客户需求分析:
XXX单位,其下属单位分布在该市各地,为能达到资源共享的目的,需在现有的网络基础之上进行网络改造,单位总部现有 10M宽带上网,每个下属单位已加装了ADSL接入INTERNET,动态IP地址,需办公时间内保持连通,在网络改造中要求实现各下属单位与总部双向实时连通的同时,各下属单位间也可相互连通(可最大限度实现资源共享)或互不通信(可确保分子单位之间互补干扰,增加安全性)。
综合客户的需求如下:
- 资料信息共享;工作时间随时调用各分支server的数据,对于内部资料,以及最新的企业信息,可以随时传达各个分支机构。
- 安全性,可控性;对于单位内部的资料信息的要保证不会被黑客盗取,不会因病毒而引起资料的丢失。另外对内部员工访问有系统的进行访问控制,同时可掌控分支机构之间互访权限。
- 可扩充性;对于以后要开设的分支机构提供简单方便的可扩充接口。
- 远程公干人员可与总部随时、随地 交换信息;了解单位的最新政策信息。
根据XXX单位现有情况,以及所提供的需求分析说明及工程技术要求,同时结合实际情况,推荐采用目前广为流行的VPN(可参考VPN的特点一节)和动态域名的技术,设计以下方案。
对于总部,由于需要分支机构与总部双向实时连通, 要求产品有很高的性能,推荐采用Fortigate 200A病毒防火墙,除安全性外,支持达100个专用VPN通道。
对分支机构,推荐采用性价比很高的Vigor 2900路由器。
由于我公司的办事处分布在全国各大城市,可以充分的提供技术支援。
Fortigate 200A与Vigor 2900路由器组网示意图
VPN基本概念介绍
VPN(虚拟专用网,Virtual Private Network)在国外已经快速的得到发展,2001年全球VPN市场将达到120亿美元,它能够吸引许多公司、机构采用的最重要的原因就是能够节约成本。VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全,虚拟专用网络由此而得名。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路
而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。
IP封装
VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时,就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一个路由器分开,但是它们是通过许多网络路由器和网关分开的,这些路由器和网关也可能不用同一个地址空间。
例如,若有两个使用PPTP(Point-to-Point Tunneling Protocol)的RAS(Remote Access Service)服务器连接的IP网络,一个局域网的网络地址是10.1.1,另一个是10.1.2。每个网络上的RAS服务器都提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12,而另一个RAS服务器的局域网地址是10.1.2.1,ISP分配的因特网地址是110.121.112.34。这时若10.1.1网络中的一个计算机,假设为10.1.1.23,需向10.1.2网络中的一个计算机,假设为10.1.2.99,发送一个IP包。其通信过程为:
1) 发送方的计算机首先注意到,目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。
2) 发送方不将包直接发送给目标地址,而是将包发送给自己子网缺省的网关地址10.1.1.1。
3) 这个10.1.1网络上的RAS服务器读这个包。
4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。
5) RAS服务器加密这个包,并用另一个包将它封装起来。
6)路由器从它的网络接口上发送这个封装的包(这个接口连接到因特网上,假设地址为24.121.13.12)到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上。
7)10.1.2网络子网的RAS服务器从它的因特网接口读这个封装和加密的包。
8)10.1.2网络子网的RAS服务器解密这个封装的IP包,验证它是一个有效的IP包,也就是它没有被改动过并且来自可靠的地方。
9)10.1.2网络子网的RAS服务器从它的适配器上将这个包发送到网络子网的目标地址10.1.2.99。
10)目标计算机读这个包。
这就是一个简单的VPN的IP封装过程。
2. 加密的身份认证
密码身份认证用来安全有效地验证远程用户的身份,这样系统就可以判断出适合这个用户的安全级别。如VPN可使用密码身份认证来决定用户是否可以参与到加密通道中。
验证方式:用户名及密码验证?? 拨入方IP地址验证
3. 数据有效负载加密
对于安全保障,相对企业级用户就显得十分重要,要保证公司内部的重要数据在VPN上传输而不被其他的用户所获得,就需要在VPN的虚拟信道中对IP数据包进行加密,目前最先进的IP加密方法就是使用IPSec, IPSec 可有效地保护 IP 数据包的安全。
它采取的具体保护形式包括:数据起源地验证;无连接数据的完整性验证;数据内容的机密性(是否被别人看过);抗重播保护;以及有限的数据流机密性保证。IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为 IP及上层协议(如 UDP和 TCP )提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且假若想增加新的算法,其过程也是非常直接的,不会对共通性造成破坏。以下两方面着重介绍IPSec认证及IPSec加密的实现过程。
(一)、IPSec认证
IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。AH本身其实并不支持任何形式的加密,它不能保证通过Internet发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时,MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。
(二)、IPSec加密
封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的,最初是用于商业应用。到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此,它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。
目前新的加密算法为3DES加密算法。其密钥长度是128位比特。能更加有效安全的保证VPN通道中的数据安全性。
VPN的特点
在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
3.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
4、节约成本
据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。
设备及工程预算
产品名称 |
型号 |
描述 |
防火墙 |
Fortigate 200A |
防病毒,vpn服务端 |
路由器 |
Vigor2900 |
VPN客户端 |
主要设备性能描述
3.1.1 vigor 2900 性能介绍
ADSL/Cable /FTTX Route,LAN:4*10/100Base TX Switch
带Vlan及频宽管理 WAN:1*10/100Base TX 32条并发VPN隧道。
3.1.2?? Fortigate 200A性能介绍
2个WAN口,2个DMZ口,4口(10/100)以太网口、 150Mbps吞吐量、400K个并发会话数、100个VPN通道数、2000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。 |
