H3C华三远程安全接入解决方案技术建议书.doc

远程安全接入解决方案技术建议书杭州华三通信技术有限公司目录1.远程接入模式分析42.VPN技术介绍42.1.VPN定义42.2.VPN的类型52.2.1Access VPN52.2.2Intranet VPN62.2.3Extranet VPN62.3.VPN的优点62.4.隧道技术72.4.1二层隧道协议72.4.2三层隧道协议72.5.加密技术92.6.身份认证技术103.H3C安全建设理念113.1.智能安全渗透网络简介113.2.智能安全渗透网络局部安全123.3.智能安全渗透网络全局安全123.4.智能安全渗透网络智能安全124.XX系统远程安全接入解决方案134.1.XX系统远程安全接入需求分析134.2.解决方案设计原则145.XX系统远程安全接入解决方案175.1.远程接入安全解决方案175.1.1.大型分支接入175.1.2.中小分支合作伙伴接入185.1.3.移动用户接入方式195.2.可靠性方案205.2.1.双出口备份205.2.2.双机备份225.2.3.快速切换235.3.VPN管理系统255.3.1.轻松部署安全网络255.3.2.直观展示VPN拓扑265.3.3.全方位监控网络性能265.3.4.快速定位网络故障275.4.BIMS分支智能管理系统285.5.统一安全管理中心306.总结311. 远程接入模式分析随着网络，尤其是网络经济的发展，为提高沟通效率和资源利用效率，建立分支与总部、机构与机构之间的具有保密性的网络连接是十分必要的。此外，工作人员出差时也需要访问系统内部的一些信息资源，这时同样需要建立保密的网络连接。怎样为这些分支、机构、出差人员提供一个安全、经济、方便和高效的安全接入方式，成为XX系统亟需解决的一个问题。建立保密的网络连接一种方案是使用专线，其基本方式是进行每个层次之间的专线方式连接，通过这种方式可以实现的星形结构的全局网络连接，基本满足分支与总部、机构与机构之间的数据传输需求，但是这种方式存在非常大的两个缺点：第一是不灵活，不能满足出差人员随时随地接入的需求；第二是费用高，专线方式的网络连接需要支付高昂的专线租用费用。另外一种方式是通过拨号的方式，通过利用PSTN/ISDN的模拟电话线路，移动用户主机配置的调制解调器，采用拨号的方式，登录到公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较灵活，PSTN电话线路资源比较容易获得。缺点在于网络连接性能低，PSTN电话最多提供64K带宽，相对现在的宽带网络，已经基本不可用，而且此方式没有任何安全措施，数据在传输过程中存在很大的安全风险。随着VPN技术的发展，VPN技术已经成为一种非常成熟的网络连接方式，VPN具有高性价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势，已经被广泛替代专线用来进行广域网络的衔接，下面我们将以VPN模式为核心，提供H3C全面的VPN解决方案。2. VPN技术介绍2.1. VPN定义利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。图1. VPN应用示意图由图可知，企业内部资源享用者只需连入本地ISP即可访问中心或者相互通信。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。2.2. VPN的类型VPN分为三种类型：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。2.2.1 Access VPN随着当前移动办公的日益增多，远程用户需要及时地访问Intranet和Extranet。对于出差流动员工、远程办公人员和远程小办公室，Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。Access VPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。用户发起的VPN连接指的是以下这种情况：首先，远程用户通过服务提供点（POP）拨入Internet，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接应用中，用户通过本地号码或免费号码拨入ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的VPN连接对远端用户是透明的，构建VPN所需的协议及软件均由ISP负责管理和维护。2.2.2 Intranet VPNIntranet VPN通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足是互联区域有较大的局限性。而另一方面，基于Internet构建VPN是最为经济的方式，但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。2.2.3 Extranet VPNExtranet VPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下，Extranet通过专线互联实现，网络管理与访问控制需要维护，甚至还需要在Extranet的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建Extranet，但此时需要为不同的Extranet用户进行设置，而同样降低不了复杂度。 因合作伙伴与客户的分布广泛，这样的Extranet建设与维护是非常昂贵的。 因此，诸多的企业常常是放弃构建Extranet，结果使得企业间的商业交易程序复杂化，商业效率被迫降低。Extranet VPN以其易于构建与管理为解决以上问题提供了有效的手段，其实现技术与Access VPN和Intranet VPN相同。Extranet用户对于Extranet VPN的访问权限可以通过防火墙等手段来设置与管理。2.3. VPN的优点利用公用网络构建VPN是个新型的网络概念，对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道，局域网互联费用可降低2040，而 远程接入费用更可减少6080，这无疑是非常有吸引力的；VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。2.4. 隧道技术对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建Access VPN和Extranet VPN；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建Intranet VPN和Extranet VPN。2.4.1 二层隧道协议二层隧道协议主要有三种：PPTP（Point to Point Tunneling Protocol，点对点隧道协议）、L2F（Layer 2 Forwarding，二层转发协议）和L2TP（Layer 2 Tunneling Protocol，二层隧道协议）。其中L2TP结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持，将是使用最广泛的VPN二层隧道协议。应用L2TP构建的典型VPN服务的结构如下图所示：图2. 典型拨号VPN业务示意图2.4.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 Generic Routing Encapsulation（GRE）协议就是一个三层隧道协议，此外还有IETF的IPSec协议。GREGRE与IP in IP、IPX over IP等封装形式很相似，但比他们更通用。在GRE的处理中，很多协议的细微差异都被忽略，这使得GRE不限于某个特定的“X over Y”应用，而是一种最基本的封装形式。在最简单的情况下，路由器接收到一个需要封装和路由的原始数据报文（Payload），这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中，然后完全由IP 层负责此报文的转发。 原始报文的协议被称之为乘客协议，GRE被称之为封装协议，而负责转发的IP 协议被称之为传递（Delivery）协议或传输（Transport）协议。注意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有下图所示格式：图3. 通过GRE传输报文形式IPSecIPSec（IP Security）是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH （Authentication Header）和ESP （Encapsulating Security Payload）这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响，用户还可以选择不同的硬件和软件加密算法，而不会影响其它部分的实现。IPSec提供以下几种网络安全服务： 私有性 IPSec在传输数据包之前将其加密.以保证数据的私有性； 完整性 IPSec在目的地要验证数据包，以保证该数据包在传输过程中没有被修改； 真实性 IPSec端要验证所有受IPSec保护的数据包； 防重放 IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。IPSec在两个端点之间通过建立安全联盟（Security Association）进行数据传输。安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec在转发加密数据时产生新的AH和/或ESP附加报头，用于保证IP数据包的安全性。IPSec有隧道和传输两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算附加报头，且被加密，附加报头和加密用户数据被封装在一个新的IP数据包中；在传输方式中，只是传输层（如TCP、UDP、ICMP）数据被用来计算附加报头，附加报头和被加密的传输层数据被放置在原IP报头后面。AH报头用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造的数据包。考虑到计算效率，AH没有采用数字签名，而是采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。AH在IP包中的位置如图所示（隧道方式）：图4. AH处理示意图ESP将需要保护的用户数据进行加密后再封装到IP包中，ESP可以保证数据的完整性、真实性和私有性。ESP头在IP包中的位置如下（隧道方式）：图5. ESP处理示意图AH和ESP可以单独使用，也可以同时使用。使用IPSec，数据就可以在公网上安全传输，而不必担心数据被监视、修改或伪造。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟，并结合访问控制列表（access-list）， IPSec可以对不同的数据流实施不同的保护策略，达到不同的保护效果。安全联盟是有方向性的（单向）。通常在两个端点之间存在四个安全联盟，每个端点两个，一个用于数据发送，一个用于数据接收。IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。2.5. 加密技术Internet密钥交换协议（IKE）用于通信双方协商和建立安全联盟，交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥。其中的核心技术就是DH（Diffie Hellman）交换技术。DH交换基于公开的信息计算私有信息，数学上已经证明，破解DH交换的计算复杂度非常高从而是不可实现的。 所以，DH交换技术可以保证双方能够安全地获得公有信息，即使第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。在身份验证方面，IKE提供了共享验证字（Pre-shared Key）、公钥加密验证、数字签名验证等验证方法。后两种方法通过对CA（Certificate Authority）中心的支持来实现。IKE密钥交换分为两个阶段，其中阶段1建立ISAKMP SA，有主模式（Main Mode）和激进模式（Aggressive Mode）两种；阶段2在阶段1 ISAKMP SA的保护下建立IPSec SA，称之为快速模式（Quick Mode）。IPSec SA用于最终的IP数据安全传送。另外，IKE还包含有传送信息的信息交换（Informational Exchange）和建立新DH组的组交换（DH Group Exchange）。2.6. 身份认证技术IPSec隧道建立的前提是双方的身份的得到了认证，这就是所谓的身份验证。身份验证确认通信双方的身份。目前有两种方式：一种是域共享密钥（pre-shared key）验证方法，验证字用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥的。验证字是验证双方身份的关键。这种认证方式的优点是简单，但有一个严重的缺点就是验证字作为明文字符串，很容易泄漏。另一种是PKI(rsa-signature)验证方法。这种方法通过数字证书对身份进行认证，安全级别很高，是目前最先进的身份认证方式。公钥基础设施（Public Key Infrastructure，简称PKI）是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系，它是一套软硬件系统和安全策略的集合，提供了一整套安全机制。PKI采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，以在网上验证用户的身份。PKI为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。一个PKI系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的PKI存储库共同组成。图6. PKI组成框图其中，认证机构用于签发并管理证书；注册机构用于个人身份审核、证书废除列表管理等；PKI存储库用于对证书和日志等信息进行存储和管理，并提供一定的查询功能；数字证书是PKI应用信任的基础，是PKI系统的安全凭据。数字证书又称为公共密钥证书PKC（Public Key Certificate），是基于公共密钥技术发展起来的一种主要用于验证的技术，它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，可作为各类实体在网上进行信息交流及商务活动的身份证明。证书是有生命期的，在证书生成时指定，认证中心也可以在证书的有效期到来前吊销证书，结束证书的生命期。3. H3C安全建设理念理念是人们对于不同事物从自身角度出发确定下来的正确看法，并用于指导人们的行为实践。正确的安全建设理念可以指导用户解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方。H3C公司提出的智能安全渗透网络理念（intelligent Safe Pervasive Network，简称iSPN）体现了H3C在网络信息安全方面专业和独到的见解，使其成为客户最可信赖的安全建设指导思想。3.1. 智能安全渗透网络简介互联网的广泛应用，大大改变了企业业务流程的开展方式。但是，随着信息化建设的不断深入,网络安全问题也成为影响企业信息化建设的瓶颈。遭受过由于网络安全问题带来的损失的企业，极容易失去对网络的信任，从而错失很多商业机会，这时他们需要的是一个安全的保障，在享用互联网带来无限商机的同时保证业务的持续可用及信息安全。智能安全渗透网络（iSPN）提出了一个整体安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。3.2. 智能安全渗透网络局部安全网络安全最基础的防护方式是关键点安全，即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行27层的威胁防范，当前企业绝大部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下，H3C强调通过“集成”来提供最佳的防御效果，即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式，实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。3.3. 智能安全渗透网络全局安全由于安全产品种类的不断丰富，使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到，局部安全的防护手段相对比较孤立，只有将产品的相互协作作为安全规划的必备因素，形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此，H3C推出了全局安全理念，借助于IToIP的网络优势，通过技术和产品的协作，将网络中的多个网络设备、安全设备和各组件联动起来，并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。以H3C的端点准入防御及安全事件分析机制为例，它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下，利用各部分组件的协同联动，保证网络各端点的安全性与可控性；同时，在统一的平台上进行安全事件的收集、整理、分析，可以做到整网安全风险的提前预防与及时控制。3.4. 智能安全渗透网络智能安全随着网络建设的日趋完善，面向业务的安全已经成为新的发展方向。只有理解企业业务，将企业的业务需求及流程建设充分融合到网络安全建设中来，从信息的计算、通信及存储等信息安全状态出发，以面向应用的统一安全平台为基础，通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应，将智能的安全融入企业业务流程中，形成开放融合、相互渗透的安全实体，才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内，这样的需求正是智能安全产生的原动力。目前，政府制定了网络安全相关的法律法规，促使各行业必须遵循一定的安全标准，以帮助提高企业的攻击防范能力。为了帮助用户构建等级安全体系，实现按需防御需要，H3C数十人的专业安全服务团队，借助严格完善的网络安全评估规范，对企业IT环境现状进行安全评估，并对企业网络结构及业务流程进行统一的安全咨询和规划，为用户度身定制一整套闭环的安全建设方案，并通过培训提升企业安全管理人员的素质，保证安全性的延续。有了量身定制的建设方案与安全策略，如何将这样的方案落到实处是下一步的难题，网络威胁千变万化、多种多样，业内还没有任何一个安全厂家可以解决所有的安全问题。因此，为保证企业网络安全建设能符合未来发展趋势，需要建立一个由厂商、代理商和客户组成的大安全联盟，允许各个组织和个人都可以通过标准的接口将安全快速嵌入网络，实现弹性扩展与智能融合。H3C在智能安全中采用开放应用架构（OAA, Open Application Architecture）为用户提供开放的硬件平台、标准的接口，允许第三方技术的无缝融合，从而将网络安全的边界打通，将业界的先进技术配合适当的安全策略，最终完成网络安全建设的蓝海战略。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据，保证企业信息系统的安全运行。iSPN全局安全管理平台以开放的安全管理中心和智能管理中心为框架，将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时，我们能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上，H3C iSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。2007年，H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案，为企业打造一个领先的、全面的、可信赖的IP安全平台。4. XX系统远程安全接入解决方案4.1. XX系统远程安全接入需求分析请根据具体项目情况添加描述举例：交通部交通部全国网络的建设目前已经全面展开，随着交通系统应用的不断增多，各个业务单位对于网络的需求也越来越来越大，目前随着应用系统的建设，“交通政务信息网”和“道路运输数据交换平台网络”的建设需求日益迫切，下面简述一下这两个系统的建设思路。交通政务信息网概况交通政务信息网络成员单位194家分为8个组，第一组为各省、自治区交通厅计27个，第二组为各直辖市、计划单列市交通管理部门计19个，第三组为部内司局计17个，第四组为海事局、救捞局、中国船级社计29个，第五组为港航单位计28个单位，第六组是交通科研、教育、协会、学会、设计单位计20个，第九组为市级交通局计28个，第十组为县级交通局计26个。目前部机关各司局可以直接连接交通行业专网（以后简称“专网”），第一组和第二组的单位已经通过专线连接专网，并以INTERNET VPN连接作为备份，部机关的VPN接入设备是华为的产品，其它组的单位尚未与专网连接，其中第五组中的港口单位与水运司联网的80余家港口单位有重复，可以考虑与水运司的业务共享线路，不再重复建设。根据交通行业专网建设的总体思路，这些未连接专网的单位可以通过INTERNET VPN方式连接。道路运输数据交换平台网络概况按照“立足成果 部省联动”的建设原则，部级道路运输数据交换平台的网络通信建设方案充分利用交通部信息化二期建设的成果，从安全性和经济性考虑，以交通部交通行业信息专网（SDH专网）作为数据交换的主要通讯方式，以交通行业虚拟信息专网作为应急备份网络。4.2. 解决方案设计原则在规划XX系统安全建设时，我们将遵循以下原则，提供完善的远程安全接入解决方案：l PDCA原则信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO154081（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图所示：既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799（ISO17799）,信息安全管理过程就是PLAN-DO-CHECK-ACT（计划实施与部署监控与评估维护和改进）的循环过程。l 遵循统筹规划、分步实施原则解决方案是XX系统整体安全规划的一部分，必须在统一领导下，统筹规划，根据需要接入单位，逐步扩大网络覆盖面，增强网络功能。随着网络覆盖面的扩大及功能的增强，可以促进网上应用建设。网络和应用的建设相互推动，促使专网建设成良性循环。l 坚持安全第一原则XX系统的承载数据具有高度的机密性，通过公共网络传输数据时，既要保证传输内容不被窃听、篡改，同时还要保证接入端的可信任，以及设备的抗攻击性，从而保证XX系统的整体安全性和可靠性。l 坚持实用性原则XX系统VPN系统的建设应从透明性、友善性、有效性等几个方面考虑实用性的设计。透明性是指安全机制的设置和运行对于普通用户应尽量透明，使他感觉不到其存在。友善性是指对于包括安全管理中心在内的所有需要进行操作的人机界面应做到安全、简捷、方便。有效性一方面是指安全机制的设置确实达到设计要求，另一方面是指增加安全机制以后新增加的系统开销所带来的性能下降要在应用系统运行所能承受的范围之内。简易性也是VPN建设需要考虑的一个关键因素，对于营业网点或者移动用户，都必须提供最简单的VPN网络接入方式，以保证VPN网络的部署不会对正常的网络应用造成影响。l 坚持技术与管理密切结合的原则任何安全系统的可靠运行，必须有严格的管理，并把两者密切结合起来。管理首先是管理人员，然后再通过被管理的人实现对VPN系统运行的控制和管理。要有完备的规章制度和切实可行的操作规程来规范各类人员的操作。任何安全系统或者一个分系统都必须把人考虑在内才是完备的。由于分支机构缺少足够的技术人员，因此VPN网络管理应该以区域集中管理为主要模式，因此VPN的建设必须提供足够的技术支撑能力，以实现这种管理模式的需求。l 坚持前瞻性原则设计网络时即要考虑当前需求，也要考虑未来的需求，即要考虑单一应用需求也要考虑综合应用需求。目前政务信息主要是文字性的内容，数据流量相对较小，随着信息工作不断推进，将来势必会增加图片、音像、视频等多媒体信息，数据量会大量增加，对网络性能要求也会大大增加。另外我们也要考虑到其它的业务应用，如：电视会议、其它业务系统等。其它应用建设时涉及已经联网的可以不再单独建设，基于以上原因网络建设时尽量做到具有前瞻性，保证在设备生命周期内能够满足业务需要。5. XX系统远程安全接入解决方案5.1. 远程接入安全解决方案根据XX系统的需求，建议按照如下的组网图进行建设：此处请补充根据客户实际组网做得方案建议图，以下图为例。同时请根据具体用户需求，删除或增加下面的技术介绍章节：5.1.1. 大型分支接入组网特点：ü VPN内部需要建立统一的OSPF路由域。ü VPN内部可以支持MPLS、IPX等非IP协议的网络。部署要点ü 两端的VPN网关的Loopback接口之间建立GRE隧道，然后将IPSec策略应用到Wan接口上从而建立IPSec隧道，进行数据封装、加密和传输；ü 在GRE隧道接口上使能OSPF；方案特点ü GRE的特点是可以承载多种协议，而IPSec只能承载IP协议。如果企业网内有IPX、MPLS等应用，建议可以先借用GRE承载非IP协议，然后才能使用IPSec保护GRE报文。ü GRE是基于路由的，而IPSec是基于策略。如果需要在企业网内统一规划路由方案，GRE over IPSec的方式逻辑就比较清晰。因为IPSec的策略是针对GRE隧道的，而GRE隧道是基于路由的，所以整个VPN内的路由是统一的。ü 对业务流量，诸如路由协议、语音、视频等数据先进行GRE封装，然后再对封装后的报文进行IPSec的加密处理。ü 不必配置大量的静态路由，配置简单。ü GRE还支持由用户选择记录Tunnel接口的识别关键字，和对封装的报文进行端到端校验；ü GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用GRE会造成路由器数据转发效率有一定程度的下降；5.1.2. 中小分支合作伙伴接入组网特点：ü VPN客户端设备相对来说比较简单。部署要点ü VPN客户端可以使用动态地址接入服务器，但为了防止客户端IPSec配置泄露造成的安全隐患，建议VPN客户端口采用静态地址。同时，这样也便于使用VPN Manager的配置管理功能。方案特点ü 组网简单，易于部署；ü 由于IPSec不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。ü 单纯的IPSec封装，对于带宽资源消耗较小；5.1.3. 移动用户接入方式组网特点组网特点：ü 移动用户灵活接入，安全认证、数据保护。部署要点ü 无须客户端软件ü 使用SSL完成用户身份认证和报文加密ü 认证方式多样，可包括本地认证、Radius认证、LDAP认证、AD认证、证书认证、双因素认证ü VPN服务器侧可以考虑使用单台设备，也可以考虑使用双VPN服务器备份ü 接入方式灵活，各种接入方式都可支持方案特点ü 灵活、安全5.2. 可靠性方案H3C 远程安全接入高可靠性设计的核心理念就是增大网络冗余性的同时做到负载分担。衡量可靠性设计优劣的标准就是网络异常业务流量中断时间。可靠性设计重点体现在VPN Server的双出口备份、双机备份、负载分担和异常快速切换3个方面。5.2.1. 双出口备份对于远程安全接入，出现故障更多的时候在于运营商链路的不可靠。而对于运营商链路传输的状况，H3C的L3 Monitor特性能够做到实时的监视，以保证VPN隧道的实时切换。传统的备份实现方式，通常依靠检测接口的物理UP、Down变化消息或者网络层协议UP、Down变化来触发主备切换。L3 Monitor自动侦测特性利用ICMP的request/response报文，检测目的地的可达性，检测结果反馈到与之联动的备份功能模块，触发其主备切换，从而提供了基于网络层应用可达性的备份功能。L3 Monitor的整个工作流程如下：（1）首先，用户配置全局的L3 Monitor自动侦测组：包括被监测的地址以及下一跳。另外还可以很灵活地定义一些侦测策略。比如：配置侦测组的侦测周期、配置一次侦测中的最大重试次数、配置一次侦测的超时时间。另外，同一个侦测组的多个被侦测对象之间的关系可以配置为“与”或者“或”。如果当被侦测对象之间的关系为“与”时：有一个IP地址无法ping通即认为该侦测组不可达，并不再侦测其余的地址；当侦测对象之间的关系为“或”时：有一个IP地址ping通即认为该侦测组可达，并不再侦测其余的地址；（2）当某个备份功能希望使用该自动侦测组时，就通过命令与该自动侦测组关联； （3）自动侦测组在后台不断向被侦测对象发送ICMP探测报文，按照之前定义的侦测策略，如侦测次数、超时时间等等来判断当前被侦测对象是否可达；（4）自动侦测组在每次侦测结束时，向与之关联的备份模块发送消息通知自己这一轮检测的结果，这些模块，比如路由备份、接口备份或者VRRP就会根据Auto-detect发送过来的目的地可达性消息决定是否进行主备切换。5.2.2. 双机备份双机备份是通过VRRP实现的。VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由（如下图所示，10.100.10.1），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的通信。当路由器RouterA坏掉时，本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信。局域网组网方案VRRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器（包括一个Master即活动路由器和若干个Backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。VRRP组网示意图这个虚拟的路由器拥有自己的IP地址10.100.10.1（这个IP地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的IP地址（如Master的IP地址为10.100.10.2，Backup的IP地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1，而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉，Backup路由器将会通过选举策略选出一个新的Master路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。5.2.3. 快速切换网络异常的情况有很多种。如果不考虑运营商的网络异常，VPN的异常主要有两大类：第一类是网关异常，包括网关瘫痪、重启等等；第二类是网关链路异常。在网络出现异常时，如何保证业务流量能够尽快恢复？网关快速切换，这一切换由L3 Monitor发现，VRRP实现。当主网关或其链路出现异常时，L3 Monitor能够保证在12秒内发现，通过VRRP34秒内完成主备网关的切换。而且为了保