Fortinet安全解决方案VPN.docx

《Fortinet安全解决方案VPN.docx》由会员分享，可在线阅读，更多相关《Fortinet安全解决方案VPN.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Fortinet VPN解决方案1. 概述Internet应用中，不可避免的要通过公用网络来传输信息，其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络，黑客很容易通过在网络设备上安装网络嗅包器(如Sniffer、NIDS等)中途窃取信息，造成泄密；黑客也可以伪装成内部用户登录到内网中进行破坏活动，因此我们需要在网络上配置一整套VPN体系，对通过Internet进行的远程访问进行严格的认证和加密，使Internet上的VPN成为经过加密和认证的安全链路，保证各节点之间远程访问的安全。采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证内部信息在Internet上

2、传输时的机密性和完整性，同时对Internet上传输的数据进行认证。单独的VPN网关的主要功能是数据包的加密/解密处理和身份认证，没有很强的访问控制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此

3、，VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。FortiGate 的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows等系统自带的PPTP/L2TP拨号软件， 也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，

4、不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。 内容处理器以独特的设计方式， 解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，AES，MD5，SHA1) 使企业可以充分利用VPN技术构建

5、自己的Intranet网络，无须考虑设备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。2. IPSec VPN解决方案企业Intranet网络建设的VPN连接方案， 利用IPSec安全协议的VPN和加密能力，实现两个或多个企业之间跨越Internet的企业内部网络连接，实现了安全的企业内部的数据通信。通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管

6、理性。如下图所示，IPSec VPN的部署都是成对进行的，既可以在设备与设备之间(例如总部的FortiGate与分支机构、合作伙伴、SOHO办公等节点的FortiGate)建立IPSec VPN隧道，又可以在设备与客户端软件(例如总部的FortiGate与移动办公用户PC上安装的FortiClient VPN客户端软件)间建立。通过在广域网的各个节点上安装部署IPSec VPN设备或软件，并进行适当设置，便可建立全网的IPSec VPN隧道，使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet的数据传输均经过IPSec VPN的加密及认证保护，黑客无法在途中窃取、

7、篡改或破坏数据。上图中总部与分支机构A、移动办公用户之间的IPSec VPN隧道用红色虚线表示，实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSec VPN通信。FortiGate IPSec VPN有如下常见场景：l LAN-LAN VPNLAN-LAN VPN是两个局域网之间的VPN，在两个局域网的Internet出口处部署VPN网关实现，通常有以下几种环境： 两个局域网均使用静态公网IP地址接入Internet：最简单、经典的VPN应用； 其中一个或两个局域网使用动态公网IP地址接入Internet，例如ADSL方式：可以使用DDNS(动态域名解析)方式将动态公网IP地址与

8、FQDN域名绑定，建立VPN隧道的双方均使用FQDN域名与对方通信； 其中一个局域网使用私网IP地址接入Internet，例如总部使用公网IP地址(静态或动态IP地址均可)，分支机构使用私网IP地址：可以使用拨号VPN方式建立隧道，由分支机构向总部的公网IP地址或FQDN域名发起连接，总部无须事先知道分支机构使用的IP地址。利用NAT穿越技术，FortiGate可以在NAT环境下，保证VPN的正常通信。当前在国内IP地址紧张的情况下,很多的分支机构都是通过服务商提供的私有网络地址连接公网的，在服务商的网络出口处统一进行地址转换。在这种情况下，只有支持NAT穿越技术的VPN产品能够适应服务商的N

9、AT环境。l 拨号VPN拨号VPN与点对点VPN不同，VPN隧道的双方不是对等的角色，而是一方扮演服务器，一方扮演客户端，通常用于大量分支节点接入一个中心节点的环境，例如集团公司的大量分支机构及移动办公用户都通过IPSec VPN与总部连接，并进行数据交换。拨号VPN客户端既可以使用FortiGate设备(如分支机构节点)，也可以使用FortiClient客户端软件(如移动办公用户)。FortiClient具有PC和手机版本，支持Windows 2000以上PC操作系统及Android、iOS等系统的智能终端，移动办公用户可以使用多种接入终端设备(PC、智能手机、Pad等)接入VPN网络，扩展

10、了VPN网络的覆盖度。使用客户端方式实现拨号VPN方式时，在核心VPN网关上可以通过配置向导功能，简单的选择选项、填写参数，并点击下一步，即可完成复杂的IPSec VPN配置。FortiGate支持多种身份认证方法，包括预共享密钥和数字证书认证，X.509数字证书认证可以与企业或机构现有的PKI体系相结合，提供更高级别的安全保护。FortiGate支持离线或SCEP在线申请数字证书方式，FortiClient软件支持PC本地存储或USB Key存储数字证书，使用更加灵活方便。除预共享密钥及数字证书外，FortiGate还支持本地用户、Windows域、Radius、LDAP、TACACS+等方

11、式的用户名和密码认证，在预共享密钥及数字证书的基础上进一步提高安全性。l 星形VPN(Hub-Spoke)在实际应用中，很多时候也需要进行多个节点之间的VPN互访，如下图所示，除了总部与分支机构A、B之间的通信外，分支机构A和B之间也需要进行数据交换。FortiGate可以通过星形VPN或全网状VPN来实现这一需求。FortiGate使用Hub-Spoke方式实现星形VPN。在此结构下，各分支机构、合作伙伴、SOHO及移动用户都与总部建立VPN隧道，而分支节点之间的互访都是通过总部节点进行的，例如上图中分支机构A和B之间的数据通信都绕经总部的FortiGate设备进行。对于快速扩张的企业或机构

12、，星形VPN具有好的扩展性，新的VPN分支节点只需跟中心节点之间建立一条VPN通道，便可很容易的加入到Hub-Spoke星形结构中，实现与现有VPN网络中所有节点的通信；且只需要中心节点(总部)具有一个公网IP地址，其余节点均可以使用私网IP地址。星形VPN的缺点是中心节点的故障将导致所有分支节点也无法互访。l 全网状VPN(Full Mesh)通过全网状VPN部署方式，可以克服星形VPN中心节点故障而导致所有分支节点无法互访的缺点。如下图所示：在全网状VPN结构下，每两个节点之间都建立直连的IPSec VPN隧道，无需第三方介入即可直接通信。全网状VPN的优点是任意一点的故障都不会影响其它节

13、点的互访，但它也有明显的缺点，一是配置工作量大，且扩展比较复杂，每一个新加入VPN网络的节点都需要与其它节点一一建立VPN隧道；二是对网络环境要求更高，例如如果分支机构A和B都使用私网IP地址，便无法直接建立VPN。星形VPN和全网状VPN都可以使用FortiManager的VPN管理功能快速配置，从而减少VPN管理员的配置难度和工作量。l 基于策略与路由模式VPN除了传统的基于策略的IPSec VPN外，FortiGate还支持基于路由的VPN，在IPSec VPN隧道上建立虚拟接口，IPSec VPN数据传输都在虚拟接口之间进行。如上图所示，物理接口之间进行VPN隧道协商，虚拟接口之间进行

14、数据通信。在FortiGate上，IPSec VPN虚拟接口与物理接口一样可以进行路由、安全策略等设置。使用基于路由的VPN，可以很容易的实现更多高级功能： 在VPN隧道中实现OSPF、BGP等动态路由或组播路由； 通过静态路由、动态路由、策略路由、等值路由等实现VPN链路的冗余或负载分担； 远程拨号VPN用户可以使用VPN链路访问Internet，一来可以提高访问的安全性，二来便于企业或机构对移动办公用户的上网行为进行过滤和监控；l 透明模式下的VPN通常IPSec VPN都是在路由/NAT模式下实施的，但有时根据网络结构，VPN网关需要配置为透明模式，如下图所示，内网PC的网关指向路由器1

15、92.168.1.1，FortiGate工作于透明模式。在这种情况下，FortiGate仍然能够根据管理员设置的VPN策略，截获来自于内网PC向远端局域网的访问请求，然后使用IPSec VPN进行加密封装后发往对端的FortiGate设备；当对端FortiGate设备返回数据时，FortiGate也能进行解密操作并转发回内网的PC。l 相同IP地址段间的VPN通常情况下，VPN网络两端的局域网应当使用不同的IP地址段，以免发生IP地址冲突，但由于机构的合并，或某些比较老的网络在规划时并未考虑到将来可能的VPN互联，而在不同分支节点使用了同一段IP地址，如下图所示，分支机构A和B都使用了192.

16、168.1.0/24这一段IP地址。利用FortiGate的IPSec VPN双向NAT功能，可以支持这种相同IP地址段间的IPSec VPN通信需求。通过将两端的IP地址段进行NAT转换后再进入IPSec隧道，例如转换为192.168.2.0和192.168.3.0，便可顺利将这两个192.168.1.0/24网络通过IPSec VPN连通。l VPN隧道中的安全过滤单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等)。而由于VPN的加密特性，使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的，在独立的安全

17、网关和VPN部署方式下，安全网关无法对VPN隧道中的加密信息进行任何安全过滤，病毒、攻击等可以很容易的通过VPN在广域网各节点之间传播扩散，由此带来安全性、性能、管理上的一系列问题。因此，将VPN和其它安全功能集成，提供一个灵活、高效、完整的安全方案，是当前安全技术的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网络免受病毒、入侵等的威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集VPN、防火墙和多项应用层安全功能于一身的综合安全网关，可以提供各安全

18、功能之间的完美联动、良好的兼容性和性能。如上图所示，在FortiGate的VPN策略中应用防火墙、防病毒、IPS、内容过滤、反垃圾邮件、IM/P2P过滤等安全功能，可以在各种安全威胁进入VPN加密隧道前或离开加密隧道后进行过滤，从而阻止病毒、蠕虫、木马、入侵、不良内容等在VPN网络各节点之间的传播。3. SSL VPN解决方案IPSec VPN的优势在于LAN-LAN连接，在Client-LAN环境下，使用IPSec VPN需要在客户端安装复杂的软件，而SSL VPN被称之“无客户端”，可以通过Web浏览器实现无客户端的远程访问。通过SSL VPN，可以在任何地点，利用任何设备，连接到相应的网

19、络资源上。虽然早期的SSL VPN只支持B/S模式(Web)应用，具有一定的局限性，但是最新的SSL VPN产品(如FortiGate)支持通道模式。SSL通道模式与IPSec类似，支持各种B/S及C/S应用，且SSL VPN使用知名端口TCP 443通信，因此连通性和兼容性都很好。如下图所示，在中心节点(如总部)部署FortiGate设备，并设置SSL VPN功能，各地的移动办公用户便可与中心节点建立SSL VPN连接。l SSL VPN接入模式FortiGate SSL VPN用户端接入支持两种模式，分别为代理模式和隧道模式。 代理模式代理模式可以为用户提供快速高效的安全加密接入，用户端只

20、需要通过浏览器即可实现，是真正的无客户端接入方式。通过一个网页入口，用户认证成功后，可以访问HTTP/HTTPS、Telnet、VNC、RDP、SSL、Ping、Citrix协议。 隧道模式通过隧道模式，用户可以自由的访问内网的任意资料，包括各种C/S服务应用、除代理支持的协议外的其它协议等。用户在第一次开启隧道时，需要安装一个客户端软件(ActiveX控件)，此软件不需要配置，只需安装一次即可。用户拨入后，会分配一个虚拟IP地址，通过这个地址对内网资料进行访问。隧道模式支持隧道分割方式，只允许访问内网的数据进入隧道，去往Internet的数据同时可以实现正常访问。FortiGate SSL插

21、件支持客户端拨号软件，通过拨号软件，用户可以方便的通过用户名、密码或证书访问内部资源，不需要再通过网页入口开启隧道模式。l SSL VPN防火墙安全FortiGate SSL VPN的访问控制是基于防火墙功能实现。通过防火墙功能，FortiGate设备可以控制允许哪些SSL VPN用户IP拨入；拨入用户可以访问哪些服务器的哪些端口，非常方便的实现SSL VPN访问控制功能。l 用户身份认证FortiGate SSL VPN支持以下认证方式： 用户名/密码认证进入网页入口需要进行用户名/密码认证。认证的方式支持支持传统的Radius、LDAP 、Active Directory、SecurID

22、等认证方式，同时提供Local(本地数据库)认证方式。 证书认证为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加应用的各方必须有一个可以被验证的标识，这就是数字证书。FortiGate证书管理支持以下项目： 支持X.509 标准协议。 支持客户端证书认证。 支持Certificate Revocation List (证书撤销列表) 支持intermediate CA Certificate 双因素认证对安全级别需求高的网络需要“双因素”认证，即使用用户ID与密码之外的信息进行认证。Fortinet公司的FortiToken是F

23、ortiGate专用的双因子认证令牌，符合誓约联盟基于时间的硬件一次性密码令牌，通过FortiGuard实现在线交付使用，提供每分钟更新的动态密钥。l 虚拟桌面FortiGate的SSL VPN客户端还支持“虚拟桌面”模式。在虚拟桌面模式下，利用流行的“沙盒(Sandbox)”技术，为SSL VPN用户在PC上开辟一块虚拟空间，所有的SSL VPN访问都在这个“沙盒”中进行。当用户退出SSL VPN虚拟桌面时，所有SSL VPN访问产生的“痕迹”都会被删除，包括下载的文件、浏览器缓存、历史记录等。如果SSL VPN会话非正常结束，文件可能被保留，但这些文件都是加密的，不能阅读或修改。当用户开启

24、虚拟桌面功能后，虚拟桌面会替换用户普通桌面。同时，用户可以控制哪些应用可以在虚拟桌面上运行。虚拟桌面模式能够更好的满足用户的安全要求，防止信息泄漏，即使SSL VPN用户使用公用计算机(例如使用他人或网吧的PC)来访问单位内部网络，都没有泄密的风险。l 客户端主机检查当客户端通过SSL VPN拨入到FortiGate设备，并通过FortiGate设备访问内网资源时，FortiGate设备可以对客户端的PC主机进行安全检测，只有符合安全策略的主机才可以通过FortiGate访问内网。检查的内容包括：杀毒软件检测及防火墙软件检测。FortiGate上已经预定义了经过Windows安全中心验证的安全

25、软件，可以直接进行配置。用户也可以自定义需要的安全软件。l 单点登录网页入口上定义的书签指向的网页上可能还包含认证信息，FortiGate可以自动帮助用户登录进入这些网页。用户登录SSL VPN后，再访问需要认证的书签上的网页时，不需要再输入一次用户名密码。用户在配置书签时，可以自定义单点登录的相关信息。l SSL VPN通道内数据深度检测普通的SSL VPN网关没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等)。而由于VPN的加密特性，使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的，SSL VPN拨入用户如果PC上已经受到恶意的侵入，病毒、攻击等可以很容易的通过VPN在核

26、心网络传播扩散，由此带来安全性、性能、管理上的一系列问题。FortiGate SSL VPN功能和其它安全功能集成，提供一个灵活、高效、完整的安全方案。可实现的安全功能包括：防病毒、防攻击、应用控制、Web过滤、垃圾邮件过滤等。同时，还可以为每个拨入用户分配一定的带宽，防止因某个用户占用带宽过大而影响到网络速度。4. PPTP、L2TP VPN解决方案与IPSec和SSL VPN类似，通过PPTP和L2TP协议，也可以建立端到端的VPN隧道，并实现外部网络到内部的访问。与IPSec和SSL VPN相比，PPTP和L2TP具有如下的优缺点：PPTP、L2TP简单灵活，均可使用Windows、Linux等操作系统自带的拨号软件而无需另行安装，且具有良好的网络及应用兼容性，但本身安全级别较低，PPTP可选使用MPPE加密(40/56/128位密钥)；L2TP本身不加密，需要配合IPSec提供安全保护。因此PPTP、L2TP适合于对安全要求不高的环境。FortiGate设备支持PPTP和L2TP VPN，在配置时需要在命令行下进行。