|
JumpSec智能化VPN系统 2009年05月21日 转自《信息安全与通信保密》2008年第四期
1 VPN技术概述
为了解决在公共网络上数据传输的安全问题,虚拟专用网(Virtual Private Network,简称为VPN)技术应运而生。VPN技术的本质就是在现有的Internet上建立一条私有的加密通道,通过这条通道将公司的分支机构和合作伙伴间连接起来,构建一个逻辑上独立的私有的安全网络。
目前,市场上广泛使用的VPN技术主要包括:PPTP、L2TP、IPSec、SSL和MPLS等。
PPTP和L2TP VPN工作于数据链路层,主要由微软和Cisco公司开发。这两种VPN对使用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。但是,PPTP和L2TP不对两个节点间的信息传输进行监视或控制,认证和加密也受到限制,没有强加密和认证算法支持。它们主要用于远程访问接入。
IPSec VPN工作于网络层,由IETF提出,是目前主流的VPN技术。它功能强大,安全性高。但IPSec不支持除了TCP/IP外的其他协议,同时,它复杂的协议机制决定了其配置非常复杂,尤其是移动用户需要安装配置复杂的软件,已经无法满足普通用户对安全传输日益增长的需求。IPSec最适合LAN到LAN之间的数据传输,即内部网虚拟专用网。
SSL VPN工作于会话层,它本质上是一种SSL代理技术。它是网景公司提出的基于WEB应用的安全协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL,无须安装客户端软件,授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源,从而安全可靠地获取信息。它的最大的特点就是简单、易用,很好地解决了移动用户通过浏览器接入Web的数据访问,在电子商务中应用广泛;但它不支持多个网络之间的数据传输,也不能很好的支持移动用户到网关的其他C/S应用。
MPLS VPN主要特点是提供了服务等级协议SLA,它通过引入“虚拟路由器”技术来构建数据专线,提供局域网互联的QoS保证,并不提供加密、认证等安全服务。它不属于通常意义上的VPN技术,被称为“另类的”VPN。
综上所述,PPTP和L2TP VPN主要适用于移动用户接入;IPSec VPN尽管功能强大,安全性高,但配置复杂;SSL VPN简单易用,但功能有限,主要用于移动用户的Web应用。假设我们能将IPSec的强大功能和安全性与SSL的简单易用性结合在一起,应该将是VPN技术的最佳解决方案,那么,市场上有没有一种这样的产品呢?
这是基于这样的思路,交大捷普公司经过近三年的潜心研究,终于开发成功了我们具有自主知识产权的JumpSec智能化VPN产品。为什么说JumpSec是“智能化”的呢?在这里,我们对于“智能化”的定义就是:它像IPSec VPN一样功能强大,安全性高,同时,它又像SSL VPN一样简单易用。
2 JumpSec智能化VPN系统介绍
JumpSec VPN综合考虑了各种VPN技术的优缺点,是一种全新技术改进的私有协议VPN。它在协商阶段摒弃了IPSec VPN所使用的复杂的、不成熟的IKE协议,采用比较成熟的、目前最为流行的工业标准安全协议SSL/TLS,安全性得到很好的提升,而配置复杂度明显降低。它在数据通信阶段采用了类似IPSec VPN的高效隧道封装技术,摒弃了商业SSL VPN的https代理机制,VPN隧道带宽接近IPSec VPN,远远高于SSL VPN,VPN隧道支持所有基于IP层的协议,这一点也是SSL VPN不可能实现的。
JumpSec VPN在组网方式上,是一种混合组网模式。对于移动客户,它是一种瘦客户端C/S模式,几乎所有复杂配置和用户策略都在服务器端完成,而客户端只需要配置少量参数即可,如果客户端使用USB KEY,甚至可以达到零配置。同时,JumpSec VPN还支持分支机构到总部的“网关-网关”连接方式,可以满足多种环境组网的需求。
JumpSec VPN是一种全新的VPN产品,完全可以取代IPSEC、PPTP以及SSL这几种主流VPN技术。
2.1 产品特点
严格遵守工业标准协议规范
JumpSec VPN采用工业标准SSL/TLS协议,实现了OSI协议栈二、三层的安全网络扩展,基于PKI/X509认证体系,支持灵活的客户认证方式。
全面的防火墙功能
JumpVPN产品支持绝大多数防火墙功能,如访问控制、连接管理、QoS智能带宽管理、NAT、P2P协议阻断等。还可以根据特殊用户需求进行定制,提供IPS、病毒检测、内容过滤等扩展功能。用户根据实际环境综合使用这些功能,进一步提高VPN隧道的安全性。
完备的认证方案
JumpSec VPN基于PKI/X509认证体系,同时支持数字证书和USB KEY双因子认证。提供Jump小型CA中心和集中密钥管理软件模块,支持第三方CA机构签发的数字证书。
基于用户/用户组的访问授权
JumpSec VPN采用了与用户名绑定的数字证书,每个VPN客户都持有绑定自身用户名的数字证书,服务器在客户端数字证书认证通过后,可以针对用户名/用户组来分配访问权限。JumpSec VPN这种认证授权方式具备如下优点:1、具备数字证书认证的安全性,解决了传统用户名密码认证方式密钥管理的复杂性;2、基于用户/用户组的访问控制,解决了传统防火墙访问控制规则只能根据IP地址设置的局限性;3、基于用户/用户组的智能带宽管理,可以针对用户/用户组进行带宽控制。
支持各种网络应用
JumpSec VPN 是隧道模式的VPN,与IPSec VPN类似,建立好的VPN隧道全面支持TCP、UDP、ICMP、NetBios等应用协议,能够在隧道中实现各种网络服务,如网上邻居、办公自动化、管理信息系统、ERP、数据库服务等;更能支持绝大多数音频、视频通信系统应用,如NetMeeting、VOD、多媒体会议系统等。
多子网支持
JumpSec VPN默认能够配置16个内部保护子网,能够适用于绝大多数VPN应用,还可以根据特殊用户需求进行扩充。
分离隧道技术
允许保护子网之间主机进行VPN加密通信的同时,能够访问非保护子网内的资源(如Internet访问),对非保护子网的访问不能经过隧道加密处理。这样VPN的实施并没有影响用户现有网络业务处理,为用户带来极大的方便。
透明支持NAT穿越
JumpSec VPN采用了UDP协议封装的隧道,能够透明穿越各种NAT设备。而IPSec和PPTP协议要穿越NAT设备,必须对协议进行扩展,或者需要NAT设备的支持,对用户不透明,实施部署比较困难。
动态域名解析(DDNS)技术
当企业采用动态公共地址接入互联网时,如ADSL拨号,则每次分配到的IP是不同的。为解决动态公共IP的寻址问题,目前出现了一种名为DDNS(动态域名解析)的服务,该服务的功能是企业接入互联网后能够将其当前的IP地址实时绑定在一个固定域名上,这样别人可通过域名访问到该主机。该服务使用很简单,需要在主机上运行一个小程序并在服务商那里进行注册即可。捷普 VPN网关支持PPPoe通道上的VPN隧道,也支持VPN网关的动态域名寻址。采用捷普VPN网关,结合动态域名解析(DDNS)技术,能够解决“全动态IP”的VPN互联问题。
端点失效检测与隧道重建
当JumpSec移动用户异常掉线或者down机时,中心网关能够在两分钟内检测到,并在内部清除相关连接,便于移动用户下次顺利重连;当JumpSec中心网关出现故障或者down机时,移动用户和分支网关能够在一分钟内检测到,并在内部清除相关连接,当中心网关恢复工作之后一分钟内,移动用户和分支网关可以自动重建VPN隧道。
隧道检测与日志功能
JumpSec VPN支持所有在线用户的隧道状态检测,主要能够检测如下信息:连接用户名和IP地址、连接时间、接收数据流量和发送数据流量等;JumpSec VPN日志能够记录用户登陆与断开信息,跟踪每个VPN用户的访问细则:目的IP、协议、源、目的端口以及数据包特征等,记录非法登陆信息等。
方便灵活的组网方式
JumpSec VPN支持几乎所有组网方式,移动用户到网关、移动用户穿越NAT到网关、分支到网关、分支穿越NAT到网关等,能够满足绝大多数VPN网络部署。
支持USB KEY客户端
JumpSec VPN提供了Windows平台下的客户端JumpSec Mobile软件,使用非常方便,用户只需输入少许几个参数便可以与服务器建立VPN隧道。JumpSec VPN同时提供USB KEY硬客户端,采用USB KEY可以实现移动客户端的零配置。
高可用性支持
JumpSec VPN支持两个或两个以上中心网关组建负载均衡系统。对于移动用户和分支机构可指定多个中心网关的IP地址或域名,移动用户和分支机构将会随机连接其中一个建立VPN隧道,从而实现多网关的负载均衡。
除了组建负载均衡系统之外,JumpSec VPN还能支持端口聚合技术,当一个网络接口带宽不能满足用户需求时,可以采用聚合端口技术,实现多个网络接口带宽的叠加,从而提高VPN隧道的带宽。
产品使用方便,支持VPN网关集中管理
捷普VPN网关管理中心能够对多台远程VPN网关进行统一的、集中的管理。可以定义全局的配置对象及VPN策略等,支持多个VPN网关配置对象及VPN策略的复制、上传、下载,支持多个VPN网关密钥与证书的颁发、吊销等功能,从而实现统一的集中管理。
2.2 典型应用
公司总部运行JumpSec Center,分公司或者办事处通过JumpSec Branch与总司总部建立VPN隧道,访问总部资源;出差用户或者移动办公用户通过JumpSec Mobile与公司总部建立VPN隧道,访问总部资源。JumpSec VPN组网支持所有互联网接入方式,能够满足绝大多数企业VPN应用。
|
