【導讀】SSLVPN安全接入系統(tǒng)對安全的控制.........

　　

【正文】 升級。同時，只要是能夠通過 NetScreenSecurity Manager 進行配置的設備的各個方面都可以通過 CLI 接入。 NetScreenSecurity Manager 還帶有一種高性能日志存儲機制，使 IT 部門可以收集并監(jiān)控關鍵方面的詳細信息，如網(wǎng)絡流量、設備狀態(tài)和安全事件等。利用內置的報告功能，管理員還可以迅速生成報告來進行調查研究或查看是否符合要求。 NetScreenSecurity Manager 采用了一種 3 層的體系結構，該 結構通過一條基于 TCP 的安全通信信道－安全服務器協(xié)議（ SSP）相連接。 SSP 可以通過 AES加密和 SHA1 認證來提供受到有效保護的端到端安全通信功能。利用經(jīng)過認證的加密 TCP 通信鏈路，就不需要在不同分層之間建立 VPN 隧道，從而大大提高了性能和靈活性。 通過 NetScreenSecurity Manager， Juniper 網(wǎng)絡公司可以為企業(yè)提供全面的管理工具。這種工具在一個統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報告功能，同時還使 IT 部門的所有工作人員可以協(xié)同工作。 Juniper 網(wǎng)絡公司的集中管理方法使企業(yè)可 以在安全性和接入功能之間達成平衡，這對于當今的企業(yè)非常重要 第 33 頁 共 61 頁 SSL VPN 安全接入系統(tǒng)建設 安全接入技術的選擇 隨著信息技術的快速發(fā)展，為了提高服務的質量和水平、在市場競爭中取得優(yōu)勢，企業(yè)建立了內部局域網(wǎng)，使內部辦公人員通過網(wǎng)絡可以迅速地獲取信息。然而，隨著 個人電腦和互聯(lián)網(wǎng)應用技術的普及， “在家辦公 ”、 “異地辦公 ”、 “移動辦公 ”等多種遠程辦公 模式逐漸普及，同時合作伙伴的人員也希望能訪問到相應的信息資源，企業(yè)的 IT 管理人員面臨將 遠程辦公 模式作為內部辦公網(wǎng)絡的延伸和對合作伙伴人員提供外聯(lián)網(wǎng)接入的需 求，為遠程辦公的員工提供訪問內部信息和為合作伙伴人員訪問與其身份相符的信息的方便。然而，要享受通過 互聯(lián)網(wǎng)訪問企業(yè)內部的信息資源的便利，就需要實施適當?shù)男畔踩呗?，在嚴格防?第 34 頁 共 61 頁 企業(yè)信息資源被非法竊取的同時，對合法的訪問要提供方便，同時還需盡量降低信息安全策略的實施和維護成本。 企業(yè)通過 Inter 數(shù)據(jù)傳輸平臺，實施加密的 VPN 實現(xiàn)安全接入的辦法主要有兩種：一種是 IPsec VPN，另一種是 SSL VPN。兩種技術在不同領域各有其優(yōu)勢，我們建議：在實施固定的站點到站點的 VPN 和復雜應用的移動用戶接入VPN 時 ，采用 IPsec 技術；在實施普通應用的移動用戶接入 VPN 時，采用 SSL技術，原因是 SSL 無需在客戶端安裝客戶端軟件、實施和維護靈活簡單、不受地址翻譯影響、控制策略更加細化、總體擁有成本較低，而且由于 SSL VPN 不是打開一個網(wǎng)絡層通道，而只是提供了聯(lián)系應用層請求的固化網(wǎng)絡接口，所以提高了與 VPN 相關的整個系統(tǒng)的安全性。以下是兩種 VPN 方案的特點比較： 選項 SSL VPN IPSec VPN 身份驗證 單向身份驗證 雙向身份驗證 數(shù)字證書 雙向身份驗證 數(shù)字證書 加密 強加密 基于 Web 瀏 覽器 強加密 依靠執(zhí)行 全程安全性 端到端安全 從客戶到資源端全程加密 網(wǎng)絡邊緣到客戶端 僅對從客戶到 VPN 網(wǎng)關之間通道加密 可訪問性 選用于任何時間、任何地點訪問 限制適用于已經(jīng)定義好受控用戶的訪問 費用 低（無需任何附加客戶端軟件） 高（需要管理客戶端軟件） 安裝 即插即用安裝 無需任何附加的客戶端軟、硬件安裝 通常需要長時間的配置 需要客戶端軟件或者硬件 用戶的易使用性 對用戶非常友好，使用非常熟悉的 Web 瀏覽器 對沒有相應技術的用戶比較困難 需要培訓 第 35 頁 共 61 頁 無需終端用戶的培訓 支持的應用 基于 Web 的應用 文件共享 E mail 所有基于 IP 協(xié)議的服務 用戶 客戶、合作伙伴用戶、遠程用戶、供應商等 更適用于企業(yè)內部使用 可伸縮性 容易配置和擴展 在服務器端容易實現(xiàn)自由伸縮，在客戶端比較困難 方案建議 安全協(xié)議安全套接層（ SSL）技術是一項在 互聯(lián)網(wǎng) 上廣泛實施的標準安全協(xié)議，全面支持認證和加密，所有標準 web 瀏覽器都支持 SSL?；谫F公司的安全接入模式，我們建議采用 SSL VPN 方案。本方案建議使用 Juniper Netscreen的 SSL VPN 產 品。 Juniper Netscreen SA 系列的遠程接入產品是廣受好評的 SSL VPN 產品，采用的是 Instant Virtual Extra(IVE)的系統(tǒng)平臺，客戶只要有標準的 web 瀏覽器，無需進行任何部署獲安裝硬件、軟件客戶端設備，也無需對內部服務器進行任何修改，沒有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護，所以可以方便地讓用戶安全地接入網(wǎng)絡。 同時， Juniper NetscreenSA 系列的遠程接入產品可以強制對遠程用戶的安裝防火墻及防病毒軟件做出要 求。 Juniper Netscreen IVE 系統(tǒng)與當前市場上流行的個人防火墻、防病毒軟件做最緊密的結合，如 Sygate Enforcement API、 Sygate Security Agent、 Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、 McAfee Desktop Firewall、 InfoExpress CyberGatekeeper Agent 等，用戶只需要用鼠標選擇 第 36 頁 共 61 頁 一些選項便可完成。而且用戶還可以自行定義強制檢查其它的運行程序或windows 注冊表項目。 并且在安全策略上實施的是應用層面的安全策略，可以比 IPsec 更加細化；由于 Juniper Netscreen SA 系列的遠程接入產品是堅固可靠的應用層網(wǎng)關，采用應用層面的安全策略后，內部的應用服務器可以得到有效保護，而不必將服務器的第 4 層端口完全暴露給外部；前端的防火墻上只需配置打開 tcp SSL 端口的策略即可。 除了對 web 和 等應用的支持外， Juniper Netscreen SA 對非 web 的許多客戶端 /服務器應用也提供很好的支持， Juniper Netscreen IVE 雖然將 這些應用轉化為 SSL 標準數(shù)據(jù)流，但并不影響這些應用，例如，文件仍然可以下載到本地。對于絕大多數(shù)的 C/S 應用， Juniper Netscreen SA 是透明支持的。 建議在 XX 電力實施的 SSL VPN 安全接入的網(wǎng)絡拓撲示范圖如下： 建議初期僅提供基于 Inter 的 SSL VPN 安全接入服務。 SSL VPN 安全接入設備部署在外網(wǎng) DMZ 服務區(qū)。 Juniper Netscreen 的 IVE 系統(tǒng)可以支持廣泛的企業(yè)應用，包括： 第 37 頁 共 61 頁 基于 Web 的各項應用，包括瀏覽企業(yè)內網(wǎng)、訪問基于 web 的 outlook和 iNotes； 基于 Microsoft Exchange 和 Lotus Notes 郵件系統(tǒng)、以及其他基于IMAP POP3 和 SMTP 的標準的郵件應用； 對于文件服務器的文件及目錄共享控制提供支持，方便用戶上傳、下傳文件； Tel/SSH； 對大多數(shù) cient/server 應用提供支持； 網(wǎng)絡全連接方式（即 PC 的全部流量都可以通過 SSL VPN 到達企業(yè)內網(wǎng)）； 個人防火墻 /防病毒軟件等強制性檢查； 對于來自非安全設備或臨時訪問設備（如網(wǎng)吧）的訪問，強制 cache 清除。 Juniper Netscreen IVE 系統(tǒng)支持的接入安全控制的細化包括： 動態(tài)認證策略：可以通過多種要素對用戶身份進行認證，包括提供身份前檢查和提供身份后檢查，其中提供身份前檢查的內容可包括：源地址、網(wǎng)絡接口（內 /外）、證書、節(jié)點安全（包括主機檢查和緩存清除）、瀏覽器的 user agent、登錄的 URL、 SSL版本和加密級別；提供身份后檢查的內容可包括：身份確定、證書特性、密碼長度、同時登錄用戶數(shù)、目錄服務密碼； 角色定義和策略匹配：管理員可以定義用戶屬于一個或多個角色，對不同角色提供不同的訪問權限。對屬于多個角色的用戶可以一次性地給該用戶 多個角色的總和，也可以讓用戶選擇采用某個角色進行應用訪問； 資源訪問策略：對于不同的應用資源，管理員可以提供不同的訪問策 第 38 頁 共 61 頁 略，作為第三層的訪問控制手段； Juniper Netscreen IVE 系統(tǒng)支持數(shù)字證書的使用，支持多種認證服務器（包括 RADIUS、 LDAP、 Windows NT Domain、 Active Directory、 UNIX NIS、 dual factor認證，包 括 ActivCard ActivPack? 、 RSA SecurID174。 和 Secure Computing SafeWord? PremierAccess?以及 客戶端數(shù)字證書），也可在設備上建立本地用戶數(shù)據(jù)庫，更支持 LDAP/Active Directory 的用戶組的特性，方便管理員定義策略。此外，還支持一次登錄訪問多個需認證的應用的功能（基于 cookie 的認證），為遠程安全接入用戶提供方便。 SSL VPN 安全接入系統(tǒng)對安全的控制 1) 硬件平臺和加固的操作系統(tǒng) SSL VPN 安全接入系統(tǒng)采用了優(yōu)化的 Linux 內核和額外優(yōu)化的服務器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設計成可以抵御針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通 過只運行完成關鍵任務的服務來防止攻擊，這些關鍵的服務在開發(fā)時就進行了安全加固，確保系統(tǒng)的安全性。 SSL VPN 安全接入系統(tǒng)不運行通常的用戶和一樣程序服務，因此不會打開針對這些服務的攻擊。 IVE 系統(tǒng)即不允許管理員創(chuàng)建也不允許維護系統(tǒng)級的用戶帳號，因為沒有交互式的 Shell 和打開的系統(tǒng)帳號，潛在的入侵者無法嘗試利用脆弱的口令、缺省帳號或遺棄的帳號對系統(tǒng)進行非授權的訪問。 2) 流量監(jiān)控和過濾 SSL VPN 安全接入使用核心級包過濾模塊來監(jiān)控系統(tǒng)所收到的包，并決定是接受或拒絕該流量。該特性使得系統(tǒng)使用預定義的控 制網(wǎng)絡流量的規(guī)則組在接受之前在不同階段對流量進行驗證。包過濾限制了流量從系統(tǒng)到想要連接的系統(tǒng)。 3) 數(shù)據(jù)的完整性和機密性 SSL VPN 安全接入使用世界范圍的 Inter 安全標準協(xié)議： Secure Sockets 第 39 頁 共 61 頁 Layer (SSL)。 SSL 在 Web 瀏覽器和 SSL VPN 安全接入系統(tǒng)之間提供一個安全的通道。 SSL 有效地阻止了人為的服務器欺騙和數(shù)據(jù)完整性的攻擊，因為： 所有通訊采用 128 位密鑰加密 系統(tǒng)通過證書進行認證 SSL VPN 安全接入也可選來支持客戶端證書，它可以通過基于 的證書對用戶 進行鑒別。 SSL 對系統(tǒng)之間的交換數(shù)據(jù)的完整性和機密性的保護，確保任何未經(jīng)授權訪問的發(fā)生。 4） 用戶鑒別和認證 SSL VPN 安全接入系統(tǒng)集成了領先的認證系統(tǒng)，包括雙因子系統(tǒng)和客戶端證書系統(tǒng)。通過一個合法的證書，用戶可以發(fā)起一個會話。每個到系統(tǒng)的子請求根據(jù)該會話進行認證，系統(tǒng)對非法登錄請求的頻率進行限制，防止字典攻擊。 如果用戶信息是合法的，然后系統(tǒng)產生一個認證令牌。通過 Web 請求，該令牌被保存在一個加密的會話 Cookie 中。因為系統(tǒng)使用 HTTPS 和 SSL 對傳送的數(shù)據(jù)進行加密，在這過程中會話不可能被劫取。 5) 審計 系統(tǒng)產生細化的日志，該日志存儲在本地，系統(tǒng)也可以將這些信息發(fā)送到SYSLOG 服務器。因為 SSL 通道和認證子系統(tǒng)對客戶端和不完全最終端點進行驗證，你也可以使用該日志對訪問進行審計。系統(tǒng)管理員可以通過用系統(tǒng)的日志管理器或外部的 SYSLOG 服務器審計的資源或應用程序對單一用戶的訪問采取一些操作。 6) 文件系統(tǒng)和 I/O 所有存儲在設備上的數(shù)據(jù)使用 AES 進行加密，只有 Juniper Netscreen 的系統(tǒng)軟件可以讀取存儲的加密數(shù)據(jù)。更進一步講，用戶和管理員不能替換任意的可執(zhí)行文件，他們也無法擁有系統(tǒng)級 的帳號，因此，黑客無法針對系統(tǒng)進行權限升級的攻擊。 第 40 頁 共 61 頁 SSL 遠程安全接入方案實現(xiàn)說明 1) 用戶認證，結合雙因素認證 Juniper SSL VPN 系統(tǒng)（以下簡稱 IVE）支持雙因素用戶認證， 工作過程：（ 1）需要接入的互聯(lián)網(wǎng)用戶通過瀏覽器（如 IE）發(fā)出連接請求， IVE 首先對客