思科 SSL ××× 助力银行外联业务 酷龙/文 第1章 用户需求分析 1.1 基本情况 某商业银行拥有比较完备及成熟的外联单位网络接入平台,可以为服务外部单位的业务支撑提供安全接入。铁路局只有总部有局域网,下辖的分支机构目前还没专网连接至总部 1.2 客户需求: 铁路局总部及分支机构要访问放在商业银行内网的某系统前置服务器进行业务处理,总共约有400个用户。 为了上述访问,铁路局需要组建安全可靠的总部和分支WAN互联,由于总部与分支机构之间还没有建设有专网,所以考虑经由互联网来部署上述访问路径,通过×××(虚拟专网)的隧道技术对互联网上的连接进行加密传输,所以采用目前最经济又可靠的SSL×××方案进行组网。 由于这个外联路经由互联网接入,技术上要求极高的安全性,需要对分支机构的客户端提供安全防护,并实现网络准入控制。因此SSL ×××的用户登录必须进行严格的身份确认,实现对×××用户的网络准入检查。并且将采用防火墙进行严格的安全区域划分,执行严格的网络访问过滤。 第2章方案概述 2.1 方案拓扑图 方案拓扑如下:(如图1) (图1插入位置) 2.2 方案概述 为了实现上述方案需求,我们设计了上述结构安全的网络架构。 本文将主要介绍铁路局分支机构如何使用SSL ×××技术通过互联网访问到总部内网,进而通过外联专线访问银行服务器的业务需求。 来自互联网的分支机构用户访问,技术相对复杂。首先必须保证从互联网来的访问链路是安全可靠的,所以为了保证这条链路可靠,需要使用SSL ×××技术对路径进行隧道加密,并且还要对开启这条可靠链路的使用者(分支机构客户端)进行身份认证。 在本方案中,我们使用一台防火墙来进行安全域的划分,分别接入:(1)互联网;(2)×××系统;(3)铁路局内网;(4)银行外联网。 在防火墙上采用一个以态网口来连接互联网,这个口设置最低的安全级别。我们在防火墙的另一个以态网接口上设置了一个DMZ区,这个口设置中等安全级别。用来运行×××系统,在这个区放置了SSL ×××服务器和RADIUS认证服务器,作为SSL ×××方案的核心。并且互联网用户在开启×××连接时,访问的×××服务器的地址也不是一个真实的地址,而是一个经过防火墙进行NAT地址转换后的一个公网地址。只有在顺利经过SSL ×××方案的安全架构检查和传输后,来自互联网的访问数据包才会再经过防火墙的最终检查,通过以后才可以向上访问银行外联网络,直至最终访问银行内网里连的服务器。 再一个以态网接口接入局机关内网,这个口设较高的安全级别。最后一个以态网口接银行外联网,这个口设置最高的安全级别。 在这个铁路局×××访问商业银行服务器的联网方案中主要采用四大技术: (1)基于思科IOS(互联网操作系统)的SSL ×××实现方案; (2)基于思科ACS 认证服务器的SSL ×××用户登录认证; (3)基于思科ASA防火墙的安全域划分及互联网接入,实现业务系统之间的可控互访; (4)NAT地址转换技术。 在这个方案中涉及三大区域,分别是:(1)铁路局分支机构,它们是铁路局系统中访问商业银行服务器的用户;(2)铁路局,是本案×××系统的核心,同时也提供局机关用户访问服务器;商业银行,是服务器服务器的置放区。 本案中采用思科ASA防火墙的接口来实现安全域的划分,这些安全域包括:(1)互联网接入区;(2)DMZ区,用来放置×××服务器和认证服务器;(3)铁路局局机关用户区;(4)铁路局外联商业银行的外联区。 铁路局分支机构的客户端访问银行内网服务器的进程如下: (1)客户端用户使用网页浏览器访问×××服务器的地址,打开×××登录窗口,它访问的是一个真实的公网地址。也就是说×××服务器的地址是一个内网地址,它处在防火墙的DMZ区,是不被互联网上的用户看到的,这个内网地址被NAT技术转换成一个与防火墙上的互联网接口地址在同一个网段的一个公网地址。 (2)在打开的×××登录窗口里输入认证服务器中的用户名和密码,认证成功,就打开SSL ×××入口页面,在这个入口页面上输入那台银行服务的网址,×××隧道就开始起作用,对数据包进行隧道封装,使客户端与银行内网的数据交换安全可靠,进而打服务器上的WEB应用。 第3章设备配置 3.1安全的总部与分支网络 (1) LAN: 铁路局总部采用1台思科CISCO ASA5520 防火墙内嵌的GE接口连接总部机关用户、DMZ区服务器。 (2) WAN: 总部采用1台CISCO 2911路由器通过2M专线连接商业银行的外联路由器。总部并采用上述CISCO ASA5520 防火墙通过10M互联网专线连接作为互联网的接入,配合置于DMZ区的1台CISCO 3945E路由器(用作×××服务器)和1台CISCO CSACS1211认证服务器部署SSL ×××方案系统。分支经由因特网,采用SSL ×××与总部实现安全可靠地连接,再经由防火墙、外联路由器,访问服务器。 3.2设备清单
序号 | 设备名 | 型号 | 数量 | 用途 |
1 | 路由器 | CISCO3945E-SEC/K | 1 | ×××服务器 |
2 | 路由器 | CISCO2921/K9 | 1 | 外联商业银行 |
3 | 交换机 | CISCO WS-C3750V2-24TS-S | 1 | DMZ区LAN |
4 | 防火墙 | CISCO ASA5520-K8 | 1 | 安全域划分及互联网接入 |
5 | 认证服务器 | CISCO CSACS-1121-K9 | 1 | ×××用户登录×××系统认证 |
Internal Users ID Store 做这个之前可以先创建一个用户组(见图11)。如本案:SSL_×××_ACCESS_GROUPS (图11插入位置) (1)如图12,填写Name(用户名)及Description(描述)。Status(状态)系统自动选择enable,用于激活该用户。Identity Group(组识别)Select(选择)之前创建的一个组,如:SSL_×××_ACCESS_GROUPS。 (图12插入位置) (2)Password Information(口令信息)填写该用户的密码。 (3)Submit(提交),即可。 3.Create Authorization Rules (创建授权规则)
Create authorization policy rules desired to control access. ...<更多> ...< 更多> Select whichever of the 2 default access services you prefer (ACS provides default access services for both Device Administration and for Network Access). You can edit the Default policy rule to permit or deny access, or create new rules to grant any other authorization desired. Authorization Policy 其实ACS服务器已经创建了缺省的网络访问规则,可以直接利用就可以。 (图13插入位置) 如图13,对于用户认证,默认使用了系统自建的“Rule-1 ”规则。注意看,它匹配的协议:match Radius (匹配RADIUS认证)。 4.1.3 DMZ 接入交换机 在本案中采用一台Cisco 3750交换机扩展防火墙DMZ区的接入端口,用于接入×××服务器和认证服务器。 CISCO_3750#sh run Building configuration... ! interface FastEthernet1/0/1 switchport access vlan 113 //用于接入×××服务器 ! interface FastEthernet1/0/2 switchport access vlan 113 //用于接入认证服务器 ! ! interface FastEthernet1/0/24 switchport access vlan 101 //用于直连防火墙的DMZ区接口 ! ! interface Vlan101 ip address 89.45.61.6 255.255.255.252 //直连防火墙的地址 ! interface Vlan113 ip address 100.1.3.254 255.255.255.0 // ×××服务器和认证服务器的网关 ! ip classless ip route 0.0.0.0 0.0.0.0 89.45.61.5 //缺省路由指向防火墙DMZ区接口 ip http server ip http secure-server ! CISCO_3750# 4.2 防火墙系统(安全域划分) ciscoasa# : Saved : ASA Version 8.3(1) ! ! interface GigabitEthernet0/0 nameif OUTSIDE security-level 0 ip address 202.88.61.5 255.255.255.0 // OUTSID 区,互联网接入接口,安全级别为最差的 0 级别。 ! interface GigabitEthernet0/1 nameif DMZ security-level 50 ip address 89.45.61.5 255.255.255.252 // DMZ 区, ××× 服务器和认证服务器放置区,安全级别设为 50 ,中等。 ! interface GigabitEthernet0/2 nameif INSIDE security-level 100 ip address 89.45.61.2 255.255.255.252 // INSIDE 区,上联银行外联路由器,安全级别为最高级 100 。 ! interface GigabitEthernet0/3 nameif TL_NEIWANG security-level 80 ip address 89.45.61.9 255.255.255.252 // 局机关客户区,安全级别置为 80 (注:略小于 INDISE ,不能也置为 100 ,否则将导致内网客户端无法访问年金服务器) ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 // 管理口 IP ,默认配置。 management-only ! ftp mode passive clock timezone CST 8 object network ×××SERVER host 101.1.3.2 // 定义 ××× 服务器的地址资源。 object network Internet-IP host 202.88.61.8 // 定义映射外网的地址资源。 description Internet-IP object service https service tcp source eq https // 定义服务资源 https object service TCP_34444 service tcp destination eq 34444 // 定义服务资源 TCP 端口 34444 object network TL_NEIWANG range 101.1.1.1 101.1.1.10 // 定义一个源地址段资源:101.1.1.1~101.1.1.10 access-list acl-dmz extended permit icmp any any access-list acl-dmz extended permit tcp any any eq https access-list acl-dmz extended permit object TCP_34444 any any // 定义外网访问××× 服务器及年金服务器的ACL : acl-dmz access-list TL_NEI_WANG_access_in extended permit icmp any any access-list TL_NEI_WANG_access_in extended permit object TCP_34444 object TL_NEIWANG any // 定义内网访问年金服务器的ACL pager lines 24 logging enable logging asdm informational mtu OUTSIDE 1500 mtu DMZ 1500 mtu INSIDE 1500 mtu TL_NEIWANG 1500 mtu management 1500 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any echo OUTSIDE icmp permit any echo-reply OUTSIDE icmp permit any echo DMZ icmp permit any echo-reply DMZ icmp permit any echo INSIDE icmp permit any echo-reply INSIDE icmp permit any echo TL_NEIWANG icmp permit any echo-reply TL_NEIWANG icmp permit any echo management icmp permit any echo-reply management no asdm history enable arp timeout 14400 nat (DMZ,OUTSIDE) source static ×××SERVER Internet-IP service https https // 最关键的,将 ××× 服务器的内网地址映射为一个与互联网接口地址同在一个网段的公网地址。 NAT DMZ 接口到 OUTSIDE 接口的地址映射 , 静态一对一转换 , 允许的服务为 https access-group acl-dmz in interface OUTSIDE access-group acl-dmz in interface DMZ // 在 OUTSIDE 和 DMZ 接口上应用 ACL : acl-dmz access-group TL_NEI_WANG_access_in in interface TL_NEIWANG // 在 TL_NEIWANG 接口上应用 ACL : TL_NEI_WANG_access_in route OUTSIDE 0.0.0.0 0.0.0.0 202.88.61.6 1 route TL_NEIWANG 101.1.1.0 255.255.255.0 89.45.61.10 1 route DMZ 101.1.3.0 255.255.255.0 89.45.61.6 1 route INSIDE 10.0.241.101 255.255.255.255 89.45.61.1 1 // 在四个接口上指定向外访问的静态路由。 timeout xlate 3:00:00 timeout co 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-discoect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 0.0.0.0 0.0.0.0 INSIDE // 允许来自银行的TELNET登录 telnet timeout 5 ssh 0.0.0.0 0.0.0.0 INSIDE // 允许来自银行的SSH登录 ssh timeout 5 ssh version 1 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept web*** username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 ! class-map global-class match port tcp eq 58888 class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map TL_NEI_WANG-policy class inspection_default inspect icmp ! service-policy TL_NEI_WANG-policy interface TL_NEIWANG prompt hostname context Cryptochecksum:e079d0261a3b85017d40ab87bbd11c5d : end ciscoasa# 4.3 铁路外联路由器 ! ! interface GigabitEthernet0/1 ip address 89.45.61.1 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/2 ip address 89 .45.61.186 255.255.255.0 duplex auto speed auto ! ip forward-protocol nd ! ip http server no ip http secure-server ! ip route 101.1.1.0 255.255.255.0 89.45.61.2 //到局机关客户机的路由 ip route 101.1.3.0 255.255.255.0 89.45.61.2 //到分支机构客户机的路由 ip route 10.0.241.101 255.255.255.255 88.45.61.185 //到服务器的路由 ! ! CISCO2921# 第5章 方案验证实验 5.1 来自互联网上的分支机构的客户端×××访问 本章将介绍如何使用×××从互联网进行远程访问商业银行服务器的操作,并以此实验环境验证方案成功。本实验简化为如下拓扑图(图14)。 (图14插入位置) 上面拓扑中的分支机构客户机假设已经拨号上了互联网,并分配得了一个公网IP(模拟的路由器上做了NAT设置)。在这个客户机上打开访问×××的入口地址: https://202.88.61.8/tl ,则打开如下登录画面(图15)。 (图15插入位置) 则开启如下SSL ××× (WEB ×××)访问入口的画面。 (图16插入位置) 在此×××入口窗口,我们可以在URL栏内输入服务器的网址:例如http://10.0.241.101:34444,然后点击“Go”按钮,就可以打开服务器的登录首页。
(本文纯属虚构,如有雷同当是巧合)
转载于:https://blog.51cto/32549/574452
更多推荐
思科 SSL ××× 助力银行外联业务
发布评论