华胜天成电信VPN可控互访解决方案

电信运营商的DCN网作为重要的业务承载平台，自身承载了众多的子业务系统，构成了多个子业务系统承载在一个物理承载网的架构。为了对于承载在DCN网络上的子业务系统进行有效的隔离和降低各个子业务之间的相互影响，电信运营商一般都采用MPLS或者IPSec VPN的方式，建立多个不同的VPN通道，每个独立的子业务都运行在指定的VPN通道内，业务的有效隔离带来了更好的安全性和架构的清晰。但是，各个子业务系统之间还存在着不同的互访需求，如何对于MPLS/IPSec VPN相互之间的互访进行控制，并防范由此可能带来的安全风险是一个必须考虑的问题。

通过防火墙实施VPN之间访问控制，实施简单，便于维护，缺点是数据传输是明文，同时仅仅针对IP实施限制，控制不够方便灵活。建议配合IC（Infranet Controller）实施全面的控制。用户通过username＆password进行认证，也可以与电信运营商现有的如Portal认证系统/LDAP等现有认证体系结合，同时IC对PC进行检测，并将用户分配相应的权限。在PC到firewall之间的数据可以采用IPSec加密的方式。所需设备为Juniper 防火墙（ScreenOS 5.3以上）IC一套并配置相应并发用户License。

电信运营商DCN MPLS/IPSec改造后的典型架构如下图所示：

图表 1MPLS/VPN实施后网络现状

一：VPN之间固定服务器之间的互访

二：特权PC之间的互访

图表 2固定服务器之间互访控制

下图是针对PC在VPN之间互访需要采取的措施。

图表 3特权PC互访安全控制

Juniper UAC架构解决MPLS/IPSec VPN互访控制，在运营商DCN网络中部署与同类解决方案相比具备强大的优势和特色：

1、部署容易，能够与安全域进行结合，可以节约投资。

2、管理维护简单，节省投入大量培训时间与精力。

3、对网络设备无要求，对网络设备都可进行管理。同时对HUB节点下的用户能进行有效控制。

4、能进行颗粒度更细腻的有效访问权限控制。

5、主机检测能力强大，对每个用户都能进行具体的应用控制。

6、部署设备少，简单可靠，可靠性高。

7、多个区域的只需要一套IC系统进行部署，节约投资。

8、能够与现有的Portal、LADP、AD可以灵活结合，可以实现SSO一次登陆减少用户操作步骤。

9、能够个性化的定制用户登陆界面。

IC(Infranet Controller)和防火墙配合的详细工作流程如下（下载Agent模式）：

图表 4 下载Agent模式流程图

2、用户开启浏览器浏览IE设备网址。

3、IC通过SSL将IA部署到端点上。

4、IA策略在端点上实施。

5、用户利用IA向IC提供认证信息。

6、IC通过AAA服务器（AD,LDAP,等）认证用户。

7、IC决定用户访问策略。

8、IC通过SSL或者SSH在IE上设定用户访问策略。

9、IC通过SSL在IA上设定连接策略。

10、用户透过IE直接访问资源。

图表 5 不采用Agent（Agentless）模式流程图

2、用户开启浏览器浏览IC设备网址。

3、IC通过ActiveX或者JAVA传递主机检查组件到终端上。

4、主机检查组件运行并形成终端的健康轮廓。

5、主机检查结果返回给IC。IC现在通过WEB浏览器显示登录界面。用户提交认证信息。

6、IC依靠AAA服务器（AD,LDAP,等）认证用户。

7、IC决定用户访问策略。

8、IC通过SSL或者SSH在IE上设定基于源IP地址的用户访问策略。

9、用户透过IE直接访问资源。

Juniper UAC架构的基础是使用、交付和威胁控制。此处讨论的用于实现统一接入控制的UAC解决方案是以使用控制为出发点的，它是确保即时获得成功的最关键的单元。使用控制已是Juniper网络公司市场领先的SSL VPN产品的主要组件，该产品设计用于在会话前和会话中提供端点评估，确保严格的验证/授权，利用现有基础设施，动态创建会话特定的角色和应用极细粒度的资源策略等。这项功能现已扩展到整个企业网络，使用Infranet控制器将策略的可视性与现有执行点连接在一起。Infranet控制器(IC)通过Infranet代理与Infranet执行点通信。这些组件结合在一起，在现有企业基础设施上创建了业务控制层，将端点/用户智能与网络和应用智能集成在一起，以确保自适应的、细粒度的使用控制级别。提供威胁控制和交付控制的其他组件也可集成到这个解决方案中，无需对现有基础设施进行叉式升级。

当用户第一次登录IC时，IC将动态下载Infranet代理(IA)。这同远程或移动用户使用SSL VPN登录企业系统非常相似。IA是轻量级软件代理，确定端点是否遵从企业安全策略，类似于Juniper的SSL VPN主机检查器。与主机检查器相同，IA可配置用于检查预定义的和可定制的标准，包括运行程序、端口活动、申请人的真实性、最佳第三方安全软件应用的存在/版本等。如果发现用户因缺乏端点安全应用（如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等）引发的违规行为，它将把用户发送到修复站点- 无次数限制，也无需中断运行。动态设置的IA还提供可选的认证和加密传输，以便在必要时强制执行网关策略。

Infranet代理收集的信息随后被传送回Infranet控制器。控制器利用Juniper的安全接入SSL VPN策略和控制引擎，并通过验证服务器以及身份和授权目录库提供无缝通信。控制器随后基于用户验证结果和对设备安全特征的实时检查结果，授予用户会话特定的网络接入权限。这个实施将以企业LAN的规模为远程用户及合作伙伴外联网提供类似于Juniper SSL VPN的优势。将Infranet代理和控制器结合在一起，能够有效防止违规主机连接企业网络，并对企业网络流量提供使用控制。

调节验证和授权信息以及身份和端点评估的接入信息，随后被传输到Infranet执行点。您可通过软件升级为平台添加执行功能，使已经部署的基础设施能够承担这个角色，无需任何叉式升级。面向扩展企业的第一个执行点是Juniper SSL VPN。第二个执行点将利用同类产品中最佳的Juniper NetScreen防火墙平台的规模和部署。这些防火墙广泛部署在网络中的关键位置，用于细粒度的流量决策。通过接收Infranet控制器提供的信号并终接来自代理的连接，执行器可提供端到端的传输安全性及更好的策略控制与可视性，无需大幅度更改基础设施。

同时，华胜天成在方案设计中，采用的UAC技术是对Juniper与Microsoft联合开发的网络接入保护(NAP)技术及标准机构技术的补充，如可信计算组织（Trusted Computing Group）的可信网络连接小组（Trusted Network Connect Subgroup）。这意味着，华胜天成提出的电信VPN可控互访解决方案可通过开放的多厂商解决方案将用户、应用及网络策略与实施无缝地集成在一起，以促进安全、有保障的网络的实施进入到下一个阶段。

华胜天成电信VPN可控互访解决方案，其中融入的先进Juniper技术，具备了如下优势：

实时安全性——除端点执行外，Juniper网络公司还通过其他设备提供信令功能，允许网络实时适应新威胁。端点提供的实时信息在整个网络中使用，以便做出明智的网络业务决策，从而构成了能够通过持续反馈进行自我保护的经济高效的解决方案。

经济高效性——通过UAC的业务控制层方法，您可逐渐部署，无需一次性的完全替换交换基础设施。企业可选择聚焦关键网络段，或关键网络段的特殊的网络和安全问题。例如，您通过扩展企业、WAN网关和数据中心等最初实施或者使用验证和加密传输实现巨大优势。这允许企业以循序渐进的方式大幅度提高基础设施的控制能力和安全性。Juniper网络公司UAC可运行在异构环境中，兼容其他基础设施供应商提供的产品。它们还兼容其他使用控制、威胁控制和交付控制方法，是不阻碍企业发展的灵活解决方案。有趣的是，虽然UAC解决方案提供大量特性，但其总成本是比较适宜的。

制度遵从性——制度遵从是另一个重要领域。评估和执行现已集成到日常流程中，因此，企业无需为了遵从制度而部署另外的基础设施或嵌入另一个程序。这些特性均已构建在UAC中。

可靠性——部署未经验证的软硬件将为入侵提供新的传播途径，定将为企业带来风险。Juniper UAC方案构建在经过验证的现有标准和技术基础上，大多数现已投入使用。例如，部署已有一段时间的Juniper SSL VPN解决方案，现在通过主机检查器和Juniper 端点防御计划(J.E.D.I.)模块为扩展企业的远程/移动用户及合作伙伴外联网提供类似于内部用户的保护功能。这些功能的扩展将始终提供简单一致的用户体验。

华胜天成电信VPN可控解决方案，前瞻性的考虑到您现在的网络需求和未来需求，第一次参考实施帮助企业解决了最关键的安全问题，并将继续以灵活方式动态扩展，以满足更多需求。在应用Juniper UAC部署中，所有组件都设计用于运行在异构环境中，且基于开放的API并兼容新标准。解决方案无需对任何基础设施进行叉式升级，也无需部署、安装或配置任何新的客户端软件。无论现在还是将来，您都可阶段性地部署，从而避免了“一次性部署”的复杂性与高昂成本。

• 上一篇 移动网管系统存储备份中心解决方案
• 下一篇 汽车行业全面预算管理解决方案