H3C华三远程安全接入解决方案技术建议书

远程安全接入解决方案技术建议书杭州华三通信技术有限公司HBCITolP解决方案专家目录TOC\o"1-5"\h\z\o"CurrentDocument"远程接入模式分析 4\o"CurrentDocument"VPN技术介绍 4\o"CurrentDocument"VPN定义 4\o"CurrentDocument"VPN的类型 5\o"CurrentDocument"AccessVPN 5\o"CurrentDocument"IntranetVPN 6\o"CurrentDocument"ExtranetVPN 6\o"CurrentDocument"VPN的优点 6\o"CurrentDocument"隧道技术 7\o"CurrentDocument"ニ层隧道协议 7\o"CurrentDocument"三层隧道协议 7\o"CurrentDocument"加密技术 9\o"CurrentDocument"身份认证技术 10\o"CurrentDocument"H3c安全建设理念 11\o"CurrentDocument"智能安全渗透网络简介 11\o"CurrentDocument"智能安全渗透网络——局部安全 12\o"CurrentDocument"智能安全渗透网络——全局安全 12\o"CurrentDocument"智能安全渗透网络——智能安全 12\o"CurrentDocument"XX系统远程安全接入解决方案 13\o"CurrentDocument"XX系统远程安全接入需求分析 13\o"CurrentDocument"解决方案设计原则 14\o"CurrentDocument"XX系统远程安全接入解决方案 17\o"CurrentDocument"远程接入安全解决方案 17大型分支接入 17\o"CurrentDocument"中小分支合作伙伴接入 18\o"CurrentDocument"移动用户接入方式 19\o"CurrentDocument"可靠性方案 20双出口备份 20\o"CurrentDocument"双机备份 22\o"CurrentDocument"快速切换 23\o"CurrentDocument"VPN管理系统 25\o"CurrentDocument"轻松部署安全网络 25直观展示VPN拓扑 26\o"CurrentDocument"全方位监控网络性能 26\o"CurrentDocument"快速定位网络故障 27\o"CurrentDocument"BIMS分支智能管理系统 28\o"CurrentDocument"统ー安全管理中心 30\o"CurrentDocument"总结 31远程接入模式分析随着网络,尤其是网络经济的发展,为提高沟通效率和资源利用效率,建立分支与总部、机构与机构之间的具有保密性的网络连接是十分必要的。此外,工作人员出差时也需要访问系统内部的ー些信息资源,这时同样需要建立保密的网络连接。怎样为这些分支、机构、出差人员提供ー个安全、经济、方便和高效的安全接入方式,成为XX系统亟需解决的ー个问题。建立保密的网络连接ー种方案是使用专线，其基本方式是进行每个层次之间的专线方式连接，通过这种方式可以实现的星形结构的全局网络连接,基本满足分支与总部、机构与机构之间的数据传输需求，但是这种方式存在非常大的两个缺点:第一是不灵活，不能满足出差人员随时随地接入的需求;第二是费用高，专线方式的网络连接需要支付高昂的专线租用费用。另外一种方式是通过拨号的方式,通过利用PSTN/ISDN的模拟电话线路,移动用户主机配置的调制解调器，采用拨号的方式,登录到公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较灵活，PSTN电话线路资源比较容易获得。缺点在于网络连接性能低，PSTN电话最多提供64K带宽，相对现在的宽带网络，已经基本不可用，而且此方式没有任何安全措施，数据在传输过程中存在很大的安全风险。随着VPN技术的发展，VPN技术已经成为ー种非常成熟的网络连接方式，VPN具有高性价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势,已经被广泛替代专线用来进行广域网络的衔接,ド面我们将以VPN模式为核心,提供H3C全面的VPN解决方案。VPN技术介绍VPN定义利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,VirtualPrivateNetwork),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络ー样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。合作依傳图1.VPN应用示意图由图可知,企业内部资源享用者只需连入本地ISP即可访问中心或者相互通信。这对于流动性很大的出差员エ和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。VPN的类型VPN分为三种类型:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的 VPN分别与传统的远程访问网络、企、ル内部的Intranet以及企业网和相关合作伙伴的企'ル网所构成的Extranet相ヌ寸应。AccessVPN随着当前移动办公的日益增多,远程用户需要及时地访问Intranet和Extranet。对于出差流动员エ、远程办公人员和远程小办公室，AccessVPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在AccessVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。AccessVPN的结构有两种类型,•种是用户发起(Client-initiated)的VPN连接,另一ー种是接入服务器发起(NAS-initiated)的VPN连接。用户发起的VPN连接指的是以下这种情况:首先，远程用户通过服务提供点(POP)拨入Internet,接着，用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。IntranetVPNIntranetVPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。而另一方面，基于Internet构建VPN是最为经济的方式，但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。ExtranetVPNExtranetVPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下，Extranet通过专线互联实现，网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置，而同样降低不了复杂度。因合作伙伴与客户的分布广泛，这样的Extranet建设与维护是非常昂贵的。因此，诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化，商业效率被迫降低。ExtranetVPN以其易于构建与管理为解决以上问题提供了有效的手段，其实现技术与AccessVPN和IntranetVPN相同。Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。VPN的优点利用公用网络构建VPN是个新型的网络概念，对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道,局域网互联费用可降低2〇〜40%,而远程接入费用更可减少6〇〜80%,这无疑是非常有吸引力的:VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另外,在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。隧道技术对于构建VPN来说,网络隧道（Tunneling）技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另ー种网络协议,它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议:ー种是二层隧道协议,用于传输ニ层网络协议,它主要应用于构建AccessVPN和ExtranetVPN;另ー种是三层隧道协议,用于传输三层网络协议,它主要应用于构建!ntranetVPN和ExtranetVPN〇ニ层隧道协议二层隧道协议主要有三种:PPTP（PointtoPointTunnelingProtocol,点对点隧道协议）、L2F（Layer2Forwarding,ニ层转发协议）和L2Tp（Layer2TunnelingProtocol,二层隧道协议）。其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。应用L2TP构建的典型VPN服务的结构如下图所示:图2.典型拨号VPN业务示意图三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术,早已出现的RFC1701GenericRoutingEncapsulation（GRE）协议就是ー个三层隧道协议,此外还有IETF的IPSec协议。GREGRE与IPin圧、IPXoverIP等封装形式很相似,但比他们更通用。在GRE的处理中,很多协议的细微差异都被忽略,这使得GRE不限于某个特定的“XoverY”应用,而是一种最基本的封装形式。在最简单的情况下,路由器接收到・个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中，然后完全由IP层负责此报文的转发。原始报文的协议被称之为乘客协议，GRE被称之为封装协议，而负责转发的IP协议被称之为传递(Delivery)协议或传输(Transport)协议。注意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有下图所示格式:DetiveryHeader (TransportProtocol) GREHealer_(EncapsulatiofiProtocol)

Psa/loadPacket

(PassengerProtocol)图3.通过GRE传输报文形式IPSecIPSec(IPSecurity)是ー组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响，用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。IPSec提供以下几种网络安全服务:私有性一IPSec在传输数据包之前将其加密.以保证数据的私有性;完整性一!PSec在目的地要验证数据包，以保证该数据包在传输过程中没有被修改:真实性一IPSec端耍验证所有受IPSec保护的数据包;防重放一IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。IPSec在两个端点之间通过建立安全联盟(SecuhtyAssociation)进行数据传输。安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec在转发加密数据时产生新的AH和/或ESP附加报头，用于保证!P数据包的安全性。IPSec有隧道和传输两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在ー个新的IP数据包中;在传输方式中,只是传输层（如TCP、UDP、ICMP）数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。AH报头用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。考虑到计算效率，AH没有采用数字签名，而是采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。AH在IP包中的位置如图所示（隧道方式）：DetT|〇ABIIP|TCP|Xt.l图4.AH处理示意图ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。ESP头在IP包中的位置如下（隧道方式）：图5.ESP处理示意图AH和ESP可以单独使用，也可以同时使用。使用IPSec,数据就可以在公网上安全传输，而不必担心数据被监视、修改或伪造。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟，并结合访问控制列表（access-list）,IPSec可以対不同的数据流实施不同的保护策略,达到不同的保护效果。安全联盟是有方向性的（单向）。通常在两个端点之间存在四个安全联盟,每个端点两个,ー个用于数据发送，ー个用于数据接收。IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。加密技术Internet密钥交换协议（IKE）用于通信双方协商和建立安全联盟，交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥。其中的核心技术就是DH（DiffieHellman）交换技术。DH交换基于公开的信息计算私有信息，数学上已经证明,破解DH交换的计算复杂度非常高从而是不可实现的。所以,DH交换技术可以保证双方能够安全地获得公有信息,即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。在身份验证方面,IKE提供了共享验证字(Pre-sharedKey)、公钥加密验证、数字签名验证等验证方法。后两种方法通过对CA(CertificateAuthority)中心的支持来实现。IKE密钥交换分为两个阶段，其中阶段1建立ISAKMPSA,有主模式(MainMode)和激进模式(AggressiveMode)两种;阶段2在阶段1ISAKMPSA的保护下建立IPSecSA,称之为快速模式(QuickMode)0IPSecSA用于最终的IP数据安全传送。另外，IKE还包含有传送信息的信息交换(InformationalExchange)和建立新DH组的组交换(DHGroupExchange)。身份认证技术IPSec隧道建立的前提是双方的身份的得到了认证，这就是所谓的身份验证。身份验证确认通信双方的身份。目前有两种方式:ー种是域共享密钥(pre-sharedkey)验证方法，验证字用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥的。验证字是验证双方身份的关键。这种认证方式的优点是简单,但有一个严重的缺点就是验证字作为明文字符串，很容易泄漏。另ー种是PKI(rsa-signature)验证方法。这种方法通过数字证书对身份进行认证，安全级别很高,是目前最先进的身份认证方式。公钥基础设施(PublicKeyInfrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的ー种体系，它是ー套软硬件系统和安全策略的集合，提供了一整套安全机制。PKI采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在ー起，以在网上验证用户的身份。PK!为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中，不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改:数据的有效性是指数据不能被否认。ー个PKI系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的PKI存储库共同组成。PKUW用zy数字证书认证机构 注册机构 PKI存储库图6.PKI组成框图其中,认证机构用于签发并管理证书;注册机构用于个人身份审核、证书废除列表管理等;PKI存储库用于对证书和日志等信息进行存储和管理,并提供一定的查询功能;数字证书是PK!应用信任的基础,是PKI系统的安全凭据。数字证书又称为公共密钥证书PKC(PublicKeyCertificate),是基于公共密钥技术发展起来的・种主要用于验证的技术,它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，可作为各类实体在网上进行信息交流及商务活动的身份证明。证书是有生命期的,在证书生成时指定，认证中心也可以在证书的有效期到来前吊销证书，结束证书的生命期。H3c安全建设理念理念是人们对于不同事物从自身角度出发确定下来的正确看法,并用于指导人们的行为实践。正确的安全建设理念可以指导用户解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方。H3C公司提出的智能安全渗透网络理念(intelligentSafePervasiveNetwork,简称iSPN)体现了H3c在网络信息安全方面专业和独到的见解,使其成为客户最可信赖的安全建设指导思想。智能安全渗透网络简介互联网的广泛应用,大大改变了企业业务流程的开展方式。但是,随着信息化建设的不断深入,网络安全问题也成为影响企业信息化建设的瓶颈。遭受过由于网络安全问题带来的损失的企业,极容易失去对网络的信任，从而错失很多商业机会,这时他们需要的是一个安全的保障,在享用互联网带来无限商机的同时保证业务的持续可用及信息安全。智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统•的安全管理平台基础匕借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。智能安全渗透网络——局部安全网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品,进行2〜7层的威胁防范,当前企业绝大部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下,H3c强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式，实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。智能安全渗透网络一全局安全由于安全产品种类的不断丰富，使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到，局部安全的防护手段相对比较孤立，只有将产品的相互协作作为安全规划的必备因素，形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此，H3c推出了全局安全理念,借助于ITolP的网络优势，通过技术和产品的协作,将网络屮的多个网络设备、安全设备和各组件联动起来,并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。以H3c的端点准入防御及安全事件分析机制为例，它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统ー的安全策略下,利用各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统ー的平台上进行安全事件的收集、整理、分析，可以做到整网安全风险的提前预防与及时控制。智能安全渗透网络——智能安全随着网络建设的日趋完善,面向业务的安全已经成为新的发展方向。只有理解企业业务,将企业的业务需求及流程建设充分融合到网络安全建设中来，从信息的计算、通信及存储等信息安全状态出发,以面向应用的统•安全平台为基础,通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应,将智能的安全融入企业业务流程中，形成开放融合、相互渗透的安全实体，才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内,这样的需求正是智能安全产生的原动カ。目前,政府制定了网络安全相关的法律法规，促使各行业必须遵循一定的安全标准,以帮助提高企业的攻击防范能力。为了帮助用户构建等级安全体系，实现按需防御需要，H3C数十人的专业安全服务团队,借助严格完善的网络安全评估规范,对企业IT环境现状进行安全评估，并对企业网络结构及业务流程进行统一的安全咨询和规划，为用户度身定制•整套闭环的安全建设方案，并通过培训提升企业安全管理人员的素质,保证安全性的延续。有了量身定制的建设方案与安全策略，如何将这样的方案落到实处是下ー步的难题,网络威胁千变万化、多种多样，业内还没有任何ー个安全厂家可以解决所有的安全问题。因此,为保证企业网络安全建设能符合未来发展趋势，需耍建立一个由厂商、代理商和客户组成的大安全联盟,允许各个组织和个人都可以通过标准的接口将安全快速嵌入网络,实现弹性扩展与智能融合。H3c在智能安全中采用开放应用架构(〇AA,OpenApplicationArchitecture)为用户提供开放的硬件平台、标准的接口,允许第三方技术的无缝融合,从而将网络安全的边界打通，将业界的先进技术配合适当的安全策略,最终完成网络安全建设的蓝海战略。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据，保证企业信息系统的安全运行。iSPN全局安全管理平台以开放的安全管理中心和智能管理中心为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入ー个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时，我们能够迅速察觉、准确定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上，H3CiSPN为实现这ー目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全城胁、大幅提升对企业基础业务的安全保障。2007年，H3c将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案,为企业打造ー个领先的、全面的、可信赖的IP安全平台。XX系统远程安全接入解决方案XX系统远程安全接入需求分析请根据具体项目情况添加描述举例:交通部交通部全国网络的建设目前已经全面展开,随着交通系统应用的不断增多,各个业务单位对于网络的需求也越来越来越大,目前随着应用系统的建设,“交通政务信息网”和“道路运输数据交换平台网络”的建设需求日益迫切,下面简述一下这两个系统的建设思路。交通政务信息网概况交通政务信息网络成员单位194家分为8个组,第一组为各省、自治区交通厅计27个,第二组为各直辖市、计划单列市交通管理部门计19个,第三组为部内司局计1フ个,第四组为海事局、救捞局、中国船级社计29个,第五组为港航单位计28个単位,第六组是交通科研、教育、协会、学会、设计单位计2。个,第九组为市级交通局计28个,第十组为县级交通局计26个。目前部机关各司局可以直接连接交通行业专网（以后简称“专网”）,第一组和第二组的単位已经通过专线连接专网,并以INTERNETVPN连接作为备份,部机关的VPN接入设备是华为的产品,其它组的单位尚未与专网连接,其中第五组中的港口单位与水运司联网的80余家港口単位有重复,可以考虑与水运司的业务共享线路,不再重复建设。根据交通行业专网建设的总体思路,这些未连接专网的单位可以通过/NTERNETVPN方式连接。道路运输数据交换平台网络概况按照“立足成果部省联动”的建设原则,部级道路运输数据交换平台的网络通信建设方案充分利用交通部信息化二期建设的成果,从安全性和经济性考虑,以交通部交通行业信息专网（SDH专网）作为数据交换的主要通讯方式,以交通行业虚拟信息专网作为应急备份网络。解决方案设计原则在规划xx系统安全建设时,我们将遵循以下原则,提供完善的远程安全接入解决方案:PDCA原则信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408—1（信息安全风险管理和评估规则）,给出了一个非常经典的信息安全风险管理模型,如下图所示:

既然信息安全是ー个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划ー实施与部署一监控与评估一维护和改进)的循环过程。Plan利2伙伴ActPlan利2伙伴Act得到管足的信息安全遵循统筹规划、分步实施原则解决方案是XX系统整体安全规划的・部分，必须在统ー领导下，统筹规划,根据需要接入単位，逐步扩大网络覆盖面，增强网络功能。随着网络覆盖面的扩大及功能的增强，可以促进网上应用建设。网络和应用的建设相互推动,促使专网建设成良性循环。坚持安全第一原则XX系统的承载数据具有高度的机密性,通过公共网络传输数据时,既耍保证传输内容不被窃听、篡改,同时还要保证接入端的可信任,以及设备的抗攻击性,从而保证XX系统的整体安全性和可靠性。坚持实用性原则XX系统VPN系统的建设应从透明性、友善性、有效性等几个方面考虑实用性的设计。透明性是指安全机制的设置和运行对于普通用户应尽量透明,使他感觉不到其存在。友善性是指对于包括安全管理中心在内的所有需要进行操作的人机界面应做到安全、简捷、方便。有效性一方面是指安全机制的设置确实达到设计要求，另一方面是指增加安全机制以后新增加的系统开销所带来的性能下降要在应用系统运行所能承受的范围之内。筒易性也是VPN建设需要考虑的一个关键因素,对于营业网点或者移动用户,都必须提供最简单的VPN网络接入方式，以保证VPN网络的部署不会对正常的网络应用造成影响。坚持技术与管理密切结合的原则任何安全系统的可靠运行,必须有严格的管理，并把两者密切结合起来。管理首先是管理人员,然后再通过被管理的人实现对VPN系统运行的控制和管理。要有完备的规章制度和切实可行的操作规程来规范各类人员的操作。任何安全系统或者ー个分系统都必须把人考虑在内オ是完备的。由于分支机构缺少足够的技术人员,因此VPN网络管理应该以区域集中管理为主要模式，因此VPN的建设必须提供足够的技术支撑能力，以实现这种管理模式的需求。坚持前瞻性原则设计网络时即要考虑当前需求，也要考虑未来的需求，即要考虑单ー应用需求也要考虑综合应用需求。目前政务信息主要是文字性的内容，数据流量相对较小,随着信息工作不断推进,将来势必会增加图片、音像、视频等多媒体信息,数据量会大量增加,对网络性能要求也会大大增加。另外我们也要考虑到其它的业务应用，如:电视会议、其它业务系统等。其它应用建设时涉及已经联网的可以不再单独建设,基于以上原因网络建设时尽量做到具有前瞻性,保证在设备生命周期内能够满足业务需要。

XX系统远程安全接入解决方案远程接入安全解决方案根据xx系统的需求,建议按照如下的组网图进行建设:此处请补充根据客户实际组网做得方案建议图,以下图为例。服务器区ゆバSecCenterVPNManager同时请根据具体用户需求,删除或增加下面的技术介绍章节:VPNSecPath组网特点:/VPN内部需要建立统ー的。SPF路由域。/VPN内部可以支持MPLS、IPX等非IP协议的网络。部署要点/两端的VPN网关的Loopback接口之间建立GRE隧道,然后将IPSec策略应用到Wan接口上从而建立IPSec隧道,进行数据封装、加密和传输:/在GRE隧道接口上使能OSPF；方案特点/GRE的特点是可以承载多种协议，而IPSec只能承我IP协议。如果企业网内有IPX、MPLS等应用,建议可以先借用GRE承载非IP协议,然后才能使用!PSec保护GRE报文。/GRE是基于路由的,而IPSec是基于策略。如果需要在企业网内统ー规划路由方案，GREoverIPSec的方式逻辑就比较清晰。因为IPSec的策略是针对GRE隧道的,而GRE隧道是基于路由的，所以整个VPN内的路由是统・的。/对业务流量,诸如路由协议、语音、视频等数据先进行GRE封装，然后再对封装后的报文进行IPSec的加密处理O/不必配置大量的静态路由,配置简单。/GRE还支持由用户选择记录Tunnel接口的识别关键字,和对封装的报文进行端到端校验;/GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用GRE会造成路山器数据转发效率有一定程度的下降:中小分支合作伙伴接入VPN组网特点:/VPN客户端设备相对来说比较简单。部署要点/VPN客户端可以使用动态地址接入服务器,但为了防止客户端IPSec配置泄露造成的安全隐患,建议VPN客户端口采用静态地址。同时,这样也便于使用VPNManager的配置管理功能。方案特点/组网简单,易于部署;/由于IPSec不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。/单纯的IPSec封装,对于带宽资源消耗较小;移动用户接入方式组网特点VPNSecPath组网特点:/移动用户灵活接入,安全认证、数据保护。部署要点/无须客户端软件/使用SSL完成用户身份认证和报文加密/认证方式多样，可包括本地认证、Radius认证、LDAP认证、AD认证、证书认证、双因素认证/VPN服务器侧可以考虑使用单台设备,也可以考虑使用双VPN服务器备份/接入方式灵活,各种接入方式都可支持方案特点ノ灵活、安全

可靠性方案H3C远程安全接入高可靠性设计的核心理念就是增大网络冗余性的同时做到负载分担。衡量可靠性设计优劣的标准就是网络异常业务流量中断时间。VPNManage^C制!细抑r0缝弄務maiWU^Sコb・r卡•企业网络可靠性设计重点体现在VPNServer的双出口备份、双机备份、负载分担和异常快速切换3个方面。双出口备份对于远程安全接入,出现故障更多的时候在于运营商链路的不可靠。而对于运营商链路传输的状况,H3c的L3MoEtor特性能够做到实时的监视,以保证VPN隧道的实时切换。Server/业务系统传统的备份实现方式,通常依靠检测接口的物理UP、Down变化消息或者网络层协议UP、Down变化来触发主备切换。L3Monitor自动侦测特性利用ICMP的request/response报文,检测目的地的可达性，检测结果反馈到与之联动的备份功能模块，触发其主备切换，从而提供了基于网络层应用可达性的备份功能。L3Monitor的整个工作流程如下:(1)首先，用户配置全局的L3Monitor自动侦测组:包括被监测的地址以及下•跳。另外还可以很灵活地定义ー些侦测策略。比如:配置侦测组的侦测周期、配置一次侦测中的最大重试次数、配置一次侦测的超时时间。另外，同一个侦测组的多个被侦测对象之间的关系可以配置为“与”或者“或”。如果当被侦测对象之间的关系为“与”时:有一个IP地址无法ping通即认为该侦测组不可达，并不再侦测其余的地址;当侦测对象之间的关系为“或”时:有一个IP地址ping通即认为该侦测组可达，并不再侦测其余的地址:(2)当某个备份功能希望使用该自动侦测组时，就通过命令与该自动侦测组关联;(3)自动侦测组在后台不断向被侦测对象发送1CMP探测报文，按照之前定义的侦测策略,如侦测次数、超时时间等等来判断当前被侦测对象是否可达;(4)自动侦测组在每次侦测结束时，向与之关联的备份模块发送消息通知自己这ー轮检测的结果，这些模块，比如路由备份、接口备份或者VRRP就会根据Auto-detect发送过来的口的地可达性消息决定是否进行主备切换。双机备份双机备份是通过VRRP实现的。VRRP（VirtualRouterRedundancyProtocol,虚拟路由冗余协议）是ー种容错协议。通常,一个网络内的所有主机都设置一条缺省路由（如下图所示，10.100.10.1）,这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路山器RouterA坏掉时,本网段内所有以RouterA为缺省路由下・跳的主机将断掉与外部的通信。局域网组网方案VRRP就是为解决上述问题而提出的,它为具有"多播或广播能力的局域网（如:以太网）设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的ーー组路由器（包括ー个Master即活动路由器和若干个Backup即备份路由器）组织成一个虚拟路由器，称之为ー个备份组。EthernetHostlHost2Host3VRRP组网示意图这个虚拟的路由器拥有自己的IP地址10.100.10.1（这个IP地址可以和备份组内的某个路由器的接口地址相同）,备份组内的路由器也有自己的IP地址（如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1,而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3,它们将自己的缺省路由下ー跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉,Backup路由器将会通过选举策略选出ー个新的Master路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。快速切换网络异常的情况有很多种。如果不考虑运营商的网络异常,VPN的异常主要有两大类:第一类是网关异常,包括网关瘫痪、重启等等;第二类是网关链路异常。在网络出现异常时,如何保证业务流量能够尽快恢复?网关快速切换,这ー切换由L3Monitor发现，VRRP实现。当主网关或其链路出现异常时,L3Monitor能够保证在1〜2秒内发现，通过VRRP37秒内完成主备网关的切换。而且为了保证网关切换后,网关内外的流量能同时切换到新的网关上,需要在网关内外都设置VRRP组,并将这ー对VRRP组关联起来。一旦其中一个VRRP组发生切换,另ー个方向的VRRP能发起同步切换。IPSec隧道快速切换，这一切换由IPSecDPD实现。IPSecDPD（IPSecDeadPeerDetectionon-demand）为按需型IPSec/IKE安全隧道对端状态探测功能。启动DPD功能后，当接收端长时间收不到对端的报文时,能够触发DPD查询,主动向对端发送请求报文,对IKEPeer是否存在进行检测。与IPSec中原有的周期性Keepalive功能相比，DPD具有产生数据流量小、检测及时、隧道恢复快的优点。IPSecDPD（IPSecDeadPeerDetectionon-demand）为按需型IPSec/IKE安全隧道对端状态探测功能。启动DPD功能后，当接收端长时间收不到对端的报文时，能够触发DPD查询，主动向对端发送请求报文，对IKEPeer是否存在进行检测。与IPSec中原有的周期性Keepalive功能相比，DPD具有产生数据流量小、检测及时、隧道恢复快的优点。在路由器与VRRP备份组的虚地址之间建立ISAKMPSA的应用方案中，DPD功能保证了VRRP备份组中主备切换时安全隧道能够迅速自动恢复。解决了VRRP备份组主备切换使安全隧道通信中断的问题,扩展了IPSec的应用范围，提高了IPSec协议的健壮性。数据结构DPD数据结构（筒称为DPD结构）用于配置DPD查询参数，包括DPD查询时间间隔及等待DPD应答报文超时时间间隔。该数据结构可以被多个IKEPeer引用，这样用户不必针对接口ーー进行重复配置。定时器IPSecDPD在发送和接收DPD报文中使用了两个定时器:intervaltime和ervaltime:触发DPD查询的间隔时间,该时间指明隔多久没有收到对端IPSec报文时触发DPD查询。timeout:等待DPD应答报文超时时间。运行机制发送端:当启动了DPD功能以后，如在intervaltime定时器指定的时间间隔内没有收到对端的IPSec报文，且本端欲向対端发送IPSec报文时,DPD向対端发送DPD请求,并等待应答报文。如果超过timeout定时器设定的超时时间仍然未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到3次时，删除ISAKMPSA和相应的IPSecSA.对于路山器与VRRP备份组虚地址之间建立的IPSecSA,连续3次失败后，安全隧道同样会被删除,但是当有符合安全策略的报文重新触发安全联盟协商时,会重新建立起安全隧道。切换时间的长短与timeout定时器的设置有关,定时器设定的超时时间越短，通信中断时间越短（注意:超时时间过短会增加网络开销，一般情况下采用缺省值即可）。接收端:收到请求报文后，发送响应报文。VPN管理系统IPSecVPN的命令行配置非常复杂,需要大量的培训工作,同时日常的维护管理工作也极为繁堂。IPSecVPNManager的VSM和VDM模块主要应用于IPSec主模式,可以实现VPN的简化配置，也可以有效的完成对网路的VPN状态的监控,提供图形化的管理界面，简化配置管理,同时便于实时监控VPN状态;轻松部署安全网络QuidviewIPSecVPN软件提供配置向导功能,指导用户构建VPN网络，不必通过复杂的手工执行命令行来部署IPSecVPN网络，减轻了部署难度，也降低了维护成本，即使初次使用该软件的用户,也能根据配置向导，成功创建一个IPSecVPN网络。配置向导向用户提供了大量常用的缺省配置，帮助初级用户快速配置IPSecVPN业务。同时，提供了预定义配置参数功能,方便高级用户设置高级选项,重用配置信息。为了避免在设备上留下冗余的配置信息，软件支持“清除”功能，能够在重新配置以及配置命令下发出现失败的情况下,清除设备上不需要的冗余的配置。为了减少配置操作，IPSecVPN网络配置以网络域为配置单位,对网络域的配置会自动赋予网络域内的全部设备，用户可ー次性对网络域内所有设备进行相同配置部署。同时用户也可指定某个设备的特殊配置,方便用户操作。fcagr—'I-iir产!r 1 て,mIPSecVPNManager配置界面直观展示VPN拓扑QuidviewIPSecVPN软件能够自动发现和构建VPN拓扑,用户在拓扑上可以直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。IPSecVPNManager显示拓扑全方位监控网络性能基于Quidview网络管理框架的性能管理模块,IPSecVPN软件提供了丰富的VPN设备的性能管理功能,可以对VPN网络中的各项重要性能指标进行监视,帮助用户全方位的监控VPN网络的运行状态。支持对IPSecVPN设备CPU利用率等关键指标的监视;支持对IPSec、IKE隧道的监视;支持对协商过程的监视:提供折线图、直方图、饼图等多种显示方式直观的把VPN性能数据显示给用户;支持TopN功能,使用户能够对关键设备指标一目了然;提供报表导出和基于历史数据的分析,为用户网络扩容、及早发现网络隐患提供保障;支持对用户关心的性能参数设定阈值，当超过阈值后,系统将会发送性能告警，使

网络管理人员及时发现和消除网络中的隐患。IPSecVPNManager监控网络快速定位网络故障利用QuidviewIPSecVPN软件的故障管理模块可以实时接收IPSecVPN设备的告警,并利用该模块提供的丰富的过滤功能定位关键的告警数据。可以查询VPN链路的通断历史,诊断VPN链路的稳定性。故障管理模块能够与QuidviewIPSecVPN其他组件密切配合,帮助用户快速定位网络故障。当QuidviewIPSecVPN性能监视模块进行VPN设备阈值监控时，如果发现阈值超过指标会向故障模块发送告警,故障模块会迅速做出反应,以声光告警、