《华为SVN5600_5800系列安全接入网关技术主打胶片精编版》由会员分享,可在线阅读,更多相关《华为SVN5600_5800系列安全接入网关技术主打胶片精编版(53页珍藏版)》请在金锄头文库上搜索。
1、华为安全接入网关技术交流主打胶片 SVN5600/SVN5800系列,目录,附录 VPN基础知识介绍,SVN 系列硬件介绍,SVN 系列软件介绍,1,2,3,SVN5000安全接入网关全家福,SVN5630, 300M SSL加密吞吐量, 1500并发用户, 1U,4GE+2Combo,SVN5660, 500M SSL加密吞吐量, 3000并发用户, 1U,8GE+4SFP,SVN5830,700M SSL加密吞吐量, 6000并发用户, 1U, 8GE+4SFP,SVN5850,1G SSL加密吞吐量, 1.2万并发用户, 1U,8GE+4SFP,SVN5880, 5G SSL加密吞吐量,
2、 10万并发用户, 3U,4*10GE+16GE+8SFP,USG5600/USG5800系列共计6款设备 覆盖300M5G SSL加密性能,最大10万并发SSL用户 接口最少6GE,最大扩展支持64*GE+14*10GE,分销,行业,SVN5860, 3G SSL加密吞吐量, 4万并发用户, 3U,2*10GE+8GE+8SFP,SVN5660,SVN5630,SVN5000硬件主机介绍分销5600系列,SVN5830/5850,SVN5860/5880,SVN5000硬件主机介绍非分销5800系列,目录,SVN 系列硬件介绍,SVN 系列软件介绍,1,2,附录 VPN基础知识介绍,3,资源
3、管理,网关安全,终端安全,认证授权,Web代理,文件共享,端口转发,网络扩展,多媒体隧道,云接入,VPNDB,Radius,SecurID,LDAP,AD,内置CA,外置CA,主认证方式,短信认证,图形码,终端标识码,辅助认证方式,本地用户,本地组,外部组,主机检查,缓存清理,转发策略,黑白名单,NAT,攻击防范,虚拟防火墙,虚拟网关,内网隔离系统,页面定制,时间计划,用户锁定,管理员分级管理,密码策略,虚拟网关策略,用户、组策略,防火墙,虚拟网关,角色绑定,单点登录,SVN功能框架,SVN:定义安全高效的远程接入方式,安全随身,立体的防护管控:10种身份认证方式,6000+应用识别管控,访问
4、随心,卓越的接入能力,1,5种VPN技术 7种终端类型 4种访问功能,SSL VPN,IPSec VPN,强大VPN功能,终端到网络场景 web浏览器接入; 客户端软件接入; 用户认证,角色管理,终端安全检查;,网络到网络场景 网关与网关建隧道; 两端网络直接连通;,L2TP over IPSec,终端到网络场景 客户端软件接入; 用户认证;,GRE over IPSec,与IPSec结合,保护路由协议、语音、视频等组播报文;,MPLS VPN,在骨干网上转发VPN报文;,接入方式 基于SSL VPN协议:web浏览器、SSL客户端软件; 基于IPSec VPN协议:标准 IPSec客户端软件
5、;,接入方式 基于SSL VPN协议:web浏览器; 基于IPSec VPN协议:终端操作系统自带的IPSec客户端软件;,泛终端接入7种主流OS,Web代理,对内网Web资源的无客户端访问 无客户端的SSL VPN访问,只通过标准浏览器,无需安装任何客户端软件或网页插件; SVN网关充当客户端和服务器之间的代理; URL改写并隐藏,使内网服务器地址对公网用户不可见; URL级访问控制,可控制用户对某一张具体页面的访问权限。,Web代理URL改写举例,SVN公网访问地址: 管理员在SVN上配置的内网WEB网页资源A: 资源A的链接推送到客户端后的地址: 用户访问web资源A是,目的地址转变为S
6、VN,所有访问报文都通过SVN中转。在用户终端无需安装任何客户端程序;,内网web网页A地址,SVN公网访问地址: 在SVN上配置的web网页地址:,用户发起访问的实际地址:,Proxy,网络扩展,实现对内网所有复杂应用的全网访问 通过建立安全SSL隧道,实现对基于IP的内网业务的全面访问 实现方式 1)ActiveX控件; 2)专用客户端软件:一次安装,零配置; 访问方式(由管理员根据不同应用场景进行配置) 1)全通道(Full Tunnel) 只允许访问企业内网; 2)分离通道(Split Tunnel ) 可同时访问企业内网和本地子网; 3)手动(Manual Tunnel ) 可访问内
7、网特定网段的资源,同时对其他正常操作不作影响, 可以访问Internet和本地子网;,网络扩展实现过程,1、在客户端下载控件,安装虚拟网卡,虚拟网卡获得一个可被内网识别的IP地址; 2、客户端发起基于IP的内网应用,虚拟网关截获报文进行封装加密,发往SVN; 3、SVN对报文解密后发往内网服务器; 4、内网服务器的响应报文发到SVN,由SVN进行封装加密,发往客户端。,网络扩展访问模式,Internet,本地局域网,VPN内网,Internet,本地局域网,VPN内网,Internet,本地局域网,VPN内网,网段1,网段2,网段3,全通道模式-Full Tunnel 客户端所有流量都流向VP
8、N网关; 用户在访问VPN的同时不允许访问其他网络;,分离通道模式-Split Tunnel 用户除了可以访问内网,还能访问客户端所在的本地子网 ;,自定义模式- Manual Tunnel 用户能够访问内网特定网段的资源,同时,客户端访问本地子网和Internet的操作不受影响 ;,端口转发,提供丰富的内网TCP应用服务 广泛支持静态端口的TCP应用 单端口单服务器(如:Telnet,SSH,MS RDP,VNC等) 单端口多服务器(如: Lotus Notes) 多端口多服务器(如: Outlook ) 支持动态端口的TCP应用 动态端口(如: FTP被动模式,Oracle) 提供端口级的
9、访问控制,端口转发实现原理,用户点击客户端页面“启动端口转发功能”按钮,自动安装运行一个Windows ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口); 控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port 与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出)。将目的地址改写为回环地址,转发到侦听端口。 对该报文加密封装,添加私有报文头,将目的地址设为SVN的IP地址,经由侦听端口发往SVN。 SVN收到报文进行解密,发往真实的目的服务器端口。 SVN收到服务器的响应后,再加密封装回传给用户终端的侦听端口。,端口
10、转发实现原理,SVN,TCP 110,TCP 25,TCP 21,TCP 23,应用请求,应用代理,CLIENT,SERVER,SSL,Internet,提供对内网TCP应用的安全接入!,Port 443,提供对内网文件系统的安全访问 采用协议转换技术,无需安装专用客户端,直接通过通用浏览器安全接入内部文件系统; 将客户发起的文件共享请求,转换成相应的协议格式,与服务器进行交互; 支持: - SMB协议(Windows) - NFS协议(LINUX),文件共享,文件共享实现过程,以访问内网Windows文件服务器为例: 1、客户端向内网文件服务器发起HTTPS格式的请求,发送到SVN; 2、S
11、VN将HTTPS格式的请求报文转换为SMB格式的报文; 3、4、文件服务器接受请求报文,将请求结果发送给SVN,用的是SMB报文; 5、SVN将SMB应答报文转换为HTTPS格式; 6、将请求结果(HTTPS格式)发送到客户端;,文件服务器,客户端,1,6,SMB/NFS,HTTPS,4,3,HTTPS,SMB/NFS,5,2,SVN,业务隔离虚拟网关,SVN通过虚拟网关提供SSL VPN服务; 每个虚拟网关都是独立可管理的,可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等; 独立型 每个虚拟网关对应一个独立的IP地址或者域名; 共享型 多个虚拟网关共享一个IP地址或者域名,通过子
12、域名加以区分,例如:虚拟网关A、B,都为共享型,并且共享同一个域名,则通过子域名来区分两个虚拟网关,分别为 , ; 当企业有多个部门时,可以为每个部门或者用户群体分配不同的虚拟网关,从而形成完全隔离的访问体系。,安全随身,立体的防护管控,2,10种身份认证方式 终端安全检查 硬件绑定 6000+应用识别 DDOS智能防护,用户身份认证,x.509 数字证书,动态密码 令牌,RADIUS, LDAP, Windows AD,VPN网关本地数据库账号、密码认证,CA认证系统 证书认证or 证书+账号密码认证,密码+PIN码 +动态密码认证,丰富的认证方式,支持多级认证、混合认证。,One-time
13、 password,USB Key,短信猫、短信平台联动,硬件Key+CA数字证书,即插即用,本地用户数据库认证,1、用户访问SVN网关,提交用户名、密码信息到SVN; 2、SVN在本地用户数据库中验证用户账号密码是否正确; 3、匹配到本地数据库中的信息则认为用户合法,允许登录;否则不允许登录; 在本地认证方式下,用户可修改密码,管理员对用户密码强度进行限制。,场景:客户没有独立的AAA认证系统; 优点:SVN提供本地数据库,网关本身即可对用户进行认证授权,无需另外采购认证系统,简化部署和投入;,本地数据库认证,第三方服务器认证 RADIUS/LDAP/AD,第三方CA系统认证,1、用户访问S
14、VN,提交用户名、密码; 2、SVN将用户认证信息转发给RADIUS/ LDAP/ AD认证服务器,由服务器进行验证; 3、认证服务器将验证结果返回给SVN; 4、SVN根据认证结果允许/禁止用户登录;,场景:客户已有专门的AAA认证系统; 优点:SVN能够与第三方标准系统联动使用,统一用户认证,简化管理;,用户,RADIUS/LDAP/AD认证服务器,2,1,3,4,SVN网关,证书认证 之第三方CA系统联动,第三方CA系统认证,1、证书颁发 第三方CA服务器生成CA证书(根证书),基于根证书生成用户证书,每个用户一张; 管理员将根证书导入SVN网关,将用户证书分发给用户; 用户身份认证 2
15、、用户登录,提交用户名(可选)、密码(可选),证书; 3、SVN使用本地的CA根证书验证用户证书; 4、如果证书有效则允许用户登录,否则禁止用户登录;,场景:客户已有专门的CA证书认证系统; 优点:SVN能够与第三方标准系统联动使用,统一用户认证,简化管理;,用户,第三方CA系统,1,1,2,4,SVN网关,用户证书,CA根证书,3,证书认证 之网关内置CA,内置CA系统认证,1、证书颁发 内置CA软件生成CA证书(根证书),基于根证书生成用户证书,每个用户一张; 管理员将根证书激活,将用户证书分发给用户; 用户身份认证 2、用户登录,提交用户名(可选)、密码(可选),证书; 3、VPN网关用
16、设备内的CA根证书验证用户提交的用户证书; 4、合法用户允许登录,其他用户禁止登录;,用户,SVN网关,2,4,1,1,3,内置CA系统,场景:客户没有专门的CA证书认证系统; 优点:SVN提供内置CA软件,无需另外采购,简化部署和投入;,用户证书,CA根证书,USB Key认证,USB Key认证,1、管理员将第三方CA系统或者SVN内置CA生成的CA根证书导入到SVN网关,将CA根证书生成的用户证书导入到USB Key中,分发给用户; 2、用户要登录SVN前,将USB Key插到电脑的USB接口中,系统会自动调用USB Key中的用户证书; 3、用户访问SVN,输入用户密码(可选),提交证书; 4、SVN使用本地CA根证书验证用户证书; 5、证书有效则允许用户登录,否则拒绝登录;,场景:客户希望用USB Key来增加认证强度;
