技術(shù)建議書-H3C遠(yuǎn)程安全接入解決方案V1

遠(yuǎn)程安全接入解決方案技術(shù)建議書杭州華三通信技術(shù)有限公司HBCITolP解決方案專家目錄TOC\o"1-5"\h\z\o"CurrentDocument".遠(yuǎn)程接入模式分析 4. VPN技術(shù)介紹 5\o"CurrentDocument"2.1.VPN定義 5\o"CurrentDocument"2.2.VPN的類型 5\o"CurrentDocument"2.2.1AccessVPN 62.2.2IntranetVPN 62.2.3ExtranetVPN 7\o"CurrentDocument"2.3.VPN的優(yōu)點(diǎn) 7\o"CurrentDocument"2.4.隧道技術(shù) 7\o"CurrentDocument"4.1二層隧道協(xié)議 8\o"CurrentDocument"4.2三層隧道協(xié)議 8\o"CurrentDocument"5.加密技術(shù) 11\o"CurrentDocument"6.身份認(rèn)證技術(shù) 12H3C安全建設(shè)理念 13\o"CurrentDocument"智能安全滲透網(wǎng)絡(luò)簡(jiǎn)介 14\o"CurrentDocument"2.智能安全滲透網(wǎng)絡(luò)一一局部安全 14\o"CurrentDocument"3.智能安全滲透網(wǎng)絡(luò)一一全局安全 14\o"CurrentDocument"4.智能安全滲透網(wǎng)絡(luò)一一智能安全 15\o"CurrentDocument"XX系統(tǒng)遠(yuǎn)程安全接入解決方案 17\o"CurrentDocument"XX系統(tǒng)遠(yuǎn)程安全接入需求分析 17\o"CurrentDocument"2.解決方案設(shè)計(jì)原則 18\o"CurrentDocument"XX系統(tǒng)遠(yuǎn)程安全接入解決方案 21\o"CurrentDocument"遠(yuǎn)程接入安全解決方案 21\o"CurrentDocument"5.1.1.大型分支接入 22\o"CurrentDocument"5.1.2.中小分支合作伙伴接入 23\o"CurrentDocument"5.1.3.移動(dòng)用戶接入方式 24\o"CurrentDocument"5.2.可靠性方案 25\o"CurrentDocument"5.2.1.雙出口備份 26\o"CurrentDocument"5.2.2.雙機(jī)備份 27\o"CurrentDocument"5.2.3.快速切換 29\o"CurrentDocument"5.3.VPN管理系統(tǒng) 32\o"CurrentDocument"5.3.1.輕松部署安全網(wǎng)絡(luò) 32\o"CurrentDocument"5.3.2.直觀展示VPN拓?fù)?33\o"CurrentDocument"5.3.3.全方位監(jiān)控網(wǎng)絡(luò)性能 34\o"CurrentDocument"5.3.4.快速定位網(wǎng)絡(luò)故障 35\o"CurrentDocument"4.BIMS分支智能管理系統(tǒng) 36\o"CurrentDocument"5.統(tǒng)一安全管理中心 39總、結(jié) 40.遠(yuǎn)程接入模式分析隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，為提高溝通效率和資源利用效率，建立分支與總部、機(jī)構(gòu)與機(jī)構(gòu)之間的具有保密性的網(wǎng)絡(luò)連接是十分必要的。此外，工作人員出差時(shí)也需要訪問(wèn)系統(tǒng)內(nèi)部的一些信息資源，這時(shí)同樣需要建立保密的網(wǎng)絡(luò)連接。怎樣為這些分支、機(jī)構(gòu)、出差人員提供一個(gè)安全、經(jīng)濟(jì)、方便和高效的安全接入方式，成為XX系統(tǒng)亟需解決的一個(gè)問(wèn)題。建立保密的網(wǎng)絡(luò)連接一種方案是使用專線，其基本方式是進(jìn)行每個(gè)層次之間的專線方式連接，通過(guò)這種方式可以實(shí)現(xiàn)的星形結(jié)構(gòu)的全局網(wǎng)絡(luò)連接，基本滿足分支與總部、機(jī)構(gòu)與機(jī)構(gòu)之間的數(shù)據(jù)傳輸需求，但是這種方式存在非常大的兩個(gè)缺點(diǎn)：第一是不靈活，不能滿足出差人員隨時(shí)隨地接入的需求；第二是費(fèi)用高，專線方式的網(wǎng)絡(luò)連接需要支付高昂的專線租用費(fèi)用。另外一種方式是通過(guò)撥號(hào)的方式，通過(guò)利用PSTN/ISDN的模擬電話線路，移動(dòng)用戶主機(jī)配置的調(diào)制解調(diào)器，采用撥號(hào)的方式，登錄到公司內(nèi)部的撥號(hào)服務(wù)器，實(shí)現(xiàn)遠(yuǎn)程對(duì)公司內(nèi)部資源的訪問(wèn)。這種方式的優(yōu)點(diǎn)在于比較靈活，PSTN電話線路資源比較容易獲得。缺點(diǎn)在于網(wǎng)絡(luò)連接性能低，PSTN電話最多提供64K帶寬，相對(duì)現(xiàn)在的寬帶網(wǎng)絡(luò)，已經(jīng)基本不可用，而且此方式?jīng)]有任何安全措施，數(shù)據(jù)在傳輸過(guò)程中存在很大的安全風(fēng)險(xiǎn)。隨著VPN技術(shù)的發(fā)展，VPN技術(shù)已經(jīng)成為一種非常成熟的網(wǎng)絡(luò)連接方式，VPN具有高性價(jià)比、強(qiáng)適應(yīng)能力、具備很強(qiáng)的網(wǎng)絡(luò)安全特性以及動(dòng)態(tài)的擴(kuò)展能力等優(yōu)勢(shì)，已經(jīng)被廣泛替代專線用來(lái)進(jìn)行廣域網(wǎng)絡(luò)的銜接，下面我們將以VPN模式為核心，提供H3c全面的VPN解決方案。.VPN技術(shù)介紹VPN定義利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)(VPN,VirtualPrivateNetwork),用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等?！疤摂M”的概念是相對(duì)傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對(duì)于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過(guò)遠(yuǎn)程撥號(hào)連接來(lái)實(shí)現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)遠(yuǎn)程的廣域連接。通過(guò)VPN,企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴，如圖1所示。圖1.VPN應(yīng)用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP即可訪問(wèn)中心或者相互通信。這對(duì)于流動(dòng)性很大的出差員工和分布廣泛的客戶與合作伙伴來(lái)說(shuō)是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺(tái)VPN服務(wù)器就可以了。2.2.VPN的類型VPN分為三種類型：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(AccessVPN)、企業(yè)內(nèi)部虛擬網(wǎng)(IntranetVPN)和企業(yè)擴(kuò)展虛擬網(wǎng)(ExtranetVPN),這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。AccessVPN隨著當(dāng)前移動(dòng)辦公的日益增多，遠(yuǎn)程用戶需要及時(shí)地訪問(wèn)Intranet和Extranet。對(duì)于出差流動(dòng)員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室，AccessVPN通過(guò)公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在AccessVPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道(Tunnel)連接來(lái)傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。AccessVPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起(Client-initiated)的VPN連接，另一種是接入服務(wù)器發(fā)起(NAS-initiated)的VPN連接。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠(yuǎn)程用戶通過(guò)服務(wù)提供點(diǎn)(POP)撥入Internet,接著，用戶通過(guò)網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道(可加密)連接從而訪問(wèn)企業(yè)網(wǎng)內(nèi)部資源。在這種情況下，用戶端必須維護(hù)與管理發(fā)起隧道連接的有關(guān)協(xié)議和軟件。在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過(guò)本地號(hào)碼或免費(fèi)號(hào)碼撥入ISP,然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對(duì)遠(yuǎn)端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負(fù)責(zé)管理和維護(hù)。IntranetVPNIntranetVPN通過(guò)公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過(guò)公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來(lái)傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時(shí)應(yīng)根據(jù)自身的需求對(duì)以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。ExtranetVPNExtranetVPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。在傳統(tǒng)的專線構(gòu)建方式下,Extranet通過(guò)專線互聯(lián)實(shí)現(xiàn)，網(wǎng)絡(luò)管理與訪問(wèn)控制需要維護(hù)，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備;雖然可以通過(guò)撥號(hào)方式構(gòu)建Extranet,但此時(shí)需要為不同的Extranet用戶進(jìn)行設(shè)置，而同樣降低不了復(fù)雜度。因合作伙伴與客戶的分布廣泛，這樣的Extranet建設(shè)與維護(hù)是非常昂貴的。因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet,結(jié)果使得企業(yè)間的商業(yè)交易程序復(fù)雜化，商業(yè)效率被迫降低。ExtranetVPN以其易于構(gòu)建與管理為解決以上問(wèn)題提供了有效的手段，其實(shí)現(xiàn)技術(shù)與AccessVPN和IntranetVPN相同。Extranet用戶對(duì)于ExtranetVPN的訪問(wèn)權(quán)限可以通過(guò)防火墻等手段來(lái)設(shè)置與管理。3.VPN的優(yōu)點(diǎn)利用公用網(wǎng)絡(luò)構(gòu)建VPN是個(gè)新型的網(wǎng)絡(luò)概念，對(duì)于企業(yè)而言，利用Internet組建私有網(wǎng),將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和Internet費(fèi)用。據(jù)報(bào)道，局域網(wǎng)互聯(lián)費(fèi)用可降低20~40%,而遠(yuǎn)程接入費(fèi)用更可減少60-80%,這無(wú)疑是非常有吸引力的；VPN大大降低了網(wǎng)絡(luò)復(fù)雜度、VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配、VPN組網(wǎng)的靈活方便等特性簡(jiǎn)化了企業(yè)的網(wǎng)絡(luò)管理，另外，在VPN應(yīng)用中，通過(guò)遠(yuǎn)端用戶驗(yàn)證以及隧道數(shù)據(jù)加密等技術(shù)保證了通過(guò)公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性。隧道技術(shù)對(duì)于構(gòu)建VPN來(lái)說(shuō)，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個(gè)關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議?，F(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建AccessVPN和ExtranetVPN;另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建IntranetVPN和ExtranetVPNO二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（PointtoPointTunnelingProtocol,點(diǎn)對(duì)點(diǎn)隧道協(xié)議）、L2F（Layer2Forwarding,二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer2TunnelingProtocol,二層隧道協(xié)議）。其中L2TP結(jié)合了前兩個(gè)協(xié)議的優(yōu)點(diǎn)，具有更優(yōu)越的特性，得到了越來(lái)越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。應(yīng)用L2TP構(gòu)建的典型VPN服務(wù)的結(jié)構(gòu)如下圖所示:圖2.典型撥號(hào)VPN業(yè)務(wù)示意圖三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC1701GenericRoutingEncapsulation(GRE)協(xié)議就是一個(gè)三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GREGRE與IPinIP,IPXoverIP等封裝形式很相似,但比他們更通用。在GRE的處理中，很多協(xié)議的細(xì)微差異都被忽略，這使得GRE不限于某個(gè)特定的“XoverY”應(yīng)用，而是一種最基本的封裝形式。在最簡(jiǎn)單的情況下，路由器接收到一個(gè)需要封裝和路由的原始數(shù)據(jù)報(bào)文(Payload),這個(gè)報(bào)文首先被GRE封裝而成GRE報(bào)文，接著被封裝在IP協(xié)議中，然后完全由IP層負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)。原始報(bào)文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議被稱之為傳遞(Delivery)協(xié)議或傳輸(Transport)協(xié)議。注意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或內(nèi)容。整個(gè)被封裝的報(bào)文具有下圖所示格式：Header(TransportProtocoi)GREHeader(EncapsulationProtocol)

RayloadPacket

(PassengerProtocol)

圖3.通過(guò)GRE傳輸報(bào)文形式IPSecIPSec(IPSecurity)是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec通過(guò)AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)。而且此實(shí)現(xiàn)不會(huì)對(duì)用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會(huì)影響其它部分的實(shí)現(xiàn)。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：私有性-IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的私有性；完整性-IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有被修改；真實(shí)性-IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；防重放-IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)。IPSec在兩個(gè)端點(diǎn)之間通過(guò)建立安全聯(lián)盟（SecurityAssociation）進(jìn)行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及安全聯(lián)盟的有效時(shí)間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時(shí)產(chǎn)生新的AH和/或ESP附加報(bào)頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個(gè)IP數(shù)據(jù)包被用來(lái)計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP,ICMP）數(shù)據(jù)被用來(lái)計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。AH報(bào)頭用以保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計(jì)算效率，AH沒(méi)有采用數(shù)字簽名，而是采用了安全哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)行保護(hù)。AH沒(méi)有對(duì)用戶數(shù)據(jù)進(jìn)行加密。AH在IP包中的位置如圖所示（隧道方式）：[*AH|IP[TCP[1）?可圖4.AH處理示意圖ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。ESP頭在IP包中的位置如下（隧道方式）：圖5.ESP處理示意圖AH和ESP可以單獨(dú)使用，也可以同時(shí)使用。使用IPSec,數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個(gè)端點(diǎn)之間可以建立多個(gè)安全聯(lián)盟，并結(jié)合訪問(wèn)控制列表（access-list）,IPSec可以對(duì)不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，達(dá)到不同的保護(hù)效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個(gè)端點(diǎn)之間存在四個(gè)安全聯(lián)盟，每個(gè)端點(diǎn)兩個(gè)，一個(gè)用于數(shù)據(jù)發(fā)送，一個(gè)用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過(guò)手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時(shí)，手工配置將非常困難，而且難以保證安全性。這時(shí)就要使用IKE自動(dòng)地進(jìn)行安全聯(lián)盟建立與密鑰交換的過(guò)程。5.加密技術(shù)Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過(guò)一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰。其中的核心技術(shù)就是DH（DiffieHellman）交換技術(shù)。DH交換基于公開的信息計(jì)算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計(jì)算復(fù)雜度非常高從而是不可實(shí)現(xiàn)的。所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息，即使第三方截獲了雙方用于計(jì)算空鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。在身份驗(yàn)證方面，IKE提供了共享驗(yàn)證字(Pre-sharedKey)、公鑰加密驗(yàn)證、數(shù)字簽名驗(yàn)證等驗(yàn)證方法。后兩種方法通過(guò)對(duì)CA(CertificateAuthority)中心的支持來(lái)實(shí)現(xiàn)。IKE密鑰交換分為兩個(gè)階段，其中階段1建立ISAKMPSA,有主模式(MainMode)和激進(jìn)模式(AggressiveMode)兩種；階段2在階段1ISAKMPSA的保護(hù)下建立IPSecSA,稱之為快速模式(QuickMode)。IPSecSA用于最終的IP數(shù)據(jù)安全傳送。另外，IKE還包含有傳送信息的信息交換(InformationalExchange)和建立新DH組的組交換(DHGroupExchange)o6.身份認(rèn)證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認(rèn)證，這就是所謂的身份驗(yàn)證。身份驗(yàn)證確認(rèn)通信雙方的身份。目前有兩種方式：一種是域共享密鑰(pre-sharedkey)驗(yàn)證方法，驗(yàn)證字用來(lái)作為一個(gè)輸入產(chǎn)生密鑰，驗(yàn)證字不同是不可能在雙方產(chǎn)生相同的密鑰的。驗(yàn)證字是驗(yàn)證雙方身份的關(guān)鍵。這種認(rèn)證方式的優(yōu)點(diǎn)是簡(jiǎn)單，但有一個(gè)嚴(yán)重的缺點(diǎn)就是驗(yàn)證字作為明文字符串，很容易泄漏。另一種是PKI(rsa-signature)驗(yàn)證方法。這種方法通過(guò)數(shù)字證書對(duì)身份進(jìn)行認(rèn)證，安全級(jí)別很高，是目前最先進(jìn)的身份認(rèn)證方式。公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,簡(jiǎn)稱PKI)是通過(guò)使用公開密鑰技術(shù)和數(shù)字證書來(lái)確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全機(jī)制。PKI采用證書進(jìn)行公鑰管理，通過(guò)第三方的可信任機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，以在網(wǎng)上驗(yàn)證用戶的身份。PKT為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性。數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過(guò)程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過(guò)程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。一個(gè)PKI系統(tǒng)由公開密鑰密碼技術(shù)、證書認(rèn)證機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、數(shù)字證書和相應(yīng)的PKI存儲(chǔ)庫(kù)共同組成。PK1應(yīng)用

~~ZV~~

數(shù)字證書TOC\o"1-5"\h\zI, , I認(rèn)證機(jī)構(gòu) 注冊(cè)機(jī)構(gòu) PKI存儲(chǔ)庫(kù)I II II _. ?圖6.PKI組成框圖其中，認(rèn)證機(jī)構(gòu)用于簽發(fā)并管理證書；注冊(cè)機(jī)構(gòu)用于個(gè)人身份審核、證書廢除列表管理等；PKI存儲(chǔ)庫(kù)用于對(duì)證書和日志等信息進(jìn)行存儲(chǔ)和管理，并提供一定的查詢功能；數(shù)字證書是PKI應(yīng)用信任的基礎(chǔ)，是PKI系統(tǒng)的安全憑據(jù)。數(shù)字證書又稱為公共密鑰證書PKC(PublicKeyCertificate),是基于公共密鑰技術(shù)發(fā)展起來(lái)的一種主要用于驗(yàn)證的技術(shù)，它是一個(gè)經(jīng)證書認(rèn)證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，可作為各類實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明。證書是有生命期的，在證書生成時(shí)指定，認(rèn)證中心也可以在證書的有效期到來(lái)前吊銷證書，結(jié)束證書的生命期。H3c安全建設(shè)理念理念是人們對(duì)于不同事物從自身角度出發(fā)確定下來(lái)的正確看法，并用于指導(dǎo)人們的行為實(shí)踐。正確的安全建設(shè)理念可以指導(dǎo)用戶解決所面臨的最主要的安全問(wèn)題，將有限的資源投入到最有效的地方。H3C公司提出的智能安全滲透網(wǎng)絡(luò)理念(intelligentSafePervasiveNetwork,簡(jiǎn)稱iSPN)體現(xiàn)了H3c在網(wǎng)絡(luò)信息安全方面專業(yè)和獨(dú)到的見解，使其成為客戶最可信賴的安全建設(shè)指導(dǎo)思想。智能安全滲透網(wǎng)絡(luò)簡(jiǎn)介互聯(lián)網(wǎng)的廣泛應(yīng)用，大大改變了企業(yè)業(yè)務(wù)流程的開展方式。但是，隨著信息化建設(shè)的不斷深入，網(wǎng)絡(luò)安全問(wèn)題也成為影響企業(yè)信息化建設(shè)的瓶頸。遭受過(guò)由于網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的損失的企業(yè)，極容易失去對(duì)網(wǎng)絡(luò)的信任，從而錯(cuò)失很多商業(yè)機(jī)會(huì)，這時(shí)他們需要的是一個(gè)安全的保障，在享用互聯(lián)網(wǎng)帶來(lái)無(wú)限商機(jī)的同時(shí)保證業(yè)務(wù)的持續(xù)可用及信息安全。智能安全滲透網(wǎng)絡(luò)(iSPN)提出了一個(gè)整體安全架構(gòu)，從局部安全、全局安全、智能安全三個(gè)層面，為用戶提供一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體。局部安全針對(duì)關(guān)鍵問(wèn)題點(diǎn)進(jìn)行安全部署，抵御最基礎(chǔ)的安全威脅；全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達(dá)到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺(tái)基礎(chǔ)上，借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實(shí)體。2.智能安全滲透網(wǎng)絡(luò)一一局部安全網(wǎng)絡(luò)安全最基礎(chǔ)的防護(hù)方式是關(guān)鍵點(diǎn)安全，即對(duì)出現(xiàn)問(wèn)題的薄弱環(huán)節(jié)或有可能出現(xiàn)問(wèn)題的節(jié)點(diǎn)部署安全產(chǎn)品，進(jìn)行2—7層的威脅防范，當(dāng)前企業(yè)絕大部分采用的都是這種單點(diǎn)威脅防御方式。這種局部安全方式簡(jiǎn)單有效并有極強(qiáng)的針對(duì)性，適合網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善而安全因素考慮不足的情況。在這種方式下，H3C強(qiáng)調(diào)通過(guò)“集成”來(lái)提供最佳的防御效果，即通過(guò)在網(wǎng)絡(luò)產(chǎn)品上集成安全技術(shù)、在安全產(chǎn)品上集成網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)與安全的插卡集成等方式，實(shí)現(xiàn)了安全技術(shù)和網(wǎng)絡(luò)技術(shù)在無(wú)縫融合上做出的第一步最佳實(shí)踐。3.智能安全滲透網(wǎng)絡(luò)一一全局安全由于安全產(chǎn)品種類的不斷豐富，使得局部安全可以應(yīng)對(duì)企業(yè)的大部分基礎(chǔ)網(wǎng)絡(luò)安全問(wèn)題。然而此時(shí)用戶意識(shí)到，局部安全的防護(hù)手段相對(duì)比較孤立，只有將產(chǎn)品的相互協(xié)作作為安全規(guī)劃的必備因素，形成整網(wǎng)的安全保護(hù)才能抵御日趨嚴(yán)重的混合型安全威脅。為此，H3c推出了全局安全理念，借助于IToIP的網(wǎng)絡(luò)優(yōu)勢(shì)，通過(guò)技術(shù)和產(chǎn)品的協(xié)作，將網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和各組件聯(lián)動(dòng)起來(lái)，并通過(guò)多層次的安全策略和流程控制，向用戶提供端到端的安全解決方案。以H3C的端點(diǎn)準(zhǔn)入防御及安全事件分析機(jī)制為例，它將計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的通用操作系統(tǒng)、主機(jī)應(yīng)用系統(tǒng)等企業(yè)資源都納入到安全保護(hù)的范晴內(nèi)。在統(tǒng)一的安全策略下，利用各部分組件的協(xié)同聯(lián)動(dòng)，保證網(wǎng)絡(luò)各端點(diǎn)的安全性與可控性；同時(shí)，在統(tǒng)一的平臺(tái)上進(jìn)行安全事件的收集、整理、分析，可以做到整網(wǎng)安全風(fēng)險(xiǎn)的提前預(yù)防與及時(shí)控制。4.智能安全滲透網(wǎng)絡(luò)一一智能安全隨著網(wǎng)絡(luò)建設(shè)的日趨完善，面向業(yè)務(wù)的安全已經(jīng)成為新的發(fā)展方向。只有理解企業(yè)業(yè)務(wù).將企業(yè)的業(yè)務(wù)需求及流程建設(shè)充分融合到網(wǎng)絡(luò)安全建設(shè)中來(lái)，從信息的計(jì)算、通信及存儲(chǔ)等信息安全狀態(tài)出發(fā)，以面向應(yīng)用的統(tǒng)一安全平臺(tái)為基礎(chǔ)，通過(guò)安全事件的實(shí)時(shí)感知、安全策略的動(dòng)態(tài)部署、網(wǎng)絡(luò)安全設(shè)備的自動(dòng)響應(yīng)，將智能的安全融入企業(yè)業(yè)務(wù)流程中，形成開放融合、相互滲透的安全實(shí)體，才能實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全智能化。幫助企業(yè)將業(yè)務(wù)信息的所有狀態(tài)都控制在安全管理的范圍內(nèi)，這樣的需求正是智能安全產(chǎn)生的原動(dòng)力。目前，政府制定了網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，促使各行業(yè)必須遵循一定的安全標(biāo)準(zhǔn)，以幫助提高企業(yè)的攻擊防范能力。為了幫助用戶構(gòu)建等級(jí)安全體系，實(shí)現(xiàn)按需防御需要，H3c數(shù)十人的專業(yè)安全服務(wù)團(tuán)隊(duì)，借助嚴(yán)格完善的網(wǎng)絡(luò)安全評(píng)估規(guī)范，對(duì)企業(yè)IT環(huán)境現(xiàn)狀進(jìn)行安全評(píng)估，并對(duì)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù)流程進(jìn)行統(tǒng)一的安全咨詢和規(guī)劃，為用戶度身定制一整套閉環(huán)的安全建設(shè)方案，并通過(guò)培訓(xùn)提升企業(yè)安全管理人員的素質(zhì)，保證安全性的延續(xù)。有了量身定制的建設(shè)方案與安全策略，如何將這樣的方案落到實(shí)處是下一步的難題，網(wǎng)絡(luò)威脅千變?nèi)f化、多種多樣，業(yè)內(nèi)還沒(méi)有任何一個(gè)安全廠家可以解決所有的安全問(wèn)題。因此,為保證企業(yè)網(wǎng)絡(luò)安全建設(shè)能符合未來(lái)發(fā)展趨勢(shì)，需要建立一個(gè)由廠商、代理商和客戶組成的大安全聯(lián)盟，允許各個(gè)組織和個(gè)人都可以通過(guò)標(biāo)準(zhǔn)的接口將安全快速嵌入網(wǎng)絡(luò)，實(shí)現(xiàn)彈性擴(kuò)展與智能融合。H3c在智能安全中采用開放應(yīng)用架構(gòu)(OAA,OpenApplicationArchitecture)為用戶提供開放的硬件平臺(tái)、標(biāo)準(zhǔn)的接口，允許第三方技術(shù)的無(wú)縫融合，從而將網(wǎng)絡(luò)安全的邊界打通，將業(yè)界的先進(jìn)技術(shù)配合適當(dāng)?shù)陌踩呗裕罱K完成網(wǎng)絡(luò)安全建設(shè)的藍(lán)海戰(zhàn)略。完善的安全管理體制是加強(qiáng)信息系統(tǒng)安全防范的組織保證。iSPN全局安全管理平臺(tái)可以對(duì)全網(wǎng)的安全信息做到統(tǒng)一管理、統(tǒng)一下發(fā)安全策略以及統(tǒng)一分析安全數(shù)據(jù)，保證企業(yè)信息系統(tǒng)的安全運(yùn)行。iSPN全局安全管理平臺(tái)以開放的安全管理中心和智能管理中心為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個(gè)緊密的統(tǒng)一管理平臺(tái)中，通過(guò)安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè)智能安全防御體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體安全防御能力。H3c全局安全管理平臺(tái)由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個(gè)組件構(gòu)成,與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨(dú)立功能部件通過(guò)各種信息交互接□形成一個(gè)完整的協(xié)同防御體系。高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時(shí)，我們能夠迅速察覺、準(zhǔn)確定位，更重要的是我們能夠及時(shí)制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過(guò)智能分析和協(xié)同響應(yīng)及時(shí)應(yīng)對(duì)各種真正的網(wǎng)絡(luò)攻擊。在局部安全、全局安全的基礎(chǔ)上，H3CiSPN為實(shí)現(xiàn)這一目標(biāo)而構(gòu)建了專業(yè)安全服務(wù)、開放應(yīng)用架構(gòu)和可持續(xù)演進(jìn)的全局安全管理平臺(tái)，通過(guò)對(duì)防護(hù)、檢測(cè)和響應(yīng)等不同生命周期的各個(gè)安全環(huán)節(jié)進(jìn)行基于策略的管理，揩各種異構(gòu)的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機(jī)的連接起來(lái)，構(gòu)成了一個(gè)智能的、聯(lián)動(dòng)的閉環(huán)響應(yīng)體系，可在保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上有效應(yīng)對(duì)新的安全威脅、大幅提升對(duì)企業(yè)基礎(chǔ)業(yè)務(wù)的安全保障。2007年，H3c將以全新的iSPN理念配合先進(jìn)的產(chǎn)品技術(shù)與日趨完善的面向應(yīng)用解決方案，為企業(yè)打造一個(gè)領(lǐng)先的、全面的、可信賴的IP安全平臺(tái)。XX系統(tǒng)遠(yuǎn)程安全接入解決方案XX系統(tǒng)遠(yuǎn)程安全接入需求分析請(qǐng)根據(jù)具體項(xiàng)目情況添加描述舉例:交通部交通部全國(guó)網(wǎng)絡(luò)的建設(shè)目前已經(jīng)全面展開,隨著交通系統(tǒng)應(yīng)用的不斷增多,各個(gè)業(yè)務(wù)單位對(duì)于網(wǎng)絡(luò)的需求也越來(lái)越來(lái)越大,目前隨著應(yīng)用系統(tǒng)的建設(shè)，“交通政務(wù)信息網(wǎng)"和“道路運(yùn)輸數(shù)據(jù)交換平臺(tái)網(wǎng)絡(luò)”的建設(shè)需求日益迫切,下面簡(jiǎn)述一下這兩個(gè)系統(tǒng)的建設(shè)思路。交通政務(wù)信息網(wǎng)概況交通政務(wù)信息網(wǎng)絡(luò)成員單位194家分為8個(gè)組,第一組為各省、自治區(qū)交通廳計(jì)27個(gè),第二組為各直轄市、計(jì)劃單列市交通管理部門計(jì)19個(gè),第三組為部?jī)?nèi)司局計(jì)17個(gè),第四組為海事局、救撈局、中國(guó)船級(jí)社計(jì)29個(gè),第五組為港航單位計(jì)28個(gè)單位,第六組是交通科研、教育、協(xié)會(huì)、學(xué)會(huì)、設(shè)計(jì)單位計(jì)20個(gè),第九組為市級(jí)交通局計(jì)28個(gè),第十組為縣級(jí)交通局計(jì)26個(gè)。目前部機(jī)關(guān)各同局可以直接連接交通行業(yè)專網(wǎng)（以后簡(jiǎn)稱“專網(wǎng)第一組和第二組的單位已經(jīng)通過(guò)專線連接專網(wǎng),并以INTERNETVPN連接作為備份,部機(jī)關(guān)的VPN接入設(shè)備是華為的產(chǎn)品,其它組的單位尚未與專網(wǎng)連接,其中第五組中的港口單位與水運(yùn)司聯(lián)網(wǎng)的80余家港口單位有重復(fù),可以考慮與水運(yùn)司的業(yè)務(wù)共享線路,不再重復(fù)建設(shè)。根據(jù)交通行業(yè)專網(wǎng)建設(shè)的總體思路,這些未連接專網(wǎng)的單位可以通過(guò)INTERNETVPN方式連接。道路運(yùn)輸數(shù)據(jù)交換平臺(tái)網(wǎng)絡(luò)概況按照“立足成果部省聯(lián)動(dòng)”的建設(shè)原則,部級(jí)道路運(yùn)輸數(shù)據(jù)交換平臺(tái)的網(wǎng)絡(luò)通信建設(shè)方案充分利用交通部信息化二期建設(shè)的成果,從安全性和經(jīng)濟(jì)性考慮,以交通部交通行業(yè)信息專網(wǎng)（SDH專網(wǎng)）作為數(shù)據(jù)交換的主要通訊方式,以交通行業(yè)虛擬信息專網(wǎng)作為應(yīng)急備份網(wǎng)絡(luò)。2.解決方案設(shè)計(jì)原則在規(guī)劃xx系統(tǒng)安全建設(shè)時(shí)，我們將遵循以下原則，提供完善的遠(yuǎn)程安全接入解決方案：?PDCA原則信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)IS015408-1（信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖所示:所有者W 一-希冢卜卜化嚷f豬施S距低. 船既然信息安全是一個(gè)管理過(guò)程，則對(duì)PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799)，信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評(píng)估-維護(hù)和改進(jìn))的循環(huán)過(guò)程。Act利a伏停Act利a伏停wnvJin信?安全?遵循統(tǒng)籌規(guī)劃、分步實(shí)施原則解決方案是XX系統(tǒng)整體安全規(guī)劃的一部分，必須在統(tǒng)一領(lǐng)導(dǎo)下，統(tǒng)籌規(guī)劃，根據(jù)需要接入單位，逐步擴(kuò)大網(wǎng)絡(luò)覆蓋面，增強(qiáng)網(wǎng)絡(luò)功能。隨著網(wǎng)絡(luò)覆蓋面的擴(kuò)大及功能的增強(qiáng)，可以促進(jìn)網(wǎng)上應(yīng)用建設(shè)。網(wǎng)絡(luò)和應(yīng)用的建設(shè)相互推動(dòng)，促使專網(wǎng)建設(shè)成良性循環(huán)。堅(jiān)持安全第一原則XX系統(tǒng)的承載數(shù)據(jù)具有高度的機(jī)密性，通過(guò)公共網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，既要保證傳輸內(nèi)容不被竊聽、篡改，同時(shí)還要保證接入端的可信任，以及設(shè)備的抗攻擊性，從而保證XX系統(tǒng)的整體安全性和可靠性。堅(jiān)持實(shí)用性原則XX系統(tǒng)VPN系統(tǒng)的建設(shè)應(yīng)從透明性、友善性、有效性等幾個(gè)方面考慮實(shí)用性的設(shè)計(jì)。透明性是指安全機(jī)制的設(shè)置和運(yùn)行對(duì)于普通用戶應(yīng)盡量透明，使他感覺不到其存在。友善性是指對(duì)于包括安全管理中心在內(nèi)的所有需要進(jìn)行操作的人機(jī)界面應(yīng)做到安全、簡(jiǎn)捷、方便。有效性一方面是指安全機(jī)制的設(shè)置確實(shí)達(dá)到設(shè)計(jì)要求，另一方面是指增加安全機(jī)制以后新增加的系統(tǒng)開銷所帶來(lái)的性能下降要在應(yīng)用系統(tǒng)運(yùn)行所能承受的范圍之內(nèi)。簡(jiǎn)易性也是VPN建設(shè)需要考慮的一個(gè)關(guān)鍵因素，對(duì)于營(yíng)業(yè)網(wǎng)點(diǎn)或者移動(dòng)用戶，都必須提供最簡(jiǎn)單的VPN網(wǎng)絡(luò)接入方式，以保證VPN網(wǎng)絡(luò)的部署不會(huì)對(duì)正常的網(wǎng)絡(luò)應(yīng)用造成影響。堅(jiān)持技術(shù)與管理密切結(jié)合的原則任何安全系統(tǒng)的可靠運(yùn)行，必須有嚴(yán)格的管理，并把兩者密切結(jié)合起來(lái)。管理首先是管理人員，然后再通過(guò)被管理的人實(shí)現(xiàn)對(duì)VPN系統(tǒng)運(yùn)行的控制和管理。要有完備的規(guī)章制度和切實(shí)可行的操作規(guī)程來(lái)規(guī)范各類人員的操作。任何安全系統(tǒng)或者一個(gè)分系統(tǒng)都必須把人考慮在內(nèi)才是完備的。由于分支機(jī)構(gòu)缺少足夠的技術(shù)人員，因此VPN網(wǎng)絡(luò)管理應(yīng)該以區(qū)域集中管理為主要模式,因此VPN的建設(shè)必須提供足夠的技術(shù)支撐能力，以實(shí)現(xiàn)這種管理模式的需求。堅(jiān)持前瞻性原則設(shè)計(jì)網(wǎng)絡(luò)時(shí)即要考慮當(dāng)前需求，也要考慮未來(lái)的需求，即要考慮單一應(yīng)用需求也要考慮綜合應(yīng)用需求。目前政務(wù)信息主要是文字性的內(nèi)容，數(shù)據(jù)流量相對(duì)較小，隨著信息工作不斷推進(jìn)，將來(lái)勢(shì)必會(huì)增加圖片、音像、視頻等多媒體信息，數(shù)據(jù)量會(huì)大量增加，對(duì)網(wǎng)絡(luò)性能要求也會(huì)大大增加。另外我們也要考慮到其它的業(yè)務(wù)應(yīng)用，如：電視會(huì)議、其它業(yè)務(wù)系統(tǒng)等。其它應(yīng)用建設(shè)時(shí)涉及已經(jīng)聯(lián)網(wǎng)的可以不再單獨(dú)建設(shè)，基于以上原因網(wǎng)絡(luò)建設(shè)時(shí)盡量做到具有前瞻性，保證在設(shè)備生命周期內(nèi)能夠滿足業(yè)務(wù)需要。XX系統(tǒng)遠(yuǎn)程安全接入解決方案遠(yuǎn)程接入安全解決方案根據(jù)xx系統(tǒng)的需求，建議按照如下的組網(wǎng)圖進(jìn)行建設(shè)：此處請(qǐng)補(bǔ)充根據(jù)客戶實(shí)際組網(wǎng)做得方案建議圖,以下圖為例。服務(wù)器區(qū)WMSSecCenfervPNManaoer同時(shí)請(qǐng)根據(jù)具體用戶需求,刪除或增加下面的技術(shù)介紹章節(jié):大型分支接入VPNSecPath組網(wǎng)特點(diǎn)：/VPN內(nèi)部需要建立統(tǒng)一的OSPF路由域。/VPN內(nèi)部可以支持MPLS、IPX等非IP協(xié)議的網(wǎng)絡(luò)。部署要點(diǎn)/兩端的VPN網(wǎng)關(guān)的Loopback接口之間建立GRE隧道，然后符IPSec策略應(yīng)用到Wan接口上從而建立IPSec隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；/在GRE隧道接口上使能0SPF;方案特點(diǎn)/GRE的特點(diǎn)是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。如果企業(yè)網(wǎng)內(nèi)有IPX.MPLS等應(yīng)用，建議可以先借用GRE承載非IP協(xié)議，然后才能使用IPSec保護(hù)GRE報(bào)文。/GRE是基于路由的，而IPSec是基于策略。如果需要在企業(yè)網(wǎng)內(nèi)統(tǒng)一規(guī)劃路由方案，GREoverIPSec的方式邏輯就比較清晰。因?yàn)镮PSec的策略是針對(duì)GRE隧道的，而GRE隧道是基于路由的，所以整個(gè)VPN內(nèi)的路由是統(tǒng)一的。/對(duì)業(yè)務(wù)流量，諸如路由協(xié)議、語(yǔ)音、視頻等數(shù)據(jù)先進(jìn)行GRE封裝，然后再對(duì)封裝后的報(bào)文進(jìn)行IPSec的加密處理。/不必配置大量的靜態(tài)路由，配置簡(jiǎn)單。/GRE還支持由用戶選擇記錄Tunnel接口的識(shí)別關(guān)鍵字，和對(duì)封裝的報(bào)文進(jìn)行端到端校驗(yàn);/GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降；中小分支合作伙伴接入組網(wǎng)特點(diǎn)：/VPN客戶端設(shè)備相對(duì)來(lái)說(shuō)比較簡(jiǎn)單。部署要點(diǎn)/VPN客戶端可以使用動(dòng)態(tài)地址接入服務(wù)器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。同時(shí)，這樣也便于使用VPNManager的配置管理功能。方案特點(diǎn)/組網(wǎng)簡(jiǎn)單，易于部署;/由于IPSec不能承載路由協(xié)議，需要在分支結(jié)構(gòu)和園區(qū)網(wǎng)配置大量的靜態(tài)路由。/單純的IPSec封裝，對(duì)于帶寬資源消耗較小;5.1.3.移動(dòng)用戶接入方式組網(wǎng)特點(diǎn)組網(wǎng)特點(diǎn)：/移動(dòng)用戶靈活接入，安全認(rèn)證、數(shù)據(jù)保護(hù)。部署要點(diǎn),無(wú)須客戶端軟件/使用SSL完成用戶身份認(rèn)證和報(bào)文加密/認(rèn)證方式多樣，可包括本地認(rèn)證、Radius認(rèn)證、LDAP認(rèn)證、AD認(rèn)證、證書認(rèn)證、雙因素認(rèn)證/VPN服務(wù)器側(cè)可以考慮使用單臺(tái)設(shè)備，也可以考慮使用雙VPN服務(wù)器備份/接入方式靈活，各種接入方式都可支持方案特點(diǎn)/靈活、安全5.2.可靠性方案H3C遠(yuǎn)程安全接入高可靠性設(shè)計(jì)的核心理念就是增大網(wǎng)絡(luò)冗余性的同時(shí)做到負(fù)載分擔(dān)。衡量可靠性設(shè)計(jì)優(yōu)劣的標(biāo)準(zhǔn)就是網(wǎng)絡(luò)異常業(yè)務(wù)流量中斷時(shí)間?？煽啃栽O(shè)計(jì)重點(diǎn)體現(xiàn)在VPNServer的雙出口備份、雙機(jī)備份、負(fù)載分擔(dān)和異?？焖偾袚Q3個(gè)方面。5.2.1.雙出口備份對(duì)于遠(yuǎn)程安全接入，出現(xiàn)故障更多的時(shí)候在于運(yùn)營(yíng)商健路的不可靠。而對(duì)于運(yùn)營(yíng)商鏈路傳輸?shù)臓顩r，H3c的L3Monitor特性能夠做到實(shí)時(shí)的監(jiān)視，以保證VPN隧道的實(shí)時(shí)切換。Server/業(yè)務(wù)系統(tǒng)傳統(tǒng)的備份實(shí)現(xiàn)方式，通常依靠檢測(cè)接口的物理UP、Down變化消息或者網(wǎng)絡(luò)層協(xié)議UP、Down變化來(lái)觸發(fā)主備切換。L3Monitor自動(dòng)偵測(cè)特性利用ICMP的request/response報(bào)文，檢測(cè)目的地的可達(dá)性，檢測(cè)結(jié)果反饋到與之聯(lián)動(dòng)的備份功能模塊，觸發(fā)其主備切換，從而提供了基于網(wǎng)絡(luò)層應(yīng)用可達(dá)性的備份功能。L3Monitor的整個(gè)工作流程如下：(1)首先，用戶配置全局的L3Monitor自動(dòng)偵測(cè)組：包括被監(jiān)測(cè)的地址以及下一跳。另外還可以很靈活地定義一些偵測(cè)策略。比如：配置偵測(cè)組的偵測(cè)周期、配置一次偵測(cè)中的最大重試次數(shù)、配置一次偵測(cè)的超時(shí)時(shí)間。另外，同一個(gè)偵測(cè)組的多個(gè)被偵測(cè)對(duì)象之間的關(guān)系可以配置為“與”或者"或“。如果當(dāng)被偵測(cè)對(duì)象之間的關(guān)系為“與”時(shí)：有一個(gè)IP地址無(wú)法Ping通即認(rèn)為該偵測(cè)組不可達(dá)，并不再偵測(cè)其余的地址；當(dāng)偵測(cè)對(duì)象之間的關(guān)系為“或”時(shí)：有一個(gè)IP地址ping通即認(rèn)為該偵測(cè)組可達(dá)，并不再偵測(cè)其余的地址；(2)當(dāng)某個(gè)備份功能希望使用該自動(dòng)偵測(cè)組時(shí)，就通過(guò)命令與該自動(dòng)偵測(cè)組關(guān)聯(lián)；(3)自動(dòng)偵測(cè)組在后臺(tái)不斷向被偵測(cè)對(duì)象發(fā)送ICMP探測(cè)報(bào)文，按照之前定義的偵測(cè)策略,如偵測(cè)次數(shù)、超時(shí)時(shí)間等等來(lái)判斷當(dāng)前被偵測(cè)對(duì)象是否可達(dá)；(4)自動(dòng)偵測(cè)組在每次偵測(cè)結(jié)束時(shí)，向與之關(guān)聯(lián)的備份模塊發(fā)送消息通知自己這一輪檢測(cè)的結(jié)果，這些模塊，比如路由備份、接口備份或者VRRP就會(huì)根據(jù)Auto-detect發(fā)送過(guò)來(lái)的目的地可達(dá)性消息決定是否進(jìn)行主備切換。5.2.2.雙機(jī)備份雙機(jī)備份是通過(guò)VRRP實(shí)現(xiàn)的。VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種容錯(cuò)協(xié)議。通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由(如下圖所示，),這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過(guò)缺省路由發(fā)往路由器RouterA,從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時(shí)，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。局域網(wǎng)組網(wǎng)方案VRRP就是為解決上述問(wèn)題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計(jì)。我們結(jié)合下圖來(lái)看一下VRRP的實(shí)現(xiàn)原理。VRRP將局域網(wǎng)的一組路由器（包括一個(gè)Master即活動(dòng)路由器和若干個(gè)Backup即備份路由器）組織成一個(gè)虛擬路由器，稱之為一個(gè)備份組。Etheme( LAN1Hostl Host2Host3VRRP組網(wǎng)示意圖這個(gè)虛擬的路由器擁有自己的IP地址（這個(gè)IP地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同），備份組內(nèi)的路由器也有自己的IP地址（如Master的IP地址為100.10.2,Backup的IP地址為)。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址,而并不知道具體的Master路由器的IP地址以及Backup路由器的IP地址,它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.lo于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過(guò)這個(gè)虛擬的路由器來(lái)與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的Master路由器壞掉，Backup路由器相會(huì)通過(guò)選舉策略選出一個(gè)新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。5.2.3快速切換網(wǎng)絡(luò)異常的情況有很多種。如果不考慮運(yùn)營(yíng)商的網(wǎng)絡(luò)異常，VPN的異常主要有兩大類：第一類是網(wǎng)關(guān)異常，包括網(wǎng)關(guān)癱瘓、重啟等等；第二類是網(wǎng)關(guān)鏈路異常。在網(wǎng)絡(luò)出現(xiàn)異常時(shí),如何保證業(yè)務(wù)流量能夠盡快恢復(fù)？網(wǎng)關(guān)快速切換，這一切換由L3Monitor發(fā)現(xiàn)，VRRP實(shí)現(xiàn)。當(dāng)主網(wǎng)關(guān)或其鏈路出現(xiàn)異常時(shí)，L3Monitor能夠保證在廣2秒內(nèi)發(fā)現(xiàn)，通過(guò)VRRP3~4秒內(nèi)完成主備網(wǎng)關(guān)的切換。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外的流量能同時(shí)切換到新的網(wǎng)關(guān)上，需要在網(wǎng)關(guān)內(nèi)外都設(shè)置VRRP組，并將這一對(duì)VRRP組關(guān)聯(lián)起來(lái)。一旦其中一個(gè)VRRP組發(fā)生切換，另一個(gè)方向的VRRP能發(fā)起同步切換。IPSec隧道快速切換，這一切換由IPSecDPD實(shí)現(xiàn)。IPSecDPD(IPSecDeadPeerDetectionon-demand)為按需型IPSec/IKE安全隧道對(duì)端狀態(tài)探測(cè)功能。啟動(dòng)DPD功能后，當(dāng)接收端長(zhǎng)時(shí)間收不到對(duì)端的報(bào)文時(shí)，能夠觸發(fā)DPD查詢，主動(dòng)向?qū)Χ税l(fā)送請(qǐng)求報(bào)文，對(duì)IKEPeer是否存在進(jìn)行檢測(cè)。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測(cè)及時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。IPSecDPD(IPSecDeadPeerDetectionon-demand)為按需型IPSec/IKE安全隧道對(duì)端狀態(tài)探測(cè)功能。啟動(dòng)DPD功能后，當(dāng)接收端長(zhǎng)時(shí)間收不到對(duì)端的報(bào)文時(shí)，能夠觸發(fā)DPD查詢，主動(dòng)向?qū)Χ税l(fā)送請(qǐng)求報(bào)文，對(duì)IKEPeer是否存在進(jìn)行檢測(cè)。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測(cè)及時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。在路由器與VRRP備份組的虛地址之間建立1SAKMPSA的應(yīng)用方案中，DPD功能保證了VRRP備份組中主備切換時(shí)安全隧道能夠迅速自動(dòng)恢復(fù)。解決了VRRP備份組主備切換使安全隧道通信中斷的問(wèn)題，擴(kuò)展了IPSec的應(yīng)用范圍，提高了IPSec協(xié)議的健壯性。數(shù)據(jù)結(jié)構(gòu)DPD數(shù)據(jù)結(jié)構(gòu)(簡(jiǎn)稱為DPD結(jié)構(gòu))用于配置DPD查詢參數(shù)，包括DPD查詢時(shí)間間隔及等待DPD應(yīng)答報(bào)文超時(shí)時(shí)間間隔。該數(shù)據(jù)結(jié)構(gòu)可以被多個(gè)IKEPeer引用，這樣用戶不必針對(duì)接口一一進(jìn)行重復(fù)配置。定時(shí)器IPSecDPD在發(fā)送和接收DPD報(bào)文中使用了兩個(gè)定時(shí)器：intervaltime和ervaltime:觸發(fā)DPD查詢的間隔時(shí)間，該時(shí)間指明隔多久沒(méi)有收到對(duì)端IPSec報(bào)文時(shí)觸發(fā)DPD查詢。timeout:等待DPD應(yīng)答報(bào)文超時(shí)時(shí)間。運(yùn)行機(jī)制發(fā)送端：當(dāng)啟動(dòng)了DPD功能以后，如在intervaltime定時(shí)器指定的時(shí)間間隔內(nèi)沒(méi)有收到對(duì)端的IPSec報(bào)文，且本端欲向?qū)Χ税l(fā)送IPSec報(bào)文時(shí)，DPD向?qū)Χ税l(fā)送DPD請(qǐng)求，并等待應(yīng)答報(bào)文。如果超過(guò)timeout定時(shí)器設(shè)定的超時(shí)時(shí)間仍然未收到正確的應(yīng)答報(bào)文，DPD記錄失敗事件1次。當(dāng)失敗事件達(dá)到3次時(shí)，刪除ISAKMPSA和相應(yīng)的IPSecSAO對(duì)于路由器與VRRP備份組虛地址之間建立的IPSecSA,連續(xù)3次失敗后，安全隧道同樣會(huì)被刪除，但是當(dāng)有符合安全策略的報(bào)文重新觸發(fā)安全聯(lián)盟協(xié)商時(shí)，會(huì)重新建立起安全隧道。切換時(shí)間的長(zhǎng)短與timeout定時(shí)器的設(shè)置有關(guān)，定時(shí)器設(shè)定的超時(shí)時(shí)間越短，通信中斷時(shí)間越短（注意：超時(shí)時(shí)間過(guò)短會(huì)增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。接收端：收到請(qǐng)求報(bào)文后，發(fā)送響應(yīng)報(bào)文。5.3.VPN管理系統(tǒng)IPSecVPN的命令行配置非常復(fù)雜，需要大量的培訓(xùn)工作，同時(shí)日常的維護(hù)管理工作也極為繁重。IPSecVPNManager的VSM和VDM模塊主要應(yīng)用于IPSec主模式，可以實(shí)現(xiàn)VPN的簡(jiǎn)化配置，也可以有效的完成對(duì)網(wǎng)路的VPN狀態(tài)的監(jiān)控，提供圖形化的管理界面，簡(jiǎn)化配置管理，同時(shí)便于實(shí)時(shí)監(jiān)控VPN狀態(tài)；5.3.1.輕松部署安全網(wǎng)絡(luò)QuidviewIPSecVPN軟件提供配置向?qū)Чδ埽笇?dǎo)用戶構(gòu)建VPN網(wǎng)絡(luò).不必通過(guò)復(fù)雜的手工執(zhí)行命令行來(lái)部署IPSecVPN網(wǎng)絡(luò)，減輕了部署難度.也降低了維護(hù)成本，即使初次使用該軟件的用戶，也能根據(jù)配置向?qū)?，成功?chuàng)建一個(gè)IPSecVPN網(wǎng)絡(luò)。配置向?qū)蛴脩籼峁┝舜罅砍Ｓ玫娜笔∨渲茫瑤椭跫?jí)用戶快速配置IPSecVPN業(yè)務(wù)。同時(shí)，提供了預(yù)定義配置參數(shù)功能，方便高級(jí)用戶設(shè)置高級(jí)選項(xiàng)，重用配置信息。為了避免在設(shè)備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設(shè)備上不需要的冗余的配置。為了減少配置操作，IPSecVPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域?yàn)榕渲脝挝唬瑢?duì)網(wǎng)絡(luò)域的配置會(huì)自動(dòng)賦予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對(duì)網(wǎng)絡(luò)域內(nèi)所有設(shè)備進(jìn)行相同配置部署。同時(shí)用戶也可指定某個(gè)設(shè)備的特殊配置，方便用戶操作。

IPSecVPNManager配置界面5.3.2.直觀展示VPN拓?fù)銺uidviewIPSecVPN軟件能夠自動(dòng)發(fā)現(xiàn)和構(gòu)建VPN拓?fù)?，用戶在拓?fù)渖峡梢灾庇^查看VPN通道狀態(tài)、通道流量情況、VPN設(shè)備的運(yùn)行情況等。

M?MM*atmrri??v>^vmr^r?10&ca|Dasoooe口&■■?*??z，“H6a?MFMiooarnuimoei? 2，*”?*M*R0crc〃g■“卬”岬?M?MM*atmrri??v>^vmr^r?10&ca|Dasoooe口&■■?*??z，“H6a?MFMiooarnuimoei? 2，*”?*M*R0crc〃g■“卬”岬?JFSB2C”9*>—》》M，#?***?■■0????UMK，jM.3*.-1**1.i?*m?―逢，~iRBonjkiuftt?MK?12tJ9)■?a?v*vXAC?o<9OOOOOOIPSecVPNManager顯示拓?fù)?.3.全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSecVPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對(duì)VPN網(wǎng)絡(luò)中的各項(xiàng)重要性能指標(biāo)進(jìn)行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運(yùn)行狀態(tài)。支持對(duì)IPSecVPN設(shè)備CPU利用率等關(guān)鍵指標(biāo)的監(jiān)視；支持對(duì)IPSec、IKE隧道的監(jiān)視；支持對(duì)協(xié)商過(guò)程的監(jiān)視；提供折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據(jù)顯示給用戶；支持TopN功能，使用戶能夠?qū)﹃P(guān)鍵設(shè)備指標(biāo)一目了然；提供報(bào)表導(dǎo)出和基于歷史數(shù)據(jù)的分析，為用戶網(wǎng)絡(luò)擴(kuò)容、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障;

支持對(duì)用戶關(guān)心的性能參數(shù)設(shè)定闞值，當(dāng)超過(guò)闞值后,系統(tǒng)將會(huì)發(fā)送性能告警，使網(wǎng)絡(luò)管理人員及時(shí)發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的隱患。IPSecVPNManager監(jiān)控網(wǎng)絡(luò)5.3.4.快速定位網(wǎng)絡(luò)故障利用QuidviewIPSecVPN軟件的故障管理模塊可以實(shí)時(shí)接收IPSecVPN設(shè)備的告警，并利用該模塊提供的豐富的過(guò)濾功能定位關(guān)鍵的告警數(shù)據(jù)?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障管理模塊能夠與QuidviewIPSecVPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障。當(dāng)QuidviewIPSecVPN性能監(jiān)視模塊進(jìn)行VPN設(shè)備閾值監(jiān)控時(shí)，如果發(fā)現(xiàn)閾值超過(guò)指標(biāo)會(huì)

向故障模塊發(fā)送告警，故障模塊會(huì)迅速做出反應(yīng)，以聲光告警、Email、短信等方式及時(shí)通知到管理人員。同時(shí)，VPN拓?fù)鋱D將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。圖1IPSecVPNManager定位故障4.