网通产品安全白皮书

资源描述

《网通产品安全白皮书》由会员分享，可在线阅读，更多相关《网通产品安全白皮书（4页珍藏版）》请在金锄头文库上搜索。

1、网通产品安全白皮书网通产品安全白皮书Sinfor DLAN -VPN 整体解决方案，大大降低了企业 Internet 化的整体成本。在 Sinfor DLAN 中集成了高效的端到端 VPN、桌面到端 VPN、状态检测防火墙、代理上网服务、访问控制服务，并大大简化了整个系统的维护管理过程，是中型网络乃至大型网络接入 Internet 的高性价比方案。由于 VPN 网络以 INTERNET 作为传输介质，企业网络在接入 INTERNET 时容易受到外界的攻击和入侵，客户对 VPN 网络的安全还存在顾虑，现从 VPN 接入鉴权、防火墙对企业网络的保护以及 VPN 用户权限的控制等方面对 Sinfo

2、r DLAN 解决方案所采用的安全机制及对企业整体网络的保护措施进行简单探讨。一、一、VPN 接入鉴权接入鉴权1、寻址技术的安全：寻址技术的安全： Sinfor DLAN 软件能够支持动态 IP 寻址，通过基于 Web 的动态寻址技术，使得 Sinfor DLAN 可以支持各种上网方式，无需固定 IP 或有效 IP，为企业选择合适的 ISP 提供了极大的方便。 WebAgent 是一个普通的文件，只要求网站支持 ASP 或 PHP 即可。用户完全可以将 WebAgent 置于自己的网站上，建立完全属于自己的 VPN 全套系统。在寻址过程中，所有信息均使用 DES 加密。实现方式如下图

3、：由于采用了 DES 加密，非法用户无法从 WebAgent 中获得总部的配置信息，在总部使用动态 IP 的情况下非法用户无法通过 INTERNET 直接连接总部，避免来自 INTERNET 的直接攻击。目前也有像动态域名等其他的动态寻址方法，但是一般都需要专门的第三方服务提供商，一方面会带来长期的服务成本，另一方面如果服务提供商停止服务，也会给用户带来不可预见的风险。而 Web 寻址技术使用企业自身的 Web 网站或虚拟空间帮助寻址，不增加额外费用，也不依赖专门的服务提供商。另外 Web 寻址技术还加入了备份机制，以保证其稳定性。因此，Web 寻址技术相对其他寻址技术(如动态

4、 DNS)有如下优点: a)寻址安全。 b)更节省成本。 c)不依赖于专门的第三方服务提供商。 d)更稳定。 2、加密的传输隧道：加密的传输隧道：SINFOR DLAN 遵循 SINFORSL 协议(改进的 IPSEC 协议)，在 Internet 上建立安全可信的隧道。各实体之间的数据都是通过安全隧道传递，局域网内原始 IP 的 IP 头包含本局域网信息。经加密后，原始 IP 成为隧道 IP 的负载，隧道封装的 IP 头为隧道两端的 Internet IP,这样就保护了内部网络信息，而且原始 IP 的数据已被加密成为负载，防止了内容泄漏。同时添加帧头标志，用于识别正确的隧道封装 IP

5、，帧头采用 HASH 函数生产，支持 MD5,SHA-1 算法，防止内容被篡改和侦听。3、接入权限的控制：接入权限的控制： SINFOR DLAN 内置 RADIUS 服务，完成对接入分支、移动的用户名，密码认证。RADIUS 认证过程采用挑战应答模式，在这种认证模式下，认证信息不在网络上传递，而且挑战不同的分支或移动答复也不同，保证认证信息不会被窃听。但是，用户名和密码或者传统的 CA 证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷 SINFOR DLAN 中使用了专利技术基于 PC 硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。通过该认证方法

6、，只有指定的机器才能接入。HARDCA 认证过程描述如下： (1)由分支模式或移动用户运行鉴权程序，该程序收集计算机的硬件信息，产生同分支或移动对应的一个唯一的 ID 证书（HARDID），分支和移动用户将此证书通过手动方式将传送给总部管理员，由总部管理员手动将此 HARDID 证书输入到总部模式的鉴权管理库里(IDBASE)。 (2)总部在同分支建立数据隧道前，先要在命令通道进行 HARDCA 认证，经过命令通道 HARDID 认证的分支或移动（即其自动上报的 ID 证书为总部鉴权管理库里存在的 ID），才允许建立数据隧道。认证的流程遵循 RADIUS 认证过程。实现效果：实

7、现效果：如果企业有员工离职或无意中泄密，传统的各种鉴权方式在鉴权信息（用户名、密码或 CA 证书）泄露的情况下，非法用户可利用泄密信息登录总部局域网，造成机密信息的泄露或是破坏。采用 Sinfor DLAN VPN 方案后，通过完整的接入鉴权管理，Sinfor DLAN 能够确保只有指定用户（使用总部规定的用户名密码）使用指定计算机（该用户名密码用友的 ID 证书所对应的唯一硬件信息）才能接入总部局域网，即便用户名密码及加密密钥等信息泄露也不会造成安全隐患。对于部分权限较高的移动用户，为防止其计算机被非法使用，Sinfor DLAN 利用 DKEY 这种 USB 的便携设备的唯一

8、 ID 号作为其使用 VPN 的许可方式，使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能，极大的提高了 VPN 的整体安全性；管理员可选择是否为该移动用户启用 DKEY，若启用，需将对应 DKEY 插入总部模块所在计算机的 USB 口上，DLAN 总部模块将会把此移动用户接入 VPN 所需的配置信息导入 DKEY，并将 DKEY 作为用户接入时的身份认证依据（每个 DKEY 具有唯一的 ID）。二、二、防火墙对企业网络的保护防火墙对企业网络的保护Sinfor DWALL 内置了基于状态检测的包过滤防火墙，在企业接入 INTERNET 的时候为企业网络提供保护。

9、 1、动态状态检测：动态状态检测：传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于每个 IP 都要进行所有的规则检查因此效率很低，防火墙的性能也会大幅度降低。另外黑客也会采用 IP 伪造技术将自己的非法包伪装成某个合法 IP 包从而穿透防火墙，产生安全漏洞。 Sinfor DWALL 采用了基于连接状态检测技术，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合大大地提高了系统的性能。同时由于不是孤立看待每一个 IP 包，因此黑客很难伪造一个连续的状态，也大大加强了系统的安全性。 2、内置攻击防范：内置攻击

10、防范：在 Sinfor DWALL 中内置了对多种攻击行为的识别和防御，包括各种分片攻击和 DOS 攻击(含各种 Flooding 攻击、Jolt2、Ping of death、ICMP Smurf Attack 等)。用户无需对防火墙进行复杂的配置即可实现对各种攻击的防范。 3、虚拟测试功能，杜绝人为错误虚拟测试功能，杜绝人为错误在讨论网络安全时，大家往往都忽视了一个重要的安全隐患因为配置错误导致的安全漏洞，事实上由于人为错误导致的安全漏洞在网络攻击事件中比例高达 40%。而众多的防火墙规则和访问控制规则配置起来往往都比较复杂，在配置完毕后很难对设置的规则是否能满足需要做完善的

11、测试，这是导致上述安全隐患的主要原因。Sinfor DWALL 内置了虚拟测试环境，通过可视化的对各种安全设置规则进行测试，从而杜绝人为错误导致的安全漏洞。 4、分级的安全管理，配置更方便分级的安全管理，配置更方便分为高、中、低和自定义四个安全级别，用户可以根据需要灵活配置。使用内置的高、中、低安全级别，使得网络防火墙的配置和个人防火墙一样容易；即使不懂网络也可以配置出安全的防火墙。 5、流量监控及最近流量监控及最近 100100 个访问记录个访问记录对于管理员来说，网络带宽被非法大量占用的时候如果无法查到具体情况非常麻烦的，采用 Sinfor DWALL 防火墙后，可随时

12、提供当时占用带宽最多的五个用户情况，帮助管理员更好的管理网络。局域网用户正在访问哪些站点？是否超出了公司的规定？Sinfor DWALL 防火墙可为管理员提供最近 100 条 Internet 访问记录，所有非法访问尽在掌握之中。 6、基于基于 URLURL 和目的地址的访问控制和目的地址的访问控制管理员可以将内网用户分成不同的权限组，可以为每个权限组分配不同的上网权限，访问控制可基于 IP 和 URL，并支持时段管理(7*24 小时自由定义)。如内网用户分为财务、市场、技术，财务组完全不允许上网，市场组可以上新闻类网站（如和），技术组则只能上技术类网站（如 CSDN.n

13、et 等），URL 设置支持通配符（如*.sina.*）。用户管理支持 IP 和 MAC 的绑定，用户无法随意更改 IP 地址绕过防火墙的限制。三、三、VPN 用户权限的控制用户权限的控制在 VPN 网络中还存在一些潜在的安全隐患，分支和移动用户通过 VPN 接入到总部后的权限没有得到有效控制，可以访问总部局域网内所有资源，而分支机构和移动用户由于种种因素往往没有完善的保护措施，黑客可以通过入侵分支，然后通过 VPN 进入总部局域网，由于 VPN 用户权限过大，黑客可以很容易的非法获得所需机密信息或造成破坏等等。因此需要在 VPN 系统中设置更细致的服务访问权限来杜绝这些安全隐

14、患。Sinfor DLAN 集成了非常细致的权限粒度控制，可以使得指定的资源只有授权的用户才能访问。 1、对特定资源的访问控制：对特定资源的访问控制：总部可对所有分支机构用户和移动用户进行详细的 VPN 权限设置，可以针对每个用户设定不同的接入访问权限，如某些分支或移动用户只能访问总部的 OA 系统，不能访问总部的财务系统等，不同的 VPN 用户可以设定对不同资源的访问权限，避免因为 VPN 用户权限过大造成的安全隐患。 2、全面的权限控制和审计功能全面的权限控制和审计功能 SINFOR DLAN 基于 SINFORSL 协议建立会话，在全面和灵活控制权限的情况下，能实时显示当前的系统使用情况，完备的记录了每个用户的登录状态，强大的日志功能为总部管理员分析 VPN 用户情况和设定更全面的 VPN 权限提供详尽的管理帮助。基于以上各种措施的采用，Sinfor DLAN 为客户提供了功能强大、安全可靠的 VPN 平台。

展开阅读全文