遠(yuǎn)程接入VPN用戶解決方案

前言

　　隨著業(yè)務(wù)的發(fā)展，移動辦公用戶通過Internet遠(yuǎn)程接入企業(yè)內(nèi)網(wǎng)VPN的需求日益明顯。本文提供的方案為員工訪問企業(yè)內(nèi)部局域網(wǎng)提供了方便和安全的接入方法。該方案的特點是系統(tǒng)管理集成化、技術(shù)標(biāo)準(zhǔn)國際化，系統(tǒng)兼容性好，接入響應(yīng)速度快。該方案主要由兩大部分組成，一為接入系統(tǒng)，二為認(rèn)證系統(tǒng)。該方案采用目前通行的設(shè)計思路，接入方式為IPSECVPN，采用動態(tài)密鑰的身份認(rèn)證，使用防火墻策略，可以保證移動用戶接入企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)在傳輸上的安全。

一、遠(yuǎn)程VPN系統(tǒng)設(shè)計應(yīng)滿足的標(biāo)準(zhǔn)

　　遠(yuǎn)程VPN系統(tǒng)設(shè)計應(yīng)滿足的標(biāo)準(zhǔn)是網(wǎng)絡(luò)在安全性、網(wǎng)絡(luò)性能優(yōu)化、VPN可管理性方面有良的好表現(xiàn)。

　　1．安全性

　　VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對安全性提出了更高的要求。VPN的安全性包含以下幾個特征。

　�。�1）隧道與加密：隧道能實現(xiàn)多協(xié)議封裝，增加VPN應(yīng)用的靈活性，可以在無連接的IP網(wǎng)上提供點到點的邏輯通道。在安全性要求更高的場合應(yīng)用加密隧道則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。

　�。�2）數(shù)據(jù)驗證：在不安全的網(wǎng)絡(luò)上，特別是構(gòu)建VPN的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會接收到錯誤的數(shù)據(jù)。數(shù)據(jù)驗證使接收方可識別這種篡改，保證了數(shù)據(jù)的完整性。

　�。�3）用戶驗證：VPN可使合法用戶訪問他們所需的企業(yè)資源，同時還要禁止未授權(quán)用戶的非法訪問。通過AAA，路由器可以提供用戶驗證、訪問級別以及必要的訪問記錄等功能。這一點對于AccessVPN和ExtranetVPN具有尤為重要的意義。

　�。�4）防火墻與攻擊檢測：防火墻用于過濾數(shù)據(jù)包，防止非法訪問，而攻擊檢測則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容，確定其合法性，并可實時應(yīng)用安全策略，斷開包含非法訪問內(nèi)容的會話鏈接，產(chǎn)生非法訪問記錄。

　　2．網(wǎng)絡(luò)優(yōu)化

　　構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

　　二層和三層的QoS一般具有以下功能。

　�。�1）流分類：根據(jù)不同的用戶、應(yīng)用、服務(wù)器或URL地址等對數(shù)據(jù)流進(jìn)行分類，然后才可以在不同的數(shù)據(jù)流上實施不同的QoS策略。流分類是實現(xiàn)帶寬管理以及其他QoS功能的基礎(chǔ)。ACL就是流分類的手段之一。

　�。�2）流量整形與監(jiān)管：流量整形是指根據(jù)數(shù)據(jù)流的優(yōu)先級，在流量高峰時先盡量保證優(yōu)先級高的數(shù)據(jù)流的接收/發(fā)送，而將超過流量限制的優(yōu)先級低的數(shù)據(jù)流丟棄或滯后到流量低谷時接收/發(fā)送，使網(wǎng)絡(luò)上的流量趨于穩(wěn)定；流量監(jiān)管則是指帶寬大的路由器限制出口的發(fā)送速率，從而避免下游帶寬小的路由器丟棄超過其帶寬限制的數(shù)據(jù)包，消除網(wǎng)絡(luò)瓶頸。

　�。�3）擁塞管理與帶寬分配：根據(jù)一定的比例給不同的優(yōu)先級的數(shù)據(jù)流分配不同的帶寬資源，并對網(wǎng)絡(luò)上的流量進(jìn)行預(yù)測，在流量達(dá)到上限之前丟棄若干數(shù)據(jù)包，避免過多的數(shù)據(jù)包因發(fā)送失敗同時進(jìn)行重傳而引起更嚴(yán)重的資源緊張，進(jìn)而提高網(wǎng)絡(luò)的總體流量。

　　3．VPN管理

　　VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)包括以下方面。

　　（1）減小網(wǎng)絡(luò)風(fēng)險：從傳統(tǒng)的專線網(wǎng)絡(luò)擴(kuò)展到公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，VPN面臨著新的安全與監(jiān)控的挑戰(zhàn)。網(wǎng)絡(luò)管理需要做到在允許公司分部、客戶和合作伙伴對VPN訪問的同時，還要確保公司數(shù)據(jù)資源的完整性。

　�。�2）擴(kuò)展性：VPN管理需要對日益增多的客戶和合作伙伴作出迅捷的反應(yīng)，包括網(wǎng)絡(luò)硬、軟件的升級、網(wǎng)絡(luò)質(zhì)量保證、安全策略維護(hù)等。

　�。�3）經(jīng)濟(jì)性：保證VPN管理擴(kuò)展性的同時不應(yīng)過多地增加操作和維護(hù)成本。

　�。�4）可靠性：VPN構(gòu)建于公用網(wǎng)之上，不同于傳統(tǒng)的專線廣域網(wǎng)，其受控性大大降低，故VPN可靠而穩(wěn)定地運(yùn)行是VPN管理必需考慮的問題。

　�。�5）VPN管理主要包括安全管理、設(shè)備管理、配置管理、ACL管理、QoS管理等內(nèi)容。

二、用戶遠(yuǎn)程接入VPN技術(shù)方案選擇

　　針對移動辦公用戶通過internet接入企業(yè)內(nèi)部網(wǎng)，建議采用L2TP＋I(xiàn)Psec+RSAOTP技術(shù)組合，實現(xiàn)VPN的安全可靠接入。下面對上述三種所涉及的技術(shù)做簡要介紹。

　　1.L2TP技術(shù)

　　PPP協(xié)議定義了一種封裝技術(shù)，可以在二層的點到點鏈路上傳輸多種協(xié)議數(shù)據(jù)包，這時用戶與NAS之間運(yùn)行PPP協(xié)議，二層鏈路端點與PPP會話點駐留在相同硬件設(shè)備上。

　　L2TP（Layer2TunnelingProtocol ）協(xié)議提供了對PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設(shè)備上并且采用包交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型。L2TP協(xié)議結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點，成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP包括以下幾個特性。

　�。�1）安全的身份驗證機(jī)制：與PPP類似，L2TP可以對隧道端點進(jìn)行驗證。不同的是PPP可以選擇采用PAP方式以明文傳輸用戶名及密碼，而L2TP規(guī)定必須使用類似PPPCHAP的驗證方式。

　�。�2）內(nèi)部地址分配支持：LNS放置于企業(yè)網(wǎng)的防火墻之后，可以對遠(yuǎn)端用戶的地址進(jìn)行動態(tài)分配和管理，還可以支持DHCP和私有地址應(yīng)用（RFC1918）。遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址，方便了地址管理并可以增加安全性。

　�。�3）統(tǒng)一的網(wǎng)絡(luò)管理：L2TP協(xié)議已成為標(biāo)準(zhǔn)的RFC協(xié)議，有關(guān)L2TP的標(biāo)準(zhǔn)MIB也已制定，這樣可以統(tǒng)一地采用SNMP網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理。

　　2.IPSec技術(shù)

　　IPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec通過AH（AuthenticationHeader）和ESP （Encapsulating Security Payload）這兩個安全協(xié)議來實現(xiàn)。而且此實現(xiàn)不會對用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現(xiàn)。

　　IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：

　　私有性：IPSec在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性；

　　完整性：IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；

　　真實性：IPSec端要驗證所有受IPSec保護(hù)的數(shù)據(jù)包；

　　防重放：IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。

　　3.RSAOTP技術(shù)

　　RSAOTP是建立在“雙因素認(rèn)證”基礎(chǔ)上。該方法的前提是一個單一的記憶因素，如口令，但口令本身只能對真實性進(jìn)行低級認(rèn)證，因為任何聽到或盜竊口令的人都會顯得完全真實，因此需要增加第二個物理認(rèn)證因素以使認(rèn)證的確定性按指數(shù)遞增。

　　借助強(qiáng)大的用戶認(rèn)證系統(tǒng)，RSA信息安全解決方案可以向授權(quán)的員工發(fā)放單獨登記的設(shè)備，以生成個人使用令牌碼，這一代碼可以根據(jù)時間而變化。每60秒就會生成一個不同的令牌碼，保護(hù)網(wǎng)絡(luò)的認(rèn)證服務(wù)器能夠驗證這個變化的代碼是否有效。每個認(rèn)證設(shè)備都是唯一的，別人無法通過記錄以前的令牌代碼來預(yù)測將來的代碼，就可以高度確信該用戶即擁有RSA安全認(rèn)證令牌的合法用戶。

　　每一個令牌密碼變換是基于時間和預(yù)置的種子的函數(shù)。保證令牌卡與認(rèn)證服務(wù)器的時間同步是保證系統(tǒng)可靠運(yùn)行的基礎(chǔ)。

　�。�1）與UCT時間同步

　　全球同步時間（UCT）用來同步所有RSA信息安全公司產(chǎn)品之間的時間。在發(fā)售時，每個RSASecurID令牌都設(shè)定為UCT（與格林威治標(biāo)準(zhǔn)時間相同）；在安裝過程中，RSAACE/Server系統(tǒng)時鐘同樣設(shè)定為UCT。實質(zhì)上，全世界各地的所有RSA信息安全公司都被精確設(shè)定為相同的時鐘，從而不需處理時區(qū)差或進(jìn)行夏令時調(diào)整。

　�。�2）有效令牌窗口和時鐘漂移調(diào)整

　　為解決使用基于硬件的令牌所產(chǎn)生的微小時間設(shè)置差異和時鐘漂移問題，RSAACE/Server在3分鐘的時間窗口基礎(chǔ)上進(jìn)行認(rèn)證，即UCT時鐘顯示的當(dāng)前時間、該時間的前一分鐘和后一分種。如果用戶名和PIN準(zhǔn)確無誤，而所提供的密碼與當(dāng)前時間不符，RSAACE/Server會自動將其前一分鐘和后一分種匹配項進(jìn)行核對。這一過程適用于認(rèn)證令牌中的時鐘略為偏離RSAACE/Server中的時間相位的情況。如果與其中任一項相符，則用戶通過認(rèn)證，進(jìn)而在該用戶的數(shù)據(jù)庫紀(jì)錄中創(chuàng)建一個節(jié)點，用于調(diào)整未來的登錄，以反映時間漂移。

　　假定一個用戶定期進(jìn)行登錄，RSAACE/Server會一直調(diào)整令牌時間，使令牌碼保持在3分鐘窗口內(nèi)。但是，如果一個用戶長期沒有登錄（一般情況下達(dá)幾個月），其令牌時間就會漂移到三分鐘窗口以外，生成一個無效的令牌碼。在這種情況下，RSAACE/Server會測試當(dāng)前時間前十分鐘和當(dāng)前時間后十分鐘的令牌碼，如果它與其中任意一個代碼相符，那么RSAACE/Server會再次要求用戶輸入令牌碼，以確認(rèn)令牌所有權(quán)；如果第二個令牌碼具有相同的時鐘漂移，該令牌就被假定為有效，從而用戶通過認(rèn)證，RSA ACE/Server會在該用戶紀(jì)錄中注明特定認(rèn)證令牌的時鐘差異，已備未來登錄時使用。

　　但是，如果所提供的PIN（個人身份識別號）不匹配，或輸入了無法由時鐘漂移解釋的錯誤令牌碼，RSAACE/Server會要求用戶重試。管理員可以設(shè)置在鎖定用戶和建立報警日志項目前允許的重試次數(shù)。

三、用戶遠(yuǎn)程接入VPN接入方案規(guī)劃

　　用戶遠(yuǎn)程接入VPN系統(tǒng)結(jié)構(gòu)如圖1所示。


圖1 用戶遠(yuǎn)程接入VPN系統(tǒng)結(jié)構(gòu)

　　服務(wù)器端系統(tǒng)包括：

　　高性能VPN接入服務(wù)器組成高可用性VPN接入服務(wù)器

　　計費認(rèn)證服務(wù)器

　　RSAOTP服務(wù)器

　　日志審計服務(wù)器及VPNManager

　　用戶端設(shè)備

　　移動終端（WindowsXP/2000）

　　RSA令牌卡、Internet移動辦公用戶接入內(nèi)網(wǎng)流程：用戶首先接入Internet，通過L2TP＋I(xiàn)Psec呼叫與Internet接入VPN服務(wù)器連接，輸入用戶名密碼，其中密碼為PIN碼＋RSA令牌卡產(chǎn)生的一次性密碼。密碼通過PPP的CHAP認(rèn)證由CAMS與RSAServer組合完成認(rèn)證后向VPN接入路由器反饋認(rèn)證是否成功信息最終決定用戶是否可以接入。用戶通過認(rèn)證后即可通過L2TP協(xié)議獲得企業(yè)內(nèi)網(wǎng)內(nèi)部IP地址，與內(nèi)網(wǎng)內(nèi)設(shè)備與系統(tǒng)進(jìn)行正常通信。


----《通信世界》