政府网络安全及VPN解决方案.docx
- 文档编号:6776803
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:24
- 大小:1,018.32KB
政府网络安全及VPN解决方案.docx
《政府网络安全及VPN解决方案.docx》由会员分享,可在线阅读,更多相关《政府网络安全及VPN解决方案.docx(24页珍藏版)》请在冰点文库上搜索。
政府网络安全及VPN解决方案
XX政府网络安全及VPN解决方案
技术建议书
华为赛门铁克科技有限公司
2011年
1政务外网建设现状
国家电子政务外网建设目标是:
建立一个开放的、基于标准的、符合国家外网建设要求的政务外网统一网络平台,实现省直各部门及全省市的信息快速交换和资源共享,向全体政务工作者提供一个业务处理、辅助办公的工作平台,为省门户网站提供信息源及后台应用业务运行支持,外网将分别支持数据、语音和视频业务,运行各部门的对外业务系统,实现各网间的信息交换和资源共享,同时建立完善的信息安全体系和相应的备份系统。
目前国家电子政务外网城域网建设已经完成中央城域网4个节点2.5G环网的建设;完成国家监察部、国务院扶贫办、劳动和社会保障部、农业部、人事部、国家审计署等中央部门接入外网的工作;完成国家外网与全国32个省级外网节点的互联互通工作;开通至中国网通100M出口;开通至中国联通100M出口;
同时各省按照中共中央办公厅、国务院办公厅中办发[2002]17号、[2006]18号文件精神的要求,建设覆盖省、市、县各级党委、人大、政府、政协、法院、检察院及其组成部门、直属机构的政务外网,在省内统一组织建设构建五大基础数据库:
法人数据库、人口数据库、地理信息数据库、宏观经济数据库、法律法规数据库,可以通过对省级数据库进行访问的方式进行数据共享、交换、查询和比对。
2政务外网的整体框架
电子政务外网是国家政务外网的延伸和拓展。
在各省驻地有华为高端路由器,作为省上联中央的PE设备。
省政务外网平台,上连国家政务外网,下连市的政务外网。
构建省城城域网、省到市广域网,根据国家外网中央城域网的接入部委,实现大部分省直厅局与省政务外网的连接,贯通政府业务部门中央到省的信息通道;
地市电子政务网,上连省电子政务网,下连接到县、区,有条件的地方可以连接到乡、镇和社区,横向连接到党委、人大、政府、政协、法院、检察院及各职能部门的内部局域网。
在地市建立政务网平台,平台一般包括:
机房、网络接入设备、安全设备、计算机设备、基础软件(包括操作系统、数据库管理系统、应用服务器)等。
地市在政务网上建设统一的政府办公平台,平台上集成有各类应用系统、各类数据库。
应用系统根据其功能和使用角色分别集成到政府门户、政务门户,各类公务员按照分配的角色权限、采用单点登录的方式统一使用政务平台上的功能。
地市县建设的政府门户,与政务网逻辑连接,政府门户直接为老百姓服务,实现政府门户受理、政务网办理、政府门户结果发布的工作模式。
在技术上,各局委办不建设技术平台,统一使用地市平台。
3政务外网网络安全及VPN建设目标
在电子政务外网整体框架下,通过政务外网VPN的建设,补充目前政务外网接入的形式。
对于省网建设相对滞后地区,各级机构利用专线方式接入难度较大,而采用VPN网关和技术可以利用廉价Internet资源满足接入单位安全接入政务外网的需求。
需求主要场景如下:
✓省各厅局委办通过VPN与其所属的国家部门互通;
✓省各厅局委办通过VPN与有业务需求的国家部门互通;
✓省各厅局委办通过VPN互通;
✓各厅局委办移动用户安全接入VPN系统;
4政务外网VPN建设需求及建设原则
4.1政务外网VPN建设需求分析:
1)稳定可靠性的需求:
政务外网VPN系统的稳定性和可靠性关系整个政务外网VPN接入用户业务的延续性,是政务外网VPN可行性的基础。
为确保政务外网VPN系统稳定可靠运行,政务外网VPN建设选择的产品和解决方案必须是经过市场考验,采用成熟技术支撑的产品和解决方案。
2)安全性的需求:
安全性是整个政务外网VPN业务开展的前提,主要有以下几个方面:
a)必须符合国家信息安全相关条例及国家等级保护策略,选择通过国家VPN相关技术鉴定的产品,从而能够达到符合安全性的国家标准要求
b)通过制定VPN安全策略性,在解决方案设计中实施如CA、Ukey、防入侵检测等安全手段,提升政务外网VPN的安全性。
c)关注网络安全发展的趋势,对VPN产品的安全特性的扩展性提出相应扩展的要求。
3)大容量的需求:
政务外网VPN将满足省网未覆盖到的省、市、区、镇等各级部门以及大量移动办公用户的VPN接入,对产品VPNTunnel的容量及扩展性提出很高的要求。
4)高性能的需求:
面对大量有访问需求的政府机构机关和移动办公用户,性能将直接影响到各厅局委办访问省政务平台数据资源时的效率和使用体验,对VPNServer的性能主要有两个方面;一个是加解密吞吐量,体现了政府分支机构可获得的最大数据带宽、一个是时延,时延直接关系业务的感受以及政务平台多项业务的开展,如:
VoIP、视频会议等。
对VPNClient的需求主要是QoS要求。
5)互通性的需求:
对于政务外网VPN的互通性主要体现在:
VPNServer通过省RD与国家MPLSVPN互通,与省各级部门VPNGateway互通。
6)可管理性的需求:
良好的可管理性将大幅降低管理维护人员耗费的精力,有助于快速正确响应各类业务需求。
VPNServer的可管理性主要体现在自身是否有图形化的管理维护软件,以及是否可以支持第三方的管理系统。
4.2政务外网VPN建设的基本设计原则
政务外网VPN设计遵循以下建网原则:
♦标准化原则
标准化是电子政务建设的基础保障,应用服务系统建设必须在业务流程化、安全体系和安全技术、信息表示和信息交换、网络协议、软件结构、软件平台等标准方面遵循国家有关电子政务技术标准,才能达到“互连、互通、互操作”要求,实现“信息交换、资源共享”。
♦安全保密性原则
在数据库设计、应用操作权限和身份认证方面均严格遵循国家电子政务有关安全、保密标准,全面加强安全措施,所有应用项目采用符合国家电子政务标准的基础软硬件。
♦可靠性原则
系统能有效的避免单点失败,在设备选择和互联时应提供充分的冗余备份,实现7×24小时不间断工作。
♦经济实用原则
以需求为基础,充分考虑发展的需要来确定系统规模,功能模块子系统以插件方式扩展。
系统应突出实用,要让系统的投资与各省电子政务系统建设的实际需求相符合。
♦可管理性原则
系统设备易于管理、维护,操作简单,便于配置,在安全性、数据流量、性能等方面能得到很好的监视和控制,可以进行远程管理和故障诊断。
♦先进性原则
系统的结构设计、配置、管理方式,应采用成熟的先进技术,延长系统的生命周期。
♦开放兼容性原则
系统要求开放性好、标准化程度高,系统建设应与现有的一些单位局域网系统平台兼容。
系统建立符合国家和各省关于电子政务及信息化建设有关标准。
♦可扩展性原则
系统设备不但满足当前需要,并在扩充模块后满足发展的需要;保证系统平台升级时能保护现有投资。
♦先易后难、阶段实施的原则
将容易实现的重点业务作为突破口,坚持分阶段实施,立足于小步快走,步步见效,滚动发展,最大限度的减少投资风险,提高系统利用率。
♦保护现有投资原则
充分利用现有系统,整合已开发信息资源,发挥现有投资的效能。
♦技术成熟性原则
在系统软硬件方面,充分考虑采用国内通用的,成熟的软硬件产品进行开发,保证系统功能的高效稳定。
5政务外网VPN建设方案
5.1网络总体结构
根据网络建设目标和需求,政务外网VPN建设网络组成如下图:
图中省干政务外网VPN与Internet相连,各市(地)、县城域网与Internet相连,之间通过VPN网关在Internet上建立安全VPN连接。
为使政务外网VPN网络构建及维护简单、层次清晰,其层次结构分为:
◆省干政务外网VPN网关接入部分:
主要各厅局部委局域网经互连网通过VPN接入电子政务外网,特点是地理位置相对固定,对业务保障要求高,用户终端方面不用改造,操作习惯不会发生变化。
◆省干政务外网VPN移动用户部分:
随HOMEOffice办公的需求的旺盛,移动用户通过VPN办公的数量越来越多,移动办公用户对性能相对要求较低,对安全接入等方面要求较高。
5.2政务外网VPN网关接入方案
根据电子政务外网的需求,国干MPLSVPN终结在省PE上,在省PE侧由VPNServer与PE通过GE口连接,通过VPNServer提供的VCE功能导入对应VPN。
在不具备专线条件的省厅部委办部署FW/VPN设备,并通过Internet与VPNServer建立IPSECVPN隧道传输数据。
各省厅部委办纵向互联由各厅部委办FW/VPN之间直接建立隧道完成横向互通,减少核心网数据流量负担。
省间的厅部委办间互通由国干网统一管理。
省内VPN通过省级VPN统一管理平台平台管理。
可通过VCE或VPE两种方案实现IPSECVPN与国干MPLSVPN对接:
(1)VCE方案
方案特点:
VPNServer通过虚拟防火墙、地址转换多实例、multi-VRF等VPN隔离技术,做为一个MPLSVPN网络统一访问Internet的出口设备,在MPLS网络之外承担VCE(Virtual-CE)的功能。
在VPNServer的出入接口划分不同的VLAN或逻辑子接口,将不同的分支机构或不同的业务通过进出不同的VLAN或子接口进入不同的虚拟防火墙VPN实例,从而达到了隔离的目的,为MPLSVPN统一提供Internet访问。
用户认证通过IKE来提供,可以提供基于证书的方式,也可以采用per-sharedkey的方式,通过IKE认证就可以知道该IPSEC隧道应该接入到哪个MPLSVPN中。
VPNServer支持业务多实例特性,资源独立存放,可以很好的解决私网地址重叠的问题。
(2)VPE方案
VPN网关采用IPSec方式接入VPE,移动办公用户采用L2TP或者L2TP+IPSEC方式接入VPE,在VPE上实现IPVPN隧道和MPLSLSP隧道的融合与衔接。
(3)VCE和VPE方案比较
与VPE方案相比,VCE方案具有明显的优势:
在组网灵活性方面:
VCE方案不需要修改现网,直接通过internet接口进行VPN连接;而VPE方案则需要修改现网,增加PE设备,同时与各省PE连接起来;
在设备选择方面:
VCE方案中的VPNServer设备可以灵活选择,接入用户多的可以选择性能高的,接入用户少的可以选择性能低的;而VPE方案中的VPNServer必须支持MPLS功能,MPLS对设备要求很高,因此不管接入用户多少,VPNServer必须选择高端设备;
在稳定性方面:
VCE方案中的VPNServer功能独立,专门负责IPSEC接入,更能保证功能长时间稳定运行;而VPE方案中的VPNServer同时负责IPSEC接入与MPLS转发,设备负荷较大,设备稳定性较难控制。
VPE方案的优势在于将PE设备和VPNServer的功能集成在一个设备中实现,在某些尚未部署PE设备的场景下,可节省用户投资。
综上所述,我们建议政务外网VPN网关建设拓扑图如下:
组网设计说明:
1)在大多数已经部署PE设备的省份(区域),核心VPNServer采用两台USG2000/5000热备组网,USG2000/5000提供最大4000隧道的扩展,加解密性能达到1Gbps,能够满足省厅局委办的VPN接入需求。
核心VPNServer与省RD通过GE接口相连,与Internet通过ISP100Mbp或1Gbps链路连接。
如下图:
作为核心VPNServer的USG2000/5000采用VCE技术,通过子接口与PE对接VPN,确保不同的IPSECVPN导入各自的MPLSVPN,IPSECVPN业务间的互通由PE进行统一部署与控制;
2)个别尚未部署PE设备的省份(区域),核心VPNServer采用一台USG3040组网,在VPE上实现IPVPN隧道和MPLSLSP隧道的融合与衔接;
3)各厅局委办根据自身业务需求选择VPNGateway接入设备。
考虑未来网络扩展性及业务开展需要,可选如下设备;
4)在省干部署VPNManager管理系统,对省内VPN业务进行可视化管理,提升管理效率;
5)VPN的流量由USG2000/5000镜像至NIP1000(入侵检测系统),实施USG2000/5000与NIP1000的联动,通过NIP1000动态监测数据流,提升业务系统的安全性。
5.3省各厅局委办通过VPN互通方案
在厅局委内网A和厅局委内网B的网络出口部署IPSecVPNGateway,在两个IPSecVPNGateway之间建立IPSec隧道,穿越internet,实现IPSecVPN用户之间的横向互访并保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
5.4政务外网VPN移动用户接入方案
政务外网VPN将为移动用户提供便捷的VPN接入方案,满足省内用户出差及非办公区办公时的安全访问政务外网的需求,网络拓扑如下:
移动办公用户通过VPNClient接入VPNServer网关,业务流程如下:
1)移动办公用户终端接入Internet。
2)在终端上运行VPNClient软件,选择或输入要接入的VPNServer的IP地址。
3)输入用户名密码点击连接(对于不同的用户可在VPNServer上部署不同的安全策略,如需要接入VPN、认证方式等);推荐采用CA+USBKEY方式显著提高安全性。
4)完成认证后,VPNClient提示接入VPN网络,移动办公用户进行需要的数据访问。
移动办公用户访问MPLS的数据将导入NIP1000入侵检测系统,进行入侵检测,后续可考虑部署防病毒网关或其他安全检测设备,提高访问的安全性。
6华赛VPN接入解决方案特点
6.1全面的VPN业务支撑能力
●华赛VPN整体解决方案能够提供L2TP、GRE、IPSec、SSLVPN、MPLSVPN等多种VPN接入方式,并支持DES、3DES、AES等多种加密算法,结合华赛公司全系列的VPN设备,提供完整的VPN解决能力。
USG2000/5000防火墙可支持高达1Gbps的3DES处理能力,提供高性能的LNS服务。
●支持从Internet安全接入到MPLSVPN网络,通过一台USG防火墙的一个物理接口就可以为Internet上的许多VPN分支机构接入到MPLSVPN提供服务。
用户认证通过IKE来提供,可以提供基于证书的方式,也可以采用per-sharedkey的方式。
通过IKE认证就可以知道该IPSec隧道应该接入到哪个MPLSVPN中。
USG系列防火墙对每个VPN保持了独立的转发资源,从源头上就可以控制不同VPN用户之间无法互访。
●支持Multi-VRF特性,可以为多个VPN保存独立的转发表项,这样可以从转发层面保证了业务隔离。
通过这种Multi-VRF技术可以在提供VPN业务的时候,支持私网地址重叠功能。
●支持根验证功能:
USG防火墙的根系统可以验证隧道对端,利用IKE进行身份验证、密钥协商,建立起IPSec隧道之后,就给这个IPSec隧道标定了一个VPN。
然后将IPSec隧道的流量引入到对应的虚拟防火墙处理。
这种方式的处理,可以给Internet的分支机构接入到VPN提供了技术保证,可以使得Internet上的分支机构访问特定VPN。
●支持多个虚系统;USG防火墙的一个虚系统连接一个分支机构,由这个虚系统来验证隧道对端,利用IKE进行身份验证、密钥协商,建立的IPSec隧道只能限定在这个虚系统内部。
这种方式可以给VPN用户提供加密接入到骨干网提供了技术保证,可以使得分支机构在骨干网边缘通过加密方式接入到VPN,提供高可靠的VPN接入服务。
●接入控制权限严格,USG防火墙可以根据用户名、密码来控制访问VPN的接入权限,这样可以使得出差员工,超级用户(需要访问不同VPN资源)等不同的用户。
支持采用Radius协议统一管理用户,可以提供双因子验证方式,采用令牌+固定口令的方式提供高可靠的接入服务。
6.2领先的业务性能及高可靠的硬件体系
●USG系列防火墙采用新一代电信级的硬件高速状态防火墙,强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。
USG防火墙具有一个完整的安全方案技术体系,可以为用户提供综合的安全解决方案。
●USG2000/5000防火墙采用NP(网络处理器)的硬件结构,可以支持10K以上的并发用户,提供1G吞吐量的VPN服务。
●USG系列防火墙支持双机备份组网方式,双机模式支持IPSec/L2TP业务,可以通过双机提供更可靠安全的接入模式。
在做VPN网关的同时,可以为整个企业网提供安全可靠的运行环境,保证整个企业网的安全。
●USG防火墙产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMPFlood、SYNFlood、UDPFlood等各种Dos攻击手段进行Dos攻击的防御。
同时,USG防火墙可以主动识别出数十种常见的攻击种类,很多种攻击种类造成的后果就是Dos形式的攻击,USG防火墙可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。
通过对各种攻击的防御手段,利用USG防火墙可以组建一个安全的防御体系,保证网络不遭受Dos攻击的侵害。
●USG系列防火墙支持使用TCP代理方式来防止SYNFlood类的Dos攻击,通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被USG防火墙丢弃。
6.3图形化的便捷管理
政务外网VPN管理子系统由华赛VPNManager系统构成;其主要功能是简化VPN业务的管理,增强了IPVPN的管理、维护和运营手段。
主要有以下特点:
●所见即所得的业务预部署
在网管上进行离线的业务定义,直到确认无错后再下发的设备上使得业务生效,对运营商非常重要。
VPNManager可以离线地进行所有的业务定义,并且通过各种拓扑视图达到所见即所得的效果。
●配置变更监控功能
VPNManager提供配置审计功能,自动定期地检查出网络业务管理系统和设备上当前配置的不一致性,发送告警给运维人员,并能提供配置变更的详细信息。
●现网业务的自动发现与还原
如果在安装SecospaceVPNManager之前,网络设备上已经部署了IPSecVPN业务。
VPNManager可以读取设备上的配置文件等数据,自动在VPNManager上还原出IPSecVPN业务,从而避免部署后续业务时发生资源冲突,使得新老业务可以统一管理。
●方便的性能统计功能
VPNManager提供实时性能数据查看功能,可对VPN业务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控,并提供历史性能数据分析功能。
有助于用户了解当前网络运行的基本情况和性能状态,预防网络事故发生,预测网络运行状态。
●支持跨平台特性
VPNManager基于华赛公司统一的VSM综合管理应用平台,既可以运行在Solaris操作系统下,也可以运行在Windows操作系统下。
既可提供规模网络的高端解决方案,也可适应低成本的解决方案
●简单快捷的系统安装
提供图形化、向导式的安装和升级方式,系统自动设置静态参数和初始化数据。
安装程序实现按需定制组件的功能。
●友好的人机界面
充分考虑用户的操作习惯,提供统一风格的告警、拓扑和业务配置管理界面,保持一致的视觉效果,提供批量化的操作手段,简化用户日常操作。
7部分产品介绍
7.1华赛USG2000/5000简介
USG2000/5000是华赛公司推出的具有防火墙功能的统一安全网关。
USG2000/5000基于华赛专业的多核硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完备的地址转换(NAT)功能。
为了更好地满足网吧的实际需要,USG2000/5000还支持丰富的多媒体协议和路由协议,组网方式灵活多样,是大中网吧理想的网络安全防护设备。
7.2华赛USG2000/5000功能特点
7.2.1安全区域管理
✧基于安全区域的隔离
华赛USG2000/5000统一安全网关的安全隔离是基于安全区域,这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。
华赛统一安全网关提供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。
✧可管理的安全区域
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。
华赛统一安全网关默认提供四个安全区域:
trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到统一安全网关本身的报文,保证了统一安全网关本身的安全防护。
例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。
华赛统一安全网关还提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。
✧基于安全区域的策略控制
华赛统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。
这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。
基于安全区域的策略控制模型,可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得华赛统一安全网关的网络隔离功能具有很好的管理能力。
7.2.2安全策略控制
✧灵活的规则设定
华赛统一安全网关可以支持灵活的规则设定,可以根据报文的特点方便的设定各种规则。
Ø可以依据报文的协议号设定规则
Ø可以依据报文的源地址、目的地址设定规则
Ø可以使用通配符设定地址的范围,用来指定某个地址段的主机
Ø针对UDP和TCP还可以指定源端口、目的端口
Ø针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围
Ø针对ICMP协议,可以自由的指定ICMP报文的类型和Code号,可以通过规则针对任何一种ICMP报文
Ø可以针对IP报文中的TOS域设定灵活的规则
Ø可以将多个报文的地址形成一个组,作为地址本,在定义规则时可以按组来设定规则,这样规则的配置灵活方便
✧高速策略匹配
通常,防火墙的安全策略都是由很多规则构成的,因此在进行策略匹配的时候会影响防火墙的转发效率。
华赛统一安全网关采用了ACL匹配的专门算法,这样就保证了在很多规则的情况下,统一安全网关依然可以保持高效的转发效率,系统在进行上万条ACL规则的查找时,性能基本不受影响,处理速度保持不变,从而确保了ACL查找的高速度,提高了系统整体性能。
✓MAC地址和IP地址绑定
华赛统一安全网关根据用户配置,将MAC和IP地址进行绑定从而形成关联关系。
对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。
✓动态策略管理-黑名单技术
华赛统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为。
统一安全网关提供如下几种黑名单列表维护方式:
Ø手工添加
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政府 网络安全 VPN 解决方案