN用戶的網絡地址可以由企業(yè)內部進行統(tǒng)一分配、VPN組網的靈活方便等特性簡化了企業(yè)的網絡管理，另外，在VPN應用中，通過遠端用戶驗證以及隧道數(shù)據加密等技術保證了通過公用網絡傳輸?shù)乃接袛?shù)據的安全性。隧道技術對于構建VPN來說，網絡隧道(Tunneling)技術是個關鍵技術。網絡隧道技術指的是利用一種網絡協(xié)議來傳輸另一種網絡協(xié)議，它主要利用網絡隧道協(xié)議來實現(xiàn)這種功能。網絡隧道技術涉及了三種網絡協(xié)議，網絡隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。現(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網絡協(xié)議，它主要應用于構建AccessVPN和ExtranetVPN;另一種是三層隧道協(xié)議，用于傳輸三層網絡協(xié)議，它主要應用于構建IntranetVPN和ExtranetVPNO二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（PointtoPointTunnelingProtocol,點對點隧道協(xié)議）、L2F（Layer2Forwarding,二層轉發(fā)協(xié)議）和L2TP（Layer2TunnelingProtocol,二層隧道協(xié)議）。其中L2TP結合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。應用L2TP構建的典型VPN服務的結構如下圖所示:圖2.典型撥號VPN業(yè)務示意圖三層隧道協(xié)議用于傳輸三層網絡協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術，早已出現(xiàn)的RFC1701GenericRoutingEncapsulation(GRE)協(xié)議就是一個三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GREGRE與IPinIP,IPXoverIP等封裝形式很相似,但比他們更通用。在GRE的處理中，很多協(xié)議的細微差異都被忽略，這使得GRE不限于某個特定的“XoverY”應用，而是一種最基本的封裝形式。在最簡單的情況下，路由器接收到一個需要封裝和路由的原始數(shù)據報文(Payload),這個報文首先被GRE封裝而成GRE報文，接著被封裝在IP協(xié)議中，然后完全由IP層負責此報文的轉發(fā)。原始報文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負責轉發(fā)的IP協(xié)議被稱之為傳遞(Delivery)協(xié)議或傳輸(Transport)協(xié)議。注意到在以上的流程中不用關心乘客協(xié)議的具體格式或內容。整個被封裝的報文具有下圖所示格式：Header(TransportProtocoi)GREHeader(EncapsulationProtocol)

RayloadPacket

(PassengerProtocol)

圖3.通過GRE傳輸報文形式IPSecIPSec(IPSecurity)是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據源驗證，以保證數(shù)據包在Internet網上傳輸時的私有性、完整性和真實性。IPSec通過AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)這兩個安全協(xié)議來實現(xiàn)。而且此實現(xiàn)不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現(xiàn)。IPSec提供以下幾種網絡安全服務：私有性-IPSec在傳輸數(shù)據包之前將其加密.以保證數(shù)據的私有性；完整性-IPSec在目的地要驗證數(shù)據包，以保證該數(shù)據包在傳輸過程中沒有被修改；真實性-IPSec端要驗證所有受IPSec保護的數(shù)據包；防重放-IPSec防止了數(shù)據包被捕捉并重新投放到網上，即目的地會拒絕老的或重復的數(shù)據包，它通過報文的序列號實現(xiàn)。IPSec在兩個端點之間通過建立安全聯(lián)盟（SecurityAssociation）進行數(shù)據傳輸。安全聯(lián)盟定義了數(shù)據保護中使用的協(xié)議和算法以及安全聯(lián)盟的有效時間等屬性。IPSec在轉發(fā)加密數(shù)據時產生新的AH和/或ESP附加報頭，用于保證IP數(shù)據包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據被封裝在一個新的IP數(shù)據包中；在傳輸方式中，只是傳輸層（如TCP、UDP,ICMP）數(shù)據被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據被放置在原IP報頭后面。AH報頭用以保證數(shù)據包的完整性和真實性，防止黑客截斷數(shù)據包或向網絡中插入偽造的數(shù)據包?？紤]到計算效率，AH沒有采用數(shù)字簽名，而是采用了安全哈希算法來對數(shù)據包進行保護。AH沒有對用戶數(shù)據進行加密。AH在IP包中的位置如圖所示（隧道方式）：[*AH|IP[TCP[1）?可圖4.AH處理示意圖ESP將需要保護的用戶數(shù)據進行加密后再封裝到IP包中，ESP可以保證數(shù)據的完整性、真實性和私有性。ESP頭在IP包中的位置如下（隧道方式）：圖5.ESP處理示意圖AH和ESP可以單獨使用，也可以同時使用。使用IPSec,數(shù)據就可以在公網上安全傳輸，而不必擔心數(shù)據被監(jiān)視、修改或偽造。IPSec提供了兩個主機之間、兩個安全網關之間或主機和安全網關之間的數(shù)據保護。在兩個端點之間可以建立多個安全聯(lián)盟，并結合訪問控制列表（access-list）,IPSec可以對不同的數(shù)據流實施不同的保護策略，達到不同的保護效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個端點之間存在四個安全聯(lián)盟，每個端點兩個，一個用于數(shù)據發(fā)送，一個用于數(shù)據接收。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當網絡中結點增多時，手工配置將非常困難，而且難以保證安全性。這時就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程。5.加密技術Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE的精髓在于它永遠不在不安全的網絡上直接傳送密鑰，而是通過一系列數(shù)據的交換，通信雙方最終計算出共享的密鑰。其中的核心技術就是DH（DiffieHellman）交換技術。DH交換基于公開的信息計算私有信息，數(shù)學上已經證明，破解DH交換的計算復雜度非常高從而是不可實現(xiàn)的。所以，DH交換技術可以保證雙方能夠安全地獲得公有信息，即使第三方截獲了雙方用于計算空鑰的所有交換數(shù)據，也不足以計算出真正的密鑰。在身份驗證方面，IKE提供了共享驗證字(Pre-sharedKey)、公鑰加密驗證、數(shù)字簽名驗證等驗證方法。后兩種方法通過對CA(CertificateAuthority)中心的支持來實現(xiàn)。IKE密鑰交換分為兩個階段，其中階段1建立ISAKMPSA,有主模式(MainMode)和激進模式(AggressiveMode)兩種；階段2在階段1ISAKMPSA的保護下建立IPSecSA,稱之為快速模式(QuickMode)。IPSecSA用于最終的IP數(shù)據安全傳送。另外，IKE還包含有傳送信息的信息交換(InformationalExchange)和建立新DH組的組交換(DHGroupExchange)o6.身份認證技術IPSec隧道建立的前提是雙方的身份的得到了認證，這就是所謂的身份驗證。身份驗證確認通信雙方的身份。目前有兩種方式：一種是域共享密鑰(pre-sharedkey)驗證方法，驗證字用來作為一個輸入產生密鑰，驗證字不同是不可能在雙方產生相同的密鑰的。驗證字是驗證雙方身份的關鍵。這種認證方式的優(yōu)點是簡單，但有一個嚴重的缺點就是驗證字作為明文字符串，很容易泄漏。另一種是PKI(rsa-signature)驗證方法。這種方法通過數(shù)字證書對身份進行認證，安全級別很高，是目前最先進的身份認證方式。公鑰基礎設施(PublicKeyInfrastructure,簡稱PKI)是通過使用公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全機制。PKI采用證書進行公鑰管理，通過第三方的可信任機構，把用戶的公鑰和用戶的其他標識信息捆綁在一起，以在網上驗證用戶的身份。PKT為用戶建立起一個安全的網絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便的使用加密和數(shù)字簽名技術，從而保證網上數(shù)據的機密性、完整性、有效性。數(shù)據的機密性是指數(shù)據在傳輸過程中，不能被非授權者偷看；數(shù)據的完整性是指數(shù)據在傳輸過程中不能被非法篡改；數(shù)據的有效性是指數(shù)據不能被否認。一個PKI系統(tǒng)由公開密鑰密碼技術、證書認證機構、注冊機構、數(shù)字證書和相應的PKI存儲庫共同組成。PK1應用

~~ZV~~

數(shù)字證書TOC\o"1-5"\h\zI, , I認證機構 注冊機構 PKI存儲庫I II II _. ?圖6.PKI組成框圖其中，認證機構用于簽發(fā)并管理證書；注冊機構用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對證書和日志等信息進行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應用信任的基礎，是PKI系統(tǒng)的安全憑據。數(shù)字證書又稱為公共密鑰證書PKC(PublicKeyCertificate),是基于公共密鑰技術發(fā)展起來的一種主要用于驗證的技術，它是一個經證書認證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，可作為各類實體在網上進行信息交流及商務活動的身份證明。證書是有生命期的，在證書生成時指定，認證中心也可以在證書的有效期到來前吊銷證書，結束證書的生命期。H3c安全建設理念理念是人們對于不同事物從自身角度出發(fā)確定下來的正確看法，并用于指導人們的行為實踐。正確的安全建設理念可以指導用戶解決所面臨的最主要的安全問題，將有限的資源投入到最有效的地方。H3C公司提出的智能安全滲透網絡理念(intelligentSafePervasiveNetwork,簡稱iSPN)體現(xiàn)了H3c在網絡信息安全方面專業(yè)和獨到的見解，使其成為客戶最可信賴的安全建設指導思想。智能安全滲透網絡簡介互聯(lián)網的廣泛應用，大大改變了企業(yè)業(yè)務流程的開展方式。但是，隨著信息化建設的不斷深入，網絡安全問題也成為影響企業(yè)信息化建設的瓶頸。遭受過由于網絡安全問題帶來的損失的企業(yè)，極容易失去對網絡的信任，從而錯失很多商業(yè)機會，這時他們需要的是一個安全的保障，在享用互聯(lián)網帶來無限商機的同時保證業(yè)務的持續(xù)可用及信息安全。智能安全滲透網絡(iSPN)提出了一個整體安全架構，從局部安全、全局安全、智能安全三個層面，為用戶提供一個多層次、全方位的立體防護體系，使網絡成為智能化的安全實體。局部安全針對關鍵問題點進行安全部署，抵御最基礎的安全威脅；全局安全利用安全策略完成產品間的分工協(xié)作，達到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺基礎上，借助于開放融合的大安全模型，將網絡安全變?yōu)閺母兄巾憫闹悄軐嶓w。2.智能安全滲透網絡一一局部安全網絡安全最基礎的防護方式是關鍵點安全，即對出現(xiàn)問題的薄弱環(huán)節(jié)或有可能出現(xiàn)問題的節(jié)點部署安全產品，進行2—7層的威脅防范，當前企業(yè)絕大部分采用的都是這種單點威脅防御方式。這種局部安全方式簡單有效并有極強的針對性，適合網絡建設已經比較完善而安全因素考慮不足的情況。在這種方式下，H3C強調通過“集成”來提供最佳的防御效果，即通過在網絡產品上集成安全技術、在安全產品上集成網絡技術以及網絡與安全的插卡集成等方式，實現(xiàn)了安全技術和網絡技術在無縫融合上做出的第一步最佳實踐。3.智能安全滲透網絡一一全局安全由于安全產品種類的不斷豐富，使得局部安全可以應對企業(yè)的大部分基礎網絡安全問題。然而此時用戶意識到，局部安全的防護手段相對比較孤立，只有將產品的相互協(xié)作作為安全規(guī)劃的必備因素，形成整網的安全保護才能抵御日趨嚴重的混合型安全威脅。為此，H3c推出了全局安全理念，借助于IToIP的網絡優(yōu)勢，通過技術和產品的協(xié)作，將網絡中的多個網絡設備、安全設備和各組件聯(lián)動起來，并通過多層次的安全策略和流程控制，向用戶提供端到端的安全解決方案。以H3C的端點準入防御及安全事件分析機制為例，它將計算機網絡、網絡上的通用操作系統(tǒng)、主機應用系統(tǒng)等企業(yè)資源都納入到安全保護的范晴內。在統(tǒng)一的安全策略下，利用各部分組件的協(xié)同聯(lián)動，保證網絡各端點的安全性與可控性；同時，在統(tǒng)一的平臺上進行安全事件的收集、整理、分析，可以做到整網安全風險的提前預防與及時控制。4.智能安全滲透網絡一一智能安全隨著網絡建設的日趨完善，面向業(yè)務的安全已經成為新的發(fā)展方向。只有理解企業(yè)業(yè)務.將企業(yè)的業(yè)務需求及流程建設充分融合到網絡安全建設中來，從信息的計算、通信及存儲等信息安全狀態(tài)出發(fā)，以面向應用的統(tǒng)一安全平臺為基礎，通過安全事件的實時感知、安全策略的動態(tài)部署、網絡安全設備的自動響應，將智能的安全融入企業(yè)業(yè)務流程中，形成開放融合、相互滲透的安全實體，才能實現(xiàn)真正的網絡安全智能化。幫助企業(yè)將業(yè)務信息的所有狀態(tài)都控制在安全管理的范圍內，這樣的需求正是智能安全產生的原動力。目前，政府制定了網絡安全相關的法律法規(guī)，促使各行業(yè)必須遵循一定的安全標準，以幫助提高企業(yè)的攻擊防范能力。為了幫助用戶構建等級安全體系，實現(xiàn)按需防御需要，H3c數(shù)十人的專業(yè)安全服務團隊，借助嚴格完善的網絡安全評估規(guī)范，對企業(yè)IT環(huán)境現(xiàn)狀進行安全評估，并對企業(yè)網絡結構及業(yè)務流程進行統(tǒng)一的安全咨詢和規(guī)劃，為用戶度身定制一整套閉環(huán)的安全建設方案，并通過培訓提升企業(yè)安全管理人員的素質，保證安全性的延續(xù)。有了量身定制的建設方案與安全策略，如何將這樣的方案落到實處是下一步的難題，網絡威脅千變萬化、多種多樣，業(yè)內還沒有任何一個安全廠家可以解決所有的安全問題。因此,為保證企業(yè)網絡安全建設能符合未來發(fā)展趨勢，需要建立一個由廠商、代理商和客戶組成的大安全聯(lián)盟，允許各個組織和個人都可以通過標準的接口將安全快速嵌入網絡，實現(xiàn)彈性擴展與智能融合。H3c在智能安全中采用開放應用架構(OAA,OpenApplicationArchitecture)為用戶提供開放的硬件平臺、標準的接口，允許第三方技術的無縫融合，從而將網絡安全的邊界打通，將業(yè)界的先進技術配合適當?shù)陌踩呗裕罱K完成網絡安全建設的藍海戰(zhàn)略。完善的安全管理體制是加強信息系統(tǒng)安全防范的組織保證。iSPN全局安全管理平臺可以對全網的安全信息做到統(tǒng)一管理、統(tǒng)一下發(fā)安全策略以及統(tǒng)一分析安全數(shù)據，保證企業(yè)信息系統(tǒng)的安全運行。iSPN全局安全管理平臺以開放的安全管理中心和智能管理中心為框架，將安全體系中各層次的安全產品、網絡設備、用戶終端、網絡服務等納入一個緊密的統(tǒng)一管理平臺中，通過安全策略的集中部署、安全事件的深度感知與關聯(lián)分析以及安全部件的協(xié)同響應，在現(xiàn)有安全設施的基礎上構建一個智能安全防御體系，大幅度提高企業(yè)網絡的整體安全防御能力。H3c全局安全管理平臺由策略管理、事件采集、分析決策、協(xié)同響應四個組件構成,與網絡中的安全產品、網絡設備、網絡服務、用戶終端等獨立功能部件通過各種信息交互接□形成一個完整的協(xié)同防御體系。高效的安全解決方案不僅僅在于當安全事件發(fā)生時，我們能夠迅速察覺、準確定位，更重要的是我們能夠及時制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網絡安全資源，通過智能分析和協(xié)同響應及時應對各種真正的網絡攻擊。在局部安全、全局安全的基礎上，H3CiSPN為實現(xiàn)這一目標而構建了專業(yè)安全服務、開放應用架構和可持續(xù)演進的全局安全管理平臺，通過對防護、檢測和響應等不同生命周期的各個安全環(huán)節(jié)進行基于策略的管理，揩各種異構的安全產品、網絡設備、用戶終端和管理員有機的連接起來，構成了一個智能的、聯(lián)動的閉環(huán)響應體系，可在保護現(xiàn)有網絡基礎設施投資的基礎上有效應對新的安全威脅、大幅提升對企業(yè)基礎業(yè)務的安全保障。2007年，H3c將以全新的iSPN理念配合先進的產品技術與日趨完善的面向應用解決方案，為企業(yè)打造一個領先的、全面的、可信賴的IP安全平臺。XX系統(tǒng)遠程安全接入解決方案XX系統(tǒng)遠程安全接入需求分析請根據具體項目情況添加描述舉例:交通部交通部全國網絡的建設目前已經全面展開,隨著交通系統(tǒng)應用的不斷增多,各個業(yè)務單位對于網絡的需求也越來越來越大,目前隨著應用系統(tǒng)的建設，“交通政務信息網"和“道路運輸數(shù)據交換平臺網絡”的建設需求日益迫切,下面簡述一下這兩個系統(tǒng)的建設思路。交通政務信息網概況交通政務信息網絡成員單位194家分為8個組,第一組為各省、自治區(qū)交通廳計27個,第二組為各直轄市、計劃單列市交通管理部門計19個,第三組為部內司局計17個,第四組為海事局、救撈局、中國船級社計29個,第五組為港航單位計28個單位,第六組是交通科研、教育、協(xié)會、學會、設計單位計20個,第九組為市級交通局計28個,第十組為縣級交通局計26個。目前部機關各同局可以直接連接交通行業(yè)專網（以后簡稱“專網第一組和第二組的單位已經通過專線連接專網,并以INTERNETVPN連接作為備份,部機關的VPN接入設備是華為的產品,其它組的單位尚未與專網連接,其中第五組中的港口單位與水運司聯(lián)網的80余家港口單位有重復,可以考慮與水運司的業(yè)務共享線路,不再重復建設。根據交通行業(yè)專網建設的總體思路,這些未連接專網的單位可以通過INTERNETVPN方式連接。道路運輸數(shù)據交換平臺網絡概況按照“立足成果部省聯(lián)動”的建設原則,部級道路運輸數(shù)據交換平臺的網絡通信建設方案充分利用交通部信息化二期建設的成果,從安全性和經濟性考慮,以交通部交通行業(yè)信息專網（SDH專網）作為數(shù)據交換的主要通訊方式,以交通行業(yè)虛擬信息專網作為應急備份網絡。2.解決方案設計原則在規(guī)劃xx系統(tǒng)安全建設時，我們將遵循以下原則，提供完善的遠程安全接入解決方案：?PDCA原則信息安全管理的本質，可以看作是動態(tài)地對信息安全風險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風險進行有效管理和控制。標準IS015408-1（信息安全風險管理和評估規(guī)則），給出了一個非常經典的信息安全風險管理模型，如下圖所示:所有者W 一-希冢卜卜化嚷f豬施S距低. 船既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799)，信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監(jiān)控與評估-維護和改進)的循環(huán)過程。Act利a伏停Act利a伏停wnvJin信?安全?遵循統(tǒng)籌規(guī)劃、分步實施原則解決方案是XX系統(tǒng)整體安全規(guī)劃的一部分，必須在統(tǒng)一領導下，統(tǒng)籌規(guī)劃，根據需要接入單位，逐步擴大網絡覆蓋面，增強網絡功能。隨著網絡覆蓋面的擴大及功能的增強，可以促進網上應用建設。網絡和應用的建設相互推動，促使專網建設成良性循環(huán)。堅持安全第一原則XX系統(tǒng)的承載數(shù)據具有高度的機密性，通過公共網絡傳輸數(shù)據時，既要保證傳輸內容不被竊聽、篡改，同時還要保證接入端的可信任，以及設備的抗攻擊性，從而保證XX系統(tǒng)的整體安全性和可靠性。堅持實用性原則XX系統(tǒng)VPN系統(tǒng)的建設應從透明性、友善性、有效性等幾個方面考慮實用性的設計。透明性是指安全機制的設置和運行對于普通用戶應盡量透明，使他感覺不到其存在。友善性是指對于包括安全管理中心在內的所有需要進行操作的人機界面應做到安全、簡捷、方便。有效性一方面是指安全機制的設置確實達到設計要求，另一方面是指增加安全機制以后新增加的系統(tǒng)開銷所帶來的性能下降要在應用系統(tǒng)運行所能承受的范圍之內。簡易性也是VPN建設需要考慮的一個關鍵因素，對于營業(yè)網點或者移動用戶，都必須提供最簡單的VPN網絡接入方式，以保證VPN網絡的部署不會對正常的網絡應用造成影響。堅持技術與管理密切結合的原則任何安全系統(tǒng)的可靠運行，必須有嚴格的管理，并把兩者密切結合起來。管理首先是管理人員，然后再通過被管理的人實現(xiàn)對VPN系統(tǒng)運行的控制和管理。要有完備的規(guī)章制度和切實可行的操作規(guī)程來規(guī)范各類人員的操作。任何安全系統(tǒng)或者一個分系統(tǒng)都必須把人考慮在內才是完備的。由于分支機構缺少足夠的技術人員，因此VPN網絡管理應該以區(qū)域集中管理為主要模式,因此VPN的建設必須提供足夠的技術支撐能力，以實現(xiàn)這種管理模式的需求。堅持前瞻性原則設計網絡時即要考慮當前需求，也要考慮未來的需求，即要考慮單一應用需求也要考慮綜合應用需求。目前政務信息主要是文字性的內容，數(shù)據流量相對較小，隨著信息工作不斷推進，將來勢必會增加圖片、音像、視頻等多媒體信息，數(shù)據量會大量增加，對網絡性能要求也會大大增加。另外我們也要考慮到其它的業(yè)務應用，如：電視會議、其它業(yè)務系統(tǒng)等。其它應用建設時涉及已經聯(lián)網的可以不再單獨建設，基于以上原因網絡建設時盡量做到具有前瞻性，保證在設備生命周期內能夠滿足業(yè)務需要。XX系統(tǒng)遠程安全接入解決方案遠程接入安全解決方案根據xx系統(tǒng)的需求，建議按照如下的組網圖進行建設：此處請補充根據客戶實際組網做得方案建議圖,以下圖為例。服務器區(qū)WMSSecCenfervPNManaoer同時請根據具體用戶需求,刪除或增加下面的技術介紹章節(jié):大型分支接入VPNSecPath組網特點：/VPN內部需要建立統(tǒng)一的OSPF路由域。/VPN內部可以支持MPLS、IPX等非IP協(xié)議的網絡。部署要點/兩端的VPN網關的Loopback接口之間建立GRE隧道，然后符IPSec策略應用到Wan接口上從而建立IPSec隧道，進行數(shù)據封裝、加密和傳輸；/在GRE隧道接口上使能0SPF;方案特點/GRE的特點是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。如果企業(yè)網內有IPX.MPLS等應用，建議可以先借用GRE承載非IP協(xié)議，然后才能使用IPSec保護GRE報文。/GRE是基于路由的，而IPSec是基于策略。如果需要在企業(yè)網內統(tǒng)一規(guī)劃路由方案，GREoverIPSec的方式邏輯就比較清晰。因為IPSec的策略是針對GRE隧道的，而GRE隧道是基于路由的，所以整個VPN內的路由是統(tǒng)一的。/對業(yè)務流量，諸如路由協(xié)議、語音、視頻等數(shù)據先進行GRE封裝，然后再對封裝后的報文進行IPSec的加密處理。/不必配置大量的靜態(tài)路由，配置簡單。/GRE還支持由用戶選擇記錄Tunnel接口的識別關鍵字，和對封裝的報文進行端到端校驗;/GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據量增加等因素的影響，這就導致使用GRE會造成路由器數(shù)據轉發(fā)效率有一定程度的下降；中小分支合作伙伴接入組網特點：/VPN客戶端設備相對來說比較簡單。部署要點/VPN客戶端可以使用動態(tài)地址接入服務器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。同時，這樣也便于使用VPNManager的配置管理功能。方案特點/組網簡單，易于部署;/由于IPSec不能承載路由協(xié)議，需要在分支結構和園區(qū)網配置大量的靜態(tài)路由。/單純的IPSec封裝，對于帶寬資源消耗較小;5.1.3.移動用戶接入方式組網特點組網特點：/移動用戶靈活接入，安全認證、數(shù)據保護。部署要點,無須客戶端軟件/使用SSL完成用戶身份認證和報文加密/認證方式多樣，可包括本地認證、Radius認證、LDAP認證、AD認證、證書認證、雙因素認證/VPN服務器側可以考慮使用單臺設備，也可以考慮使用雙VPN服務器備份/接入方式靈活，各種接入方式都可支持方案特點/靈活、安全5.2.可靠性方案H3C遠程安全接入高可靠性設計的核心理念就是增大網絡冗余性的同時做到負載分擔。衡量可靠性設計優(yōu)劣的標準就是網絡異常業(yè)務流量中斷時間?？煽啃栽O計重點體現(xiàn)在VPNServer的雙出口備份、雙機備份、負載分擔和異常快速切換3個方面。5.2.1.雙出口備份對于遠程安全接入，出現(xiàn)故障更多的時候在于運營商健路的不可靠。而對于運營商鏈路傳輸?shù)臓顩r，H3c的L3Monitor特性能夠做到實時的監(jiān)視，以保證VPN隧道的實時切換。Server/業(yè)務系統(tǒng)傳統(tǒng)的備份實現(xiàn)方式，通常依靠檢測接口的物理UP、Down變化消息或者網絡層協(xié)議UP、Down變化來觸發(fā)主備切換。L3Monitor自動偵測特性利用ICMP的request/response報文，檢測目的地的可達性，檢測結果反饋到與之聯(lián)動的備份功能模塊，觸發(fā)其主備切換，從而提供了基于網絡層應用可達性的備份功能。L3Monitor的整個工作流程如下：(1)首先，用戶配置全局的L3Monitor自動偵測組：包括被監(jiān)測的地址以及下一跳。另外還可以很靈活地定義一些偵測策略。比如：配置偵測組的偵測周期、配置一次偵測中的最大重試次數(shù)、配置一次偵測的超時時間。另外，同一個偵測組的多個被偵測對象之間的關系可以配置為“與”或者"或“。如果當被偵測對象之間的關系為“與”時：有一個IP地址無法Ping通即認為該偵測組不可達，并不再偵測其余的地址；當偵測對象之間的關系為“或”時：有一個IP地址ping通即認為該偵測組可達，并不再偵測其余的地址；(2)當某個備份功能希望使用該自動偵測組時，就通過命令與該自動偵測組關聯(lián)；(3)自動偵測組在后臺不斷向被偵測對象發(fā)送ICMP探測報文，按照之前定義的偵測策略,如偵測次數(shù)、超時時間等等來判斷當前被偵測對象是否可達；(4)自動偵測組在每次偵測結束時，向與之關聯(lián)的備份模塊發(fā)送消息通知自己這一輪檢測的結果，這些模塊，比如路由備份、接口備份或者VRRP就會根據Auto-detect發(fā)送過來的目的地可達性消息決定是否進行主備切換。5.2.2.雙機備份雙機備份是通過VRRP實現(xiàn)的。VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種容錯協(xié)議。通常，一個網絡內的所有主機都設置一條缺省路由(如下圖所示，),這樣，主機發(fā)出的目的地址不在本網段的報文將被通過缺省路由發(fā)往路由器RouterA,從而實現(xiàn)了主機與外部網絡的通信。當路由器RouterA壞掉時，本網段內所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信。局域網組網方案VRRP就是為解決上述問題而提出的，它為具有多播或廣播能力的局域網（如：以太網）設計。我們結合下圖來看一下VRRP的實現(xiàn)原理。VRRP將局域網的一組路由器（包括一個Master即活動路由器和若干個Backup即備份路由器）組織成一個虛擬路由器，稱之為一個備份組。Etheme( LAN1Hostl Host2Host3VRRP組網示意圖這個虛擬的路由器擁有自己的IP地址（這個IP地址可以和備份組內的某個路由器的接口地址相同），備份組內的路由器也有自己的IP地址（如Master的IP地址為100.10.2,Backup的IP地址為)。局域網內的主機僅僅知道這個虛擬路由器的IP地址,而并不知道具體的Master路由器的IP地址以及Backup路由器的IP地址,它們將自己的缺省路由下一跳地址設置為該虛擬路由器的IP地址10.100.10.lo于是，網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的Master路由器壞掉，Backup路由器相會通過選舉策略選出一個新的Master路由器，繼續(xù)向網絡內的主機提供路由服務。從而實現(xiàn)網絡內的主機不間斷地與外部網絡進行通信。5.2.3快速切換網絡異常的情況有很多種。如果不考慮運營商的網絡異常，VPN的異常主要有兩大類：第一類是網關異常，包括網關癱瘓、重啟等等；第二類是網關鏈路異常。在網絡出現(xiàn)異常時,如何保證業(yè)務流量能夠盡快恢復？網關快速切換，這一切換由L3Monitor發(fā)現(xiàn)，VRRP實現(xiàn)。當主網關或其鏈路出現(xiàn)異常時，L3Monitor能夠保證在廣2秒內發(fā)現(xiàn)，通過VRRP3~4秒內完成主備網關的切換。而且為了保證網關切換后，網關內外的流量能同時切換到新的網關上，需要在網關內外都設置VRRP組，并將這一對VRRP組關聯(lián)起來。一旦其中一個VRRP組發(fā)生切換，另一個方向的VRRP能發(fā)起同步切換。IPSec隧道快速切換，這一切換由IPSecDPD實現(xiàn)。IPSecDPD(IPSecDeadPeerDetectionon-demand)為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向對端發(fā)送請求報文，對IKEPeer是否存在進行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產生數(shù)據流量小、檢測及時、隧道恢復快的優(yōu)點。IPSecDPD(IPSecDeadPeerDetectionon-demand)為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向對端發(fā)送請求報文，對IKEPeer是否存在進行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產生數(shù)據流量小、檢測及時、隧道恢復快的優(yōu)點。在路由器與VRRP備份組的虛地址之間建立1SAKMPSA的應用方案中，DPD功能保證了VRRP備份組中主備切換時安全隧道能夠迅速自動恢復。解決了VRRP備份組主備切換使安全隧道通信中斷的問題，擴展了IPSec的應用范圍，提高了IPSec協(xié)議的健壯性。數(shù)據結構DPD數(shù)據結構(簡稱為DPD結構)用于配置DPD查詢參數(shù)，包括DPD查詢時間間隔及等待DPD應答報文超時時間間隔。該數(shù)據結構可以被多個IKEPeer引用，這樣用戶不必針對接口一一進行重復配置。定時器IPSecDPD在發(fā)送和接收DPD報文中使用了兩個定時器：intervaltime和ervaltime:觸發(fā)DPD查詢的間隔時間，該時間指明隔多久沒有收到對端IPSec報文時觸發(fā)DPD查詢。timeout:等待DPD應答報文超時時間。運行機制發(fā)送端：當啟動了DPD功能以后，如在intervaltime定時器指定的時間間隔內沒有收到對端的IPSec報文，且本端欲向對端發(fā)送IPSec報文時，DPD向對端發(fā)送DPD請求，并等待應答報文。如果超過timeout定時器設定的超時時間仍然未收到正確的應答報文，DPD記錄失敗事件1次。當失敗事件達到3次時，刪除ISAKMPSA和相應的IPSecSAO對于路由器與VRRP備份組虛地址之間建立的IPSecSA,連續(xù)3次失敗后，安全隧道同樣會被刪除，但是當有符合安全策略的報文重新觸發(fā)安全聯(lián)盟協(xié)商時，會重新建立起安全隧道。切換時間的長短與timeout定時器的設置有關，定時器設定的超時時間越短，通信中斷時間越短（注意：超時時間過短會增加網絡開銷，一般情況下采用缺省值即可）。接收端：收到請求報文后，發(fā)送響應報文。5.3.VPN管理系統(tǒng)IPSecVPN的命令行配置非常復雜，需要大量的培訓工作，同時日常的維護管理工作也極為繁重。IPSecVPNManager的VSM和VDM模塊主要應用于IPSec主模式，可以實現(xiàn)VPN的簡化配置，也可以有效的完成對網路的VPN狀態(tài)的監(jiān)控，提供圖形化的管理界面，簡化配置管理，同時便于實時監(jiān)控VPN狀態(tài)；5.3.1.輕松部署安全網絡QuidviewIPSecVPN軟件提供配置向導功能，指導用戶構建VPN網絡.不必通過復雜的手工執(zhí)行命令行來部署IPSecVPN網絡，減輕了部署難度.也降低了維護成本，即使初次使用該軟件的用戶，也能根據配置向導，成功創(chuàng)建一個IPSecVPN網絡。配置向導向用戶提供了大量常用的缺省配置，幫助初級用戶快速配置IPSecVPN業(yè)務。同時，提供了預定義配置參數(shù)功能，方便高級用戶設置高級選項，重用配置信息。為了避免在設備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設備上不需要的冗余的配置。為了減少配置操作，IPSecVPN網絡配置以網絡域為配置單位，對網絡域的配置會自動賦予網絡域內的全部設備，用戶可一次性對網絡域內所有設備進行相同配置部署。同時用戶也可指定某個設備的特殊配置，方便用戶操作。

IPSecVPNManager配置界面5.3.2.直觀展示VPN拓撲QuidviewIPSecVPN軟件能夠自動發(fā)現(xiàn)和構建VPN拓撲，用戶在拓撲上可以直觀查看VPN通道狀態(tài)、通道流量情況、VPN設備的運行情況等。

M?MM*atmrri??v>^vmr^r?10&ca|Dasoooe口&■■?*??z，“H6a?MFMiooarnuimoei? 2，*”?*M*R0crc〃g■“卬”岬?M?MM*atmrri??v>^vmr^r?10&ca|Dasoooe口&■■?*??z，“H6a?MFMiooarnuimoei? 2，*”?*M*R0crc〃g■“卬”岬?JFSB2C”9*>—》》M，#?***?■■0????UMK，jM.3*.-1**1.i?*m?―逢，~iRBonjkiuftt?MK?12tJ9)■?a?v*vXAC?o<9OOOOOOIPSecVPNManager顯示拓撲3.3.全方位監(jiān)控網絡性能基于Quidview網絡管理框架的性能管理模塊，IPSecVPN軟件提供了豐富的VPN設備的性能管理功能，可以對VPN網絡中的各項重要性能指標進行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網絡的運行狀態(tài)。支持對IPSecVPN設備CPU利用率等關鍵指標的監(jiān)視；支持對IPSec、IKE隧道的監(jiān)視；支持對協(xié)商過程的監(jiān)視；提供折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據顯示給用戶；支持TopN功能，使用戶能夠對關鍵設備指標一目了然；提供報表導出和基于歷史數(shù)據的分析，為用戶網絡擴容、及早發(fā)現(xiàn)網絡隱患提供保障;

支持對用戶關心的性能參數(shù)設定闞值，當超過闞值后,系統(tǒng)將會發(fā)送性能告警，使網絡管理人員及時發(fā)現(xiàn)和消除網絡中的隱患。IPSecVPNManager監(jiān)控網絡5.3.4.快速定位網絡故障利用QuidviewIPSecVPN軟件的故障管理模塊可以實時接收IPSecVPN設備的告警，并利用該模塊提供的豐富的過濾功能定位關鍵的告警數(shù)據?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障管理模塊能夠與QuidviewIPSecVPN其他組件密切配合，幫助用戶快速定位網絡故障。當QuidviewIPSecVPN性能監(jiān)視模塊進行VPN設備閾值監(jiān)控時，如果發(fā)現(xiàn)閾值超過指標會

向故障模塊發(fā)送告警，故障模塊會迅速做出反應，以聲光告警、Email、短信等方式及時通知到管理人員。同時，VPN拓撲圖將立刻刷新以反映最新的網絡狀態(tài)。圖1IPSecVPNManager定位故障4.