遠程安全訪問解決方案

隨著信息技術(shù)的快速發(fā)展，企業(yè)為了提高服務的質(zhì)量和水平、在市場競爭中取得優(yōu)勢，企業(yè)建立了內(nèi)部局域網(wǎng)，使內(nèi)部辦公人員通過網(wǎng)絡可以迅速地獲取相關(guān)信息資源。然而，隨著個人電腦和互聯(lián)網(wǎng)應用技術(shù)的普及，“家庭辦公”、“異地辦公”、“移動辦公”等多種遠程辦公模式逐漸普及，同時合作伙伴也希望能訪問到相應的信息資源。企業(yè)的IT管理人員面臨將遠程辦公模式作為內(nèi)部辦公網(wǎng)絡的延伸。

實現(xiàn)“家庭辦公”、“異地辦公”、“移動辦公”，企業(yè)一般會采用通過在路由器或防火墻上做地址映射方式解決,將服務器公布在Internet上供企業(yè)員工或合作伙伴人員訪問。但由于Internet中的所有人都能查看到服務器，我們都知道，Internet上的威脅是多種多樣的，隨著時間推移和技術(shù)的發(fā)展發(fā)生著變化，這些威脅會對服務器系統(tǒng)造成攻擊破壞，主要包括信息竊取、數(shù)據(jù)完整性破壞、業(yè)務拒絕攻擊、非法使用等等。企業(yè)OA系統(tǒng)、ERP系統(tǒng)、CRM系統(tǒng)等，這些重要的數(shù)據(jù)服務器在Internet上發(fā)布，畢竟會受到信息竊取或數(shù)據(jù)被破壞等多種威脅和攻擊，對企業(yè)會造成巨大的損失。

針對Internet數(shù)據(jù)傳輸中存在的安全隱患，如要享受通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部信息資源的便利，就必須采用安全的解決方案，并實施嚴格的信息安全策略，在防止企業(yè)信息資源被非法竊取的同時，對合法的訪問要提供方便，同時還需盡量降低信息安全策略的實施和維護成本。

綜上所述，我們認為采用虛擬專用網(wǎng)(VPN)方式來解決網(wǎng)絡威脅問題，既能避免服務器暴露在Internet中，又能保證數(shù)據(jù)傳輸過程中不被竊取。虛擬專用網(wǎng)（VPN）可以滿足企業(yè)對網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等多方面要求，使企業(yè)可以較少地投入網(wǎng)絡的運行與維護成本。遠程訪問VPN解決方案，對數(shù)據(jù)傳輸進行加密、認證、防篡改，是實現(xiàn)總部和分支機構(gòu)之間以及遠程辦公數(shù)據(jù)傳輸安全的有效措施，與專線相比，它實現(xiàn)了安全傳輸?shù)耐瑫r，具有更低的投入和維護成本。它采用復雜的算法來加密傳輸?shù)男畔?，用戶訪問數(shù)據(jù)庫服務器時，包括用戶名和密碼在內(nèi)的所有的數(shù)據(jù)都通過加密傳輸，避免了以往明文傳輸數(shù)據(jù)造成的數(shù)據(jù)泄漏。

使用VPN方式實現(xiàn)遠程安全接入主要有兩種：一種是IPSec VPN，另一種是SSL VPN。兩種技術(shù)在不同領(lǐng)域各有其優(yōu)缺點，IPSec VPN是采用基于PKI和IPSec標準的VPN技術(shù)，把全國各地分支機構(gòu)的局域網(wǎng)通過專用VPN設備安全地連接在一起，保護內(nèi)部網(wǎng)絡的安全，并保證通過公網(wǎng)傳輸信息的保密性與不可篡改性，為企業(yè)的管理和業(yè)務構(gòu)造一個便捷、保密的信息傳輸平臺。SSL VPN通過安全的Socket Layer通道，對數(shù)據(jù)傳輸進行加密，保證傳輸?shù)男畔⒈Ｃ苄院筒豢纱鄹男小?/span>

我們建議：在實施固定站點到站點（如企業(yè)總部與分支機構(gòu)之間）的VPN和復雜應用的移動用戶接入VPN時，采用IPSec VPN技術(shù)；在實施普通應用，并且VPN使用用戶比較分散、繁多時，采用SSL VPN技術(shù)。

以下對兩種VPN接入方式進行詳細介紹：

 9.1 IPSec VPN

對于企業(yè)實現(xiàn)站點間的VPN方式來說，一般選用防火墻集成VPN功能的設備來部署IPSec VPN。IPSec是業(yè)界標準的網(wǎng)絡安全協(xié)議，可以為IP網(wǎng)絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，并且防火墻還可以有效抵御網(wǎng)絡攻擊。它以自己的封包封裝原始IP信息，因此可隱藏所有應用協(xié)議的信息。IPSec VPN是一種比較成熟的安全技術(shù)，它是一種基于網(wǎng)絡層的VPN技術(shù)，對于應用程序來說是透明的，所以安裝IPSec VPN時，無需更改用戶或服務器系統(tǒng)中的軟件設置。即使在終端系統(tǒng)中執(zhí)行IPSec，應用層軟件程序等也不會被影響。

許多企業(yè)在全國各地設有分支機構(gòu)，每個地方各自建有局域網(wǎng)，集成VPN的防火墻設備建立VPN加密隧道后，就可以實現(xiàn)各種訪問，如Web、電子郵件、文件傳輸、VOIP、網(wǎng)絡設備統(tǒng)一管理等，大大簡化了原有網(wǎng)絡的應用模式，網(wǎng)絡管理人員遠程也能安全的管理企業(yè)總部或分支機構(gòu)的服務器資源，提高了網(wǎng)絡工作效率。利用IPSec VPN技術(shù)將企業(yè)中心與各個分支機構(gòu)連接起來，不僅大幅度地節(jié)約了通訊費用，而且保障數(shù)據(jù)的傳輸安全，同時還可以實現(xiàn)對每個信息點進行遠程監(jiān)控，保證各個地點的平穩(wěn)運行。IPSec VPN方式一般對于站點對站點的訪問，對于“移動辦公”、“家庭辦公”用戶需要在用戶計算機上安裝IPSec VPN客戶端軟件，對軟件進行配置后就可以實現(xiàn)對企業(yè)中心服務器資源的訪問了。

現(xiàn)階段IPSEC VPN技術(shù)已經(jīng)集成到網(wǎng)關(guān)設備中，如：防火墻。利用防火墻集成IPSEC VPN可使您在部署高性能的防火墻的同時建立IPSec VPN，在實現(xiàn)安全通信的同時防御網(wǎng)絡攻擊威脅。

IPSec VPN解決方案安全訪問拓撲圖如下：

IPSec VPN 技術(shù)在IP 傳輸上通過加密隧道，在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時，保證內(nèi)部數(shù)據(jù)的安全性，從而實現(xiàn)企業(yè)總部與各分支機構(gòu)之間的數(shù)據(jù)、話音、視頻業(yè)務互通。如今，許多世界500 強的企業(yè)已經(jīng)把VPN 作為遠端分支和移動用戶連接的主要手段，構(gòu)建企業(yè)虛擬業(yè)務網(wǎng)，而國內(nèi)大量企業(yè)也已開始考慮現(xiàn)在這種方式，并逐漸開始實施。

在已經(jīng)成功實施IPSec VPN 的企業(yè)網(wǎng)中，防火墻等VPN安全網(wǎng)關(guān)產(chǎn)品被大量使用，通過對用戶采用IPSec VPN 構(gòu)建企業(yè)虛擬業(yè)務網(wǎng)。我們認為，企業(yè)利用Internet 建立自己的IPSec VPN 具有以下優(yōu)勢：

?   企業(yè)不再承擔昂貴的固定線路的租費。DDN、幀中繼、SDH的異地收費隨著通訊距離的增加而遞增，分支越遠，租費越高。而Internet的接入費用則只承擔本地的接入費用，無論分支多遠，費用卻是一樣的。

?   連接Internet 的方式可以是10M 、100M 端口，也可以是2M 或更低速的端口，還可以是便宜的DSL 連接，一個IPSec VPN 網(wǎng)絡可以連接任意地點的分支，不受距離遠近的限制。　

?   IPSec VPN 的核心設備的擴展性好，可以同時連接成千上萬的分支，包括分支部門和移動辦公的用戶。

?   遠程的IP話音業(yè)務和視頻也可傳送到遠端分支和移動用戶，連通數(shù)據(jù)業(yè)務一起，為現(xiàn)代化辦公提供便利條件，節(jié)省大量長途話費。

?   IPSec VPN 的顯著特點就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN防火墻上，通過支持所有領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、包過濾、還可通過RADIUS、 PAP、CHAP、Tokens、X.509、 LDAP 和 SecurID等認證方式。

?   VPN防火墻的分離通道特性為 IPSec 客戶端提供同時對Internet和本地網(wǎng)絡訪問支持。該特性使用戶在安全條件下合理方便地使用網(wǎng)絡資源，既有安全性又有靈活性。

?   IPSec VPN內(nèi)嵌與防火墻或網(wǎng)絡設備中，便于進行實施管理。

   9.2 SSL VPN

SSL VPN與IPSec VPN相比兩者各自有各自的特點，并不能相互取代。SSL VPN相對于IPSec VPN有更高的靈活性，它不需要使用客戶端軟件，不需要進行專業(yè)化培訓，通過所以標準瀏覽器即可實現(xiàn)遠程安全訪問，更適合于遠程靈活性訪問,能夠做為IPSec VPN的有效補充。

SSL VPN支持移動用戶安全地遠程接入，移動用戶撥入當?shù)?span lang="EN-US">ISP后，與VPN網(wǎng)關(guān)建立加密隧道，實現(xiàn)對內(nèi)部網(wǎng)絡安全地訪問，保證遠程辦公的安全性。

SSL VPN解決方案安全訪問拓撲圖如下：

通過實施SSL VPN遠程接入解決方案，不僅保證關(guān)鍵業(yè)務系統(tǒng)的安全性，而且能夠達到以下目標：

?   保護內(nèi)部網(wǎng)絡安全。通過設置有效的安全策略，確保只允許符合安全策略的內(nèi)外網(wǎng)絡之間的訪問與服務，保證內(nèi)部網(wǎng)絡免受外部攻擊。

?   保證通過公網(wǎng)傳輸信息的安全。使用SSL VPN網(wǎng)關(guān)可以建立高強度的加密隧道，信息在公網(wǎng)上傳輸時，是以加密的形式傳送的，并附加了認證信息，可以保證數(shù)據(jù)的保密性與不可篡改性。

?   保證對公網(wǎng)透明的訪問。內(nèi)部網(wǎng)絡用戶可以使用安全訪問SSL VPN所需要的服務,并且同時實現(xiàn)對Internet透明地訪問，同時對外部網(wǎng)絡隱藏了內(nèi)部的網(wǎng)絡拓撲。

SSL VPN產(chǎn)品對于遠程訪問權(quán)限具有較強地控制能力，能夠細粒度地進行網(wǎng)絡安全接入控制，包括以下功能特點：

?  動態(tài)認證策略：可以通過多種要素對用戶身份進行認證，包括提供身份前檢查和提供身份后檢查，其中提供身份前檢查的內(nèi)容可包括：源地址、網(wǎng)絡接口（內(nèi)/外）、證書、節(jié)點安全（包括主機檢查和緩存清除）、瀏覽器的user agent、登錄的URL、SSL版本和加密級別；提供身份后檢查的內(nèi)容可包括：身份確定、證書特性、密碼長度、同時登錄用戶數(shù)、目錄服務密碼；

?  角色定義和策略匹配：管理員可以定義用戶屬于一個或多個角色，對不同角色提供不同的訪問權(quán)限。對屬于多個角色的用戶可以一次性地給該用戶多個角色的總和，也可以讓用戶選擇采用某個角色進行應用訪問；

?  資源訪問策略：對于不同的應用資源，管理員可以提供不同的訪問策略，作為第三層的訪問控制手段；

?  支持口令管理功能：當用戶修改自己的口令時，系統(tǒng)會自動與后臺AD服務器保持同步，同時更新口令；可以強制用戶在一段時間后必須更改自己的口令，可以設置提前幾日給與提示；

?  口令驗證策略可以規(guī)定必須包含幾位數(shù)字，幾位字母，最小長度，最大長度，不得與用戶名重復，不得與前次口令相同，必須包含有大小寫字母等等。

此外，SSL VPN系統(tǒng)還支持數(shù)字證書的使用，支持多種認證服務器（包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor認證，包括ActivCard ActivPack?、RSA SecurID?和Secure Computing SafeWord? PremierAccess?以及X.509客戶端數(shù)字證書），也可在設備上建立本地用戶數(shù)據(jù)庫，更支持LDAP/Active Directory的用戶組的特性，方便管理員定義策略。此外，還支持一次登錄訪問多個需認證的應用的功能（基于cookie的認證），為遠程安全接入用戶提供方便。