SVN5600_5800系列安全接入网关技术主打胶片课件.ppt

华为安全接入网关技术交流主打胶片 SVN5600/SVN5800系列,华为安全接入网关技术交流主打胶片,目录,附录 VPN基础知识介绍,SVN 系列硬件介绍,SVN 系列软件介绍,1,2,3,目录 附录 VPN基础知识介绍SVN 系列硬件介绍SVN,SVN5000安全接入网关全家福,SVN5630, 300M SSL加密吞吐量, 1500并发用户, 1U,4GE+2Combo,SVN5660, 500M SSL加密吞吐量，3000并发用户, 1U,8GE+4SFP,SVN5830,700M SSL加密吞吐量, 6000并发用户, 1U, 8GE+4SFP,SVN5850,1G SSL加密吞吐量, 1.2万并发用户, 1U,8GE+4SFP,SVN5880, 5G SSL加密吞吐量, 10万并发用户, 3U,4*10GE+16GE+8SFP,USG5600/USG5800系列共计6款设备覆盖300M5G SSL加密性能，最大10万并发SSL用户接口最少6GE，最大扩展支持64*GE+14*10GE,分销,行业,SVN5860, 3G SSL加密吞吐量, 4万并发用户, 3U,2*10GE+8GE+8SFP,SVN5000安全接入网关全家福SVN5630, 300M,SVN5660,SVN5630,SVN5000硬件主机介绍分销5600系列,SVN5660SVN5630SVN5630SVN5660CP,SVN5830/5850,SVN5860/5880,SVN5000硬件主机介绍非分销5800系列,SVN5830/5850SVN5830/5860SVN586,目录,SVN 系列硬件介绍,SVN 系列软件介绍,1,2,附录 VPN基础知识介绍,3,目录SVN 系列硬件介绍SVN 系列软件介绍 12 附录,资源管理,网关安全,终端安全,认证授权,Web代理,文件共享,端口转发,网络扩展,多媒体隧道,云接入,VPNDB,Radius,SecurID,LDAP,AD,内置CA,外置CA,主认证方式,短信认证,图形码,终端标识码,辅助认证方式,本地用户,本地组,外部组,主机检查,缓存清理,转发策略,黑白名单,NAT,攻击防范,虚拟防火墙,虚拟网关,内网隔离系统,页面定制,时间计划,用户锁定,管理员分级管理,密码策略,虚拟网关策略,用户、组策略,防火墙,虚拟网关,角色绑定,单点登录,SVN功能框架,资源管理网关安全终端安全认证授权Web代理文件共享端口转发网,SVN：定义安全高效的远程接入方式,安全随身，立体的防护管控：10种身份认证方式，6000+应用识别管控,访问随心，卓越的接入能力：融合6种VPN技术，兼容7种主流操,访问随心，卓越的接入能力,1,5种VPN技术7种终端类型4种访问功能,访问随心，卓越的接入能力15种VPN技术,SSL VPN,IPSec VPN,强大VPN功能,终端到网络场景web浏览器接入；客户端软件接入；用户认证，角色管理，终端安全检查；,网络到网络场景网关与网关建隧道；两端网络直接连通；,L2TP over IPSec,终端到网络场景客户端软件接入；用户认证；,GRE over IPSec,与IPSec结合，保护路由协议、语音、视频等组播报文；,MPLS VPN,在骨干网上转发VPN报文；,SSL VPNIPSec VPN强大VPN功能终端到网络场景,接入方式基于SSL VPN协议：web浏览器、SSL客户端软件；基于IPSec VPN协议：标准 IPSec客户端软件；,接入方式基于SSL VPN协议：web浏览器；基于IPSec VPN协议：终端操作系统自带的IPSec客户端软件；,泛终端接入7种主流OS,接入方式接入方式泛终端接入7种主流OS,Web代理,对内网Web资源的无客户端访问无客户端的SSL VPN访问，只通过标准浏览器，无需安装任何客户端软件或网页插件；SVN网关充当客户端和服务器之间的代理；URL改写并隐藏，使内网服务器地址对公网用户不可见；URL级访问控制，可控制用户对某一张具体页面的访问权限。,Web代理对内网Web资源的无客户端访问web server,Web代理URL改写举例,SVN公网访问地址：https:/218.10.1.16管理员在SVN上配置的内网WEB网页资源A：http:/7.1.1.233/news资源A的链接推送到客户端后的地址：https:/218.10.1.16/webproxy/7.10.10.1/news用户访问web资源A是，目的地址转变为SVN，所有访问报文都通过SVN中转。在用户终端无需安装任何客户端程序；,内网web网页A地址http:/7.1.1.233/news,SVN公网访问地址：https:/218.10.1.16在SVN上配置的web网页地址：http:/7.1.1.233/news,用户发起访问的实际地址：https:/218.10.1.16/webproxy/7.1.1.233/news,Proxy,Web代理URL改写举例SVN公网访问地址：内网web网,网络扩展,实现对内网所有复杂应用的全网访问通过建立安全SSL隧道，实现对基于IP的内网业务的全面访问实现方式 1）ActiveX控件； 2）专用客户端软件：一次安装，零配置；访问方式（由管理员根据不同应用场景进行配置） 1）全通道（Full Tunnel） 只允许访问企业内网； 2）分离通道（Split Tunnel ） 可同时访问企业内网和本地子网； 3）手动（Manual Tunnel ） 可访问内网特定网段的资源，同时对其他正常操作不作影响， 可以访问Internet和本地子网；,网络扩展实现对内网所有复杂应用的全网访问,网络扩展实现过程,1、在客户端下载控件，安装虚拟网卡，虚拟网卡获得一个可被内网识别的IP地址；2、客户端发起基于IP的内网应用，虚拟网关截获报文进行封装加密，发往SVN；3、SVN对报文解密后发往内网服务器；4、内网服务器的响应报文发到SVN，由SVN进行封装加密，发往客户端。,网络扩展实现过程1、在客户端下载控件，安装虚拟网卡，虚拟网卡,网络扩展访问模式,Internet,本地局域网,VPN内网,Internet,本地局域网,VPN内网,Internet,本地局域网,VPN内网,网段1,网段2,网段3,全通道模式-Full Tunnel客户端所有流量都流向VPN网关；用户在访问VPN的同时不允许访问其他网络；,分离通道模式-Split Tunnel用户除了可以访问内网，还能访问客户端所在的本地子网 ；,自定义模式- Manual Tunnel用户能够访问内网特定网段的资源，同时，客户端访问本地子网和Internet的操作不受影响 ；,网络扩展访问模式Internet本地局域网VPN内网Inte,端口转发,提供丰富的内网TCP应用服务广泛支持静态端口的TCP应用单端口单服务器（如：Telnet，SSH，MS RDP，VNC等）单端口多服务器（如： Lotus Notes）多端口多服务器（如： Outlook ）支持动态端口的TCP应用动态端口（如： FTP被动模式，Oracle） 提供端口级的访问控制,端口转发提供丰富的内网TCP应用服务,端口转发实现原理,用户点击客户端页面“启动端口转发功能”按钮，自动安装运行一个Windows ActiveX控件，获取到管理端配置的端口转发资源列表（目的服务器IP、端口）；控件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port 与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出）。将目的地址改写为回环地址，转发到侦听端口。对该报文加密封装，添加私有报文头，将目的地址设为SVN的IP地址，经由侦听端口发往SVN。SVN收到报文进行解密，发往真实的目的服务器端口。SVN收到服务器的响应后，再加密封装回传给用户终端的侦听端口。,端口转发实现原理用户点击客户端页面“启动端口转发功能”按钮，,端口转发实现原理,SVN,TCP 110,TCP 25,TCP 21,TCP 23,应用请求,应用代理,CLIENT,SERVER,SSL,Internet,提供对内网TCP应用的安全接入！,Port 443,端口转发实现原理SVNTCP 110TCP 25TCP 21,提供对内网文件系统的安全访问 采用协议转换技术，无需安装专用客户端，直接通过通用浏览器安全接入内部文件系统； 将客户发起的文件共享请求，转换成相应的协议格式，与服务器进行交互； 支持： - SMB协议（Windows） - NFS协议（LINUX）,文件共享,提供对内网文件系统的安全访问文件共享新 建浏览文件下载文件改,文件共享实现过程,以访问内网Windows文件服务器为例：1、客户端向内网文件服务器发起HTTPS格式的请求，发送到SVN；2、SVN将HTTPS格式的请求报文转换为SMB格式的报文；3、4、文件服务器接受请求报文，将请求结果发送给SVN，用的是SMB报文；5、SVN将SMB应答报文转换为HTTPS格式；6、将请求结果（HTTPS格式）发送到客户端；,文件服务器,客户端,1,6,SMB/NFS,HTTPS,4,3,HTTPS,SMB/NFS,5,2,SVN,文件共享实现过程以访问内网Windows文件服务器为例：文件,业务隔离虚拟网关,SVN通过虚拟网关提供SSL VPN服务；每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等；独立型 每个虚拟网关对应一个独立的IP地址或者域名；共享型 多个虚拟网关共享一个IP地址或者域名，通过子域名加以区分，例如：虚拟网关A、B，都为共享型，并且共享同一个域名，则通过子域名来区分两个虚拟网关，分别为 ， ；当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟网关，从而形成完全隔离的访问体系。,业务隔离虚拟网关SVN通过虚拟网关提供SSL VPN服务,安全随身，立体的防护管控,2,10种身份认证方式终端安全检查硬件绑定6000+应用识别DDOS智能防护,安全随身，立体的防护管控210种身份认证方式,用户身份认证,x.509数字证书,动态密码令牌,RADIUS, LDAP, Windows AD,VPN网关本地数据库账号、密码认证,CA认证系统证书认证or证书+账号密码认证,密码+PIN码+动态密码认证,丰富的认证方式，支持多级认证、混合认证。,One-time password,USB Key,短信猫、短信平台联动,硬件Key+CA数字证书，即插即用,用户身份认证VPNDBx.509动态密码短信认证第三方系统R,本地用户数据库认证,1、用户访问SVN网关，提交用户名、密码信息到SVN；2、SVN在本地用户数据库中验证用户账号密码是否正确；3、匹配到本地数据库中的信息则认为用户合法，允许登录；否则不允许登录；在本地认证方式下，用户可修改密码，管理员对用户密码强度进行限制。,场景：客户没有独立的AAA认证系统；优点：SVN提供本地数据库，网关本身即可对用户进行认证授权，无需另外采购认证系统，简化部署和投入；,本地数据库认证,本地用户数据库认证1、用户访问SVN网关，提交用户名、密码信,第三方服务器认证 RADIUS/LDAP/AD,第三方CA系统认证,1、用户访问SVN，提交用户名、密码；2、SVN将用户认证信息转发给RADIUS/ LDAP/ AD认证服务器，由服务器进行验证；3、认证服务器将验证结果返回给SVN；4、SVN根据认证结果允许/禁止用户登录；,场景：客户已有专门的AAA认证系统；优点：SVN能够与第三方标准系统联动使用，统一用户认证，简化管理；,用户,RADIUS/LDAP/AD认证服务器,2,1,3,4,SVN网关,第三方服务器认证 RADIUS/LDAP/AD第三方CA,证书认证 之第三方CA系统联动,第三方CA系统认证,1、证书颁发第三方CA服务器生成CA证书（根证书），基于根证书生成用户证书，每个用户一张；管理员将根证书导入SVN网关，将用户证书分发给用户；用户身份认证2、用户登录，提交用户名（可选）、密码（可选），证书；3、SVN使用本地的CA根证书验证用户证书；4、如果证书有效则允许用户登录，否则禁止用户登录；,场景：客户已有专门的CA证书认证系统；优点：SVN能够与第三方标准系统联动使用，统一用户认证，简化管理；,用户,第三方CA系统,1,1,2,4,SVN网关,用户证书,CA根证书,3,证书认证 之第三方CA系统联动第三方CA系统认证1、证书颁发,证书认证 之网关内置CA,内置CA系统认证,1、证书颁发内置CA软件生成CA证书（根证书），基于根证书生成用户证书，每个用户一张；管理员将根证书激活，将用户证书分发给用户；用户身份认证2、用户登录，提交用户名（可选）、密码（可选），证书；3、VPN网关用设备内的CA根证书验证用户提交的用户证书；4、合法用户允许登录，其他用户禁止登录；,用户,SVN网关,2,4,1,1,3,内置CA系统,场景：客户没有专门的CA证书认证系统；优点：SVN提供内置CA软件，无需另外采购，简化部署和投入；,用户证书,CA根证书,证书认证 之网关内置CA内置CA系统认证1、证书颁发用户SV,USB Key认证,USB Key认证,1、管理员将第三方CA系统或者SVN内置CA生成的CA根证书导入到SVN网关，将CA根证书生成的用户证书导入到USB Key中，分发给用户；2、用户要登录SVN前，将USB Key插到电脑的USB接口中，系统会自动调用USB Key中的用户证书；3、用户访问SVN，输入用户密码（可选），提交证书；4、SVN使用本地CA根证书验证用户证书；5、证书有效则允许用户登录，否则拒绝登录；,场景：客户希望用USB Key来增加认证强度；优点：CA证书+硬件USB Key，客户对安全感知度更高；注：USB Key需要外购,USB Key认证USB Key认证1、管理员将第三方CA系,动态密码SecurID认证,SecurID认证,1、用户访问SVN，提交用户名、动态密码、PIN码；2、SVN将用户提交的信息到后台服务器上去比对；3、服务器告知SVN验证结果；4、如果当前动态密码正确，则允许用户登录，否则拒绝登录；,场景：客户希望通过动态密码、令牌增加认证强度；优点：动态密码一分钟一变，安全性高；缺点：购买RSA服务器价格高，每年要交年费。,用户,SVN网关,1,2,3,后台RSA服务器,4,Token,晶振同步,动态密码SecurID认证SecurID认证1、用户访问SV,短信认证,短信认证,1、用户完成账号密码认证，认证方式可以是本地数据库、RADIUS、LDAP、AD、CA认证，认证服务器识别出该用户绑定的手机号码；2、SVN通知运营商短信网关or本地短信猫，给指定的手机发送短信验证码；3、用户提交短信验证码给SVN；4、SVN将验证码提交到短信网关或短信猫进行验证；5、匹配则SVN允许用户登录，否则拒绝登录；,短信网关：运营商的短信平台，SVN支持移动/联通/电信的短信网关，需要客户租用运营商的短信服务。SVN和短信网关通过网络连接。短信猫：和SVN直接相连的小盒子，可发送短信。需要客户单独购买，与短信网关相比，发送速率较低。,短信认证短信认证1、用户完成账号密码认证，认证方式可以是本地,终端安全检查,终端检查项,由SVN推送到终端上的控件自动提取相关信息防火墙安装及运行状态；杀毒软件安装及运行状态；操作系统版本以及补丁版本；注册表项；特定进程；特定文件；特定端口；,终端安全性检查在用户认证之前进行，终端安全检查不通过，则不允许使用该终端登录VPN。,终端安全检查SVN网关用户终端用户终端终端检查项由SVN推送,终端硬件绑定,内置CA系统认证,用户首次访问SVN1、用户提交终端标识码，由客户端进程自动提取终端的硬件信息生成标识码，发送给SVN；2、管理员对硬件标识码和用户账号的绑定关系进行审批，审批通过，则该用户后续只能使用绑定过的终端进行登录；用户后续登录SVN3、客户端进程自动提炼终端的硬件标识码，提交给SVN；4、SVN将本次提交的终端标识码与该用户对应的终端信息进行比对；5、如两者相同，则允许用户只用当前终端登录，否则拒绝。,终端标识码结合了MAC地址和其他硬件信息HASH而成；每个用户最多可绑定5台终端；,终端硬件绑定内置CA系统认证用户首次访问SVNSVN网关用户,“应用”感知：业务更清晰，控制更精细,类别和子类（5大类，33子类） Business_Systems:Database：数据库，例如：Mysql Entertainment:Game：游戏，例如：WarcraftSocial_Networking：如：facebook P2P：迅雷、电驴、BTGeneral_Internet:Web_Browsing：网页浏览File_Sharing：文件共享软件Network:Encrypted_Tunnel：如：IPSecGeneral:General_TCP：未分类的TCP应用,数据传输方式client-server：如客户端游戏browser-based：如网页版游戏Networking：通用网络类，如HTTPpeer-to-peer：如Thunder、BT ,风险分类&级别可被利用: 应用具有已知的漏洞躲避特征: 期望穿过防火墙，如代理、翻墙类数据泄露: 具有文件传输、上传文字等功能承载恶意软件: 被已知恶意软件利用隧道协议: 能够在其协议内传输其他应用涉及的风险类型 风险级别,“应用”感知：业务更清晰，控制更精细类别和子类（5大类，33,Anti-DDOS流量自学习,Anti-DDOS流量自学习,业务随行，敏捷的访问体验,3,智能多出口选路多网关自动优选带宽管理,业务随行，敏捷的访问体验3智能多出口选路,智能的多出口选路,智能的多出口选路,多网关动态优选,多网关动态优选SVN北京SVN上海SVN深圳出差用户场,多层次的流控功能,多层次的流控功能,SVN主要应用场景,R&D,企业内网,分支机构,互联网边界/DMZ区远程接入精细化访问控制终端安全检查智能选路,远程维护接入身份认证精细化访问控制全业务代理,企业分支互联VPN传输安全SSL与IPSec无缝连接链路高可靠性,SVN主要应用场景R&D企业内网分支机构互联网边界/DMZ区,目录,附录 VPN基础知识介绍,SVN 系列硬件介绍,SVN 系列软件介绍,1,2,3,目录 附录 VPN基础知识介绍SVN 系列硬件介绍SVN,VPN简介,VPN虚拟专用网指的是依靠ISP（Internet Service Provider因特网服务提供商）和其它NSP（Network Service Provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的物理链路资源动态组成的。它不是真的专用网络，但却能够实现专用网络的功能。以OSI 模型参照标准，不同的VPN 技术可以在不同的OSI 协议层实现 数据链路层 PPTP，L2TP 网络层 IPSEC 应用层 SSL 按照VPN的网络连接类型主要分为Site-to-Site 和 End-to-Site两种类型。 Site-to-Site主要指的是网络和网络之间的VPN连接。而 End-to-Site指的是移动终端到企业私有网络之间的VPN连接，SSL VPN 就是 End-to-Site类型的VPN。多种VPN各有特色，互相补充。满足不同的需求，适用于不同的场景。,VPN简介VPN虚拟专用网指的是依靠ISP（Internet,IPSec简介,意义IPSec（IP Security）能在不安全的网络环境（如Internet）中为敏感数据的传输提供安全保护。IPSec互联方式：网关与网关之间；主机与网关之间；IPSec在协议栈中的位置：网络层对所有基于IP的应用程序提供透明的安全服务，无需对各个应用程序进行修改。IPSec提供的服务：安全服务保密性：对数据进行加密，以密文形式对数据进行传输；完整性：保证数据在传输过程中不被篡改；真实性：验证数据源，以保证数据来自真实的发送者；抗重放攻击：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。,IPSec简介意义,用于提供安全服务AH（Authentication Header）两种验证算法：MD5、SHA-1；ESP（Encapsulating Security Payload）加密算法：DES、3DES、AES；AH和ESP协议是在IP协议的基础上，通过引入新的字段（AH头、ESP头、ESP尾、ESP认证数据）来提供安全保护。,IPSec基本概念安全协议组件,IP数据,IP头,AH头,认证数据,AH协议,身份认证 数据完整性校验 抗重放攻击,ESP认证,ESP尾,IP数据,ESP头,IP头,认证数据,ESP协议,身份认证 数据加密 数据完整性校验 抗重放攻击,数据加密,用于提供安全服务IPSec基本概念安全协议组件,IPSec基本概念操作模式,IPSec有两种操作模式（IP报文的封装模式） 1. 传输模式（Transport Mode） 应用场景：主机与网络安全网关之间的通信,对IP数据段进行了保护，比如TCP、UDP、ICMP等报文。,新的IP数据段,IPSec基本概念操作模式 IPSec有两种操作,IPSec基本概念操作模式,2. 隧道模式（Tunnel Mode） 应用场景：网关与网关之间的通信,保护整个原始IP报文，包括IP头和 IP数据；隐藏了内部IP地址、协议类型和端口号。,IPSec基本概念操作模式2. 隧道模式（Tunnel,IPSec基本概念操作模式,对于AH和ESP，都有两种操作模式：传输模式和隧道模式，其报文的封装格式分别如下所示：,IPSec基本概念操作模式 对于AH和ESP,SSL简介,1994年Netscape开发了SSL (Secure Socket Layer)安全套阶层协议，专门用于保护Web通讯；到目前为止，SSL协议有三个版本，其中SSL2.0和SSL3.0得到广泛的应用，IETF基于SSL3.0推出了TLS1.0协议(也被成为SSL3.1)；大部分web浏览器都默认支持SSL协议，通过标准的浏览器，就可以访问企业的内部应用；只要有一台电脑终端，能够上网，就能够实现随时随地安全可控的远程访问；SSL协议发展到现在，已经不再单纯局限于B/S类的Web应用，同样能很好地支持C/S应用，针对基于的IP的应用，如：VOIP电话、音频、视频等，也提供了类似于三层VPN的安全隧道，实现对所有TCP、UDP应用的访问支持；,SSL简介1994年Netscape开发了SSL (Secu,SSL协议与数据通信,SSL协议从以下方面确保了数据通信的安全：机密性 采用加密算法对需要传输的数据进行加密；完整性 采用数据鉴别算法，验证所接收的数据在传输过程中是否被修改；认 证 在建立SSL连接之前，客户端和服务器之间需要进行证，认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证；,SSL在TCP/IP协议栈中的位置,SSL协议与数据通信SSL协议从以下方面确保了数据通信的安全,SSL报文封装,Web、TCP业务访问报文封装：,每个厂商定义的SSL私有头不同，因此不同厂商的SSL客户端和网关之间不可访问；全网IP业务访问报文封装：,IP头+TCP/UDP头,SSL报文封装Web、TCP业务访问报文封装：数据截获的原始,SSL VPN与IPSec VPN对比,IPSec VPN网关到网关IPSec VPNClien,SVN5600_5800系列安全接入网关技术主打胶片课件,