湖南电力多链路远程F5-VPN访问接入解决方案及设备配置方案

第1页/共34页湖南电力多链路远程VPN安全访问接入解决方案F5NetworksF5网络有限公司2006年10月第2页/共34页目录第一章简介.......................................................................................................................................................….3第二章需求分析....................................................................................................................................................42.1具体需求分析.............................................................................................................................................4第三章多链路SSL-VPN接入解决方案............................................................................................................53.1网络拓扑图.................................................................................................................................................53.2方案分析.....................................................................................................................................................5第四章设备总体配置方案..................................................................................................................................114.1SSLVPN设备配置方案............................................................................................................................114.1.1F5FirePass的关键技术.........................................................................................................................114.1.2F5FirePass系统设备型号选择.............................................................................................................144.2多链路接入设备配置方案......................................................................................................................18第五章成功案例..................................................................................................................................................34第3页/共34页第一章简介什么是VPN:VPN就是指利用公共网络，如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息，形成逻辑上的专用网络。VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的用户、企业的需求正是VPN技术诞生的直接原因：高效的管理及信息的即时获取需要随时随地的访问需要强的安全控制需要容易部署和管理VPN实现安全接入的两种主要办法IPSecVPNSSLVPNSSLVPN将成为远程访问技术主流降低维护费用并提高效率与IPSec相比采用SSLVPN在三年的时间内节省$80,000到$260,000(BreakawayMarketingGroupAugust2004)丰富的客户端活动日志和审计功能优异的安全性精确适当的访问权限IPSec用来为子网对子网的安全通道而设计，不适用于远程客户端访问远程访问系统是管理系统而非纯业务系统第4页/共34页第二章需求分析现阶段湖南电力在本部建有完善的内部网络系统，并且随着公司业务的不断发展,各地办事机构与公司的信息交换越来越频繁,重要的信息和数据也越来越多,安全也越来越重要,而且随着业务发展,以后将在各地开设新的办事机构,这些分支机构的情况将汇聚到长沙公司本部,同时部分出差人员,需要通过移动方式访问公司。因此需要在确保数据安全的基础上建立VPN通道连接，以实现移动接入以及安全远程访问。同时，公司本部现有电信、联通2条100M专线，通过防火墙与内部网联接，希望能为远程接入用户提供最佳链路和ISP选择，并实现基于策略的多链路负载均衡，可以让远程用户通过最佳链路、以最安全的方式接入公司内部进行应用访问。2.1具体需求分析根据客户的SSLVPN接入的要求,我们总结出来，具体需求如下:1．通过SSLVPN来实现对总局内部网络的无客户端软件访问模式，实现方便快捷的访问；2．SSLVPN并发用户数量目前预计有200人左右；以后随着业务的增长，可能达到几千个用户的规模，并发数有可能达2000个以上，因此系统必须有扩展能力以支持上述业务量；3．系统必须具有高可靠性，并且要求提供一定的容错机制；4．用户的认证管理支持外部LDAP、RadiusServer、及证书认证管理模式以及双因数认证方式，例如RSA的SecuID和RAINBOW的IEKY；5．通过SSLVPN接入内部办公网以后，可以支持OA系统控件的访问及其它典型应用如邮件系统、Portal系统、电力业务系统等的访问。6．灵活的扩展空间，根据实际应用的需求灵活投资，提高整体服务能力7.支持多链路接入，VPN用户使用统一域名通过电信、联通等运营商专线访问SSLVPN，链路负载均衡器应能使用多种方式，如用户网络所在运营商、网络延时、链路负载等自动选择最佳链路接入，避免运营商间网络互联瓶颈、链路故障或拥塞等原因而影响用户访问效率；第5页/共34页第三章多链路SSL-VPN接入解决方案3.1网络拓扑图Com3Com3SSLVPNCISCO7513公司本部DMZ交换机电信联通Com3链路（负载）均衡互联交换机3.2方案分析将F5FirePass连接到湖南电力内部的核心交换机上，利用原有存在防火墙，在防火墙上映射一个合法可路由的IP地址为FirePassVPN设备，并添加相应的安全策略，在FirePassvpn设备上添加用户组，并且为每个用户组添加相应的用户（如财务组、行政组等），为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名即可访问到FirePassvpn的首页内容，然后输入分配的用户名和密码，即可访问相应的内部资源。另外，在外部网络连接上，采用F5的BIGIP3400LTM＋LC连接电信、联通两条线路，BIGIP3400LTM＋LC能够提供独具特色的解决方案，不但能够充分利用这两条链路（双向流量按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上）；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部第6页/共34页用户进行响应，从而解决目前广泛存在的多个ISP之间的互联互通问题。该方案在SSLVPN远程接入访问方面有以下优点：1、适宜具体需求，满足用户的应用；2、可行性强，实施方便，减少整体投资，具有良好的性能价格比；3、系统可扩展性强，因为VPN是建立在公网上的私有连接，因此当网络拓扑改变时，不依附于资源提供商和物理设备；可以很好适宜各种网络结构，对网络的调整减少到最小；5、数据高度保密,提供最高级别的安全保护；6、可以设定每条vpn通道的策略，确保每个连接权限；7、易用性和灵活性好，用户可以通过固定网络（ADSL/DDN/FR/ISDN）或拨号随时随地通过VPN访问数据。如果专线出现问题或若分支机构地点改变不会影响同网络安全及VPN中心信息交换，这很好解决由于专线出故障无法同网络安全及VPN中心信息交换的问题。方案具体说明：将F5FirePass连接到防火墙的DMZ区上，利用防火墙，在防火墙上映射一个合法可路由的IP地址为FirePassVPN设备，并添加相应的安全策略，可实现下列的安全远程访问：1、办公自动化系统的应用通过INTERNET，访问行内的办公自动化系统，进行公文处理、文件传输、收发邮件等工作；1)内部网邮件系统的使用支持microsoftoutlook等客户端邮件系统的应用，支持采用pop3、smtp收发邮件的方式；支持基于web的邮件收发方式（http方式）；2)文件传输支持ftp文件传输，包括normal、passive两种方式。3)文件共享支持与内部网microsoftwindows桌面系统的文件共享。4)基于web的intranet系统的应用通过http方式，访问内部OA网站，进行办公自动化处理。5)业务系统的应用通过Web或C/S方式，访问内部业务系统，实现安全的远程业务处理6)支持视频会议第7页/共34页可以通过网络通道的方式，全面支持各种方式的视频会议，实现移动视频会议接入。2、远程技术支持及维护当行内的计算机业务处理系统发生故障，而相关的科技部维护人员不在现场时，可以通过INTERNET，以最快速度连接我行的内部网络上，进行故障排查及系统维护，能够大大提高科技部人员对计算机业务处理系统的故障响应速度。1)telnet应用远程用户可以通过telnet程序，连接到内部网。2)支持client/server的应用模式支持基于tcp协议的、自定义端口的应用系统的远程应用。client端程序可以工作在远端，通过安全的vpn通道，连接到内部网的服务器或主机上。3、安全管理的需求1)用户角色划分及对网络资源的分权访问要求根据实际需求，将vpn用户划分为不同角色，并根据不同角色，分配给用户不同的网络资源访问权限。用户可访问的网络资源需细化到应用层（如具有某个ip地址的主机上的使用某个特殊tcp端口的应用）。2)支持用户分组支持用户分组功能，支持基于用户组的权限管理。3)用户认证方式的灵活选择可以针对不同的用户或用户组，指定不同的用户认证方式。如可以强制部分用户必须通过第三方认证服务器提供的一次性口令认证，而其他用户则可以使用vpn系统的静态口令。而在多链路接入及带宽管理方面，该方案具有以下特色：提供内网至internet流量的负载均衡（Outbound）实现从Internet对服务器访问流量的负载均衡（Inbound）支持自动检测和屏蔽故障Internet链路支持多种静态和动态算法智能均衡多个ISP链路的流量支持链路动态冗余，流