远程接入VPN解决方案

导读

　　本文提供的方案为员工访问企业内部局域网提供了方便和安全的接入方法。该方案的特点是系统管理集成化、技术标准国际化，系统兼容性好，接入响应速度快。该方案主要由两大部分组成，一为接入系统，二为认证系统。该方案采用目前通行的设计思路，接入方式为IPSECVPN，采用动态密钥的身份认证，使用防火墙策略，可以保证移动用户接入企业内部网数据在传输上的安全。

　　一、远程VPN系统设计应满足的标准

　　远程VPN系统设计应满足的标准是网络在安全性、网络性能优化、VPN可管理性方面有良的好表现。

　　1.安全性

　　VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。VPN的安全性包含以下几个特征。

　　(1)隧道与加密：隧道能实现多协议封装，增加VPN应用的灵活性，可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。

　　(2)数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。

　　(3)用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义。

　　(4)防火墙与攻击检测：防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，产生非法访问记录。

　　2.网络优化

　　构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

　　二层和三层的QoS一般具有以下功能

　　(1)流分类：根据不同的用户、应用、服务器或URL地址等对数据流进行分类，然后才可以在不同的数据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的手段之一。

　　(2)流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送，使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率，从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。

　　(3)拥塞管理与带宽分配：根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测，在流量达到上限之前丢弃若干数据包，避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。

　　3.VPN管理

　　VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标包括以下方面。

　　(1)减小网络风险：从传统的专线网络扩展到公用网络基础设施上，VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时，还要确保公司数据资源的完整性。

　　(2)扩展性：VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应，包括网络硬、软件的升级、网络质量保证、安全策略维护等。

　　(3)经济性：保证VPN管理扩展性的同时不应过多地增加操作和维护成本。

　　(4)可靠性：VPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故VPN可靠而稳定地运行是VPN管理必需考虑的问题。

　　(5)VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。

　　二、用户远程接入VPN技术方案选择

　　针对移动办公用户通过internet接入企业内部网，建议采用L2TP+IPsec+RSAOTP技术组合，实现VPN的安全可靠接入。下面对上述三种所涉及的技术做简要介绍。

　　1.L2TP技术

　　PPP协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，这时用户与NAS之间运行PPP协议，二层链路端点与PPP会话点驻留在相同硬件设备上。

　　L2TP(Layer2TunnelingProtocol )协议提供了对PPP链路层数据包的通道(Tunnel)传输支持，允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点，成为IETF有关二层隧道协议的工业标准。L2TP包括以下几个特性。

　　(1)安全的身份验证机制：与PPP类似，L2TP可以对隧道端点进行验证。不同的是PPP可以选择采用PAP方式以明文传输用户名及密码，而L2TP规定必须使用类似PPPCHAP的验证方式。

　　(2)内部地址分配支持：LNS放置于企业网的防火墙之后，可以对远端用户的地址进行动态分配和管理，还可以支持DHCP和私有地址应用(RFC1918)。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，方便了地址管理并可以增加安全性。

　　(3)统一的网络管理：L2TP协议已成为标准的RFC协议，有关L2TP的标准MIB也已制定，这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。

　　2.IPSec技术

　　IPSec(IPSecurity)是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP (Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响，用户还可以选择不同的硬件和软件加密算法，而不会影响其它部分的实现。

　　IPSec提供以下几种网络安全服务：

　　私有性：IPSec在传输数据包之前将其加密，以保证数据的私有性;

　　完整性：IPSec在目的地要验证数据包，以保证该数据包在传输过程中没有被修改;

　　真实性：IPSec端要验证所有受IPSec保护的数据包;

　　防重放：IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。

　　3.RSAOTP技术

　　RSAOTP是建立在“双因素认证”基础上。该方法的前提是一个单一的记忆因素，如口令，但口令本身只能对真实性进行低级认证，因为任何听到或盗窃口令的人都会显得完全真实，因此需要增加第二个物理认证因素以使认证的确定性按指数递增。

　　借助强大的用户认证系统，RSA信息安全解决方案可以向授权的员工发放单独登记的设备，以生成个人使用令牌码，这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌码，保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的，别人无法通过记录以前的令牌代码来预测将来的代码，就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。

　　每一个令牌密码变换是基于时间和预置的种子的函数。保证令牌卡与认证服务器的时间同步是保证系统可靠运行的基础。

　　(1)与UCT时间同步

　　全球同步时间(UCT)用来同步所有RSA信息安全公司产品之间的时间。在发售时，每个RSASecurID令牌都设定为UCT(与格林威治标准时间相同);在安装过程中，RSAACE/Server系统时钟同样设定为UCT。实质上，全世界各地的所有RSA信息安全公司都被精确设定为相同的时钟，从而不需处理时区差或进行夏令时调整。

　　(2)有效令牌窗口和时钟漂移调整

　　为解决使用基于硬件的令牌所产生的微小时间设置差异和时钟漂移问题，RSAACE/Server在3分钟的时间窗口基础上进行认证，即UCT时钟显示的当前时间、该时间的前一分钟和后一分种。如果用户名和PIN准确无误，而所提供的密码与当前时间不符，RSAACE/Server会自动将其前一分钟和后一分种匹配项进行核对。这一过程适用于认证令牌中的时钟略为偏离RSAACE/Server中的时间相位的情况。如果与其中任一项相符，则用户通过认证，进而在该用户的数据库纪录中创建一个节点，用于调整未来的登录，以反映时间漂移。

　　假定一个用户定期进行登录，RSAACE/Server会一直调整令牌时间，使令牌码保持在3分钟窗口内。但是，如果一个用户长期没有登录(一般情况下达几个月)，其令牌时间就会漂移到三分钟窗口以外，生成一个无效的令牌码。在这种情况下，RSAACE/Server会测试当前时间前十分钟和当前时间后十分钟的令牌码，如果它与其中任意一个代码相符，那么RSAACE/Server会再次要求用户输入令牌码，以确认令牌所有权;如果第二个令牌码具有相同的时钟漂移，该令牌就被假定为有效，从而用户通过认证，RSA ACE/Server会在该用户纪录中注明特定认证令牌的时钟差异，已备未来登录时使用。

　　但是，如果所提供的PIN(个人身份识别号)不匹配，或输入了无法由时钟漂移解释的错误令牌码，RSAACE/Server会要求用户重试。管理员可以设置在锁定用户和建立报警日志项目前允许的重试次数。

　　三、远程接入VPN接入方案规划

　　服务器端系统包括：

　　高性能VPN接入服务器组成高可用性VPN接入服务器

　　计费认证服务器

　　RSAOTP服务器

　　日志审计服务器及VPNManager

　　用户端设备

　　移动终端(WindowsXP/2000)

　　RSA令牌卡、Internet移动办公用户接入内网流程：用户首先接入Internet，通过L2TP+IPsec呼叫与Internet接入VPN服务器连接，输入用户名密码，其中密码为PIN码+RSA令牌卡产生的一次性密码。密码通过PPP的CHAP认证由CAMS与RSAServer组合完成认证后向VPN接入路由器反馈认证是否成功信息最终决定用户是否可以接入。用户通过认证后即可通过L2TP协议获得企业内网内部IP地址，与内网内设备与系统进行正常通信。