产品解决方案
产品解决方案

Fortinet VPN解决方案

1.    概述

Internet应用中,不可避免的要通过公用网络来传输信息,其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络,黑客很容易通过在网络设备上安装网络嗅包器(SnifferNIDS)中途窃取信息,造成泄密;黑客也可以伪装成内部用户登录到内网中进行破坏活动,因此我们需要在网络上配置一整套VPN体系,对通过Internet进行的远程访问进行严格的认证和加密,使Internet上的VPN成为经过加密和认证的安全链路,保证各节点之间远程访问的安全。

采用VPN技术的目的是为了在不安全的信道上实现安全信息传输,保证内部信息在Internet上传输时的机密性和完整性,同时对Internet上传输的数据进行认证。

单独的VPN网关的主要功能是数据包的加密/解密处理和身份认证,没有很强的访问控制功能(状态包过滤、网络内容过滤、防DoS攻击等)。在独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关,可以提供各安全功能之间的完美联动、良好的兼容性和性能。

FortiGate VPN功能支持PPTPL2TPIPSecSSL四种VPN协议,提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说,既可以使用Windows等系统自带的PPTP/L2TP拨号软件, 也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接,还可以直接使用IE浏览器,通过Web方式创建基于SSLVPN隧道。应用PPTPL2TPSSL的好处是方便使用,不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证,可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。

由于充分利用了专用的ASIC芯片技术,处理复杂的VPN加密和认证过程,极大加快了VPN通道的建立速度和数据加/解密的处理时间,达到了极高的VPN处理速度。 内容处理器以独特的设计方式, 解决了防火墙设备处理高速加密数据流的瓶颈问题,并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES3DESAESMD5SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络,无须考虑设备处理速度的影响,256位的AES算法更提供了业界最高级别的安全防御体系,使企业的内部数据可以无忧地在公网上传输,以达到企业内部网络安全扩展的目的。而今,迅速发展的广域网技术使公网的带宽成倍的增长,同时又为企业VPN网络提供了广阔的发展空间。

2.    IPSec VPN解决方案

企业Intranet网络建设的VPN连接方案, 利用IPSec安全协议的VPN和加密能力,实现两个或多个企业之间跨越Internet的企业内部网络连接,实现了安全的企业内部的数据通信。通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理,使企业的内部网络通信具有良好的扩展性和管理性。

如下图所示,IPSec VPN的部署都是成对进行的,既可以在设备与设备之间(例如总部的FortiGate与分支机构、合作伙伴、SOHO办公等节点的FortiGate)建立IPSec VPN隧道,又可以在设备与客户端软件(例如总部的FortiGate与移动办公用户PC上安装的FortiClient VPN客户端软件)间建立。

                                              1.png

通过在广域网的各个节点上安装部署IPSec VPN设备或软件,并进行适当设置,便可建立全网的IPSec VPN隧道,使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet的数据传输均经过IPSec VPN的加密及认证保护,黑客无法在途中窃取、篡改或破坏数据。上图中总部与分支机构A、移动办公用户之间的IPSec VPN隧道用红色虚线表示,实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSec VPN通信。

FortiGate IPSec VPN有如下常见场景:

l  LAN-LAN VPN

图片2.png

LAN-LAN VPN是两个局域网之间的VPN,在两个局域网的Internet出口处部署VPN网关实现,通常有以下几种环境:

Ø  两个局域网均使用静态公网IP地址接入Internet:最简单、经典的VPN应用;

Ø  其中一个或两个局域网使用动态公网IP地址接入Internet,例如ADSL方式:可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立VPN隧道的双方均使用FQDN域名与对方通信;

Ø  其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址(静态或动态IP地址均可),分支机构使用私网IP地址:可以使用拨号VPN方式建立隧道,由分支机构向总部的公网IP地址或FQDN域名发起连接,总部无须事先知道分支机构使用的IP地址。利用NAT穿越技术,FortiGate可以在NAT环境下,保证VPN的正常通信。当前在国内IP地址紧张的情况下,很多的分支机构都是通过服务商提供的私有网络地址连接公网的,在服务商的网络出口处统一进行地址转换。在这种情况下,只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境。

 

l  拨号VPN

图片3.png

拨号VPN与点对点VPN不同,VPN隧道的双方不是对等的角色,而是一方扮演服务器,一方扮演客户端,通常用于大量分支节点接入一个中心节点的环境,例如集团公司的大量分支机构及移动办公用户都通过IPSec VPN与总部连接,并进行数据交换。

拨号VPN客户端既可以使用FortiGate设备(如分支机构节点),也可以使用FortiClient客户端软件(如移动办公用户)

图片4.png

FortiClient具有PC和手机版本,支持Windows 2000以上PC操作系统及AndroidiOS等系统的智能终端移动办公用户可以使用多种接入终端设备(PC、智能手机、Pad)接入VPN网络,扩展了VPN网络的覆盖度。

使用客户端方式实现拨号VPN方式时,在核心VPN网关上可以通过配置向导功能,简单的选择选项、填写参数,并点击下一步,即可完成复杂的IPSec VPN配置。

图片5.png

FortiGate支持多种身份认证方法,包括预共享密钥和数字证书认证,X.509数字证书认证可以与企业或机构现有的PKI体系相结合,提供更高级别的安全保护。FortiGate支持离线或SCEP在线申请数字证书方式,FortiClient软件支持PC本地存储或USB Key存储数字证书,使用更加灵活方便。

 

除预共享密钥及数字证书外,FortiGate还支持本地用户、Windows域、RadiusLDAPTACACS+等方式的用户名和密码认证,在预共享密钥及数字证书的基础上进一步提高安全性。

l  星形VPN(Hub-Spoke)

在实际应用中,很多时候也需要进行多个节点之间的VPN互访,如下图所示,除了总部与分支机构AB之间的通信外,分支机构AB之间也需要进行数据交换。FortiGate可以通过星形VPN或全网状VPN来实现这一需求。

图片6.png

FortiGate使用Hub-Spoke方式实现星形VPN。在此结构下,各分支机构、合作伙伴、SOHO及移动用户都与总部建立VPN隧道,而分支节点    之间的互访都是通过总部节点进行的,例如上图中分支机构AB之间的数据通信都绕经总部的FortiGate设备进行。对于快速扩张的企业或机构,星形VPN具有好的扩展性,新的VPN分支节点只需跟中心节点之间建立一条VPN通道,便可很容易的加入到Hub-Spoke星形结构中,实现与现有VPN网络中所有节点的通信;且只需要中心节点(总部)具有一个公网IP地址,其余节点均可以使用私网IP地址。星形VPN的缺点是中心节点的故障将导致所有分支节点也无法互访。

l  全网状VPN(Full Mesh)

通过全网状VPN部署方式,可以克服星形VPN中心节点故障而导致所有分支节点无法互访的缺点。如下图所示:

图片7.png

在全网状VPN结构下,每两个节点之间都建立直连的IPSec VPN隧道,无需第三方介入即可直接通信。全网状VPN的优点是任意一点的故障都不会影响其它节点的互访,但它也有明显的缺点,一是配置工作量大,且扩展比较复杂,每一个新加入VPN网络的节点都需要与其它节点一一建立VPN隧道;二是对网络环境要求更高,例如如果分支机构AB都使用私网IP地址,便无法直接建立VPN。星形VPN和全网状VPN都可以使用FortiManagerVPN管理功能快速配置,从而减少VPN管理员的配置难度和工作量。

l  基于策略与路由模式VPN

除了传统的基于策略的IPSec VPN外,FortiGate还支持基于路由的VPN,在IPSec VPN隧道上建立虚拟接口,IPSec VPN数据传输都在虚拟接口之间进行。

图片8.png

如上图所示,物理接口之间进行VPN隧道协商,虚拟接口之间进行数据通信。在FortiGate上,IPSec VPN虚拟接口与物理接口一样可以进行路由、安全策略等设置。使用基于路由的VPN,可以很容易的实现更多高级功能:

Ø  VPN隧道中实现OSPFBGP等动态路由或组播路由;

Ø  通过静态路由、动态路由、策略路由、等值路由等实现VPN链路的冗余或负载分担;

Ø  远程拨号VPN用户可以使用VPN链路访问Internet,一来可以提高访问的安全性,二来便于企业或机构对移动办公用户的上网行为进行过滤和监控;

l  透明模式下的VPN

通常IPSec VPN都是在路由/NAT模式下实施的,但有时根据网络结构,VPN网关需要配置为透明模式,如下图所示,内网PC的网关指向路由器192.168.1.1FortiGate工作于透明模式。

图片9.png

在这种情况下,FortiGate仍然能够根据管理员设置的VPN策略,截获来自于内网PC向远端局域网的访问请求,然后使用IPSec VPN进行加密封装后发往对端的FortiGate设备;当对端FortiGate设备返回数据时,FortiGate也能进行解密操作并转发回内网的PC

l  相同IP地址段间的VPN

通常情况下,VPN网络两端的局域网应当使用不同的IP地址段,以免发生IP地址冲突,但由于机构的合并,或某些比较老的网络在规划时并未考虑到将来可能的VPN互联,而在不同分支节点使用了同一段IP地址,如下图所示,分支机构AB都使用了192.168.1.0/24这一段IP地址。

图片10.png

利用FortiGateIPSec VPN双向NAT功能,可以支持这种相同IP地址段间的IPSec VPN通信需求。通过将两端的IP地址段进行NAT转换后再进入IPSec隧道,例如转换为192.168.2.0192.168.3.0,便可顺利将这两个192.168.1.0/24网络通过IPSec VPN连通。

l  VPN隧道中的安全过滤

单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等)。而由于VPN的加密特性,使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的,在独立的安全网关和VPN部署方式下,安全网关无法对VPN隧道中的加密信息进行任何安全过滤,病毒、攻击等可以很容易的通过VPN在广域网各节点之间传播扩散,由此带来安全性、性能、管理上的一系列问题。

因此,将VPN和其它安全功能集成,提供一个灵活、高效、完整的安全方案,是当前安全技术的发展趋势。它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网络免受病毒、入侵等的威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集VPN、防火墙和多项应用层安全功能于一身的综合安全网关,可以提供各安全功能之间的完美联动、良好的兼容性和性能。

图片11.png

如上图所示,在FortiGateVPN策略中应用防火墙、防病毒、IPS、内容过滤、反垃圾邮件、IM/P2P过滤等安全功能,可以在各种安全威胁进入VPN加密隧道前或离开加密隧道后进行过滤,从而阻止病毒、蠕虫、木马、入侵、不良内容等在VPN网络各节点之间的传播。

3.    SSL VPN解决方案

IPSec VPN的优势在于LAN-LAN连接,在Client-LAN环境下,使用IPSec VPN需要在客户端安装复杂的软件,而SSL VPN被称之无客户端,可以通过Web浏览器实现无客户端的远程访问。通过SSL VPN,可以在任何地点,利用任何设备,连接到相应的网络资源上。

虽然早期的SSL VPN只支持B/S模式(Web)应用,具有一定的局限性,但是最新的SSL VPN产品(FortiGate)支持通道模式。SSL通道模式与IPSec类似,支持各种B/SC/S应用,且SSL VPN使用知名端口TCP 443通信,因此连通性和兼容性都很好。

如下图所示,在中心节点(如总部)部署FortiGate设备,并设置SSL VPN功能,各地的移动办公用户便可与中心节点建立SSL VPN连接。

图片12.png

l  SSL VPN接入模式

FortiGate SSL VPN用户端接入支持两种模式,分别为代理模式和隧道模式。

Ø  代理模式

 

代理模式与其他任何HTTPS网站一样,你只需登录到FortiGate上的SSL VPN门户网站页面。它的作用类似于服务器端反向代理,或简单的安全HTTP/HTTPS网关,将你与专用网络上的应用程序连接起来。

  SSL VPN门户页面上的书签部分包含指向用户可访问的全部或部分资源的链接。快速连接小部件允许用户输入他们想要访问的服务器的URLIP地址。web SSL VPN用户使用这两个小部件访问内部网络。Web模式的主要优点是它通常不需要你安装额外的软件。

  Web模式有两个主要缺点:

  所有与内部网络的交互都必须使用浏览器进行(通过web门户)。用户PC上运行的外部网络应用不能通过VPN发送数据。

  ● 这是一种安全的HTTP/HTTPS网关机制,它并不适用于访问所有内容,但只适用于少数流行的协议,如HTTPFTPWindows共享。

Ø  隧道模式

通过隧道模式,用户可以自由的访问内网的任意资料,包括各种C/S服务应用、除代理支持的协议外的其它协议等。用户在第一次开启隧道时,需要安装一个客户端软件(ActiveX控件),此软件不需要配置,只需安装一次即可。用户拨入后,会分配一个虚拟IP地址,通过这个地址对内网资料进行访问。隧道模式支持隧道分割方式,只允许访问内网的数据进入隧道,去往Internet的数据同时可以实现正常访问。

  与web模式相比,隧道模式的主要优点是:VPN建立后,客户端上运行的任何IP网络应用都可以通过隧道发送流量。隧道模式的主要缺点是需要安装VPN软件客户端,需要管理权限。

 

图片13.png

Ø  隧道模式也支持分割隧道

当分割隧道被禁用时,客户端计算机产生的所有IP流量(包括互联网流量)都将通过SSL VPN隧道路由到FortiGate。这将FortiGate设置为主机的默认网关。你可以使用此方法将安全功能应用到这些远程客户机上的流量,或者监视或限制internet访问。这增加了更多的延迟和带宽的使用。

   在客户端FortiGate到服务器FortiGate设置过程中,SSL VPN客户端FortiGate会动态有效地创建一条缺省路由,并以ECMP的形式将新的缺省路由添加到现有的缺省路由中。配置路由有以下几种选项:

为了使所有到SSL VPN服务器的流量都是缺省的,并且仍然有到服务器侦听接口的路由,SSL VPN客户端需要将从SSL VPN服务器上学习到的缺省路由设置为较低的距离服务器。

如果需要将这两条缺省路由都包含在路由表中,且从SSL VPN服务器学习到的路由优先,则SSL VPN客户端会为从服务器学习到的路由设置较低的距离。如果距离已经为零,则增加缺省路由的优先级。

  启用分割隧道功能后,只有去往远端FortiGate后的私网的流量才会通过隧道进行路由。所有其他流量都是通过通常的非加密路由发送的。

  分割隧道有助于节省带宽和缓解瓶颈。

l  SSL VPN防火墙安全

FortiGate SSL VPN的访问控制是基于防火墙功能实现。通过防火墙功能,FortiGate设备可以控制允许哪些SSL VPN用户IP拨入;拨入用户可以访问哪些服务器的哪些端口,非常方便的实现SSL VPN访问控制功能。

图片14.png

l  用户身份认证

FortiGate SSL VPN支持以下认证方式:

Ø  用户名/密码认证

进入网页入口需要进行用户名/密码认证。认证的方式支持支持传统的RadiusLDAP Active DirectorySecurID 等认证方式,同时提供Local(本地数据库)认证方式。

Ø  证书认证

为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加应用的各方必须有一个可以被验证的标识,这就是数字证书。FortiGate证书管理支持以下项目:

ü  支持X.509 标准协议。

ü  支持客户端证书认证。

ü  支持Certificate Revocation List (证书撤销列表)

ü  支持intermediate CA Certificate

Ø  双因素认证

当今许多最具破坏性的安全漏洞都源于用户账户和密码的泄露。为了解决这一安全难题,目前已加速采用第二重因素身份验证。采用物理硬件或移动应用令牌的双因素身份验证,增强了用户访问网络时的身份确定性。无论何种规模的企业均可通过FortiToken Cloud,在任何连网的地方对FortiGate的令牌实施情况进行管理。该服务涵盖在FortiGate(或FortiAuthenticator)环境中进行双因素身份验证所需的一切因素,包括采用推送技术的FortiToken移动令牌,可将终端用户的双因素身份验证简化为刷卡或点击验证形式

图片15.png

l  虚拟桌面

FortiGateSSL  VPN客户端还支持虚拟桌面模式。在虚拟桌面模式下,利用流行的沙盒(Sandbox)”技术,为SSL  VPN用户在PC上开辟一块虚拟空间,所有的SSL VPN访问都在这个沙盒中进行。当用户退出SSL VPN虚拟桌面时,所有SSL VPN访问产生的痕迹都会被删除,包括下载的文件、浏览器缓存、历史记录等。如果SSL VPN会话非正常结束,文件可能被保留,但这些文件都是加密的,不能阅读或修改。当用户开启虚拟桌面功能后,虚拟桌面会替换用户普通桌面。同时,用户可以控制哪些应用可以在虚拟桌面上运行。虚拟桌面模式能够更好的满足用户的安全要求,防止信息泄漏,即使SSL VPN用户使用公用计算机(例如使用他人或网吧的PC)来访问单位内部网络,都没有泄密的风险。

l  客户端主机检查

当客户端通过SSL VPN拨入到FortiGate设备,并通过FortiGate设备访问内网资源时,FortiGate设备可以对客户端的PC主机进行安全检测,只有符合安全策略的主机才可以通过FortiGate访问内网。

检查的内容包括:杀毒软件检测及防火墙软件检测。FortiGate上已经预定义了经过Windows安全中心验证的安全软件,可以直接进行配置。用户也可以自定义需要的安全软件。

l  单点登录

网页入口上定义的书签指向的网页上可能还包含认证信息,FortiGate可以自动帮助用户登录进入这些网页。用户登录SSL VPN后,再访问需要认证的书签上的网页时,不需要再输入一次用户名密码。用户在配置书签时,可以自定义单点登录的相关信息。

l  SSL VPN通道内数据深度检测

普通的SSL VPN网关没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等)。而由于VPN的加密特性,使得非法访问、蠕虫、病毒、入侵等在VPN隧道中也是加密传输的,SSL VPN拨入用户如果PC上已经受到恶意的侵入,病毒、攻击等可以很容易的通过VPN在核心网络传播扩散,由此带来安全性、性能、管理上的一系列问题。

FortiGate SSL VPN功能和其它安全功能集成,提供一个灵活、高效、完整的安全方案。可实现的安全功能包括:防病毒、防攻击、应用控制、Web过滤、垃圾邮件过滤等。同时,还可以为每个拨入用户分配一定的带宽,防止因某个用户占用带宽过大而影响到网络速度。

4.    PPTPL2TP VPN解决方案

IPSecSSL VPN类似,通过PPTPL2TP协议,也可以建立端到端的VPN隧道,并实现外部网络到内部的访问。与IPSecSSL VPN相比,PPTPL2TP具有如下的优缺点:

PPTPL2TP简单灵活,均可使用WindowsLinux等操作系统自带的拨号软件而无需另行安装,且具有良好的网络及应用兼容性,但本身安全级别较低,PPTP可选使用MPPE加密(40/56/128位密钥)L2TP本身不加密,需要配合IPSec提供安全保护。因此PPTPL2TP适合于对安全要求不高的环境。

FortiGate设备支持PPTPL2TP VPN,在配置时需要在命令行下进行。

 

5.    SSL VPNIPsec VPN有什么不同?

l  协议不同。

SSLTLS通常用于封装和保护电子商务和网上银行(HTTP)SSL VPN使用类似的技术,但通常封装非HTTP协议。SSL在网络堆栈中的位置高于IP,因此,它通常需要更多的比特——更多的带宽——用于SSL VPN报头。相比之下,IPsec使用一些特殊的协议。ESP主要用于封装和加密IPsec隧道内的UDPRDPHTTP等协议。

l  IPsec VPN也是一种标准。

它可以与多个供应商互操作,并支持设备和网关对等体——而不仅仅是使用FortiGate的用户客户端,就像SSL VPN那样。客户端软件也不同。在SSL VPN中,你的web浏览器可能是你唯一需要的客户端软件。你可以进入FortiGateSSL VPN门户(HTTPS web页面),然后登录。你也可以选择安装FortiClient或配置FortiGate作为SSL VPN客户端。这样可以增加通过VPN隧道发送的协议的数量。

相比之下,要使用IPsec VPN,通常需要安装特殊的客户端软件,或者使用本地网关(如桌面型号FortiGate),才能连接到远程网关。你可能还需要在VPN对等体之间配置防火墙,以允许IPsec协议。然而,IPsec是大多数供应商支持的标准协议,因此VPN会话不仅可以在两个FortiGate设备之间建立,还可以在不同供应商的设备之间、网关和客户端之间建立。它具有高度的可扩展性和可配置性。相比之下,SSL VPN只能在计算机和特定于供应商的网关(FortiGate)之间建立。

 


 

Copyright © 2014-2023 成都仲泰信息科技有限公司 版权所有  备案号:蜀ICP备15008078号-3  
地址:中国成都市青羊区佳兆业广场10栋A创变空间909  邮箱:dt.b@drotec.cn  电话:028-8525-6001