vpn网络安全接入方案建议书

VPN网络安全接入方案建议书

目录

第一章网络安全思想概述 (2)

1.1 前言 (2)

1.2 威胁来自何处 (2)

1.3 防火墙简介 (3)

1.4 安全网络 (5)

1.5 虚拟专用网VPN (5)

1.5.1 如何构筑虚拟专用网VPN (6)

1.5.2 安装和配置VPN (9)

第二章用户总体需求分析 (9)

第三章网络安全解决方案 (10)

3.1 防火墙安全方案 (10)

3.2 XX网络安全解决方案描述 (11)

3. 3 VPN网的建立 (12)

第四章、Hillstone山石网科介绍 (13)

3.4.1 产品功能及特点 (13)

3.4.2 访问控制 (15)

3.4.3 管理 (16)

3.4.4 产品适用范围 (16)

第一章网络安全思想概述

1.1 前言

随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及，使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求，解决这些问题的难度也越来越大。来自企业内部和外部的非法访问和恶意入侵事件时有发生，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。

1.2 威胁来自何处

面对汹涌而来的信息技术革命，如何保证计算机网络信息系统的安全，保护自己不受安全隐患的威胁，并且有效的管理、合理地使用网络信息资源，已成为每一个企业所关心的迫切问题。电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。

我们认为，计算机网络信息系统的安全问题主要来源于以下几个方面：

●非法入侵：包括来自企业内部和外部的非法入侵，导致数据的丢失和泄密、

系统资源的非法占有等；

●计算机病毒：导致系统的性能下降甚至崩溃，系统数据的丢失等；

●拒绝服务攻击：非法占用系统资源，导致系统服务停止甚至崩溃；

计算机网络信息系统安全威胁的另一个来源是：人们通常将网络系统作为一项技术或工程来实施，缺乏统一的安全管理策略和专门的网络安全管理人才。而且，网络信息系统的安全环境是非常复杂并且不断变化的，但相当多的系统管理员只将精力集中于帐户的维护、系统日志审查和网络规范的设计及调整上面，很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防范措施、安全策略，甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等，这就导致了网络系统实际的安全状态和预期标准之间相差很远。

最终用户只期望尽快使用网络，最大限度地获取有效的信息资源，但很少考虑此过程中实际的风险和低效率。他们侧重于类似Netscape Navigator、Internet Explorer、Word、PowerPoint等应用软件的操作上面，很少接受如网络攻击、信息保密、人为破坏系统和篡

改敏感数据等有关安全知识的培训。

因此，从本质上来说，计算机信息系统的安全威胁都是利用了系统本身存在的安全弱点，而系统在使用、管理过程中的误用和漏洞更加剧了问题的严重性。

网络系统的安全性包括有

●网络访问的控制

●信息访问的控制

●信息传输的保护

●安全攻击的检测和反应

●文件病毒的防备

●灾难防备计划

如何才能快捷地访问外部网络，同时又能有效地保护内部局域网的安全----防火墙是实现网络安全的有效产品。在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。

1.3 防火墙简介

对计算机网络信息资源安全、可靠、有效的的存取控制是信息系统安全的一个重要组成部分，而各种防火墙设备则提供了对企业网络资源的强有力的保护。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信实施监控，而这种实时监控建立在统一的企业安全策略之上，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙最基本的监控标准是服务、用户和资源等。从历史上来说，防火墙的发展经历了四代，即：包过滤防火墙(Packet Filtering)，代理防火墙(Proxy)，状态检测防火墙（Stateful Inspection），混合型防火墙（同时才用应用代理与状态检测技术）。

（1）包过滤防火墙

在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包头部的IP地址，并按照管理员所给定的过滤规则进行过滤。如果对防火墙设定某一IP 地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。

包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第一道防线。但包过滤路由器通常没有用户的访问日志，这样就不能得到入侵者的攻击记录。（2）应用级网关

应用级网关也就是通常我们提到的代理服务器，如Microsoft Proxy Server、Netscape Proxy Server、Squid和Wingate等等。它适用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说象是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合控制规则的规定，如果规则允许用户访问该站点的话，代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，更不幸的是，并不是所有的互联网应用都可以使用代理服务器。（3）状态监测防火墙

这种防火墙具有非常好的安全特性，它使用了一个在网关上执行安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会被拒绝，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报(UDP)之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的，但它对网络的速度有一定影响，而且配置也比较复杂，好在有关防火墙厂商已注意到这一问题，如Hillstone公司的防火墙产品Hillstone产品系列，它所有的安全策略规则都可以通过面向对象的图形用户界面（GUI）来定义的，简化了配置过程。