《(安全生产)中国移动IBMVPN安全配置手册》由会员分享,可在线阅读,更多相关《(安全生产)中国移动IBMVPN安全配置手册(24页珍藏版)》请在金锄头文库上搜索。
1、中国移动 IBM VPN 安全配置手册 第 页 共 页 密 级 文档编号 项目代号 中国移动中国移动 IBM VPN 安全配置手册安全配置手册 Version 1 0 中国移动通信有限公司 二零零四年十二月 中国移动 IBM VPN 安全配置手册 2 拟拟 制制 审审 核核 批批 准准 会会 签签 标准化标准化 中国移动 IBM VPN 安全配置手册 3 版本控制版本控制 版本号版本号日期日期参与人员参与人员更新说明更新说明 分发控制分发控制 编号编号读者读者文档权限文档权限与文档的主要关系与文档的主要关系 1 创建 修改 读取负责编制 修改 审核 2 批准负责本文档的批准程序 3 标准化审核
2、作为本项目的标准化负责人 负 责对本文档进行标准化审核 4 读取 5 读取 中国移动 IBM VPN 安全配置手册 4 目目 录录 1 1IBMIBM VPNVPN 概述概述 5 1 1简介 5 1 2分类及其工作原理 5 1 3功能与定位6 1 4特点与局限性 7 2 2IBMIBM VPNVPN 部署原则及适用环境部署原则及适用环境 8 2 1适用环境 8 2 2安全部署原则 8 3 3IBMIBM VPNVPN 的安全管理与配置的安全管理与配置 10 3 1服务器安全策略 10 3 2日志审计及监控 10 3 3密码策略管理 13 3 4过滤器管理与配置 15 3 4 1建立过滤器 15
3、 3 4 2设置mni使用过滤器 22 3 5认证方式和隧道协议 23 中国移动 IBM VPN 安全配置手册 5 1 1 IBMIBM VPNVPN 概述概述 1 1 简介简介 支持多平台环境的 IBM WebSphere Everyplace Connection Manager WECM 无线网关是一个分布式 可扩展的 高可靠性 多用途的 UNIX 通讯平台 它可以通过无线网络 局域网 LAN 或广域网 WAN 为 IP 短 消息 SMS 和无线应用协议 WAP 的客户端提供优化 安全的数据访问功能 1 2 分类及其工作原理分类及其工作原理 WECM 方案是一个客户端 服务器的架构 WE
4、CM 的客户端软件 wireless client 需要安装在无线终端设备 如笔记本电脑或 PDA 上 Wireless client 软件目前支持 Win98 Me 2000 XP NT WinCE PocketPC 2002 和 PalmOS 等操作 系统 WECM 的服务器软件 wireless gateway 可运行在 IBM RS 6000 的 AIX 平 台上 用户鉴权信息保存在同一台 RS 6000 的 LDAP Lightway Directory Access Protocol 数据库上 无线终端设备连接到 GPRS 后 启动 wireless client 客户端软件 通过
5、 UDP 8889 端口 穿过 GMCC 防火墙 连接 GMCC 机房的 WECM wireless gateway wireless gateway 向 LDAP 请求用户鉴权 成功后 wireless client 和 wireless gateway 建立一条 VPN 通道 所有终端设备上的应用都可 以经这条 VPN 通道访问企业现有的系统 在 wireless client 和 wireless gateway 建立 VPN 通道时 wireless gateway 会从规划的 IP 地址中动态分配一个逻辑 IP 地址给 wireless client 中国移动 IBM VPN 安全配
6、置手册 6 而所有应用都使用这个 IP 地址作为应用 IP 地址 Wireless client 将数据包 进行压缩 用 3DES 或 AES 加密后传到 wireless gateway 上 Wireless gateway 对应用客户端的数据包进行解压缩 解密后 把数据包按应用的 IP 地 址发送到企业应用服务器上 反过来 企业应用服务器的数据包先经过 wireless gateway 进行压缩和加密 传到 wireless client 上 Wireless client 把数据包解压缩 解密后 交给应用客户端程序 1 3 功能与定位功能与定位 在 IBM 提供的无线安全 VPN 方案中
7、 主要利用了 WECM 的移动接入服务功能 在该方案中 WECM 由以下三个组件组成 服务器网关程序 Everyplace Wireless Gateway 客户端程序 Everyplace Wireless Client 管理员程序 Everyplace Wireless Gatekeeper Everyplace Wireless Gateway WECM 无线网关提供移动接入服务功能 通过用户认证及数据加密功能 保证数据从客户端到服务器端到端的数据安全 并经过对数据包的压缩 优化 实现对无线网络的适应 保证数据的快速传输 Everyplace Wireless Client IBM Ev
8、eryplace Wireless Client 软件运行在客户端移动设备上 并提供了一 个功能完善的接口来实现与 Everyplace 无线网关之间的通讯 在用户经过认证与 Everyplace 无线网关建立了连接后 WECM 为该用户分配 一个逻辑的 IP 地址 使用由用户端移动设备的操作系统提供的标准 TCP IP IP 应用程序将能够在无线网络上运行 Everyplace Wireless Client 与 WECM 无线网关的结合 将为无线网络通讯带来更强的功能 更好的性能及更 高的安全性 无论在支持 IP 协议还是不支持 IP 协议的网络中 Everyplace 中国移动 IBM
9、VPN 安全配置手册 7 Wireless Gateway 都使用标准 IP 路由 以保证在移动设备与应用程序服务器 间建立持续的端到端 TCP 会话 WECM 客户端支持的移动终端环境包括 MS PocketPC2002 WinCE WinME Win2K WinXP Win98 PalmOS 等 Everyplace Wireless Gatekeeper IBM Everyplace Wireless Gatekeeper 提供了一个基于 Java 技术用于管理 WECM 无线网关及无线资源的管理控制台 利用 Everyplace Wireless Gatekeeper 提供的管理接口
10、您可以方便地实现远 程定义或设置无线网关 注册用户及无线设备 记录用户登录情况及跟踪控制 情况 执行路径管理等操作 管理及配置数据将被存储在一个 LDAP Lightweight Directory Access Protocol 注册服务器中 可以设置多个 Everyplace Wireless Gatekeeper 管理员 并将管理任务和权限 根据业务需要分配给这些管理员 如果您使用的 WECM 无线网关只需要支持 WAP 用户 您还可以将 Everyplace Wireless Gatekeeper 配置为只显示与 WAP 有关的资源数据 以简化管理过程 Gatekeeper 与服务器网
11、关通过安全的 SSL 机制建立连接 1 4 特点与局限性特点与局限性 WECM 无线网关将无线及有线数据访问集成在一起 能够有效地为移动用户 提供数据和应用 现有应用通过 TCP IP 接口可以很容易地扩展到各种无线或有 线通讯环境 WECM 为方便用户应用开发而隐藏了网络技术实现及接口细节 但 提供了用户认证及数据安全性功能 如数据的压缩 加密及优化等 WECM 具有 以下特点及优势 使您可以通过无线或有线网络向移动用户提供电子商务服务 中国移动 IBM VPN 安全配置手册 8 提供了一个经济划算的为移动用户提供网络服务的解决方案 使您可以使用统一的工业标准接口将各类无线网络集成在一起 具
12、有高度的安全性 支持双向用户认证及数据加密 使您可以通过压缩数据及缩减数据包头来减少网络响应时间 降低数据 超载率 能够自动保持或恢复网络拨号连接以保证数据的有效传输 提供了一个用 Java 技术建立的用户接口 使您可以方便地在多平台环 境下安装和配置无线网关 2 2 IBMIBM VPNVPN 部署原则及适用环境部署原则及适用环境 2 1 适用环境适用环境 WECM 在服务器和客户端软件都对不同网络开发了不同的网络适配器模块 可以支持多种有线和无线网络 对 GPRS 和 WLAN 网络支持没有问题 在 WLAN 上 还可以作为 WLAN 的安全方案以解决 WLAN 的安全问题 同时 WECM
13、 上有一个会话 管理数据库 存放了所有连接的会话 这样可以使用户可以使用 GPRS 网络安全 连接企业应用服务器 在有带宽更高的网络 如 WLAN 或有线以太网的时候 用 户自己从 GPRS 切换到这些网络 用户所访问的应用不会中断 WECM 特别适合以下方面的应用 无线安全 VPN 方案 在不同无线 有线网络之间无缝切换 应用不中断 WAP 网关 2 2 安全部署原则安全部署原则 中国移动 IBM VPN 安全配置手册 9 就 WECM 的工作原理而言 通过 WECM 传输数据是安全的 所有进行传 输的数据都需要经过服务器和客户端的加密后才进行传输 可以有效的防止嗅 探器程序窃取网络传输数据
14、 所以 WECM 的安全部署可以省略数据传输安全 的考虑 那么 我们对系统安全部署的考虑主要集中在服务器的平台安全 用户帐 号安全 以及防止蠕虫或病毒的数据攻击方面 由 VPN 软件的工作原理可知 WECM 服务器必须部署在 DMZ 区内 也就是说其具有外部 IP 能为外网访问 所以如何保证服务器的安全 应该摆在首要位置 用户帐号的安全也同样不能忽视 堡垒往往最容易从内部攻破 如何制 定一个合适的 容易操作的密码策略可以大大减少用户密码被破解的概 率 减少用户密码泄露带来的不安全隐患 病毒和蠕虫的数据攻击也不可小看 它们发送的垃圾数据包不仅占用网 络带宽 导致网络速度下降 而且大量频繁的垃圾数
15、据导致服务器 CPU 不断进行加解密操作 严重的情况下使 CPU 满载而不能为其他用 户提供正常服务 中国移动 IBM VPN 安全配置手册 10 3 3 IBMIBM VPNVPN 的安全管理与配置的安全管理与配置 3 1 服务器安全策略服务器安全策略 要保证 VPN 系统安全 首先要保证运行 VPN 服务的服务器的安全 服务器基 本策略如下 VPN 服务器位于 DMZ 内 具有公网 IP 容易遭受外界攻击 所以在外层 防火墙设置方面应该使用最严格的策略 只对外部网络开放服务端口 UDP 8889 不允许外部 IP 直接登录服务器 在内部网络上 也应该加以设置 应该只允许特定的管理 IP 直
16、接访问 VPN 服务器的 TCP 9555 管理端口及 23 端口 对于其他 IP 也只开放 UDP 8889 端口 对于需要移动环境下管理服务器的情况 可先经由 wecm client 通过 UDP 8889 端口连接 VPN 服务器 再通过 WECM 平台内部 IP 来登录进行管理 这样的话要经过双重认证才能登录服务器进行管理 最大限度保证了服务 器的安全 3 2 日志审计及监控日志审计及监控 WECM 的日志以文件形式或数据库形式进行存储 一般情况下 我们使用 文件来记录日志 可以借助日志来监控系统安全状况 WECM 的日志类型和缺省文件名如下 消息日志 存储单个 WECM 的消息 缺省路径是 var adm wg log 帐户日志 存储帐户记录 例如 MNI WAP 客户机或 SMS 客户机的帐户 中国移动 IBM VPN 安全配置手册 11 记录 由于帐户日志显示已传送的包数以及寻址信息 因此他提供了确定 什么活动正在 WECM 上发生的有效办法 当它配置成使用文件形式时 缺 省路径是 var adm wg acct 跟踪日志 所有传输到和接收至 Client 的包数据都可存
