网通产品安全白皮书.docVIP

网通产品安全白皮书 Sinfor DLAN -VPN整体解决方案，大大降低了企业Internet化的整体成本。在Sinfor DLAN中集成了高效的端到端VPN、桌面到端VPN、状态检测防火墙、代理上网服务、访问控制服务，并大大简化了整个系统的维护管理过程，是中型网络乃至大型网络接入Internet的高性价比方案。由于VPN网络以INTERNET作为传输介质，企业网络在接入INTERNET时容易受到外界的攻击和入侵，客户对VPN网络的安全还存在顾虑，现从VPN接入鉴权、防火墙对企业网络的保护以及VPN用户权限的控制等方面对Sinfor DLAN解决方案所采用的安全机制及对企业整体网络的保护措施进行简单探讨。 VPN接入鉴权 寻址技术的安全： Sinfor DLAN软件能够支持动态IP寻址，通过基于Web的动态寻址技术，使得Sinfor DLAN可以支持各种上网方式，无需固定IP或有效IP，为企业选择合适的ISP提供了极大的方便。 WebAgent是一个普通的文件，只要求网站支持ASP或PHP即可。用户完全可以将WebAgent置于自己的网站上，建立完全属于自己的VPN全套系统。在寻址过程中，所有信息均使用DES加密。实现方式如下图： 由于采用了DES加密，非法用户无法从WebAgent中获得总部的配置信息，在总部使用动态IP的情况下非法用户无法通过INTERNET直接连接总部，避免来自INTERNET的直接攻击。 目前也有像动态域名等其他的动态寻址方法，但是一般都需要专门的第三方服务提供商，一方面会带来长期的服务成本，另一方面如果服务提供商停止服务，也会给用户带来不可预见的风险。而Web寻址技术使用企业自身的Web网站或虚拟空间帮助寻址，不增加额外费用，也不依赖专门的服务提供商。另外Web寻址技术还加入了备份机制，以保证其稳定性。 因此，Web寻址技术相对其他寻址技术(如动态DNS)有如下优点: 寻址安全。 更节省成本。 不依赖于专门的第三方服务提供商。 更稳定。 加密的传输隧道： SINFOR DLAN 遵循SINFORSL协议(改进的IPSEC协议)，在Internet上建立安全可信的隧道。各实体之间的数据都是通过安全隧道传递，局域网内原始IP的IP头包含本局域网信息。经加密后，原始IP成为隧道IP的负载，隧道封装的IP头为隧道两端的Internet IP,这样就保护了内部网络信息，而且原始IP的数据已被加密成为负载，防止了内容泄漏。同时添加帧头标志，用于识别正确的隧道封装IP，帧头采用HASH函数生产，支持MD5,SHA-1算法，防止内容被篡改和侦听。 接入权限的控制： SINFOR DLAN 内置RADIUS服务，完成对接入分支、移动的用户名，密码认证。RADIUS认证过程采用挑战―应答模式，在这种认证模式下，认证信息不在网络上传递，而且挑战不同的分支或移动答复也不同，保证认证信息不会被窃听。但是，用户名和密码或者传统的CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷SINFOR DLAN中使用了专利技术－基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。通过该认证方法，只有指定的机器才能接入。HARDCA认证过程描述如下： 由分支模式或移动用户运行鉴权程序，该程序收集计算机的硬件信息，产生同分支或移动对应的一个唯一的ID证书（HARDID）分为高、中、低和自定义个安全级别，用户可以根据需要灵活配置。使用内置的高、中、低 安全级别，使得网络防火墙的配置和个人防火墙一样容易；即使不懂网络也可以配置出安全的防火墙。流量监控Sinfor DLAN 集成了非常细致的权限粒度控制，可以使得指定的资源只有授权的用户才能访问。 对特定资源的访问控制： 总部可对所有分支机构用户和移动用户进行详细的VPN权限设置，可以针对每个用户设定不同的接入访问权限，如某些分支或移动用户只能访问总部的OA系统，不能访问总部的财务系统等，不同的VPN用户可以设定对不同资源的访问权限，避免因为VPN用户权限过大造成的安全隐患。 全面的权限控制和审计功能 SINFOR DLAN基于SINFORSL协议建立会话，在全面和灵活控制权限的情况下，能实时显示当前的系统使用情况，完备的记录了每个用户的登录状态，强大的日志功能为总部管理员分析VPN用户情况和设定更全面的VPN权限提供详尽的管理帮助。 基于以上各种措施的采用，Sinfor DLAN为客户提供了功能强大、安全可靠的VPN平台。