OA 系统应用安全接入解决方案.docx
ArrayNetworks企业办公自动化系统安全接入解决方案Array Networks, Inc.2004年10月目录1.OA系统需求分析31.1 OA系统背景介绍31.2 OA系统安全现状32.OA系统SSL VPN解决方案72.1 方案介绍72.2 该方案的安全特点:82.3 采用SSL VPN接入OA系统的优势93.OA系统SSL VPN解决方案案例103.1 Microsoft Exchange Server系统103.2 IBM Lotus Domino 系统124.SSL VPN提升OA系统的安全性144.1轻松实现内部网到外部网的扩展144.2 支持通用 SSL 加密算法144.3 用户认证、授权154.4审计和管理154.5 多层安全控制机制154.6 证书管理164.7 支持集群技术164.8 Single Sigh On164.9 Session 级保护175.SSL VPN安全接入对于企业的益处175.1 提高信息安全性175.2 灵活的用户管理和访问控制185.3 方便实施,简单使用185.4 降低管理和维护成本185.5 高度的扩展性和灵活性19Company Confidential- 2 - Company Confidential1. OA系统需求分析1.1 OA系统背景介绍当前,企业信息处理量不断加大,企业资源管理的复杂化也不断加大,这要求信息的处理有更高的效率,传统的人工管理方式难以适应以上系统,而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台,已经为几乎所有的大中型企业所应用。现在一般的大中型企业,都会有企业portal系统和OA系统,甚至有的企业统称为OA系统。随着OA系统的发展,企业办公自动化系统已经不止是简单的邮件收发等无纸办公的概念,她主要包括信息管理和协同作业两部分。包含的信息也涵盖了一般信息、特殊格式的文件、多媒体、图片或其他的对象。采用的形式则有电子邮件,日历,即时消息甚至视频会议等多种形式。其中用的最多的有Microsoft Exchange 系统和IBM Lotus Domino系统。1.2 OA系统安全现状对于OA系统的安全问题,大多数企业考虑最多的还是病毒,认为病毒对企业的办公环境影响最大,所以大部分的财力人力都投向了防病毒系统,当然这是对的。但这还远远不够,仍然会有很多心怀叵测的人或者组织对企业发起攻击,甚至数据窃密等,往往对企业的核心数据造成不可弥补的损失。很多企业采用了网络防火墙来加强安全措施。但防火墙又不容易做到数据的加密,用户的认证和鉴权等,尤其是不容易作认证鉴权。有些OA系统采用软件加密,但软件加密会消耗大量用户服务器的资源,影响OA系统的响应速度。一些企业采用拨号线路为外地客户机提供接入以保障安全,总部为这些接入提供MODEM池和RAS服务。但是依然存在数据加密和授权灵活行的问题,同时,拨号线路也过于昂贵,并且速度也是个大问题。对于要求快速响应的大企业的OA系统来说是不允许的。由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。现在很多远程安全访问解决方案是采用IPSec VPN方式,其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息,一旦IPSec建立加密隧道后,就可以实现各种类型的连接。但是,部署IPSec需要对基础设施进行重大改造,以便远程访问,同时IPSec VPN在解决远程安全访问时具有几个比较大的缺点,如:n IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。客户软件带来了人力开销,而许多公司希望能够避免;某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务(如果不说不可能的话)。n IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;n IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂,尤其是对于NAT和穿越防火墙,往往要在这些设备上作复杂的配置以配合IPsec VPN的工作。n 采用隧道方式,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。n 不适合用作移动用户,如家庭、网吧,宾馆等上网用户;n 应用层接入控制不灵活,这源于他是在IP层之上的VPN系统。从投资的角度看IPsec VPN,要真正建立IPSec VPN,单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。另外,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此,在建设IPSec VPN时,必须购买适当的安全软件,这个软件的成本必须考虑进去也是很高的。最好的方法是采用SSL VPN组网。同IPSec VPN相比,SSL VPN具有如下优点:n SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;n SSL VPN可在NAT代理装置上以透明模式工作;n SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。n SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准,下面列举了其中的一些理由。n SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题,IPSec VPN实际上只适用于易于管理的或者位置固定的设备。n SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。2. OA系统SSL VPN解决方案2.1 方案介绍现在,Web成为标准平台已势不可挡,越来越多的企业开始将OA系统移植到Web上,当然企业门户系统肯定是基于Web的。OA系统将是SSL VPN应用的直接受益者,它被认为是实现远程安全访问Web应用的最佳手段。对于不采用WEB作OA系统客户端的企业,ArrayNetworks SP产品仍有模块来满足这些C/S结构的OA应用,如SP 的Application Manager模块和 L3VPN模块。典型的逻辑结构如下: 其中,Web Resource Mapping 、Application 、L3VPN是SP 提供的三个应用模块,针对不同的OA应用可以采用不同的SSL VPN模块。这样无论员工是在家、宾馆、抑或是竞争对手那里,都可以轻松又十分安全地接入企业OA系统。2.2 采用SSL VPN接入OA系统的优势n 用户端无需安装专用的VPN客户端软件,使用标准的浏览器,如IE 和 Netscape即可接入SSL VPN访问OA系统。提供免客户端、任何地点的访问能力、增加的安全性,使得IT部门管理更容易,和IPSec VPN相比,终端用户使用更简化。由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担,SSL VPN的支持更便宜,也比IPSec更容易部署。n SSL VPN能为使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用从机场商务中心,从任何他人的计算机,甚至任何无线设备。SSL也能在宽带网络上工作。此外,SSL VPN可以成功地穿越防火墙,能处理网络地址转换(NAT)问题,而对基于IPSec的VPN来说,这是一个难题。n 服务器端也无需安装任何额外的VPN专用软件。n SP 采用的是SSL PROXY技术,因此,使用者根本没有和他们要访问的资源直接建立连接,并且隐藏了那不DNS解析空间,所以安全度是很高的。即使是SP提供的L3VPN技术,在其VPN隧道内部我们依然存在一个网络层的防火墙提供安全保护。n 用户接入OA系统是经过认证的,认证方式可以采用ArrayNetworks SSL VPN设备自己的用户数据库,也可以和OA已有的认证系统结合起来,如AD、RADIUS等n 用户接入OA系统是经过经过精细授权控制的,针对不同的用户或用户所属的组,SSL VPN可以按 OA系统预定义的规则来对用户的访问权限进行设定。n 用户接入OA系统是经过加密的,ArrayNetworks SSL VPN设备采用强加密算法,如:私钥算法:DES (56-bit), 3DES (168-bit), RC4 (128-bit),公钥算法: RSA (1024-bit+),消息认证: MD5 (128-bit), SHA-1 (160-bit)n 用户使用方便:用户可以是NAT,或者是通过HTTP代理等灵活的方式,只需保持SSL通道畅通既可。n 部署方式灵活多样。SSL VPN网关SP可以放在路由器、防火墙后面使用NAT后的私有地址。n 管理更加容易。采用SSL VPN要比IPSec VPN更容易管理,由于使用者可以从任何浏览器更安全地访问应用,所以,像SSL VPN能减少分发和管理客户端软件的麻烦。 同时,不需要改变网络,不需要修改防火墙配置和修改终端用户的配置,所以,比采用IPSec有更低的总体拥有成本。n 支持Cluster技术。为OA系统提供高可靠性。3. OA系统SSL VPN解决方案案例3.1 Microsoft Exchange Server系统Exchange 2000 Server 最主要的两大功能是:信息管理与协同作业。也就是说Exchange 2000 Server并不是简单的E-mail服务器的代名词,而是一种交互式传送和接收的重要场所,它包含了一般信息、特殊格式的文件、多媒体、图片或其他的对象。做为Exchange的前端工具的Outlook,在现今更突出了它的重要性,它不但用来收发E-mail,还含有便笺、草稿、任务、日历、日志、联系人与公用文件夹,增加了灵活性。如再配合Microsoft Office各项结构化文件,加上其传阅功能,即可建立一个资源管理系统,让协同作业正常运行。企业信息管理的基础在于通讯管理及组织管理,它的首要条件是先架设一个畅通无阻的企业内部网络(Intranet)。在Microsoft的架设中,可以先用Windows 2000 Server系列软件来架设企业内部网络。然后将Exchange 2000 Server导入,利用Windows 2000 Server与Exchange 2000 Server的整合,来达到通讯及组织管理的目的。从上图我们仍可以看出,以Exchange Server为基础构成的企业OA系统的客户端和OA server的架构也基本分为两类:· B/S结构,客户端采用OWA接入,既采用Web Browser接入OA系统;· C/S结构,客户端采用Outlook。对于OWA接入:SP采用WRM(WEB Resource Mapping)模块来实现,利用Array的SSL VPN的Web资源映射可以实现:· 通过标准浏览器访问企业OA系统;· 支持URL-NAT:URL的动态重写,提高安全性;· 强迫认证,强迫任何访问Intranet的请求都必须先通过AAA;· 隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。而且,经第三方测试,ArrayNetowrks SP的WRM有着极佳的性能表现。对于Outlook作客户端接入exchange server EMAIL系统:由于这些应用都采用固定的TCP端口,如SMTP:25端口;POP3:110端口;IMAP:143端口等。SP采用Application Manager模块来实现,通常,OA系统的远端客户端访问都是访问这几个TCP端口,对于这几个TCP端口,SP启动Application Manager功能时,客户端将下载Java Applet将作为TCP PROXY运行在客户端,它侦听客户端的特定应用TCP端口的请求,并把请求通过SSL连接发给SP,SP将终结SSL连接并和企业内网Exchange服务器建立请求连接。由于只是对几个TCP端口提供SSL VPN服务,所以远比通过隧道方式实现要安全的多。对于使用Outlook接入Exchange server 复杂应用:这类应用比如使用MAPI等。SP采用L3VPN模块来实现,此项功能是在客户端和SP之间通过SSL的连接建立一条VPN通道,客户端将会生成一个虚拟网卡,并修改本机的路由表。这样,客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址,并通过这条VPN通道直连到企业内网,就好像客户端机器在企业内部一样。3.2 IBM Lotus Domino 系统IBM Lotus Domino 是一个世界级的消息服务解决方案,同时,它还是快速开发平台,用户可以基于此平台快速开发协作应用。· 内置核心任务 (邮件、日历、目录、安全、Web服务等) ;集成Domino管理、统计、监控等功能· IBM Lotus Notes 是客户端软件,它提供了工业级的最高安全性,它是一个完全功能的协作客户端· 通过Lotus Notes,用户可以访问邮件、日历、待办事宜、联系人信息等· Lotus Notes客户端家族支持从Web浏览器, 移动设备, 甚至Microsoft Outlook访问Domino。下图是Lotus Notes典型拓扑结构:对于Web接入:SP仍然采用WRM(WEB Resource Mapping)模块来实现,利用Array的SSL VPN的Web资源映射可以实现:· 通过标准浏览器访问企业OA系统;· 支持URL-NAT:URL的动态重写,提高安全性;· 强迫认证,强迫任何访问Intranet的请求都必须先通过AAA;· 隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。目前经测试对于Lotus Notes 6.5以上版本,ArrayNetowrks SP产品给予支持。对于Notes 客户端接入Domino 系统:由于这些应用都采用固定的TCP端口,对于不同的群件,一般会采用不同的高端TCP端口。一般情况下,OA系统的远端客户端访问都这几个TCP端口,对于这几个TCP端口,SP启动Application Manager功能时,客户端将下载Java Applet将作为TCP PROXY运行在客户端,它侦听客户端的特定notes客户端 TCP端口的请求,并把请求通过SSL连接发给SP,SP将终结SSL连接并和企业内网Domino服务器建立请求连接。由于只是对几个TCP端口提供SSL VPN服务,所以远比通过隧道方式实现要安全的多。4. SSL VPN提升OA系统的安全性4.1轻松实现内部网到外部网的扩展n 无需客户端专用软件、通过普通浏览器接入。n Web Resource Mapping 接入企业OA应用,而不用更换内部应用系统或暴露内部域名。n 支持企业固定TCP端口的OA应用。n 支持IP层VPN,实现OA系统维护人员的访问。4.2 支持通用 SSL 加密算法n 密钥算法: DES (56-bit), 3DES (168-bit), RC4 (128-bit)n 公钥算法: RSA (1024-bit+)n 消息认证: MD5 (128-bit), SHA-1 (160-bit)n Web 客户与Array SP之间SSL加密n Array SP 与后台服务器之间明文或SSL加密4.3 用户认证、授权n 认证:支持传统的Radius、LDAP 、Active Directory、SecurID 等认证方式,同时提供Local(本地数据库)认证方式.n 授权:基于用户或用户组的接入控制;基于URLs限定接入内部资源;基于用户IP地址限定接入4.4审计和管理Ø 记录所有行为l 用户登陆/登出l 认证/授权失败l 被请求的 URLsØ 支持的Syslog l 最多8个可配置的log消息² Emergency, Alert, Critical, Error, Warning, Notice, Info, Debugl Log消息时间戳Ø 支持SNMP V2 l 支持 SNMP GET,允许实时地监测系统状态,包括流量负载,活动连接,用户登陆/登出和认证失败等。4.5 多层安全控制机制n Webwall应用层防火墙:基于IP/TCP/UDP的包过滤机制;防DOS攻击;基于状态检测的防火墙功能n 基于URL的过滤机制。n 端到端的SSL加密n 强大的AAA功能n 通过WRM隐藏内部资源路径4.6 证书管理为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加应用的各方必须有一个可以被验证的标识,这就是数字证书。数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个应用服务的信任链。ARRAY SP 的证书管理支持以下项目:n 支持X.509 标准协议。n 支持客户端证书认证。n 支持Certificate Revocation List (证书撤销列表)n 支持intermediate CA Certificate4.7 支持集群技术Array在给服务器提供高容错性,高可靠性的前提是,Array设备本身的容错性和高可靠性。Array支持Cluster的工作模式,提供11 和N1 的冗余配置模式,能工作在Active/Standby或Active/Active方式。 每个设备独立的流量的处理,同时又监视本Cluster中其它设备的工作状态; 能把Clustering 配置成Active-Standby 或 Active-Active ; 利用VRRP的技术实现 ( VRRP虚拟路由冗余协议, RFC 2338)。4.8 Single Sigh On当使用公司内部不同的应用系统时,需要输入不同的 “用户名+ 口令”,资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令,很麻烦。因为需要在不同的Web服务器上进行不同的授权管理,管理员也倍感疲惫。ArrayNetworks SP支持单点登陆,可以让用户访问不同的网站只需要一次登录,一次认证,可以有效降低管理负担和方便使用。4.9 Session 级保护在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击。5. SSL VPN安全接入对于企业的益处通过Array的SSL VPN实现ERP系统的安全接入,可以“帮助企业提高生产力,改善用户使用体验”。Array安全接入解决方案具有以下优点:5.1 提高信息安全性 防止信息泄漏 由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来,杜绝了有效信息的泄露。 杜绝非法访问 SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。 保护信息的完整性 SSL VPN使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,SSL VPN是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。 防止用户假冒 ArryNetworks提供多种认证和授权方式,包括本地 本地用户数据库,并且可以和其他更加强大的认证系统结合起来,如ad,radius,RSA SecurID,SecureComputing等保证系统的可用性 SSL VPN使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。5.2 灵活的用户管理和访问控制ArrayNetworks 提供多种多样的认证机制和授权访问机制,存在本地用户数据库,可以配置在SSL VPN网关设备上。由于企业应用系统一般都已购买了AAA服务器,如Radius、LDAP等,ArrayNetworks SP业可以和他们完美的结合起来,保护用户的投资。ArrayNetworks SSL VPN组网方案是面向应用的VPN方案,可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。5.3 方便实施,简单使用ArrayNetworks SSL VPN方案是无客户端的VPN方案,客户端只需要具备标准的浏览器即可,甚至PDA终端都可以使用。对于使用者来讲,由于对浏览器操作要比专用的软件操作简单的多,也熟悉的多,所以客户端使用非常简单,使用于各种各样的人群,甚至是对IT系统不甚了解的人也一样操作。同时,ArrayNetworks SSL VPN方案 实施起来非常简单,只需要在企业的数据中心部署SSL VPN网关即可,无需在各地市支行或大客户那里部署硬件或软件设备。SP 支持单臂和双臂结构,可以充分适应企业数据中心的网络结构。5.4 降低管理和维护成本ArrayNetworks SSL VPN方案是无客户端的方案,由于客户端采用标准浏览器,SSL VPN的网关只需要在企业的数据中心部署,他的维护操作都是在SP上面进行的,包括用户的授权,访问应用的各种配置等操作。它的管理工作属于集中管理和集中维护模式,可以极大的降低管理和维护成本。对于SSL VPN方案部署初期,尤其是当开始用户数量比较少时还不是很明显,但当随着VPN使用时间的延长,尤其是随着用户数量的增大,SSL VPN的部署以及维护成本将会相对于IPSEC等VPN方案有极大的降低。5.5 高度的扩展性和灵活性ArrayNetworks SSL VPN产品从中小企业到大型企业,以至于到电信运营,有完整的产品线。而且SP的销售模式是按照并发用户数的License来卖的,可以根据用户的需求来购买,当用户数增加时,只需购买相应的license即可,充分保护用户的投资。同时,SP的功能模块也是这个销售模式,用户可以不够买不需要的功能模块,当业务应用有需求时在购买,只需要相应license即可。ArrayNetworks SSL VPN支持Cluster结构,当设备容量不够时,可以横向扩展,并结合SP的 GLM(global license manager)功能,使licnese在cluster结构的SSL VPN网关设备间漂移,充分保障现有用户数license情况下系统的可用性。