资源联系起来,既非常直观,而且在访问控制策略发生变化的时候,也无需为每一种资源或者每一个用户修改权限,而只需要修改某一种服务/角色/用户的属性。
在SecSSL 3600中,一个用户可以属于多个角色、访问多种服务,而一个服务可以被多个不同的角色访问。另外,管理员也可以设定角色的有效时间。
提供网络连接(NC)组网模式,超越传统的IPSecVPN
NC(Network Connection,网络连接)是一种让远程用户能够在IP层面访问企业内部资源的远程访问方式。在这种方式下可以支持任意基于IP的应用,与其配置方式、部署实施便利性远远优胜于传统的IPSecVPN系统,为移动客户端通过Internet远程访问企业内部网络资源和Site to Site(网对网)互连的应用提供了充分的解决方案。
单机模式组网示例
单机模式为最简便的部署方式,适用于不需要区分多ISP的组网。一个典型的单机模式组网示例,如下图所示。
单机模式组网示例图
多ISP组网示例
多ISP组网模式适用于需要区分多ISP的组网,以便解决跨运营商访问SecSSL 3600可能出现的低速和不稳定的问题。
在企业网络中,如果跨运营商直接对SecSSL 3600访问,可能会出现网络质量不稳定的情况。尽管SecSSL 3600的客户端智能可以在低速和不稳定的链路上保持连接畅通,但是有些应用因为对网络环境的要求比较苛刻,可能会导致不能使用。
为解决该问题,在SecSSL 3600上可以配置多个WAN接口,每一个接口连接一个ISP,再结合SecSSL 3600客户端的智能选路功能,从而保障了从不同ISP接入的客户,都能够得到良好的网络应用体验。
一个典型的多出口模式组网示例,如下图所示。
多ISP模式组网示例图
HA模式组网示例
HA模式适用于需要提供高可用性的组网,可最大程度地保证系统可靠性,确保远程用户可随时远程接入内部网络。
当按HA模式部署两台SecSSL 3600设备时,系统支持以AA模式和AP模式运行。如果两台设备以AA模式运行,则还可获得负载均衡后的性能提升。
一个典型的HA模式组网示例,如下图所示。
HA模式组网示例图
Site-Site模式组网示例
Site-Site模式用于提供对两个分支机构之间的VPN连接和资源共享,使得用户只需要SecSSL 3600就可以构建完整的VPN网络。
SecSSL 3600 Site-Site模式支持网状或者星型组网模式,而且无需考虑地址冲突和地址转换的问题。
Site-Site模式组网示例图
(3)新一代网神SecOS安全操作系统
网神多核并行操作系统SecOS是在屡获大奖的第一代安全操作系统SecOS的基础上,经过2年时间研发成功的。其在多核并行处理和统一架构方面取得了很大的突破,并获得了国家版权局颁发的国内第一个多核并行OS著作权证书。
网神多核并行操作系统SecOS是网神全线多核系列产品使用的统一安全平台,在此基础上实现了防火墙、VPN、IPSEC VPN、SSLVPN、防毒墙、IPS、IDS、安全隔离与信息交换系统等一系列产品的全部功能。
网神多核并行操作系统是一个通用软件体系结构,针对多核处理器的特点和网络安全应用的需求精心设计,取得五大突破:
●处理性能大幅提升;
●流畅处理多任务流,保障核心业务;
●灵活扩展,及时应对新的网络威胁;
●系统运行更加可靠;
●独立的管理通道,完全掌控整个网络。
网神多核并行SecOS体系架构如下图所示:
整个系统分为5个主要部分:
●硬件抽象层 — 通过硬件抽象层屏蔽硬件平台的大部分细节,功能模块通过统一的SecOS
API完成数据报文处理,避免因平台变化而重构代码,同时又充分利用不同硬件的专有硬件增强特性。
●安全协议栈 — 安全协议栈通过硬件抽象层收发数据报文,最大程度利用硬件固有的最大
处理性能,保证系统整体实时处理性能的最优;安全协议栈还实现了完整的2-7层网络行为检测,并提供系统调度、内存管理、设备管理在内的API接口供功能模块扩展缺省功能。
●调度系统 — 提供静态、动态任务调度方法,支持系统以任务划分、数据划分等模 式实
现并行数据处理。
●支撑系统 — 提供内存管理、设备管理、时钟管理等操作系统基本功能。
Linux为我们提供了一个非常优秀的防火墙工具,它就是netfilter/iptables(http: //www.netfilter.org/)。它完全是免费的,并且可以在一台低配置的老机器上很好地运行。netfilter/iptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化的控制。
事实上,每一个主要的Linux版本中都有不同的防火墙软件套件。Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序。第一代是Linux 内核1.1版本所使用的Alan Cox从BSD Unix中移植过来的ipfw。
在2.0版的内核中,Jos Vos和其它一些程序员对ipfw进行了扩展,并且添加了ipfwadm用户工具。在2.2版内核中, Russell和Michael Neuling做了一些非常重要的改进,也就是在该内核中,Russell添加了帮助用户控制过虑规则的ipchains工具。后来,Russell又完成了其名为netfilter(http://www.netfilter.org)的内核框架。这些防火墙软件套件一般都比其前任有所改进,表现越来越出众。
Netfilter/iptables已经包含在了2.4以后的内核当中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。 netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。netfilter/iptables是从ipchains和 ipwadfm(IP防火墙管理)演化而来的,为了简单起见,下文中,我就将其统一称为iptables。
iptables的其它一些好的用法是为Unix、Linux和BSD个人工作站创建一个防火墙,当然也可以为一个子网创建防火墙以保护其它的系统平台。 iptables只读取数据包的头,所以不会给信息流增加负担,此外它也无需进行验证。如果要想获得更好的安全性,可以将其和一个代理服务器(比如 squid)相结合。
对于Internet上的系统,不管是什么情况,首先我们要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。和社会上其它任何事物一样,Internet经常会受到一些无聊的或者别有用心的人的干扰,防火墙的目的就是将这类人挡在你的网络之外,同时使你仍然可以完成自己的工作。
那么构筑怎样的Linux防火墙系统才算是足够安全呢?这是一个很难回答的问题,因为不同的应用环境对安全的要求不一样。用一句比较恰当而且简单的话来回答这个问题:用户了解自己的Linux系统和设置,并且可以很好地保护好自己的数据和机密文件的安全,这对于该计算机用户来说就可以称之为他的计算机有足够的安全性。
那么到底什么是防火墙呢?防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。
一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可
以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传输流的类型和数量,以及有多少次试图闯入防火墙的企图等信息。
两种类型防火墙的平衡
在概念上,有两种类型的防火墙:网络级防火墙和应用级防火墙。这两种类型防火墙的差异并不如想像中那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等有关信息。
许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。
应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一面进来,从另一面出去。
在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”,而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。
Linux防火墙程序设计
今年二月上旬,Yahoo、eBay、CNN.com、Amazon、Buy.com
和E*Trade等著名商业网站连续遭到黑客攻击,造成了数以十亿美元的损失,向世人再一次敲响了网络并不安全的警钟。防火墙作为一种网络或系统之间强制实行访问控制的机制,
是确保网络安全的重要手段。目前社会上各种商业产品的防火墙非常多,功能也大都很强。我们暂且不管这些防火墙产品的价格如何,由于它们在开发设计过程中注重的是产品的通用性、兼容性,考虑更多的是市场和利润,因此对于某些特殊的应用就不一定很合适。如果用户能根据自己的实际需要,将防火墙设计的一般理论和方法与自己系统的具体实践相结合,设计一些小而精、精而强的防火墙程序,则往往可以发挥出比花大价钱买来的通用型防火墙更好的作用。
由于篇幅所限,本文不可能对防火墙的一般理论和结构进行深入的讨论,因此仅以Linux系统为例,具体说明防火墙程序的设计方法。
一、 从程序设计角度看Linux网络
编写防火墙程序并不一定要求对Linux网络内核有多么深刻的理解,只是需要明白在网络内核中有这样一种机制,那就是内核可以自动调用用户编写的防火墙程序,并根据这个防火墙程序返回的结果来决定对网络收发数据报的处理策略。这一点可以从图1中看出。
二、 怎样将自己编写的防火墙程序登记到内核中
我们已经知道内核在网络层中自动调用用户编写的防火墙程序。但有一个前提条件就是用户必须正确地将自己编写的防火墙程序登记到内核中。关于Linux内核驱动程序的编写方法,可参见本刊第四期中《Linux设备驱动程序设计实例》一文。
内核中提供了防火墙的登记和卸载函数,分别是register_firewall和unregister_firewall,参见firewall.c。
1、 register_firewall 函数原型如下:
int register_firewall(int pf,struct firewall_ops *fw) 返回值:0代表成功,小于0表示不成功。 参数:
* 协议标志pf,主要的取值及其代表的协议如下: 2代表Ipv4协议,4代表IPX协议,10代表Ipv6协议等。 * 参数结构fw定义如下: struct firewall_ops{ struct firewall_ops *next;
int (*fw_forward)(struct firewall_ops *this, int pf,
struct device *dev, void *phdr, void *arg, struct sk_buff **pskb);
int (*fw_input)(struct firewall_ops *this, int pf,
struct device *dev, void *phdr, void *arg, struct sk_buff **pskb); int (*fw_output)(struct firewall_ops *this, int pf,
struct device *dev, void *phdr, void *arg, struct sk_buff **pskb); int fw_pf; int fw_priority; };
结构中next的域将由内核来修改,使其指向下一个防火墙模块。 fw_pf域为协议标志,含义同上。 fw_priority指定优先级,一般应大于0。
fw_input、fw_output、fw_forward是用户编写的防火墙函数模块,在接收到网络报和发送网络报时内核将调用这些模块,后面将详细讨论。
2、 unregister_firewall
unregister_firewall的原型说明与调用方法同register_firewall。
三、 防火墙函数模块的设计
1、 防火墙函数模块的返回值
返回值是至关重要的,内核将根据它来决定对网络数据报采取的处理策略。主要返回值及意义如下:
0和1 通知内核忽略该网络报。
-1 通知内核忽略该网络报,并发送不可达到的网络控制报(ICMP报文)。 2 通知内核认可该网络报。
2、 各模块函数的入口参数 * 参数this
指向register_firewall中的fw参数结构。 * 参数pf
含义同register_firewall中的pf参数。 * 参数dev
dev是指向数据结构device的指针。在Linux系统中,每一个网络设备都是用device数据结构来描述的。在系统引导期间,网络设备驱动程序向Linux登记设备信息,如设备名、设备的I/O基地址、设备中断号、网卡的48位硬件地址等,device数据结构中包括这些设备信息以及设备服务函数的地址。关于device结构的详细信息可参见netdevice.h头文件。 * 参数phdr
该参数指向链路层数据报报头首址。
* 参数arg
利用这个参数可以向内核传递信息,如重定向时的端口号。 * 参数pskb
此参数是指向sk_buff结构指针的指针。在Linux中,所有网络数据的发送和接收都用sk_buff数据结构表示。在sk_buff数据结构中包含有对应设备结构的device地址、传输层、网络层、链路层协议头地址等。关于sk_buff的定义可参见skbuff.h头文件。 3、防火墙程序示例
下面给出一个简单防火墙程序。在这里假设读者对以太协议、IP协议、TCP协议等常用协议有一定的了解。用命令行\进行编译,再用insmod命令加载程序后,系统将只响应外部网络用TCP协议的80端口所进行的访问。要让系统恢复原有功能,则可用rmmod命令卸载该程序,源代码见网站www.pccomputing.com.cn上的同名文章。
// MyFirewall.c 2000年3月7日编写 #ifndef __KERNEL__
# define __KERNEL__ //按内核模块编译 #endif
#ifndef MODULE
# define MODULE //按设备驱动程序模块编译 #endif
#include //最基本的内核模块头文件 #include
#include //最基本的内核模块头文件 #include #include #include #include #include #include #include #include
#define SOL_ICMP 1
#define PERMIT_PORT 80 //只允许访问TCP的80端口
int zzl_input(struct firewall_ops *this,int pf,struct device *dev, void *phdr,void *arg,struct sk_buff **pskb)
门和相关领导高度评价,网御神州作为国家密码管理局SSL VPN标准制定的成员单位,在自主知识产权以及SSL VPN产品技术领先性方面表现卓越,并承担了国家大量专项研发任务,为国家级科研大项目做出了应有的积极贡献。 网神SecSSL 3600系列安全接入网关系统基于SSL协议标准全新架构的SSL VPN产品,产品架构严格遵循国际标准RBAC(基于角色的访问控制)模型而设计,以用户、角色、服务三大要素作为基线的体系框架,加上超细粒度的应用访问授权控制,身份鉴别全面支持动态口令、静态口令、证书(产品内嵌CA中心和支持与第三方CA联动)等多元化认证方式,且可支持多认证因素组合方式的强身份认证、客户端安全防护检查等安全功能,并支持所有基于B/S、C/S架构的业务应用系统,保障移动办公人员在任何时间、任何地点随时安全访问内网的关键业务资源,为企事业单位实现统一远程认证提供稳定的接入平台,从而大大提高远程接入办公的工作效率和数据信息传输的高安全等级。 作为国内专业独立架构SSL VPN产品市场的领导厂商,历经多年的技术积累和行业、区域市场沉淀,目前网神SSL VPN产品在政府(国家部委及地方政府机关等)、公安、财政、金融、教育、企业、运营商等行业已有广泛大量应用,例如:国家审计署、国家认监委、上海市公安局、湖北省孝感市人民政府、北京市崇文区政府、吉林省国资委、吉林省商务厅、阳光农业保险公司、浙江省保监局、安徽迎驾集团、安徽省财政厅、江苏省教育厅、福建省残联、长春客车厂、浙江造船厂、中国人民解放军装甲兵技术学院等。 其中国家审计署属于国家级“金审工程”大项目,产品将覆盖30余个省会城市、200余个地级城市的分布式应用,产品经过复杂的测试试用后,最终以第一名的综合成绩在众多竞争对手中脱颖而出。该项目不仅是国家部委级单位在电子政务外网采用SSL VPN技术实现移动办公远程安全接入内网的首创,网御神州SSL VPN也是在众多SSL VPN厂商中唯一率先在国家部委的国家级项目的首例应用,也是网御神州行业项目的明星工程。其中,上海市公安局属于直辖市级大项目,网神SSL VPN分布式应用在上海市20余个公安分局,为上海市政府图像监控网、全市所有宾旅馆/网吧/典当行等终端用户安全上传/下载数据信息保驾护航,尤其是在上海世博会期间,每一位入住宾馆的游客身份信息,宾馆方都将通过登录网神SSL VPN系统认证授权后,将旅客信息数据上传至市公安局备案,使得宾馆各终端与市公安局业务服务器间建立一条SSL安全加密通道,避免在互联网环境下传输旅客个人信息资料遭受黑客窃取。同时,倘若有不法言论经过宾馆网络散布,则市公安局可以在第一时间内通过认证找到信息源,追溯到发言者。由于世博会期间的游客流量大,全市上万家宾馆在同一时刻登录网神SSL VPN的并发用户数峰值最高达8000个,换而言之,如果SSL VPN信息安全系统出现问题,则将会影响1万多家宾馆正常上传旅客信息数据,因而,网神SSL VPN凭借卓越的性能、持续高稳定的特点为整个上海的安保工作中发挥了重要作用,赢得市领导的高度认可,被授予“应用安全卫士”荣誉称号。 网御神州应用安全旗舰产品SSL VPN将注重关注客户应用需求的变化,产品开发将紧贴用户实际应用的需求,以客户应用需求为导向,不断提升产品性能、不断优化产品功能,努力为各行业客户持续提供最专业的SSL VPN产品及最优质
的产品服务。 无客户端软件
采用无客户端软件的解决方案,用户只需通过浏览器即可实现远程访问服务。由于SSL VPN使用了已嵌入于一般浏览器中的SSL协议,从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务,仅需在VPN网关上设置用户访问权限即可。
不改变用户使用习惯
每个企业都根据自身的实际需要定制开发了一些应用系统,或者部署了一些服务来满足自己的需要,例如,使用Outlook的日历安排功能安排会议,为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。
员工主要的工作时间,一般都是在企业内部使用这些特定的应用。因此,当在家里或者酒店需要访问这些企业资源时,员工也希望保持在公司Intranet中的使用习惯,不希望改变客户端的应用程序,也不希望改变客户端的应用程序的配置。
可绑定客户端应用
在SSL VPN设计时,考虑到用户使用方便,因此特别提供客户端应用绑定的功能,让用户可以针对某一个应用服务设定使用哪一种客户端的应用程序。客户端应用绑定设置,也可由管理员完成,让用户免于设置操作。
当用户通过SecSSL 3600登入内部网络时,通过该功能可以看到可访问的应用服务列表。在该列表中,用户可设置指定服务与自己喜欢的应用及启动该应用所需要的参数绑定在一起。完成了以上绑定后,用户登录系统便能直接点击服务名称,从而启动应用软件。
管理员/用户可以针对一个服务设定多个客户端的应用程序,也可定制关联应用的特性,给予用户最大的选择使用何种客户端的应用程序的自由。如果用户不设定关联应用,那么也可直接在操作系统中启动应用软件。
支持多种基于TCP/UDP的应用系统
虽然SSL协议主要用于保护Web应用系统,但是SSL VPN应该也能够支持多种基于TCP/UDP的Client/Server结构的应用软件。管理员只需通过简单的管理接口,即可在服务器上定义需要支持的应用或配置服务器使用的端口。
SecSSL 3600支持多种使用动态端口的应用协议,例如:FTP、TFTP、Oracle、SQL Server等。这些特性使得SecSSL 3600能够最大程度地满足客户的应用需求,同时,SecSSL 3600不会像IPsec VPN那样将客户端透明地连接到企业总部地网络中,而将整个网络暴露在客户端的面前。因此SecSSL 3600做到了应用与安全之间的平衡。
支持第三方Radius/Windows AD/LDAP认证系统
作为企业的远程接入VPN网关,SSL VPN(如SecSSL 3600)最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。为了减轻管理员的管理操作,SSL VPN不应只提供内置用户认证数据库,也应可以同常用的Radius/Windows AD/LDAP用户认证系统结合,提供一体化的用户认证设施。
利用第三方认证系统,管理员无需在SecSSL 3600上配置任何用户相关的信息,仅仅需要对不同认证服务器或服务器上的用户进行授权即可。
支持Windows AD/LDAP用户数据库同步
企业一般都会有集中的用户管理系统,例如基于Windows AD的用户管理系统。虽然IT管理人员希望只需维护一个用户数据库,但也要求在不同的应用系统及网关上进行细粒度的配置。若系统支持同Windows AD/LDAP服务器之间实现帐号同步,即可保持服务器与企业用户数据库的一致。
SecSSL 3600实现了用户帐号同步功能,便于管理员制定细粒度的访问控制规则。
支持基于信任链表的PKI证书应用
基于公开密钥证书的认证系统具有安全性高、扩展性好等特点,因此很多企业已经开始使用PKI作为基础的认证设施。企业提供的远程接入解决方案,不仅仅针对接入本企业的员工,也可能要针对接入企业的不同合作伙伴,因此企业会要求远程接入网关,能够支持多个CA签发的证书的用户认证。SecSSL 3600采用信任链表的方式实现了对多CA的支持,该方式下也可设定不信任某些CA。
作为一个网关设备,SecSSL 3600本身也需要一个证书向连接它的客户端证明自己的可信身份。SecSSL 3600有三种获取自身证书的方式:
●自签发证书
自签发证书的意思是SecSSL 3600可以自己为自己签发一个标识自己身份的证书。
●自签发证书请求消息
自签发证书请求消息的意思是SecSSL 3600可以自己生成一个PKCS#10格式的证书请求消息,管理员需要把这个请求交给第三方的CA来为SecSSL 3600签发一个证书。
●导入第三方CA签发的证书
管理员可以直接从第三方CA为SecSSL 3600申请证书,然后把对应的证书/私钥对导入到系统中。
检查客户端安全措施
一旦有用户接入到企业内部网络中,那么远端用户的计算机就成了企业网络的边缘。因此IT管理人员需要确保远端用户的计算机满足企业的安全策略要求。
为保证客户端的安全性,SecSSL 3600提供如下措施:
●主机检查与缓存清除 ●主机保护 ●访问限制列表
●用户登录锁定
●SSL协议/加密算法设置
在主机检查与缓存清除方面,SecSSL 3600允许管理员设置需要在客户端检查的条目,例如:
●允许/禁止哪些进程运行 ●允许/禁止哪些文件存在 ●允许/禁止哪些网络端口打开
●允许/禁止安装的杀毒软件/个人防火墙
SecSSL 3600允许管理员为用户登录之前和登录认证通过之后,配置不同的检查规则。当检查结果跟安全策略的期望相违背时,SecSSL 3600可以自动执行管理员设定的相应安全管理动作(例如启动防火墙、关闭恶意进程等)。同时,管理员还可以配置SecSSL 3600,使得用户在结束访问时能够自动地把用户本地缓存的信息清除,避免企业信息不经意地被泄漏。
除了检查客户端计算机的安全状态之外,SecSSL 3600还允许管理员通过ARL设置,允许远程用户/管理员只能/不能从哪些IP地址访问SecSSL 3600。
SSL协议已经从1.0、2.0晋升到3.0和TLS1.0,但标准的浏览器一般都仍然使用SSL2.0作为默认的选项。SecSSL 3600提供选项给管理员,让管理员选择需要使用哪一种SSL协议来接入用户。如果用户端的协议版本号不满足管理员设置的要求,那么SecSSL 3600会给用户提示信息,这样SecSSL 3600就在执行严格的安全限制的同时保持了用户友好。
因为SecSSL 3600是基于Web为用户提供VPN服务,那么就面临着有些攻击会在Web页面上发动口令暴力攻击。SecSSL 3600通过用户登录锁定功能来限制用户错误口令尝试的次数,并且如果用户口令错误达到一定次数之后,SecSSL 3600可以在一段时间内拒绝该用户登录,从而提高了系统的安全性。
提供基于角色的细粒度访问控制
访问控制是SSL VPN提供的核心安全服务。SecSSL 3600所使用的基于角色的访问控制,便于管理员快速地针对企业现状配置对应的更改控制规则。通过角色将系统的访问用户同系统保护
ACCEPT all ------ 10.3.253.0/24 202.102.247.0/25 n/a
ACCEPT all ------ 202.102.247.0/25 10.3.253.0/24 n/a
ACCEPT all ------ 10.3.253.0/24 10.56.0.0/16 n/a
ACCEPT all ------ 10.56.0.0/16 10.3.253.0/24 n/a
ACCEPT all ------ 172.16.0.0/16 202.102.247.0/25 n/a
ACCEPT all ------ 202.102.247.0/25 172.16.0.0/16 n/a
ACCEPT all ------ 10.56.32.0/25 202.102.247.0/25 n/a
ACCEPT all ------ 202.102.247.0/25 10.56.32.0/25 n/a ACCEPT all ------ 202.102.247.0/25 10.68.0.0/16 n/a
ACCEPT all ------ 10.68.0.0/16 202.102.247.0/25 n/a
ACCEPT all ------ 172.16.0.0/16 10.68.0.0/16 n/a
ACCEPT all ------ 10.68.0.0/16 172.16.0.0/16 n/a
ACCEPT all ------ 10.3.253.0/24 10.68.0.0/16 n/a
ACCEPT all ------ 10.68.0.0/16 10.3.253.0/24 n/a
MASQ all ------ 202.102.247.0/25 10.3.253.1 n/a MASQ all ------ 172.16.0.0/16 10.3.253.1 n/a MASQ all ------ 192.168.0.0/16 10.3.253.1 n/a MASQ all ------ 10.56.32.0/24 10.3.253.1 n/a MASQ all ------ 202.102.247.0/25 202.102.247.128/25 n/a
MASQ all ------ 172.16.0.0/16 202.102.247.128/25 n/a
MASQ all ------ 192.168.0.0/16 202.102.247.128/25 n/a
MASQ all ------ 10.56.32.0/24 202.102.247.128/25 n/a
MASQ all ------ 172.16.0.0/16 0.0.0.0/0 n/a MASQ all ------ 10.56.32.0/25 0.0.0.0/0 n/a MASQ all ------ 192.168.0.0/16 0.0.0.0/0 n/a ACCEPT all ------ 10.3.253.0/24 0.0.0.0/0 n/a
ACCEPT all ------ 0.0.0.0/0 10.3.253.0/24 n/a Chain output (policy ACCEPT): 其中,我把对于某些主机的访问限制设置在了进入链中,这样优先级高一些。同样我们可以把建立规则的命令写入/etc/rc.d/rc.local中,但是一旦我们把一个防火墙系统调试成功以后,我们还需要把已经建立的规则记下来,重新写到rc.local中,这样的操作是很容易出错的。其实我们可以用命令ipchains-save 把规则表保存到一个文件,就像这样:
#ipchains-save >/root/ipchains 把现在正在运行的规则表保存到了/root/ipchains文件当中去了,然后把恢复规则表的命令: /sbin/ipchains-restore < /root/ipchains 写到/etc/rc.d/rc.local中。 用ipchains-save保存的文件有这样的格式: :input ACCEPT :forward DENY utput ACCEPT -A forward -s 172.28.0.0/255.255.0.0 -d 202.102.247.0/255.255.255.128 -j ACCEPT -A forward -s 172.28.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -j MASQ 要在规则表的中间插入一条规则的时候,我们可以很方便的编辑它,然后用“ipchains -F”清除运行中的规则表,再用“ipchains-restore < 文件名”来恢复规则。
设置防火墙中不应该被过滤的信息
我们设置防火墙的时候,总是要想办法过滤我们所不能识别的东西,但有些信息对于网络的运行来说是必须的,一般正常情况下不能被过滤,否则将影响网络的正常运行,而这一点又是初学的系统管理员经常忽略的内容。
ICMP,很多系统管理员过滤ping,主要使因为可以用ping把一些网络线路带宽比较窄的地方堵塞,为了贪图省事,就把整个ICMP过滤了。但是其实 ICMP 包还被用来为其它协议(TCP, UDP)指示错误。 如: “destination-unreachable” 等等。这些信息被过滤的话意味这你将不会收到 “Host unreachable”或者“No route to host” 等报错信息, 所有的连接将等待一个永不会来的回复。将会使客户机花费很长的一段时间等候TCP/IP协议的超时。 这样做虽然不好, 但还不致命。
一个更糟的问题是 ICMP 包在“MTU (最大传输单元)测试”中担任角色。 为良好的完成 TCP 连接,主机会使用“ MTU测试”去算出不被分解成片段就可以到达目的地的最大包。 “MTU测试”是这样工作的: 发送带有“Don\\'t Fragment(不分解成片段)位”的包, 如果收到 “Fragmentation needed but DF set(包需要分解成片段)”包,那么就发送
较小的包;如果禁止了ICMP信息,本地主机将不会减小 MTU, 测试就将永远进行或没有意义。如果网络上存在MTU不一致的网段,这样将会极大的影响网络性能。
正确过滤ping的做法是过滤ICMP的0号和8号端口:
#ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p icmp 0 -j DENY #ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p icmp 8 -j DENY TCP的53端口,我们知道,一般来说DNS系统翻译使用的UDP的53端口,但是DNS协议在UDP不能正常响应的时候会自动该用TCP协议来进行连接,如果在一个全部过滤TCP所有协议的网络上工作,会导致所有UDP协议也得不到正确的域名解析。
有些时候,FTP协议会使用21之外其他的端口来传送一些辅助的信息,所以在处理FTP协议的时候,我们需要更多的了解FTP的实现机制。
应用实例
设置一个办公子网能够访问信息服务子网,但是访问外部需要地址翻译: 办公子网:192.168.0.0-->192.168.0.255 信息子网:202.102.247.0-->202.102.247.63
其中信息子网和Internet互联,出口网关地址是202.102.247.33 首先需要在防火墙上设置出口路由:
route add default gw 202.102.247.33 防火链的设置如下:
ipchains -P forwar DENY ipchains -A forward -b -s 192.168.0.0/24 -d 202.102.247.0/26 -j ACCEPT ipchains -A forward -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ 在湖南省xxx高等专科学校的校园网络上,我们一共有9个子网,5个互联出口,中间就使用了Linux+ipchians的防火墙来进行互联和访问控制,使用了4台这样的主机,有些机器上的路由表和规则表已经配置得比较复杂。但系统的投资很小,实际使用的效果也很好。
华为3Com防火墙VPN解决方案
2005-05-09 16:55出处:天极网作者:刘勋【网友评论0条 发言】0点击分享3Com公司防火墙的VPN性能极高,可以提供45Mbps的3DES吞吐量,21Mbps的ARC4吞吐量。 VPN技术是指在公共的网络平台上传输用户私有的数据,实现方式是在公网如Internet上搭建隧道,从而使得在不安全的互联网上传输私有数据得到保证。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
目前与企业相关的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道协议L2TP,网络层隧道协议IPSec。而VPN在企业中的组网方式分四种:远程访问(客户端到网关),分支机构互连(网关到网关),Extranet VPN(网关到网关,用于合作伙伴/客户等),Intranet VPN。在各种组网方式下要仔细选用不同的隧道协议。
支持VPN的产品种类很多,包括路由器,主机网关,拨号接入设备,隧道加密机,隧道交换机等等。但利用防火墙支持VPN越来越流行,因为它既能提供VPN实现网络互连,又能保护企业内部的资源免受外部网络的攻击。因此,带VPN功能的防火墙可以提供更全面的安全解决方案。
3Com公司防火墙VPN产品
目前,3Com公司的防火墙产品包括两种型号:
· SuperStack 3防火墙
· OfficeConnect DMZ防火墙
SuperStack 3防火墙主要用于企业中心以及大型分支办公室,OfficeConnect DMZ防火墙只要用于小型分支办公室。
这两种VPN防火墙都采用实时操作系统,并经过修剪,专门用于网络安全功能,彻底避免了传统软件防火墙由于依赖UNIX和Windows NT操作系统而带来的潜在漏洞。同时,采用高性能安全防火墙引擎,提供状态包检测保护,属于专用硬件防火墙,能够为大中小企业提供高性能价格比的解决方案。
为了提供高性能,高安全性的VPN,3Com公司防火墙采用专用硬件加速引擎,并采用标准的网络层IPsec 协议。下面介绍IPsec VPN与其它两种VPN协议的比较。
点到点隧道协议-PPTP
PPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中.GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继承了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。
第二层隧道协议-L2TP
L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。与PPTP类似,L2TP也可支持多种协议。L2TP协议本身并没有提供任何加密功能。
IPsec协议
IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。
IPsec协议分两种:ESP和AH,这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。
IPsec的安全服务要求支持共享钥匙完成认证和/或保密。在IPsec协议中引入了一个钥匙管理协议,称Internet钥匙交换协议-IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。
IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工作方式:传输方式保护上层协议如TCP;隧道方式保护整个IP包。在传输方式下,IPsec包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可以工作在传输方式下或隧道方式下。
L2TP与IPsec传输方式的集成
鉴于IPsec缺少用户认证,只支持IP协议,目前有一种趋势将L2TP和IPsec结合起来使用,采用L2TP作为隧道协议,而用IPsec协议保护数据。
PPTP和L2TP都支持多协议,但要记住L2TP协议缺少数据保密性的保护。PPTP和L2TP都不具有机器认证的能力,而必须依赖于用户认证。
在所有的VPN协议中,IPsec提供最好的安全性,但IPsec无法提供用户认证,也不支持多协议。许多厂家都采用的附加的特性来支持用户认证,比如支持Radius协议。IPsec协议十分灵活,可以满足所有网关到网关的VPN连接。
3Com防火墙VPN解决方案
通过前面几种VPN协议的分析比较,可以看出3Com公司防火墙VPN采用IPsec协议
的优势。同时基于防火墙的VPN还可以充分利用防火墙安全机制的优势。3Com防火墙采用专用硬件加密处理器来加密和解密VPN数据流,而主核心处理器只负责状态包检测功能。因此3Com公司防火墙的VPN性能极高,比如SuperStack 3防火墙可以提供45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。
3Com防火墙采用IPsec隧道方式提供网关到网关以及客户端到网关的VPN连接,用于分支机构,远程工作人员,客户以及合作伙伴对企业网络的访问。拓扑结构见附图。
对于网关到网关VPN,SuperStack 3防火墙支持1000个并发VPN隧道,支持手工密钥方式以及IKE动态密钥方式;对于客户端到网关VPN,SuperStack 3防火墙支持64000个并发VPN客户端;3Com防火墙支持14种认证/加密算法.
由于IPsec协议不支持用户认证,因此在远程用户访问VPN环境下,3Com公司防火墙VPN支持Radius协议,通过Radius服务器提供客户端VPN的用户认证。
为简化远程用户访问VPN在防火墙中的配置,3Com 防火墙支持GroupVPN配置功能,一个Group VPN允许100个使用IKE方式的VPN客户端接入。3Com防火墙还免费提供客户端VPN软件SafeNet/IRE VPN。
原文出自【比特网】,转载请保留原文链接:http://solution.chinabyte.com/211/2001211.shtml
网御神州资料 (1)vpn安全网关
网御神州凭借在VPN领域的深厚技术功底,成为国家密码管理局IPSec VPN国家标准的制定单位! 秉承SecOS的技术优势,网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的SecGate 3600(SJW79-A/B)系列VPN安全网关产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,支持国家IPSec VPN标准协议,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。网御神州目前推出了百兆和千兆两大系列多款IPSec VPN产品,可全部覆盖高中低端网络应用,涉及通用领域和县乡通信专用领域,同时还提供自主研发的VPN 客户端软件。
1.强大的组网能力
网神VPN安全网关本身可支持各种组网模式,不仅支持网关-网关模式,还支持网状网模式和星型组网,支持基于路由的VPN应用,可十分方便进行纵向组网,这对于具有三级以上网络的行业专网非常合适;网神VPN安全网关可形成从高端、中端到低端再到客户端的全面的VPN解决方案,形成自主组网。
2.灵活的网络适应性
网神VPN安全网关在提供传统静态IP的VPN网关功能的同时,也支持基于动态IP地址的VPN网关,方便使用ADSL接入方式的用户构建自己的VPN网络;可以实现基于策略和基于路由的VPN,大小网络环境都可适应;网神VPN安全网关可与支持国家标准IPSec、PPTP、L2TP的网关设备和客户端进行互联互通, 同时支持SSL VPN网关功能,支持标准的B/S 、C/S连接。
3.全面的VPN功能
网神VPN安全网关的功能涵盖了IPSec、SSL、PPTP、L2TP和GRE多种VPN方式,以及基于这些方式的VPN应用,如NAT的穿越等;支持网关到客户端、客户端到网关多种移动用户上网方式;产品支持全面的防火墙访问控制功能,支持NAT、动态协议解析和带宽控制,支持VPN的实时SA隧道信息同步,实现全冗余的HA部署。
4.全面的日志审计和日志服务器
提供标准格式的Syslog日志和flow流日志。默认情况下,日志存储在防火墙本地,也可以将日志直接发往日志服务器,同时支持二进制日志输出。随机提供的日志服务器软件可以实现强大的存储和审计功能,方便管理员对日志进行查询和管理。
5.Easy-VPN
网神VPN是对IPSec VPN技术的一次创新整合,它大大降低了用户在部署、配置、使用VPN时的难度。
(1)VPN连接快速建立
基于SecOS安全操作系统,采用专有的加密算法加速机制和VPN快速握手机制,解决了传统IPSec VPN建立安全隧道速度慢,数据传输性能低的缺点。特别是在建立多条或大量VPN隧道时尤其明显,用户等待时间大大缩短。
(2)隧道内安全过滤查杀
传统的IPSec VPN在建立安全隧道后,VPN设备对加密的设备是透明的,VPN设备无法对加密的数据进行控制。在当前网络安全形势严峻的情况下,保护内网数据安全已经成为大家的共识。但是由于传统IPSec VPN 的实现机制,使其无法满足用户的需求。网神VPN安全网关,基于SecOS安全操作系统,采用专有的安全协议栈,因此克服了传统IPSecVPN无法对加密隧道内的数据进行控制的缺陷。采用网神VPN安全网关,可以完全监控VPN隧道内信息,可以过滤数据包,查杀隧道内病毒和检测不良用户行为,如同对非加密的网络数据一样操作,大大提升了用户的安全等级。
(3)基于路由的VPN
传统的IPSec VPN只能建立点对点的安全隧道连接,当大量部署IPSec VPN时,用户之间由于只能建立点对点的隧道,从而形成一个个的安全孤岛。从而使采用IPSec VPN的网络无法像普通网络一样互联互通,大规模部署,集中管理。网神VPN安全网关基于SecOS安全操作系统,创新IPSec VPN隧道内路由技术。使IPSec VPN的隧道之间可以通过网神VPN安全网关设备进行路由。从而使IPSec VPN不再只能建立安全的局域网之间的连接,而是可以建立IPSec VPN的城域网,乃至广域网。可以大规模部署,集中管理。用户感觉就像使用传统网络环境一样方便。同时网神VPN安全网关还可以在隧道内过滤、监控网络数据,保证网络安全。
(4)基于路由的双VPN隧道备份
传统的IPSec VPN只能建立点对点的安全隧道连接,即使在多条网络链路的情况下也只能建立一条安全隧道,一方面不能充分利用网络链路资源,也不能进行安全隧道的备份,一旦安全隧道发生故障,将无法避免对应用的影响。网神VPN安全网关基于SecOS安全操作系统, 创新IPSec VPN隧道内路由技术,在对可靠性要求比较高的VPN网络环境中,支持双VPN隧道,并且两个VPN隧道能互为备份,一旦一条隧道故障,就网络应用可以立即切换为另外一条隧道。一方面充分利用了网络链路资源,同时保证了IPSec VPN隧道的高可靠性。
(5)界面简单友好
清晰简便的配置菜单,简化的默认配置参数,尤其是支持”遵守客户端提案”模式,使复杂的VPN配置变成简单轻松的工作。同时为了满足不同的需求,网御神州还提供扩展配置界面。
● 与SecGate Mananger安全管理平台紧密集成实现集中管理和大规模部署网神VPN 安全网关可以和网神的网络管理平台SecGa teManage r 进行紧密集成, 通过 SecGateManager,用户可以轻松的对网神的IPSec VPN进行大规模的部署和管理。
● 提供IPSec VPN客户端软件,满足用户多种需求提供网神VPN安全网关客户端软件。该软件基于从SecOS中IPSec VPN模块在Windows平台上的移植,故性能很高,功能完善,可以满足用户的众多需求。
一、 支持多种接入方式的专网VPN
采用网神VPN安全网关构架省、市、县三个层次的VPN专网,县级网络可以根据授权访问市级和省级网络。市级可以访问县级网络同时根据授权访问省级网络。省级网络可以访问市级和县级网络。省级可以集中管理和配置市级和县级网络。市级可以集中管理和配置县级网络。县级可以管理本地网络。在市级和省级采用了高可靠的VPN设备HA结构。通过网神VPN安全网关设备在VPN隧道间建立路由,可以跨级建立安全专网。同时,网神VPN安全网关解决方案支持多种接入方式,可以满足不同需求。
二、基于路由的双IPSec VPN 隧道备份方式
网神VPN安全网关在对VPN可靠性要求比较高的网络环境下,支持双VPN隧道,并且两个VPN隧道能互为备份,一旦一条隧道故障,网络应用就可以立即切换到另外一条隧道。
(2)ssl vpn安全接入网关
——国内专业架构SSL VPN第一品牌 07年,网御神州酝酿多年的第一代专业独立的SSL VPN产品对外正式隆重发布,随而引发国内SSL VPN广泛应用的热潮,各路友商纷纷开始着手推出多合一SSL VPN、防火墙内嵌SSL功能模块的VPN产品,市场竞争态势逾演逾烈,网神SSL VPN凭借着专业架构的产品形态在高端市场领域脱颖而出,高品质及专业技术形象在客户心目中根深蒂固。 08年,网御神州作为国内一线优秀网络安全厂商代表参与国家SSL VPN技术规范标准的制定,并获得了国家主管部
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典综合文库设解在线全文阅读。
相关推荐:
