【正文】 ......................................... 40 第三章：天融信 VPN 整體解決方案 ........................................................... 42 天融信 VPN 整體解決方案構(gòu)成 ............................................................ 42 天融信 VPN 整體解決方案的特點(diǎn) .................................................................... 42 天融信 VPN 整體解決方案的典型應(yīng)用 ............................................................ 43 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 4 天融信 VPN 整體解決方案 零管理，百分百成效 天融信 VPN 解決方案是 TOPSEC 網(wǎng)絡(luò)安全整體解決方案的組成部分，該解決方案以簡(jiǎn)便易行的操作綜合解決信息存儲(chǔ)以及邊界到邊界、邊界到桌面、桌面到桌面之間的信息傳輸?shù)陌踩珕栴}，是目前業(yè)界最簡(jiǎn)易，最全面的信息存儲(chǔ)、傳輸安全解決方案。 第一章 虛擬 專用網(wǎng) (VPN)簡(jiǎn)介 VPN的概念 在經(jīng)濟(jì)全球化的今天，越來越多的公司、企業(yè)開始在各地建立分支機(jī)構(gòu)，開展業(yè)務(wù)，移動(dòng)辦公人員也 隨之劇增。在這樣的背景下，這些在家辦公或下班后繼續(xù)工作的人員和移動(dòng)辦公人員 ， 遠(yuǎn)程辦公室 ，公司各分支機(jī)構(gòu) ,公司與合作伙伴、供應(yīng)商 ,公司與 客戶之間 都可能 建立連接通道 以進(jìn)行信息傳送。 傳統(tǒng)的企業(yè)網(wǎng)組網(wǎng)方案中，要進(jìn)行遠(yuǎn)地 LAN 到 LAN互連，除了租用 DDN專線或幀中繼之外，并無更好的解決方法。對(duì)于移動(dòng)用戶與遠(yuǎn)端用戶而言，只能通過撥號(hào)線路進(jìn)入企業(yè)各自獨(dú)立的 局域網(wǎng) 。 隨著 全球化 的步伐加快，移動(dòng)辦公人員越來越多，公司客戶關(guān)系越來越龐大， 這樣的方案必然導(dǎo)致高昂的長途線路租用費(fèi)及長途電話費(fèi)。于是，虛擬專用網(wǎng) VPN（ Virtual Private Network）的概念與市場(chǎng)隨之出現(xiàn)。 其實(shí) 虛擬專用網(wǎng) VPN技術(shù)并不是 什么 新 鮮 事物，早在 1993年，歐洲虛擬專用網(wǎng)聯(lián)盟（ EVUA）就成立了，力圖在全歐洲范圍內(nèi)推廣 VPN,由于 Inter的迅猛發(fā)展 為 VPN提供了技術(shù)基礎(chǔ)， 全球化的 企業(yè)為 VPN提供了市場(chǎng)， 使 得 VPN開始遍布全世界。 虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的 公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此，所以稱之虛擬專用。之所以采用虛擬專用網(wǎng)是因?yàn)?VPN有以下幾方面 優(yōu)點(diǎn) ： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 5 ? 降低成本 通過公用網(wǎng) 來建立 VPN與建立 DDN、 PSTN等專線方式相比， 可以節(jié)省大量的費(fèi)用 開支 。 ? 容易擴(kuò)展 如果用戶想擴(kuò)大 VPN的容量和覆蓋范圍 ，只需改變一些配置，或增加幾臺(tái)設(shè)備、 擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加 VPN也很簡(jiǎn)單 ，只需 通過 作適當(dāng)?shù)脑O(shè)備 配置 即可。 ? 完全控制主動(dòng)權(quán) 企業(yè)可以利用公網(wǎng)或在網(wǎng)絡(luò) 內(nèi)部自己組建管理 VPN。如果用戶 利用 ISP的設(shè)施和服務(wù)，那么用戶 同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比 如 ，用戶可以把撥號(hào)訪問交給 ISP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。 ? 全方位的安全保護(hù) VPN不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專用通道，保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩?，而且能在企業(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動(dòng)辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道，建立全方位的安全保護(hù)，保證網(wǎng)絡(luò)的安全。 ? 高的性價(jià)比 VPN致力于為網(wǎng)絡(luò)提供整體的安全性，是性能價(jià)格比比較高的安全方式。 ? 使用和管理方便 VPN產(chǎn)品可以在網(wǎng)絡(luò)連接中透明地配置，而不需要修改網(wǎng)絡(luò)或客戶端的配置 ，非常方便使用 。 VPN產(chǎn)品可以實(shí)現(xiàn)集中管理，也就是在同一個(gè)地方實(shí)現(xiàn)對(duì)不同地方 VPN的配置、監(jiān)控和維護(hù)等。 ? 投資保護(hù) VPN基于 IPSEC 實(shí)現(xiàn)， IPSEC逐漸被大家接受 ，用戶網(wǎng)絡(luò)的改造和擴(kuò)展有很好的保護(hù)。 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 6 VPN的類型與標(biāo)準(zhǔn) 可以根據(jù)網(wǎng)絡(luò)連接方式的不同把 VPN 分為以下幾種類型： ? Access VPN（遠(yuǎn)程訪問虛擬專網(wǎng)）與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)相對(duì)應(yīng)。 在該方式下遠(yuǎn)端用戶不再是如傳統(tǒng)的遠(yuǎn)程網(wǎng)絡(luò)訪問那樣，通過長途電話 撥號(hào)到公司遠(yuǎn)程接入端口，而是撥號(hào)接入到用戶本地的 ISP，利用 VPN 系統(tǒng)在公眾網(wǎng)上建立一個(gè)從客戶端到網(wǎng)關(guān)的安全傳輸通道。示例如圖 11： 圖 11 這種方式 最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工 撥號(hào)接入到用戶本地的 ISP， 就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。 RADIUS 服務(wù)器可對(duì)員工進(jìn)行驗(yàn)證和授權(quán)，保證連接的安全，同時(shí)負(fù)擔(dān)的 整體接入成本 大大降低。 ? Intra VPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的 Intra 相對(duì)應(yīng)。 在 VPN 技術(shù)出現(xiàn)以前，公司兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)想要互連一般會(huì)采用租用專線的方式，雖然該方式也采用如隧道等技術(shù)，在一端將數(shù)據(jù)封裝后通過專線傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。該方式也能提供傳輸?shù)耐该餍裕撬c VPN 技術(shù)在安全性上有根本的差異。而且 在分公司增多、業(yè)務(wù)開展越來越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用 VPN 特性可以在 Inter 上組建世界范圍內(nèi)的 IntraVPN。利用 Inter 的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等 VPN 特性可以保證信息在整個(gè) IntraVPN 上安全傳輸。 IntraVPN 通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性 。示例如圖 12： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 7 圖 12 ? Extra VPN（擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra 相對(duì)應(yīng)。 此種類型與上一種類型沒有本質(zhì)的區(qū)別，但由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問題。 利用 VPN 技術(shù)可以組建安全 的 Extra，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。 ExtraVPN 通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。 示例如圖 13： 圖 13 在下表中根據(jù) ISO 七層模型給出了 VPN 的主要協(xié)議標(biāo)準(zhǔn)。 OSI 七層模型 安全技術(shù) 安全協(xié)議 應(yīng)用層 表示層 應(yīng)用代理 會(huì)話層 傳輸層 會(huì)話層代理 SOCKSv5/SSL 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 包過濾 IPSec PPTP/L2F/L2TP 表 11 IPSec 協(xié)議 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 8 IPSec 協(xié)議是一個(gè) 應(yīng)用 廣泛，開放的 VPN 安全協(xié)議。 IPSec 適應(yīng)向 Ipv6 遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)， 進(jìn)行 透明的安全通信。 IPSec 用密碼技術(shù) 提供以下 安全 服務(wù)：接入控制，無連接完整性，數(shù)據(jù)源認(rèn)證，防重放，加密，防傳輸流分析 。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道（ tunnel）模式，一種是傳輸 (transport)模式。在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 包 中 。 傳輸模式是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來較大的系統(tǒng)開銷。IETF 安全工作組完成了 IPSec 的擴(kuò)展，在 IPSec 協(xié)議中加上 ISAKMP(Inter Security Association and Key Management Protocol) 協(xié) 議 ， 密 鑰 分配 協(xié) 議 IKE 、 Oakley 。ISAKMP/IKE/Oakley 支持自動(dòng)建立加密 、認(rèn)證 信道，以及密鑰的自動(dòng)安全分發(fā)和更新。 IPSEC 它定義了一套用于 保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。 IPSec 支持一系列加密算法如 DES、 3DES、 IDEA。它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改 ，具有數(shù)據(jù)源認(rèn)證功能 。 IPSec 可確保運(yùn)行在 TCP/IP 協(xié)議上的 VPN 之間的互操作性。 VPN技術(shù) 虛擬專用網(wǎng)主要采用了兩種技術(shù)：隧道技術(shù)與安全技術(shù)。下面結(jié)合 IPsec 協(xié)議族作介紹。 隧道技術(shù) 隧道技術(shù)簡(jiǎn)介 要能夠使得企業(yè)網(wǎng)內(nèi)一個(gè)局域網(wǎng)的數(shù)據(jù)透明的穿過公用網(wǎng)到達(dá)另一個(gè)局域網(wǎng) , 虛擬專用網(wǎng)采用了一種稱之為隧道的技術(shù)。隧道技術(shù)的基本過程是在源 局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù) (可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù) )作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。由于封裝與解封裝只在兩個(gè)接口處由設(shè)備按照隧道協(xié)議配置進(jìn)行，局域網(wǎng)中的其他設(shè)備將不會(huì)覺察到這一過程。 被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道 。下圖 14 是該過程的示意 . 圖 14 IPsec 中的 隧道協(xié)議 IPIP TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 9 IPIP 數(shù)據(jù)報(bào)格式 如下圖 15： 圖 15 IPIP 數(shù)據(jù)報(bào)格式 從圖中可以看出， IPIP 協(xié)議是將一個(gè) IP 包作為另一個(gè) IP 的負(fù)載來處理。舉個(gè)簡(jiǎn)單的例子來說明 IPIP 協(xié)議的工作過程。一個(gè) IP 包源為 A， A 所在的局網(wǎng)與 Inter 的接口為 B，目的地為遠(yuǎn)地的 D， D 所在的局網(wǎng)與 Inter 的接口為 C， IP 包要穿過 Inter 到達(dá) D，可在 B 作如下圖 16 的封裝，數(shù)據(jù)包在 Inter 上可以按照路由到達(dá) C，在 C 處解封裝去掉外 圖 16 IPIP 封裝 部 IP 協(xié)議頭，將內(nèi)部 IP 包在局網(wǎng)上發(fā)送。數(shù)據(jù)包將按照局網(wǎng)的路由到達(dá) D。 IPIP 協(xié)議在具體的使用中要考慮如何建立外部 IP 協(xié)議頭的內(nèi)容，要考慮內(nèi)部 IP 協(xié)議頭中的某些內(nèi)容如服務(wù)質(zhì)量參數(shù)，是否要拷貝到外部協(xié)議頭中。實(shí)際上圖 16 的示意并不準(zhǔn)確，在兩個(gè) IP協(xié)議頭之間可以插入其它的 協(xié)議內(nèi)容。 IPSec 協(xié)議族在使用 IPIP 隧道時(shí)就可能插入另外兩個(gè)協(xié)議頭： AH、 ESP。 IPSec 協(xié)議族建立隧道可能采用如下的方式： 圖 17 IPIP 在 IPSec 中的使用 VPN 的安全機(jī)制 由于 VPN 是在不安全的 Inter 中進(jìn)行通信， 而 通信的內(nèi)容 可能 涉及到企業(yè)的機(jī)密數(shù)據(jù)，因此其安全性就顯得非常重要，必須采取一系列的安全機(jī)制來保證 VPN 的安全 。通常由加密、認(rèn)證及密鑰 交換與 管理組成了 VPN 的安全機(jī)制。 認(rèn)證技術(shù)簡(jiǎn)介 認(rèn)證技術(shù)可以區(qū)分真實(shí)數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù) 。 這對(duì) 于網(wǎng)絡(luò)數(shù)據(jù)傳輸 ,特別是電子商務(wù)是極其重要的 。認(rèn)證協(xié)議