信息安全 > 网络安全 > 网络安全方案 >

SonicWALL IPSec VPN + SSL VPN 解决方案

SonicWALL 干净的IPSec VPN     前      言   随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力,同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。 IPSec VPN技术已经发展得很成熟,企业各个分支机构通过IPSec VPN 方便地连接回企业总部;SSL VPN支持出差的用户和合作伙伴随时随地访问企业总部的网络资源, 极大提高了生产率。 但是VPN带来连通性的同时也带来风险,病毒,入侵等安全威胁也可以通过VPN隧道在企业总部和分支之间扩散。因此,构建一个干净的VPN网络,阻断病毒和入侵行为在企业的分支和总部之间扩散,防止移动VPN用户电脑的病毒通过VPN接入企业总部至关重要。              

第一章     用户需求分析

  随着公司业务发展,分支机构达到近N家,总部电脑数量也接近N台。  

第二章 SonicWALL  干净的VPN解决方案

考虑目前具体情况: 对分支结构和总部局域网之间的互联,推荐采用基于IPSec VPN核心技术的高性能加密产品来组建SonicWALL的IPSec VPN网络---SonicWALL UTM ( 防火墙+ VPN + 网关防病毒+ IPS)。SonicWALL 防火墙和VPN 是当前国际最先进的网络技术之一,销售数量占据全球第一位。 对移动用户的安全远程接入,我们建议采用SonicWALL Aventail SRA EX6000 的SSL VPN产品。该产品最大可以支持250并发用户的安全远程访问控制。

2.1 方案设计原则

VPN方案的设计至少包含以下原则:高安全性、最优化网络、完善的管理等。

 高安全性

由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。确保VPN通道上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。 保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。 保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改

2.2网络结构设计

网络结构如图:   方案: 中央设备选用NSA3500,采用多核专用安全处理器,4个64位MIPS专用安全处理器并行处理流量,还集成众多协处理器,如专用的包输入输出处理器,正则表达式处理器(专门用于病毒,入侵等特征码与后台数据库的匹配处理),硬件TCP加速引擎,专用的加密解密处理器,专用的压缩解压缩的处理器等等,是一个典型的SoC设计。 NSA 3500的状态检测的吞吐量可达1.5Gbps,支持多达800条LAN-2-LAN VPN隧道, 赠送50个IPSec VPN客户端软件授权(最大支持1000个IPSec VPN移动客户端授权), VPN吞吐量可达到625Mbps.  UTM功能为可选项,如果采用UTM功能,可以防止病毒和入侵通过VPN隧道在企业的总部和分支之间的传播,如果Internet接入也是通过NSA3500防火墙的话,NSA3500设备还能阻止来自Internet的病毒,入侵和间谍软件。例如分支机构和临时的节点,其Internet和VPN可能都是采用同一个设备,那么NSA3500和TZ100设备可以有效阻止来自Internet的应用层的安全威胁, 防止病毒,入侵进入分支的网络,进而通过VPN隧道扩散到企业的总部。  移动用户,我们建议采用SSL VPN的方式接入,SSL VPN适合大量移动用户的接入,部署和维护简单。SSL VPN支持Windows,Linux,MacOS,Windows Mobile等多种操作系统的安全远程接入。SSL VPN的用户流量可以经由总部的NSA3500 的UTM设备进行病毒,入侵的扫描,防止移动用户的安全威胁进入总部的网络。 本方案不仅实现分支机构和总部之间的数据传输可以有UTM防火墙的7层扫描的安全防护, 对大量移动办公用户的流量同样可以进行7层的安全扫描。 通过总部UTM设备,对所有的VPN的流量进行病毒和入侵的扫描,实现VPN流量的净化,这就是我们说的“干净的VPN”功能。   考虑到分支机构的规模,分公司采用小型的桌面型的TZ100 设备。 虽然是桌面型的小型的UTM设备,TZ100的状态检测的吞吐量仍然可达100Mbps,VPN的吞吐量高达75Mbps。 SonicWALL NSA 系列UTM设备能够并行扫描超过所有TCP协议上的近25000类病毒,检测并阻断近4000种入侵威胁。 SonicWALL还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule,迅雷下载)的通信进行控制,如封堵QQ,MSN,迅雷,能够扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散。   2.3 总部设备选型 总部设备选型:NSA3500   SonicWALL NSA 3500重要性能指标
NSA 3500接口 6个10/100/1000Mbps自适应电口
并发连接 325,000
吞吐量 1.5Gbps 状态检测吞吐量
网关杀毒吞吐量 350Mbps
IPS吞吐量 750Mbps
UTM综合吞吐量(GAV+IPS) 240Mbps (同时开启杀毒和IPS功能功能)
IPSec VPN 吞吐量 625Mbps
LAN-2-LAN VPN隧道数目 800条隧道
客户端VPN授权 赠送50,最大1000
SonicWALL Aventail SRA EX6000   SRA EX6000 最大支持250 并发用户的安全远程接入,支持Windows,Linux,MacOS,Window Mobile等各种终端的B/S,C/S结构的远程访问。 并发用户的License可以灵活购买。例如初期可以购买50个,或者100个,在有需要时,可以随时添加用户的License,最大到250 并发用户。     2.4 分支设备选型 分支设备选型:TZ100   SonicWALL TZ100 重要性能指标
TZ 100接口 5个10/100Mbps电口
并发连接 6000
吞吐量 100Mbps 状态检测吞吐量
网关杀毒吞吐量 35Mbps
IPS吞吐量 50Mbps
UTM综合吞吐量(GAV+IPS) 25Mbps (同时开启杀毒和IPS功能功能)
IPSec VPN 吞吐量 75Mbps
LAN-2-LAN VPN隧道数目 5

 

       

第三章  SonicWALL 干净的VPN方案特点

3.1 灵活性 ——Any –to -Any SonicWALL IPSec VPN产品完全基于工业加密标准IPSec协议构建VPN加密通道,提供Any-to-Any的VPN连接,如下图:  
SonicWALL VPN客户端
网络接口:以太网/Modem/无线/GPRS/CDMA
操作系统:Windows 98/ME/NT/2000/XP/
宽带城域网网络连接
宽带城域网
满足条件:网络层地址可到达VPN网关
远程VPN网关
 
文本框: PSTN拨号文本框: ISDN拨号文本框: ADSL文本框: Cable Modem文本框: 其它专线方式         ①Any运行平台:VPN客户端软件完全支持Windows系列平台,包括Windows 98/NT/2000/XP/Vista,有第三方的MacOS客户端。 ②Any接口:支持以太网接口、Modem接口、3G无线网络接口等,只要满足网络层地址(IP地址)可以到达的条件即可建立VPN连接; ③Any接入方式:支持当前大多数的互联网连接,包括ADSL、Cable Modem、ISDN/PSTN拨号以及各种专线方式等; ④Any地点:没有地理位置的局限      SonicWALL SSL VPN产品采用SSL协议在移动用户和VPN设备之间传输数据,只要有Internet连接,TCP443端口可达,就可以支持用户安全地接入。   3.2扩展性 总部和分公司通过IPSec VPN建立网络连接后:
  • 若日后ERP 、OA、视频等应用扩大使用量,用户仅需直接扩租带宽即可,无需再进行硬件投资;
  • SonicWall VPN防火墙具备多并发VPN隧道支持,若用户在未来新添下级机构并进行网络互联,中心(局端)无需做任何硬件调整和投资;
  • 支持当前大多数的宽带城域网连接,如ADSL、Cable Modem、ISDN/PSTN拨号等。
  对移动办公用户的SSL VPN接入,我们选择了SonicWALL Aventail EX6000 设备,用户初期可以购买100 用户的License, 同时支持100 用户的并发接入。随着用户数量的增加,用户可以购买更多的License,EX6000 型号的设备可以支持多达250 用户的远程接入。   3.3(使用、管理)易用性
  • SonicWall全线产品均可以通过SonicWall GMS(全球网络管理系统)进行统一界面的网管、设定等操作,网管工程师可以从任何地方对系统轻松实施管理;
  • 由于SonicWall的日志管理、密钥管理等特性,使用户能轻松掌握并监控系统运行,易于使用;
  • 由于VPN产品基于多核专用安全芯片设计,无论是VPN设备和客户端软件的安装、维护都十分简单,无需专业的技术人员即可掌握使用和简单的维护知识。
  3.4 安全性 不论分支和总部的IPSec VPN隧道中传输的数据,还是移动用户的SSL VPN的数据,总不得UTM防火墙NSA3500 都可以对他们进行7层扫描,实现VPN隧道中的数据净化,实现我们的干净的VPN功能。     第四章   SonicWALL 基于多核专用安全处理器的UTM产品技术优势        随着Internet的迅速普及,网络上的应用也日益丰富。网上银行,在线交易,ERP,CRM等逐渐被用户接收并迅速发展。随之而来的,网络安全威胁已经从针对TCP/IP协议本身弱点的三四层的攻击转向针对特定操作系统,数据库和应用程序漏洞的应用层的攻击,这些安全威胁代码封装在TCP/IP协议的净荷部分。传统的防火墙,包括第三代全状态检测防火墙,对这些应用层的安全威胁无能为力。病毒,黑客入侵及间谍软件不断给互联网用户造成巨大的损失。同时层出不穷的即时消息和对等应用如MSN,QQ,BT,eMule,迅雷等带来方便的同时也带来风险,并在相当多的企业降低了员工上班时间的工作效率。因此我们需要一个多层的积极防御,全面阻止病毒,抵御入侵和扫描间谍软件,减少来自应用层的安全威胁。      总部位于美国加州硅谷的SonicWALL公司早在2003年就率先推出UTM综合安全网关产品,是全球最早推出UTM技术的公司之一。SonicWALL已经积累了7年的UTM产品的经验,硬件平台完成了从Intel + ASIC架构到多核专用安全处理器Cavium硬件架构的飞跃。彻底解决了UTM产品的性能瓶颈问题,使UTM设备在开启7层安全扫描的情况下,仍然可以保持千兆的吞吐量。高端产品可以实现7层扫描高达2Gbps的吞吐量。 传统的防火墙架构包括通用CPU(如X86) 架构,CPU + ASIC 架构,NP架构。X86 架构防火墙的优势是灵活性,然而,所有功能由CPU软件实现,但是性能瓶颈不可避免。尤其是开启7层扫描,实现应用层安全的时候,性能降低到几乎不可用。X86架构主要是面向流量不大的低端用户。  国内防火墙主流产品依然是CPU+ASIC架构。CPU + ASIC架构的防火墙,ASIC专用芯片处理防火墙规则的速度可以做到千兆线速,但是ASIC芯片只适用于2、3、4层的处理,ASIC芯片不能处理应用层的安全问题,7层的安全扫描,如病毒,入侵的扫描依然需要通用CPU去处理,性能瓶颈问题依然不可避免。因此市场上可以看到状态检测速度高达数十Gbps的CPU + ASIC防火墙, 开启UTM的7层扫描功能,性能损失会超过98%,只有2到3百兆的吞吐量,达到用户不可接受的程度。  NP是最早的多核防火墙技术,以Intel的IXP 多核处理器为代表,8核,16核甚至更多。国内也有一批基于NP技术的防火墙产品。 该多核芯片最适合路由和交换设备的中央处理引擎,即可以达到ASIC芯片的速度,又可编程,是一个非常灵活的解决方案。然而和ASIC类似,NP处理器的微码(Micro Code)主要是实现高效率的网络层面的处理,对应用层处理没有专门的硬件加速技术。例如对病毒,入侵和间谍软件扫描等签名库的匹配,没有专门的正则表达式处理器进行高效快速的匹配,完全需要靠软件编程在以三四层处理为主的内核上进行处理,因此处理应用层安全的速度受到很大影响。NP主要适合网络层的安全设备。对UTM产品,NP还不是理想的硬件架构。       2008年,SonicWALL把基于Intel+ASIC架构的UTM产品线全面升级到基于多核专用安全处理器Octeon的多核并行处理架构,UTM的性能得到极大的提高。NSA系列网络安全设备,包括NSA240, NSA2400,NSA3500、NSA 4500、NSA 5000,NSA E5500,NSA E6500,NSA E7500等。NAS E7500 基于Octeon的16个64位MIPS专用安全内核,并行处理数据,每秒可以执行3200万条指令,转发超过3000万数据包。开启网关杀毒的吞吐量最高可达1.84Gbps, 开启IPS 的吞吐量高达2.58Gbps, 同时开启杀毒和IPS的吞吐量高达1.7Gbps。   Cavium公司的Octeon多核安全处理器目前最多支持16个64 位MIPS内核。Octeon多核安全处理除了集成多个安全内核外,还集成众多协处理器,如专用的包输入输出处理器,正则表达式处理器(专门用于病毒,入侵等特征码与后台数据库的匹配处理),硬件TCP加速引擎,专用的加密解密处理器,专用的压缩解压缩的处理器等等,是一个典型的SoC设计:System On a Chip(单芯片集成一个系统) 。 进入SonicWALL网络安全设备的数据流被分担到多个安全处理内核并行处理,极大地减小了处理的时延,增大了设备的吞吐量,同时确保VoIP应用受到影响最小。      SonicWALL专利的、业界领先的免重组深度包检测引擎(RFDPI- 美国专利U.S. Patent 7310815 )能实时检测无限大的文件,同时并行扫描的文件个数也没有限制,不存在基于缓存技术的病毒扫描所面临的单个文件大小和文件数目的限制问题,在UTM技术上是一个突破。 基于缓存技术的UTM设备对扫描的文件的大小和同时扫描的文件的个数都有严格的限制,设备里进行病毒扫描的缓存一旦满了,管理员只有两个设置,一个是丢弃后续的包,造成断网,或者允许不能进行扫描的包放过,造成病毒和入侵漏扫的问题。SonicWALL的RFDPI面重组深度包检测引擎是一个真正的流扫描技术,彻底解决了这个问题,在业界处于绝对领先地位。该引擎能够扫描任意TCP端口的任意协议,实现最大的安全扫描,而不限定特定协议的特定端口,真正不漏过任何一个数据包。实现最大的病毒和入侵检测率。SonicWALL设备还集成VPN, 内容过滤,应用层防火墙,IM和P2P控制等众多功能。     SonicWALL GMS统一网管系统可以管理成千上万个SonicWALL的设备,并对日至进行分析和统计,管理员随时可以掌握网络的运行状况。     SonicWALL专用的多核硬件架构,配合专利技术的深度包检测引擎,确保用户在不牺牲网络性能的情况下,最大程度地确保用户的安全。在全球的UTM产品中处于技术领先地位,SonicWALL全球UTM设备销售数量一直排名第一位。