大中型企业网络综合接入研究.docVIP

PAGE PAGE 1 大中型企业网络综合接入研究 　　【摘要】面对越来越多的接入方式需求，如何在保证内部网络及数据安全的前提下支撑业务应用的需求，如何能够高性能地访问内部资源，又不会为内部业务网络带来新的安全风险，这是摆在信息技术面前一个迫切的课题。本文针对以上需求，对如何建设一个高效、可靠、安全的综合网络接入平台进行了探讨。 　　【关键词】网络接入；VPN；安全；维护 　　一、概述 　　随着信息化网络化的发展，企业服务普遍化、多样化，现有的单一固定网点的专线接入已越来越不能够满足需求，多种形式的综合接入将丰富企业业务的网点，可作为现有接入的补充。随着通信网络技术地不断发展，可选择性也不断增加，可以使用更方便、灵活、经济接入方式，不但扩大企业服务范围，更节约运营成本。 　　二、网络综合接入需求 　　根据不同业务需求、地理位置、系统平台的特点，安全综合接入平台建设须达到如下技术要求： 　　（一）边界安全防护 　　接入平台具有良好的边界安全防护能力，不仅能够在互联网边界提供各种三层到七层的网络攻击防护；还能对后端的应用服务器也提供WEB防护。 　　（二）身份认证 　　接入人员需要经过严格的安全认证之后才可以登录接入平台，进行业务系统的操作。认证必须包括用户身份合法性以及用户所使用的终端设备合法性及安全性的校验。通过认证之后，必须对不同的接入人员进行访问权限控制，按不同级别来控制访问不同内部业务平台。 　　（三）安全审计 　　必须对接入用户的访问行为进行安全审计，记录下哪个用户、通过哪个IP地址、访问了内部什么业务系统。 　　（四）分级运维管理 　　需要综合考虑整个平台的运维管理，要求能够实现管理员的分级分权限管理，省级管理员具有对地市的超级管理权限，地市管理员具有对本地市内接入用户的管理权限。 　　（五）多种终端接入 　　接入平台的灵活性要求能够适应传统有线及新的无线3G环境，能够实现在包括PC、智能手机、EPOS机等终端上接入。 　　三、VPN技术介绍 　　VPN（Virtual　Private　Network）是虚拟专用网的简称，虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术，实现低成本、高安全地解决数据传输及应用发布平台。VPN架构中采用了多种安全机制，如身份认证技术（Authentication）、加解密技术（Encryption）、密钥管理技术、隧道技术（Tunneling）等。通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。 　　IP　Sec　VPN和SSL　VPN是目前最主流的两种VPN技术。 　　IP　Sec　（IP　Security）是由IETF　IP　Sec工作组制订的一系列RFC标准协议所组成的体系．IP　Sec是在网络层实现数据加密和验证，提供端到端的网络安全方案，可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。 　　SSL　VPN是指采用SSL（Security　Socket　Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。 　　相对于IPSec　VPN等其他传统的VPN技术而言，SSL　VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，非常适用于无专门管理人员的远程接入场景。而从OSI七层模型来看，SSL　VPN是基于第七层应用层的VPN技术，相对于传统的IPSec　VPN（三层网络层）、L2TP（二层数据链路层）、PPTP（二层数据链路层）等VPN连接方式，SSL　VPN在对应用权限的划分上可做得更为细致，数据传递机制也不是简单的封装转发，从整体业务发布安全性的角度上来说安全系数更高。所以我们采用SSL　VPN的方式构建整个企业安全接入平台。 　　四、解决方案 　　（一）方案概述 　　接入平台主要由接入安全网关，应用防火墙，应用性能管理设备以及高端交换机组成。应用防火墙设备部署在互联网最边界，实现边界的安全防护以及对内部应用服务器的保护；VPN设备旁路部署在交换机上，形成集群，对外提供接入服务。应用性能管理设备同样旁挂在服务器前面的三层交换机上，通过端口镜像监听以及SNMP的模式，对安全接入平台的运行状态以及用户的访问过程进行监控分析，实现故障的告警以及快速定位。部署拓扑图如图1。 　　应用防火墙配置： 　　防火墙通过基础网络安全、应用管控、应用安全防护两大功能模块，可以提供包括抗DDoS、漏洞利用、SQL注入、Web篡改、病毒蠕虫、恶意代码、内