企业网IPSec VPN部署方案
发布时间:2023-04-13
作者:徐琦(中兴通讯)
阅读量:
对于构建企业网,企业用户最关心的问题是网络安全,如何能以较少的投资建设完全独立的网络运行体系,保证企业业务的机密性?组建自有网络的方式,能提供最为安全的网络系统,但投资成本大、实施困难,非一般企业可以承受;而向运营商租借专线实现企业的专有网络,对于拥有众多分支的集团企业而言,其需要向运营商支付的相关费用也相当可观。
由于成本和建设实施方面的限制,VPN(Virtual Private Network)成为多数企业普遍采纳的解决方案。VPN技术是从上世纪末开始兴起的在Internet公网/广域网上构建私有网络的技术。IPSec VPN是众多VPN技术中的一种,拥有数据机密性、数据完整性、起源认证和防重放保护等功能特性,可以防止企业的日常业务数据在VPN通过广域网上被恶意用户窃听、篡改和攻击。经过10多年的发展和实际应用验证,IPSec VPN已成为目前业界公认最具安全性的VPN技术。
中兴通讯拥有20余年路由器产品研发经验和成熟的企业网解决方案经验。中兴通讯新一代6800高性能多业务路由器和ZSR V2集成多业务路由器均内置了多性能的专用加密引擎和强大的IPSec协议操作系统,提供媲美专业IPSec网关的加密能力和IPSec功能特性,可帮助中小型企业以及中大型企业客户实现完美的总部到分支之间的安全互联以及远程用户的安全接入。
中小型企业IPSec解决方案组网拓扑结构如图1所示。
在该解决方案中,采用6802或ZSR V2(3800)路由器作为总部的Internet出口网关设备;根据分支的规模,采用ZSR V2(1800或2800)路由器作为分支节点的出口网关设备。
对于分支到总部的安全连接需求,在两个网关对等体间建立场点到场点(Site-to-Site)方式IPSec VPN,根据业务需求可以配置标准IPSec或GRE over IPSec方式,为了配置简单和便于管理,建议配置预共享密钥确认对等体身份,配置主模式进行IKE对等体协商。对于分支机构采用DSL拨号或LAN方式接入Internet的场景,由于分支的出口IP地址是动态获取的,因此需在总部设备配置积极模式进行IKE对等体协商,以便在进行IKE自动协商密钥时可以通过主机名方式进行识别。
对于远程安全访问总部的需求,可以在总部配置远程访问(Remote Access)方式IPSec VPN,也可以在总部网关配置L2TP over IPSec功能,网关充当L2TP LNS,由移动办公方发起L2TP隧道接入总部,并通过IPSec对L2TP隧道进行安全保护。
为了对业务进行精细化管理以及安全防护,可开启6800和ZSR V2的内置状态防火墙和防DOS拒绝服务攻击功能,实现攻击防范;通过配置访问规则策略实现访问控制。
中大型企业IPSec解决方案组网拓扑结构如图2所示。
在该解决方案中,为了部署可靠稳定的IPSec VPN网络,在总部Internet出口采用两台6800路由器,启用VRRP冗余协议作为双中心节点;在分支Internet出口,采用ZSR V2路由器作为分支节点的网关设备。双网关部署方式可保障在设备和链路出现异常时能在短时间内切换,进一步提升网络的可靠性,有效提高总部业务的系统可靠性。同时,考虑到大中型企业对于机密性的高要求,建议在总部与分支机构间以及总部与远程用户间部署X.509数字证书确认对等体身份,以获得在标准预共享密钥基础上更理想的安全和管理性能。
对于中大型企业,一般需要在VPN网关之前部署专用防火墙设备,防火墙开启允许IKE和ESP/AH协议端口通过规则,并针对场点到场点VPN和远程访问VPN配置相应状态防火墙和防DOS拒绝服务攻击等的过滤规则,同时实现防病毒、防垃圾邮件、行为审计和带宽管理等功能。中兴通讯的中大型企业IPSec VPN解决方案中,6800和ZSR V2路由器支持通过OSU开放多业务接口板实现专业硬件防火墙在路由器设备的集成。通过将防火墙、IPSec网关和Internet网关集成于一体,中兴通讯不仅为客户节省了投资,还降低了组网的复杂性。
除了丰富的IPSec VPN业务功能,中兴通讯6800和ZSR V2路由器还提供了多样化的便捷配置方式,方便用户轻松构建IPSec VPN网络。用户可以选择传统的CLI命令行方式,根据实际组网对IPSec隧道的使用需求灵活配置手工方式的IPSec安全策略,或IKE协商方式的IPSec安全策略,并应用到IPSec虚拟隧道接口上。用户也可以选择Web网管方式,通过图形化的快速配置向导帮助用户便捷配置IPSec VPN业务,而不需要手工逐一配置命令行,减轻了部署难度。同时Web图形化界面方便用户更为直观地查看VPN隧道状态、VPN设备运行情况和网络性能,降低了维护难度和成本。
.png)
.png)
.png)
