华为SVN5600_5800系列安全接入网关技术主打胶片

华为安全接入网关技术交流主打胶片—SVN5600/SVN5800系列1目录附录VPN基础知识介绍SVN系列硬件介绍SVN系列软件介绍1232SVN5000安全接入网关全家福SVN5630,300MSSL加密吞吐量,1500并发用户,1U,4GE+2ComboSVN5660,500MSSL加密吞吐量，3000并发用户,1U,8GE+4SFPSVN5830,700MSSL加密吞吐量,6000并发用户,1U,8GE+4SFPSVN5850,1GSSL加密吞吐量,1.2万并发用户,1U,8GE+4SFPSVN5880,5GSSL加密吞吐量,10万并发用户,3U,4*10GE+16GE+8SFPWSIC-8SFPWSIC-4GE-BYPASSWSIC-8GEWSIC-2SFP+&8GESAS-300GB扩展模块USG5600/USG5800系列共计6款设备覆盖300M~5GSSL加密性能，最大10万并发SSL用户接口最少6GE，最大扩展支持64*GE+14*10GE分销行业SVN5860,3GSSL加密吞吐量,4万并发用户,3U,2*10GE+8GE+8SFP3SVN5660SVN5630SVN5630SVN5660CPU型号CaviumCN6130(4核)CaviumCN6645(10核)形态1U1U固定接口4GE+2Combo8GE+4SFP最大接口数量4*10G+20GE+2Combo24GE+4SFP+4*10G槽位数2个扩展接口板8GE电、8GE光、8GE电+2*10GE光、4GE电口Bypass卡硬盘单硬盘300G电源标配单电源（双电源选配，可热插拔）最大功耗170WSVN5000硬件主机介绍——分销5600系列4SVN5830/5850SVN5830/5860SVN5860SVN5880CPU型号CaviumCN6645(10核)CN688032*1.2GCN688032*1.2G形态1U3U3U固定接口8GE+4SFP16GE+8SFP+4*10GE16GE+8SFP+4*10GE最大接口数量24GE+4SFP+4*10G56GE+8SFP+14*10G32GE+8SFP+4*10G槽位数252扩展接口板8GE电、8GE光、8GE电+2*10GE光、4GE电口Bypass卡硬盘单硬盘300G选配2*300G（RAID1）电源标配单电源（双电源选配，可热插拔）标配双电源最大功耗170W350W700WSVN5860/5880SVN5000硬件主机介绍——非分销5800系列5目录SVN系列硬件介绍SVN系列软件介绍12附录VPN基础知识介绍36资源管理网关安全终端安全认证授权Web代理文件共享端口转发网络扩展多媒体隧道云接入VPNDBRadiusSecurIDLDAPAD内置CA外置CA主认证方式短信认证图形码终端标识码辅助认证方式本地用户本地组外部组主机检查缓存清理转发策略黑白名单NAT攻击防范虚拟防火墙虚拟网关内网隔离系统页面定制时间计划用户锁定管理员分级管理密码策略虚拟网关策略用户、组策略防火墙虚拟网关角色绑定单点登录SVN功能框架7访问随心，卓越的接入能力：融合6种VPN技术，兼容7种主流操作系统业务随行，敏捷的访问体验：链路动态优选，流量带宽管理，VIP用户优先上线SVN：定义安全高效的远程接入方式安全随身，立体的防护管控：10种身份认证方式，6000+应用识别管控8访问随心，卓越的接入能力1－－－5种VPN技术－－－7种终端类型－－－4种访问功能9SSLVPNIPSecVPN强大VPN功能终端到网络场景web浏览器接入；客户端软件接入；用户认证，角色管理，终端安全检查；网络到网络场景网关与网关建隧道；两端网络直接连通；L2TPoverIPSec终端到网络场景客户端软件接入；用户认证；GREoverIPSec与IPSec结合，保护路由协议、语音、视频等组播报文；MPLSVPN在骨干网上转发VPN报文；10接入方式基于SSLVPN协议：web浏览器、SSL客户端软件；基于IPSecVPN协议：标准IPSec客户端软件；接入方式基于SSLVPN协议：web浏览器；基于IPSecVPN协议：终端操作系统自带的IPSec客户端软件；泛终端接入——7种主流OS11Web代理对内网Web资源的无客户端访问无客户端的SSLVPN访问，只通过标准浏览器，无需安装任何客户端软件或网页插件；SVN网关充当客户端和服务器之间的代理；URL改写并隐藏，使内网服务器地址对公网用户不可见；URL级访问控制，可控制用户对某一张具体页面的访问权限。webserver代理+页面URL改写webserverwebserverSVN网关Internet内网web网页地址改写后用户看到的网页地址=112Web代理——URL改写举例SVN公网访问地址：管理员在SVN上配置的内网WEB网页资源A：资源A的链接推送到客户端后的地址：用户访问web资源A是，目的地址转变为SVN，所有访问报文都通过SVN中转。在用户终端无需安装任何客户端程序；内网web网页A地址公网访问地址：网页地址：用户发起访问的实际地址：网络扩展实现对内网所有复杂应用的全网访问通过建立安全SSL隧道，实现对基于IP的内网业务的全面访问实现方式1）ActiveX控件；2）专用客户端软件：一次安装，零配置；访问方式（由管理员根据不同应用场景进行配置）1）全通道（FullTunnel）－－只允许访问企业内网；2）分离通道（SplitTunnel）－－可同时访问企业内网和本地子网；3）手动（ManualTunnel）－－可访问内网特定网段的资源，同时对其他正常操作不作影响，可以访问Internet和本地子网；14网络扩展实现过程1、在客户端下载控件，安装虚拟网卡，虚拟网卡获得一个可被内网识别的IP地址；2、客户端发起基于IP的内网应用，虚拟网关截获报文进行封装加密，发往SVN；3、SVN对报文解密后发往内网服务器；4、内网服务器的响应报文发到SVN，由SVN进行封装加密，发往客户端。SERVER10.1.1.10虚拟网卡10.1.1.20CLIENT202.1.1.20202.1.1.3010.1.1.3010.1.1.2010.1.1.1010.1.1.2010.1.1.10202.1.1.30202.1.1.20源IP目的IP源IP目的IP原始报文客户端封装后SVN网关解封装后10.1.1.2010.1.1.10源IP目的IP15网络扩展访问模式Internet本地局域网VPN内网Internet本地局域网VPN内网Internet本地局域网VPN内网网段1网段2网段3全通道模式-FullTunnel客户端所有流量都流向VPN网关；用户在访问VPN的同时不允许访问其他网络；分离通道模式-SplitTunnel用户除了可以访问内网，还能访问客户端所在的本地子网；自定义模式-ManualTunnel用户能够访问内网特定网段的资源，同时，客户端访问本地子网和Internet的操作不受影响；16端口转发提供丰富的内网TCP应用服务广泛支持静态端口的TCP应用单端口单服务器（如：Telnet，SSH，MSRDP，VNC等）单端口多服务器（如：LotusNotes）多端口多服务器（如：Outlook）支持动态端口的TCP应用动态端口（如：FTP被动模式，Oracle）提供端口级的访问控制17端口转发实现原理用户点击客户端页面“启动端口转发功能”按钮，自动安装运行一个WindowsActiveX控件，获取到管理端配置的端口转发资源列表（目的服务器IP、端口）；控件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出）。将目的地址改写为回环地址，转发到侦听端口。对该报文加密封装，添加私有报文头，将目的地址设为SVN的IP地址，经由侦听端口发往SVN。SVN收到报文进行解密，发往真实的目的服务器端口。SVN收到服务器的响应后，再加密封装回传给用户终端的侦听端口。18端口转发实现原理SVNTCP110TCP25TCP21TCP23应用请求应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！Port44319提供对内网文件系统的安全访问采用协议转换技术，无需安装专用客户端，直接通过通用浏览器安全接入内部文件系统；将客户发起的文件共享请求，转换成相应的协议格式，与服务器进行交互；支持：-SMB协议（Windows）-NFS协议（LINUX）文件共享新建文件夹浏览文件下载文件改名文件(夹)删除文件(夹)上传文件支持Windows(SMB)/UNIX(NFS)文件20文件共享实现过程以访问内网Windows文件服务器为例：1、客户端向内网文件服务器发起HTTPS格式的请求，发送到SVN；2、SVN将HTTPS格式的请求报文转换为SMB格式的报文；3、4、文件服务器接受请求报文，将请求结果发送给SVN，用的是SMB报文；5、SVN将SMB应答报文转换为HTTPS格式；6、将请求结果（HTTPS格式）发送到客户端；文件服务器客户端16SMB/NFSHTTPS43HTTPSSMB/NFS52SVN21业务隔离——虚拟网关SVN通过虚拟网关提供SSLVPN服务；每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等；独立型每个虚拟网关对应一个独立的IP地址或者域名；共享型多个虚拟网关共享一个IP地址或者域名，通过子域名加以区分，例如：虚拟网关A、B，都为共享型，并且共享同一个域名，，则通过子域名来区分两个虚拟网关，分别为，；当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟网关，从而形成完全隔离的访问体系。22安全随身，立体的防护管控2－－－10种身份认证方式－－－终端安全检查－－－硬件绑定－－－6000+应用识别－－－DDOS智能防护23用户身份认证VPNDBx.509数字证书动态密码令牌短信认证第三方系统RADIUS,LDAP,WindowsADVPN网关本地数据库账号、密码认证CA认证系统证书认证or证书+账号密码认证密码+PIN码+动态密码认证丰富的认证方式，支持多级认证、混合认证。One-timepasswordUSBKey短信猫、短信平台联动硬件Key+CA数字证书，即插即用24本地用户数据库认证1、用户访问SVN网关，提交用户名、密码信息到SVN；2、SVN在本地用户数据库中验证用户账号密码是否正确；3、匹配到本地数据库中的信息则认为用户合法，允许登录；否则不允许登录；在本地认证方式下，用户可修改密码，管理员对用户密码强度进行限制。Internet213用户SVN网关本地用户数据库场景：客户没有独立的AAA认证系统；优点：SVN提供本地数据库，网关本身即可对用户进行认证授权，无需另外采购认证系统，简化部署和投入；本地数据库认证25第三方服务器认证—RADIUS/LDAP/AD第三方CA系统认证1、用户访问