SonicWALL 幹淨的IPSec VPN

 

 

前      言

 

随著(zhe)技術的發展，各種入侵和攻擊從針對TCP/IP協議本身弱點的攻擊轉向針對特定系統和應用漏洞的攻擊，傳統的防火牆設備如第一代的包過濾防火牆，第二代的應用代理防火牆到第三代的全狀态檢測防火牆對此類攻擊無能爲力，同時層出不窮的即時消息和對等應用如MSN，QQ，BT等也帶來很多安全威脅並(bìng)降低員工的工作效率。如今的安全威脅已經發展成一個混合型的安全威脅，傳統的防火牆設備已經不能滿足客戶的安全需求。

IPSec VPN技術已經發展得很成熟，企業各個分支機構通過IPSec VPN 方便地連接回企業總部；SSL VPN支持出差的用戶和合作夥伴随時随地訪問企業總部的網絡資源， 極大提高瞭(le)生産(chǎn)率。 但是VPN帶來連通性的同時也帶來風險，病毒，入侵等安全威脅也可以通過VPN隧道在企業總部和分支之間擴散。因此，構建一個幹淨的VPN網絡，阻斷病毒和入侵行爲在企業的分支和總部之間擴散，防止移動VPN用戶電腦的病毒通過VPN接入企業總部至關重要。

 

 

 

 

 

 

 

第一章     用戶需求分析

随著公司業務發展，分支機構達到近N家，總部電腦數量也接近N台。

 

第二章 SonicWALL  幹淨的VPN解決方案

考慮(lǜ)目前具體情況(kuàng)：

對分支結構和總部局域網之間的互聯，推薦採(cǎi)用基於(yú)IPSec VPN核心技術的高性能加密産品來組建SonicWALL的IPSec VPN網絡---SonicWALL UTM ( 防火牆+ VPN + 網關防病毒+ IPS)。SonicWALL 防火牆和VPN 是當前國際最先進的網絡技術之一，銷售數量占據全球第一位。

對移動用戶的安全遠程接入，我們建議採(cǎi)用SonicWALL Aventail SRA EX6000 的SSL VPN産品。該産品最大可以支持250並(bìng)發用戶的安全遠程訪問控制。

2.1 方案設計原則

VPN方案的設計(jì)至少包含以下原則
：高安全性、最優化網絡(luò)、完善的管理等。

 高安全性

由於(yú)VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更爲突出。確保VPN通道上傳送的數據不被攻擊者窺視和篡改，並(bìng)且要防止非法用戶對網絡資源或私有信息的訪問。

保證數據的真實性
：通信主機(jī)必須是經過(guò)授權的，要有抵抗地址冒認（IP Spoofing）的能力。

保證數據(jù)的完整性：接收到的數據(jù)必須與發(fā)送時的一緻，要有抵抗不法分子纂改

2.2網絡結構設計

網絡結構如圖:

 

方案: 中央設備選用NSA3500,採用多核專用安全處理器，4個64位MIPS專用安全處理器並(bìng)行處理流量，還集成衆多協處理器，如專用的包輸入輸出處理器，正則表達式處理器（專門用於(yú)病毒，入侵等特征碼與後台數據庫的匹配處理），硬件TCP加速引擎，專用的加密解密處理器，專用的壓縮解壓縮的處理器等等，是一個典型的SoC設計
。

NSA 3500的狀态檢測的吞吐量可達1.5Gbps，支持多達800條LAN-2-LAN VPN隧道, 贈送50個IPSec VPN客戶端軟件授權(最大支持1000個IPSec VPN移動客戶端授權)， VPN吞吐量可達到625Mbps.  UTM功能爲可選項，如果採(cǎi)用UTM功能，可以防止病毒和入侵通過VPN隧道在企業的總部和分支之間的傳播,如果Internet接入也是通過NSA3500防火牆的話,NSA3500設備(bèi)還能阻止來自Internet的病毒,入侵和間諜軟件。例如分支機構和臨時的節點，其Internet和VPN可能都是採(cǎi)用同一個設備(bèi)，那麽NSA3500和TZ100設備(bèi)可以有效阻止來自Internet的應用層的安全威脅， 防止病毒，入侵進入分支的網絡，進而通過VPN隧道擴散到企業的總部。 

移動用戶，我們建議採(cǎi)用SSL VPN的方式接入，SSL VPN适合大量移動用戶的接入，部署和維護簡單。SSL VPN支持Windows，Linux，MacOS，Windows Mobile等多種操作系統的安全遠程接入。SSL VPN的用戶流量可以經由總部的NSA3500 的UTM設備(bèi)進行病毒，入侵的掃描
，防止移動用戶的安全威脅進入總部的網絡。

本方案不僅實現分支機構和總部之間的數據傳輸可以有UTM防火牆的7層掃描的安全防護， 對大量移動辦(bàn)公用戶的流量同樣可以進行7層的安全掃描。 通過總部UTM設備(bèi)

，對所有的VPN的流量進行病毒和入侵的掃描，實現VPN流量的淨化，這就是我們說的“幹淨的VPN”功能。

 

考慮到分支機構的規模，分公司採(cǎi)用小型的桌面型的TZ100 設備(bèi)。 雖然是桌面型的小型的UTM設備(bèi)，TZ100的狀态檢測的吞吐量仍然可達100Mbps，VPN的吞吐量高達75Mbps。

SonicWALL NSA 系列UTM設備(bèi)能夠並(bìng)行掃描超過所有TCP協議上的近25000類病毒，檢測並(bìng)阻斷近4000種入侵威脅。

SonicWALL還支持近百種簽名對(duì)及時消息(IM，如MSN、QQ)和對(duì)等應用(P2P，如BT下載、eMule，迅雷下載)的通信進行控制，如封堵QQ，MSN，迅雷
，能夠(gòu)掃描NetBIOS 協議，防止病毒通過Windows文件共享進行擴散。

 

2.3 總部設備選型

總部設(shè)備(bèi)選型：NSA3500

 

SonicWALL NSA 3500重要性能指标

NSA 3500接口	6個10/100/1000Mbps自适應電口
並發連接	325，000
吞吐量	1.5Gbps 狀态檢測吞吐量
網關殺毒吞吐量	350Mbps
IPS吞吐量	750Mbps
UTM綜合吞吐量（GAV+IPS）	240Mbps （同時開啓殺毒和IPS功能功能）
IPSec VPN 吞吐量	625Mbps
LAN-2-LAN VPN隧道數目	800條隧道
客戶端VPN授權	贈送50，最大1000

SonicWALL Aventail SRA EX6000

 

SRA EX6000 最大支持250 並(bìng)發(fā)用戶的安全遠程接入，支持Windows，Linux，MacOS，Window Mobile等各種終端的B/S，C/S結構的遠程訪問。

並(bìng)發(fā)用戶的License可以靈活購買。例如初期可以購買50個，或者100個，在有需要時，可以随時添加用戶的License，最大到250 並(bìng)發(fā)用戶。

 

 

2.4 分支設備選型

分支設(shè)備(bèi)選型：TZ100

 

SonicWALL TZ100 重要性能指标

TZ 100接口	5個10/100Mbps電口
並發連接	6000
吞吐量	100Mbps 狀态檢測吞吐量
網關殺毒吞吐量	35Mbps
IPS吞吐量	50Mbps
UTM綜合吞吐量（GAV+IPS）	25Mbps （同時開啓殺毒和IPS功能功能）
IPSec VPN 吞吐量	75Mbps
LAN-2-LAN VPN隧道數目	5

 

 

 

 

 

第三章  SonicWALL 幹淨的VPN方案特點

3.1 靈活性 ——Any –to -Any

SonicWALL IPSec VPN産(chǎn)品完全基於(yú)工業加密标準IPSec協議構建VPN加密通道，提供Any-to-Any的VPN連接，如下圖：

 

SonicWALL VPN客戶(hù)端

網(wǎng)絡(luò)接口：以太網(wǎng)/Modem/無線/GPRS/CDMA

操作系統(tǒng)：Windows 98/ME/NT/2000/XP/

寬(kuān)帶(dài)城域網網絡連接

寬(kuān)帶(dài)城域網

滿足條件：網絡層(céng)地址可到達(dá)VPN網關

遠程VPN網(wǎng)關(guān)

 

 

 

 

①Any運行平台：VPN客戶(hù)端軟(ruǎn)件完全支持Windows系列平台,包括Windows 98/NT/2000/XP/Vista，有第三方的MacOS客戶(hù)端。

②Any接口：支持以太網接口、Modem接口、3G無線網絡接口等，隻要滿足網絡層(céng)地址(IP地址)可以到達(dá)的條件即可建立VPN連接；

③Any接入方式：支持當(dāng)前大多數的互聯網連接，包括ADSL、Cable Modem、ISDN/PSTN撥(bō)号以及各種專線方式等；

④Any地點(diǎn)：沒(méi)有地理位置的局限

    

SonicWALL SSL VPN産品採(cǎi)用SSL協議在移動用戶和VPN設備(bèi)之間傳輸數據
，隻要有Internet連接，TCP443端口可達，就可以支持用戶安全地接入。

 

3.2擴展性

總部和分公司通過(guò)IPSec VPN建立網絡連接後(hòu)：

• 	若日後ERP 、OA、視頻等應用擴大使用量，用戶僅需直接擴租帶寬即可，無需再進行硬件投資；

• 	SonicWall VPN防火牆具備多並發VPN隧道支持，若用戶在未來新添下級機構並進行網絡互聯，中心（局端）無需做任何硬件調整和投資；

• 	支持當前大多數的寬帶城域網連接，如ADSL、Cable Modem、ISDN/PSTN撥号等。

 

對移動辦公用戶的SSL VPN接入，我們選擇瞭SonicWALL Aventail EX6000 設備，用戶初期可以購買100 用戶的License， 同時支持100 用戶的並(bìng)發接入。随著(zhe)用戶數量的增加，用戶可以購買更多的License，EX6000 型号的設備可以支持多達250 用戶的遠程接入。

 

3.3（使用、管理）易用性

• SonicWall全線産品均可以通過SonicWall GMS（全球網絡管理系統）進行統一界面的網管、設定等操作，網管工程師可以從任何地方對系統輕松實施管理；
• 由於SonicWall的日志管理、密鑰管理等特性
  ，使用戶能輕松掌握並監控系統運行，易於使用；
• 由於VPN産品基於多核專用安全芯片設計,無論是VPN設備和客戶端軟件的安裝、維護都十分簡單，無需專業的技術人員即可掌握使用和簡單的維護知識。

 

3.4 安全性

不論分支和總部的IPSec VPN隧道中傳(chuán)輸的數據，還是移動用戶的SSL VPN的數據
，總不得UTM防火牆NSA3500 都可以對他們進行7層(céng)掃描，實現VPN隧道中的數據淨化，實現我們的幹淨的VPN功能。

 

 

第四章

 

SonicWALL 基於多核專用安全處理器的UTM産品技術優勢

 

     随著(zhe)Internet的迅速普及，網絡上的應用也日益豐富。網上銀行，在線交易，ERP，CRM等逐漸被用戶接收並(bìng)迅速發展
。随之而來的，網絡安全威脅已經從針對TCP/IP協議本身弱點的三四層的攻擊轉向針對特定操作系統，數據庫和應用程序漏洞的應用層的攻擊，這些安全威脅代碼封裝在TCP/IP協議的淨荷部分。傳統的防火牆，包括第三代全狀态檢測防火牆，對這些應用層的安全威脅無能爲力。病毒，黑客入侵及間諜軟件不斷給互聯網用戶造成巨大的損失。同時層出不窮的即時消息和對等應用如MSN，QQ，BT，eMule，迅雷等帶來方便的同時也帶來風險
，並(bìng)在相當多的企業降低瞭員工上班時間的工作效率。因此我們需要一個多層的積極防禦，全面阻止病毒，抵禦入侵和掃描間諜軟件，減少來自應用層的安全威脅。

     總部位於(yú)美國加州矽谷的SonicWALL公司早在2003年就率先推出UTM綜合安全網關産品，是全球最早推出UTM技術的公司之一。SonicWALL已經積累瞭(le)7年的UTM産品的經驗，硬件平台完成瞭(le)從Intel + ASIC架構到多核專用安全處理器Cavium硬件架構的飛躍。徹底解決瞭(le)UTM産品的性能瓶頸問題，使UTM設備在開啓7層安全掃描的情況下，仍然可以保持千兆的吞吐量。高端産品可以實現7層掃描高達2Gbps的吞吐量。

傳(chuán)統的防火牆架構包括通用CPU（如X86） 架構，CPU + ASIC 架構，NP架構。X86 架構防火牆的優勢是靈活性，然而，所有功能由CPU軟件實現，但是性能瓶頸不可避免。尤其是開啓7層(céng)掃描，實現應用層(céng)安全的時候，性能降低到幾乎不可用。X86架構主要是面向流量不大的低端用戶。 

國内防火牆主流産品依然是CPU+ASIC架構。CPU + ASIC架構的防火牆，ASIC專用芯片處理防火牆規則的速度可以做到千兆線速，但是ASIC芯片隻适用於(yú)2、3、4層的處理，ASIC芯片不能處理應用層的安全問題
，7層的安全掃描，如病毒，入侵的掃描依然需要通用CPU去處理，性能瓶頸問題依然不可避免。因此市場上可以看到狀态檢測(cè)速度高達數十Gbps的CPU + ASIC防火牆， 開啓UTM的7層掃描功能，性能損失會超過98%，隻有2到3百兆的吞吐量，達到用戶不可接受的程度。 

NP是最早的多核防火牆技術，以Intel的IXP 多核處理器爲代表，8核，16核甚至更多。國内也有一批基於(yú)NP技術的防火牆産品。 該多核芯片最适合路由和交換設備(bèi)的中央處理引擎，即可以達到ASIC芯片的速度
，又可編程，是一個非常靈活的解決方案。然而和ASIC類似，NP處理器的微碼（Micro Code）主要是實現高效率的網絡層面的處理，對應用層處理沒有專門的硬件加速技術。例如對病毒，入侵和間諜軟件掃描等簽名庫的匹配，沒有專門的正則表達式處理器進行高效快速的匹配，完全需要靠軟件編程在以三四層處理爲主的内核上進行處理，因此處理應用層安全的速度受到很大影響。NP主要适合網絡層的安全設備(bèi)。對UTM産品，NP還不是理想的硬件架構。

 

    2008年，SonicWALL把基於(yú)Intel+ASIC架構的UTM産品線全面升級到基於(yú)多核專用安全處理器Octeon的多核並(bìng)行處理架構，UTM的性能得到極大的提高。NSA系列網絡安全設備，包括NSA240, NSA2400，NSA3500、NSA 4500、NSA 5000，NSA E5500，NSA E6500,NSA E7500等。NAS E7500 基於(yú)Octeon的16個64位MIPS專用安全内核，並(bìng)行處理數據，每秒可以執行3200萬條指令，轉發超過3000萬數據包。開啓網關殺毒的吞吐量最高可達1.84Gbps, 開啓IPS 的吞吐量高達2.58Gbps， 同時開啓殺毒和IPS的吞吐量高達1.7Gbps。

 

Cavium公司的Octeon多核安全處理器目前最多支持16個64 位MIPS内核。Octeon多核安全處理除瞭(le)集成多個安全内核外，還集成衆多協處理器，如專用的包輸入輸出處理器，正則表達式處理器（專門用於病毒，入侵等特征碼與後台數據庫的匹配處理），硬件TCP加速引擎，專用的加密解密處理器，專用的壓縮解壓縮的處理器等等，是一個典型的SoC設計：System On a Chip(單芯片集成一個系統) 。 進入SonicWALL網絡安全設備的數據流被分擔到多個安全處理内核並(bìng)行處理，極大地減小瞭(le)處理的時延，增大瞭(le)設備的吞吐量，同時確保VoIP應用受到影響最小。

 

   SonicWALL專利的、業界領先的免重組深度包檢測引擎（RFDPI- 美國專利U.S. Patent 7310815 ）能實時檢測無限大的文件，同時並行掃描的文件個數也沒有限制，不存在基於緩存技術的病毒掃描所面臨的單個文件大小和文件數目的限制問題，在UTM技術上是一個突破。 基於緩存技術的UTM設備對掃描的文件的大小和同時掃描的文件的個數都有嚴格的限制，設備裏進行病毒掃描的緩存一旦滿瞭，管理員隻有兩個設置，一個是丢棄後續的包，造成斷網，或者允許不能進行掃描的包放過，造成病毒和入侵漏掃的問題。SonicWALL的RFDPI面重組深度包檢測引擎是一個真正的流掃描技術，徹底解決瞭這個問題，在業界處於絕對領先地位。該引擎能夠掃描任意TCP端口的任意協議，實現最大的安全掃描，而不限定特定協議的特定端口，真正不漏過任何一個數據包。實現最大的病毒和入侵檢測率。SonicWALL設備還集成VPN， 内容過濾，應用層防火牆，IM和P2P控制等衆多功能。

    SonicWALL GMS統一網管系統可以管理成千上萬個SonicWALL的設備(bèi)，並(bìng)對日至進行分析和統計，管理員随時可以掌握網絡的運行狀況。

    SonicWALL專用的多核硬件架構，配合專利技術的深度包檢測引擎，確(què)保用戶在不犧牲網絡性能的情況下，最大程度地確(què)保用戶的安全。在全球的UTM産品中處於(yú)技術領先地位，SonicWALL全球UTM設備銷售數量一直排名第一位。