跨国公司及大型企业站点式IPSec VPN

一体化安全通信实施建议

跨国公司及大型企业站点式IPSec VPN 实施建议
站点式IPSec VPN建立


组网结构图

分支机构结构：
根据分支机构的大小，在每个分支的出口都安装一台Juniper 防火墙/VPN 设备，提供VPN 接入功能。

所有部署在分支机构的Juniper 防火墙设备，首先必须在网络层上可以与中心点（逻辑意义）通信，黑色连接实线表示其与Internet 或其他广域网连接示意。
Juniper 防火墙支持多种Internet 接入方式：
■窄带拨号方式（对SSG 5/20 产品作为可选件提供，一般作为备份链路）
■PPPOE 动态拨号方式，适应于ADSL 拨号机构
■DHCP 自动获取得地址，适应用城域网、有线电视宽带网、小区宽带网等机构
■静态地址分配，适应于专线接入Internet、固定IP ADSL 线路等机构

中心点结构：
中心点为各分支机构数据的集中控制点，数据流量较大，并且要求性能更高，建议采用以下方式提高系统稳定性：

■采用高性能系统级产品，以满足性能、稳定性需求

■满足中心点系统的高可靠性，建议中心节点建立HA 冗余节点。由于最多时中心点要终结1000 多条VPN，切换时防火墙必须能够提供保持VPN 连接信息状态的同步，否则重新同时进行1000VPN SA 的协商会导致长时间的延迟。

中心站点组网结构图
VPN 建立
在每个分支节点与中心点之间建立VPN连接，如图中虚线所示，并且通过采用Juniper 以下 VPN 技术，建立可扩展性、可管理性VPN 网络。

基于路由的VPN 链路
在分支机构与中心点防火墙建立的VPN 通道绑定到一个或多个逻辑端口上（中心点防火墙的每个逻辑接口可以绑定一定数量的分支机构的VPN 连接），VPN 数据包基于路由查找转发，更有利于防火墙安全策略的修改、配置，不影响现有网络应用。

动态路由协议
VPN数据包除了通过静态路由进行转发外，如果在防火墙上启用动态路由协议，如Juniper 防火墙支持的OSPF, BGP, RIPv2 等多种路由协议，根据VPN 通道链路的建立与断开状态，防火墙自动维护动态路由表，保证基于路由VPN 查找时路由路径的准确，减轻网管人员工作量。
路径监控
对于线路故障多发的链路，对防火墙实施VPN 路径监控，使得VPN 的故障可以最短时间反映到静态路由或动态路由上。

HUB&SPOKE 星型结构
各分支机构与中心点呈hub星型连接，分支机构之间一般数据访问较少，从安全角度考虑，分支机构间需要数据传输时，需要通过中心点路由中继完成，由于中心点防火墙设备集群可以通过Juniper 防火墙的NSRP 协议基于状态对所有VPN 进行设备间的透明切换，所以中心防火墙不是单点故障设备。

通过这些VPN，可以完成以下功能：
■所有分支机构LAN 与中心点LAN 之间加密、认证的通信都通过VPN 直接传送。
■所有分支点的LAN相互之间的加密、认证的通信可以先通过直接的VPN 到达中心点，然后由中心点转发到相应的其他分支点。即采用路由的虚拟连接，也称作Hub&Spoke 方式的VPN 连接（如图中黑色虚线）。既解决了网状连接的VPN 数量多、难以管理的问题，由可以通过中心点设备更好地控制分支点之间的数据访问权限。
■为防止因为各种原因导致中心点防火墙不可访问，从而造成分支点之间的互访障碍，可以配置一个冗余的中心，提高整个网络的高可用性（如图中右端的设备及其VPN 连接）。Juniper支持这种备份方式的VPN冗余配置结构，而且故障切换对于所有VPN 不造成影响。
■Juniper 支持NAT-Traversal 方式的VPN。建立IPSec VPN 的两台设备，如果其中一台在NAT 设备后面，IPSec的认证机制会阻碍VPN 的建立。NAT-Traversal 方式可以使两台NetScreen设备自动发现它们之间的NAT设备，采取自动添加UDP 包头的方式解决问题。
■Juniper 基于Policy 的地址翻译，可以解决由于分支点之间地址冲突导致的VPN 定义问题，为今后如企业并购等引起的网络调整可以达到最小的影响。
■特殊需求情况下，可以直接建立不经过中心的直接的分支点之间的LAN-to-LAN 加密VPN 连接。
■可以采取证书认证的方式保证VPN 建立的合法性。Juniper 支持Entrust、Microsoft 等大多数常用的CA 体系。

防火墙/VPN 集中管理
在防火墙系统的管理上，有分散和集中两种方式。Juniper 设备在管理方面的实现很受用户欢迎。

分散方式让用户分别管理每台防火墙。优点是符合大多数人的思维习惯，管理灵活。

命令行方式，可以通过Console接口、Telnet（23）或安全的SCS方式对设备进行管理、排查故障等。命令行方式可以完成所有的配置、检查、排错等工作。

浏览器方式，可以使用户使用通用的Web界面对设备进行配置、查询。浏览器方式支持HTTP（80）和HTTPS（443）。NetScreen 的浏览器管理方式实用性很好，具有良好的用户反馈。所有管理接口使用的端口号可以根据需要改变。

单机管理的分散方式在大型网络应用实施中存在一定的缺点，许多资源的定义重复（如地址本、协议等），相应提高了整体的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题，建立企业级VPN 网络建议采用工程实施和日常监控时采用宏观的集中方式管理，但是在解决特殊问题时要结合基于命令行和浏览器方式的微观的分散管理进行，特别是命令行方式。这是因为IPSec VPN网络有其内在的复杂性，各网点实际环境和实验室环境往往不尽相同，而一条VPN 能否建立起来，取决于很多复杂因素，单单依靠图形界面（集中方式或浏览器方式）是无法获得足够的原始信息的进行分析的。Juniper的SSG 5/20防火墙虽然是Juniper 较低端的防火墙设备，但是和其他厂家的低端产品不同（基于成本因素，其他厂家往往在低端产品上省略了命令行管理查错功能，以及其他的高端产品的功能），却具备了和高端产品（如NS5200）完全一样的命令行功能，可以有效地对VPN 建立的全过程进行命令行上的debug和snoop，并将输出信息有效过滤，传送到TFTP 服务器上，给维护人员提供故障分析的原始数据。这种将单机管理（命令行）和集中管理结合的维护方式对VPN 大网的部署和维护特别有利。

集中方式从宏观全局的角度对所有防火墙实现集中的管理，集中制定安全策略。

Juniper 防火墙可实现通过Netscreen-Security Manager 专用网管工具集中管理。

Juniper的安全管理系统NetScreen-Security Manager是Juniper 针对防火墙/IDP 进行从设备物理层、到路由、到策略、VPN 等全面进行管理的工具。它具有集中的设备配置/ 维护、故障/ 事件管理、基于角色的监控、使用跟踪以及报表等功能。NetScreen-Security Manager提供了中央配置管理功能，可以高效地把数百条、甚至数千条策略分发到各设备或设备群组。

NetScreen-Security Manager系列的关键性能在于它能够通过简便操作、直观的策略管理用户界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射采用到多个设备中。简言之，NetScreen-Security manager为设备部署提供高度易操作性与灵活性，减少管理工作。

针对IPSec VPN 大网的建立，NetScreen-Security manager 提供一系列的方便的管理和实施工具，包括：

快速部署功能
管理员可以利用NSM的快速部署功能一次配置在NSM里产生多达1000个设备（通过一个.csv文件的导入实现），对分支机构的VPN 网关进行初始配置，形成相应的configlet 文件，将configlet 文件发给本地人员，本地人员通过PC 的浏览器对出厂配置的设备（缺省E1/MGT 的IP 地址是192.168.1.1）进行基于浏览器的configlet 导入，启动后设备会自动联上NSM，NSM 对设备对其进行远程管理。

如果需要对设备进行升级，NSM 可以批量地将升级版本的操作系统发到大量设备上。Juniper的升级版本的操作系统文件很小，而功能却是完整的FW/VPN/Routing 的功能。同时添加多个设备的图形界面如下：



VPN manager 功能
VPN Manager 是针对建立大型VPN 网络快速实施的功能，管理员通过VPN Manager，可以在系统层面对VPN 里的所有设备进行统一的自动配置，包括连接、通道、和策略。VPN Manager支持AutoKey IKE VPN，可以实施基于路由的VPN 模式或基于策略的VPN 模式，也可以支持二者的混合，即路由模式的VPN 成员和策略模式的VPN 成员之间建立VPN。对于大型VPN 网络我们建议使用VPN Manager来快速实施VPN 配置，通过简单地定义受保护区域、VPN 类型等对象，一次性配置多台VPN 网关设备的VPN。其配置图形界面如下：


配置实施和管理
管理员可以通过NSM 对设备进行全方位的配置和管理，包括：接口、安全区、动态路由、组播、地址翻译、策略、冗余等，在给设备推送配置修改之前，可以让管理员了解NSM 上的配置和设备上的配置的区别，如果在推送配置的过程中发生线路等故障，设备不会使用推送了一半的配置。

监控和日志
NetScreen-Security Manager 的报表分析功能使它更加有价值。通过集中的日志收集、存储、分析、报表，可以提供专业的日志处理功能，并根据用户的喜好生成灵活的报告方式以及趋势分析。

NetScreen-Security Manager 提供对设备的集中、实时的监控，以及集中的设备维护如升级等。

NetScreen-Security Manager还可为数量众多的移动VPN用户提供安全、方便的集中管理。NetScreen-Security Manager 的这种Authentication and Go工作模式解决了众多的移动用户带来的配置繁琐、安全性差等缺点。

NetScreen-Security Manager的专业特点还在于它可以将管理者的权限进行详细的限定，实现基于角色的多级别管理和授权。

NetScreen-Security Manager 是一个三层体系结构。

下图为NetScreen-Security Manager 工作结构图



NetScreen-Security Manager的体系结构包括一个设备服务器端、一个GUI 服务器端和一个小型用户界面(UI)。为了满足IT 人员的不同管理需求，同时保持灵活性和高性能，公司作出了一个基本的体系结构设计决策，即将所有设备相关功能都放到设备服务器上，同时将所有集中配置功能都放到GUI服务器上。设备服务器和GUI 服务器的分离可以实现很高的性能和灵活性。在成本和/ 或简便性是主要要求时，设备和GUI服务组件可以位于同一服务器上。而当性能和部署灵活性更为重要时，它们可以部署在不同服务器上。UI可以为管理员提供到所有信息和系统功能的单一接入点而不受所选择的设备和GUI 服务器部署的影响。通过利用GUI服务器的计算功能来支持大多数负载，对最终用户系统的影响可以减小到最低。

NetScreen-Security Manager 中的所有3 个层都通过一条基于TCP 的通信信道连接，通过AES 加密SHA-1 认证受到保护。通过在通信信道中嵌入类似IPSec VPN 的安全性，用户可以轻松地在大多数网络环境中部署安全管理.

产品选择
中心端设备
中心端设备采用SSG 550 安全业务网关产品，为了提供系统高可靠性，选择两台SSG 550 安全网关建立系统冗余结点。为了扩充系统接口，提供系统扩充性，每台设备添加GE 接口模块。

SSG系列安全网关具备防病毒、入侵防护、防垃圾邮件、网页过滤等全面的内容安全功能，非常适合放在Internet 边界。

远端产品
各分支机构远端选择SSG 5/20 防火墙产品，SSG 5/20 防火墙为对SOHO 办公室及小型办公室提供防火墙、VPN、IDP 等多种防护的安全产品。

SSG 5/20 防火墙具备防病毒、入侵防护、防垃圾邮件、网页过滤等全面的内容安全功能，非常适合放在Internet 边界。

集中管理平台
选择NetScreen-Security Manager 建立防火墙/VPN 系统集中管理平台，NetScreen-Security Manager 可扩充到可管理6000 个防火墙站点的企业版本。

DDDDDDDDDDDDDDDDDDDDDDD

很不错...学习了:handshake

还有点深啊，看不太懂哦。

挺好的呢?????????谢谢了

一般只是路过的说...