TA的每日心情 | 无聊 2012-7-7 14:57 |
---|
签到天数: 8 天 [LV.3]偶尔看看II
|
1、VPN简介
(1) VPN(虚拟专用网)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。(2)VPN分类。VPN分3种:IntranetVPN、Access VPN又称为拨号VPN(即VPDN)与Extranet VPN。
2、目前合办厅营业网络存在问题
(1)因公司具有CDMA 1X网络,前期合办厅的建设基本采用CDMA1X建立VPDN接入方式,由于VPDN方式在安全方面的先天不足,无法实现终端绑定、加密传输、证书控制、集中设置权限等功能。(2)目前合办厅建设采用租用ADSL采用CISCO的VPN方式,虽然带宽大大提高,但目前无法实现终端绑定、加密传输、证书控制、集中设置权限等功能;无法对其进行有效的安全控制。
3、合办厅改造升级方案
使用VPN技术作为本次网点应用改造的基本应案。并满足以下要求:网络稳定性、网络安全性、设备可扩展性、网络可控性等。
3.1 VPN方案(适合终端多PC网点)
方案说明:
3.1.1 中心端设计
(1)VPN中心端作为VPN网络的中心,担负业务汇聚、网络管理、安全控制三大职能,同时还需综合考虑整个网络的合理性,因此采用MPSecVPN3020B作为中心汇聚设备,配合现有的标准CMS证书系统,实现全网的业务汇聚和安全控制。可通过双设备的方式,增加整体系统的容量。MPSecVPN3020B通过固化的10/100/1000M自适应电口接入计费(BSS)网络;(2)CMS(中心证书系统)系统部署在中心位置,它的位置和中心安全网关VPN3020B并列。在有CMS系统的情况下,每个连接到VPN3020B的密钥,都需要有CMS系统颁发的唯一数字证书,且该证书不在VPN3020B的证书吊销列表中,才能建立合法的VPN连接;(3)CMS(中心证书系统)系统主要起到以下作用:1)颁发数字证书。如果CMS系统有独立的公网IP地址,就可以为每个密钥设立对应的唯一用户名密码和对应的唯一数字证书,并通知给相应的持有人,密钥持有人就可以通过在VRC软件上进行操作,通过用户名和密码,以及CMS服务器的IP地址,远程下载数字证书到自己的密钥中;如不希望把CMS系统放在公网上,也可将密钥统一收集起来在中心端由网管人员统一颁发。统一操作时,可利用CMS系统配套的软件安装在PC上,然后连接到CMS系统进行;2)维护和更新证书吊销列表。如果一个密钥丢失或者因其他原因需要禁止使用,可通过操作CMS系统将对应密钥的证书写入证书吊销列表,然后下载到中心VPN3020B上去。这样,如果该密钥试图和VPN3020B建立安全连接,会因为自身的证书被禁止而无法建立连接。证书吊销列表可通过在VPN3020B上的设置,每隔固定的时间自动从CMS系统上下载。
3.1.2 营业厅端设计
PC均有自己的IP地址,直接使用TCP/IP协议进行通信。当网点的PC数多于1台时,由于线路只有1条,且网点接入Internet线路后,可能还需要普通Internet业务,因此使用的VPN设备必须兼顾安全性和普通路由器的功能:(1)稳定性。MPSecVPN3005C采用全金属外壳设计,可有效预防静电干扰或损坏; MPSecVPN3005C内置有断线自动检测功能,可在短线后自动尝试重新联接,保证线路的畅通;(2)扩展性。
3.2 VPN方案二(适合单PC网点)
(1)中心端设计与方案一相同,因篇幅限制,这里不再陈述。(2)营业厅端设计单PC网点是网点最小化的情况,由于ADSL线路直接提供以太口,可采用软件VPN的办法接入,使用MPSecVRC软件,配合专用的USBKey,全部装在一台PC机上就构成了一套完整的小型VPN网点。
4、两方案总结
(1)对硬件VPN产品MPSecVPN3005C的使用限制可以通过访问控制列表来实现,通过MAC访问列表,限制只有特定物理地址的主机才能接入。软件VPN产品MPSecVRC具备MAC地址绑定、用户口令认证功能。(2)支持访问控制时间段的功能。(3)具备如下的防火墙功能:1)包过滤,提供从二层到四层的过滤机制;2)特殊包检测:根据开关检测特殊包:源路由、记录路由、不正常的分片、太小的包,用户可以选择允许或者拒绝这类报文通过;3)伪源地址检测;4)攻击检测:ICMP flood、Smurf、Fraggle、SYN flood、LAND等;5)扫描检测保护:可以检测出地址扫描、端口扫描攻击。(4)软件VPN支持配置虚拟IP。实现方法:结合证书认证方式,再制作软件VPN配置的时候,可以将用户证书跟该用户对应的虚拟IP绑定起来。
|
|