GB-T 25068.5-2010信息技術(shù) 安全技術(shù) IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)

信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)Part5:Securingcommunicationsacrossnetworksusingvirtualprivatenetworks2010-09-02發(fā)布中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布前言 I 1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 3 3 3 45.4安全方面 6VPN安全目標(biāo) 7VPN安全要求 7.1保密性 7.2完整性 7.3鑒別 7.4授權(quán) 7.5可用性 7.6隧道端點(diǎn) 8.1法規(guī)和法律方面 8.2VPN管理方面 78.3VPN體系結(jié)構(gòu)方面 9安全VPN實(shí)施指南 9.1VPN管理考量 9 附錄A(資料性附錄)實(shí)現(xiàn)VPN所使用的技術(shù)和協(xié)議 A.2第2層VPN A.3第3層VPN A.5典型VPN協(xié)議安全特點(diǎn)比較 參考文獻(xiàn) I——第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)。本部分為GB/T25068的第5部分?！?章中增加了引用文件GB/T17901.1;——原文第4章的縮略語NAS對(duì)應(yīng)的全稱中“AreaStrong”和NCP對(duì)應(yīng)的全稱中“Point-to-更正為“NetworkControlProto本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)提出并歸口。Ⅱ通信和信息技術(shù)業(yè)界一直在尋找經(jīng)濟(jì)有效的全面安全解決方案。安全的網(wǎng)絡(luò)應(yīng)受到保護(hù)，免遭惡可靠性的要求。保護(hù)網(wǎng)絡(luò)安全對(duì)于適當(dāng)維護(hù)計(jì)費(fèi)或使用信息的準(zhǔn)確性也是必要的。產(chǎn)品的安全保護(hù)能力對(duì)于全網(wǎng)的安全(包括應(yīng)用和服務(wù))是至關(guān)重要的。然而，當(dāng)更多的產(chǎn)品被組合起來以提供整體解決須以促進(jìn)全面的端到端安全解決方案中各種安全能力交合的方式來開發(fā)。因此，GB/T25068的目的是為IT網(wǎng)絡(luò)的管理、操作和使用及其互連等安全方面提供詳細(xì)指南。組織中負(fù)責(zé)一般IT安全和特定IT網(wǎng)絡(luò)安全的人員應(yīng)能夠調(diào)整GB/T25068中的材料以滿足他們的特定要求。GB/T25068的主要目——GB/T25068.1定義和描述網(wǎng)絡(luò)安全的相關(guān)概念，并提供網(wǎng)絡(luò)安全管理指南——包括考慮如何識(shí)別和分析與通信相關(guān)的因素以確立網(wǎng)絡(luò)安全要求，還介紹可能的控制領(lǐng)域和特定的技術(shù)領(lǐng)域(在GB/T25068的后續(xù)部分中涉及);——GB/T25068.3定義使用安全網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)間信息流安全的技術(shù)；——GB/T25068.4定義保護(hù)遠(yuǎn)程接入安全的技術(shù)；——GB/T25068.5定義對(duì)使用虛擬專用網(wǎng)(VPN)建立的網(wǎng)絡(luò)間連接進(jìn)行安全保護(hù)的技術(shù)。GB/T25068.1與涉及擁有、操作或使用網(wǎng)絡(luò)的所有人員相關(guān)。除了對(duì)信息安全(IS)和/或網(wǎng)絡(luò)安全及網(wǎng)絡(luò)操作負(fù)有特定責(zé)任的，或?qū)M織的全面安全規(guī)劃和安全策略開發(fā)負(fù)有責(zé)任的管理者和管理員GB/T25068.2與涉及規(guī)劃、設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全體系結(jié)構(gòu)方面的所有人員(例如IT網(wǎng)絡(luò)管理者、GB/T25068.3與涉及詳細(xì)規(guī)劃、設(shè)計(jì)和實(shí)施安全網(wǎng)關(guān)的所有人員(例如IT網(wǎng)絡(luò)管理者、管理員、工程師和IT網(wǎng)絡(luò)安全主管)相關(guān)。1信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)GB/T25068的本部分規(guī)定了使用虛擬專用網(wǎng)(VPN)連接到互聯(lián)網(wǎng)絡(luò)以及將遠(yuǎn)程用戶連接到網(wǎng)絡(luò)上的安全指南。它是根據(jù)ISO/IEC18028-1中的網(wǎng)絡(luò)管理導(dǎo)則而構(gòu)建的。本部分適用于在使用VPN時(shí)負(fù)責(zé)選擇和實(shí)施提供網(wǎng)絡(luò)安全所必需的技術(shù)控制的人員，以及負(fù)責(zé)隨后的VPN安全的網(wǎng)絡(luò)監(jiān)控人員。擇、實(shí)施以及VPN安全的網(wǎng)絡(luò)監(jiān)控的指南。它也提供有關(guān)VPN所使用的典型技術(shù)和協(xié)議的信息。2規(guī)范性引用文件下列文件中的條款通過GB/T25068的本部分的引用而成為本部分的條款。凡是注日期的引用文協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本GB/T9387(所有部分)信息技術(shù)開放系統(tǒng)互連基本參考模型(ISO/IEC7498,IDT)GB/T17901.1—1999信息技術(shù)安全技術(shù)密鑰管理第1部分：框架(ISO/IEC11770-1:GB/T19715.1信息技術(shù)安全技術(shù)信息安全管理指南第1部分：信息技術(shù)安全概念和模型GB/T22081—2008信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則(ISO/IEC27002:2005,IDT)GB/T25068.3信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全GB/T25068.4信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第4部分：遠(yuǎn)程接人的安全保護(hù)ISO/IEC18028-1:2006信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第1部分：網(wǎng)絡(luò)安全管理ISO/IEC18028-2:2006信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第2部分：網(wǎng)絡(luò)安全體系結(jié)構(gòu)3術(shù)語和定義GB/T9387(所有部分)、GB/T19715.1和ISO/IEC18028-1確立的以及下列術(shù)語和定義適用于GB/T25068的本部分。第2層交換技術(shù)layer2switching使用內(nèi)部交換機(jī)制并利用第2層協(xié)議在設(shè)備之間創(chuàng)建和控制連接的技術(shù)。注：它通常對(duì)于上層協(xié)議模擬局域網(wǎng)環(huán)境。2第2層VPNlayer2VPN在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上提供模擬局域網(wǎng)環(huán)境的虛擬專用網(wǎng)。第3層交換技術(shù)layer3switching使用內(nèi)部交換機(jī)制并與標(biāo)準(zhǔn)路由機(jī)制相結(jié)合或使用MPLS技術(shù)以建立和控制網(wǎng)絡(luò)之間連接的技術(shù)。第3層VPNlayer3VPN在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上提供模擬廣域網(wǎng)環(huán)境的虛擬專用網(wǎng)。只限于授權(quán)組成員使用：在VPN環(huán)境中，它指VPN連接中的通信流。受到訪問控制的網(wǎng)絡(luò)，只限于得到授權(quán)的組成員使用。通過傳輸包裝在一個(gè)協(xié)議內(nèi)的協(xié)議數(shù)據(jù)單元而將一個(gè)數(shù)據(jù)流封裝在另一數(shù)據(jù)流之內(nèi)。使用諸如X.25、ATM或幀中繼等包或信元交換技術(shù)而建立的網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)通道。ACL訪問控制列表(AccessControlLists)AH鑒別頭(AuthenticatioATM異步傳輸模式(AsynchronousTransferMode)ESP封裝安全載荷(EncapsulatedSecurityPayload)IDS入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)IKE互聯(lián)網(wǎng)密鑰交換(InternetKeyExchange)IPX互聯(lián)網(wǎng)絡(luò)包交換(InternetworkPacketExchange)ISAKMP互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(InternetSecurityAssociationandKeyIT信息技術(shù)(InformationTechnology)L2F第2層轉(zhuǎn)發(fā)(協(xié)議)[Layer2Forwarding(Protocol)]L2TP第2層隧道協(xié)議(Layer2TunnelingProtocol)LAN局域網(wǎng)(LocalAreaNetwork)LDP標(biāo)簽分發(fā)協(xié)議(LabelDistributionProtocol)MPLS多協(xié)議標(biāo)記交換(Multi-ProtocolLabelSwitching)3NAS網(wǎng)絡(luò)訪問服務(wù)器(NetworkAccessServer)NCP網(wǎng)絡(luò)控制協(xié)議(NetworkControlProtocol)PPP點(diǎn)對(duì)點(diǎn)協(xié)議(Point-to-PointProtocol)PPTP點(diǎn)對(duì)點(diǎn)隧道協(xié)議(Point-to-PointTunnelingProtocol)SSL安全套接層協(xié)議(SecureSocketsLayer)VPLS虛擬專用LAN服務(wù)(VirtualPrivateLANService)VPN虛擬專用網(wǎng)(VirtualPrivateNetwork)VPWS虛擬專用線路服務(wù)(VirtualPrivateWireService)WAN廣域網(wǎng)(WideAreaNetwork)作為一種網(wǎng)絡(luò)互連方式和一種將遠(yuǎn)程用戶連接到網(wǎng)絡(luò)的方法，VPN一直在快速發(fā)展。VPN是一種能實(shí)現(xiàn)ISO/IEC18028-2中所描述的通信流安全維技術(shù)的實(shí)例。其安全作為服務(wù)安全層(參見ISO/IEC18028-2中的定義)的一部分來考慮。目前存在著范圍較廣的VPN定義。按照其最簡(jiǎn)單的定義，VPN提供一種在現(xiàn)有網(wǎng)絡(luò)或點(diǎn)對(duì)點(diǎn)連接上建立一至多條安全數(shù)據(jù)信道的機(jī)制。它只分配給受限的用戶組獨(dú)占使用，并能在需要時(shí)動(dòng)態(tài)地建立和撤銷。主機(jī)網(wǎng)絡(luò)可為專用的或公共的。VPN的示例表示如圖1所示。它具有一條跨越不安全的公共網(wǎng)來連接兩個(gè)端點(diǎn)的安全數(shù)據(jù)信道。攻擊者1攻擊者1a用戶和中心系統(tǒng)之間的VPN公共IT網(wǎng)中心系統(tǒng)攻擊者2用戶使用VPN的遠(yuǎn)程接入是在普通的點(diǎn)對(duì)點(diǎn)連接之上實(shí)現(xiàn)的。宜按照GB/T25068.4的規(guī)定，首先在本地用戶和遠(yuǎn)程位置之間建立連接。該連接可采用有線或無線網(wǎng)絡(luò)技術(shù)的方式。一些VPN作為一種管理服務(wù)來提供。在這種VPN中，安全可靠的連通性、管理和尋址功能(與專用網(wǎng)上的相同)是在共享的基礎(chǔ)設(shè)施上提供的。因此，可能需要考慮本部分所指明的附加安全控制來增穿越VPN的數(shù)據(jù)和代碼宜只限于使用VPN的組織，且宜與下層網(wǎng)絡(luò)的其他用戶保持分離。屬于其他用戶的數(shù)據(jù)和代碼不宜有訪問同一VPN信道的可能。當(dāng)可能需要評(píng)測(cè)附加安全控制的范圍時(shí)，宜考慮擁有或提供VPN的組織在保密性和其他安全方面的可信度。——單一的點(diǎn)對(duì)點(diǎn)連接(例如客戶端經(jīng)由站點(diǎn)網(wǎng)關(guān)遠(yuǎn)程接入組織網(wǎng)絡(luò)，或者一個(gè)站點(diǎn)網(wǎng)關(guān)連接到另一個(gè)站點(diǎn)網(wǎng)關(guān));4——點(diǎn)對(duì)云連接(例如，通過MPLS技術(shù)實(shí)施)。——第2層VPN提供模擬的局域網(wǎng)設(shè)施，它使用運(yùn)行在主機(jī)網(wǎng)絡(luò)(例如提供商網(wǎng)絡(luò))上的VPN連接來鏈接組織的站點(diǎn)或提供到組織的遠(yuǎn)程連接。提供商在該領(lǐng)域通常提供的服務(wù)包括虛擬專用線路服務(wù)(VPWS)或虛擬專用局域網(wǎng)服務(wù)(VPLS)。VPWS提供模擬的“有線連接”;VPLS提供更完整的模擬局域網(wǎng)服務(wù)?！?層VPN提供一種模擬的廣域網(wǎng)設(shè)施。它也使用在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運(yùn)行的VPN。它為站點(diǎn)提供模擬的“OSI網(wǎng)絡(luò)層”連通性。值得關(guān)注的是，它具有在公共基礎(chǔ)設(shè)施上使用專用IP尋址方案的能力，而這種做法在“正?！钡墓睮P連接上是不允許的。在第3層VPN中，專用地址能夠在公共網(wǎng)絡(luò)上經(jīng)由NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)而被使用，雖然這種做法確實(shí)可行，卻能夠使IPsecVPN的建立和使用變得復(fù)雜?！邔覸PN用于保護(hù)跨公共網(wǎng)絡(luò)交易的安全。通常它們?cè)谕ㄐ诺膽?yīng)用之間提供一條安全信道，以確保交易期間數(shù)據(jù)的保密性和完整性。這種類型也可稱作第4層VPN,因?yàn)閂PN連接通常建立在TCP之上，而TCP為第4層協(xié)議。附錄A進(jìn)一步描述各種類型VPN通常所使用的特定技術(shù)和協(xié)議。VPN是使用物理網(wǎng)絡(luò)的系統(tǒng)資源(例如，通過使用加密和/或穿越真實(shí)網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)的隧道鏈接)構(gòu)建的。VPN能在其所屬組織控制下的專用網(wǎng)內(nèi)完整實(shí)現(xiàn)，能穿越公共域中的網(wǎng)絡(luò)實(shí)現(xiàn)，或能穿越以上兩種網(wǎng)絡(luò)的組合實(shí)現(xiàn)(VPN完全有可能在現(xiàn)有的專用廣域網(wǎng)上構(gòu)建。由于通?？商峁┏杀鞠鄬?duì)較低的互聯(lián)網(wǎng)訪問，這使得這種公共網(wǎng)絡(luò)系統(tǒng)逐漸成為很多應(yīng)用程序中支持廣域VPN和遠(yuǎn)程接入VPN的經(jīng)濟(jì)有效工具)。另一種方案是，這種信道可使用穿越互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)而構(gòu)建的安全隧道來建立。在這種情況下，公共的互聯(lián)網(wǎng)就有效地成為下層傳輸系統(tǒng)。對(duì)于VPN的保密性，這意味著不確定度隧道是聯(lián)網(wǎng)設(shè)備之間的數(shù)據(jù)通道，是跨越現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施而建立的。它對(duì)正常的網(wǎng)絡(luò)操作是必對(duì)下層的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行任何更改。因此，用隧道創(chuàng)建的VPN比基于物理鏈接的網(wǎng)絡(luò)更加能使用以下技術(shù)創(chuàng)建隧道：——虛電路；——標(biāo)簽交換；——協(xié)議封裝。為虛電路而創(chuàng)建的隧道，通常使用包交換技術(shù)(例如幀中繼或ATM)作為租用線路在常規(guī)的廣域網(wǎng)設(shè)施中建立。這些技術(shù)確保隧道之間的數(shù)據(jù)流是分離的。標(biāo)簽交換是創(chuàng)建隧道的另一種方式。流經(jīng)一個(gè)隧道的所有數(shù)據(jù)包都被分配一個(gè)識(shí)別標(biāo)簽。這種標(biāo)簽確保每個(gè)標(biāo)簽不同的包都將被穿過網(wǎng)絡(luò)的特定路徑排除在外。雖然隧道所使用的技術(shù)確實(shí)保證隧道與下層網(wǎng)絡(luò)之間的數(shù)據(jù)流適當(dāng)分離，但卻不能滿足一般的保密性要求。如果需要保密性，就需要使用加密技術(shù)來提供所需的安全級(jí)別。隧道也能夠使用協(xié)議封裝技術(shù)來創(chuàng)建，即一個(gè)協(xié)議的數(shù)據(jù)單元被包裝和承載在另一個(gè)協(xié)議中。例如，一個(gè)IP包被使用IPsecESP協(xié)議的隧道模式來包裝。在插入附加的IP頭后，這種包再在IP網(wǎng)絡(luò)VPN隧道能在OSI模型的不同層上創(chuàng)建。虛電路在第2層上形成隧道。標(biāo)簽交換技術(shù)允許隧道在第2或第3層上創(chuàng)建。協(xié)議封裝技術(shù)能在除物理層之外的所有層上使用(多數(shù)在第3層及以上實(shí)施)。5基本劃分過程(劃分為虛電路或標(biāo)簽交換通道)或封裝過程，在攻擊者使用網(wǎng)絡(luò)分析器或探測(cè)器進(jìn)行確和/或物理訪問。因此，為了實(shí)現(xiàn)安全的VPN,必須根據(jù)組織安全策略和風(fēng)險(xiǎn)承受級(jí)別對(duì)隧道應(yīng)用安全是否接受這種脆弱性將取決于組織的安全策略。中繼或ATM等技術(shù)。在這些技術(shù)中，對(duì)于電信操作人員保持私人用戶的租用線路設(shè)施與所提供的公共訪問互聯(lián)網(wǎng)服務(wù)之間分離的程度而言，其下層網(wǎng)絡(luò)也是基本安全的。虛電路中使用的技術(shù)使通道內(nèi)在具有一定程度的保密性，但不具有絕對(duì)的安全性。在這種傳統(tǒng)虛電路上構(gòu)建的VPN被認(rèn)為相對(duì)不——標(biāo)簽交換網(wǎng)絡(luò)上承載的VPN之間的地址空間和路由的分離；——確保標(biāo)簽交換網(wǎng)絡(luò)核心的內(nèi)部結(jié)構(gòu)對(duì)外部網(wǎng)絡(luò)是不可見的(例如，對(duì)潛在攻擊者可用的信息加以限制);——提供對(duì)拒絕服務(wù)攻擊的抵抗；——提供對(duì)未授權(quán)訪問攻擊的抵抗；——抵御標(biāo)簽欺騙(雖然有可能從外部將錯(cuò)誤標(biāo)簽插入到標(biāo)簽交換網(wǎng)中，但由于地址分離，所以欺騙包只能損害產(chǎn)生欺騙包的VPN)。使用協(xié)議封裝保持的密級(jí)取決于封裝協(xié)議的屬性。例如，如果使用僅具有AH協(xié)議的IPsec隧道來創(chuàng)建隧道，因?yàn)楸坏谌綌r截的任何數(shù)據(jù)都清晰可見，所以它不提供保密性。這是因?yàn)锳H協(xié)議只密碼學(xué)通用安全方面的指南參見ISO/IEC18028-1:2006、GB/T17901.1—1999和GB/T22081—2008。有關(guān)特定算法和協(xié)議的信息在其他出版物中論及，并且宜考慮作為安全VPN選擇的一部分(見第8章)。——防護(hù)網(wǎng)絡(luò)中的和與網(wǎng)絡(luò)相連的系統(tǒng)中的信息以及它們所使用的服務(wù)；——保護(hù)支撐網(wǎng)絡(luò)基礎(chǔ)設(shè)施；——保護(hù)網(wǎng)絡(luò)管理系統(tǒng)。6為實(shí)現(xiàn)上述第6章中概述的目標(biāo)，VPN的實(shí)施方式宜確保：——在VPN端點(diǎn)之間傳輸?shù)臄?shù)據(jù)和代碼的保密性；——在VPN端點(diǎn)之間傳輸?shù)臄?shù)據(jù)和代碼的完整性；——VPN——VPN用戶和管理員的真實(shí)性；端點(diǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性。總之，這意味著用于構(gòu)建VPN的下層隧道宜按照滿足安全目標(biāo)的方式實(shí)現(xiàn)。圖2中概括這些安隧道端點(diǎn)隧道端點(diǎn)隧道端點(diǎn)真實(shí)性授權(quán)真實(shí)性授權(quán)可用性授權(quán)可用性ISO/IEC18028-1也討論用于實(shí)現(xiàn)安全VPN的安全控制類型。隧道中正在傳輸?shù)臄?shù)據(jù)和代碼的保密性不宜受到損害。使用隧道技術(shù)可能意味著正在傳輸?shù)臄?shù)據(jù)的數(shù)據(jù)和代碼流不能抵御使用數(shù)據(jù)分析器或探測(cè)器進(jìn)行的確定的檢測(cè)。因此保持隧道中正在傳輸?shù)臄?shù)據(jù)和代碼的保密性關(guān)鍵依賴于這種檢測(cè)發(fā)生的可能性?？傊@是支持VPN的下層網(wǎng)絡(luò)中存在的可信度因素。它將依賴于傳輸網(wǎng)絡(luò)的所有權(quán)而變化。如果傳輸網(wǎng)絡(luò)未處于可信域(有關(guān)可信域的更多信全控制措施來進(jìn)一步保護(hù)保密性。在這些情況下，所采用的隧道機(jī)制宜支持加密，或者所發(fā)送的項(xiàng)在VPN上傳輸前宜離線加密。隧道端點(diǎn)的安全也不宜被忽視(見7.6)。隧道中所傳輸?shù)臄?shù)據(jù)和代碼的完整性不宜受到損害。用于實(shí)現(xiàn)VPN隧道的機(jī)制宜支持所傳輸數(shù)完整性保護(hù)就以端到端的方式提供。隧道的建立和操作過程宜得到鑒別控制的支持，從而能保證隧道的每一端都正在與正確的伙伴端點(diǎn)(可能是一個(gè)遠(yuǎn)程訪問系統(tǒng))通信以及所接收的數(shù)據(jù)和代碼來自正確的得到授權(quán)的源。這些安全控制7隧道的建立和操作過程宜得到訪問控制的支持，諸如ACL,從而能保證隧道的每一端都正在與得到授權(quán)的伙伴端點(diǎn)(可能是一個(gè)遠(yuǎn)程接入系統(tǒng))通信以及所接收的數(shù)據(jù)和代碼來自得到授權(quán)的源。對(duì)穿越已建立隧道的數(shù)據(jù)通道的訪問進(jìn)行控制超出了隧道機(jī)制的范疇，宜由端系統(tǒng)中的適當(dāng)訪問控制來7.5可用性對(duì)于VPN端點(diǎn)的安全要求也宜考慮。通常每個(gè)VPN端點(diǎn)宜確保在主機(jī)網(wǎng)絡(luò)與VPN之間只有受控的網(wǎng)絡(luò)通信流。這通常意味著關(guān)閉路由和至少也使用包過濾器或防火墻技術(shù)。更多細(xì)節(jié)見8.3.1(端點(diǎn)安全)和8.3.2(終止點(diǎn)安全)。所有人員都宜明白其業(yè)務(wù)要求和利益。此外，他們和VPN的所有其他用戶宜意識(shí)到這種連接的安全有關(guān)安全服務(wù)管理框架和整個(gè)網(wǎng)絡(luò)安全管理的詳細(xì)指南見ISO/IEC18028-1:2006,且作為“安全8.3VPN體系結(jié)構(gòu)方面8下面逐一概述這些方面。VPN的功能是提供一條安全跨越一些網(wǎng)絡(luò)介質(zhì)的安全通信信道。但是，建立VPN的時(shí)候卻不可端點(diǎn)安全不僅適用于設(shè)備本身，也適用于這些設(shè)備上的應(yīng)用程序以及與使用相關(guān)的規(guī)程/物理一些用于遠(yuǎn)程接入的端點(diǎn)用戶設(shè)備(例如移動(dòng)/遠(yuǎn)程工作計(jì)算設(shè)備)可能未受到與VPN相同的管——VPN相關(guān)技術(shù)和設(shè)備的技術(shù)脆弱性管理；影響VPN安全的關(guān)鍵因素之一是如何在每個(gè)端點(diǎn)終止VPN。如果終止點(diǎn)直接設(shè)在端點(diǎn)的核心(例如，處于網(wǎng)絡(luò)的安全區(qū)),安全直接取決于遠(yuǎn)程伙伴的安全。如果終止點(diǎn)設(shè)就可能被輕易地欺騙。VPN終止的標(biāo)準(zhǔn)方法包括：——使用外部防火墻終止設(shè)施在防火墻上終止：適用于點(diǎn)對(duì)點(diǎn)的連通性(例如在2個(gè)網(wǎng)絡(luò)之間)。許可訪問安全區(qū)中的應(yīng)用/系統(tǒng))。中間區(qū)終止可能允許更多地控制VPN及其用戶。在以上任何一種情況下，VPN端點(diǎn)在允許訪問前都宜鑒別實(shí)體(例如用戶或設(shè)備)。對(duì)于為設(shè)置鑒別是建立VPN的關(guān)鍵階段之一。必然地，每一端宜鑒別預(yù)期的會(huì)話伙伴(換言之，需要相互鑒——證書。這種方法提供更大的靈活性和彈性，尤其是在部署PKI備份以簡(jiǎn)化密鑰管理、撤銷和有關(guān)鑒別和對(duì)鑒別使用基于密碼服務(wù)的更多信息參見ISO/IEC18028-1:2006、GB/T17901.1一宜考慮入侵檢測(cè)系統(tǒng)(IDS)技術(shù)的需要。IDS能在VPN的兩端實(shí)現(xiàn)，以檢測(cè)可能的入侵。然后9一些個(gè)人防火墻也有作為簡(jiǎn)單的入侵防護(hù)系統(tǒng)(IPS)的資質(zhì)，用于阻止對(duì)未授權(quán)應(yīng)用的網(wǎng)絡(luò)接入。有關(guān)IDS的更多信息參見ISO/IEC18028-1:2006、ISO/IECTR15947和ISO/IEC8.3.6安全網(wǎng)關(guān)對(duì)于適當(dāng)安全網(wǎng)關(guān)(包括防火墻)技術(shù)的選擇宜予以仔細(xì)考慮以支持VPN的部署。有關(guān)安全網(wǎng)關(guān)(包括防火墻)的信息參見GB/T25068.3。8.3.7網(wǎng)絡(luò)設(shè)計(jì)VPN任何一端的網(wǎng)絡(luò)設(shè)計(jì)宜支持上面討論的終止點(diǎn)安全的目標(biāo)。特別是，VPN通常宜在外部防火墻上(例如在網(wǎng)絡(luò)邊界)或在自己的中間區(qū)內(nèi)被終止。8.3.8其他連通性對(duì)于VPN端點(diǎn)的任何更多的連通性宜予以考慮。在VPN的任何一個(gè)端點(diǎn)，如果有其他連通性存在，則從該信道發(fā)起的安全漏洞可能攻擊本地系統(tǒng)，并經(jīng)由該VPN攻擊遠(yuǎn)程系統(tǒng)。通過正確的網(wǎng)絡(luò)設(shè)計(jì)和防火墻的使用，能夠降低這種可能性。然而，最有效的控制是沒有任何不必要的連通性。對(duì)于在遠(yuǎn)程/居家系統(tǒng)中使用調(diào)制解調(diào)器而言，這種考量尤為急迫。對(duì)于組織網(wǎng)絡(luò)與提供支持、故障診斷等服務(wù)的第三方組織之間的連通性宜予以特別關(guān)注，對(duì)于服務(wù)提供商環(huán)境的安全控制宜作為合同安排的一部分而確立。這類控制宜確保一個(gè)與服務(wù)提供商的其他操作和顧客環(huán)境在物理上和邏輯上分隔的環(huán)境。更多信息見GB/T22081—2008中6.2。更多有關(guān)信息參見GB/T25068.3。8.3.9隧道分離情況允許時(shí)，宜避免分離隧道。分離隧道是指單一連接(通常是互聯(lián)網(wǎng))支持VPN和其他連接(VPN或其他)的能力。在這種情形下，因?yàn)楣魜碜云渌淼溃赃h(yuǎn)程網(wǎng)絡(luò)安全有受到損害的風(fēng)險(xiǎn)；這種情形類似于在兩個(gè)網(wǎng)絡(luò)之間提供路由的、具有雙網(wǎng)卡的個(gè)人計(jì)算機(jī)?？傊?，通過VPN產(chǎn)品“接管”網(wǎng)絡(luò)連接能夠避免隧道分離。8.3.10審計(jì)日志和網(wǎng)絡(luò)監(jiān)控與其他安全技術(shù)相同的是，所選擇的VPN解決方案宜維護(hù)適當(dāng)?shù)膶徲?jì)日志，以分析該端點(diǎn)處的所有行動(dòng)。它與網(wǎng)絡(luò)產(chǎn)生的其他審計(jì)日志一樣，宜用于評(píng)審安全事件的跡象。宜小心以確保審計(jì)日志本身是被保護(hù)的、與被評(píng)估的風(fēng)險(xiǎn)相當(dāng)、抵御篡改和濫用。如果審計(jì)日志將更多有關(guān)審計(jì)日志和網(wǎng)絡(luò)監(jiān)控的信息參見ISO/IEC18028-1:2006和GB/T22081—2008。8.3.11技術(shù)脆弱性管理與其他復(fù)雜系統(tǒng)一樣，網(wǎng)絡(luò)環(huán)境也不能免于出錯(cuò)。在VPN等網(wǎng)絡(luò)中，技術(shù)脆弱性在頻繁使用的組件中出現(xiàn)，并為之發(fā)布。利用這些技術(shù)脆弱性能嚴(yán)重影響VPN的安全，大多數(shù)影響可以在可用性和保密性領(lǐng)域觀察到。因此所有的VPN設(shè)備宜具有技術(shù)脆弱性管理。有關(guān)脆弱性管理的更多信息參見ISO/IEC18028-1:2006和GB/T22081。9.1VPN管理考量有關(guān)實(shí)施安全服務(wù)管理框架和網(wǎng)絡(luò)安全管理的詳細(xì)指南參見ISO/IEC18028-1:2006。本部分也討論VPN的高級(jí)安全風(fēng)險(xiǎn)以及與降低這些風(fēng)險(xiǎn)相關(guān)的安全控制組。ISO/IEC18028-2:2006討論那些需要跨越管理、控制和終端用戶安全面的網(wǎng)絡(luò)安全活動(dòng)。9.2VPN技術(shù)考量完成安全VPN的實(shí)施需要系統(tǒng)地考慮目標(biāo)中所確定的因素。宜特別考慮以下實(shí)施方面：——承載協(xié)議的選擇；——VPN設(shè)備管理。附錄A提供各種類型VPN經(jīng)常使用的特定技術(shù)和協(xié)議的更多信息。宜基于以下方面選擇適當(dāng)?shù)陌踩休d協(xié)議：——互操作性(正式標(biāo)準(zhǔn)或?qū)Ｓ脴?biāo)準(zhǔn));宜考慮VPN裝置的使用。在小規(guī)模的VPN(例如單用戶至中心系統(tǒng))中，VP對(duì)待其他任何網(wǎng)絡(luò)設(shè)備那樣對(duì)VPN設(shè)備進(jìn)行連續(xù)網(wǎng)絡(luò)監(jiān)控。復(fù)用(日期/時(shí)間失效等)或媒體可使用次數(shù)的限制。及網(wǎng)絡(luò)管理者或管理員能夠?qū)?shí)際的或懷疑的信息安全事件進(jìn)行檢測(cè)和做出反應(yīng)。且VPN及支撐技術(shù)一直在使用供應(yīng)商所提供的最新安全補(bǔ)丁和修正。(資料性附錄)實(shí)現(xiàn)VPN所使用的技術(shù)和協(xié)議A.1導(dǎo)言本資料性附錄提供用于實(shí)現(xiàn)VPN的典型技術(shù)和協(xié)議的示例。本附錄未打算提供一個(gè)完全列表，或把一個(gè)技術(shù)或協(xié)議提升到其他技術(shù)或協(xié)議之上。A.5概括比較VPN協(xié)議的安全特點(diǎn)。A.2.1幀中繼幀中繼是基于X.25的包交換技術(shù)。在幀中繼中，用于數(shù)據(jù)傳輸?shù)膸拇笮∈强勺兊摹４送?，任何差錯(cuò)控制機(jī)制均只由發(fā)送端和接收端負(fù)責(zé)，從而使數(shù)據(jù)得以高速傳輸。它使用兩種類型的電路來傳輸數(shù)據(jù)：永久式虛電路(PVC)和交換式虛電路(SVC)。PVC是穿過專用網(wǎng)(例如網(wǎng)絡(luò)服務(wù)提供商所擁有的網(wǎng)絡(luò))的虛擬通道。在這種通道中，連接的端點(diǎn)由網(wǎng)絡(luò)管理員規(guī)定。SVC是更短暫的虛擬通道(通常穿過外聯(lián)網(wǎng))。在這種通道中，連接的端點(diǎn)由網(wǎng)絡(luò)用戶在呼叫發(fā)起時(shí)規(guī)定。A.2.2異步傳輸模式(ATM)ATM是基于PVC的數(shù)字轉(zhuǎn)換技術(shù)，它能支持音頻、視頻和數(shù)據(jù)信號(hào)。為了實(shí)現(xiàn)該目的，它使用固ATM傳輸?shù)乃俣缺绕渌粨Q技術(shù)快。A.2.3多協(xié)議標(biāo)簽交換(MPLS)MPLS是一種為在網(wǎng)絡(luò)間路由選擇中使用而開發(fā)的技術(shù)，即把標(biāo)簽分配給每個(gè)數(shù)據(jù)通道或流，并用于交換連接，覆蓋常規(guī)的路由選擇協(xié)議機(jī)制。它通常使基于IP的VPN能夠跨越基于ATM的網(wǎng)絡(luò)而部署。在傳輸期間，接受IP包的初始MPLS設(shè)備使用分配到的MPLS標(biāo)簽將IP包封裝。隨后，這個(gè)MPLS標(biāo)簽而非實(shí)際的IP頭，被用于跨越廣域網(wǎng)按路線發(fā)送這些包。在基于ATM網(wǎng)絡(luò)的邊緣，當(dāng)這種包將訪問基于IP的外部基礎(chǔ)設(shè)施(例如互聯(lián)網(wǎng))時(shí)，其MPLS標(biāo)簽再被剝離。MPLS支持服務(wù)等級(jí)(CoS)和服務(wù)質(zhì)量(QoS),使不同類型的通信流(例如音頻、視頻、消息)按不同的優(yōu)先級(jí)在網(wǎng)絡(luò)上傳輸。在將MPLS技術(shù)用于音頻/視頻等高帶寬通信流時(shí)，主要的風(fēng)險(xiǎn)是有可能造成信號(hào)質(zhì)量差，其原因是端到端的延遲，尤其是在使用不同的網(wǎng)絡(luò)承載和轉(zhuǎn)換時(shí)。MPLS是在一系列的IETFRFC中定義的，這些協(xié)議包括RFC3031(多協(xié)議標(biāo)簽交換體系)、RFC3032(MPLS標(biāo)簽棧編碼)和RFC3036[標(biāo)簽分發(fā)協(xié)議(LDP)規(guī)范]。A.2.4點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)PPP被設(shè)計(jì)成跨越撥號(hào)接入或?qū)ｉT的點(diǎn)對(duì)點(diǎn)連接來發(fā)送數(shù)據(jù)。PPP把IP、IPX(互聯(lián)網(wǎng)包交換協(xié)議)和NetBEUI包封裝在PPP幀之內(nèi)，然后跨越點(diǎn)對(duì)點(diǎn)鏈接來傳輸PPP封裝的包。PPP通常用作客戶端設(shè)備與遠(yuǎn)程接入服務(wù)器之間的撥號(hào)接入?yún)f(xié)議。OSI的第2層協(xié)議嚴(yán)重依賴于最初為PPP規(guī)定的特點(diǎn)。其細(xì)節(jié)見IETFRFC1661(點(diǎn)對(duì)點(diǎn)協(xié)議)。A.2.5第2層轉(zhuǎn)發(fā)(L2F)協(xié)議L2F是一個(gè)傳輸協(xié)議，它允許撥號(hào)接入服務(wù)器構(gòu)造PPP中的撥號(hào)接入通信流，并在廣域網(wǎng)鏈接上將它傳輸?shù)揭慌_(tái)L2F服務(wù)器(路由器)。然后，L2F服務(wù)器將其解包并置入網(wǎng)絡(luò)。L2F與L2TP不同，L2TP控制消息L2TP控制信道L2TP控制消息L2TP控制信道(可靠)它沒有指定的客戶端。注意：L2F僅在強(qiáng)制隧道中起作用。L2F不提供數(shù)據(jù)保密性；通信流作為明文其細(xì)節(jié)見IETFRFC2341[思科第2層轉(zhuǎn)發(fā)(協(xié)議)“L2F”]。A.2.6第2層隧道協(xié)議(L2TP)L2TP允許IP、IPX或NetBEUI通信流被加密，然后在支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)交付的任何介質(zhì)(諸如當(dāng)L2TP被配置為使用IP作為其數(shù)據(jù)報(bào)傳輸時(shí)，它可用作互聯(lián)網(wǎng)上的一種隧道協(xié)議。L2TP也能直接在各種廣域網(wǎng)介質(zhì)(諸如幀中繼)上使用而沒有IP傳輸層。IP互聯(lián)網(wǎng)上的L2TP使用UDP和一系列的L2TP隧道維護(hù)消息。L2TP也使用UDP把被L2TP封裝的PPP幀作為隧道數(shù)據(jù)發(fā)送。被封裝的圖A.1描述PPP幀及控制消息在L2TP控制和數(shù)據(jù)信道上的關(guān)系。L2TP使用兩種類型的消息控制消息和數(shù)據(jù)消息?？刂葡⒂糜谛诺篮秃艚械慕?、維護(hù)及清除。數(shù)據(jù)消息用于封裝隧道上承載PPP幀L2TP數(shù)據(jù)消息L2TP數(shù)據(jù)信道(不可靠)圖A.1第2層隧道協(xié)議的結(jié)構(gòu)傳統(tǒng)上，安全的VPN是使用專門的硬件和L2TP等專有協(xié)議而設(shè)置的。這類VPN具有已知的安其細(xì)節(jié)見IETFRFC2661(第2層隧道協(xié)議)。IPSec是由IETF作為端到端的機(jī)制而設(shè)計(jì)的框架，用以保證基于IP通信的數(shù)據(jù)安全。IPSec定義OSI第3層協(xié)議的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)支持穿越IP互聯(lián)網(wǎng)絡(luò)信息的安全傳輸。能夠?qū)PSec想象為提供給TCPIPSec提供兩個(gè)獨(dú)立的協(xié)議來保證數(shù)據(jù)保密性和數(shù)據(jù)完整性。鑒別頭(AH)協(xié)議提供源鑒別和完整性，不提供加密。封裝安全載荷(ESP)協(xié)議提供鑒別，它也提供完整性和/或加密。兩個(gè)協(xié)議都能以IPSec隧道包括隧道客戶端和隧道服務(wù)器，兩者均被配置為使用IPSec隧道和協(xié)商加密機(jī)制。使用IPsecESP隧道模式時(shí)，允許IP數(shù)據(jù)報(bào)被加密，然后被封裝到另一IP數(shù)據(jù)報(bào)內(nèi)，然后穿越專用或公共IP互連網(wǎng)絡(luò)(如互聯(lián)網(wǎng))被發(fā)送。收到以后，隧道服務(wù)器處理明文IP頭，驗(yàn)證被封裝數(shù)據(jù)報(bào)的完整性，——它只支持IP通信流；——它由安全策略(一組過濾—匹配規(guī)則)控制。這種安全策略按照偏好和可用鑒別方法的順序，來建立可用的加密和隧道機(jī)制。只要有通信流，兩臺(tái)機(jī)器就進(jìn)行相互鑒別，然后協(xié)商要使用的加密方法。此后，所有的通信流都使用協(xié)商加密機(jī)制加密，然后被包裝到隧道頭中。IPsec協(xié)議涵蓋VPN設(shè)置過程的各個(gè)方面，從初始的密鑰協(xié)商直至最后的隧道設(shè)置。它將允許選擇大量的加密和完整性解決方案。IPsec的復(fù)雜性已經(jīng)導(dǎo)致大量的歧義、矛盾、低效率和弱點(diǎn)(例如，在跨越一組端點(diǎn)預(yù)共享密鑰之處，會(huì)話設(shè)置對(duì)中間人攻擊和欺騙攻擊的脆弱性)。共同的問題通常起源于由IPsec復(fù)雜性所造成的弱配置。IPsec已在一系列的IETFRFC中定義，特別是RFC2401、2402和2406。A.4.1安全套接層(SSL)SSL通常用于保護(hù)跨網(wǎng)交易的安全，且已在Web瀏覽器/服務(wù)器技術(shù)中普遍使用。它作為插在應(yīng)用層與TCP/IP層之間的一層運(yùn)行，普遍與超文本傳輸協(xié)議(HTTP)一起使用，此處被稱作安全超文本傳輸協(xié)議(HTTPS)。用于VPN通信流的SSL協(xié)議與用于保護(hù)瀏覽器數(shù)據(jù)流安全的協(xié)議相同。公鑰基礎(chǔ)設(shè)施(PKI,可為專用的或公共的)將向每個(gè)VPN端點(diǎn)頒發(fā)證書。在SSL端點(diǎn)發(fā)送證書之處，接收方可使用PKI設(shè)施來鑒別證書及發(fā)送方的真實(shí)性。如果進(jìn)行了相互鑒別，這些證書將允許排除中間人攻擊，但在一個(gè)SSL端點(diǎn)證書跨越多個(gè)設(shè)備共享之處，仍可能易于被欺騙。作為SSL會(huì)話設(shè)置的一部分，兩個(gè)端點(diǎn)協(xié)商一個(gè)加密軟件包，該加密包是一個(gè)預(yù)定義的加密、散列和密鑰交換方法的組合，它將為交換數(shù)據(jù)的保密性和完整性規(guī)定實(shí)際的保護(hù)級(jí)別。A.4.2安全殼安全殼與Unix系統(tǒng)有歷史淵源，它通過創(chuàng)建并維護(hù)安全的VPN,來獲得對(duì)命令行界面和其他正在運(yùn)行應(yīng)用程序的安全訪問權(quán)。它依賴每個(gè)參與系統(tǒng)來生成一個(gè)非對(duì)稱密鑰對(duì)，來保護(hù)私鑰的本地安全并與要求向第一個(gè)系統(tǒng)發(fā)送數(shù)據(jù)的系統(tǒng)共享公鑰。公鑰不同于SSL和IPsec,它并不在正規(guī)的PKI中鑒別。相反，公鑰被用于給鑒別發(fā)送方所使用的個(gè)密鑰用于數(shù)據(jù)傳輸。也存在其他鑒別機(jī)制，例如口令鑒別。安全殼也可用在計(jì)算機(jī)系統(tǒng)之間，以創(chuàng)建可被其他協(xié)議直接使用的安全隧道。A.5典型VPN協(xié)議安全特點(diǎn)比較技術(shù)/協(xié)議用戶鑒別數(shù)據(jù)加密密鑰管理完整性檢查VPN幀中繼 ATM MPLS ——————簡(jiǎn)單、類似CHAP 技術(shù)/協(xié)議用戶鑒別數(shù)據(jù)加密密鑰管理完整性檢查基于證書(包)預(yù)共享密鑰可協(xié)商若干算法(包)可協(xié)商具有L2TP的IPsec基于證書(包)預(yù)共享密鑰可協(xié)商若干算法(包)可協(xié)商MPLS一高層基于證書可協(xié)商可協(xié)商可協(xié)商安全殼系統(tǒng)生成的密鑰對(duì)(非證書)可協(xié)商與數(shù)據(jù)發(fā)送方交換公鑰可協(xié)商[1]GB/T18794.1—2002信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第1部分：概述[2]ISO/IEC27005,Informationtechnology—Informationsecurityriskmanagement[3]GB/T17903.1—2008信息技術(shù)安全技術(shù)抗抵賴第1部分：概述(ISO/IEC13888-1:2004,IDT)[4]ISO/IECTR14516:2002,Informationtechnology—Securitytechniques-GuidelinesfortheuseandmanagementofTrustedThirdPartyservices[5]ISO/IECTR15947,Informationtechnology—Securitytechniques-ITintrusiondetectionframe-[6]ISO/IEC18043,Informationtechnology—Securitytechniques—Selection,deploymentandoperationsofintrusiondetectionsystems[7]GB/Z20985—2007信息技術(shù)安全技術(shù)信息安全事件管理指南(ISO/IECTR18044;2004,MOD)[8]NIST-800NISTSpecialPublications800seriesonComputer