山东移动统一信息平台:VPN安全配置手册密 级:文档编号:项目代号:中国移动Nortel Contivity1700 VPN产品安全配置手册Version 1.1中国移动通信有限公司二零零四年十二月25第 页 共 25 页拟 制:审 核:批 准:会 签:标准化:�版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系目 录目 录 4第一章 VPN概述 41.1 简介 41.2 分类及其工作原理 41.2.1 Access VPN 41.2.2 Intranet VPN 41.2.3 Extranet VPN 41.3 功能与定位 41.4 特点与局限性 41.4.1 VPN的优点 41.4.2 VPN的局限性 4第二章 VPN适用环境及部署原则 42.1 适用环境 42.2 安全部署原则 42.2.1 安全性 42.2.2 网络优化 42.2.3 VPN管理 4第三章 VPN的安全管理与配置 44.1 服务器安全策略 44.2 日志审计及控制 44.3 密码策略管理 44.4 主要配置说明 4第四章 技术规范-特性及功能 4第五章 系统报告 4第一章 Contivity VPN概述1.1 简介Contivity VPN可以在因特网上建立安全连接,提供路由、VPN、防火墙、带宽管理、加密、鉴权和数据完整性功能。
Contivity VPN可以连接远程用户、分支机构、供应商和客户,同时利用公共网络的成本和性能优势且具备专用网络的安全性和控制优势1.2 分类及其工作原理由于目前出差办公用户的的日益增多,远程用户需要及时地访问Intranet和Extranet所采用的Contivity VPN实现AccessVPN的功能,即,对于出差流动员工,Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接在Access VPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据Access VPN方案采用的是用户发起(Client-initiated)的VPN连接用户发起的VPN连接指的是以下这种情况:首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件1.3 功能与定位1.3.1 所需功能需要提供内部信息安全访问通道,为内部工作人员及经常外出的工作人员提供信息传递及信息查询。
使用人员预计数千名员工,其中有部分员工需要经常在公司外部进行移动办公这些移动办公人员使用本机通过Internet,访问该企业的Web服务器,从而实现信息交互业务1.3.2 Contivity VPN功能Contivity VPN 1700所提供的主要功能如下: 经济高效地将基于IP的远程接入扩展到需要500条隧道的位置 单种设备可用作IP接入路由器、专用VPN设备或防火墙 小巧的低成本产品可提供高端Contivity软件和管理性能 支持隧道流量和非隧道流量的动态路由和负载平衡、先进的服务质量(QoS)和带宽管理性能 可使用Contivity Configuration Manager、Web浏览器或命令行界面,通过安全的加密互联网隧道,进行集中式管理1.3.3 方案定位由于移动办公用户需要通过拨号(或其他设备)接入Internet,访问该企业的Web服务器,实现信息交互由于Internet的广泛性和开放性,给该企业的系统应用带来了很多安全隐患,给系统提出了信息加密传输、登陆身份认证需求如果使用“用户名+密码”的方法验证移动用户的身份,在先进技术发展的背景下会存在诸多安全隐患:首先,用户可能具有多个应用系统的访问帐号,随着时间的推移,用户大多都无法记住自己在每个应用系统的用户名和密码,从而导致了系统管理员的维护工作大大增加。
用户不断埋怨,工作人员工作压力越来越大其次,用户名和密码在网上传输中很容易被窃取,现在已经有很多黑客软件,例如各种版本的网络嗅探器,通过网络监听就很容易截取用户名和密码另外,用户设置的用户名和密码都有一些个人习惯,密码往往是和自己有关系的单词或数字,很容易被别人猜出移动办公人员通过互联网传递信息,由于互联网传输协议的开放性,使得传输的信息非常容易遭到窃听、截获、篡改等安全威胁因此,需要采用有加密传输与身份认证结合的安全机制,实现对访问用户的身份验、传输信道加密,确保身份真实的用户能够安全的访问系统、放心的传输数据1.4 Contivity VPN特点与局限性1.4.1 易于部署和管理 Contivity VPN交换机具有全面的特性,可用于构建高性能、可扩展、安全的VPN接入 Contivity VPN交换机易于在企业站点部署,可以支持多种接口,可以与现有的网络组件(如路由器、防火墙、服务器)互操作 它具有一个功能强大的综合管理系统,可以在下列方面提供有效的VPN业务管理:• 故障管理(如告警监视器、历史故障浏览器、故障顾问) • 性能管理 • 记帐界面 • 设置 • 创建和监控业务级别协议 • 创建和监控业务级别协议 借助综合管理系统,服务供应商和企业可以轻松地大批量设置交换机。
1.4.2 支持目录的安全联网ContivityVPN交换机只接受通过经过鉴权的隧道化连接传输的入局业务所有连接均进行加密,以保证私密性,而且所有交易均被记录每条用户、小组或分支机构连接(内部或外部)均可以拥有独特的过滤信息档案,并享有不同的接入权限1.4.3 集成式防火墙保护网络中心、分支机构或远端的ContivityVPN交换机可以与高性能的Contivity状态防火墙集成每个用户或小组特有的过滤信息档案可以对所有连接进行鉴权和加密,并提供进一步的保护此外,还可以利用Entrust和VeriSign在整个生命周期内提供的数字证书鉴权 1.4.4 广泛的客户机支持Contivity VPNIPSec客户机免费提供,同时还包括一个不受限制的分销许可证该客户机可以定制以增加特殊图标和标记,而且受口令保护,可以实现双因子认证,以进一步提高安全性1.4.5 Contivity VPN方案的局限性Contivity VPN产品同时支持IPSec 与SSL两种加密协议但是两种加密协议都各有利弊在设计上,IPSec VPN是一种基础设施性质的安全技术这类VPN的真正价值在于,它们尽量提高IP环境的安全性。
可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问好处就摆在那里,但管理成本很高就这点而言,IPSec仍是站点到站点连接的不二选择,但用于其它远程访问活动的SSL VPN也是目前应用的一个亮点 不过,IPSec VPN的优势在于它采用了集中式安全和策略管理部件,从而大大缓解了维护需求 许多专家认为,就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec无可比拟然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用因而,如果需要更全面的、面向基于浏览器应用的访问,以及面向远程员工、把所有办公室连接起来,IPSec无疑是首选 另一方面,SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素 除此之外,SSL VPN还有其它经常被提到的特性,包括降低部署成本、减小对日常性支持和管理的需求此外,因为所有内外部流量通常都经过单一的硬件设备,这样就可以控制对资源和URL的访问 厂商推出这类不需要客户软件的VPN产品后,用户就能通过与因特网连接的任务设备实现连接,并借助于SSL隧道获得安全访问。
这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件 因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求不过这种方案的问题在于,SSL VPN的加密级别通常不如IPSec VPN高所以,尽管部署和支持成本比较低,并且使组织可以为使用台式电脑、便携式电脑或其它方式的员工提供使用电子邮件的功能,甚至迅速、便捷地为合作伙伴提供访问外联网的功能,但SSL VPN仍有其缺点 我们认为认为,这些缺点通常涉及客户端安全和性能等问题对E-mail和Intranet而言,SSL VPN是很好;但对需要较高安全级别、较为复杂的应用而言,就需要IPSec VPN 我们根据移动公司的具体安全需求,采用了传统的IPSec VPN这也带来两个主要问题:首先,客户软件带来了人力维护的开销,而许多公司希望能够避免;其次,某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关我们就选用IPSec VPN认证方式的原因罗列如下:SSL VPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。
在部署方式、保护范围、认证方式上限制很多 SSL VPN的认证方式比较单一,只能采用证书,而且一般是单向认证支持其它认证方式往往要进行长时间的二次开发IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等) SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点 要实现网络-网络的安全互联,只能考虑采用IPSecVPN 应用层局限性SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用 一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到 SSL VPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。
对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作 还有性能方面的考虑SSL VPN是应用层加密,性能比较差目前,VPN可以达到千兆甚至接近10G,而SSL VPN由于是应用层加密,即使使用加速卡,通常只能达到300M左右的性能 基于以上分析,我们推荐使用IPSec VPN认证方式第二章 Contivity VPN适用环境&部署原则2.1 适用环境VPN设备:使用Nortel Contivity1700VPN接入服务器,它可以支持500个并发的VPN隧道用户环境:具有Windows 98、2000、XP的操作系统;客户端:北电Contivit。