XXVPN企業(yè)解決方案

XXVPN企業(yè)解決方案1.方案背景概述BYOD要求員工無論在什么地方、采用什么樣的終端，在安全的身份驗證及嚴格的權(quán)限控制下都能夠安全地訪問到業(yè)務數(shù)據(jù)。經(jīng)過前期的安全建設，已具備了一定程度的安全防護措施。目前主要實現(xiàn)的網(wǎng)絡出口安全保障主是在邊界網(wǎng)絡出口通過部署遠程訪問接入IPSecVPN一系列傳統(tǒng)的VPN系統(tǒng)，保障企業(yè)內(nèi)資源的遠程安全訪問，保障員工和專家在企業(yè)外部能夠安全便捷的訪問企業(yè)內(nèi)1.1.3傳統(tǒng)VPN存在的缺陷但隨著用戶網(wǎng)絡規(guī)模越來越大，上千個網(wǎng)絡節(jié)點已經(jīng)稀疏平常，企業(yè)數(shù)據(jù)遷移至云環(huán)境帶來的數(shù)據(jù)傳輸安全保密性需求，同時用戶業(yè)務對網(wǎng)絡質(zhì)量的要求也越來越高，導致網(wǎng)絡維護人員的壓力倍增，而傳統(tǒng)VPN網(wǎng)絡的復雜維護就是其中壓力之一。?IPSecVPN設備配置命令多，參數(shù)專業(yè)性強，參數(shù)之間的關(guān)系復雜，如何快速完成業(yè)務規(guī)劃部署？?如何能夠監(jiān)控用戶租用VPN的性能??如何快速定位IPSecVPN設備的故障？其次，企業(yè)園區(qū)內(nèi)網(wǎng)對網(wǎng)絡可靠性、安全性需求較高，各種不同的業(yè)務系統(tǒng)依賴于穩(wěn)定的網(wǎng)絡，出口設備承擔的負擔較重，發(fā)生設備宕機將會造成業(yè)務中斷。使對組網(wǎng)通信安全保障提出更高的要求。1.2.1前端安全需求對于前端的VPN接入需求進行加密措施，有效防止違規(guī)接入；（1）網(wǎng)絡配置復雜，設備上線對技術(shù)水平要求較高；（3）部分業(yè)務近乎苛刻的網(wǎng)絡連續(xù)性需求無法滿足；（4）多鏈路出口無法智能選路、冗余備份；1.2.3鏈路穩(wěn)定性不足基于傳統(tǒng)VPN組網(wǎng)對鏈路穩(wěn)定性不足，網(wǎng)絡環(huán)境中突發(fā)路由問題，會導致通信中斷或1.3方案解決思路2）獨立性是以SSL為基礎的VPN技術(shù)，充分利用了SSL協(xié)議提供的基于數(shù)字證書的身份認證、數(shù)據(jù)加密和消息完整性驗證機制，能夠為應用層之間的通信建立安全連接。SSLVPN可以為企業(yè)或機構(gòu)提供安全、快捷的遠程網(wǎng)絡接入服務，并適合移動接入。企業(yè)員工可以使用移動客戶端在任意能夠訪問互聯(lián)網(wǎng)的位置安全地接入到企業(yè)內(nèi)部網(wǎng)絡，訪2.總體設計2.1總計設計理念通過對準入認證、網(wǎng)絡授權(quán)、用戶管理；終端管理、數(shù)據(jù)安全、應用管理、內(nèi)容管理2.2建設目標輸平臺，具體能夠?qū)崿F(xiàn)以下目標：可實現(xiàn)“企業(yè)總部-分公司-分支機構(gòu)”及各分公司、分支機構(gòu)之間的安全互連，為內(nèi)部應用系統(tǒng)的運行提供互連互通、安全可控、自主管理的網(wǎng)絡平臺。能夠根據(jù)用戶的需要有選擇地對需要的業(yè)務數(shù)據(jù)進行加密，不需要加密的數(shù)據(jù)和3）網(wǎng)絡安全性安全周邊安全：VPN安全網(wǎng)關(guān)融合了VPN、路由、上網(wǎng)行為管理、防火墻等功能，可對外來及內(nèi)部攻擊進行主動防御，更能保證整個網(wǎng)絡平臺的安全及每個局域網(wǎng)內(nèi)部的安全。VPN安全網(wǎng)關(guān)其內(nèi)置防火墻其抗攻擊能力優(yōu)異。信息傳輸安全：通過建立VPN加密隧道、采用有別于光纖及DDN專線所采用之傳統(tǒng)明文4）系統(tǒng)擴展和變更的靈活性系統(tǒng)VPN網(wǎng)絡的擴展非常容易，同時又不會帶來安全隱患。5）網(wǎng)絡通訊效率此次網(wǎng)絡建設所選用的設備具有很高的加密速率，不會影響網(wǎng)絡的通訊效率。為各種6）高性價比能價格比和投資回報率。2.3設計原則在考慮技術(shù)先進性和開放性的同時，還應從系統(tǒng)結(jié)構(gòu)，技術(shù)措施，系統(tǒng)管理等方面入2)先進性對所需的各類安全產(chǎn)品提出了很高的要求，須采用先進成熟的技術(shù)和設備及服務手段，能反映當今信息安全領(lǐng)域的先進技術(shù)和理念,滿足國內(nèi)信息系統(tǒng)安全隱患發(fā)現(xiàn)的能力，使整個系統(tǒng)在一段時期內(nèi)能夠保持技術(shù)的先進性。系統(tǒng)在設計上一方面將滿足雙向的數(shù)據(jù)傳送、實時處理的要求；另一方面，又采用國際上最先進的技術(shù)，使系統(tǒng)完成后，保持一定時期的領(lǐng)先地位。實用性原則既要做到先進技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性以高度安全性為基本原則，有效地防止網(wǎng)絡的非法侵入和信息的泄露，保護關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。系統(tǒng)建設應該是統(tǒng)一規(guī)劃、分步實施、逐步完善的的過程。我企業(yè)在該方案的設計中充分考慮它的可擴展性，使系統(tǒng)能夠方便的擴展。6）可推廣性原則該方案具有很強的推廣性，可根據(jù)實際情況逐步擴展網(wǎng)點數(shù)量。7）易管理性原則網(wǎng)絡系統(tǒng)的管理和維護工作也是至關(guān)重要的。在系統(tǒng)設計時既要充分考慮平臺的易管理性，為平臺維護者提供方便的管理工具；同時又要設計規(guī)范但不失靈活的工作流程。2.4設計依據(jù)與標準本項目主要依據(jù)標準和規(guī)范如下：1)《中華人民共和國網(wǎng)絡安全法》2)《信息安全等級保護管理辦法》（公通字[2007]43號）3)GB/T22239.1《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求第1部分安全通用要求》4)GB/T22239.2《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求第2部分云計算安全擴展要5)GB/T25070-2010《信息安全技術(shù)信息系統(tǒng)等級保護安全設計技術(shù)要求》6)GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》7)GB/T20984-2007《信息安全技術(shù)信息安全風險評估規(guī)范》8)ISO/IEC27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系-要求》3.技術(shù)方案3.1.1主機安全狀態(tài)檢查可以對操作系統(tǒng)、瀏覽器、殺毒軟件的類型、版本、補丁進行檢查。用戶證書檢查。指3.1.2接入方式免客戶端3.1.3支持多種加密算法支持RSA數(shù)字簽名算法。支持MD5、SHA1摘要算法。支持RC4、DES、3DES、AES等加密3.1.4支持多種認證方式3.1.5擁有網(wǎng)絡安全防火墻功能3.1.6擁有網(wǎng)絡安全內(nèi)容過濾功能支持郵件過濾、網(wǎng)頁過濾、應用層過濾。3.1.7安全日志及統(tǒng)計用戶行為流日志、攻擊實時日志、郵件告警功能。3.2技術(shù)實現(xiàn)方案3.2.1SSLVPN技術(shù)和消息完整性驗證機制，能夠為應用層之間的通信建立安全連接。SSLVPN可以為企業(yè)或機構(gòu)提供安全、快捷的遠程網(wǎng)絡接入服務，并適合移動接入。企IPsec是一種三層隧道加密協(xié)議，它通過在特定通信方之間（例如兩個安全網(wǎng)關(guān)之間）持認證及加密機制，認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及防數(shù)據(jù)在傳輸過程中被竊聽。3.2.3VPN集中管理機制一直困擾IPSecVPN網(wǎng)絡管理的難題在于通過NAT進行IP地址轉(zhuǎn)換或動態(tài)分址的Spoke設備無法通過SNMP、Telnet等傳統(tǒng)網(wǎng)絡管理方式進行管理。組建IPSecVPN網(wǎng)擬IPSec隧道，并將配置下發(fā)到iMCBIMS。Spoke設備上線后，iMCBIMS通過TR069協(xié)議的批量資源管理、隧道管理、性能管理、拓撲管理等能力。根據(jù)應用進行區(qū)分等問題，采用智能VPN技術(shù)。法和鏈路質(zhì)量探測技術(shù)，將業(yè)務流量自動切換到其他隧道B，待隧道A恢復后，流量可自動發(fā)，確保流暢上網(wǎng)3.2.5采用ADVPN技術(shù)ADVPN可以看成是GRE+IPSec隧道的改進升級，和GRE隧道類似，在節(jié)點上有對應的加入和退出，而且各個節(jié)點的地址可能是動態(tài)變化的，所以不能在本地配置所有對端節(jié)點的公網(wǎng)地址。因此增加了VAMServer這個角色，所有的節(jié)點將自己的公網(wǎng)地址和tunn的私網(wǎng)地址向VAMServer進行注冊。VAMServer負責維護各個節(jié)點的信息。發(fā)起查詢，通過對端的私網(wǎng)地址去查詢對端的公網(wǎng)地址，然后發(fā)起隧道的建立過程。護的復雜性。其次，保證網(wǎng)絡安全性，報文要加密傳輸，防止非法分支接入。除此之外還具有良好的適應性，支持固定、動態(tài)地址接入。可以有效彌補點到點隧道IPSec，配置多點傳輸很麻煩，維護性差等不足。3.2.6設備虛擬化技術(shù)XXSSLVPN支持2級虛擬化技術(shù)應對不同的場景需求。針對僅需要支持對外訪問及業(yè)分業(yè)務進行實例化，實現(xiàn)不同訪問域之間的配置獨立，在訪問管理上通過不同的訪問域名、下拉域名列表、訪問IP滿足用戶訪問入口的隔離，在轉(zhuǎn)發(fā)管理上，通過VRF多實例實現(xiàn)不同時XXSSLVPN基于XX最新一代ComwareV7操作系統(tǒng)，支持完備的虛擬化技術(shù)Devicecontext，通過操作系統(tǒng)級別的虛擬化，可以實現(xiàn)在管理、轉(zhuǎn)發(fā)上的完全隔離，對外完全呈現(xiàn)為獨立的SSLVPN網(wǎng)關(guān),這種完全虛擬化技術(shù)適用于多租戶業(yè)務模型，不同租戶員可以給每一個租戶對應的設備分配獨立的安全能力。每一個租戶管理員也可以在本租戶的Devicecontext內(nèi)進一步地創(chuàng)建SSLVPNContext從而實現(xiàn)兩級虛擬化，滿足更靈活的業(yè)務需求。同時管理員可以靈活分配每個context/sslvpncontext支持的用戶數(shù)。3.3方案技術(shù)優(yōu)勢支持SSLVPN、IPsec、L2TP三種VPN技術(shù)，其中SSLVPN較適用于主機到網(wǎng)絡的連L2TPoverIPsec，可以使撥號網(wǎng)絡的數(shù)據(jù)傳輸更加安全。因此客戶可以通過靈活組合各種技術(shù)，來滿足不同的需求場景。支持VPN接入和AAA相結(jié)合，既可以采用本地認證本地授權(quán)的方式，也可以采用遠程認證授權(quán)的方式，支持和AAA服務器使用Radius協(xié)議交互。因此客戶可以根據(jù)需求場景來選擇不同的認證方式，使VPN接入用戶的身份認證更加靈活可靠。支持VPN數(shù)據(jù)傳輸和QoS相結(jié)合，通過修改報文的DSCP優(yōu)先級、擁塞管理或者流量整形等方式，達到合理分配帶寬、保障優(yōu)先業(yè)務、提升服務質(zhì)量的目的，使VPN的數(shù)據(jù)傳輸可以高效利用有限的網(wǎng)絡帶寬。更加方便、高效的局域網(wǎng)移動辦公需求。4.1實施、部署方案VPN統(tǒng)一管理方案組網(wǎng)圖部署如圖所示，核心交換機上旁掛一臺SSLVPN網(wǎng)關(guān)，提供移動辦公用戶SSL安全接入.BYOD部署EMO，識別終端類型，對終端進行安全管控.EMO提供應用推送功能：央視會將自己開發(fā)的測試app推送到員工的終端上.EMO提供遠程擦除功能：如果員工的終端丟失，將信息反饋給網(wǎng)絡管理員，網(wǎng)絡管理員對注冊的終端進行安全擦除.5方案價值受益行企業(yè)數(shù)據(jù)經(jīng)VPN隧道加密傳輸，有效保障數(shù)據(jù)傳輸?shù)陌踩?.辦公效率提升：任何時間地點，碎片時間快速響應，員工滿意度提高。3.IT管理能力的提高：跨平臺、設備、網(wǎng)絡統(tǒng)一關(guān)系，領(lǐng)