企业网络安全-vpn解决方案信息技术中心-安全管理部2017年9月13日星期三目录第一章用户需求分析 (5)1.1业务背景 (5)1.2需求分析 (5)1.3方案目的 (6)第二章VPN技术核心 (6)1.VPN概念 (6)2．VPN技术核心 (7)2.1 VPN分类 (7)2.2 VPN技术标准 (7)2.3 IPSec协议 (8)2.4 VPN的优势 (11)3．VPN的发展前景 (12)第三章VPN解决方案 (12)1. 方案设计原则 (12)1.1 高安全性 (13)1.2 最优网络 (13)1.3 完善管理 (13)2. VPN实施方案 (13)2.1总部网络拓扑 (14)2.2 分部网络拓扑 (15)2.3访问控制 (16)2.4 VPN 场景应用 (16)3.方案实可现高价值 (18)前言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。

网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。

随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。

计算机网络犯罪所造成的经济损失实在令人吃惊。

仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。

在全球平均每二十秒就发生一次网上入侵事件。

有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。

面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。

随着技术的发展，各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的净荷部分。

传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力，因为它们只查TCP/IP协议包头部分而不检查数据包的内容。

此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。

同时层出不穷的即时消息和对等应用如MSN，QQ，BT等也带来很多安全威胁并降低员工的工作效率。

如今的安全威胁已经发展成一个混合型的安全威胁，传统的防火墙设备已经不能满足客户的安全需求。

美国Xx公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。

一般来讲，UTM通常包括防火墙/VPN，网关防病毒和IPS，Xx公司的UTM在此基础上又增加了反间谍软件服务，进一步确保企业信息安全。

Xx采用独一无二的逐个包扫描深度包检测引擎，无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护，彻底消除了网关设备对同时下载的文件数目和文件的大小的限制，从UTM技术上是一个突破。

Xx UTM设备能够并行扫描超过50种协议上的近25000种病毒，检测并阻断近2000种入侵威胁。

Xx还支持近百种签名对及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT下载、eMule下载)的通信进行控制，如封堵QQ2005，能够扫描NetBIOS 协议，防止病毒通过Windows文件共享进行扩散。

采用高性能的专用硬件实现IPSec VPN的加解密，使得Xx设备在3DES和AES算法具备同样出色的表现。

对于分布式的企业，通过Internet建立VPN连接是安全经济的信息传输方式，此外， Xx的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁，而且还能阻挡企业其它分支机构通过VPN 隧道带来的安全威胁。

第一章用户需求分析1.1 业务背景xxxx有限公司是国内首屈一指的食品加工销售企业，业务遍及全国各省。

物流和财务信息的传输需要确保安区，但是申请专线的费用很高。

Internet为企业的信息传输提供了一个经济有效的平台，然而安全问题值得担忧。

目前有20个分公司遍布全国各地，还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。

1.2 需求分析信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一，集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员，而在外工作的业务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部，并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前，一直是我集团期待解决的问题之一。

公司在国内的驻外人员分布在各省会城市，负责该省内的所有产品营销业务。

由于需要及时和企业总部进行财务及其它信息的传输，这些业务数据在Internet上直接传输时又存在较高的安全风险，一旦这些数据被盗取或泄漏出去，必然会造成公司业务的严重损失。

初步需求如下：4个分公司分别通过当地电信部门接入Internet。

这些分支机构的网络要受到安全设备的防护，必须有防火墙设备，此外，为防止遭受病毒，黑客入侵的威胁，应用层的安全必须受到保护，设防火墙设备应该具备防病毒和防入侵的功能。

企业总部网络有重要的数据库系统，防止病毒和黑客的入侵极为重要。

由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输，高性能的VPN功能必须集成在设备内部，便于统一管理。

此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库，移动用户必须通过VPN加密方式访问企业网络资源。

1.3 方案目的作为保护企业内部网免遭外部攻击，确保信息安全地通过Internet传输，最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备（即：防火墙+ VPN +网关防病毒+ IPS），通过设置有效的安全策略，做到对企业内部网的访问控制。

为了方便远程/移动用户安全访问集团内部的机密资料，并为公司建立起安全经济的网络通信连接，故推荐配置使用基于深度包检测技术的UTM 设备——（防火墙 + VPN + 网关防病毒 + 防入侵）。

第二章 VPN技术核心1.VPN概念虚拟专用网（Virtual Private Network）技术是指在公共网络中建立专用网络，数据通过安全的"加密管道"在公共网络中传播。

利用VPN技术，单位只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，单位还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入内联网中。

使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后内联网络发展的趋势。

简单的来说，VPN可以看作是内部网在公众信息网（宽带城域网）上的延伸，通过在宽带城域网中一个私用的通道来创建一个安全的私有连接，VPN通过这个安全通道将远程用户，分支机构，业务合作伙伴等机构的内联网连接起来，构成一个扩展的内联网络(如图2-1)。

单机用户图2-12．VPN技术核心2.1 VPN分类VPN可分为三种类型：•远程访问虚拟网（Access VPN）Access VPN是指单位员工或单位的小分支机构通过公网远程拨号的方式构筑的虚拟网。

•内部虚拟网（Intranet VPN）Intranet VPN是指单位的总部与分支机构间通过公网构筑的虚拟网•扩展虚拟网（Extranet VPN）Extranet VPN是指单位间发生收购、兼并或单位间建立战略联盟时，不同内联网通过公网来构筑的虚拟网。

这三种类型的VPN分别与传统的远程访问网络、内部Intranet以及内联网和相关合作伙伴的内联网所构成的Extranet相对应。

其中我们通常把Access VPN叫做拨号VPN，即VPDN；将Intranet VPN 和Extranet VPN统称为专线VPN。

2.2 VPN技术标准VPN的具体实现是采用隧道技术，将内联网的数据封装在隧道中进行传输。

隧道协议中最为典型的有GRE、IPSec、L2TP、PPTP、L2F等。

其中GRE、IPSec 属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。

第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。

L2TP与IPSec是与VPN相关的两个最重要的协议。

IETF制定的与IPSec相关的RFC文档主要包括RFC2104、RFC2401～2409、RFC2451；而L2TP协议是由3Com、Cisco、Ascend、Microsoft及Bay等厂商共同制定的，其控制包和数据包都是在LAC和LNS间通过UDP/IP传输；此外MPLS、RADIUS、LDAP、VPMT等协议都有部分涉及到VPN。

2.3 IPSec协议IPSec是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。

IPSec实际上是一套协议包而不是一个单个的协议，这一点对于我们认识IPSec是很重要的。

自从1995年开始IPSec的研究工作以来， IETF IPSec工作组在它的主页上发布了几十个宽带城域网草案文献和12个RFC文件。

其中，比较重要的有RFC2409 IKE互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH验证包头、RFC2406 ESP 加密数据等文件。

IPSec安全结构包括3个基本协议：•AH协议（Authentication Header）IPSec认证包头（AH）是一个用于提供IP数据报完整性和认证的机制。

其完整性是保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（识别主机、用户、网络等）。

AH本身其实并不支持任何形式的加密，它不能保证通过宽带城域网发送的数据的可信程度。

AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球宽带城域网的安全性。

当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。

AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP等）之间。

AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。

一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。

消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。

消息文摘5算法（MD5）是一个单向数学函数。

当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。

每个128比特为一组的信息是大分组数据的压缩或摘要的表示。

当以这种方式使用时，MD5只提供数字的完整性服务。

一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。

如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。