大中型企業網絡綜合接入研究

長白縣地方稅務局 于世波

一、概述

隨著信息化網絡化的發展，企業服務普遍化、多樣化，現有的單一固定網點的專線接入已越來越不能夠滿足需求，多種形式的綜合接入將豐富企業業務的網點，可作為現有接入的補充。隨著通信網絡技術地不斷發展，可選擇性也不斷增加，可以使用更方便、靈活、經濟接入方式，不但擴大企業服務范圍，更節約運營成本。

二、網絡綜合接入需求

根據不同業務需求、地理位置、系統平臺的特點，安全綜合接入平臺建設須達到如下技術要求：

(一)邊界安全防護

接入平臺具有良好的邊界安全防護能力，不僅能夠在互聯網邊界提供各種三層到七層的網絡攻擊防護；還能對后端的應用服務器也提供WEB防護。

(二)身份認證

接入人員需要經過嚴格的安全認證之后才可以登錄接入平臺，進行業務系統的操作。認證必須包括用戶身份合法性以及用戶所使用的終端設備合法性及安全性的校驗。通過認證之后，必須對不同的接入人員進行訪問權限控制，按不同級別來控制訪問不同內部業務平臺。

表1

(三)安全審計

必須對接入用戶的訪問行為進行安全審計，記錄下哪個用戶、通過哪個IP地址、訪問了內部什么業務系統。

(四)分級運維管理

需要綜合考慮整個平臺的運維管理，要求能夠實現管理員的分級分權限管理，省級管理員具有對地市的超級管理權限，地市管理員具有對本地市內接入用戶的管理權限。

(五)多種終端接入

接入平臺的靈活性要求能夠適應傳統有線及新的無線3G環境，能夠實現在包括PC、智能手機、EPOS機等終端上接入。

圖1 部署拓撲圖

三、VPN技術介紹

VPN（Virtual Private Network）是虛擬專用網的簡稱，虛擬專用網指的是在公用網絡中建立專用的數據通信網絡的技術，實現低成本、高安全地解決數據傳輸及應用發布平臺。VPN架構中采用了多種安全機制，如身份認證技術（Authentication）、加解密技術（Encryption）、密鑰管理技術、隧道技術（Tunneling）等。通過上述的各項網絡安全技術，確保資料在公眾網絡中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數據包內所傳送的資料。

IP Sec VPN和SSL VPN是目前最主流的兩種VPN技術。

IP Sec (IP Security)是由IETF IP Sec工作組制訂的一系列RFC標準協議所組成的體系.IP Sec是在網絡層實現數據加密和驗證，提供端到端的網絡安全方案，可以提供訪問控制、數據源的驗證、無連接數據的完整性驗證、數據內容的機密性、抗重放保護以及有限的數據流機密性保證等服務。

SSL VPN是指采用SSL（Security Socket Layer）協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB應用的安全協議，它包括：服務器認證、客戶認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。

相對于IPSec VPN等其他傳統的VPN技術而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，非常適用于無專門管理人員的遠程接入場景。而從OSI七層模型來看，SSL VPN是基于第七層應用層的VPN技術，相對于傳統的IPSec VPN（三層網絡層）、L2TP（二層數據鏈路層）、PPTP（二層數據鏈路層）等VPN連接方式，SSL VPN在對應用權限的劃分上可做得更為細致，數據傳遞機制也不是簡單的封裝轉發，從整體業務發布安全性的角度上來說安全系數更高。所以我們采用SSL VPN的方式構建整個企業安全接入平臺。

四、解決方案

(一)方案概述

接入平臺主要由接入安全網關，應用防火墻，應用性能管理設備以及高端交換機組成。應用防火墻設備部署在互聯網最邊界，實現邊界的安全防護以及對內部應用服務器的保護；VPN設備旁路部署在交換機上，形成集群，對外提供接入服務。應用性能管理設備同樣旁掛在服務器前面的三層交換機上，通過端口鏡像監聽以及SNMP的模式，對安全接入平臺的運行狀態以及用戶的訪問過程進行監控分析，實現故障的告警以及快速定位。部署拓撲圖如圖1。

應用防火墻配置：

防火墻通過基礎網絡安全、應用管控、應用安全防護兩大功能模塊，可以提供包括抗DDoS、漏洞利用、SQL注入、Web篡改、病毒蠕蟲、惡意代碼、內容過濾在內的全面安全防護功能。

圖2

設備以路由模式部署，外接各運營商線路。分別定義lan和wan的區域，并將接口劃入對應的區域；為該設備配置DNS地址，如需要則啟用DNS代理；給設備設置上外網的缺省路由。如果內網有多網段，需要給設備加上系統路由指向三層交換機。配置地址轉換，做DNAT。

SSL集群配置：

配置兩臺設備真實LAN口以及真實WAN1口IP地址，配置SSL集群模塊，一臺設備配置為分發器、另外一臺配置為真實服務器；并且啟用集群密碼；集群WAN1口IP為廣域網分配給SSL VPN的IP；兩臺設備集群加入成功之后，通過配置用戶、資源、角色來進行SSL資源權限分配；

應用性能管理設備配置：

設備以單臂模式部署，在三層交換機上做端口鏡像，把遠端用戶到后端服務器的訪問流量鏡像到APM設備的LAN口。

DC（外置數據中心）設備配置：

以單臂模式部署服務器，安裝外置數據中心軟件程序可實現審計內容自動導出等功能。

(二)遠程訪問接入

根據安全性和靈活性的不同，不同的用戶可采用短信認證+硬件特征碼的方式進行接入認證，也可采用USBKEY+硬件特征碼的方式進行接入認證。

用戶通過認證之后，可以根據不同帳號顯示不同的業務系統列表。用戶點擊對應系統的圖標即可訪問不同的業務系統登錄頁面。

1.硬件特征碼認證技術

通過終端的硬件特征碼綁定實現硬件終端的唯一標識。通過獲取客戶端的不可改變的硬件信息，如CPU、硬盤、網卡等生成HARDCA，并對證書和用戶進行綁定實現用戶身份的唯一性控制。

2.短信認證與UKEY認證技術

Ukey認證是傳統的安全認證手段，主要是通過在USBKEY中存放安全證書CA來實現用戶接入的認證。廣泛應用于網上銀行、網上交易等領域。

短信認證是基于用戶手機來實現的一種靈活高效安全的新型認證手段，主要通過向用戶手機發送一次性的動態驗證碼來實現用戶接入的認證。主要應用于運營商、網上交易等領域。兩種方式的對比如表1。

3.統一入口單點登錄

為了最大的提高用戶的終端易用性，引入了單點登錄功能，在通過SSL VPN的嚴格身份認證之后，用戶在訪問應用系統時無需再次進行應用系統的認證，可直接點擊進入訪問，避免記憶眾多的應用系統密碼而帶來的麻煩，提高訪問效率。

五、運維管理

(一)運維管理手段

系統的管理可以實時監控綜合安全管理系統的軟件系統和硬件配套設備的運行狀態。實現用戶訪問監控、故障的告警及快速定位。管理功能需分為以下模塊：

1.系統管理

通過管理平臺對設備性能進行全方面了解，顯示當前系統資源使用狀況，允許遠程控制系統等管理工作。

2.配置管理

支持系統配置的導入/導出，可以將系統恢復到以前的任意的某個配置，也可以將配置導入另外的系統當中。

3.用戶（組）管理器

管理員可以瀏覽和管理系統中的用戶（組），修改相關的用戶的連接屬性和IP訪問規則。

4.訪問控制管理器

管理員可以集中地管理每個用戶組的訪問權限，可以定義用戶允許或者不允許訪問指定服務器上的網絡資源，訪問控制策略可以細化到文件共享和URL以及子目錄級別。

5.日志管理器

管理員可以登陸到IVE服務器，實時的瀏覽日志，也可以通過設置SYSLOG日志服務器的方式，自動的接收日志。

6.用戶界面定制管理器

管理員可以定制系統的用戶界面，可以加入企業的LOGO，顏色配置等等。

7.證書管理

簡化WEB服務器證書和客戶端證書的管理。

(二)管理員的分級分權限管理

可設置多級的管理員分級管理，通過分級分權限管理，可安全、合理的分配管理權限，提高了管理的效率，如圖2。

(三)故障告警及定位

提供針對接入平臺運行狀況的故障告警功能，一旦檢測到故障信息，可以進行智能的短信告警，及時通知管理員進行事故處理。提高運維響應效率。

六、安全審計技術

VPN網關需提供管理日志和服務日志兩大類型日志。管理日志可提供管理員操作和用戶訪問日志，服務日志提供信息、告警、調試、錯誤日志，方便管理員對系統進行診斷。

七、結束語

綜合接入平臺的建設為企業業務延伸及網絡接入的多樣化打下了基礎，通過本次研究，比較IP Sec VPN和SSL VPN是目前最主流的兩種VPN技術，對雙重接入認證方式及單點登錄進行了探討。通過本次研究，對企業綜合接入的工程提供了便利，更為各項接入需求提供了高效、可靠、安全的補充。