中国移动 VPN安全配置综合手册

密级:文档编号:项目代号:中国移动IBMVPN安全配置手册Version1.0中国移动通信有限企业十二月拟制:审核:批准:会签: 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档关键关系1创建、修改、读取负责编制、修改、审核2同意负责本文档同意程序3标准化审核作为本项目标准化责任人,负责对本文档进行标准化审核4读取5读取目录TOC\o"1-3"\h\zHYPERLINK\l"_Toc88225988"1IBMVPN概述PAGEREF_Toc88225988\h5HYPERLINK\l"_Toc88225989"1.1介绍PAGEREF_Toc88225989\h5HYPERLINK\l"_Toc88225990"1.2分类及其工作原理PAGEREF_Toc88225990\h5HYPERLINK\l"_Toc88225991"1.3功效与定位PAGEREF_Toc88225991\h6HYPERLINK\l"_Toc88225992"1.4特点与不足PAGEREF_Toc88225992\h7HYPERLINK\l"_Toc88225993"2IBMVPN布署标准及适用环境PAGEREF_Toc88225993\h8HYPERLINK\l"_Toc88225994"2.1适用环境PAGEREF_Toc88225994\h8HYPERLINK\l"_Toc88225995"2.2安全布署标准PAGEREF_Toc88225995\h8HYPERLINK\l"_Toc88225996"3IBMVPN 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 与配置PAGEREF_Toc88225996\h10HYPERLINK\l"_Toc88225997"3.1服务器安全策略PAGEREF_Toc88225997\h10HYPERLINK\l"_Toc88225998"3.2日志审计及监控PAGEREF_Toc88225998\h10HYPERLINK\l"_Toc88225999"3.3密码策略管理PAGEREF_Toc88225999\h13HYPERLINK\l"_Toc88226000"3.4过滤器管理与配置PAGEREF_Toc88226000\h15HYPERLINK\l"_Toc88226001"3.4.1建立过滤器PAGEREF_Toc88226001\h15HYPERLINK\l"_Toc88226002"3.4.2设置mni使用过滤器PAGEREF_Toc88226002\h22HYPERLINK\l"_Toc88226003"3.5认证方法和隧道协议PAGEREF_Toc88226003\h23IBMVPN概述介绍支持多平台环境IBMWebSphereEveryplaceConnectionManager（WECM）无线网关是一个分布式、可扩展、高可靠性、多用途UNIX通讯平台。它能够经过无线网络、局域网(LAN)或广域网（WAN）为IP、短消息（SMS）和无线应用协议（WAP）用户端提供优化、安全数据访问功效。分类及其工作原理WECM 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 是一个用户端/服务器架构,WECM用户端软件wirelessclient需要安装在无线终端设备,如笔记本电脑或PDA上。Wirelessclient软件现在支持Win98/Me//XP/NT、WinCE、PocketPC和PalmOS等操作系统。WECM服务器软件wirelessgateway可运行在IBMRS/6000AIX平台上。用户鉴权信息保留在同一台RS/6000LDAP（LightwayDirectoryAccessProtocol）数据库上。无线终端设备连接到GPRS后,开启wirelessclient用户端软件,经过UDP8889端口,穿过GMCC防火墙,连接GMCC机房WECMwirelessgateway,wirelessgateway向LDAP请求用户鉴权,成功后,wirelessclient和wirelessgateway建立一条VPN通道。全部终端设备上应用都能够经这条VPN通道访问企业现有系统。在wirelessclient和wirelessgateway建立VPN通道时,wirelessgateway会从 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 IP地址中动态分配一个逻辑IP地址给wirelessclient,而全部应用都使用这个IP地址作为应用IP地址。Wirelessclient将数据包进行压缩,用3DES或AES加密后传到wirelessgateway上。Wirelessgateway对应用用户端数据包进行解压缩、解密后,把数据包按应用IP地址发送到企业应用服务器上。反过来,企业应用服务器数据包先经过wirelessgateway进行压缩和加密,传到wirelessclient上。Wirelessclient把数据包解压缩、解密后,交给应用用户端程序。功效与定位在IBM提供无线安全VPN方案中,关键利用了WECM移动接入服务功效。在该方案中,WECM由以下三个组件组成:服务器网关程序（EveryplaceWirelessGateway）用户端程序（EveryplaceWirelessClient）管理员程序（EveryplaceWirelessGatekeeper）EveryplaceWirelessGatewayWECM无线网关提供移动接入服务功效。经过用户认证及数据加密功效,确保数据从用户端到服务器端到端数据安全。并经过对数据包压缩、优化实现对无线网络适应,确保数据快速传输。EveryplaceWirelessClientIBMEveryplaceWirelessClient软件运行在用户端移动设备上,并提供了一个功效完善接口来实现与Everyplace无线网关之间通讯。在用户经过认证与Everyplace无线网关建立了连接后,WECM为该用户分配一个逻辑IP地址。使用由用户端移动设备操作系统提供标准TCP/IP,IP应用程序将能够在无线网络上运行。EveryplaceWirelessClient与WECM无线网关结合,将为无线网络通讯带来更强功效、愈加好性能及更高安全性。不管在支持IP协议还是不支持IP协议网络中,EveryplaceWirelessGateway都使用标准IP路由,以确保在移动设备与应用程序服务器间建立连续端到端TCP会话。WECM用户端支持移动终端环境包含:MSPocketPC,WinCE,WinME,Win2K,WinXP,Win98,PalmOS等。EveryplaceWirelessGatekeeperIBMEveryplaceWirelessGatekeeper提供了一个基于Java技术用于管理WECM无线网关及无线资源管理控制台。利用EveryplaceWirelessGatekeeper提供管理接口,您能够方便地实现远程定义或设置无线网关、注册用户及无线设备、统计用户登录情况及跟踪控制情况、实施路径管理等操作。管理及配置数据将被存放在一个LDAP（LightweightDirectoryAccessProtocol）注册服务器中。能够设置多个EveryplaceWirelessGatekeeper管理员,并将管理任务和权限依据业务需要分配给这些管理员。假如您使用WECM无线网关只需要支持WAP用户,您还能够将EveryplaceWirelessGatekeeper配置为只显示与WAP相关资源数据,以简化管理过程。Gatekeeper与服务器网关经过安全SSL机制建立连接。特点与不足WECM无线网关将无线及有线数据访问集成在一起,能够有效地为移动用户提供数据和应用。现有应用经过TCP/IP接口能够很轻易地扩展到多种无线或有线通讯环境。WECM为方便用户应用开发而隐藏了网络技术实现及接口细节,但提供了用户认证及数据安全性功效,如数据压缩、加密及优化等。WECM含有以下特点及优势:使您能够经过无线或有线网络向移动用户提供电子商务服务。提供了一个经济划算为移动用户提供网络服务处理方案。使您能够使用统一工业标准接口将各类无线网络集成在一起。含有高度安全性,支持双向用户认证及数据加密。使您能够经过压缩数据及缩减数据包头来降低网络响应时间,降低数据超载率。能够自动保持或恢复网络拨号连接以确保数据有效传输。提供了一个用Java技术建立用户接口,使您能够方便地在多平台环境下安装和配置无线网关。IBMVPN布署标准及适用环境适用环境WECM在服务器和用户端软件都对不一样网络开发了不一样网络适配器模块,能够支持多个有线和无线网络。对GPRS和WLAN网络支持没有问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。在WLAN上还能够作为WLAN安全方案以处理WLAN安全问题。同时WECM上有一个会话管理数据库,存放了全部连接会话。这么能够使用户能够使用GPRS网络安全连接企业应用服务器,在有带宽更高网络,如WLAN或有线以太网时候,用户自己从GPRS切换到这些网络,用户所访问应用不会中止。WECM尤其适合以下方面应用:无线安全VPN方案在不一样无线、有线网络之间无缝切换,应用不中止WAP网关安全布署标准就WECM工作原理而言,经过WECM传输数据是安全,全部进行传输数据都需要经过服务器和用户端加密后才进行传输,能够有效预防嗅探器程序窃取网络传输数据,所以WECM安全布署能够省略数据传输安全考虑。那么,我们对系统安全布署考虑关键集中在服务器平台安全、用户帐号安全、以及预防蠕虫或病毒数据攻击方面。由VPN软件工作原理可知,WECM服务器必需布署在DMZ区内,也就是说其含有外部IP,能为外网访问,所以怎样确保服务器安全应该摆在首要位置。用户帐号安全也一样不能忽略,堡垒往往最轻易从内部攻破,怎样制订一个适宜,轻易操作密码策略能够大大降低用户密码被破解概率,降低用户密码泄露带来不安全隐患。病毒和蠕虫数据攻击也不可小看,它们发送垃圾数据包不仅占用网络带宽,造成网络速度下降,而且大量频繁垃圾数据造成服务器CPU不停进行加解密操作,严重情况下使CPU满载而不能为其她用户提供正常服务。IBMVPN安全管理与配置服务器安全策略要确保VPN系统安全,首先要确保运行VPN服务服务器安全,服务器基础策略以下:VPN服务器位于DMZ内,含有公网IP,轻易遭受外界攻击,所以在外层防火墙设置方面应该使用最严格策略,只对外部网络开放服务端口UDP8889,不许可外部IP直接登录服务器在内部网络上,也应该加以设置,应该只许可特定管理IP直接访问VPN服务器TCP9555管理端口及23端口,对于其她IP也只开放UDP8889端口对于需要移动环境下管理服务器情况,可先经由wecmclient经过UDP8889端口连接VPN服务器,再经过WECM平台内部IP来登录进行管理。这么话要经过双重认证才能登录服务器进行管理,最大程度确保了服务器安全。日志审计及监控WECM日志以文件形式或数据库形式进行存放（通常情况下,我们使用文件来统计日志）,能够借助日志来监控系统安全情况。WECM日志类型和缺省文件名以下:消息日志:存放单个WECM消息,缺省路径是/var/adm/wg.log帐户日志:存放帐户统计,比如MNI、WAP用户机或SMS用户机帐户统计,因为帐户日志显示已传送包数以及寻址信息,所以她提供了确定什么活动正在WECM上发生有效措施,当它配置成使用文件形式时,缺省路径是/var/adm/wg.acct跟踪日志:全部传输到和接收至Client包数据都可存放在移动式访问服务跟踪文件中。缺省路径是/var/adm/wg.trace当WECM发生问题时,请首先检验消息日志文件以获取错误消息。能够经过指定消息类型来控制所统计具体信息等级:调试:用于问题分析数据错误:相关需要对其采取方法意外事件消息日志:常规参考消息状态:状态信息（如包速率、字节速率和系统装入）转储TCP-Lite:相关使用TCP-Lite传输数据消息跟踪:仅与IP相关数据包十六进制转储跟踪数据:数据包十六进制转储警告:相关可能需要或者不需要对其采取方法事件消息帐户信息也能够经过设置来控制在MNI上统计帐户统计等级:登录:当WECMclient建立与移动式访问服务连接时所发生事件注销:当WECMclient与移动式访问服务断开连接时所发生事件连接:当WECMclient与移动式访问服务上调制解调器协商拨号连接时所发生事件。再与移动式访问服务初始拨号会话中,将建立WECMclient物理连接,然后建立登录。断开连接:当WECMclient与移动式访问服务上调制解调器断开拨号连接时所发生事件。包:对每个包统计和记帐数据。缺省情况下,关闭此日志等级。会话:统计从登录到注销过程中会话连续时间数据。挂起:在此情况下统计数据:WECMclient处于短挂起方法下且已断开物理连接,但仍然保持登录连接跟踪日志:能够统计部分用户IP/PPP等级跟踪信息。缺省情况下,关闭跟踪。要开启跟踪,请显示期望跟踪用户属性,然后单击“帐户”选项卡上开启跟踪。要停止跟踪,请清除开启跟踪复选框注:要查看跟踪日志,必需作为root用户登录。密码策略管理用户密码策略设置界面以下:实际上,用户密码往往是系统安全大隐患,假如管理员能对用户密码进行策略性管理,能在很大程度上避免因用户密码泄露而发生安全问题。WECM提供完善用户密码策略管理,能对用户密码进行以下策略管理,提议设置值以下:Minimumalphacharacters=0密码中必需存在字母字符（a-z,A-Z）最小数目:为0Minimumothercharacters=0密码中必需存在非字母字符（比如,0-9,#,$,&,%）最小数目:为0Minimumlength=6密码最小长度:6位Minimumdifferentcharacters=0新密码中必需含有新字符最小数目,这些新字符在旧密码中不存在,当目录服务成就数据存放使用单向加密算法,比如安全散列算法（SHA）,加密密码时,此配置是禁用:不限numberofpasswordbeforereuser=0用户不可重使用先前密码数目:不限Maximumage(days)=0用户密码最大寿命（以天为单位）,当密码达成此寿命时,必需先更改密码然后才能成功连接:不限Minimumage(days)=0用户密码再能够更改前最小寿命（以天为单位）:不限Maximumrepeatedcharacters=0密码中字符能够反复最大次数:不限Numberfailedconnectionattemptsbeforelock=20不正确密码尝试次数,在该次数后用户帐户将会锁定,假如超出此数目,则帐户锁定且用户无法登陆:不限Timebeforereuse(days)=0密码失效且必需更改前时间长度:不限PasswordcancontainuserID=TRUE密码在其字符串中能否包含用户标识:是Allownumericfirst/lastcharacters=TRUE密码是否能够用数字字符开始或结束:是Allowpasswordmodification=TRUE是否许可更改密码:是过滤器管理与配置在使用过程中,我们发觉,假如用户计算机感染了病毒或木马话,可能病毒和木马会对服务器一些端口发送大量无用数据,在这种情况下,就很有必需设置过滤器以过滤掉这些无用数据。要对经过mni上数据包进行过滤,需要做两项工作:一,设置针对具体端口过滤器;二设置mni使建立过滤器生效。下面将具体描述这两步工作过程建立过滤器假如想过滤某一端口TCP包,需要建立两个过滤器,一个过滤器过滤来自该端口包数据,另一个过滤器过滤到该端口包数据,两个过滤器建立方法类似,基础过程以下:点击DefaultResources=>AddResource=>Filter=>TCP在Description栏中添入过滤器描述,可随便填写,但最好能格式化,这么使其她管理员能一目了然该过滤器作用。比如,我们想建立一个屏蔽来自143端口TCP包过滤器,那么其名称最好为TCP-143sport,TCP表示要过滤TCP包,143则是端口号,sport表示包是起源于该端口。同理屏蔽去往143端口TCP包过滤器名称应该为TCP-143dport。Direction栏目中应该选中“FromMobilityClient”Mode栏目中应该选中“Negative”表示严禁包经过设置完成后点击“Next”按键进入下一步假如想过滤来自端口包应该在Soruceport栏中添入端口号,我们想过滤143端口TCP包,则填入143端口号,然后点击“Next”按键进入下一步同理想过滤去往端口包应该在Destinationport栏中添入端口号,我们想过滤143端口TCP包,则填入143端口号,然后点击“Next”按键进入下一步该界面无须设置,点击“Next”按键进入下一步在该界面中选中“DefaultResources”,点击“Next”按键进入下一步该界面无须设置,点击“Finish”按键结束过滤器创建接下来用一样方法创建过滤去往该端口TCP包过滤设置mni使用过滤器上一节中我们建立了两个过滤器来过滤143端口全部TCP包。建立完过滤器后mni还需要进行设置才能使用这两个过滤器。点击DefaultResources=>portalvpn=>Mobileaccess=>mn0=>Properties打开界面后点击“Security”标签进入安全设置,在该界面中,能够看我们刚建立两个过滤器没有并应用,只要在前面复选框中选上这两个过滤器,然后点击“Apply”按键,就能对143端口全部TCP包进行过滤拦截了。认证方法和隧道协议IBM-VPN全部配置属性都保留在LDAP目录中。另外,全部用户认证都是经过与IBM-VPN集成LDAP目录服务器进行验证。理论上能够使用其她外部目录服务器进行数据验证,但经测试存在很多问题有待处理。与一般VPN不一样,在用户端和IBM-VPN服务器之间数据流不采取IPSEC隧道协议进行加密,这是与IBM-VPN应用环境相关,IBM-VPN关键应用领域是移动办公,最普便应用是用户经过GPRS拨号上网然后使用IBM-VPN,GPRS带宽不足以承载IPSEC隧道协议网络数据带宽,所以IBM-VPN使用是IBM企业自行开发IBM自己开发WLP（WirelessoptimizedLinkProtocol）协议来实施VPN方案。WLP是网络架构第二层,即数据链路层。WLP在数据链路层上做了很多VPN通道优化工作,如TCP包头缩减、数据包压缩、TCP重传优化等方法,确保TCP/IP应用在GPRS网络上性能。所以在隧道协议方面,是没有设置选择。