远程安全访问解决方案
远程安全访问解决方案
随着信息技术的快速发展,企业为了提高服务的质量和水平、在市场竞争中取得优势,企业建立了内部局域网,使内部办公人员通过网络可以迅速地获取相关信息资源。然而,随着个人电脑和互联网应用技术的普及,“家庭办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及,同时合作伙伴也希望能访问到相应的信息资源。企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸。
实现“家庭办公”、“异地办公”、“移动办公”,企业一般会采用通过在路由器或防火墙上做地址映射方式解决,将服务器公布在Internet上供企业员工或合作伙伴人员访问。但由于Internet中的所有人都能查看到服务器,我们都知道,Internet上的威胁是多种多样的,随着时间推移和技术的发展发生着变化,这些威胁会对服务器系统造成攻击破坏,主要包括信息窃取、数据完整性破坏、业务拒绝攻击、非法使用等等。企业OA系统、ERP系统、CRM系统等,这些重要的数据服务器在Internet上发布,毕竟会受到信息窃取或数据被破坏等多种威胁和攻击,对企业会造成巨大的损失。
针对Internet数据传输中存在的安全隐患,如要享受通过互联网访问企业内部信息资源的便利,就必须采用安全的解决方案,并实施严格的信息安全策略,在防止企业信息资源被非法窃取的同时,对合法的访问要提供方便,同时还需尽量降低信息安全策略的实施和维护成本。
综上所述,我们认为采用虚拟专用网(VPN)方式来解决网络威胁问题,既能避免服务器暴露在Internet中,又能保证数据传输过程中不被窃取。虚拟专用网(VPN)可以满足企业对网络的灵活性、安全性、经济性、扩展性等多方面要求,使企业可以较少地投入网络的运行与维护成本。远程访问VPN解决方案,对数据传输进行加密、认证、防篡改,是实现总部和分支机构之间以及远程办公数据传输安全的有效措施,与专线相比,它实现了安全传输的同时,具有更低的投入和维护成本。它采用复杂的算法来加密传输的信息,用户访问数据库服务器时,包括用户名和密码在内的所有的数据都通过加密传输,避免了以往明文传输数据造成的数据泄漏。
使用VPN方式实现远程安全接入主要有两种:一种是IPSec VPN,另一种是SSL VPN。两种技术在不同领域各有其优缺点,IPSec VPN是采用基于PKI和IPSec标准的VPN技术,把全国各地分支机构的局域网通过专用VPN设备安全地连接在一起,保护内部网络的安全,并保证通过公网传输信息的保密性与不可篡改性,为企业的管理和业务构造一个便捷、保密的信息传输平台。SSL VPN通过安全的Socket Layer通道,对数据传输进行加密,保证传输的信息保密性和不可篡改行。
我们建议:在实施固定站点到站点(如企业总部与分支机构之间)的VPN和复杂应用的移动用户接入VPN时,采用IPSec VPN技术;在实施普通应用,并且VPN使用用户比较分散、繁多时,采用SSL VPN技术。
以下对两种VPN接入方式进行详细介绍:
9.1 IPSec VPN
对于企业实现站点间的VPN方式来说,一般选用防火墙集成VPN功能的设备来部署IPSec VPN。IPSec是业界标准的网络安全协议,可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,并且防火墙还可以有效抵御网络攻击。它以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。IPSec VPN是一种比较成熟的安全技术,它是一种基于网络层的VPN技术,对于应用程序来说是透明的,所以安装IPSec VPN时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用层软件程序等也不会被影响。
许多企业在全国各地设有分支机构,每个地方各自建有局域网,集成VPN的防火墙设备建立VPN加密隧道后,就可以实现各种访问,如Web、电子邮件、文件传输、VOIP、网络设备统一管理等,大大简化了原有网络的应用模式,网络管理人员远程也能安全的管理企业总部或分支机构的服务器资源,提高了网络工作效率。利用IPSec VPN技术将企业中心与各个分支机构连接起来,不仅大幅度地节约了通讯费用,而且保障数据的传输安全,同时还可以实现对每个信息点进行远程监控,保证各个地点的平稳运行。IPSec VPN方式一般对于站点对站点的访问,对于“移动办公”、“家庭办公”用户需要在用户计算机上安装IPSec VPN客户端软件,对软件进行配置后就可以实现对企业中心服务器资源的访问了。
现阶段IPSEC VPN技术已经集成到网关设备中,如:防火墙。利用防火墙集成IPSEC VPN可使您在部署高性能的防火墙的同时建立IPSec VPN,在实现安全通信的同时防御网络攻击威胁。
IPSec VPN解决方案安全访问拓扑图如下:
IPSec VPN 技术在IP 传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。如今,许多世界500 强的企业已经把VPN 作为远端分支和移动用户连接的主要手段,构建企业虚拟业务网,而国内大量企业也已开始考虑现在这种方式,并逐渐开始实施。
在已经成功实施IPSec VPN 的企业网中,防火墙等VPN安全网关产品被大量使用,通过对用户采用IPSec VPN 构建企业虚拟业务网。我们认为,企业利用Internet 建立自己的IPSec VPN 具有以下优势:
Ø 企业不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地收费随着通讯距离的增加而递增,分支越远,租费越高。而Internet的接入费用则只承担本地的接入费用,无论分支多远,费用却是一样的。
Ø 连接Internet 的方式可以是
Ø IPSec VPN 的核心设备的扩展性好,可以同时连接成千上万的分支,包括分支部门和移动办公的用户。
Ø 远程的IP话音业务和视频也可传送到远端分支和移动用户,连通数据业务一起,为现代化办公提供便利条件,节省大量长途话费。
Ø IPSec VPN 的显著特点就是它的安全性,这是它保证内部数据安全的根本。在VPN防火墙上,通过支持所有领先的通道协议、数据加密、包过滤、还可通过RADIUS、 PAP、CHAP、Tokens、X.509、 LDAP 和 SecurID等认证方式。
Ø VPN防火墙的分离通道特性为 IPSec 客户端提供同时对Internet和本地网络访问支持。该特性使用户在安全条件下合理方便地使用网络资源,既有安全性又有灵活性。
Ø IPSec VPN内嵌与防火墙或网络设备中,便于进行实施管理。
9.2 SSL VPN
SSL VPN与IPSec VPN相比两者各自有各自的特点,并不能相互取代。SSL VPN相对于IPSec VPN有更高的灵活性,它不需要使用客户端软件,不需要进行专业化培训,通过所以标准浏览器即可实现远程安全访问,更适合于远程灵活性访问,能够做为IPSec VPN的有效补充。
SSL VPN支持移动用户安全地远程接入,移动用户拨入当地ISP后,与VPN网关建立加密隧道,实现对内部网络安全地访问,保证远程办公的安全性。
SSL VPN解决方案安全访问拓扑图如下:
通过实施SSL VPN远程接入解决方案,不仅保证关键业务系统的安全性,而且能够达到以下目标:
Ø 保护内部网络安全。通过设置有效的安全策略,确保只允许符合安全策略的内外网络之间的访问与服务,保证内部网络免受外部攻击。
Ø 保证通过公网传输信息的安全。使用SSL VPN网关可以建立高强度的加密隧道,信息在公网上传输时,是以加密的形式传送的,并附加了认证信息,可以保证数据的保密性与不可篡改性。
Ø 保证对公网透明的访问。内部网络用户可以使用安全访问SSL VPN所需要的服务,并且同时实现对Internet透明地访问,同时对外部网络隐藏了内部的网络拓扑。
SSL VPN产品对于远程访问权限具有较强地控制能力,能够细粒度地进行网络安全接入控制,包括以下功能特点:
Ø 动态认证策略:可以通过多种要素对用户身份进行认证,包括提供身份前检查和提供身份后检查,其中提供身份前检查的内容可包括:源地址、网络接口(内/外)、证书、节点安全(包括主机检查和缓存清除)、浏览器的user agent、登录的URL、SSL版本和加密级别;提供身份后检查的内容可包括:身份确定、证书特性、密码长度、同时登录用户数、目录服务密码;
Ø 角色定义和策略匹配:管理员可以定义用户属于一个或多个角色,对不同角色提供不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问;
Ø 资源访问策略:对于不同的应用资源,管理员可以提供不同的访问策略,作为第三层的访问控制手段;
Ø 支持口令管理功能:当用户修改自己的口令时,系统会自动与后台AD服务器保持同步,同时更新口令;可以强制用户在一段时间后必须更改自己的口令,可以设置提前几日给与提示;
Ø 口令验证策略可以规定必须包含几位数字,几位字母,最小长度,最大长度,不得与用户名重复,不得与前次口令相同,必须包含有大小写字母等等。
此外,SSL VPN系统还支持数字证书的使用,支持多种认证服务器(包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证,包括ActivCard ActivPack™、RSA SecurID®和Secure Computing SafeWord™ PremierAccess™以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/Active Directory的用户组的特性,方便管理员定义策略。此外,还支持一次登录访问多个需认证的应用的功能(基于cookie的认证),为远程安全接入用户提供方便。