vpn网络安全接入方案建议书

vpn网络安全接入方案建议书内容摘要：

，在总部和下属办事处之间就可以建立一个“开放管道”的 VPN。 这类似于 LAN 到 LAN 的连接。 即不需要基于 VPN 的用户认证，因为我们认为这样的连接是安全的。 但是，如果这些地方有问题，网络设计人员就要考虑采用更严格的安全措施。 例如， VPN 需要严格认证，或者将对总部网络的访问限制在某个孤立的子网中。 VPN 对外联网的安全要求通常十分严格，对保密信息的访问只有在需要时才能获准，而敏感的网络资源则禁止访问。 由于外 联网连接可能会涉及机构外人员，解决用户的变化问题则很有挑战性。 从根本上说，这是严格政治问题。 但在机构确定用户时，这是严格急需解 第 7 页 共 18 页 7 决的技术问题。 2) 注重管理 企业网络是攻击者垂涎的目标 ,因此 ,管理层必须保护公司网络免遭远程入侵。 一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的，决策中还要确定相应的 VPN设备和实施选择方法。 一般来说，决策者应解决 VPN 特有的几个问题：远程访问的资格，可执行的计算能力，外联网连接的责任，以及 VPN 资源的监管。 另外，还应包括为出差旅行的员工及远程工作站的员工提供 的访问步骤。 当然，决策中应包括一些技术细节，例如加密密钥长度，如果 VPN的加密算法要求公开认证，则还需要法律的支持保护。 对外另外而言，决策中应具体说明及时通报远程用户人员变更的步骤，被解雇的人员必须尽快从数据库中清除。 这需要外联网用户机构同 VPN 管理人员之间进行良好的协作。 通常，企业的人事部门已制定有人事管理规定，这些规定可能也适用于 VPN 用户。 3） 确定最佳的产品组合 可选择的 VPN 产品很多，但产品基本上可分成三大类：基于系统的硬件、独立的软件包和基于系统的防火墙。 大部分产品对 LAN 到 LAN 及远程 拨号连接都支持。 硬件 VPN 产品是典型的加密路由器 ,由于它们在设备的硅片中存储了加密密钥 ,因此 ,较之基于软件的同类产品更不易被破坏 .另外 ,加密路由器的速度快 ,事实上 ,如果链路的传输速度超过 T1(),这样的 VPN 是名列前茅的。 基于防火墙的 VPN 则利用了防火墙安全机制的优势，可以对内部网络访问进行限制。 此外，它们还执行地址的翻译，满足严格的认证功能要求，提供实时报警，具备广泛的登录能力。 大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。 由于很少有 VPN 厂商提供操作系统级的安 全指导，因此，提供操作系统保护是这种 VPN 的一大优势。 什么时候企业选择基于防火墙的 VPN 呢。 一般是在远程用户或网络充满潜在敌意的时候。 这时，网管员可建立起所谓的非军事区（ DMZ），部分，系统一般使用在防火墙上的一个第三方界面，并有自己的访问控制规则。 攻击者也许能到达 DMZ，但不能破坏内部部分。 基于防火墙的 VPN 对于仅仅实施内联网应用的企业还是蛮好的，它是软件产品中最容易保证安全和管理的产品。 第 8 页 共 18 页 8 Ipsec 是 IETF(Inter Engineering Task Force)组织为 TCP/IP 协议集增加 的标准认证与加密功能。 随着 Ipsec 越来越稳定和实施越来越广泛， VPN 的终端用户可以不必使用同一厂商的产品以保证可靠工作，但是到目前为止，实施成功的 VPN 通常意味着要从同一家厂商购买所有的设备。 尽管大部分 VPN 可保留自己的认证数据库，但网管员也希望借助于现有的认证服务器。 比如，许多远程访问服务器使用下述两种协议之一的外部系统来认证用户：远程认证拨入用户服务器（ Radius）或终端访问控制器访问系统 (Tacscs)。 独立认证服务器的优势在于可收缩性，即无论增加多少台访问设备，一台认证服务器就足矣。 如果一个 企业的 VPN 延伸到海外，网管员还必须解决出口问题。 目前美国法律禁止 128位加密算法出口，尽管未来立法可能会或多或少地放宽限制，但一般跨国经营的美国公民可能需要部署两个 VPN 系统：一个加密功能较弱，用于国际用户的，一个加密功能较强，用于国内用户。 4）为 VPN 服务器选择位置 远程用户的从属关系有助于确定 VPN 设备放置的位置。 对于期望通过远程访问复制办事处工作环境的员工来说， VPN 服务器最好直接放在专用网络中，但这一方法也最易成为攻击者的攻击目标。 对于员 工企业，如果绝大多数远程用户属于外部机构，将 VPN 设备放在 DMZ 网络上意义更大，因为它要比内部网络更为安全，屏蔽 DMZ 的防火墙有助于保护其间的设备。 这种方法也比将 VPN 设备完全放在安全设施周边之外更安全。 如果一台认证服务器属于 DMZ 子网，它会得到细心的管理和保护，免于内部和外部的威胁。 企业在设计安全内联网和外联网时，安置 VPN 和认证服务器是关键的一步。 其中，建立与下属办事处的链路最简单：一对 VPN 服务器只需在两个站点间建立加密通道。 因为出差旅行的员工或远程工作站需要进行认证，因此，它们建立与 VPN 服务器的 链路，将认证请求传送到 DMZ 上的认证服务器。 外界顾问不需要认证，他们只需同另一台 VPN 服务器连接起来，这一台服务器应位于第二个 DMZ 上，以保护公司的认证服务器。 另外值得注意的是，企业为业务伙伴进行的连接配置最需要技巧，连接请求首先到达第二个 DMZ 上的VPN 服务器，之后请求被传送到第一个 DMZ 上的认证服务器，最后，批准的请求被传送到请求访问的资源中。 第 9 页 共 18 页 9 安装和配置 VPN 我们构建 VPN 的方法是使用 Hillstone 防火墙自带的 VPN 功能， Hillstone 防火墙在VPN 方面也是采用专有的硬件结构来 实现的，我们购买了防火墙后，就作为防火墙的一个功能提供给客户。 对 VPN 进行配置时，网管员要为一系列因素设定参数，包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查 VPN 终点设备（而不是用户）的身份，大部分 VPN 产品都提供此功能。 对此，一些厂商的实现的方式是，让所有信息进入总部设备下载相关信息。 而对于远程用户，则需要建立口令，准备连接脚本，确立认证步骤。 网管员还要让认证和授权程序协调起来。 两者听起来差不多，但有些微妙且重要的差别。 认证是要证明远程用户是她或他声称的身份（在外联 网设置中，要证明的则相反，即服务器可信）。 授权是要确定远程用户有权访问何种网络资源。 如果认证服务器还控制授权分组，例如营销或策划小组的授权，则系统还要注意核查它是否能正确地同 VPN 设备联络组信息。 而使用 Hillstone 防火墙的 VPN 功能我们可以方便对防火墙进行设置，就可以自如的建立各种 VPN 策略和通道。 第二章 用户总体需求分析 对企业内部网络安全的设计，首要考虑到企业的内部网络拓扑结构。 由于当初在设计企业网络时受到资金和技术的局限性，所以很容易会在企业的内部网络中留下了安全隐患，从而导致了网络内部安全 问题的产生。 目前 XX 的局域网的内部网络已经建立完善。 网络拓扑是典型的星型结构，在总部公司已经实现了办公自动化。 同时内部的用户们通过连接 INTERNET 的路由器，而后再通过 光纤专线 上网。 XX 公司结构 散布在全国各地的 分支机构 有 3 个 ，每个 分支机构 有 一定数量 台计算机 ，上网方式多是以 宽带线路 ， 与总部没有直接的连接。 急需一种安全的连接方式。 从对其网络结构的分析可以看到， XX 公司总部的内部网络的架构严谨，但是却存在极大的安全隐患， 有以下安全问题需要解决：  来自 Inter 网络安全威胁，如病毒传播和黑客攻击。  来自内部局域网用户间的安全威胁，主要指非法操作和病毒传播。 第 10 页 共 18 页。