2023年12月8日发(作者:查修平)
华为SVN5600&5800系列
安全接入网关技术白皮书
华为技术有限公司
SVN5600&5800系列安全接入网关技术白皮书
版权所有 © 华为技术有限公司 2014。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
网址:
客户服务邮箱:
客户服务电话:
深圳市龙岗区坂田华为总部办公楼 邮编:518129
support@
4008302118
SVN5600&5800系列安全接入网关技术白皮书
目 录
1 概述 ............................................................................................................................................ 5
1.1 企业网络的新挑战 .................................................................................................................................. 5
1.2 传统VPN解决方案 ................................................................................................................................ 5
1.3 SSL VPN解决方案 .................................................................................................................................. 7
1.4 华为一体化VPN解决方案 ..................................................................................................................... 8
2 SVN安全接入网关的特点 ........................................................................................................ 9
2.1 灵活的部署方式 ...................................................................................................................................... 9
2.2 丰富的远程安全接入功能 ...................................................................................................................... 11
2.2.1 Web代理 ...................................................................................................................................... 11
2.2.2 文件共享 .......................................................................................................................................12
2.2.3 端口转发 .......................................................................................................................................12
2.2.4 网络扩展 .......................................................................................................................................13
2.2.5 隧道定制开发 ...............................................................................................................................14
2.3 强大的安全云网关功能 ..........................................................................................................................14
2.3.1 桌面云网关 ...................................................................................................................................15
2.3.2 负载均衡网关 ...............................................................................................................................16
2.4 整体安全防护特性 .................................................................................................................................18
2.4.1 传输数据加密 ...............................................................................................................................18
2.4.2 用户身份认证 ...............................................................................................................................19
2.4.3 接入终端安全 ...............................................................................................................................22
2.4.4 专业的防火墙防护........................................................................................................................23
2.4.5 网关设备安全防护........................................................................................................................27
2.4.6 灵活的资源授权 ...........................................................................................................................27
2.4.7 细粒度的访问控制........................................................................................................................28
SVN5600&5800系列安全接入网关技术白皮书
2.4.8 防暴力破解机制 ...........................................................................................................................29
2.4.9 日志与审计 ...................................................................................................................................29
2.5 完备的IPv6技术 ...................................................................................................................................30
2.5.1 IPv6基本功能 ...............................................................................................................................31
2.5.2 IPv4/IPv6解决方案 ......................................................................................................................31
2.5.3 IPv6路由技术 ...............................................................................................................................32
2.6 高可靠性 ................................................................................................................................................32
2.6.1 可靠的硬件平台 ...........................................................................................................................32
2.6.2 健壮的软件体系 ...........................................................................................................................35
2.6.3 双机备份技术 ...............................................................................................................................35
2.6.4 链路备份技术 ...............................................................................................................................36
2.6.5 华为SVN可靠性技术优势 ..........................................................................................................36
2.7 优秀的组网适应能力 .............................................................................................................................37
2.7.1 一体化VPN网关 .........................................................................................................................37
2.7.2 高密度的端口支持........................................................................................................................37
2.7.3 丰富的路由协议和路由管理 ........................................................................................................38
2.7.4 多线路智能选路 ...........................................................................................................................38
2.7.5 敏捷园区配套 ...............................................................................................................................40
2.8 完善的维护管理系统 .............................................................................................................................41
2.8.1 丰富的维护管理手段 ....................................................................................................................41
2.8.2 基于SNMP的终端系统管理 .......................................................................................................41
2.8.3 WEB管理 ......................................................................................................................................41
2.9 领先的虚拟网关技术 .............................................................................................................................42
2.10 典型组网...............................................................................................................................................43
2.10.1 SVN用于企业网络 .....................................................................................................................43
2.10.2 SVN用于电信BOSS系统 .........................................................................................................46
2.10.3 SVN用于政府及事业单位 ..........................................................................................................48
2.10.4 SVN用于桌面云解决方案 ..........................................................................................................49
3 附录A ...................................................................................................................................... 50
3.1 SVN特性列表 ........................................................................................................................................50
4 附录B: 缩略语 ........................................................................................................................ 54
SVN V2000R003系列安全接入网关技术白皮书
内部公开
1
概述
随着现代企业信息网络的不断发展以及智能终端的广泛应用,远程安全访问/移动办公的需求也呈现出迅猛的增长态势。如何实现安全、可控、随时随地可建立的远程接入,成为越来越多的企业所面临的一个重大问题。
1.1
企业网络的新挑战
随着当今网络业务的迅速发展,企业必须扩展其内网OA、ERP、CRM、SCM等应用服务资源和数据资源的访问领域,以满足越来越多的远程接入需求,比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、移动办公接入、居家办公接入等等。接入的网络环境也越来越复杂,除了受管理的分支机构网络以及合作伙伴的网络接入之外,还需要考虑从分散的、未受有效管理的家庭网络以及公共WiFi、3G网络接入;使用的接入设备类型也越来越丰富,除了传统的固定接入终端(包括PC和便携机)外,智能终端设备接入企业网络的需求也逐步增强;另外一方面,云计算的兴起,使得企业的资源进一步集中化,基于云计算的桌面云解决方案能让企业用户在任何有网络的地方通过TC/SC访问使用云主机。
为了提供快速及时的商务能力,企业必须确保处于各种复杂的网络环境以及使用不同接入终端的合法用户,能够快速方便的安全地接入内网或是访问桌面云服务,同时还必须确保企业内网的安全性。
1.2
传统VPN解决方案
传统的VPN解决方案主要有PPTP/L2TP、MPLS VPN、IPSec等几种,它们具备各自的2014-10-10
华为机密,未经许可不得扩散 第5页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
特点,应用于不同的场景。
L2TP是一个国际标准隧道协议,它结合了PPTP和第二层L2F协议的优点。 L2TP VPN本身并没有提供加密功能,严格的说,不能称为是安全的VPN。另外,由于运行在UDP上而不是TCP上,通信的可靠性难以保证。
MPLS是一种在开放的通信网上,利用标签引导数据高速、高效传输的技术。其安全性相当于帧中继或者是ATM虚拟电路的安全性。由于数据传输仍然是明文,MPLS VPN不能解决传输的机密性和数据完整性问题。另外,MPLS VPN主要在骨干网上通过标记交换区分IP通道,达到逻辑上通道专用的目的,MPLS VPN更适合于企业互联和内网扩展。
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec协议有两种工作模式:隧道模式和传输模式。在隧道模式下,IPSec将整个原始IP数据包放入一个新的IP数据包中,这样每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。IP包的源地址和目的地址都被隐藏起来,使IP包能安全地在网上传送。其最大优点在于终端系统不必为了适应IP安全而作任何改动。隧道模式既可以用于两个主机之间的IP通信,又可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
在传输模式下,要保护的内容是IP包的载荷,在IP包头之后和传输层数据字段之前插入IPSec包头(AH或ESP或二者同时),原始的IP包头未作任何修改,只对包中的净荷(数据)部分进行加密。由于传输模式的IP包头暴露在外,因而容易遭到攻击。传输模式常用于两个终端节点间的连接,如客户机和服务器之间。
2014-10-10
华为机密,未经许可不得扩散 第6页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
IPSec定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法如DES、3DES;检查传输数据包的完整性,以确保数据没有被修改。IPSec可用来在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性。
IPSec VPN适用于site-to-site的远程连接方式,但它是基于网络层的,在穿越NAT和防火墙时会遇到困难。
1.3
SSL VPN解决方案
SSL VPN是以SSL/TLS协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。
SSL协议分为两层,上层是握手协议,底层是记录协议。SSL握手协议主要完成客户端与服务器之间的相互认证,协商加密算法与密钥。在握手协议中,认证可以是双向的,协商密钥的过程是可靠的,协商得到的密钥是安全的。SSL记录协议建立在可靠的传输协议之上,主要完成数据的加密和鉴别。通过对称密码算法确保了数据传输的机密性,通过HMAC算法确保数据传输过程的完整性。
由此可见,SSL协议从以下方面确保了数据通信的安全:
认证 - 在建立SSL连接之前,客户端和服务器之间需要进行认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。
机密性 - 采用加密算法对需要传输的数据进行加密。
完整性 - 采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。
除了web访问、TCP/UDP应用之外,SSL VPN还能够对IP通信进行保护。在保证通信安全性的基础上,SSL VPN实现了更加细致的访问控制能力,大大增强了对内网的安全保护。同时,SSL VPN通信基于标准TCP/IP,因而不受NAT限制,能够穿越防火墙,使用户2014-10-10
华为机密,未经许可不得扩散 第7页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
在任何地方都能够通过SSL VPN网关代理访问内网资源,使得远程安全接入更加灵活简单。另外,使用SSL VPN访问B/S应用时不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网Web资源的访问,省去了客户端的繁琐的维护和支持工作,不仅极大地解放了IT管理员的时间和精力,更提高了远程接入人员(如出差员工)的工作效率,节省了企业的培训和IT服务费用;同时,也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
SSL VPN以其独特的技术优势,给出了理想的point-to-site安全接入解决方案,受到越来越多IT管理者和企业的关注。
1.4
华为一体化VPN解决方案
SSL VPN并不能完全取代IPSec VPN,这两种技术目前应用在不同的领域,是可以进行互补的。SSL VPN适用于point-to-site的接入场景,是应用在点对网络的接入模式;而IPSec
VPN是在两个网络节点之间安全互联,保护的是网对网之间的通信。所以华为推出的SVN安全接入网关实现了这两种主流的VPN技术,客户可根据实际的业务需求选择更适用的VPN技术来满足安全接入需求。
SVN V200R003系列安全接入网关是华为公司面向运营商、企业、政府、行业推出的优秀的SSL/IPSec一体化VPN网关设备。部署SVN安全接入网关,无需改变网络结构,可以直接单臂挂接到出入口防火墙或者路由器、交换机上,简单快捷。移动办公时,用户终端无需安装任何客户端软件,只需标准的Web浏览器即可对企业内网资源进行安全访问。在两个固定网络间进行通信时,能够通过SVN在两个网络间建立IPSec安全隧道,实现总部与分部网络之间的安全稳定互连。SVN V200R003系列安全接入网关基于华为专业的高可靠硬2014-10-10
华为机密,未经许可不得扩散 第8页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
件平台和专用的实时操作系统,具备业界领先的系统性能、安全性和可靠性,为企业员工、分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。
目前该系列产品分两种型号共七款产品:
安全接入型号: SVN5630、SVN5660、SVN5830、SVN5850、SVN5860、SVN5880。应用于远程办公安全接入场景,提供丰富的远程接入功能和高性能的SSL加解密能力。
桌面云型号:SVN5880-C。应用于桌面云解决方案,提供高性能的负载均衡和云协议代理处理能力。
2
SVN安全接入网关的特点
2.1
灵活的部署方式
SVN V200R003系列安全接入网关组网方式灵活,部署简单,一般位于网络出入口防火墙之后,既可以单臂挂接在出入口防火墙或者交换机上,也可以双臂挂接在防火墙和交换机之间,不改变原有的网络拓扑结构。
2014-10-10
华为机密,未经许可不得扩散 第9页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
图1 SVN单臂组网方式
内部公开
图2 SVN双臂组网方式
图3 双机热备组网方式
SVN V200R003安全接入网关支持IPSEC VPN功能,可以与Eudemon、USG系列的安全网关或者两台SVN之间建立Site-to-Site的IPSEC VPN安全链接,移动用户通过SSL VPN方式远程访问内部资源。
2014-10-10
华为机密,未经许可不得扩散 第10页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
图4 SSL/IPSec VPN组网
2.2
丰富的远程安全接入功能
远程用户可通过SVN产品提供的web代理技术在多种终端类型上使用标准浏览器随时随地的安全访问内网的web服务器。除了提供web代理技术外,SVN产品还提供其他各种全面的业务资源访问能力,包括对内网C/S服务器、多媒体资源服务器、基于IPv4的资源服务器的访问。
随着各种应用的丰富,通用的SSLVPN产品有时无法满足用户的定制化需求。SVN产品可提供一套客户端编程组件,通过将客户端组件和用户的应用软件进行集成(或基于该编程组件开发新的用户应用),一方面可以保证用户应用软件的业务灵活性,另一方面也可以提供SSL安全能力。
SVN V200R003系列产品中应用于远程安全接入场景的型号:SVN5630、SVN5660、SVN5830、SVN5850、SVN5860、SVN5880。
2.2.1 Web代理
远端用户通过浏览器对内网页面发起请求,SVN接收这一请求转发给内网服务器,并将服务器的响应以网页形式回传给用户。网页信息在公网传输的过程,经过SSL加密隧道,2014-10-10
华为机密,未经许可不得扩散 第11页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
确保了将内网WEB资源安全、真实地反映给远程用户。
针对内网的web访问,SVN产品可提供单点登录功能。用户登录SVN产品后访问内网的web资源,SVN产品可以使用配置在该用户上的单点登录账号或者配置在该web资源上的单点登录账号或者该用户的SVN网关登录账号进行自动登录,如果登录成功则用户无需在访问web资源时再次输入账号信息。
Web代理功能可以在多种终端系统上使用,包括Android、iOS(iPhone/iPad)、Linux、Symbian、Blackberry、Windows系列(2000/xp/2003/2008/vista/win7)、MacOS。
2.2.2 文件共享
通过将内网文件系统Web化,使用户直接通过浏览器就能在内网文件系统上创建和浏览目录,进行下载、上传、改名、删除等文件操作,就像对本机文件系统进行操作一样方便安全。SVN安全接入网关通过支持SMB/CIFS协议和NFS协议,实现了用户对Windows文件系统和Linux文件系统的安全远程访问。
2.2.3 端口转发
采用SSL协议对TCP应用进行保护,并且对TCP应用进行访问控制。通过在客户端安装控件拦截待转发的TCP服务,并且将数据流经SSL协议加密传送给SVN安全接入网关,由SVN安全接入网关解密并解析后传送给相应的应用服务器,从而确保了应用的安全。通过控制应用服务端口,完成对应用的访问控制。SVN安全接入网关能够充分支持多种端口转发应用服务,包括单端口单服务器应用,如MS RDP、Telnet、SSH、VNC等;单端口多服务器应用,如:Notes;多端口应用,如Email,以及动态端口应用:FTP、Oracle。
2014-10-10
华为机密,未经许可不得扩散 第12页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.2.4 网络扩展
有两种方式实现企业内网的逻辑扩展,一种是基于SSL的3层VPN(以下简称SSL
L3VPN),另外一种是基于IPSec的3层VPN(以下简称IPSec L3VPN)。
2.2.4.1 SSL L3 VPN
SSL L3 VPN功能也是基于SSL协议进行的功能扩展,这一功能实现了对所有IP应用的支持,用户远程访问内网资源就像访问局域网一样方便,这一功能与IPSec VPN相当。实现SSL
L3 VPN功能可以通过在客户端安装虚拟网卡实现,虚拟网卡截获原始IP报文,经过SSL协议封装,然后转发至SVN安全接入网关。SVN安全接入网关的SSL L3 VPN功能又可以分成全通道方式、分离通道方式和手动方式,全通道方式是指在用户启动全网访问功能时,虚拟网卡截获所有的IP报文,并转发给SVN安全接入网关,这样,用户只与SVN安全接入网关建立网络连接,只能对内网进行访问。在分离通道模式下,用户不仅能够经过SSL VPN网关安全远程访问内网,同时也可以访问本地子网。采用手动模式时,用户不仅能访问企业内网的特定资源、本地子网,还能访问公网的各种资源。
2.2.4.2 IPSec L3 VPN
SVN产品除了能够提供基于SSL协议的L3VPN客户端接入功能外,还能够提供标准的L2TP over IPSec 客户端接入方式。
SVN产品支持标准的L2TP over IPSec客户端接入,用户可以使用各种标准的IPSec客户端软件接入SVN产品。该功能对于Symbian、iOS、Android、BlackBerry等智能终端的远程接入特别有意义,用户可以使用智能终端上内置的VPN软件接入SVN网关,实现与内网的互通。
2014-10-10
华为机密,未经许可不得扩散 第13页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.2.4.3 SSL L3VPN和IPSec L3 VPN的比较
IPSec和SSL L3VPN都能够为网络层的应用和资源提供远程接入能力,但两种实现方式针对具体的需求和场景具有各自的优势。
SSL L3VPN 可以在任何具有Internet访问权限的地方提供远程接入能力,可以通过web浏览器自动下载安装所需的客户端,因此不需要预先在接入终端上安装客户端软件。SSL L3VPN的客户端可以自动下载和升级,因此减少桌面软件的维护成本。另外SSL L3VPN可以针对用户提供定制化的web portal页面。
IPSec L3VPN是一种成熟的、被广泛使用的VPN实现方式,对于已经习惯使用IPSec
VPN的客户,使用IPSec L3VPN可以保护已有的网络部署以及现有的业务流程。IPSec
L3VPN需要预先在接入终端上安装客户端软件,并且相比较而言IPSec L3VPN客户端的配置相对复杂。
2.2.5 隧道定制开发
隧道定制功能是SVN产品为多媒体业务开发的一种功能,因此也称为多媒体隧道功能。SVN产品开发的隧道定制功能,通过提供客户端软件组件,由多媒体业务客户端将该SVN软件组件集成后,可以为多媒体客户端软件提供SSL安全加密功能,并且由于SSL隧道在穿越NAT、防火墙方面天然具有的优势,隧道定制功能也可以解决多媒体业务在实际部署时经常遇到的私网穿越问题。
2.3
强大的安全云网关功能
经过多年的市场培育,目前云计算的商用正在快速发展,而在已经商用的云计算项目中桌面云应用所占的比例较大。为了解决桌面云应用中TC或者SC访问云端虚拟机的数据传输2014-10-10
华为机密,未经许可不得扩散 第14页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
安全,SVN网关可提供WI服务访问负载均衡功能和桌面云协议代理功能。
SVN V200R003系列产品中应用于桌面云场景的型号:SVN5880-C。
2.3.1 桌面云网关
部署SVN前,桌面云客户端(TC或者SC)与云端虚拟机之间通过桌面云协议直连,一方面数据传输的安全性得不到保障,另外也暴露了云中心的内部结构,进一步加大了云中心的安全风险。
要有效而安全地使用桌面云应用,需要在企业云中心的网络边界设立一扇“门”(云网关) ,对外只暴露该“门”而无法看到“门”后的情况。即所有访问云中心的服务只能通过企业对外提供的云网关地址,且必须是通过安全的隧道,这就为企业IT部门提供一个单一的控制点,来控制用户可以如何安全有效地使用桌面云服务,大大简化了用户的部署配置,同时也对外部隐蔽了内部结构。
部署SVN作为云网关后,桌面云协议层的数据在传输链路上分为两段,依次为TC/SC和SVN之间,以及SVN和云端虚拟机之间。当桌面云协议层的数据在TC/SC和SVN之间传递时,桌面云协议的数据可承载在SSL隧道之上,经过SSL协议进行传输加密;当桌面云协议层的数据在SVN和云端虚拟机之间传输时,仍承载在TCP连接上。SVN云网关支持如下云协议:
•
•
•
支持ICACGP协议
支持HDP协议
支持VNC协议
2014-10-10
华为机密,未经许可不得扩散 第15页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.3.2 负载均衡网关
SVN产品提供SSL负载均衡功能,可以在云端的Web服务器(实服务器)群前部署SVN网关,通过配置,可以将web服务器群虚拟化成一个web服务器向用户提供服务。用户通过HTTPS协议访问虚拟Web服务器时,HTTPS协议涉及的SSL加解密操作可以在SVN网关上完成,然后SVN网关按照负载均衡算法在web服务器群中选择一个web服务器响应用户的HTTPS访问。
负载均衡网关通过将SSL加解密操作从原本Web上执行转移至SVN网关上执行,降低了对Web服务器上运算能力的要求,使得Web服务器可以更加关注Web业务,能够提供更高的用户访问能力。同时对外只暴漏负载均衡网关的地址信息,对外屏蔽了内部的网络结构,也进一步加强云中心的安全性。
负载均衡网关上的负载均衡算法可选举出一台符合标准的WEB服务器来处理用户的请求。如果这个算法原先选定的最合适的服务器达到或者超过了其最大用户连接数,那么另外一个连接数比较合适的服务器将被代替。SVN可以设置按照以下这些算法来实现服务器负载均衡:
最小连接数
最快响应
等比例论询
权值论询
另外我们还可以在虚拟的web服务器上配置“会话保持” : 一旦一个服务器被选择了,后续的从该用户发出的请求都被转发到同一服务器上。SVN支持了实际应用中最为有效的“会话保持”算法:
2014-10-10
华为机密,未经许可不得扩散 第16页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
源IP
Cookie
2.3.2.1 实服务器的接入保护
SVN系列设备支持在客户端接入web服务器之前,进行认证保护,可以有效的防止客户端对web服务器的攻击,并且能够记录相关的用户登录信息,锁定相关的用户。
SVN支持在用户接入实服务器之前进行的认证和校验包含:
AD外部认证
USBKEY+CA数字证书认证
云客户端主机策略检查
实时防截屏
实时防跳转
其中主机检查包含了丰富的客户端校验策略,例如:检查系统、杀毒软件、进程、端口等等,并且在某些应用场景中,用户在办公时需要访问公司的核心区域,但是又无法保证资料的安全性,这时,通过上述的配置可以防范公司资料的泄密。
SVN接入认证还提供单点登陆功能,开启了接入认证后,SVN在认证用户成功后,会接入到选中的实服务器,并且实现单点登陆,不需要用户再次输入用户名和密码。
2.3.2.2 实服务器的健康检查
SVN还负责检查服务器群的服务的健康状况,一旦发现问题,系统仍然继续依照负载均衡算法把服务转向到其他正常的服务上去,不影响用户使用。SVN的健康探测支持实服务器的进程级检测。SVN主要支持的健康探测包含如下方式:
2014-10-10
华为机密,未经许可不得扩散 第17页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
TCP
HTTP
TCP-TOUT
HTTP-TOUT
HTTP-RSP CODE
HTTP-CONTENT
2.4
整体安全防护特性
2.4.1 传输数据加密
当远程用户通过SVN访问企业内网服务器时,数据的传输路径可以划分为两段。一是从客户端到SVN,需要经过公网,另一部分是从SVN到内网服务器,这一段属于内网数据传输。由于内网网络出入口一般都部署有防火墙,因而内网的数据传输被视为是安全的,采用标准的TCP/IP协议。而客户端到SVN之间的数据传输则面临着诸多的安全威胁,因此就需要一种强有力的措施来保护机密数据不被窃取或是篡改。
SVN V200R003系列安全接入网关支持多种SSL加密算法,对传输数据进行强加密,确保了数据传输的真实性、完整性。支持常用的商密算法和国密算法:
加密算法:3DES/DES, RC4, AES
非对称密码算法:RSA
Hash算法:MD5, SHA-1
国密算法:SM2/SM3/SM4
2014-10-10
华为机密,未经许可不得扩散 第18页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.4.2 用户身份认证
SVN V200R003系列安全接入网关支持多种身份认证方式,能够提供本地认证和外部认证。企业或机构可以根据自身需求、认证体系的建设情况灵活选择认证方式,保护企业的原始投资。
2.4.2.1 本地认证
SVN V200R003系列安全接入网关支持本地认证方式,在设备上建立本机用户数据库保存用户账号和密码信息,客户无需另外建立认证系统。本地认证方式下,可灵活制定各种密码策略和密码有效期。
2.4.2.2 外部认证
针对已建设起相对完善的认证体系的企业,SVN还能够支持多种外部认证系统,比如:Radius认证系统、LDAP认证、USBKEY+CA数字证书认证、AD认证系统、SecurID认证系统。
使用Radius、LDAP、AD认证系统,用户登录时通过SSL加密隧道将用户账号和密码信息提交给SVN安全接入网关,SVN按照标准协议格式向认证服务器发送认证请求,认证服务器将认证结果返回给SVN。此时SVN上不保存用户的账号密码信息,最终认证过程在外部认证服务器上完成。
使用SecurID认证系统,每个SVN的用户将获得一个Token卡和一个PIN码,Token卡每分钟动态产生一个Token码。用户登录时将PIN码和Token码组合作为密码输入。用户输入的密码和账号信息通过SSL加密隧道发送到SVN后,SVN按照标准协议格式将这些信息传递到SecurID认证服务器并从认证服务器获得认证结果。此时SVN上不保存用户的账号密码2014-10-10
华为机密,未经许可不得扩散 第19页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
信息,最终认证过程在外部SecurID认证服务器上完成。
2.4.2.3 数字证书认证
SVN可以基于CA数字证书(X.509v3,下同)对用户进行认证,支持证书匿名和证书挑战两种证书认证方式。证书匿名方式下,用户登录时在SSL协议交互过程中将用户证书提交给SVN,SVN通过检查该证书的有效性来对用户进行认证;证书挑战方式下,可将其他几种认证系统作为辅助认证方式。用户登录时提供证书和挑战密码,SVN首先检查用户证书的有效性,然后从证书信息中提取出代表用户身份的信息作为用户账号,将用户账号和挑战密码发送到辅助认证系统对用户进行认证。
用户证书可以被导入到Windows系统中,由PC机操作系统管理和存储,也可以保存到USBKey中。保存到USBKey中的证书一般情况下只能够查看和使用,不能够修改和导出。USBKey便于携带,增强了证书的物理安全性,另外USBKey可以设置密码,对证书又增加了一层保护。证书保存到PC机或者保存到USBKey,对于用户使用证书进行认证一样方便。
SVN经过两个步骤确定用户证书的有效性,首先检查颁发该证书的CA是否是被信任的(在使用证书认证前需要在SVN上配置可被信任的证书颁发者),然后判断该证书是否过期失效或者被其颁发者撤销。证书中包含有效期信息和该证书的颁发者信息,SVN根据设备上的日期时间判断用户证书是否处于有效期内。SVN从用户证书中获得其颁发者信息,然后判断该颁发者是否可被信任。在有效期内的证书也有可能被其颁发者撤销,SVN可以使用HTTP或者LDAP协议从颁发者获取CRL,判断证书是否被撤销,也可以使用OCSP协议实时从颁发者查询证书是否被撤销。
为了降低中小企业部署数字证书认证系统的成本,SVN产品可提供简单的CA功能,包括用户证书颁发、吊销,网关证书颁发等功能。利用SVN产品提供的CA功能,用户可以部2014-10-10
华为机密,未经许可不得扩散 第20页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
署一个简化的数字证书认证系统,包括数字证书合法性验证、证书状态检查等安全性相关的功能都具备。
2.4.2.4 短信认证
短信认证方式可以作为其他认证方式的一个补充,当用户通过本地认证或者外部认证接入SVN网关后,SVN网关可以向该用户注册的手机号码发送一个动态的短信验证码,用户可以输入所获取到的短信验证码进行二次身份确认。通过短信认证方式,可以避免用户账号信息被盗后被人假冒登录到SVN。短信认证方式是对其他用户认证方式的一种增强。
2.4.2.5 终端标识码验证
为了避免SSL VPN用户用户名/密码信息或者证书信息丢失带来的安全隐患,SVN提供硬件特征码检查功能,通过进一步确认远程接入终端的身份提高安全性。
启用接入终端的标识码验证功能后,即使第三方恶意用户获得了SVN用户的密码或者证书信息,他仍然不能够使用自己的终端登录SVN。这一技术特别适用于移动办公用户,移动办公人员将笔记本电脑或者智能终端注册到SVN系统后,只能通过这台指定的笔记本或者智能终端登录SVN,其它设备即便拥有密码、证书等,仍然无法登陆。
启用接入终端的标识码验证功能情况下,用户首次登录SVN认证通过后,需要在线提交终端的信息,进行终端标识码注册。用户提交终端资产信息后需要等待管理员审批,只有那些被SSL VPN管理员批准的终端才能够接入到安全内网。用户后续登录时,在认证请求消息中附带终端标识码信息,SVN网关设备上通过终端标识码信息判断该终端是否被审批允许接入。
2014-10-10
华为机密,未经许可不得扩散 第21页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.4.2.6 多重认证保护
单一的认证方式易被窃取,为了进一步提高身份认证的安全性,SVN支持混合认证,可针对用户名密码、证书认证、外部认证、硬件特征码、短信认证等进行多因素捆绑认证,这几种认证方式必须同时满足才能够接入SSL VPN系统。如果需要几种接入方式做备份接入选择,那么还可以选择对于以上几种认证方式进行组合,只要通过一种认证方式即可接入到系统中。
多种认证方式、完善的认证体系,使得企业在可以根据相应的安全级别,对客户端的认证方式进行选择组合,最大限度地保证了接入用户的合法性和企业内网资源的安全。
2.4.3 接入终端安全
2.4.3.1 终端安全检查
SVN可以对接入终端的安全属性进行检查,根据检查结果可以限制用户可访问的资源,或者限制用户登录,避免不安全终端接入到安全内网后带来的隐患。
对于固定终端,SVN可以针对杀毒软件、防火墙软件、操作系统、监听端口、进程、文件、注册表制定检查规则,在规则中要求接入终端安装指定的软件、操作系统,具有指定的进程、文件等特征,或者在规则中要求接入终端不能安装指定的软件、操作系统,不能具有指定的进程、文件等特征;对于移动智能终端,SVN可以针对终端系统的锁屏密码、终端系统是否被root破解、终端系统上安装的应用列表制定检查规则,在规则中要求接入终端具有高安全强度的系统锁屏密码、要求终端不能够被root破解、要求终端安装指定的应用或者禁止终端安装指定的应用等。
SVN在检查规则基础上构建终端安全检查策略,每个检查策略可以包含一个或者多个检2014-10-10
华为机密,未经许可不得扩散 第22页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
查规则,并灵活组合对检查规则的要求,例如可以要求满足所有规则,或者要求只满足其中一条规则,或者要求必须满足一部分规则并至少满足另外一部分规则中的一条规则。通过对检查规则的组合可以制定出灵活的检查策略,以应对接入终端的各种情况。
启用终端安全检查情况下,用户经过SVN认证后,如果是在该接入终端上首次登录则登录程序自动从SVN设备上下载终端安全检查程序。终端安全检查程序自动从设备侧获得该用户的终端安全检查策略,并根据检查策略依次进行检查,然后将各项规则的检查结果返回给SVN设备。SVN网关侧对检查结果进行分析,根据配置的终端安全策略决定是否允许用户接入。
2.4.3.2 终端缓存清理
SVN可以在用户访问结束时,采用必要的手段清除不可信终端上的访问痕迹(例如生成的临时文件、Cookie等),以防止泄密,杜绝安全隐患。
SVN管理员可以根据需要选择是否启用终端缓存清理功能。SVN提供多达7种清除访问痕迹的选项,管理员可以根据所需要的安全等级灵活选择需要清理的选项。SVN另外还提供管理员自定义的选项,保证在用户退出访问后清除访问终端中特定的文件。
终端缓存清理和终端安全检查使用相同的客户端程序,可以自动下载到用户接入终端,并从SVN网关侧获取配置,在用户退出登录时根据配置执行缓存清理的功能。
2.4.4 专业的防火墙防护
SVN安全网关自身集成了防火墙功能,拥有专业级防火墙所具备的强大能力:网络区域隔离、基于安全策略的访问控制、NAT、应用感知、攻击防护、带宽管理等功能。
2014-10-10
华为机密,未经许可不得扩散 第23页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.4.4.1 安全区域隔离
防火墙的区域隔离功能可以把普通区域、重点区域等各种逻辑网络进行隔离,避免了不安全因素的扩散。在防火墙技术体系中,灵活的网络隔离特性是非常重要的一个特性,只有合理的划分了网络区域,安全策略才可以更有效的实施。
SVN内置了LOCAL/LAN/WAN/DMZ 4个安全区域级别,同时支持自定义安全区域,用户可以根据需要灵活配置。
SVN网络管理员可以将具有相同安全级别的网络设备划入到同一个安全区域。由于同一个安全区域内的网络设备是“同样安全”的,则在同一区域内部发生的数据流动是不存在安全风险的,不需要实施安全策略。只有当不同安全区域之间发生数据流动时,才会需定制相应的安全策略,触发跨域间流动的流量的安全检查。
2.4.4.2 安全策略控制
防火墙技术中另一个重要功能就是访问控制,主要通过访问控制列表(ACL)实施流量的访问控制。SVN对传统基于ACL的访问控制进行了增强,提供了功能更为强大的基于安全策略的访问控制功能。
安全策略规则的定制元素除了支持传统防火墙基于报文的出入接口、域间流动方向、访问来源和目的地址、端口及协议号等外,还提供基于地理位置、应用或应用分类等更为直观的元素,使得访问控制策略的定制和实施更为简单灵活。
安全策略的管理支持时间段,可以采用两种方式定义时间段:绝对时间范围、周期时间范围。通过时间段,SVN可以非常容易的定制基于时间的策略。
通过安全策略,企业管理员可以方便地控制企业对外开放的业务,并限制可访问的范围。比如如果 SVN 只作为SSL VPN业务接入网关的话,那么就可以定制安全策略,对外只开2014-10-10
华为机密,未经许可不得扩散 第24页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
放443端口,这样就能有效保护内部网络免受来自Internet的各种攻击。
2.4.4.3 攻击防护
防范多种DDoS攻击
SVN网关可根据数据报文的特征,以及Dos攻击的不同手段,可以主动识别出数十种常见的攻击种类,SVN可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。目前,可以防范多种DDoS攻击,主要包括:SYN Flood攻击、ICMP Flood攻击、SIP
Flood攻击、UDP Flood攻击、tcp-illegal-session攻击、HTTP Flood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位不合法、Ping of Death攻击、Tear Drop、DNS攻击等。
防范扫描窥探攻击
攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。SVN网关通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。
防范其它攻击
SVN网关除了可以有效防范多种DDoS攻击和扫描窥探外,还可以有效防范 IP
Spoofing攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击、利用tracert工具窥探网络结构等其他攻击,确保系统访问权的安全。
2.4.4.4 带宽管理
带宽管理功能支持保证带宽和限制带宽的功能。保证带宽,是对指定流量的最小带宽资源进行保证,避免关键业务受到其他流量的冲击。限制带宽,是对指定流量的最大允许通2014-10-10
华为机密,未经许可不得扩散 第25页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
过带宽进行限制,避免一些流量占用太多的带宽,影响其它重要业务的运行。
2.4.4.5 位置感知
SVN提供的Location/位置感知特性,可以根据流量的源、目的IP地址来分析流量的位置(如:国家、地区、城市等)。包括流量的源位置、目的位置。
SVN内置了网络地址与地理位置的数据信息,并通过可自定义的位置及位置集合,为管理员提供基于地理位置的安全策略、带宽策略、路由策略。基于位置进行策略的配置,方便用户根据地域来对用户、流量进行管理。如SVN可以通过配置基于位置的安全策略限制某些区域用户对公司内网资源的访问,允许中国区的用户远程接入,而不允许位于美国的用户接入。
2.4.4.6 应用感知
SA/应用感知模块负责对未知网络流量进行识别,SA模块识别报文形态、根据报文提取的特征字、报文负荷长度、报文内容/长度变化规律、IP地址/端口等内容,并可结合统计和报文间关联关系等,从而对网络流量进行精确应用分类。
通过华为公司云安全能力中心的持续研究和积累, SA特征库已经覆盖了超过6000种的应用种类,SVN可通过SA识别引擎以及特征库在线升级技术,确保对最新应用跟踪识别的能力。
基于应用感知功能,可以提供如下基于应用维度的流量控制和管理的能力:
基于应用的访问控制
安全策略支持基于应用的安全控制,在原来访问控制策略的基础上,增加应用的选择维度,如允许ERP、WEB等应用流量通过,但是阻止流媒体应用通过。基于应用的安全控制,2014-10-10
华为机密,未经许可不得扩散 第26页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
可以对流量进行更加细粒度的分类,实现精确控制。
基于应用的流量管控
带宽管理策略支持基于应用的流量管控,是在原来带宽策略的基础上,增加应用的选择维度,如限制视频流量的带宽,保证其它业务应用的带宽。基于应用的流量管控,可以对流量进行更加细粒度的分类,实现精确控制。
2.4.5 网关设备安全防护
SVN网关设备采用华为公司具有自主知识产权的专有VRP操作系统,该操作系统经过安全加固,不易被攻破,相比一般通用操作系统更加安全。VRP操作系统在华为公司交换机、路由器产品中经过全球用户长时间广泛使用,安全程度值得信赖。
SVN网关设备对自身提供灵活的安全保活策略,数据报文在进行SSL协议处理之前,先经过了可配置的TCP/IP层过滤检查。可配置的TCP/IP层报文检测包括畸形报文检测、异常报文处理、IP层基于流量统计的攻击检测、TCP基于流量统计的攻击检测等。
同时DDoS防护功能不仅能防范对企业内网服务器的攻击,同时也能为SVN设备本身提供强大的DDoS防护能力。
2.4.6 灵活的资源授权
对SSL VPN用户进行访问授权是SSL VPN管理员的一项重要工作,一方面要将内网资源授权给不同的用户进行访问,另一方面又要降低配置管理的复杂程度。从用户角度来说,不同的用户需要访问的内网资源不同,从企业角度来说,不同资源的访问用户需要严格地区分和控制。
SVN通过引入角色、用户/用户组、资源的概念很好地解决了访问授权的问题。
2014-10-10
华为机密,未经许可不得扩散 第27页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
SVN提供了基于群组用户和基于单个用户的管理方法,方便企业对用户的管理。企业可以根据自身需要,将远程安全访问的用户划分成不同的群组,比如销售组、财务组、研发组、合作伙伴、客户等。用户组仅是对用户的集合,并不和可访问权限直接联系。
SVN管理员将可访问的内网服务器配置为各类资源,例如Web代理资源、文件共享资源等等。
SVN引入角色概念,不同的角色表示了对不同内网资源的访问权限。用户登录后,SVN确认用户所具有的角色,然后根据角色授权用户可访问的资源。
角色将用户/用户组、资源进行关联,管理员首先创建角色,然后将可访问资源关联到不同的角色,最后为用户/用户组分配不同的角色,最终实现对用户的访问授权。用户/用户组、资源、角色可以灵活关联,例如一个用户可以属于多个用户组、一个用户组可以包含多个用户,一个用户/用户组可以被分配多个角色、一个角色可以分配给多个用户/用户组,一个角色可以关联多条资源、一条资源可以被关联到多个角色。
SVN通过对接入终端的安全检查,可以根据安全检查的结果对用户进行动态授权。角色中可以引入终端安全检查策略,相当于对用户/用户组分配到角色增加了条件,只有满足了一定的终端安全检查策略的用户/用户组才能分配到该角色。通过动态授权方案,同一个用户使用不同的接入终端登录SVN后,可获得访问授权也可能不同,这样可以减少不可信终端接入后对被保护资源的安全威胁。
2.4.7 细粒度的访问控制
SVN支持网关源IP访问控制策略、用户访问控制策略、用户组访问控制策略。
网关源IP访问控制策略,可以依据用户源IP地址拒绝或者允许用户接入到虚拟网关。通过对源IP地址的访问控制,限制允许接入的IP地址范围,可以减少安全威胁。
2014-10-10
华为机密,未经许可不得扩散 第28页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
用户访问控制策略,可以对特定的用户制定单独的访问控制策略,从源IP地址、目的IP地址和端口、目的URL几个方面对用户的访问进行控制。
用户组访问控制策略,可以对用户组制定访问控制策略,从源IP地址、目的IP地址和端口、目的URL几个方面对属于该组的用户的访问进行控制。
通过配置访问控制策略,可以在用户访问已授权资源时增加额外的访问控制。SVN能够实现基于URL、IP、端口的细粒度访问控制。对内部资源的控制粒度越细,对内网的安全保障越有效。基于URL、IP、端口的细粒度访问控制增加了管理员配置的灵活性。
2.4.8 防暴力破解机制
2.4.8.1 图形码验证功能
SVN提供图形码校验功能,用户在输入用户名和密码以后还需要将系统随即生成图片中的信息输入才能实现正常登录,可以防止非法使用者使用自动程序来进行暴力破解。
2.4.8.2 软键盘功能
为了提高用户密码的安全性,防止被键盘木马程序截获用户通过键盘输入的密码信息,SVN提供了软键盘功能,用户可以使用界面上提供的软键盘来输入密码信息,这样木马程序就无法采用截获用户键盘输入的方法来窃取用户的密码了。
2.4.9 日志与审计
SVN提供全面的日志信息,分为系统日志、用户日志和虚拟网关管理员日志三类。用户日志主要记录用户的上下线时间、所有操作行为,只有管理员能够查看或导出用户日志。虚拟网关管理员日志记录管理员的上下线以及配置操作行为,系统日志记录设备的运行状态和配置的变更情况,系统管理员有权限查看系统日志。
2014-10-10
华为机密,未经许可不得扩散 第29页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
SVN设备本身具有一定的存储能力,能够保存有限的日志信息。对于设备本地保存的日志,提供对访问时间、采用的认证方式、登陆成功与否、启用SVN的功能信息、各功能的流量信息的统计和分类查看、实时导出功能。
由于SVN设备本身的存储能力有限,SVN支持标准的Syslog日志格式,可以和外部Syslog日志服务器对接,将SVN记录的日志信息实时传输至Syslog日志服务器。Syslog日志服务器可提供海量日志存储能力。
SVN设备可以和华为eSight产品配套,SVN记录的日志可以实时传输到eSight服务器保存。eSight软件可以对保存的日志信息提供查询和分析功能。
2.5
完备的IPv6技术
IPv6(Internet Protocol Version 6,即网际网路协定版本6)也被称作下一代互联网协议,它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6是为了解决IPv4所存在的一些问题和不足而提出的,同时它还在许多方面提出了改进,例如路由方面、自动配置方面。IPv6 Ready由IPv6 Forum定义,是IPv6领域国际公认的最具权威的认证。2008年1月,美国国家标准和技术研究院(NIST )全面发布IPv6 Ready产品需求,要求美国政府机构采购的网络产品必须通过IPv6 Ready认证。IPv6 Ready认证由一系列严格的测试所组成,以确保经过认证的网络设备能够完善地支持IPv6网络互联互通。随着IPv6规范的更新,IPv6 Ready测试标准也在逐步提高,形成了不同等级。华为网络安全产品直接通过了当前最新的IPv6 Ready Phase-2 Enhanced(IPv6 Ready第二阶段的金牌增强认证)测试,表明产品对IPv6的支持达到当前业内最高等级要求。
2014-10-10
华为机密,未经许可不得扩散 第30页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.5.1 IPv6基本功能
邻居发现
邻居发现ND(Neighbor Discovery)是确定邻居节点之间关系的一组消息和进程。邻居发现协议替代了IPv4的ARP(Address Resolution Protocol)、ICMP路由器发现(Router
Discovery)和ICMP重定向(Redirect)消息,并提供了其他功能。
路径MTU
IPv6中间设备不支持对IPv6报文进行分片,IPv6使用路径MTU(PMTU)确定从源端到目的端路径上合适的MTU值,使报文在中间设备不需要分片,减轻中间设备的工作压力。
2.5.2 IPv4/IPv6解决方案
SVN全面支持IPv4(Internet Protocol version 4)和IPv6(IP version 6)双协议栈工作方式,提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。
IPv6 over IPv4隧道
IPv6 over IPv4隧道是IPv4网络向IPv6网络过渡的一种技术。在IPv4 Internet向IPv6
Internet过渡的初期,IPv4网络已被大量部署,而IPv6网络只是散布在世界各地的一些孤岛。采用专用的线路将这些孤岛互连起来,显然是不经济的。通常的做法是采用隧道技术。利用隧道技术可在IPv4网络上创建隧道,从而实现IPv6孤岛的互连。
IPv4 over IPv6隧道
在IPv4 Internet向IPv6 Internet过渡的后期,IPv6网络已被大量部署,此时可能出现IPv4孤岛。利用隧道技术可在IPv6网络上创建隧道,从而实现IPv4孤岛的互连。这类似于在IP网络上利用隧道技术部署VPN。在IPv6网络上用于连接IPv4孤岛的隧道,称为IPv4 over
IPv6隧道。
2014-10-10
华为机密,未经许可不得扩散 第31页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.5.3 IPv6路由技术
IPv6支持多种协议:
支持静态单播路由。
支持RIPng动态路由协议。
支持OSPFv3动态路由协议。
支持BGP4+动态路由协议。
2.6
高可靠性
华为公司凭借在电信领域多年的技术积累,深刻的认识到可靠性设计对于一个网络设备的重要性。SVN安全接入网关从硬件到软件,从每个部件到整体构架都进行了深入的分析和考虑,在设计的每个环节都融入了可靠性的设计理念,保证从根本上为用户提供了安全可靠的网络环境,使得SVN成为了一款真正安全的电信级高可靠的SSL VPN设备。
2.6.1 可靠的硬件平台
SVN产品采用了NG_Security硬件平台。NG_Security硬件平台是华为公司全新一代高性能系列安全产品的硬件平台。NG_Security硬件平台采用“多核MIPS” +“硬件协处理加速”+“高速SwitchFabric”的架构,通过高速总线实现多核CPU与业务处理模块,接口扩展模块直接的通信。NG_Security硬件平台同时进行了冗余设计,提高硬件可靠性。增强了性能和功能的扩展,进一步实现了存储的扩展,满足安全接入设备对本地日志存储的需要。
多核MIPS CPU
华为NG_Security硬件平台采用64位高性能多核MIPS平台,MIPS架构基于一种固定长度的定期编码指令集,其精简的指令集、指令与高速数据缓存分层的设计、并发的多级流水2014-10-10
华为机密,未经许可不得扩散 第32页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
线、以及专门为网络报文吞吐所设计的高速接口及DMA能力,结合华为公司电信级的嵌入式实时操作系统,保证了SVN平台处理的高性能。
同时,在NG_Security硬件平台的高端机型,还可多扩展一块CPU处理板,即相当于实现1+1的CPU扩展能力,每颗CPU均为多核MIPS处理器,这样的弹性扩展能力可实现硬件处理能力的翻倍。
硬件协处理加速
华为NG_Security硬件平台集成了IPSec、SSL加解密运算,压缩解压缩,模式匹配,以及硬盘RAID的硬件协处理器。使得本来应该由CPU软件来计算处理的特定、重复的耗费CPU性能的业务,如加解密、压缩解压缩、模式匹配等,由协处理器来完成,这样CPU就不需要参与计算,对CPU的消耗大大降低。
高速总线
华为NG_Security 硬件平台选用容量达480Gbps的交换芯片来作为多核CPU,业务处理模块,扩展接口模块之间的互联总线,高容量的交换总线为模块之间的提供的足够的带宽,保证了各模块之间的业务交换。
存储模块
华为NG_Securiy 支持300GB大容量,高速率的SAS硬盘,为用户提供实时记录日志和报表。
双硬盘支持RAID1,提供用户数据的可靠备份。
硬盘热插拔设计为用户扩容升级提供保证。
扩展性
硬件采用弹性可扩展架构,针对不同应用场景需求,可通过业务处理板卡扩容实现安全2014-10-10
华为机密,未经许可不得扩散 第33页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
业务性能翻倍提升。
新一代防火墙提供多个高密度扩展接口卡槽位,支持千兆光电及万兆口等丰富接口卡类型,管理员可以根据业务的发展灵活扩展设备的硬件转发能力与设备性能。
通过虚拟系统功能,可以将一台物理设备划分为多台逻辑上完全隔离,相互独立的虚拟设备,实现系统级的扩展,满足设备租赁和云计算场景。
硬盘支持选配,用户可以根据实际需求选择合适的配置;
以上的扩展性,客户在初期可以根据需求选择配置,根据需求的增加直接采购模块扩展。有效的保护了客户的投资。
高可靠性
电源1+1冗余备份,硬盘支持RAID1。当其中一个部件发生故障是,相同的功能部件会分担故障部件的任务,为用户提供超长时间无故障的硬件保障。
故障检测:系统会实时监测整机,安全业务处理板和接口板上关键器件的工作状态,发现异常后可报警,包括:风扇故障告警、电源故障告警、温度过高报警等等。
硬件bypass:支持内置电Bypass插卡,当设备出现故障时,可以直接bypass,避免用户业务中断;
绿色节能和环保
动态功耗管理。优选高效低功耗架构,采用低功耗器件、高效率电源,从设计源头降低设备功耗。软硬件结合的动态能耗管理。系统软件根据设备忙闲状态、功能开启情况、端口连接状态、设备温度对设备实现动态能耗控制,如动态关闭空闲端口和功能单元、对风扇实现独立控制调速等。
智能散热技术。全部选用PWM调速风扇,通过精密分档调速、分区散热技术,比传统2014-10-10
华为机密,未经许可不得扩散 第34页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
散热设计,风扇功耗降低70%以上。即降低了整机功耗,也改善了设备噪音问题。
绿色环保制造工艺。生产设计严格遵守RoHS、WEEE等环保法规,不含严禁使用的有毒物质。产品设计遵循可拆解、可回收性 设计全面采用可回收材料,产品可回收率90%以上。包装设计遵守欧盟包装指令(94/62/EC),材料选用优选环保、可回收的材料,减少使用材料的种类、数量和重量。
2.6.2 健壮的软件体系
SVN采用华为公司自行开发的VRP操作系统作为其运行的核心组件,使得该设备天生就避免了各种通用操作系统的安全风险和漏洞、病毒攻击等等各种软件不可靠因素。
VRP操作系统是一个数据通信设备专用的平台,其软件构架设计就是为数据通信产品量身定制,综合考虑了数据通信技术的发展。VRP操作系统是一个不断进步和发展的系统,同时VRP在数据通信领域是一个领先的软件系统,已经支持了华为公司Quidway全系列的路由器、交换机设备,因此SVN不但具有可靠、安全的运行保证,同时针对安全技术的发展方面具有更良好的扩展空间,这就决定了SVN在新技术发展方面可以领先一步。
2.6.3 双机备份技术
SVN双机备份是采用两台独立的、型号一致的设备共同工作,提供更可靠的工作环境。SVN双机备份可以工作在两种模式下:第一种是,两台SVN设备只有一台设备在工作,当发生意外故障的时候另外一台设备接替工作。第二种是,两台SVN设备都在工作,且可以通过配置达到负载均衡分担的工作状态,但当一台发生意外故障的时候,另外一台自动接替所有的工作。
2014-10-10
华为机密,未经许可不得扩散 第35页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.6.4 链路备份技术
链路备份是为了防止因为物理链路故障而导致服务的终止,实现链路备份的具体技术可能有多样。SVN提供两条链路同时提供服务,当链路都正常的时候可以选择两条链路一起工作并起到负载均衡的作用,当某条链路坏的时候,流量全部自动切换到另外一条链路上。SVN能在切换时候动态调整各种路由协议。由此SVN基于路由提供的链路备份技术可以非常好的使用在各种场合,通过多条链路的互相备份提供更可靠的服务。
2.6.5 华为SVN可靠性技术优势
SVN的双机热备具备以下优势:
SVN扩展了VRRP协议——VGMP协议来控制和保证SVN的VRRP一致性,使得华为SVN在局域网的应用中具备得天独厚的优势,因为在局域网中采用VRRP协议的可靠性技术被证明是稳定可靠的,而且能做到对局域网内用户透明,这样华为SVN的双机热备方案在局域网中,及至企业网的接入点上都有很大优势;
SVN热备技术是基于华为HRP协议的热备技术,这是一种华为自己开发的快速高效的双机热备技术,且可以根据现网的流量不同对应配置HRP多条优先级不同的备份通道;
SVN的双机热备技术支持抢占功能,这一点在互为备份流量分担的组网中特别重要,因为一旦设备故障所有流量都切换到一台设备上时,需要一个切实的机制能保证故障设备恢复时流量能平滑的切换回去,而支持抢占功能的双机热备技术能保证这种切换的平滑,从而保证了互为备份组网的可靠运行;
SVN支持OSPF+VRRP混合组网的方式,在发生故障时候,动态调整OSPF的参数,使其业务流量快速切换到另一台设备,保证故障恢复时候流量平滑的切换,保证2014-10-10
华为机密,未经许可不得扩散 第36页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
备份组网的可靠运行;
SVN组网方式丰富多样,每种组网都能提供全冗余的设备和链路,从而能够保证整个可靠性组网的稳定运行。
2.7
优秀的组网适应能力
SVN 优秀的组网适应能力体现在以下几个方面:
2.7.1 一体化VPN网关
SVN安全接入网关融合了IPSec和SSL两种先进的VPN技术,既可以通过Web浏览器实现无客户端的便捷访问,又能够实现端到端的网间互连。传输过程的强加密、身份认证方式的多样化、设备软硬件的安全、细粒度的内网资源授权访问控制,构成了层次化的点到端、端到端安全访问保障。
除了提供IPSec/SSL VPN功能外,SVN产品还可提供GRE VPN、L2TP VPN、MPLS VPN和多媒体隧道网关功能,一机多能,适应用户各种网络环境。
2.7.2 高密度的端口支持
SVN5630 1U标准机箱形态,机箱上带有Console接口,一个带外管理接口(GE电口)。支持4个固定GE电口,2 个固定Combo口,1个USB接口。支持的扩展插槽有: 2个WSIC,或者1XSIC。当前支持的插卡有: WSIC-8GE电接口卡,WSIC-8GE光接口卡,WSIC-8GE电口+2*10GE,WSIC-2*10GE,WSIC-4GE电口Bypass卡。满配支持24个GE电口,加4个SFP光接口,加4个10G光接口。可扩展支持双交流电源,支持热插拔。
SVN5660/SVN5830/SVN5850 1U标准机箱形态,机箱上带有Console接口,一个带外管理接口(GE电口)。支持8个固定GE电口,4个固定的GE光口,2个USB接口。支持的扩2014-10-10
华为机密,未经许可不得扩散 第37页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
展插槽有:2个SIC插槽,加1个WSIC。或者2个WSIC(两个SIC插槽合并为一个WSIC),或者1XSIC(两个WSIC合并为一个XSIC)。当前支持的插卡有: WSIC-8GE电接口卡,WSIC-8GE光接口卡,WSIC-8GE电口+2*10GE,WSIC-2*10GE,WSIC-4GE电口Bypass卡。满配支持24个GE电口,加4个SFP光接口,加4个10G光接口。可扩展支持双交流电源,支持热插拔。
SVN5860/SVN5880/SVN5880-C为3U机型设备,机箱上带有1个Console接口或者mini usb(Console和mini USB都出面板,但同时只能使用一个)。一个带外管理接口(GE电口)。支持8个固定GE电口,4个固定的GE光口,4个10 GE光口,2个USB接口。支持的扩展插槽有:1个WSIC插槽,加4个XSIC。或者5个WSIC。当前支持的接口卡有:WSIC-8GE电接口卡,WSIC-8GE光接口卡,WSIC-8GE电口+2*10GE,WSIC-2*10GE,WSIC-4GE电口Bypass卡。满配可以达到:56个GE电,加8个SFP光,加14个10G光口。标配交流双电源,支持热插拔。
2.7.3 丰富的路由协议和路由管理
SVN在提供丰富安全特性的同时,集成了部分路由能力。SVN不仅支持静态路由,而且还支持OSPF(Open Shortest Path First)、BGP、ISIS动态路由协议,同时还支持路由策略和路由迭代,从而使得SVN的组网应用更加灵活。
SVN通过支持策略路由功能,使得策略路由与安全特性协同工作,从而在多个去往ISP的出接口上实现负载分担。当一条链路故障时,流量将切换到其他处于正常的链路中。
2.7.4 多线路智能选路
SVN支持多线路的智能选路特性,该特性实现了多线路的相互备份和负载均衡,从而能2014-10-10
华为机密,未经许可不得扩散 第38页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
提高VPN网络的稳定性和用户访问质量。
由于VPN的稳定性是依赖于线路本身的稳定性,若采用单条线路,一方面,如果该线路一旦中断,将造成整个VPN系统陷入瘫痪;另一方面,单一线路无法解决跨运营商时延问题,访问质量无法保障。
通过多线路接入和负载均衡技术,将多线路接入实现带宽迭加和互为备份,能达到以下效果:
多线路互备,保证了VPN网络的持续可靠运行
若任何一条线路出现故障,SVN可以将数据无缝切换到其他正常线路上,不会影响SVN用户的接入和访问。并且若故障线路恢复正常,连接隧道将自动愈合,无需人工干预,保证了用户的重要应用持续、不间断地稳定运行。
多ISP线路智能优先,提升访问质量
SVN支持网关到网关和端点到网关的多ISP接入的组网。
对于IPSec网关到网关的组网场景,可采用不同的ISP接入建立IPSec隧道,SVN支持将多条隧道进行绑定,然后根据负载均衡策略进行流量分担。这相当把多条线路的带宽进行了叠加,增加了VPN网络的带宽。同时SVN的多线路智能选路特性还能根据线路的质量状态优选最佳的线路接入,从而避免跨运营商的时延问题。
对于SSL VPN业务,SSL VPN网关对外提供多个ISP的地址,安装在用户PC上的SVN客户端会根据所在接入网络探测不同ISP地址的访问速度,优选最佳网关地址接入。
分布部署优选访问,提升访问效率
对于地域分布分散大型的企业,可能会在分布的地域分别部署有SVN设备,在这种场景下,如果让企业移动办公用户能就近接入,就能大大提升访问质量。SVN的智能优先功能2014-10-10
华为机密,未经许可不得扩散 第39页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
就能满足这种场景,只要在移动办公用户的SVN客户端上导入分布部署的SVN网关信息,SVN客户端就会持续探测这些网关的访问质量,优先选择访问速度最快的SVN网关接入。
2.7.5 敏捷园区配套
敏捷园区的业务随行解决方案将传统基于IP网段的策略转移到基于安全组(用户组/资源组)上来,实现不管用户身处何地,使用哪个IP地址,都可以保证该用户获得相同的网络权限和网络体验,而且策略的执行点会跟随用户移动,从而达到体验随身。
SVN设备支持与敏捷园区方案配套。SVN主动向所在园区网络控制器(Controller)注册自己,作为用户接入的认证点和策略执行点。在新用户接入时,SVN向Controller获取该用户的身份信息,并接受来自Controller关于该用户的控制策略,实现业务随行体验保障场景。
SVN与敏捷园区配套组网能实现如下功能:
SVN用户限流
通过Controller统一配置,在SSL VPN用户接入认证时,Controller会向SVN设备下发该用户的带宽阈值。这样可以限制每个用户的内网总带宽,以避免用户运行消耗大带宽的应用导致园区网络拥塞。
VIP优先接入
SVN新用户接入认证时,Controller会向SVN返回用户的身份,如果接入网关上用户数已满,但新接入用户是VIP用户,则SVN网关会自动强制部分普通用户下线,为VIP用户释放资源,保证其正常接入。
VIP流量优先转发
通过Controller统一配置,在SSL VPN用户接入认证时,Controller会向SVN设备下发该用户的优先级。SVN根据优先级优先转发高优先用户的流量,同时将用户的优先级映射到2014-10-10
华为机密,未经许可不得扩散 第40页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
流量的外层报文优先级中,确保高优先级的用户流量能被边界网络的设备识别,并优先转发。
2.8
完善的维护管理系统
2.8.1 丰富的维护管理手段
SVN可以通过如下方式进行本地或远程维护:
支持通过Console口进行本地配置和维护。
支持通过Telnet方式实现本地或远程配置和维护。
支持SSH(Secure Shell,安全外壳)维护管理方式,实现在不能保证安全的网络上提供安全信息保障和强大认证功能,以避免受到IP地址欺诈、密码截取等等攻击。
2.8.2 基于SNMP的终端系统管理
SVN支持SNMP(V1/V2c/V3)协议和Client/Server体系结构,接受NMS(Network
Management System)网管站的管理,如接受华为公司网管平台eSight/U2000的管理。
2.8.3 WEB管理
SVN提供优秀的中英文WEBUI可视化图形管理界面和丰富的帮助提示信息。用户无需安装任何专用的客户端软件,在SVN上只需作简单的配置,就可以直接利用IE浏览登录到管理系统进行管理。管理员可通过WEBUI管理界面对SSL VPN系统及用户进行实时监管。
基于安全性和可操作性考虑,管理员分为两级:系统级管理员和虚拟网关管理员,系统管理员可以管理系统相关的配置,系统管理员能够为某一虚拟网关创建专门的虚拟网关管理员,虚拟网关管理员能够对他所属的虚拟网关进行配置管理,包括用户管理、资源管理、虚拟网关的安全策略管理等。虚拟网关管理员不能对设备和系统进行管理,设备和系统信息对2014-10-10
华为机密,未经许可不得扩散 第41页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
他是透明的。同时系统管理员和虚拟网关管理员实行分权管理机制,可以为不同的管理员分配不同的权限,进一步确保安全性。
2.9
领先的虚拟网关技术
SVN通过虚拟网关为用户提供SSL VPN服务。SVN作为一个物理实体,可以通过虚拟技术将其虚拟为多个逻辑上的SSL VPN网关,以提供给多个企业或者一个企业的多个部门使用。比如,某个大型企业有多个部门,每个部门有各自的员工,部门间能够访问的资源和服务也各不相同,每个部门有自己的访问控制规则。在这种情况下,就可以为每个部门分配一个虚拟网关,每个虚拟网关都是独立可管理的,可以配置各自的用户、资源和ACL规则,形成独立的访问体系。而每个部门的感觉就像各自在使用一个独立的网关设备一样高效、安全。
虚拟网关可以分为独占型和共享型两种。如果一个虚拟网关独占一个IP/域名,则被称为独占型的;也可以是多个虚拟网关共享一个IP/域名,则这几个虚拟网关都被称为共享型的。SVN V200R003系列最高端的SVN设备可提供多达512个虚拟网关。通过虚拟网关技术,不但使设备的利用率得到最大化,更在很大程度上降低了企业对设备的投资成本。
SVN单台设备上提供的虚拟网关是逻辑上独立的,为不同部门和不同企业提供独立安全的访问体系。同时,支持运营,可为运营商提供多种运营模式。灵活方便,安全可控,为企业和运营商带来更高的投资回报。
2014-10-10
华为机密,未经许可不得扩散 第42页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.10
典型组网
2.10.1 SVN用于企业网络
图5 SVN位于企业网内部
随着互联网的迅速普及,企业内网信息化建设的日益完善,远程办公和移动接入的需求越来越多:出差员工和SOHO办公人员需要随时随地获取内网数据和资源;公司业务发展扩大,分支机构、供应商、承包商以及各方面的合作伙伴越来越多,需要进行上下游资源共享和业务流的整合;分散的客户需要方便及时地获取所需的各种资源、服务和技术支持。如何在保障内网安全的前提下,确保处于各种复杂网络环境以及接入场景的合法用户,能够安全便捷地访问内网资源,成为企业发展获得竞争优势所亟须解决的问题。
基于内网安全的考虑,企业在进行内部信息化建设的初期一般都考虑了安全因素,并采取了一定的有效措施。
最普遍的做法是采用防火墙,对访问进行控制。但防火墙只是在网络的层次进行防护,2014-10-10
华为机密,未经许可不得扩散 第43页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
通过阻隔来自外部网络对内的访问,来保护公司的内部网。当用户需要使用某种服务时,防火墙必须打开相应的端口才能允许内网提供此项服务。但是,就像上面提到的,各种用户对内网资源的访问是非常复杂的,这就相当于在防火墙上打了很多洞,以便访问。从安全的角度考虑,每多开一个端口就会增加一份危险。防火墙不能够识别从端口进入的访问者是合法的还是非法的,黑客可以通过这些端口进入局域网或找到系统漏洞。
解决这些安全问题最好的办法就是进行VPN组网。
现在有一些防火墙集成了VPN模块,但是都为IPSec VPN,与SSL VPN的使用领域不同。IPSec VPN更适合连接两个局域网,而SSL VPN则更好地满足了分布式用户的远程安全访问需求。
SVN组网非常简单,一般部署在网络出入口防火墙之后,如果企业划分了DMZ区,可部署在DMZ区(如图2)。不影响原有的网络拓扑结构。SVN可以单臂挂接在出入口防火墙或者交换机上,也可以双臂挂接在防火墙和交换机之间。并且只需要防火墙打开443端口,就能够提供广泛的内网应用服务,最大程度地降低了安全风险。
图6 SVN位于企业内网DMZ区
2014-10-10
华为机密,未经许可不得扩散 第44页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
主要功能为:
对用户进行全面的身份认证、访问授权以及行为审计,充分保证用户身份的合法性,实现灵活细致的访问控制策略。
对远程用户与企业内网之间的传输数据进行强加密,保护敏感信息,杜绝了有效信息的泄露。
对广泛的远程访问业务提供支持,包括对web资源、文件系统、多种C/S应用以及与应用无关的全IP层业务访问。
无需管理员大费周章地为用户安装、配置和维护客户端软件,用户只需要标准浏览器,就能实现访问,有效提高移动办公人员(如出差员工)的工作效率。
提供虚拟网关功能,能够为企业的不同部门、不同的用户群组提供独立的访问体系。
提供详细的日志功能,便于对用户/管理员的操作行为进行实时的审计与管理。
2014-10-10
华为机密,未经许可不得扩散 第45页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.10.2 SVN用于电信BOSS系统
图7 SVN应用于BOSS中心
BOSS是业务运营支撑系统(Business Operations Support System)的简称,它涵盖了以往的计费、结算、营业、帐务和客户服务等系统的功能,对各种业务功能进行集中、统一的规划和整合,是一体化的、信息资源充分共享的支撑系统。
BOSS系统接入互联网后,在提高系统开放性的同时,也面临着来自互联网的攻击和风险,一方面网络中大量传输的数据有可能被盗用、暴露或者篡改,另一方面,BOSS系统本身与Internet连接,与其它远端系统的接口及拨号连接等网络接口也都是易受攻击的地方。而这些问题并不是买了几个防火墙就可以解决的,必须进一步提高系统的应用安全性。
一个有针对性的解决方案是,在BOSS系统的边缘部署SVN安全接入网关。远端用户对2014-10-10
华为机密,未经许可不得扩散 第46页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
BOSS各个系统的访问,都可以通过SVN进行。用户需要先登录网关,提供相应的用户名和密码,通过身份认证和访问授权后,才能够访问相应的系统资源,并且数据的传输都是经过加密处理的,防火墙只需要对SVN开放443端口即可。客户端人员无论是营业厅、代理点,还是维护人员在家、出差,以及大客户在自己办公机构,都可以进行安全的远程接入操作,不用再担心非授权人员对系统的非法访问,甚至对于病毒的渗入也有一定的防护作用。
主要作用及优点:
对用户身份的认证和访问授权,以及数据传输过程的强加密,在不影响系统运行的前提下,最大限度地保证了系统的安全性。
客户端不需要安装专门的软件,减少了部署和支持工作。使远程访问延伸到更广泛的领域,使用效率更高。
SSL VPN工作于应用层,不存在穿越NAT的问题,能够访问各种复杂网络,使用户随时随地实现安全、可控的远程访问。
与IPSec VPN相比,SSL VPN能够提供更为细致的访问控制能力,实现针对URL、IP、端口进行的访问控制。
提供高性能的业务处理能力,单台设备并发用户可达1000。
采用电信级高可靠性平台和专用实时操作系统,避免安全风险和漏洞,提供高可靠性。
2014-10-10
华为机密,未经许可不得扩散 第47页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.10.3 SVN用于政府及事业单位
图8 SVN位于政府信息网络出口
一直以来,政府及事业单位作为中国信息化进程中的先行者,已经建设并形成了较为完善的政府网络,“电子政务”的建设进一步深入。按照政府网络管理的要求,政府内网和外网必须物理隔离,以保障含有国家机密信息的“内网”的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展,政府与自身分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得尤为必要。
政府部门的相关局、处往往遍布于城市的各区县,也经常需要与所管辖的事业单位交互信息。同时,政府人员的出差移动办公需求也日益迫切。许多情况下,政府机构往往采取最传统的“远程拨号”方式实现远程机构的网络接入和访问,但速度和质量很差、安全性实际也缺乏保障,严重影响和制约了电子政务、网上政府等政府部门信息化的发展。
采用SVN构建VPN网络,能够很好地解决政府以及事业单位远程办公/移动办公的需求,达到以下效果:
实现了政府以及事业单位整体的互联,使分散的部门连到统一的VPN网络。构建出完整的基础网络平台,充分满足了政府行业整体网络实时互联互通的要求。
2014-10-10
华为机密,未经许可不得扩散 第48页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
实施方便,无需改变原有网络结构,使用原有的ADSL网络就可以实现网络通信,相比于之前的专线互联方式,大大节省了开支。
对接入用户的身份进行严格认证,对传输数据进行强加密,保障信息化系统日常工作的高安全性。
2.10.4 SVN用于桌面云解决方案
在桌面云解决方案中采用SVN设备,部署在云系统网络边界,提供高性能的Web请求转发、桌面云协议代理能力,提供多种负载均衡算法供用户选择,同时提供基于cookie和源地址的会话保持、根据业务检查服务健康状态、防截屏、防跳转能力,应用于高安全、大规模的桌面云环境。达到以下效果:
用户访问设备的负载均衡网关,由设备负载到后台的WI服务器,提高WI对外服务的性能和可靠性
只暴露负载均衡网关的地址和桌面云网关的地址,对外屏蔽了桌面云中心的内部结构
2014-10-10
华为机密,未经许可不得扩散 第49页, 共55页
2023年12月8日发(作者:查修平)
华为SVN5600&5800系列
安全接入网关技术白皮书
华为技术有限公司
SVN5600&5800系列安全接入网关技术白皮书
版权所有 © 华为技术有限公司 2014。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
网址:
客户服务邮箱:
客户服务电话:
深圳市龙岗区坂田华为总部办公楼 邮编:518129
support@
4008302118
SVN5600&5800系列安全接入网关技术白皮书
目 录
1 概述 ............................................................................................................................................ 5
1.1 企业网络的新挑战 .................................................................................................................................. 5
1.2 传统VPN解决方案 ................................................................................................................................ 5
1.3 SSL VPN解决方案 .................................................................................................................................. 7
1.4 华为一体化VPN解决方案 ..................................................................................................................... 8
2 SVN安全接入网关的特点 ........................................................................................................ 9
2.1 灵活的部署方式 ...................................................................................................................................... 9
2.2 丰富的远程安全接入功能 ...................................................................................................................... 11
2.2.1 Web代理 ...................................................................................................................................... 11
2.2.2 文件共享 .......................................................................................................................................12
2.2.3 端口转发 .......................................................................................................................................12
2.2.4 网络扩展 .......................................................................................................................................13
2.2.5 隧道定制开发 ...............................................................................................................................14
2.3 强大的安全云网关功能 ..........................................................................................................................14
2.3.1 桌面云网关 ...................................................................................................................................15
2.3.2 负载均衡网关 ...............................................................................................................................16
2.4 整体安全防护特性 .................................................................................................................................18
2.4.1 传输数据加密 ...............................................................................................................................18
2.4.2 用户身份认证 ...............................................................................................................................19
2.4.3 接入终端安全 ...............................................................................................................................22
2.4.4 专业的防火墙防护........................................................................................................................23
2.4.5 网关设备安全防护........................................................................................................................27
2.4.6 灵活的资源授权 ...........................................................................................................................27
2.4.7 细粒度的访问控制........................................................................................................................28
SVN5600&5800系列安全接入网关技术白皮书
2.4.8 防暴力破解机制 ...........................................................................................................................29
2.4.9 日志与审计 ...................................................................................................................................29
2.5 完备的IPv6技术 ...................................................................................................................................30
2.5.1 IPv6基本功能 ...............................................................................................................................31
2.5.2 IPv4/IPv6解决方案 ......................................................................................................................31
2.5.3 IPv6路由技术 ...............................................................................................................................32
2.6 高可靠性 ................................................................................................................................................32
2.6.1 可靠的硬件平台 ...........................................................................................................................32
2.6.2 健壮的软件体系 ...........................................................................................................................35
2.6.3 双机备份技术 ...............................................................................................................................35
2.6.4 链路备份技术 ...............................................................................................................................36
2.6.5 华为SVN可靠性技术优势 ..........................................................................................................36
2.7 优秀的组网适应能力 .............................................................................................................................37
2.7.1 一体化VPN网关 .........................................................................................................................37
2.7.2 高密度的端口支持........................................................................................................................37
2.7.3 丰富的路由协议和路由管理 ........................................................................................................38
2.7.4 多线路智能选路 ...........................................................................................................................38
2.7.5 敏捷园区配套 ...............................................................................................................................40
2.8 完善的维护管理系统 .............................................................................................................................41
2.8.1 丰富的维护管理手段 ....................................................................................................................41
2.8.2 基于SNMP的终端系统管理 .......................................................................................................41
2.8.3 WEB管理 ......................................................................................................................................41
2.9 领先的虚拟网关技术 .............................................................................................................................42
2.10 典型组网...............................................................................................................................................43
2.10.1 SVN用于企业网络 .....................................................................................................................43
2.10.2 SVN用于电信BOSS系统 .........................................................................................................46
2.10.3 SVN用于政府及事业单位 ..........................................................................................................48
2.10.4 SVN用于桌面云解决方案 ..........................................................................................................49
3 附录A ...................................................................................................................................... 50
3.1 SVN特性列表 ........................................................................................................................................50
4 附录B: 缩略语 ........................................................................................................................ 54
SVN V2000R003系列安全接入网关技术白皮书
内部公开
1
概述
随着现代企业信息网络的不断发展以及智能终端的广泛应用,远程安全访问/移动办公的需求也呈现出迅猛的增长态势。如何实现安全、可控、随时随地可建立的远程接入,成为越来越多的企业所面临的一个重大问题。
1.1
企业网络的新挑战
随着当今网络业务的迅速发展,企业必须扩展其内网OA、ERP、CRM、SCM等应用服务资源和数据资源的访问领域,以满足越来越多的远程接入需求,比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、移动办公接入、居家办公接入等等。接入的网络环境也越来越复杂,除了受管理的分支机构网络以及合作伙伴的网络接入之外,还需要考虑从分散的、未受有效管理的家庭网络以及公共WiFi、3G网络接入;使用的接入设备类型也越来越丰富,除了传统的固定接入终端(包括PC和便携机)外,智能终端设备接入企业网络的需求也逐步增强;另外一方面,云计算的兴起,使得企业的资源进一步集中化,基于云计算的桌面云解决方案能让企业用户在任何有网络的地方通过TC/SC访问使用云主机。
为了提供快速及时的商务能力,企业必须确保处于各种复杂的网络环境以及使用不同接入终端的合法用户,能够快速方便的安全地接入内网或是访问桌面云服务,同时还必须确保企业内网的安全性。
1.2
传统VPN解决方案
传统的VPN解决方案主要有PPTP/L2TP、MPLS VPN、IPSec等几种,它们具备各自的2014-10-10
华为机密,未经许可不得扩散 第5页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
特点,应用于不同的场景。
L2TP是一个国际标准隧道协议,它结合了PPTP和第二层L2F协议的优点。 L2TP VPN本身并没有提供加密功能,严格的说,不能称为是安全的VPN。另外,由于运行在UDP上而不是TCP上,通信的可靠性难以保证。
MPLS是一种在开放的通信网上,利用标签引导数据高速、高效传输的技术。其安全性相当于帧中继或者是ATM虚拟电路的安全性。由于数据传输仍然是明文,MPLS VPN不能解决传输的机密性和数据完整性问题。另外,MPLS VPN主要在骨干网上通过标记交换区分IP通道,达到逻辑上通道专用的目的,MPLS VPN更适合于企业互联和内网扩展。
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec协议有两种工作模式:隧道模式和传输模式。在隧道模式下,IPSec将整个原始IP数据包放入一个新的IP数据包中,这样每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。IP包的源地址和目的地址都被隐藏起来,使IP包能安全地在网上传送。其最大优点在于终端系统不必为了适应IP安全而作任何改动。隧道模式既可以用于两个主机之间的IP通信,又可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
在传输模式下,要保护的内容是IP包的载荷,在IP包头之后和传输层数据字段之前插入IPSec包头(AH或ESP或二者同时),原始的IP包头未作任何修改,只对包中的净荷(数据)部分进行加密。由于传输模式的IP包头暴露在外,因而容易遭到攻击。传输模式常用于两个终端节点间的连接,如客户机和服务器之间。
2014-10-10
华为机密,未经许可不得扩散 第6页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
IPSec定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法如DES、3DES;检查传输数据包的完整性,以确保数据没有被修改。IPSec可用来在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性。
IPSec VPN适用于site-to-site的远程连接方式,但它是基于网络层的,在穿越NAT和防火墙时会遇到困难。
1.3
SSL VPN解决方案
SSL VPN是以SSL/TLS协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。
SSL协议分为两层,上层是握手协议,底层是记录协议。SSL握手协议主要完成客户端与服务器之间的相互认证,协商加密算法与密钥。在握手协议中,认证可以是双向的,协商密钥的过程是可靠的,协商得到的密钥是安全的。SSL记录协议建立在可靠的传输协议之上,主要完成数据的加密和鉴别。通过对称密码算法确保了数据传输的机密性,通过HMAC算法确保数据传输过程的完整性。
由此可见,SSL协议从以下方面确保了数据通信的安全:
认证 - 在建立SSL连接之前,客户端和服务器之间需要进行认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。
机密性 - 采用加密算法对需要传输的数据进行加密。
完整性 - 采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。
除了web访问、TCP/UDP应用之外,SSL VPN还能够对IP通信进行保护。在保证通信安全性的基础上,SSL VPN实现了更加细致的访问控制能力,大大增强了对内网的安全保护。同时,SSL VPN通信基于标准TCP/IP,因而不受NAT限制,能够穿越防火墙,使用户2014-10-10
华为机密,未经许可不得扩散 第7页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
在任何地方都能够通过SSL VPN网关代理访问内网资源,使得远程安全接入更加灵活简单。另外,使用SSL VPN访问B/S应用时不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网Web资源的访问,省去了客户端的繁琐的维护和支持工作,不仅极大地解放了IT管理员的时间和精力,更提高了远程接入人员(如出差员工)的工作效率,节省了企业的培训和IT服务费用;同时,也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
SSL VPN以其独特的技术优势,给出了理想的point-to-site安全接入解决方案,受到越来越多IT管理者和企业的关注。
1.4
华为一体化VPN解决方案
SSL VPN并不能完全取代IPSec VPN,这两种技术目前应用在不同的领域,是可以进行互补的。SSL VPN适用于point-to-site的接入场景,是应用在点对网络的接入模式;而IPSec
VPN是在两个网络节点之间安全互联,保护的是网对网之间的通信。所以华为推出的SVN安全接入网关实现了这两种主流的VPN技术,客户可根据实际的业务需求选择更适用的VPN技术来满足安全接入需求。
SVN V200R003系列安全接入网关是华为公司面向运营商、企业、政府、行业推出的优秀的SSL/IPSec一体化VPN网关设备。部署SVN安全接入网关,无需改变网络结构,可以直接单臂挂接到出入口防火墙或者路由器、交换机上,简单快捷。移动办公时,用户终端无需安装任何客户端软件,只需标准的Web浏览器即可对企业内网资源进行安全访问。在两个固定网络间进行通信时,能够通过SVN在两个网络间建立IPSec安全隧道,实现总部与分部网络之间的安全稳定互连。SVN V200R003系列安全接入网关基于华为专业的高可靠硬2014-10-10
华为机密,未经许可不得扩散 第8页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
件平台和专用的实时操作系统,具备业界领先的系统性能、安全性和可靠性,为企业员工、分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。
目前该系列产品分两种型号共七款产品:
安全接入型号: SVN5630、SVN5660、SVN5830、SVN5850、SVN5860、SVN5880。应用于远程办公安全接入场景,提供丰富的远程接入功能和高性能的SSL加解密能力。
桌面云型号:SVN5880-C。应用于桌面云解决方案,提供高性能的负载均衡和云协议代理处理能力。
2
SVN安全接入网关的特点
2.1
灵活的部署方式
SVN V200R003系列安全接入网关组网方式灵活,部署简单,一般位于网络出入口防火墙之后,既可以单臂挂接在出入口防火墙或者交换机上,也可以双臂挂接在防火墙和交换机之间,不改变原有的网络拓扑结构。
2014-10-10
华为机密,未经许可不得扩散 第9页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
图1 SVN单臂组网方式
内部公开
图2 SVN双臂组网方式
图3 双机热备组网方式
SVN V200R003安全接入网关支持IPSEC VPN功能,可以与Eudemon、USG系列的安全网关或者两台SVN之间建立Site-to-Site的IPSEC VPN安全链接,移动用户通过SSL VPN方式远程访问内部资源。
2014-10-10
华为机密,未经许可不得扩散 第10页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
图4 SSL/IPSec VPN组网
2.2
丰富的远程安全接入功能
远程用户可通过SVN产品提供的web代理技术在多种终端类型上使用标准浏览器随时随地的安全访问内网的web服务器。除了提供web代理技术外,SVN产品还提供其他各种全面的业务资源访问能力,包括对内网C/S服务器、多媒体资源服务器、基于IPv4的资源服务器的访问。
随着各种应用的丰富,通用的SSLVPN产品有时无法满足用户的定制化需求。SVN产品可提供一套客户端编程组件,通过将客户端组件和用户的应用软件进行集成(或基于该编程组件开发新的用户应用),一方面可以保证用户应用软件的业务灵活性,另一方面也可以提供SSL安全能力。
SVN V200R003系列产品中应用于远程安全接入场景的型号:SVN5630、SVN5660、SVN5830、SVN5850、SVN5860、SVN5880。
2.2.1 Web代理
远端用户通过浏览器对内网页面发起请求,SVN接收这一请求转发给内网服务器,并将服务器的响应以网页形式回传给用户。网页信息在公网传输的过程,经过SSL加密隧道,2014-10-10
华为机密,未经许可不得扩散 第11页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
确保了将内网WEB资源安全、真实地反映给远程用户。
针对内网的web访问,SVN产品可提供单点登录功能。用户登录SVN产品后访问内网的web资源,SVN产品可以使用配置在该用户上的单点登录账号或者配置在该web资源上的单点登录账号或者该用户的SVN网关登录账号进行自动登录,如果登录成功则用户无需在访问web资源时再次输入账号信息。
Web代理功能可以在多种终端系统上使用,包括Android、iOS(iPhone/iPad)、Linux、Symbian、Blackberry、Windows系列(2000/xp/2003/2008/vista/win7)、MacOS。
2.2.2 文件共享
通过将内网文件系统Web化,使用户直接通过浏览器就能在内网文件系统上创建和浏览目录,进行下载、上传、改名、删除等文件操作,就像对本机文件系统进行操作一样方便安全。SVN安全接入网关通过支持SMB/CIFS协议和NFS协议,实现了用户对Windows文件系统和Linux文件系统的安全远程访问。
2.2.3 端口转发
采用SSL协议对TCP应用进行保护,并且对TCP应用进行访问控制。通过在客户端安装控件拦截待转发的TCP服务,并且将数据流经SSL协议加密传送给SVN安全接入网关,由SVN安全接入网关解密并解析后传送给相应的应用服务器,从而确保了应用的安全。通过控制应用服务端口,完成对应用的访问控制。SVN安全接入网关能够充分支持多种端口转发应用服务,包括单端口单服务器应用,如MS RDP、Telnet、SSH、VNC等;单端口多服务器应用,如:Notes;多端口应用,如Email,以及动态端口应用:FTP、Oracle。
2014-10-10
华为机密,未经许可不得扩散 第12页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.2.4 网络扩展
有两种方式实现企业内网的逻辑扩展,一种是基于SSL的3层VPN(以下简称SSL
L3VPN),另外一种是基于IPSec的3层VPN(以下简称IPSec L3VPN)。
2.2.4.1 SSL L3 VPN
SSL L3 VPN功能也是基于SSL协议进行的功能扩展,这一功能实现了对所有IP应用的支持,用户远程访问内网资源就像访问局域网一样方便,这一功能与IPSec VPN相当。实现SSL
L3 VPN功能可以通过在客户端安装虚拟网卡实现,虚拟网卡截获原始IP报文,经过SSL协议封装,然后转发至SVN安全接入网关。SVN安全接入网关的SSL L3 VPN功能又可以分成全通道方式、分离通道方式和手动方式,全通道方式是指在用户启动全网访问功能时,虚拟网卡截获所有的IP报文,并转发给SVN安全接入网关,这样,用户只与SVN安全接入网关建立网络连接,只能对内网进行访问。在分离通道模式下,用户不仅能够经过SSL VPN网关安全远程访问内网,同时也可以访问本地子网。采用手动模式时,用户不仅能访问企业内网的特定资源、本地子网,还能访问公网的各种资源。
2.2.4.2 IPSec L3 VPN
SVN产品除了能够提供基于SSL协议的L3VPN客户端接入功能外,还能够提供标准的L2TP over IPSec 客户端接入方式。
SVN产品支持标准的L2TP over IPSec客户端接入,用户可以使用各种标准的IPSec客户端软件接入SVN产品。该功能对于Symbian、iOS、Android、BlackBerry等智能终端的远程接入特别有意义,用户可以使用智能终端上内置的VPN软件接入SVN网关,实现与内网的互通。
2014-10-10
华为机密,未经许可不得扩散 第13页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.2.4.3 SSL L3VPN和IPSec L3 VPN的比较
IPSec和SSL L3VPN都能够为网络层的应用和资源提供远程接入能力,但两种实现方式针对具体的需求和场景具有各自的优势。
SSL L3VPN 可以在任何具有Internet访问权限的地方提供远程接入能力,可以通过web浏览器自动下载安装所需的客户端,因此不需要预先在接入终端上安装客户端软件。SSL L3VPN的客户端可以自动下载和升级,因此减少桌面软件的维护成本。另外SSL L3VPN可以针对用户提供定制化的web portal页面。
IPSec L3VPN是一种成熟的、被广泛使用的VPN实现方式,对于已经习惯使用IPSec
VPN的客户,使用IPSec L3VPN可以保护已有的网络部署以及现有的业务流程。IPSec
L3VPN需要预先在接入终端上安装客户端软件,并且相比较而言IPSec L3VPN客户端的配置相对复杂。
2.2.5 隧道定制开发
隧道定制功能是SVN产品为多媒体业务开发的一种功能,因此也称为多媒体隧道功能。SVN产品开发的隧道定制功能,通过提供客户端软件组件,由多媒体业务客户端将该SVN软件组件集成后,可以为多媒体客户端软件提供SSL安全加密功能,并且由于SSL隧道在穿越NAT、防火墙方面天然具有的优势,隧道定制功能也可以解决多媒体业务在实际部署时经常遇到的私网穿越问题。
2.3
强大的安全云网关功能
经过多年的市场培育,目前云计算的商用正在快速发展,而在已经商用的云计算项目中桌面云应用所占的比例较大。为了解决桌面云应用中TC或者SC访问云端虚拟机的数据传输2014-10-10
华为机密,未经许可不得扩散 第14页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
安全,SVN网关可提供WI服务访问负载均衡功能和桌面云协议代理功能。
SVN V200R003系列产品中应用于桌面云场景的型号:SVN5880-C。
2.3.1 桌面云网关
部署SVN前,桌面云客户端(TC或者SC)与云端虚拟机之间通过桌面云协议直连,一方面数据传输的安全性得不到保障,另外也暴露了云中心的内部结构,进一步加大了云中心的安全风险。
要有效而安全地使用桌面云应用,需要在企业云中心的网络边界设立一扇“门”(云网关) ,对外只暴露该“门”而无法看到“门”后的情况。即所有访问云中心的服务只能通过企业对外提供的云网关地址,且必须是通过安全的隧道,这就为企业IT部门提供一个单一的控制点,来控制用户可以如何安全有效地使用桌面云服务,大大简化了用户的部署配置,同时也对外部隐蔽了内部结构。
部署SVN作为云网关后,桌面云协议层的数据在传输链路上分为两段,依次为TC/SC和SVN之间,以及SVN和云端虚拟机之间。当桌面云协议层的数据在TC/SC和SVN之间传递时,桌面云协议的数据可承载在SSL隧道之上,经过SSL协议进行传输加密;当桌面云协议层的数据在SVN和云端虚拟机之间传输时,仍承载在TCP连接上。SVN云网关支持如下云协议:
•
•
•
支持ICACGP协议
支持HDP协议
支持VNC协议
2014-10-10
华为机密,未经许可不得扩散 第15页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.3.2 负载均衡网关
SVN产品提供SSL负载均衡功能,可以在云端的Web服务器(实服务器)群前部署SVN网关,通过配置,可以将web服务器群虚拟化成一个web服务器向用户提供服务。用户通过HTTPS协议访问虚拟Web服务器时,HTTPS协议涉及的SSL加解密操作可以在SVN网关上完成,然后SVN网关按照负载均衡算法在web服务器群中选择一个web服务器响应用户的HTTPS访问。
负载均衡网关通过将SSL加解密操作从原本Web上执行转移至SVN网关上执行,降低了对Web服务器上运算能力的要求,使得Web服务器可以更加关注Web业务,能够提供更高的用户访问能力。同时对外只暴漏负载均衡网关的地址信息,对外屏蔽了内部的网络结构,也进一步加强云中心的安全性。
负载均衡网关上的负载均衡算法可选举出一台符合标准的WEB服务器来处理用户的请求。如果这个算法原先选定的最合适的服务器达到或者超过了其最大用户连接数,那么另外一个连接数比较合适的服务器将被代替。SVN可以设置按照以下这些算法来实现服务器负载均衡:
最小连接数
最快响应
等比例论询
权值论询
另外我们还可以在虚拟的web服务器上配置“会话保持” : 一旦一个服务器被选择了,后续的从该用户发出的请求都被转发到同一服务器上。SVN支持了实际应用中最为有效的“会话保持”算法:
2014-10-10
华为机密,未经许可不得扩散 第16页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
源IP
Cookie
2.3.2.1 实服务器的接入保护
SVN系列设备支持在客户端接入web服务器之前,进行认证保护,可以有效的防止客户端对web服务器的攻击,并且能够记录相关的用户登录信息,锁定相关的用户。
SVN支持在用户接入实服务器之前进行的认证和校验包含:
AD外部认证
USBKEY+CA数字证书认证
云客户端主机策略检查
实时防截屏
实时防跳转
其中主机检查包含了丰富的客户端校验策略,例如:检查系统、杀毒软件、进程、端口等等,并且在某些应用场景中,用户在办公时需要访问公司的核心区域,但是又无法保证资料的安全性,这时,通过上述的配置可以防范公司资料的泄密。
SVN接入认证还提供单点登陆功能,开启了接入认证后,SVN在认证用户成功后,会接入到选中的实服务器,并且实现单点登陆,不需要用户再次输入用户名和密码。
2.3.2.2 实服务器的健康检查
SVN还负责检查服务器群的服务的健康状况,一旦发现问题,系统仍然继续依照负载均衡算法把服务转向到其他正常的服务上去,不影响用户使用。SVN的健康探测支持实服务器的进程级检测。SVN主要支持的健康探测包含如下方式:
2014-10-10
华为机密,未经许可不得扩散 第17页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
TCP
HTTP
TCP-TOUT
HTTP-TOUT
HTTP-RSP CODE
HTTP-CONTENT
2.4
整体安全防护特性
2.4.1 传输数据加密
当远程用户通过SVN访问企业内网服务器时,数据的传输路径可以划分为两段。一是从客户端到SVN,需要经过公网,另一部分是从SVN到内网服务器,这一段属于内网数据传输。由于内网网络出入口一般都部署有防火墙,因而内网的数据传输被视为是安全的,采用标准的TCP/IP协议。而客户端到SVN之间的数据传输则面临着诸多的安全威胁,因此就需要一种强有力的措施来保护机密数据不被窃取或是篡改。
SVN V200R003系列安全接入网关支持多种SSL加密算法,对传输数据进行强加密,确保了数据传输的真实性、完整性。支持常用的商密算法和国密算法:
加密算法:3DES/DES, RC4, AES
非对称密码算法:RSA
Hash算法:MD5, SHA-1
国密算法:SM2/SM3/SM4
2014-10-10
华为机密,未经许可不得扩散 第18页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.4.2 用户身份认证
SVN V200R003系列安全接入网关支持多种身份认证方式,能够提供本地认证和外部认证。企业或机构可以根据自身需求、认证体系的建设情况灵活选择认证方式,保护企业的原始投资。
2.4.2.1 本地认证
SVN V200R003系列安全接入网关支持本地认证方式,在设备上建立本机用户数据库保存用户账号和密码信息,客户无需另外建立认证系统。本地认证方式下,可灵活制定各种密码策略和密码有效期。
2.4.2.2 外部认证
针对已建设起相对完善的认证体系的企业,SVN还能够支持多种外部认证系统,比如:Radius认证系统、LDAP认证、USBKEY+CA数字证书认证、AD认证系统、SecurID认证系统。
使用Radius、LDAP、AD认证系统,用户登录时通过SSL加密隧道将用户账号和密码信息提交给SVN安全接入网关,SVN按照标准协议格式向认证服务器发送认证请求,认证服务器将认证结果返回给SVN。此时SVN上不保存用户的账号密码信息,最终认证过程在外部认证服务器上完成。
使用SecurID认证系统,每个SVN的用户将获得一个Token卡和一个PIN码,Token卡每分钟动态产生一个Token码。用户登录时将PIN码和Token码组合作为密码输入。用户输入的密码和账号信息通过SSL加密隧道发送到SVN后,SVN按照标准协议格式将这些信息传递到SecurID认证服务器并从认证服务器获得认证结果。此时SVN上不保存用户的账号密码2014-10-10
华为机密,未经许可不得扩散 第19页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
信息,最终认证过程在外部SecurID认证服务器上完成。
2.4.2.3 数字证书认证
SVN可以基于CA数字证书(X.509v3,下同)对用户进行认证,支持证书匿名和证书挑战两种证书认证方式。证书匿名方式下,用户登录时在SSL协议交互过程中将用户证书提交给SVN,SVN通过检查该证书的有效性来对用户进行认证;证书挑战方式下,可将其他几种认证系统作为辅助认证方式。用户登录时提供证书和挑战密码,SVN首先检查用户证书的有效性,然后从证书信息中提取出代表用户身份的信息作为用户账号,将用户账号和挑战密码发送到辅助认证系统对用户进行认证。
用户证书可以被导入到Windows系统中,由PC机操作系统管理和存储,也可以保存到USBKey中。保存到USBKey中的证书一般情况下只能够查看和使用,不能够修改和导出。USBKey便于携带,增强了证书的物理安全性,另外USBKey可以设置密码,对证书又增加了一层保护。证书保存到PC机或者保存到USBKey,对于用户使用证书进行认证一样方便。
SVN经过两个步骤确定用户证书的有效性,首先检查颁发该证书的CA是否是被信任的(在使用证书认证前需要在SVN上配置可被信任的证书颁发者),然后判断该证书是否过期失效或者被其颁发者撤销。证书中包含有效期信息和该证书的颁发者信息,SVN根据设备上的日期时间判断用户证书是否处于有效期内。SVN从用户证书中获得其颁发者信息,然后判断该颁发者是否可被信任。在有效期内的证书也有可能被其颁发者撤销,SVN可以使用HTTP或者LDAP协议从颁发者获取CRL,判断证书是否被撤销,也可以使用OCSP协议实时从颁发者查询证书是否被撤销。
为了降低中小企业部署数字证书认证系统的成本,SVN产品可提供简单的CA功能,包括用户证书颁发、吊销,网关证书颁发等功能。利用SVN产品提供的CA功能,用户可以部2014-10-10
华为机密,未经许可不得扩散 第20页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
署一个简化的数字证书认证系统,包括数字证书合法性验证、证书状态检查等安全性相关的功能都具备。
2.4.2.4 短信认证
短信认证方式可以作为其他认证方式的一个补充,当用户通过本地认证或者外部认证接入SVN网关后,SVN网关可以向该用户注册的手机号码发送一个动态的短信验证码,用户可以输入所获取到的短信验证码进行二次身份确认。通过短信认证方式,可以避免用户账号信息被盗后被人假冒登录到SVN。短信认证方式是对其他用户认证方式的一种增强。
2.4.2.5 终端标识码验证
为了避免SSL VPN用户用户名/密码信息或者证书信息丢失带来的安全隐患,SVN提供硬件特征码检查功能,通过进一步确认远程接入终端的身份提高安全性。
启用接入终端的标识码验证功能后,即使第三方恶意用户获得了SVN用户的密码或者证书信息,他仍然不能够使用自己的终端登录SVN。这一技术特别适用于移动办公用户,移动办公人员将笔记本电脑或者智能终端注册到SVN系统后,只能通过这台指定的笔记本或者智能终端登录SVN,其它设备即便拥有密码、证书等,仍然无法登陆。
启用接入终端的标识码验证功能情况下,用户首次登录SVN认证通过后,需要在线提交终端的信息,进行终端标识码注册。用户提交终端资产信息后需要等待管理员审批,只有那些被SSL VPN管理员批准的终端才能够接入到安全内网。用户后续登录时,在认证请求消息中附带终端标识码信息,SVN网关设备上通过终端标识码信息判断该终端是否被审批允许接入。
2014-10-10
华为机密,未经许可不得扩散 第21页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.4.2.6 多重认证保护
单一的认证方式易被窃取,为了进一步提高身份认证的安全性,SVN支持混合认证,可针对用户名密码、证书认证、外部认证、硬件特征码、短信认证等进行多因素捆绑认证,这几种认证方式必须同时满足才能够接入SSL VPN系统。如果需要几种接入方式做备份接入选择,那么还可以选择对于以上几种认证方式进行组合,只要通过一种认证方式即可接入到系统中。
多种认证方式、完善的认证体系,使得企业在可以根据相应的安全级别,对客户端的认证方式进行选择组合,最大限度地保证了接入用户的合法性和企业内网资源的安全。
2.4.3 接入终端安全
2.4.3.1 终端安全检查
SVN可以对接入终端的安全属性进行检查,根据检查结果可以限制用户可访问的资源,或者限制用户登录,避免不安全终端接入到安全内网后带来的隐患。
对于固定终端,SVN可以针对杀毒软件、防火墙软件、操作系统、监听端口、进程、文件、注册表制定检查规则,在规则中要求接入终端安装指定的软件、操作系统,具有指定的进程、文件等特征,或者在规则中要求接入终端不能安装指定的软件、操作系统,不能具有指定的进程、文件等特征;对于移动智能终端,SVN可以针对终端系统的锁屏密码、终端系统是否被root破解、终端系统上安装的应用列表制定检查规则,在规则中要求接入终端具有高安全强度的系统锁屏密码、要求终端不能够被root破解、要求终端安装指定的应用或者禁止终端安装指定的应用等。
SVN在检查规则基础上构建终端安全检查策略,每个检查策略可以包含一个或者多个检2014-10-10
华为机密,未经许可不得扩散 第22页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
查规则,并灵活组合对检查规则的要求,例如可以要求满足所有规则,或者要求只满足其中一条规则,或者要求必须满足一部分规则并至少满足另外一部分规则中的一条规则。通过对检查规则的组合可以制定出灵活的检查策略,以应对接入终端的各种情况。
启用终端安全检查情况下,用户经过SVN认证后,如果是在该接入终端上首次登录则登录程序自动从SVN设备上下载终端安全检查程序。终端安全检查程序自动从设备侧获得该用户的终端安全检查策略,并根据检查策略依次进行检查,然后将各项规则的检查结果返回给SVN设备。SVN网关侧对检查结果进行分析,根据配置的终端安全策略决定是否允许用户接入。
2.4.3.2 终端缓存清理
SVN可以在用户访问结束时,采用必要的手段清除不可信终端上的访问痕迹(例如生成的临时文件、Cookie等),以防止泄密,杜绝安全隐患。
SVN管理员可以根据需要选择是否启用终端缓存清理功能。SVN提供多达7种清除访问痕迹的选项,管理员可以根据所需要的安全等级灵活选择需要清理的选项。SVN另外还提供管理员自定义的选项,保证在用户退出访问后清除访问终端中特定的文件。
终端缓存清理和终端安全检查使用相同的客户端程序,可以自动下载到用户接入终端,并从SVN网关侧获取配置,在用户退出登录时根据配置执行缓存清理的功能。
2.4.4 专业的防火墙防护
SVN安全网关自身集成了防火墙功能,拥有专业级防火墙所具备的强大能力:网络区域隔离、基于安全策略的访问控制、NAT、应用感知、攻击防护、带宽管理等功能。
2014-10-10
华为机密,未经许可不得扩散 第23页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.4.4.1 安全区域隔离
防火墙的区域隔离功能可以把普通区域、重点区域等各种逻辑网络进行隔离,避免了不安全因素的扩散。在防火墙技术体系中,灵活的网络隔离特性是非常重要的一个特性,只有合理的划分了网络区域,安全策略才可以更有效的实施。
SVN内置了LOCAL/LAN/WAN/DMZ 4个安全区域级别,同时支持自定义安全区域,用户可以根据需要灵活配置。
SVN网络管理员可以将具有相同安全级别的网络设备划入到同一个安全区域。由于同一个安全区域内的网络设备是“同样安全”的,则在同一区域内部发生的数据流动是不存在安全风险的,不需要实施安全策略。只有当不同安全区域之间发生数据流动时,才会需定制相应的安全策略,触发跨域间流动的流量的安全检查。
2.4.4.2 安全策略控制
防火墙技术中另一个重要功能就是访问控制,主要通过访问控制列表(ACL)实施流量的访问控制。SVN对传统基于ACL的访问控制进行了增强,提供了功能更为强大的基于安全策略的访问控制功能。
安全策略规则的定制元素除了支持传统防火墙基于报文的出入接口、域间流动方向、访问来源和目的地址、端口及协议号等外,还提供基于地理位置、应用或应用分类等更为直观的元素,使得访问控制策略的定制和实施更为简单灵活。
安全策略的管理支持时间段,可以采用两种方式定义时间段:绝对时间范围、周期时间范围。通过时间段,SVN可以非常容易的定制基于时间的策略。
通过安全策略,企业管理员可以方便地控制企业对外开放的业务,并限制可访问的范围。比如如果 SVN 只作为SSL VPN业务接入网关的话,那么就可以定制安全策略,对外只开2014-10-10
华为机密,未经许可不得扩散 第24页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
放443端口,这样就能有效保护内部网络免受来自Internet的各种攻击。
2.4.4.3 攻击防护
防范多种DDoS攻击
SVN网关可根据数据报文的特征,以及Dos攻击的不同手段,可以主动识别出数十种常见的攻击种类,SVN可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。目前,可以防范多种DDoS攻击,主要包括:SYN Flood攻击、ICMP Flood攻击、SIP
Flood攻击、UDP Flood攻击、tcp-illegal-session攻击、HTTP Flood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位不合法、Ping of Death攻击、Tear Drop、DNS攻击等。
防范扫描窥探攻击
攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。SVN网关通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。
防范其它攻击
SVN网关除了可以有效防范多种DDoS攻击和扫描窥探外,还可以有效防范 IP
Spoofing攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击、利用tracert工具窥探网络结构等其他攻击,确保系统访问权的安全。
2.4.4.4 带宽管理
带宽管理功能支持保证带宽和限制带宽的功能。保证带宽,是对指定流量的最小带宽资源进行保证,避免关键业务受到其他流量的冲击。限制带宽,是对指定流量的最大允许通2014-10-10
华为机密,未经许可不得扩散 第25页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
过带宽进行限制,避免一些流量占用太多的带宽,影响其它重要业务的运行。
2.4.4.5 位置感知
SVN提供的Location/位置感知特性,可以根据流量的源、目的IP地址来分析流量的位置(如:国家、地区、城市等)。包括流量的源位置、目的位置。
SVN内置了网络地址与地理位置的数据信息,并通过可自定义的位置及位置集合,为管理员提供基于地理位置的安全策略、带宽策略、路由策略。基于位置进行策略的配置,方便用户根据地域来对用户、流量进行管理。如SVN可以通过配置基于位置的安全策略限制某些区域用户对公司内网资源的访问,允许中国区的用户远程接入,而不允许位于美国的用户接入。
2.4.4.6 应用感知
SA/应用感知模块负责对未知网络流量进行识别,SA模块识别报文形态、根据报文提取的特征字、报文负荷长度、报文内容/长度变化规律、IP地址/端口等内容,并可结合统计和报文间关联关系等,从而对网络流量进行精确应用分类。
通过华为公司云安全能力中心的持续研究和积累, SA特征库已经覆盖了超过6000种的应用种类,SVN可通过SA识别引擎以及特征库在线升级技术,确保对最新应用跟踪识别的能力。
基于应用感知功能,可以提供如下基于应用维度的流量控制和管理的能力:
基于应用的访问控制
安全策略支持基于应用的安全控制,在原来访问控制策略的基础上,增加应用的选择维度,如允许ERP、WEB等应用流量通过,但是阻止流媒体应用通过。基于应用的安全控制,2014-10-10
华为机密,未经许可不得扩散 第26页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
可以对流量进行更加细粒度的分类,实现精确控制。
基于应用的流量管控
带宽管理策略支持基于应用的流量管控,是在原来带宽策略的基础上,增加应用的选择维度,如限制视频流量的带宽,保证其它业务应用的带宽。基于应用的流量管控,可以对流量进行更加细粒度的分类,实现精确控制。
2.4.5 网关设备安全防护
SVN网关设备采用华为公司具有自主知识产权的专有VRP操作系统,该操作系统经过安全加固,不易被攻破,相比一般通用操作系统更加安全。VRP操作系统在华为公司交换机、路由器产品中经过全球用户长时间广泛使用,安全程度值得信赖。
SVN网关设备对自身提供灵活的安全保活策略,数据报文在进行SSL协议处理之前,先经过了可配置的TCP/IP层过滤检查。可配置的TCP/IP层报文检测包括畸形报文检测、异常报文处理、IP层基于流量统计的攻击检测、TCP基于流量统计的攻击检测等。
同时DDoS防护功能不仅能防范对企业内网服务器的攻击,同时也能为SVN设备本身提供强大的DDoS防护能力。
2.4.6 灵活的资源授权
对SSL VPN用户进行访问授权是SSL VPN管理员的一项重要工作,一方面要将内网资源授权给不同的用户进行访问,另一方面又要降低配置管理的复杂程度。从用户角度来说,不同的用户需要访问的内网资源不同,从企业角度来说,不同资源的访问用户需要严格地区分和控制。
SVN通过引入角色、用户/用户组、资源的概念很好地解决了访问授权的问题。
2014-10-10
华为机密,未经许可不得扩散 第27页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
SVN提供了基于群组用户和基于单个用户的管理方法,方便企业对用户的管理。企业可以根据自身需要,将远程安全访问的用户划分成不同的群组,比如销售组、财务组、研发组、合作伙伴、客户等。用户组仅是对用户的集合,并不和可访问权限直接联系。
SVN管理员将可访问的内网服务器配置为各类资源,例如Web代理资源、文件共享资源等等。
SVN引入角色概念,不同的角色表示了对不同内网资源的访问权限。用户登录后,SVN确认用户所具有的角色,然后根据角色授权用户可访问的资源。
角色将用户/用户组、资源进行关联,管理员首先创建角色,然后将可访问资源关联到不同的角色,最后为用户/用户组分配不同的角色,最终实现对用户的访问授权。用户/用户组、资源、角色可以灵活关联,例如一个用户可以属于多个用户组、一个用户组可以包含多个用户,一个用户/用户组可以被分配多个角色、一个角色可以分配给多个用户/用户组,一个角色可以关联多条资源、一条资源可以被关联到多个角色。
SVN通过对接入终端的安全检查,可以根据安全检查的结果对用户进行动态授权。角色中可以引入终端安全检查策略,相当于对用户/用户组分配到角色增加了条件,只有满足了一定的终端安全检查策略的用户/用户组才能分配到该角色。通过动态授权方案,同一个用户使用不同的接入终端登录SVN后,可获得访问授权也可能不同,这样可以减少不可信终端接入后对被保护资源的安全威胁。
2.4.7 细粒度的访问控制
SVN支持网关源IP访问控制策略、用户访问控制策略、用户组访问控制策略。
网关源IP访问控制策略,可以依据用户源IP地址拒绝或者允许用户接入到虚拟网关。通过对源IP地址的访问控制,限制允许接入的IP地址范围,可以减少安全威胁。
2014-10-10
华为机密,未经许可不得扩散 第28页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
用户访问控制策略,可以对特定的用户制定单独的访问控制策略,从源IP地址、目的IP地址和端口、目的URL几个方面对用户的访问进行控制。
用户组访问控制策略,可以对用户组制定访问控制策略,从源IP地址、目的IP地址和端口、目的URL几个方面对属于该组的用户的访问进行控制。
通过配置访问控制策略,可以在用户访问已授权资源时增加额外的访问控制。SVN能够实现基于URL、IP、端口的细粒度访问控制。对内部资源的控制粒度越细,对内网的安全保障越有效。基于URL、IP、端口的细粒度访问控制增加了管理员配置的灵活性。
2.4.8 防暴力破解机制
2.4.8.1 图形码验证功能
SVN提供图形码校验功能,用户在输入用户名和密码以后还需要将系统随即生成图片中的信息输入才能实现正常登录,可以防止非法使用者使用自动程序来进行暴力破解。
2.4.8.2 软键盘功能
为了提高用户密码的安全性,防止被键盘木马程序截获用户通过键盘输入的密码信息,SVN提供了软键盘功能,用户可以使用界面上提供的软键盘来输入密码信息,这样木马程序就无法采用截获用户键盘输入的方法来窃取用户的密码了。
2.4.9 日志与审计
SVN提供全面的日志信息,分为系统日志、用户日志和虚拟网关管理员日志三类。用户日志主要记录用户的上下线时间、所有操作行为,只有管理员能够查看或导出用户日志。虚拟网关管理员日志记录管理员的上下线以及配置操作行为,系统日志记录设备的运行状态和配置的变更情况,系统管理员有权限查看系统日志。
2014-10-10
华为机密,未经许可不得扩散 第29页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
SVN设备本身具有一定的存储能力,能够保存有限的日志信息。对于设备本地保存的日志,提供对访问时间、采用的认证方式、登陆成功与否、启用SVN的功能信息、各功能的流量信息的统计和分类查看、实时导出功能。
由于SVN设备本身的存储能力有限,SVN支持标准的Syslog日志格式,可以和外部Syslog日志服务器对接,将SVN记录的日志信息实时传输至Syslog日志服务器。Syslog日志服务器可提供海量日志存储能力。
SVN设备可以和华为eSight产品配套,SVN记录的日志可以实时传输到eSight服务器保存。eSight软件可以对保存的日志信息提供查询和分析功能。
2.5
完备的IPv6技术
IPv6(Internet Protocol Version 6,即网际网路协定版本6)也被称作下一代互联网协议,它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6是为了解决IPv4所存在的一些问题和不足而提出的,同时它还在许多方面提出了改进,例如路由方面、自动配置方面。IPv6 Ready由IPv6 Forum定义,是IPv6领域国际公认的最具权威的认证。2008年1月,美国国家标准和技术研究院(NIST )全面发布IPv6 Ready产品需求,要求美国政府机构采购的网络产品必须通过IPv6 Ready认证。IPv6 Ready认证由一系列严格的测试所组成,以确保经过认证的网络设备能够完善地支持IPv6网络互联互通。随着IPv6规范的更新,IPv6 Ready测试标准也在逐步提高,形成了不同等级。华为网络安全产品直接通过了当前最新的IPv6 Ready Phase-2 Enhanced(IPv6 Ready第二阶段的金牌增强认证)测试,表明产品对IPv6的支持达到当前业内最高等级要求。
2014-10-10
华为机密,未经许可不得扩散 第30页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.5.1 IPv6基本功能
邻居发现
邻居发现ND(Neighbor Discovery)是确定邻居节点之间关系的一组消息和进程。邻居发现协议替代了IPv4的ARP(Address Resolution Protocol)、ICMP路由器发现(Router
Discovery)和ICMP重定向(Redirect)消息,并提供了其他功能。
路径MTU
IPv6中间设备不支持对IPv6报文进行分片,IPv6使用路径MTU(PMTU)确定从源端到目的端路径上合适的MTU值,使报文在中间设备不需要分片,减轻中间设备的工作压力。
2.5.2 IPv4/IPv6解决方案
SVN全面支持IPv4(Internet Protocol version 4)和IPv6(IP version 6)双协议栈工作方式,提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。
IPv6 over IPv4隧道
IPv6 over IPv4隧道是IPv4网络向IPv6网络过渡的一种技术。在IPv4 Internet向IPv6
Internet过渡的初期,IPv4网络已被大量部署,而IPv6网络只是散布在世界各地的一些孤岛。采用专用的线路将这些孤岛互连起来,显然是不经济的。通常的做法是采用隧道技术。利用隧道技术可在IPv4网络上创建隧道,从而实现IPv6孤岛的互连。
IPv4 over IPv6隧道
在IPv4 Internet向IPv6 Internet过渡的后期,IPv6网络已被大量部署,此时可能出现IPv4孤岛。利用隧道技术可在IPv6网络上创建隧道,从而实现IPv4孤岛的互连。这类似于在IP网络上利用隧道技术部署VPN。在IPv6网络上用于连接IPv4孤岛的隧道,称为IPv4 over
IPv6隧道。
2014-10-10
华为机密,未经许可不得扩散 第31页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.5.3 IPv6路由技术
IPv6支持多种协议:
支持静态单播路由。
支持RIPng动态路由协议。
支持OSPFv3动态路由协议。
支持BGP4+动态路由协议。
2.6
高可靠性
华为公司凭借在电信领域多年的技术积累,深刻的认识到可靠性设计对于一个网络设备的重要性。SVN安全接入网关从硬件到软件,从每个部件到整体构架都进行了深入的分析和考虑,在设计的每个环节都融入了可靠性的设计理念,保证从根本上为用户提供了安全可靠的网络环境,使得SVN成为了一款真正安全的电信级高可靠的SSL VPN设备。
2.6.1 可靠的硬件平台
SVN产品采用了NG_Security硬件平台。NG_Security硬件平台是华为公司全新一代高性能系列安全产品的硬件平台。NG_Security硬件平台采用“多核MIPS” +“硬件协处理加速”+“高速SwitchFabric”的架构,通过高速总线实现多核CPU与业务处理模块,接口扩展模块直接的通信。NG_Security硬件平台同时进行了冗余设计,提高硬件可靠性。增强了性能和功能的扩展,进一步实现了存储的扩展,满足安全接入设备对本地日志存储的需要。
多核MIPS CPU
华为NG_Security硬件平台采用64位高性能多核MIPS平台,MIPS架构基于一种固定长度的定期编码指令集,其精简的指令集、指令与高速数据缓存分层的设计、并发的多级流水2014-10-10
华为机密,未经许可不得扩散 第32页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
线、以及专门为网络报文吞吐所设计的高速接口及DMA能力,结合华为公司电信级的嵌入式实时操作系统,保证了SVN平台处理的高性能。
同时,在NG_Security硬件平台的高端机型,还可多扩展一块CPU处理板,即相当于实现1+1的CPU扩展能力,每颗CPU均为多核MIPS处理器,这样的弹性扩展能力可实现硬件处理能力的翻倍。
硬件协处理加速
华为NG_Security硬件平台集成了IPSec、SSL加解密运算,压缩解压缩,模式匹配,以及硬盘RAID的硬件协处理器。使得本来应该由CPU软件来计算处理的特定、重复的耗费CPU性能的业务,如加解密、压缩解压缩、模式匹配等,由协处理器来完成,这样CPU就不需要参与计算,对CPU的消耗大大降低。
高速总线
华为NG_Security 硬件平台选用容量达480Gbps的交换芯片来作为多核CPU,业务处理模块,扩展接口模块之间的互联总线,高容量的交换总线为模块之间的提供的足够的带宽,保证了各模块之间的业务交换。
存储模块
华为NG_Securiy 支持300GB大容量,高速率的SAS硬盘,为用户提供实时记录日志和报表。
双硬盘支持RAID1,提供用户数据的可靠备份。
硬盘热插拔设计为用户扩容升级提供保证。
扩展性
硬件采用弹性可扩展架构,针对不同应用场景需求,可通过业务处理板卡扩容实现安全2014-10-10
华为机密,未经许可不得扩散 第33页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
业务性能翻倍提升。
新一代防火墙提供多个高密度扩展接口卡槽位,支持千兆光电及万兆口等丰富接口卡类型,管理员可以根据业务的发展灵活扩展设备的硬件转发能力与设备性能。
通过虚拟系统功能,可以将一台物理设备划分为多台逻辑上完全隔离,相互独立的虚拟设备,实现系统级的扩展,满足设备租赁和云计算场景。
硬盘支持选配,用户可以根据实际需求选择合适的配置;
以上的扩展性,客户在初期可以根据需求选择配置,根据需求的增加直接采购模块扩展。有效的保护了客户的投资。
高可靠性
电源1+1冗余备份,硬盘支持RAID1。当其中一个部件发生故障是,相同的功能部件会分担故障部件的任务,为用户提供超长时间无故障的硬件保障。
故障检测:系统会实时监测整机,安全业务处理板和接口板上关键器件的工作状态,发现异常后可报警,包括:风扇故障告警、电源故障告警、温度过高报警等等。
硬件bypass:支持内置电Bypass插卡,当设备出现故障时,可以直接bypass,避免用户业务中断;
绿色节能和环保
动态功耗管理。优选高效低功耗架构,采用低功耗器件、高效率电源,从设计源头降低设备功耗。软硬件结合的动态能耗管理。系统软件根据设备忙闲状态、功能开启情况、端口连接状态、设备温度对设备实现动态能耗控制,如动态关闭空闲端口和功能单元、对风扇实现独立控制调速等。
智能散热技术。全部选用PWM调速风扇,通过精密分档调速、分区散热技术,比传统2014-10-10
华为机密,未经许可不得扩散 第34页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
散热设计,风扇功耗降低70%以上。即降低了整机功耗,也改善了设备噪音问题。
绿色环保制造工艺。生产设计严格遵守RoHS、WEEE等环保法规,不含严禁使用的有毒物质。产品设计遵循可拆解、可回收性 设计全面采用可回收材料,产品可回收率90%以上。包装设计遵守欧盟包装指令(94/62/EC),材料选用优选环保、可回收的材料,减少使用材料的种类、数量和重量。
2.6.2 健壮的软件体系
SVN采用华为公司自行开发的VRP操作系统作为其运行的核心组件,使得该设备天生就避免了各种通用操作系统的安全风险和漏洞、病毒攻击等等各种软件不可靠因素。
VRP操作系统是一个数据通信设备专用的平台,其软件构架设计就是为数据通信产品量身定制,综合考虑了数据通信技术的发展。VRP操作系统是一个不断进步和发展的系统,同时VRP在数据通信领域是一个领先的软件系统,已经支持了华为公司Quidway全系列的路由器、交换机设备,因此SVN不但具有可靠、安全的运行保证,同时针对安全技术的发展方面具有更良好的扩展空间,这就决定了SVN在新技术发展方面可以领先一步。
2.6.3 双机备份技术
SVN双机备份是采用两台独立的、型号一致的设备共同工作,提供更可靠的工作环境。SVN双机备份可以工作在两种模式下:第一种是,两台SVN设备只有一台设备在工作,当发生意外故障的时候另外一台设备接替工作。第二种是,两台SVN设备都在工作,且可以通过配置达到负载均衡分担的工作状态,但当一台发生意外故障的时候,另外一台自动接替所有的工作。
2014-10-10
华为机密,未经许可不得扩散 第35页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.6.4 链路备份技术
链路备份是为了防止因为物理链路故障而导致服务的终止,实现链路备份的具体技术可能有多样。SVN提供两条链路同时提供服务,当链路都正常的时候可以选择两条链路一起工作并起到负载均衡的作用,当某条链路坏的时候,流量全部自动切换到另外一条链路上。SVN能在切换时候动态调整各种路由协议。由此SVN基于路由提供的链路备份技术可以非常好的使用在各种场合,通过多条链路的互相备份提供更可靠的服务。
2.6.5 华为SVN可靠性技术优势
SVN的双机热备具备以下优势:
SVN扩展了VRRP协议——VGMP协议来控制和保证SVN的VRRP一致性,使得华为SVN在局域网的应用中具备得天独厚的优势,因为在局域网中采用VRRP协议的可靠性技术被证明是稳定可靠的,而且能做到对局域网内用户透明,这样华为SVN的双机热备方案在局域网中,及至企业网的接入点上都有很大优势;
SVN热备技术是基于华为HRP协议的热备技术,这是一种华为自己开发的快速高效的双机热备技术,且可以根据现网的流量不同对应配置HRP多条优先级不同的备份通道;
SVN的双机热备技术支持抢占功能,这一点在互为备份流量分担的组网中特别重要,因为一旦设备故障所有流量都切换到一台设备上时,需要一个切实的机制能保证故障设备恢复时流量能平滑的切换回去,而支持抢占功能的双机热备技术能保证这种切换的平滑,从而保证了互为备份组网的可靠运行;
SVN支持OSPF+VRRP混合组网的方式,在发生故障时候,动态调整OSPF的参数,使其业务流量快速切换到另一台设备,保证故障恢复时候流量平滑的切换,保证2014-10-10
华为机密,未经许可不得扩散 第36页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
备份组网的可靠运行;
SVN组网方式丰富多样,每种组网都能提供全冗余的设备和链路,从而能够保证整个可靠性组网的稳定运行。
2.7
优秀的组网适应能力
SVN 优秀的组网适应能力体现在以下几个方面:
2.7.1 一体化VPN网关
SVN安全接入网关融合了IPSec和SSL两种先进的VPN技术,既可以通过Web浏览器实现无客户端的便捷访问,又能够实现端到端的网间互连。传输过程的强加密、身份认证方式的多样化、设备软硬件的安全、细粒度的内网资源授权访问控制,构成了层次化的点到端、端到端安全访问保障。
除了提供IPSec/SSL VPN功能外,SVN产品还可提供GRE VPN、L2TP VPN、MPLS VPN和多媒体隧道网关功能,一机多能,适应用户各种网络环境。
2.7.2 高密度的端口支持
SVN5630 1U标准机箱形态,机箱上带有Console接口,一个带外管理接口(GE电口)。支持4个固定GE电口,2 个固定Combo口,1个USB接口。支持的扩展插槽有: 2个WSIC,或者1XSIC。当前支持的插卡有: WSIC-8GE电接口卡,WSIC-8GE光接口卡,WSIC-8GE电口+2*10GE,WSIC-2*10GE,WSIC-4GE电口Bypass卡。满配支持24个GE电口,加4个SFP光接口,加4个10G光接口。可扩展支持双交流电源,支持热插拔。
SVN5660/SVN5830/SVN5850 1U标准机箱形态,机箱上带有Console接口,一个带外管理接口(GE电口)。支持8个固定GE电口,4个固定的GE光口,2个USB接口。支持的扩2014-10-10
华为机密,未经许可不得扩散 第37页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
展插槽有:2个SIC插槽,加1个WSIC。或者2个WSIC(两个SIC插槽合并为一个WSIC),或者1XSIC(两个WSIC合并为一个XSIC)。当前支持的插卡有: WSIC-8GE电接口卡,WSIC-8GE光接口卡,WSIC-8GE电口+2*10GE,WSIC-2*10GE,WSIC-4GE电口Bypass卡。满配支持24个GE电口,加4个SFP光接口,加4个10G光接口。可扩展支持双交流电源,支持热插拔。
SVN5860/SVN5880/SVN5880-C为3U机型设备,机箱上带有1个Console接口或者mini usb(Console和mini USB都出面板,但同时只能使用一个)。一个带外管理接口(GE电口)。支持8个固定GE电口,4个固定的GE光口,4个10 GE光口,2个USB接口。支持的扩展插槽有:1个WSIC插槽,加4个XSIC。或者5个WSIC。当前支持的接口卡有:WSIC-8GE电接口卡,WSIC-8GE光接口卡,WSIC-8GE电口+2*10GE,WSIC-2*10GE,WSIC-4GE电口Bypass卡。满配可以达到:56个GE电,加8个SFP光,加14个10G光口。标配交流双电源,支持热插拔。
2.7.3 丰富的路由协议和路由管理
SVN在提供丰富安全特性的同时,集成了部分路由能力。SVN不仅支持静态路由,而且还支持OSPF(Open Shortest Path First)、BGP、ISIS动态路由协议,同时还支持路由策略和路由迭代,从而使得SVN的组网应用更加灵活。
SVN通过支持策略路由功能,使得策略路由与安全特性协同工作,从而在多个去往ISP的出接口上实现负载分担。当一条链路故障时,流量将切换到其他处于正常的链路中。
2.7.4 多线路智能选路
SVN支持多线路的智能选路特性,该特性实现了多线路的相互备份和负载均衡,从而能2014-10-10
华为机密,未经许可不得扩散 第38页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
提高VPN网络的稳定性和用户访问质量。
由于VPN的稳定性是依赖于线路本身的稳定性,若采用单条线路,一方面,如果该线路一旦中断,将造成整个VPN系统陷入瘫痪;另一方面,单一线路无法解决跨运营商时延问题,访问质量无法保障。
通过多线路接入和负载均衡技术,将多线路接入实现带宽迭加和互为备份,能达到以下效果:
多线路互备,保证了VPN网络的持续可靠运行
若任何一条线路出现故障,SVN可以将数据无缝切换到其他正常线路上,不会影响SVN用户的接入和访问。并且若故障线路恢复正常,连接隧道将自动愈合,无需人工干预,保证了用户的重要应用持续、不间断地稳定运行。
多ISP线路智能优先,提升访问质量
SVN支持网关到网关和端点到网关的多ISP接入的组网。
对于IPSec网关到网关的组网场景,可采用不同的ISP接入建立IPSec隧道,SVN支持将多条隧道进行绑定,然后根据负载均衡策略进行流量分担。这相当把多条线路的带宽进行了叠加,增加了VPN网络的带宽。同时SVN的多线路智能选路特性还能根据线路的质量状态优选最佳的线路接入,从而避免跨运营商的时延问题。
对于SSL VPN业务,SSL VPN网关对外提供多个ISP的地址,安装在用户PC上的SVN客户端会根据所在接入网络探测不同ISP地址的访问速度,优选最佳网关地址接入。
分布部署优选访问,提升访问效率
对于地域分布分散大型的企业,可能会在分布的地域分别部署有SVN设备,在这种场景下,如果让企业移动办公用户能就近接入,就能大大提升访问质量。SVN的智能优先功能2014-10-10
华为机密,未经许可不得扩散 第39页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
就能满足这种场景,只要在移动办公用户的SVN客户端上导入分布部署的SVN网关信息,SVN客户端就会持续探测这些网关的访问质量,优先选择访问速度最快的SVN网关接入。
2.7.5 敏捷园区配套
敏捷园区的业务随行解决方案将传统基于IP网段的策略转移到基于安全组(用户组/资源组)上来,实现不管用户身处何地,使用哪个IP地址,都可以保证该用户获得相同的网络权限和网络体验,而且策略的执行点会跟随用户移动,从而达到体验随身。
SVN设备支持与敏捷园区方案配套。SVN主动向所在园区网络控制器(Controller)注册自己,作为用户接入的认证点和策略执行点。在新用户接入时,SVN向Controller获取该用户的身份信息,并接受来自Controller关于该用户的控制策略,实现业务随行体验保障场景。
SVN与敏捷园区配套组网能实现如下功能:
SVN用户限流
通过Controller统一配置,在SSL VPN用户接入认证时,Controller会向SVN设备下发该用户的带宽阈值。这样可以限制每个用户的内网总带宽,以避免用户运行消耗大带宽的应用导致园区网络拥塞。
VIP优先接入
SVN新用户接入认证时,Controller会向SVN返回用户的身份,如果接入网关上用户数已满,但新接入用户是VIP用户,则SVN网关会自动强制部分普通用户下线,为VIP用户释放资源,保证其正常接入。
VIP流量优先转发
通过Controller统一配置,在SSL VPN用户接入认证时,Controller会向SVN设备下发该用户的优先级。SVN根据优先级优先转发高优先用户的流量,同时将用户的优先级映射到2014-10-10
华为机密,未经许可不得扩散 第40页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
流量的外层报文优先级中,确保高优先级的用户流量能被边界网络的设备识别,并优先转发。
2.8
完善的维护管理系统
2.8.1 丰富的维护管理手段
SVN可以通过如下方式进行本地或远程维护:
支持通过Console口进行本地配置和维护。
支持通过Telnet方式实现本地或远程配置和维护。
支持SSH(Secure Shell,安全外壳)维护管理方式,实现在不能保证安全的网络上提供安全信息保障和强大认证功能,以避免受到IP地址欺诈、密码截取等等攻击。
2.8.2 基于SNMP的终端系统管理
SVN支持SNMP(V1/V2c/V3)协议和Client/Server体系结构,接受NMS(Network
Management System)网管站的管理,如接受华为公司网管平台eSight/U2000的管理。
2.8.3 WEB管理
SVN提供优秀的中英文WEBUI可视化图形管理界面和丰富的帮助提示信息。用户无需安装任何专用的客户端软件,在SVN上只需作简单的配置,就可以直接利用IE浏览登录到管理系统进行管理。管理员可通过WEBUI管理界面对SSL VPN系统及用户进行实时监管。
基于安全性和可操作性考虑,管理员分为两级:系统级管理员和虚拟网关管理员,系统管理员可以管理系统相关的配置,系统管理员能够为某一虚拟网关创建专门的虚拟网关管理员,虚拟网关管理员能够对他所属的虚拟网关进行配置管理,包括用户管理、资源管理、虚拟网关的安全策略管理等。虚拟网关管理员不能对设备和系统进行管理,设备和系统信息对2014-10-10
华为机密,未经许可不得扩散 第41页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
他是透明的。同时系统管理员和虚拟网关管理员实行分权管理机制,可以为不同的管理员分配不同的权限,进一步确保安全性。
2.9
领先的虚拟网关技术
SVN通过虚拟网关为用户提供SSL VPN服务。SVN作为一个物理实体,可以通过虚拟技术将其虚拟为多个逻辑上的SSL VPN网关,以提供给多个企业或者一个企业的多个部门使用。比如,某个大型企业有多个部门,每个部门有各自的员工,部门间能够访问的资源和服务也各不相同,每个部门有自己的访问控制规则。在这种情况下,就可以为每个部门分配一个虚拟网关,每个虚拟网关都是独立可管理的,可以配置各自的用户、资源和ACL规则,形成独立的访问体系。而每个部门的感觉就像各自在使用一个独立的网关设备一样高效、安全。
虚拟网关可以分为独占型和共享型两种。如果一个虚拟网关独占一个IP/域名,则被称为独占型的;也可以是多个虚拟网关共享一个IP/域名,则这几个虚拟网关都被称为共享型的。SVN V200R003系列最高端的SVN设备可提供多达512个虚拟网关。通过虚拟网关技术,不但使设备的利用率得到最大化,更在很大程度上降低了企业对设备的投资成本。
SVN单台设备上提供的虚拟网关是逻辑上独立的,为不同部门和不同企业提供独立安全的访问体系。同时,支持运营,可为运营商提供多种运营模式。灵活方便,安全可控,为企业和运营商带来更高的投资回报。
2014-10-10
华为机密,未经许可不得扩散 第42页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.10
典型组网
2.10.1 SVN用于企业网络
图5 SVN位于企业网内部
随着互联网的迅速普及,企业内网信息化建设的日益完善,远程办公和移动接入的需求越来越多:出差员工和SOHO办公人员需要随时随地获取内网数据和资源;公司业务发展扩大,分支机构、供应商、承包商以及各方面的合作伙伴越来越多,需要进行上下游资源共享和业务流的整合;分散的客户需要方便及时地获取所需的各种资源、服务和技术支持。如何在保障内网安全的前提下,确保处于各种复杂网络环境以及接入场景的合法用户,能够安全便捷地访问内网资源,成为企业发展获得竞争优势所亟须解决的问题。
基于内网安全的考虑,企业在进行内部信息化建设的初期一般都考虑了安全因素,并采取了一定的有效措施。
最普遍的做法是采用防火墙,对访问进行控制。但防火墙只是在网络的层次进行防护,2014-10-10
华为机密,未经许可不得扩散 第43页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
通过阻隔来自外部网络对内的访问,来保护公司的内部网。当用户需要使用某种服务时,防火墙必须打开相应的端口才能允许内网提供此项服务。但是,就像上面提到的,各种用户对内网资源的访问是非常复杂的,这就相当于在防火墙上打了很多洞,以便访问。从安全的角度考虑,每多开一个端口就会增加一份危险。防火墙不能够识别从端口进入的访问者是合法的还是非法的,黑客可以通过这些端口进入局域网或找到系统漏洞。
解决这些安全问题最好的办法就是进行VPN组网。
现在有一些防火墙集成了VPN模块,但是都为IPSec VPN,与SSL VPN的使用领域不同。IPSec VPN更适合连接两个局域网,而SSL VPN则更好地满足了分布式用户的远程安全访问需求。
SVN组网非常简单,一般部署在网络出入口防火墙之后,如果企业划分了DMZ区,可部署在DMZ区(如图2)。不影响原有的网络拓扑结构。SVN可以单臂挂接在出入口防火墙或者交换机上,也可以双臂挂接在防火墙和交换机之间。并且只需要防火墙打开443端口,就能够提供广泛的内网应用服务,最大程度地降低了安全风险。
图6 SVN位于企业内网DMZ区
2014-10-10
华为机密,未经许可不得扩散 第44页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
主要功能为:
对用户进行全面的身份认证、访问授权以及行为审计,充分保证用户身份的合法性,实现灵活细致的访问控制策略。
对远程用户与企业内网之间的传输数据进行强加密,保护敏感信息,杜绝了有效信息的泄露。
对广泛的远程访问业务提供支持,包括对web资源、文件系统、多种C/S应用以及与应用无关的全IP层业务访问。
无需管理员大费周章地为用户安装、配置和维护客户端软件,用户只需要标准浏览器,就能实现访问,有效提高移动办公人员(如出差员工)的工作效率。
提供虚拟网关功能,能够为企业的不同部门、不同的用户群组提供独立的访问体系。
提供详细的日志功能,便于对用户/管理员的操作行为进行实时的审计与管理。
2014-10-10
华为机密,未经许可不得扩散 第45页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.10.2 SVN用于电信BOSS系统
图7 SVN应用于BOSS中心
BOSS是业务运营支撑系统(Business Operations Support System)的简称,它涵盖了以往的计费、结算、营业、帐务和客户服务等系统的功能,对各种业务功能进行集中、统一的规划和整合,是一体化的、信息资源充分共享的支撑系统。
BOSS系统接入互联网后,在提高系统开放性的同时,也面临着来自互联网的攻击和风险,一方面网络中大量传输的数据有可能被盗用、暴露或者篡改,另一方面,BOSS系统本身与Internet连接,与其它远端系统的接口及拨号连接等网络接口也都是易受攻击的地方。而这些问题并不是买了几个防火墙就可以解决的,必须进一步提高系统的应用安全性。
一个有针对性的解决方案是,在BOSS系统的边缘部署SVN安全接入网关。远端用户对2014-10-10
华为机密,未经许可不得扩散 第46页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
BOSS各个系统的访问,都可以通过SVN进行。用户需要先登录网关,提供相应的用户名和密码,通过身份认证和访问授权后,才能够访问相应的系统资源,并且数据的传输都是经过加密处理的,防火墙只需要对SVN开放443端口即可。客户端人员无论是营业厅、代理点,还是维护人员在家、出差,以及大客户在自己办公机构,都可以进行安全的远程接入操作,不用再担心非授权人员对系统的非法访问,甚至对于病毒的渗入也有一定的防护作用。
主要作用及优点:
对用户身份的认证和访问授权,以及数据传输过程的强加密,在不影响系统运行的前提下,最大限度地保证了系统的安全性。
客户端不需要安装专门的软件,减少了部署和支持工作。使远程访问延伸到更广泛的领域,使用效率更高。
SSL VPN工作于应用层,不存在穿越NAT的问题,能够访问各种复杂网络,使用户随时随地实现安全、可控的远程访问。
与IPSec VPN相比,SSL VPN能够提供更为细致的访问控制能力,实现针对URL、IP、端口进行的访问控制。
提供高性能的业务处理能力,单台设备并发用户可达1000。
采用电信级高可靠性平台和专用实时操作系统,避免安全风险和漏洞,提供高可靠性。
2014-10-10
华为机密,未经许可不得扩散 第47页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
2.10.3 SVN用于政府及事业单位
图8 SVN位于政府信息网络出口
一直以来,政府及事业单位作为中国信息化进程中的先行者,已经建设并形成了较为完善的政府网络,“电子政务”的建设进一步深入。按照政府网络管理的要求,政府内网和外网必须物理隔离,以保障含有国家机密信息的“内网”的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展,政府与自身分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得尤为必要。
政府部门的相关局、处往往遍布于城市的各区县,也经常需要与所管辖的事业单位交互信息。同时,政府人员的出差移动办公需求也日益迫切。许多情况下,政府机构往往采取最传统的“远程拨号”方式实现远程机构的网络接入和访问,但速度和质量很差、安全性实际也缺乏保障,严重影响和制约了电子政务、网上政府等政府部门信息化的发展。
采用SVN构建VPN网络,能够很好地解决政府以及事业单位远程办公/移动办公的需求,达到以下效果:
实现了政府以及事业单位整体的互联,使分散的部门连到统一的VPN网络。构建出完整的基础网络平台,充分满足了政府行业整体网络实时互联互通的要求。
2014-10-10
华为机密,未经许可不得扩散 第48页, 共55页
SVN V2000R003系列安全接入网关技术白皮书
内部公开
实施方便,无需改变原有网络结构,使用原有的ADSL网络就可以实现网络通信,相比于之前的专线互联方式,大大节省了开支。
对接入用户的身份进行严格认证,对传输数据进行强加密,保障信息化系统日常工作的高安全性。
2.10.4 SVN用于桌面云解决方案
在桌面云解决方案中采用SVN设备,部署在云系统网络边界,提供高性能的Web请求转发、桌面云协议代理能力,提供多种负载均衡算法供用户选择,同时提供基于cookie和源地址的会话保持、根据业务检查服务健康状态、防截屏、防跳转能力,应用于高安全、大规模的桌面云环境。达到以下效果:
用户访问设备的负载均衡网关,由设备负载到后台的WI服务器,提高WI对外服务的性能和可靠性
只暴露负载均衡网关的地址和桌面云网关的地址,对外屏蔽了桌面云中心的内部结构
2014-10-10
华为机密,未经许可不得扩散 第49页, 共55页