金融行业的VPN解决方案

当网络化的势头再也不能阻挡,互联成为一种需求的时候,孤立的计算机系统已经逐步退出了现代生产活动的范畴.网络在无形中改变了我们的生存方式,也改变了各行各业的运作方式.

在金融行业中e-Bank、e-Business、e-wallet等业务正方兴未艾,而其整体的运营也基本实现了业务的互联、资源的共享.与此同时,以前人们认为机密不过的信息却在这个开放的没有任何安全保障的环境里传输和交换着.因为TCP/IP网络的安全保障是建立在“信任”的基础上的,一旦这种信任关系遭受破坏,与之相关的安全性也不复存在.

金融系统已经建立了覆盖全国的网络,包括广泛的企业内部网、办公网和开放web站点.随着业务的合并、应用的整合,事实上所有这些网络就构成了LAN+WAN+Inter的一个复杂的而又不可分割的有机体.这样一个有着多层次、广用户的业务应用,存在纵横交错的逻辑合并和物理连接的网络,不可避免的存在众多安全隐患.

从金融网络的逻辑结构上来讲,其脆弱性可以从以下几方面分析:

CONFIDENTIALITY（机密性）:在一个开放的网络,绝大多数的数据是明文传输的,那么就很容易遭受搭线窃听.在一个交换环境中,无论是通过SPAN、Monitor的端口设定,还是通过Sniffer监听网络中的广播数据,都是轻易而举的事,因此不管是通过Intra/Extra或者恶意的ISP传输的明文数据都没有安全性可言.

INTEGRITY（完整性）:数据在传输过程中一旦被窃听、截获,那么就很容易被窜改并重发,无论是偶尔的被动传输错误还是故意的人为攻击,数据的完整性都会被破坏.“中间人攻击”、“会话劫持”就是典型的针对数据完整性的攻击方式,而随着类似Juggernaut这种工具的普及,使得攻击越来越容易也越来也频繁.

AUTHENTICATION & AUTHORIZATION（认证与授权）:对于金融系统,市场行情信息,成交记录,并进行清算和银行割账等行为,都需要进行一定的访问控制,而对于电子交易更是需要严格的身份认证.如果没有一个可信第三方作出权威的仲裁,那么对于随时可能被篡改的请求和回应,就无法进行安全性的校验,主客体双方身份得不到确认,自然无法保证其行为的合法性.

为了解决端到端的数据安全,许多VPN方案被提出:比如PPTP、L2TP、L2F VPN以及MPLS VPN.

什么是VPN,VPN (Virtual Private Network) 也叫虚拟专网,它是企业网在Inter上的拓展和延伸.VPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、分支机构、业务伙伴等跟企业网连接起来,形成一个扩展的网络.事实上,VPN的初衷就是为了解决两个私有网络的连接问题,这也是PPTP、L2TP等VPN的根本目的,因为这样就可以为行业或者企业提供高性能、低价位的因特网接入.

基于目前的安全现状,作为国内领先的网络安全产品提供商、行业解决方案的先导者,东软提出了针对金融行业的网络安全整体解决方案,从防火墙、VPN、IDS到Universal CA,而东软的拳头产品NetEye Firewall with VPN成为众多行业网络安全的坚壁利盾.

NetEye VPN采用了先进的IPSec协议,和其他的几种VPN方案相比较.它们基本上是基于2层的,本身并不提供加密能力,必须依赖于其他协议来提供加密,同时它们也没有对每个数据包的认证,因此数据的机密性和完整性得不到充分的保证.IPSec协议集则定义了终端实体或网络之间如何通过Inter来进行安全的数据传输,它既可运行在 L2TP上,也可运行在 PPTP上.

和其他同类的IPSec VPN产品相比较,NetEye VPN提供了最完善的产品线,提供了最全面的解决方案.

NetEye VPN中心网关.带有VPN功能的NetEye防火墙.

NetEye VPN灵巧网关.浓缩和精简的NetEye Firewall with VPN,为用户提供便捷的接入,灵活的安全策略控制,和大网关相比功能上要简化.需要说明的是,灵巧网关的VPN功能模块是可选组件.

NetEye VPN个人移动客户端.也叫个人安全平台,其基本功能是一个个人防火墙,但是用于与NetEye VPN中心网关的VPN连接.个人安全平台还能与策略怎么写作器连接,或者在多个个人安全平台之间协商建立一个虚拟的安全域.

NetEye VPN和防火墙紧密的结合在一起,因此在利用VPN强大的加密和认证功能的同时,充分发挥了NetEye防火墙独有的“流过滤”技术的优势,并且集认证、访问控制、安全管理和审计于一身,构建了SVPN（Super-VPN）体系结构.

SVPN即在构建了一个VPN网络之后,进一步通过安全策略和安全规则的制定,把网络划分成不同的安全区域,控制VPN通道内不同的安全区域之间的访问,这样,使网络的安全性得到进一步的提升,并一定程度上防止内部人员的误操作和恶意行为.以图1为例,通过制定安全策略,可以各个安全域的信息只在本域内传播,而不会传输到其它域中去,从而在一定程度上减少了内部窃听的风险和不安全因素.

根据金融系统的业务特点和目前的布局结构,为了充分保证其在网络接入、端到端的数据传输和业务交换的机密性、完整性,NetEye VPN在其整个网络中的部署,可以用图2来简单描述.

在外出差或者SOHO的金融行业工作人员,可以利用当时当地的条件连入Inter,比如拨号上网,那么利用移动客户端软件,他就可以连接总部的VPN中心网关.NetEye VPN在对用户进行合法性校验后,就会在两者之间建立一条加密的私有隧道,移动用户可以方便的对于总部的私有网络进行安全的访问,整个传输过程对数据进行软件加密.

中心网关－灵巧网关（SG）之间的VPN连接

金融行业的各地机构或者办事处,可以在各个部署方案中进行选择,我们认为如果其局域网的规模不是很大的话,那么灵巧网关是值得推荐的.灵巧网关与VPN中心网关的连接即解决了用户的接入问题,也同时解决安全隐患.

中心网关－中心网关间的VPN连接

两个中心网关之间的连接,等于将两个对等的私有网络无缝连接起来,两者之间可以实现完全而有安全的资源共享,NetEye防火墙功能模块,控制着整个连接的访问控制、身份认证和其他安全策略.

NetEye VPN中心网关的设计采用了虚拟物理接口的概念,将每一条VPN通道都虚拟成为一个物理接口,这样类似于对In/Out/Dmz的控制,就可以对于VPN通道进行同样的安全策略配置和集中管理.

个人安全平台之间的互联

利用NetEye个人安全平台,局域网内部的用户可以利用事先协商号的口令形成一个独立的安全域,域内用户可以进行安全的通信.

目前IPSec已经成为目前最为流行的VPN解决方案.NetEye VPN在利用IPSec自身优点的同时,对于其核心的实现和附加功能进行了专业的优化和重组.IPSec事实上是一个协议集,它包括AH和ESP.

AH,验证头,提供数据源身份认证、数据完整性保护、重放攻击保护功能.

ESP,安全负载封装,提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能.

另外,在IPSec框架当中还有一个比不可少的要素:

因特网安全关联和密钥管理协议--IKE(或者叫I*P/Oakley),它提供自动建立安全关联和管理密钥的功能.

利用AH、ESP,NetEyeVPN就可以做到对于C.I.A的满足.

对于认证过程,NetEye VPN采用了基于PKI的公钥认证体系,遵循X.509标准.并且提供单独的密钥管理中心,用以进行密钥的生成、分发、更新和吊销等一系列的密钥管理活动.所有网关间的数据传输,根据国家有关法令的规定,全部采用硬件加密和专有的加密算法.

图3就是NetEye VPN进行身份认证以保证加密通信的示意图.

IPSec有两种工作模式:传输模式和通道模式.

两种模式最根本的区别在于是否尽心IPIP封装,如图4.

NetEye防火墙工作于通道模式,其特点就是生成了新的IP头,替换了原有的IP包头,这样就可以做到了对于原始地址的隐藏,从安全性上讲更进一步.

原来的IPSec标准是不支持NAT的,可以看到,一旦经过NAT,那么因为IP包头数据被修改,那么等于数据完整性遭受破坏,那么AH或ESP的校验就会失败.NetEye VPN采用了最新的标准,利用附加UDP头的方式成功解决NAT穿越问题.

综上所述,NetEye VPN解决方案具有以下特色:

（1） 采用标准的AH和ESP协议,保证IP包的机密性、完整性以及对于收发双方的身份认证.

（2） 结合流过滤防火墙技术,兼具包过滤的性能以及写作技巧防火墙的安全性,最大程度上保证网络安全无懈可击.

（3） 安全隧道的链路设备映射技术,使得VPN网络的设置一目了然.

（4） 清晰简洁的密钥管理流程,使得系统具有极佳的扩展性与灵活性.

（5） 智能的“One-Click“技术和“一点即连”特性使得管理更加流畅轻松.

（6） 独特的NAT穿越机制保证了网络的灵活应用.