遠程接入VPN用戶解決方案

前言

　　隨著業(yè)務的發(fā)展，移動辦公用戶通過Internet遠程接入企業(yè)內網VPN的需求日益明顯。本文提供的方案為員工訪問企業(yè)內部局域網提供了方便和安全的接入方法。該方案的特點是系統(tǒng)管理集成化、技術標準國際化，系統(tǒng)兼容性好，接入響應速度快。該方案主要由兩大部分組成，一為接入系統(tǒng)，二為認證系統(tǒng)。該方案采用目前通行的設計思路，接入方式為IPSECVPN，采用動態(tài)密鑰的身份認證，使用防火墻策略，可以保證移動用戶接入企業(yè)內部網數據在傳輸上的安全。

一、遠程VPN系統(tǒng)設計應滿足的標準

　　遠程VPN系統(tǒng)設計應滿足的標準是網絡在安全性、網絡性能優(yōu)化、VPN可管理性方面有良的好表現。

　　1．安全性

　　VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必需要確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業(yè)網擴展到合作伙伴和客戶，對安全性提出了更高的要求。VPN的安全性包含以下幾個特征。

　　（1）隧道與加密：隧道能實現多協(xié)議封裝，增加VPN應用的靈活性，可以在無連接的IP網上提供點到點的邏輯通道。在安全性要求更高的場合應用加密隧道則進一步保護了數據的私有性，使數據在網上傳送而不被非法窺視與篡改。

　�。�2）數據驗證：在不安全的網絡上，特別是構建VPN的公用網上，數據包有可能被非法截獲，篡改后重新發(fā)送，接收方將會接收到錯誤的數據。數據驗證使接收方可識別這種篡改，保證了數據的完整性。

　�。�3）用戶驗證：VPN可使合法用戶訪問他們所需的企業(yè)資源，同時還要禁止未授權用戶的非法訪問。通過AAA，路由器可以提供用戶驗證、訪問級別以及必要的訪問記錄等功能。這一點對于AccessVPN和ExtranetVPN具有尤為重要的意義。

　�。�4）防火墻與攻擊檢測：防火墻用于過濾數據包，防止非法訪問，而攻擊檢測則更進一步分析數據包的內容，確定其合法性，并可實時應用安全策略，斷開包含非法訪問內容的會話鏈接，產生非法訪問記錄。

　　2．網絡優(yōu)化

　　構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發(fā)送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。

　　二層和三層的QoS一般具有以下功能。

　　（1）流分類：根據不同的用戶、應用、服務器或URL地址等對數據流進行分類，然后才可以在不同的數據流上實施不同的QoS策略。流分類是實現帶寬管理以及其他QoS功能的基礎。ACL就是流分類的手段之一。

　�。�2）流量整形與監(jiān)管：流量整形是指根據數據流的優(yōu)先級，在流量高峰時先盡量保證優(yōu)先級高的數據流的接收/發(fā)送，而將超過流量限制的優(yōu)先級低的數據流丟棄或滯后到流量低谷時接收/發(fā)送，使網絡上的流量趨于穩(wěn)定；流量監(jiān)管則是指帶寬大的路由器限制出口的發(fā)送速率，從而避免下游帶寬小的路由器丟棄超過其帶寬限制的數據包，消除網絡瓶頸。

　　（3）擁塞管理與帶寬分配：根據一定的比例給不同的優(yōu)先級的數據流分配不同的帶寬資源，并對網絡上的流量進行預測，在流量達到上限之前丟棄若干數據包，避免過多的數據包因發(fā)送失敗同時進行重傳而引起更嚴重的資源緊張，進而提高網絡的總體流量。

　　3．VPN管理

　　VPN要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成，企業(yè)自己仍需要完成許多網絡管理任務。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標包括以下方面。

　　（1）減小網絡風險：從傳統(tǒng)的專線網絡擴展到公用網絡基礎設施上，VPN面臨著新的安全與監(jiān)控的挑戰(zhàn)。網絡管理需要做到在允許公司分部、客戶和合作伙伴對VPN訪問的同時，還要確保公司數據資源的完整性。

　�。�2）擴展性：VPN管理需要對日益增多的客戶和合作伙伴作出迅捷的反應，包括網絡硬、軟件的升級、網絡質量保證、安全策略維護等。

　　（3）經濟性：保證VPN管理擴展性的同時不應過多地增加操作和維護成本。

　�。�4）可靠性：VPN構建于公用網之上，不同于傳統(tǒng)的專線廣域網，其受控性大大降低，故VPN可靠而穩(wěn)定地運行是VPN管理必需考慮的問題。

　�。�5）VPN管理主要包括安全管理、設備管理、配置管理、ACL管理、QoS管理等內容。

二、用戶遠程接入VPN技術方案選擇

　　針對移動辦公用戶通過internet接入企業(yè)內部網，建議采用L2TP＋IPsec+RSAOTP技術組合，實現VPN的安全可靠接入。下面對上述三種所涉及的技術做簡要介紹。

　　1.L2TP技術

　　PPP協(xié)議定義了一種封裝技術，可以在二層的點到點鏈路上傳輸多種協(xié)議數據包，這時用戶與NAS之間運行PPP協(xié)議，二層鏈路端點與PPP會話點駐留在相同硬件設備上。

　　L2TP（Layer2TunnelingProtocol ）協(xié)議提供了對PPP鏈路層數據包的通道（Tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設備上并且采用包交換網絡技術進行信息交互，從而擴展了PPP模型。L2TP協(xié)議結合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點，成為IETF有關二層隧道協(xié)議的工業(yè)標準。L2TP包括以下幾個特性。

　　（1）安全的身份驗證機制：與PPP類似，L2TP可以對隧道端點進行驗證。不同的是PPP可以選擇采用PAP方式以明文傳輸用戶名及密碼，而L2TP規(guī)定必須使用類似PPPCHAP的驗證方式。

　　（2）內部地址分配支持：LNS放置于企業(yè)網的防火墻之后，可以對遠端用戶的地址進行動態(tài)分配和管理，還可以支持DHCP和私有地址應用（RFC1918）。遠端用戶所分配的地址不是Internet地址而是企業(yè)內部的私有地址，方便了地址管理并可以增加安全性。

　　（3）統(tǒng)一的網絡管理：L2TP協(xié)議已成為標準的RFC協(xié)議，有關L2TP的標準MIB也已制定，這樣可以統(tǒng)一地采用SNMP網絡管理方案進行方便的網絡維護與管理。

　　2.IPSec技術

　　IPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數據源驗證，以保證數據包在Internet網上傳輸時的私有性、完整性和真實性。IPSec通過AH（AuthenticationHeader）和ESP （Encapsulating Security Payload）這兩個安全協(xié)議來實現。而且此實現不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現。

　　IPSec提供以下幾種網絡安全服務：

　　私有性：IPSec在傳輸數據包之前將其加密，以保證數據的私有性；

　　完整性：IPSec在目的地要驗證數據包，以保證該數據包在傳輸過程中沒有被修改；

　　真實性：IPSec端要驗證所有受IPSec保護的數據包；

　　防重放：IPSec防止了數據包被捕捉并重新投放到網上，即目的地會拒絕老的或重復的數據包，它通過報文的序列號實現。

　　3.RSAOTP技術

　　RSAOTP是建立在“雙因素認證”基礎上。該方法的前提是一個單一的記憶因素，如口令，但口令本身只能對真實性進行低級認證，因為任何聽到或盜竊口令的人都會顯得完全真實，因此需要增加第二個物理認證因素以使認證的確定性按指數遞增。

　　借助強大的用戶認證系統(tǒng)，RSA信息安全解決方案可以向授權的員工發(fā)放單獨登記的設備，以生成個人使用令牌碼，這一代碼可以根據時間而變化。每60秒就會生成一個不同的令牌碼，保護網絡的認證服務器能夠驗證這個變化的代碼是否有效。每個認證設備都是唯一的，別人無法通過記錄以前的令牌代碼來預測將來的代碼，就可以高度確信該用戶即擁有RSA安全認證令牌的合法用戶。

　　每一個令牌密碼變換是基于時間和預置的種子的函數。保證令牌卡與認證服務器的時間同步是保證系統(tǒng)可靠運行的基礎。

　　（1）與UCT時間同步

　　全球同步時間（UCT）用來同步所有RSA信息安全公司產品之間的時間。在發(fā)售時，每個RSASecurID令牌都設定為UCT（與格林威治標準時間相同）；在安裝過程中，RSAACE/Server系統(tǒng)時鐘同樣設定為UCT。實質上，全世界各地的所有RSA信息安全公司都被精確設定為相同的時鐘，從而不需處理時區(qū)差或進行夏令時調整。

　�。�2）有效令牌窗口和時鐘漂移調整

　　為解決使用基于硬件的令牌所產生的微小時間設置差異和時鐘漂移問題，RSAACE/Server在3分鐘的時間窗口基礎上進行認證，即UCT時鐘顯示的當前時間、該時間的前一分鐘和后一分種。如果用戶名和PIN準確無誤，而所提供的密碼與當前時間不符，RSAACE/Server會自動將其前一分鐘和后一分種匹配項進行核對。這一過程適用于認證令牌中的時鐘略為偏離RSAACE/Server中的時間相位的情況。如果與其中任一項相符，則用戶通過認證，進而在該用戶的數據庫紀錄中創(chuàng)建一個節(jié)點，用于調整未來的登錄，以反映時間漂移。

　　假定一個用戶定期進行登錄，RSAACE/Server會一直調整令牌時間，使令牌碼保持在3分鐘窗口內。但是，如果一個用戶長期沒有登錄（一般情況下達幾個月），其令牌時間就會漂移到三分鐘窗口以外，生成一個無效的令牌碼。在這種情況下，RSAACE/Server會測試當前時間前十分鐘和當前時間后十分鐘的令牌碼，如果它與其中任意一個代碼相符，那么RSAACE/Server會再次要求用戶輸入令牌碼，以確認令牌所有權；如果第二個令牌碼具有相同的時鐘漂移，該令牌就被假定為有效，從而用戶通過認證，RSA ACE/Server會在該用戶紀錄中注明特定認證令牌的時鐘差異，已備未來登錄時使用。

　　但是，如果所提供的PIN（個人身份識別號）不匹配，或輸入了無法由時鐘漂移解釋的錯誤令牌碼，RSAACE/Server會要求用戶重試。管理員可以設置在鎖定用戶和建立報警日志項目前允許的重試次數。

三、用戶遠程接入VPN接入方案規(guī)劃

　　用戶遠程接入VPN系統(tǒng)結構如圖1所示。


圖1 用戶遠程接入VPN系統(tǒng)結構

　　服務器端系統(tǒng)包括：

　　高性能VPN接入服務器組成高可用性VPN接入服務器

　　計費認證服務器

　　RSAOTP服務器

　　日志審計服務器及VPNManager

　　用戶端設備

　　移動終端（WindowsXP/2000）

　　RSA令牌卡、Internet移動辦公用戶接入內網流程：用戶首先接入Internet，通過L2TP＋IPsec呼叫與Internet接入VPN服務器連接，輸入用戶名密碼，其中密碼為PIN碼＋RSA令牌卡產生的一次性密碼。密碼通過PPP的CHAP認證由CAMS與RSAServer組合完成認證后向VPN接入路由器反饋認證是否成功信息最終決定用戶是否可以接入。用戶通過認證后即可通過L2TP協(xié)議獲得企業(yè)內網內部IP地址，與內網內設備與系統(tǒng)進行正常通信。


----《通信世界》