中国移动IBMVPN安全配置手册

中国移动IBMVPN安全配置手册第*页共*页密级：文档编号：项目代号：中国移动IBMVPN安全配置手册Version1.0中国移动通信有限公司二零零四年十二月中国移动IBMVPN安全配置手册2拟制:审核:批准:会签:标准化:中国移动IBMVPN安全配置手册3版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取中国移动IBMVPN安全配置手册4目录1IBMVPN概述...........................................................................................................................51.1简介...................................................................................................................................51.2分类及其工作原理...........................................................................................................51.3功能与定位61.4特点与局限性...................................................................................................................72IBMVPN部署原则及适用环境...............................................................................................82.1适用环境...........................................................................................................................82.2安全部署原则...................................................................................................................83IBMVPN的安全管理与配置.................................................................................................103.1服务器安全策略.............................................................................................................103.2日志审计及监控.............................................................................................................103.3密码策略管理.................................................................................................................133.4过滤器管理与配置.........................................................................................................153.4.1建立过滤器.............................................................................................................153.4.2设置mni使用过滤器.............................................................................................223.5认证方式和隧道协议.....................................................................................................23中国移动IBMVPN安全配置手册51IBMVPN概述1.1简介支持多平台环境的IBMWebSphereEveryplaceConnectionManager（WECM）无线网关是一个分布式、可扩展的、高可靠性、多用途的UNIX通讯平台。它可以通过无线网络、局域网(LAN)或广域网（WAN）为IP、短消息（SMS）和无线应用协议（WAP）的客户端提供优化、安全的数据访问功能。1.2分类及其工作原理WECM方案是一个客户端/服务器的架构，WECM的客户端软件wirelessclient需要安装在无线终端设备，如笔记本电脑或PDA上。Wirelessclient软件目前支持Win98/Me/2000/XP/NT、WinCE、PocketPC2002和PalmOS等操作系统。WECM的服务器软件wirelessgateway可运行在IBMRS/6000的AIX平台上。用户鉴权信息保存在同一台RS/6000的LDAP（LightwayDirectoryAccessProtocol）数据库上。无线终端设备连接到GPRS后，启动wirelessclient客户端软件，通过UDP8889端口，穿过GMCC防火墙，连接GMCC机房的WECMwirelessgateway，wirelessgateway向LDAP请求用户鉴权，成功后，wirelessclient和wirelessgateway建立一条VPN通道。所有终端设备上的应用都可以经这条VPN通道访问企业现有的系统。在wirelessclient和wirelessgateway建立VPN通道时，wirelessgateway会从规划的IP地址中动态分配一个逻辑IP地址给wirelessclient，而所有应用都使用这个IP地址作为应用IP地址。Wirelessclient将数据包进行压缩，中国移动IBMVPN安全配置手册6用3DES或AES加密后传到wirelessgateway上。Wirelessgateway对应用客户端的数据包进行解压缩、解密后，把数据包按应用的IP地址发送到企业应用服务器上。反过来，企业应用服务器的数据包先经过wirelessgateway进行压缩和加密，传到wirelessclient上。Wirelessclient把数据包解压缩、解密后，交给应用客户端程序。1.3功能与定位在IBM提供的无线安全VPN方案中，主要利用了WECM的移动接入服务功能。在该方案中，WECM由以下三个组件组成：服务器网关程序（EveryplaceWirelessGateway）客户端程序（EveryplaceWirelessClient）管理员程序（EveryplaceWirelessGatekeeper）EveryplaceWirelessGatewayWECM无线网关提供移动接入服务功能。通过用户认证及数据加密功能，保证数据从客户端到服务器端到端的数据安全。并经过对数据包的压缩、优化实现对无线网络的适应，保证数据的快速传输。EveryplaceWirelessClientIBMEveryplaceWirelessClient软件运行在客户端移动设备上，并提供了一个功能完善的接口来实现与Everyplace无线网关之间的通讯。在用户经过认证与Everyplace无线网关建立了连接后，WECM为该用户分配一个逻辑的IP地址。使用由用户端移动设备的操作系统提供的标准TCP/IP，IP应用程序将能够在无线网络上运行。EveryplaceWirelessClient与WECM无线网关的结合，将为无线网络通讯带来更强的功能、更好的性能及更高的安全性。无论在支持IP协议还是不支持IP协议的网络中，EveryplaceWirelessGateway都使用标准IP路由，以保证在移动设备与应用程序服务器间建立持续的端到端中国移动IBMVPN安全配置手册7TCP会话。WECM客户端支持的移动终端环境包括：MSPocketPC2002，WinCE，WinME，Win2K，WinXP，Win98，PalmOS等。EveryplaceWirelessGatekeeperIBMEveryplaceWirelessGatekeeper提供了一个基于Java技术用于管理WECM无线网关及无线资源的管理控制台。利用EveryplaceWirelessGatekeeper提供的管理接口，您可以方便地实现远程定义或设置无线网关、注册用户及无线设备、记录用户登录情况及跟踪控制情况、执行路径管理等操作。管理及配置数据将被存储在一个LDAP（LightweightDirectoryAccessProtocol）注册服务器中。可以设置多个EveryplaceWirelessGatekeeper管理员，并将管理任务和权限根据业务需要分配给这些管理员。如果您使用的WECM无线网关只需要支持WAP用户，您还可以将EveryplaceWirelessGatekeeper配置为只显示与WAP有关的资源数据，以简化管理过程。Gatekeeper与服务器网关通过安全的SSL机制建立连接。1.4特点与局限性WECM无线网关将无线及有线数据访问集成在一起，能够有效地为移动用户提供数据和应用。现有应用通过TCP/IP接口可以很容易地扩展到各种无线或有线通讯环境。WECM为方便用户应用开发而隐藏了网络技术实现及接口细节，但提供了用户认证及数据安全性功能，如数据的压缩、加密及优化等。WECM具有以下特点及优势：使您可以通过无线或有线网络向移动用户提供电子商务服务。提供了一个经济划算的为移动用户提供网络服务的解决方案。中国移动IBMVPN安全配置手册8使您可以使用统一的工业标准接口将各类无线网络集成在一起。具有高度的安全性，支持双向用户认证及数据加密。使您可以通过压缩数据及缩减数据包头来减少网络响应时间，降低数据超载率。能够自动保持或恢复网络拨号连接以保证数据的有效传输。提供了一个用Java技术建立的用户接口，使您可以方便地在多平台环境下安装和配置无线网关。2IBMVPN部署原则及适用环境2.1适用环境WECM在服务器和客户端软件都对不同网络开发了不同的网络适配器模块，可以支持多种有线和无线网络。对GPRS和WLAN网络支持没有问题。在WLAN上还可以作为WLAN的安全方案以解决WLAN的安全问题。同时WECM上有一个会话管理数据库，存放了所有连接的会话。这样可以使用户可以使用GPRS网络安全连接企业应用服务器，在有带宽更高的网络，如WLAN或有线以太网的时候，用户自己从GPRS切换到这些网络，用户所访问的应用不会中断。WECM特别适合以下方面的应用：无线安全VPN方案在不同无线、有线网络之间无缝切换，应用不中断WAP网关2.2安全部署原则就WECM的工作原理而言，通过WECM传输数据是安全的，所有进行传输中国移动IBMVPN安全配置手册9的数据都需要经过服务器和客户端的加密后才进行传输，可以有效的防止嗅探器程序窃