某大型运输企业在行政上分为总公司、分公司、营业部三级,全国共有130个分支机构,相对应的网络也有三级,是一个覆盖全国的复杂的大型广域网系统。该企业的各分支网络技术差异较大,有DDN专线、动态ADSL、ISDN、CABLE MODEM等接入,也有PSTN电话接入。拟建的虚拟专用网要连接总公司、各分公司及营业部,实现各地之间业务数据的加密传输,形成一个统一的网络视图,实现对整个公司的业务统一管理。
重点要解决的问题
该运输公司信息网络应用系统包括办公系统、物流系统、视频会议、ERP系统、内部网站、语音通信等。这些应用系统所承载的数据涉及到公司的商业秘密,是公司的重要财富。公司在公网上传输数据时,希望重点解决网间互联所带来的以下安全问题:
访问控制 采用IP包过滤、密码同步、密钥协商及其控制管理等多重安全技术,阻止系统以外的网络或设备对自身网络的非法访问、非法连接,抵御来自公网上的攻击,保护网络资源安全。
传输数据保密 所有进入公网的数据必须经过密码加密后才能进行传输,使得在公网间传输的信息或数据均是不可读的密文,防止了搭线窃听,从而保证数据的安全性。
数据来源正确性鉴别 通过网络传输协议,虽然可以判别信息来源的地址或物理位置,但利用传输协议的漏洞、地址欺诈很容易实现。利用密码及密钥分割技术,结合数据中的标识信息,可准确地判别数据的来源或数据发送方的身份。同时也可防止重放攻击。
数据完整性鉴别 公网并非只是由线路组成,在公网中还有大量的路由交换设备和服务器设备,从技术上讲,途经公网的IP数据包的内容是比较容易被更改的。使用密码技术保护的数据,在传输途中一旦被篡改,加密设备立刻就能鉴别出来。
采用IPsec/VPN方案
针对企业用户安全通信需求,联想选择了基于IPsec的VPN产品。其思路为: IPsec是一个便于扩展的标准协议,同时与链路密码机和物理线路无关,其加密对各种应用层透明,而对于MPLS VPN,设备与策略自主可控,适应性较强(虚拟专用网系统方案如下图所示)。
该系统分为四部分:安全管理系统、子网互连系统、远程拨号接入系统、访问控制系统。公司总部网络中心配备一套安全管理中心,负责整个网络的密钥管理、证书管理、网关管理、隧道管理,同时制定访问控制规则,负责动态IP网关的检测与控制;配备2台加密速度为60Mbps,隧道数为2000的SJW44 VPN加密网关,构成一个集群,实现负载均衡和双机热备,确保不出现单点故障,并提高接入点的处理能力。
系统的子网互连系统和访问控制系统由联想的SJW44网络密码机实现。针对拥有四台以上计算机的各分公司,对光纤、ADSL、CABLE MODEM的接入方式,各配备一台加密速度为20Mbps,隧道数为100的SJW44 VPN加密网关; 针对拥有三台以下计算机的各分公司和移动办公用户,由于每天上线时间较短,主要访问上级数据,从成本考虑,采用电话拨号方式或ADSL方式,用户安装SJW44网关的软件VPN 客户端。
如何实现VPN的安全管理?
集中管理,降低管理和部署成本 由于系统涉及一百多个遍布全国的VPN节点,分散的管理体系暴露出使用不便、难于维护、效率低下等缺陷,为此,联想提供了“网御VPN”加密网关集中管理系统,该系统基于PKI密钥管理框架,通过实时在线的安全信道,以最少量的操作高效地组建虚拟专用网,并进行密钥管理、网关管理、隧道管理、策略管理、证书管理、各种状态监控,使整个系统部署灵活,易于扩展。
动态VPN支持,解决复杂的接入方式 在中国当前的网络环境中,有各种各样的接入方式,每种接入方式又有多种实现方法,如ADSL接入就有专线、桥接、PPPOE等方式,PPPOE又与NAT结合,为此,联想提出动态VPN方案,将网关与管理中心、动态域名解析方式进行整体设计,完全解决了各种情况下的端对端的安全问题。所谓动态VPN,有两层含义,一层是作为VPN节点的VPN网关或VPN客户端的IP地址的动态性(如ADSL接入地址就是动态的);另外一层含义是访问控制策略的动态性,与VPN所保护的业务动态性相对应。
安全管理中心管理系统和动态域名解析安装在总公司,初始时由安全管理中心为每台VPN网关生成包含此网关属性的唯一标识证书,当ADSL接入的网关拨号取得动态IP后,则首先向安全管理中心汇报已经接入Internet,安全管理中心根据其证书判断此网关的属性和相应的隧道规则,再根据其他网关接入Internet情况,进而进行隧道建立、隧道启动、证书和密钥交换等管理工作,其过程完全遵守IPsec协议。
集成访问控制,确保网络整体安全 联想SJW44除提供加密隧道外,还提供了防火墙功能,实现明文与密文相结合。SJW44实现了基于协议、端口、地址的包过滤,实现了MAC地址绑定、地址转换NAT、反向地址转换等访问控制,防止对各分支网络的非授权访问,防止非法入侵等,达到了隔离公共网络和内部网络、各分支内部网络之间通信的目的。使用SJW44后,大部分分支机构不用再部署防火墙之类的访问控制设备,从而节省投资,简化管理。
协同管理+动态技术
在该方案中,由于某企业具有130个分支机构,VPN系统涉及到100多个节点,分散的管理体系暴露出使用不便、难于维护、效率低下等缺陷。因此,对于VPN系统的设计与部署来说,真正的挑战是让所有设备在一个全面的安全策略下协同工作。联想所提供的“网御VPN”加密网关集中管理系统,基于PKI的密钥管理框架,通过实时在线的安全信道,以最少量的操作,安全高效地组建虚拟专用网,并进行密钥管理、网关管理、隧道管理、策略管理、证书管理、各种状态监控,使整个系统部署灵活,易于管理和扩展。
在中国目前的网络环境中,有各种各样的接入方式,每种接入方式又有多种实现方法,在实际应用中,一个不容忽视的现象是,NAT和NAPT的普遍应用。由于NAT(网络地址翻译)协议IKE与VPN协议IPsec互不兼容,使得传统的静态VPN在实际应用中受到很多限制,而联想的动态VPN技术是为解决此类问题而设计,将网关与管理中心、动态域名解析方式进行整体设计,解决了各种情况下的端对端的安全问题。
