SecPath系列安全网关之－－构建安全一体化的企业VPN网络

• 关 键 词：
• tcp/ip
• ipsec
• smtp
• http
• ip地址

企业运营的重要条件是将企业与分支机构，客户，供应商，分散于各处的企业员工通过网络，连接起来，形成企业运作的协调互动。所以构建安全可靠的企业VPN（虚拟私有网络）网络是当今企业取得商业成功的重要因素。通过VPN网络，可以借助internet，将企业员工，用户，供应商有机地实现信息的安全共享。所以，VPN设备必须是保证用户安全进行接入的，同时他是企业通往internet的安全网关，具有保证企业网络安全的重要使命。

但在企业的出口中，目前有若干种网络安全设备陈列：防火墙、IDS、防病毒、VPN。这些设备一方面增加了企业进行网络设计的重复投资，另一方面这些安全设备之间经常出现配合不协调的状况，造成了安全设备本身就不“安全”，经常系统出现故障，甚至出现网络瘫痪，给企业进行正常的网络通讯带来损失。所以将安全的概念统一集成到一款设备中，简化企业网络的安全接入和安全保护，实现一体化的安全解决方案是目前企业VPN网络的发展趋势。

为了在VPN网关中实现一体化的安全解决思路，在设计中必须综合考虑企业网络的安全隐患究竟会出现在哪个环节,下面我们将进行细致分析：

1）  从企业的组网模型中进行分析：

企业网络的组网模型中可以看到几种安全接入和保护的需求：

1． 必须满足出差员工（移动办公）通过internet网络安全可靠地接入企业网络中。要满足该需求，必须在VPN网关中实现对接入用户地细致严格的认证，并根据认证的结果创建安全可靠的网络隧道。这样，企业员工就可以通过internet安全的进行企业信息的共享。为实现上述需求，在VPN网关中，必须实现如下的技术：

l         移动用户通过客户端，可以向VPN安全网关发起认证请求；

l         VPN网关接受用户的请求后，将请求转交给认证服务器，进行基于用户身份的认证；

l         认证不通过，将请求拒绝；

l         认证通过，VPN网关将与移动用户创建L2TP隧道；

l         为了切实保证重要信息在internet的传输过程中做到私密性（Confidentiality）-可以保证敏感的资料；完整性（integrity）-可以确保资料在交易过程中未被修改；不可否认性 (Non-repudiation) ----能证实双方确实存在交易,所以在VPN网关中采用加密，解密技术，使用IPSEC技术或SSL技术。

l         所以完整的IPSEC技术或SSL技术加上针对用户创建的隧道技术(L2TP,PPTP,GRE)等，能够做到用户的安全接入。

2．从组网模型中看到，由于VPN网关直接连接到internet网络中，所以是企业网络的边界网关，必须能够防范各种来自网络的攻击。所以必须使用如下的安全防护技术：

l         内嵌虚拟防火墙技术。

将防火墙组件和VPN组件通过有机组合，协调统一地集成在一款设备中，可以在保证企业移动用户安全接入的同时，又为企业网络安装了一套安全防护的外套，可以充分保证企业网络的安全可靠的运行。

为了实现上述技术，必须考虑VPN组件和防火墙组件的协调配合。通常情况下，企业往往需要在购置一台VPN网关的同时，还需要再购置一台防火墙设备，这种组网模式给企业或运营商带来的不仅是高投入，而且由于VPN设备和防火墙设备在配合上有很大的麻烦，这给网络管理和网络配置带来极高的难度，经常出现的情况是：

l         经过VPN隧道的用户在防火墙中被阻拦；

l         通过防火墙后，又无法创建VPN。

这种设备的冗余和配合的不协调性给企业的正常安全运营和网络管理带来了极大的麻烦，同时也在安全上引入了无数个漏洞。

所以，有必要在设备的上，通过网络技术和软硬件技术的结合，将防火墙组件和VPN隧道组件有机结合，在一台设备上形成柔性组合，彻底实现安全接入和安全保护的网络解决方案。华为3Com公司新推出的SecPath 1000/100系列安全网关产品，就是按照这种概念进行设计，认为在企业的接入中，没有必要购买若干安全网络设备：防火墙，IDS，VPN接入等，使企业的接入外套重重层叠，并不一定起到安全防护的真正效果，相反，使企业网的接入效率低下，安全漏洞却层出不穷。华为3Com将VPN隧道接入技术和基于状态检测的防火墙设备以及智能检测系统通过设计的软件架构有机统一起来，并精心挑选业界性能非常高的网络处理器进行产品设计，使安全接入，企业网的安全防护，内网的安全检测有机在一款设备中体现出来。

3．从组网模型中，企业网关还充当内网的安全检测。在企业安全的防护中，一个非常突出的安全问题却经常受到忽略：内网实际上并不安全。因为会有各种不同的攻击并非来自外网，而是来自内网。比如许多企业员工的计算机经常染上宏码病毒，对内网的交换机进行狂轰乱炸，使交换机瘫痪，网络陷于瘫痪。还有伪造ARP攻击，mac攻击，假冒PROXY攻击等，所以如何安全防护内网也应是安全网关产品的一个重要规格，而这种规格却往往被普通的防火墙和VPN网关所忽略。

为了实现内网的安全防护，必须在内网接入中，对来自内网的报文进行智能性的处理转发。而不是采用常规的二层或三层转发方式，使转发的模式完全基于安全，可靠的模式中。华为3Com在SecPath 1000/100中就是在充分了解上述需求的情况下，对传统的转发流程进行整合，实现了对内网的安全可靠的防护。

2）  从经常出现的安全漏洞中进行分析。

在企业网中，安全漏洞主要在于如下情况：

1.来自网络的各种恶意攻击，比如DOS/DDOS攻击等。

在这种情况下，通过内嵌的状态检测防火墙，对来自外网的报文进行深度状态检测，采用如下的技术：

Ø       包过滤：可以根据IP包的目的地址、源地址，TCP/UDP的目的端口、源端口，ICMP报文的类型、Code、TCP/IP选项、内容等信息进行包过滤

Ø       状态检测：根据UDP/TCP等上层协议状态对访问进行监测控制，可以有效的抑制仿冒攻击、流量攻击和DOS攻击等

Ø       应用代理：通过HTTP/FTP/SMTP/H.323等应用网关特性对连接请求进行协议分析代理，屏蔽内外网络，提高安全性

Ø       病毒和蠕虫过滤：具备电子邮件病毒防护和Web蠕虫过滤功能

Ø       入侵检测等功能：能够在网络的入口点进行实时入侵检测，及早发现外部攻击并与实现防火墙的联动控制

Ø       提供ASPF(Applied Specification Packet Filter)状态防火墙特性

l         ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。

l         通过ASPF，结合静态包过滤防火墙，可以为内部网络的提供更高级的安全保护，通过ASPF的检测，可以保证所有建立的连接都是合法连接，防止地址欺骗、身份伪造等恶意攻击

2.假冒地址，用户进行访问，假冒ip地址，mac地址进行攻击：

在这种情况下，在设备中采用严格的地址管理和用户绑定技术。

在VPN网关中，采用nat/pat技术进行地址的管理。这样使企业内的用户都具有私网动态分配的地址，使外网无法进行仿冒。同时，在VPN安全网关中，还需要进行各种用户的地址绑定，使用户具有唯一性和不可抵赖性。下面是在SecPath1000/100中使用的绑定技术：

综上所述：

在建设企业VPN网络过程中，要充分认识到安全一体化的解决思路。

并在该网络上提供企业网络的安全性、可靠性和可管理性，方便企业

与intranet,extranet,internet的e-business的正常运作。

将虚拟内嵌防火墙技术，ipsec/ssl技术，vpn隧道技术，地址用户绑定技术，内网安全检测技术等有机结合起来，形成一体化的安全解决方案。Huawei-3com在设计SecPath 1000/100的设计中就是在如下思路理念下设计出来的安全一体化网关设备，可以充分满足用户接入和建设安全高效网络的需求。