中国移动-VPN安全配置手册.doc
《中国移动-VPN安全配置手册.doc》由会员分享,可在线阅读,更多相关《中国移动-VPN安全配置手册.doc(24页珍藏版)》请在咨信网上搜索。
1、密 级:文档编号:项目代号:中国移动IBM VPN安全配置手册Version 1.0中国移动通信有限公司十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的重要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取 目 录1IBM VPN概述51.1简介51.2分类及其工作原理51.3功能与定位61.4特点与局限性72IBM VPN部署原则及合用环境82.1合用环境82.2安所有署原则83IBM VPN的安全管理与配置103.1服务器安全策略10
2、3.2日记审计及监控103.3密码策略管理133.4过滤器管理与配置153.4.1建立过滤器153.4.2设立mni使用过滤器223.5认证方式和隧道协议231 IBM VPN概述1.1 简介支持多平台环境的IBM WebSphere Everyplace Connection Manager(WECM)无线网关是一个分布式、可扩展的、高可靠性、多用途的UNIX通讯平台。它可以通过无线网络、局域网(LAN)或广域网(WAN)为IP、短消息(SMS)和无线应用协议(WAP)的客户端提供优化、安全的数据访问功能。1.2 分类及其工作原理WECM方案是一个客户端/服务器的架构,WECM的客户端软件w
3、ireless client需要安装在无线终端设备,如笔记本电脑或PDA上。Wireless client软件目前支持Win98/Me/2023/XP/NT、WinCE、PocketPC 2023和PalmOS等操作系统。WECM的服务器软件wireless gateway可运营在IBM RS/6000的AIX平台上。用户鉴权信息保存在同一台RS/6000的LDAP(Lightway Directory Access Protocol)数据库上。无线终端设备连接到GPRS后,启动wireless client客户端软件,通过UDP 8889端口,穿过GMCC防火墙,连接GMCC机房的WECM
4、wireless gateway,wireless gateway向LDAP请求用户鉴权,成功后,wireless client和wireless gateway建立一条VPN通道。所有终端设备上的应用都可以经这条VPN通道访问公司现有的系统。在wireless client和wireless gateway建立VPN通道时,wireless gateway会从规划的IP地址中动态分派一个逻辑IP地址给wireless client,而所有应用都使用这个IP地址作为应用IP地址。Wireless client将数据包进行压缩,用3DES或AES加密后传到wireless gateway上。Wi
5、reless gateway相应用客户端的数据包进行解压缩、解密后,把数据包按应用的IP地址发送到公司应用服务器上。反过来,公司应用服务器的数据包先通过wireless gateway进行压缩和加密,传到wireless client上。Wireless client把数据包解压缩、解密后,交给应用客户端程序。1.3 功能与定位在IBM提供的无线安全VPN方案中,重要运用了WECM的移动接入服务功能。在该方案中,WECM由以下三个组件组成:l 服务器网关程序(Everyplace Wireless Gateway)l 客户端程序(Everyplace Wireless Client)l 管理员
6、程序(Everyplace Wireless Gatekeeper)Everyplace Wireless GatewayWECM无线网关提供移动接入服务功能。通过用户认证及数据加密功能,保证数据从客户端到服务器端到端的数据安全。并通过对数据包的压缩、优化实现对无线网络的适应,保证数据的快速传输。Everyplace Wireless ClientIBM Everyplace Wireless Client软件运营在客户端移动设备上,并提供了一个功能完善的接口来实现与Everyplace无线网关之间的通讯。在用户通过认证与Everyplace无线网关建立了连接后,WECM为该用户分派一个逻辑的
7、 IP地址。使用由用户端移动设备的操作系统提供的标准TCP/IP,IP应用程序将可以在无线网络上运营。Everyplace Wireless Client与WECM无线网关的结合,将为无线网络通讯带来更强的功能、更好的性能及更高的安全性。无论在支持IP协议还是不支持IP协议的网络中,Everyplace Wireless Gateway都使用标准IP路由,以保证在移动设备与应用程序服务器间建立连续的端到端TCP会话。WECM客户端支持的移动终端环境涉及:MS PocketPC2023,WinCE,WinME,Win2K,WinXP,Win98,PalmOS等。Everyplace Wirele
8、ss GatekeeperIBM Everyplace Wireless Gatekeeper提供了一个基于Java技术用于管理WECM无线网关及无线资源的管理控制台。运用Everyplace Wireless Gatekeeper提供的管理接口,您可以方便地实现远程定义或设立无线网关、注册用户及无线设备、记录用户登录情况及跟踪控制情况、执行途径管理等操作。管理及配置数据将被存储在一个LDAP(Lightweight Directory Access Protocol)注册服务器中。可以设立多个Everyplace Wireless Gatekeeper管理员,并将管理任务和权限根据业务需要分
9、派给这些管理员。假如您使用的WECM无线网关只需要支持WAP用户,您还可以将Everyplace Wireless Gatekeeper配置为只显示与WAP有关的资源数据,以简化管理过程。Gatekeeper与服务器网关通过安全的SSL机制建立连接。1.4 特点与局限性WECM无线网关将无线及有线数据访问集成在一起,可以有效地为移动用户提供数据和应用。现有应用通过TCP/IP接口可以很容易地扩展到各种无线或有线通讯环境。WECM为方便用户应用开发而隐藏了网络技术实现及接口细节,但提供了用户认证及数据安全性功能,如数据的压缩、加密及优化等。WECM具有以下特点及优势:l 使您可以通过无线或有线网
10、络向移动用户提供电子商务服务。l 提供了一个经济划算的为移动用户提供网络服务的解决方案。l 使您可以使用统一的工业标准接口将各类无线网络集成在一起。l 具有高度的安全性,支持双向用户认证及数据加密。l 使您可以通过压缩数据及缩减数据包头来减少网络响应时间,减少数据超载率。l 可以自动保持或恢复网络拨号连接以保证数据的有效传输。l 提供了一个用Java技术建立的用户接口,使您可以方便地在多平台环境下安装和配置无线网关。2 IBM VPN部署原则及合用环境2.1 合用环境WECM在服务器和客户端软件都对不同网络开发了不同的网络适配器模块,可以支持多种有线和无线网络。对GPRS和WLAN网络支持没有
11、问题。在WLAN上还可以作为WLAN的安全方案以解决WLAN的安全问题。同时WECM上有一个会话管理数据库,存放了所有连接的会话。这样可以使用户可以使用GPRS网络安全连接公司应用服务器,在有带宽更高的网络,如WLAN或有线以太网的时候,用户自己从GPRS切换到这些网络,用户所访问的应用不会中断。WECM特别适合以下方面的应用:l 无线安全VPN方案l 在不同无线、有线网络之间无缝切换,应用不中断l WAP网关2.2 安所有署原则就WECM的工作原理而言,通过WECM传输数据是安全的,所有进行传输的数据都需要通过服务器和客户端的加密后才进行传输,可以有效的防止嗅探器程序窃取网络传输数据,所以W
12、ECM的安所有署可以省略数据传输安全的考虑。那么,我们对系统安所有署的考虑重要集中在服务器的平台安全、用户帐号安全、以及防止蠕虫或病毒的数据袭击方面。 由VPN软件的工作原理可知,WECM服务器必须部署在DMZ区内,也就是说其具有外部IP,能为外网访问,所以如何保证服务器的安全应当摆在首要位置。 用户帐号的安全也同样不能忽视,堡垒往往最容易从内部攻破,如何制定一个合适的,容易操作的密码策略可以大大减少用户密码被破解的概率,减少用户密码泄露带来的不安全隐患。 病毒和蠕虫的数据袭击也不可小看,它们发送的垃圾数据包不仅占用网络带宽,导致网络速度下降,并且大量频繁的垃圾数据导致服务器CPU不断进行加解
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国移动 VPN 安全 配置 手册
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。