遠(yuǎn)程接入VPN用戶解決方案

前言

　　隨著業(yè)務(wù)的發(fā)展，移動(dòng)辦公用戶通過(guò)Internet遠(yuǎn)程接入企業(yè)內(nèi)網(wǎng)VPN的需求日益明顯。本文提供的方案為員工訪問(wèn)企業(yè)內(nèi)部局域網(wǎng)提供了方便和安全的接入方法。該方案的特點(diǎn)是系統(tǒng)管理集成化、技術(shù)標(biāo)準(zhǔn)國(guó)際化，系統(tǒng)兼容性好，接入響應(yīng)速度快。該方案主要由兩大部分組成，一為接入系統(tǒng)，二為認(rèn)證系統(tǒng)。該方案采用目前通行的設(shè)計(jì)思路，接入方式為IPSECVPN，采用動(dòng)態(tài)密鑰的身份認(rèn)證，使用防火墻策略，可以保證移動(dòng)用戶接入企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)在傳輸上的安全。

一、遠(yuǎn)程VPN系統(tǒng)設(shè)計(jì)應(yīng)滿足的標(biāo)準(zhǔn)

　　遠(yuǎn)程VPN系統(tǒng)設(shè)計(jì)應(yīng)滿足的標(biāo)準(zhǔn)是網(wǎng)絡(luò)在安全性、網(wǎng)絡(luò)性能優(yōu)化、VPN可管理性方面有良的好表現(xiàn)。

　　1．安全性

　　VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。VPN的安全性包含以下幾個(gè)特征。

　�。�1）隧道與加密：隧道能實(shí)現(xiàn)多協(xié)議封裝，增加VPN應(yīng)用的靈活性，可以在無(wú)連接的IP網(wǎng)上提供點(diǎn)到點(diǎn)的邏輯通道。在安全性要求更高的場(chǎng)合應(yīng)用加密隧道則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。

　　（2）數(shù)據(jù)驗(yàn)證：在不安全的網(wǎng)絡(luò)上，特別是構(gòu)建VPN的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會(huì)接收到錯(cuò)誤的數(shù)據(jù)。數(shù)據(jù)驗(yàn)證使接收方可識(shí)別這種篡改，保證了數(shù)據(jù)的完整性。

　�。�3）用戶驗(yàn)證：VPN可使合法用戶訪問(wèn)他們所需的企業(yè)資源，同時(shí)還要禁止未授權(quán)用戶的非法訪問(wèn)。通過(guò)AAA，路由器可以提供用戶驗(yàn)證、訪問(wèn)級(jí)別以及必要的訪問(wèn)記錄等功能。這一點(diǎn)對(duì)于AccessVPN和ExtranetVPN具有尤為重要的意義。

　�。�4）防火墻與攻擊檢測(cè)：防火墻用于過(guò)濾數(shù)據(jù)包，防止非法訪問(wèn)，而攻擊檢測(cè)則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容，確定其合法性，并可實(shí)時(shí)應(yīng)用安全策略，斷開(kāi)包含非法訪問(wèn)內(nèi)容的會(huì)話鏈接，產(chǎn)生非法訪問(wèn)記錄。

　　2．網(wǎng)絡(luò)優(yōu)化

　　構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

　　二層和三層的QoS一般具有以下功能。

　�。�1）流分類：根據(jù)不同的用戶、應(yīng)用、服務(wù)器或URL地址等對(duì)數(shù)據(jù)流進(jìn)行分類，然后才可以在不同的數(shù)據(jù)流上實(shí)施不同的QoS策略。流分類是實(shí)現(xiàn)帶寬管理以及其他QoS功能的基礎(chǔ)。ACL就是流分類的手段之一。

　�。�2）流量整形與監(jiān)管：流量整形是指根據(jù)數(shù)據(jù)流的優(yōu)先級(jí)，在流量高峰時(shí)先盡量保證優(yōu)先級(jí)高的數(shù)據(jù)流的接收/發(fā)送，而將超過(guò)流量限制的優(yōu)先級(jí)低的數(shù)據(jù)流丟棄或滯后到流量低谷時(shí)接收/發(fā)送，使網(wǎng)絡(luò)上的流量趨于穩(wěn)定；流量監(jiān)管則是指帶寬大的路由器限制出口的發(fā)送速率，從而避免下游帶寬小的路由器丟棄超過(guò)其帶寬限制的數(shù)據(jù)包，消除網(wǎng)絡(luò)瓶頸。

　　（3）擁塞管理與帶寬分配：根據(jù)一定的比例給不同的優(yōu)先級(jí)的數(shù)據(jù)流分配不同的帶寬資源，并對(duì)網(wǎng)絡(luò)上的流量進(jìn)行預(yù)測(cè)，在流量達(dá)到上限之前丟棄若干數(shù)據(jù)包，避免過(guò)多的數(shù)據(jù)包因發(fā)送失敗同時(shí)進(jìn)行重傳而引起更嚴(yán)重的資源緊張，進(jìn)而提高網(wǎng)絡(luò)的總體流量。

　　3．VPN管理

　　VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)包括以下方面。

　�。�1）減小網(wǎng)絡(luò)風(fēng)險(xiǎn)：從傳統(tǒng)的專線網(wǎng)絡(luò)擴(kuò)展到公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，VPN面臨著新的安全與監(jiān)控的挑戰(zhàn)。網(wǎng)絡(luò)管理需要做到在允許公司分部、客戶和合作伙伴對(duì)VPN訪問(wèn)的同時(shí)，還要確保公司數(shù)據(jù)資源的完整性。

　　（2）擴(kuò)展性：VPN管理需要對(duì)日益增多的客戶和合作伙伴作出迅捷的反應(yīng)，包括網(wǎng)絡(luò)硬、軟件的升級(jí)、網(wǎng)絡(luò)質(zhì)量保證、安全策略維護(hù)等。

　�。�3）經(jīng)濟(jì)性：保證VPN管理擴(kuò)展性的同時(shí)不應(yīng)過(guò)多地增加操作和維護(hù)成本。

　�。�4）可靠性：VPN構(gòu)建于公用網(wǎng)之上，不同于傳統(tǒng)的專線廣域網(wǎng)，其受控性大大降低，故VPN可靠而穩(wěn)定地運(yùn)行是VPN管理必需考慮的問(wèn)題。

　�。�5）VPN管理主要包括安全管理、設(shè)備管理、配置管理、ACL管理、QoS管理等內(nèi)容。

二、用戶遠(yuǎn)程接入VPN技術(shù)方案選擇

　　針對(duì)移動(dòng)辦公用戶通過(guò)internet接入企業(yè)內(nèi)部網(wǎng)，建議采用L2TP＋I(xiàn)Psec+RSAOTP技術(shù)組合，實(shí)現(xiàn)VPN的安全可靠接入。下面對(duì)上述三種所涉及的技術(shù)做簡(jiǎn)要介紹。

　　1.L2TP技術(shù)

　　PPP協(xié)議定義了一種封裝技術(shù)，可以在二層的點(diǎn)到點(diǎn)鏈路上傳輸多種協(xié)議數(shù)據(jù)包，這時(shí)用戶與NAS之間運(yùn)行PPP協(xié)議，二層鏈路端點(diǎn)與PPP會(huì)話點(diǎn)駐留在相同硬件設(shè)備上。

　　L2TP（Layer2TunnelingProtocol ）協(xié)議提供了對(duì)PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持，允許二層鏈路端點(diǎn)和PPP會(huì)話點(diǎn)駐留在不同設(shè)備上并且采用包交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型。L2TP協(xié)議結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點(diǎn)，成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP包括以下幾個(gè)特性。

　　（1）安全的身份驗(yàn)證機(jī)制：與PPP類似，L2TP可以對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證。不同的是PPP可以選擇采用PAP方式以明文傳輸用戶名及密碼，而L2TP規(guī)定必須使用類似PPPCHAP的驗(yàn)證方式。

　�。�2）內(nèi)部地址分配支持：LNS放置于企業(yè)網(wǎng)的防火墻之后，可以對(duì)遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)分配和管理，還可以支持DHCP和私有地址應(yīng)用（RFC1918）。遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址，方便了地址管理并可以增加安全性。

　�。�3）統(tǒng)一的網(wǎng)絡(luò)管理：L2TP協(xié)議已成為標(biāo)準(zhǔn)的RFC協(xié)議，有關(guān)L2TP的標(biāo)準(zhǔn)MIB也已制定，這樣可以統(tǒng)一地采用SNMP網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理。

　　2.IPSec技術(shù)

　　IPSec（IPSecurity）是一組開(kāi)放協(xié)議的總稱，特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec通過(guò)AH（AuthenticationHeader）和ESP （Encapsulating Security Payload）這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)。而且此實(shí)現(xiàn)不會(huì)對(duì)用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會(huì)影響其它部分的實(shí)現(xiàn)。

　　IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：

　　私有性：IPSec在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性；

　　完整性：IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有被修改；

　　真實(shí)性：IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；

　　防重放：IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)。

　　3.RSAOTP技術(shù)

　　RSAOTP是建立在“雙因素認(rèn)證”基礎(chǔ)上。該方法的前提是一個(gè)單一的記憶因素，如口令，但口令本身只能對(duì)真實(shí)性進(jìn)行低級(jí)認(rèn)證，因?yàn)槿魏温?tīng)到或盜竊口令的人都會(huì)顯得完全真實(shí)，因此需要增加第二個(gè)物理認(rèn)證因素以使認(rèn)證的確定性按指數(shù)遞增。

　　借助強(qiáng)大的用戶認(rèn)證系統(tǒng)，RSA信息安全解決方案可以向授權(quán)的員工發(fā)放單獨(dú)登記的設(shè)備，以生成個(gè)人使用令牌碼，這一代碼可以根據(jù)時(shí)間而變化。每60秒就會(huì)生成一個(gè)不同的令牌碼，保護(hù)網(wǎng)絡(luò)的認(rèn)證服務(wù)器能夠驗(yàn)證這個(gè)變化的代碼是否有效。每個(gè)認(rèn)證設(shè)備都是唯一的，別人無(wú)法通過(guò)記錄以前的令牌代碼來(lái)預(yù)測(cè)將來(lái)的代碼，就可以高度確信該用戶即擁有RSA安全認(rèn)證令牌的合法用戶。

　　每一個(gè)令牌密碼變換是基于時(shí)間和預(yù)置的種子的函數(shù)。保證令牌卡與認(rèn)證服務(wù)器的時(shí)間同步是保證系統(tǒng)可靠運(yùn)行的基礎(chǔ)。

　�。�1）與UCT時(shí)間同步

　　全球同步時(shí)間（UCT）用來(lái)同步所有RSA信息安全公司產(chǎn)品之間的時(shí)間。在發(fā)售時(shí)，每個(gè)RSASecurID令牌都設(shè)定為UCT（與格林威治標(biāo)準(zhǔn)時(shí)間相同）；在安裝過(guò)程中，RSAACE/Server系統(tǒng)時(shí)鐘同樣設(shè)定為UCT。實(shí)質(zhì)上，全世界各地的所有RSA信息安全公司都被精確設(shè)定為相同的時(shí)鐘，從而不需處理時(shí)區(qū)差或進(jìn)行夏令時(shí)調(diào)整。

　�。�2）有效令牌窗口和時(shí)鐘漂移調(diào)整

　　為解決使用基于硬件的令牌所產(chǎn)生的微小時(shí)間設(shè)置差異和時(shí)鐘漂移問(wèn)題，RSAACE/Server在3分鐘的時(shí)間窗口基礎(chǔ)上進(jìn)行認(rèn)證，即UCT時(shí)鐘顯示的當(dāng)前時(shí)間、該時(shí)間的前一分鐘和后一分種。如果用戶名和PIN準(zhǔn)確無(wú)誤，而所提供的密碼與當(dāng)前時(shí)間不符，RSAACE/Server會(huì)自動(dòng)將其前一分鐘和后一分種匹配項(xiàng)進(jìn)行核對(duì)。這一過(guò)程適用于認(rèn)證令牌中的時(shí)鐘略為偏離RSAACE/Server中的時(shí)間相位的情況。如果與其中任一項(xiàng)相符，則用戶通過(guò)認(rèn)證，進(jìn)而在該用戶的數(shù)據(jù)庫(kù)紀(jì)錄中創(chuàng)建一個(gè)節(jié)點(diǎn)，用于調(diào)整未來(lái)的登錄，以反映時(shí)間漂移。

　　假定一個(gè)用戶定期進(jìn)行登錄，RSAACE/Server會(huì)一直調(diào)整令牌時(shí)間，使令牌碼保持在3分鐘窗口內(nèi)。但是，如果一個(gè)用戶長(zhǎng)期沒(méi)有登錄（一般情況下達(dá)幾個(gè)月），其令牌時(shí)間就會(huì)漂移到三分鐘窗口以外，生成一個(gè)無(wú)效的令牌碼。在這種情況下，RSAACE/Server會(huì)測(cè)試當(dāng)前時(shí)間前十分鐘和當(dāng)前時(shí)間后十分鐘的令牌碼，如果它與其中任意一個(gè)代碼相符，那么RSAACE/Server會(huì)再次要求用戶輸入令牌碼，以確認(rèn)令牌所有權(quán)；如果第二個(gè)令牌碼具有相同的時(shí)鐘漂移，該令牌就被假定為有效，從而用戶通過(guò)認(rèn)證，RSA ACE/Server會(huì)在該用戶紀(jì)錄中注明特定認(rèn)證令牌的時(shí)鐘差異，已備未來(lái)登錄時(shí)使用。

　　但是，如果所提供的PIN（個(gè)人身份識(shí)別號(hào)）不匹配，或輸入了無(wú)法由時(shí)鐘漂移解釋的錯(cuò)誤令牌碼，RSAACE/Server會(huì)要求用戶重試。管理員可以設(shè)置在鎖定用戶和建立報(bào)警日志項(xiàng)目前允許的重試次數(shù)。

三、用戶遠(yuǎn)程接入VPN接入方案規(guī)劃

　　用戶遠(yuǎn)程接入VPN系統(tǒng)結(jié)構(gòu)如圖1所示。


圖1 用戶遠(yuǎn)程接入VPN系統(tǒng)結(jié)構(gòu)

　　服務(wù)器端系統(tǒng)包括：

　　高性能VPN接入服務(wù)器組成高可用性VPN接入服務(wù)器

　　計(jì)費(fèi)認(rèn)證服務(wù)器

　　RSAOTP服務(wù)器

　　日志審計(jì)服務(wù)器及VPNManager

　　用戶端設(shè)備

　　移動(dòng)終端（WindowsXP/2000）

　　RSA令牌卡、Internet移動(dòng)辦公用戶接入內(nèi)網(wǎng)流程：用戶首先接入Internet，通過(guò)L2TP＋I(xiàn)Psec呼叫與Internet接入VPN服務(wù)器連接，輸入用戶名密碼，其中密碼為PIN碼＋RSA令牌卡產(chǎn)生的一次性密碼。密碼通過(guò)PPP的CHAP認(rèn)證由CAMS與RSAServer組合完成認(rèn)證后向VPN接入路由器反饋認(rèn)證是否成功信息最終決定用戶是否可以接入。用戶通過(guò)認(rèn)證后即可通過(guò)L2TP協(xié)議獲得企業(yè)內(nèi)網(wǎng)內(nèi)部IP地址，與內(nèi)網(wǎng)內(nèi)設(shè)備與系統(tǒng)進(jìn)行正常通信。


----《通信世界》