遠程安全訪問解決方案
遠程安全訪問解決方案
隨著信息技術(shù)的快速發(fā)展,企業(yè)為了提高服務的質(zhì)量和水平、在市場競爭中取得優(yōu)勢,企業(yè)建立了內(nèi)部局域網(wǎng),使內(nèi)部辦公人員通過網(wǎng)絡可以迅速地獲取相關(guān)信息資源。然而,隨著個人電腦和互聯(lián)網(wǎng)應用技術(shù)的普及,“家庭辦公”、“異地辦公”、“移動辦公”等多種遠程辦公模式逐漸普及,同時合作伙伴也希望能訪問到相應的信息資源。企業(yè)的IT管理人員面臨將遠程辦公模式作為內(nèi)部辦公網(wǎng)絡的延伸。
實現(xiàn)“家庭辦公”、“異地辦公”、“移動辦公”,企業(yè)一般會采用通過在路由器或防火墻上做地址映射方式解決,將服務器公布在Internet上供企業(yè)員工或合作伙伴人員訪問。但由于Internet中的所有人都能查看到服務器,我們都知道,Internet上的威脅是多種多樣的,隨著時間推移和技術(shù)的發(fā)展發(fā)生著變化,這些威脅會對服務器系統(tǒng)造成攻擊破壞,主要包括信息竊取、數(shù)據(jù)完整性破壞、業(yè)務拒絕攻擊、非法使用等等。企業(yè)OA系統(tǒng)、ERP系統(tǒng)、CRM系統(tǒng)等,這些重要的數(shù)據(jù)服務器在Internet上發(fā)布,畢竟會受到信息竊取或數(shù)據(jù)被破壞等多種威脅和攻擊,對企業(yè)會造成巨大的損失。
針對Internet數(shù)據(jù)傳輸中存在的安全隱患,如要享受通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部信息資源的便利,就必須采用安全的解決方案,并實施嚴格的信息安全策略,在防止企業(yè)信息資源被非法竊取的同時,對合法的訪問要提供方便,同時還需盡量降低信息安全策略的實施和維護成本。
綜上所述,我們認為采用虛擬專用網(wǎng)(VPN)方式來解決網(wǎng)絡威脅問題,既能避免服務器暴露在Internet中,又能保證數(shù)據(jù)傳輸過程中不被竊取。虛擬專用網(wǎng)(VPN)可以滿足企業(yè)對網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等多方面要求,使企業(yè)可以較少地投入網(wǎng)絡的運行與維護成本。遠程訪問VPN解決方案,對數(shù)據(jù)傳輸進行加密、認證、防篡改,是實現(xiàn)總部和分支機構(gòu)之間以及遠程辦公數(shù)據(jù)傳輸安全的有效措施,與專線相比,它實現(xiàn)了安全傳輸?shù)耐瑫r,具有更低的投入和維護成本。它采用復雜的算法來加密傳輸?shù)男畔?,用戶訪問數(shù)據(jù)庫服務器時,包括用戶名和密碼在內(nèi)的所有的數(shù)據(jù)都通過加密傳輸,避免了以往明文傳輸數(shù)據(jù)造成的數(shù)據(jù)泄漏。
使用VPN方式實現(xiàn)遠程安全接入主要有兩種:一種是IPSec VPN,另一種是SSL VPN。兩種技術(shù)在不同領(lǐng)域各有其優(yōu)缺點,IPSec VPN是采用基于PKI和IPSec標準的VPN技術(shù),把全國各地分支機構(gòu)的局域網(wǎng)通過專用VPN設備安全地連接在一起,保護內(nèi)部網(wǎng)絡的安全,并保證通過公網(wǎng)傳輸信息的保密性與不可篡改性,為企業(yè)的管理和業(yè)務構(gòu)造一個便捷、保密的信息傳輸平臺。SSL VPN通過安全的Socket Layer通道,對數(shù)據(jù)傳輸進行加密,保證傳輸?shù)男畔⒈C苄院筒豢纱鄹男小?/span>
我們建議:在實施固定站點到站點(如企業(yè)總部與分支機構(gòu)之間)的VPN和復雜應用的移動用戶接入VPN時,采用IPSec VPN技術(shù);在實施普通應用,并且VPN使用用戶比較分散、繁多時,采用SSL VPN技術(shù)。
以下對兩種VPN接入方式進行詳細介紹:
9.1 IPSec VPN
對于企業(yè)實現(xiàn)站點間的VPN方式來說,一般選用防火墻集成VPN功能的設備來部署IPSec VPN。IPSec是業(yè)界標準的網(wǎng)絡安全協(xié)議,可以為IP網(wǎng)絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,并且防火墻還可以有效抵御網(wǎng)絡攻擊。它以自己的封包封裝原始IP信息,因此可隱藏所有應用協(xié)議的信息。IPSec VPN是一種比較成熟的安全技術(shù),它是一種基于網(wǎng)絡層的VPN技術(shù),對于應用程序來說是透明的,所以安裝IPSec VPN時,無需更改用戶或服務器系統(tǒng)中的軟件設置。即使在終端系統(tǒng)中執(zhí)行IPSec,應用層軟件程序等也不會被影響。
許多企業(yè)在全國各地設有分支機構(gòu),每個地方各自建有局域網(wǎng),集成VPN的防火墻設備建立VPN加密隧道后,就可以實現(xiàn)各種訪問,如Web、電子郵件、文件傳輸、VOIP、網(wǎng)絡設備統(tǒng)一管理等,大大簡化了原有網(wǎng)絡的應用模式,網(wǎng)絡管理人員遠程也能安全的管理企業(yè)總部或分支機構(gòu)的服務器資源,提高了網(wǎng)絡工作效率。利用IPSec VPN技術(shù)將企業(yè)中心與各個分支機構(gòu)連接起來,不僅大幅度地節(jié)約了通訊費用,而且保障數(shù)據(jù)的傳輸安全,同時還可以實現(xiàn)對每個信息點進行遠程監(jiān)控,保證各個地點的平穩(wěn)運行。IPSec VPN方式一般對于站點對站點的訪問,對于“移動辦公”、“家庭辦公”用戶需要在用戶計算機上安裝IPSec VPN客戶端軟件,對軟件進行配置后就可以實現(xiàn)對企業(yè)中心服務器資源的訪問了。
現(xiàn)階段IPSEC VPN技術(shù)已經(jīng)集成到網(wǎng)關(guān)設備中,如:防火墻。利用防火墻集成IPSEC VPN可使您在部署高性能的防火墻的同時建立IPSec VPN,在實現(xiàn)安全通信的同時防御網(wǎng)絡攻擊威脅。
IPSec VPN解決方案安全訪問拓撲圖如下:
IPSec VPN 技術(shù)在IP 傳輸上通過加密隧道,在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時,保證內(nèi)部數(shù)據(jù)的安全性,從而實現(xiàn)企業(yè)總部與各分支機構(gòu)之間的數(shù)據(jù)、話音、視頻業(yè)務互通。如今,許多世界500 強的企業(yè)已經(jīng)把VPN 作為遠端分支和移動用戶連接的主要手段,構(gòu)建企業(yè)虛擬業(yè)務網(wǎng),而國內(nèi)大量企業(yè)也已開始考慮現(xiàn)在這種方式,并逐漸開始實施。
在已經(jīng)成功實施IPSec VPN 的企業(yè)網(wǎng)中,防火墻等VPN安全網(wǎng)關(guān)產(chǎn)品被大量使用,通過對用戶采用IPSec VPN 構(gòu)建企業(yè)虛擬業(yè)務網(wǎng)。我們認為,企業(yè)利用Internet 建立自己的IPSec VPN 具有以下優(yōu)勢:
? 企業(yè)不再承擔昂貴的固定線路的租費。DDN、幀中繼、SDH的異地收費隨著通訊距離的增加而遞增,分支越遠,租費越高。而Internet的接入費用則只承擔本地的接入費用,無論分支多遠,費用卻是一樣的。
? 連接Internet 的方式可以是
? IPSec VPN 的核心設備的擴展性好,可以同時連接成千上萬的分支,包括分支部門和移動辦公的用戶。
? 遠程的IP話音業(yè)務和視頻也可傳送到遠端分支和移動用戶,連通數(shù)據(jù)業(yè)務一起,為現(xiàn)代化辦公提供便利條件,節(jié)省大量長途話費。
? IPSec VPN 的顯著特點就是它的安全性,這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN防火墻上,通過支持所有領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、包過濾、還可通過RADIUS、 PAP、CHAP、Tokens、X.509、 LDAP 和 SecurID等認證方式。
? VPN防火墻的分離通道特性為 IPSec 客戶端提供同時對Internet和本地網(wǎng)絡訪問支持。該特性使用戶在安全條件下合理方便地使用網(wǎng)絡資源,既有安全性又有靈活性。
? IPSec VPN內(nèi)嵌與防火墻或網(wǎng)絡設備中,便于進行實施管理。
9.2 SSL VPN
SSL VPN與IPSec VPN相比兩者各自有各自的特點,并不能相互取代。SSL VPN相對于IPSec VPN有更高的靈活性,它不需要使用客戶端軟件,不需要進行專業(yè)化培訓,通過所以標準瀏覽器即可實現(xiàn)遠程安全訪問,更適合于遠程靈活性訪問,能夠做為IPSec VPN的有效補充。
SSL VPN支持移動用戶安全地遠程接入,移動用戶撥入當?shù)?span lang="EN-US">ISP后,與VPN網(wǎng)關(guān)建立加密隧道,實現(xiàn)對內(nèi)部網(wǎng)絡安全地訪問,保證遠程辦公的安全性。
SSL VPN解決方案安全訪問拓撲圖如下:
通過實施SSL VPN遠程接入解決方案,不僅保證關(guān)鍵業(yè)務系統(tǒng)的安全性,而且能夠達到以下目標:
? 保護內(nèi)部網(wǎng)絡安全。通過設置有效的安全策略,確保只允許符合安全策略的內(nèi)外網(wǎng)絡之間的訪問與服務,保證內(nèi)部網(wǎng)絡免受外部攻擊。
? 保證通過公網(wǎng)傳輸信息的安全。使用SSL VPN網(wǎng)關(guān)可以建立高強度的加密隧道,信息在公網(wǎng)上傳輸時,是以加密的形式傳送的,并附加了認證信息,可以保證數(shù)據(jù)的保密性與不可篡改性。
? 保證對公網(wǎng)透明的訪問。內(nèi)部網(wǎng)絡用戶可以使用安全訪問SSL VPN所需要的服務,并且同時實現(xiàn)對Internet透明地訪問,同時對外部網(wǎng)絡隱藏了內(nèi)部的網(wǎng)絡拓撲。
SSL VPN產(chǎn)品對于遠程訪問權(quán)限具有較強地控制能力,能夠細粒度地進行網(wǎng)絡安全接入控制,包括以下功能特點:
? 動態(tài)認證策略:可以通過多種要素對用戶身份進行認證,包括提供身份前檢查和提供身份后檢查,其中提供身份前檢查的內(nèi)容可包括:源地址、網(wǎng)絡接口(內(nèi)/外)、證書、節(jié)點安全(包括主機檢查和緩存清除)、瀏覽器的user agent、登錄的URL、SSL版本和加密級別;提供身份后檢查的內(nèi)容可包括:身份確定、證書特性、密碼長度、同時登錄用戶數(shù)、目錄服務密碼;
? 角色定義和策略匹配:管理員可以定義用戶屬于一個或多個角色,對不同角色提供不同的訪問權(quán)限。對屬于多個角色的用戶可以一次性地給該用戶多個角色的總和,也可以讓用戶選擇采用某個角色進行應用訪問;
? 資源訪問策略:對于不同的應用資源,管理員可以提供不同的訪問策略,作為第三層的訪問控制手段;
? 支持口令管理功能:當用戶修改自己的口令時,系統(tǒng)會自動與后臺AD服務器保持同步,同時更新口令;可以強制用戶在一段時間后必須更改自己的口令,可以設置提前幾日給與提示;
? 口令驗證策略可以規(guī)定必須包含幾位數(shù)字,幾位字母,最小長度,最大長度,不得與用戶名重復,不得與前次口令相同,必須包含有大小寫字母等等。
此外,SSL VPN系統(tǒng)還支持數(shù)字證書的使用,支持多種認證服務器(包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor認證,包括ActivCard ActivPack?、RSA SecurID?和Secure Computing SafeWord? PremierAccess?以及X.509客戶端數(shù)字證書),也可在設備上建立本地用戶數(shù)據(jù)庫,更支持LDAP/Active Directory的用戶組的特性,方便管理員定義策略。此外,還支持一次登錄訪問多個需認證的應用的功能(基于cookie的認證),為遠程安全接入用戶提供方便。