【正文】 安 全 推 進(jìn) 應(yīng) 用 4 天融信 VPN 整體解決方案 零管理，百分百成效 天融信 VPN 解決方案是 TOPSEC 網(wǎng)絡(luò)安全整體解決方案的組成部分，該解決方案以簡便易行的操作綜合解決信息存儲以及邊界到邊界、邊界到桌面、桌面到桌面之間的信息傳輸?shù)陌踩珕栴}，是目前業(yè)界最簡易，最全面的信息存儲、傳輸安全解決方案。對于移動用戶與遠(yuǎn)端用戶而言，只能通過撥號線路進(jìn)入企業(yè)各自獨(dú)立的 局域網(wǎng) 。 虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。之所以采用虛擬專用網(wǎng)是因為 VPN有以下幾方面 優(yōu)點 ： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 5 ? 降低成本 通過公用網(wǎng) 來建立 VPN與建立 DDN、 PSTN等專線方式相比， 可以節(jié)省大量的費(fèi)用 開支 。如果用戶 利用 ISP的設(shè)施和服務(wù)，那么用戶 同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。 ? 使用和管理方便 VPN產(chǎn)品可以在網(wǎng)絡(luò)連接中透明地配置，而不需要修改網(wǎng)絡(luò)或客戶端的配置 ，非常方便使用 。 在該方式下遠(yuǎn)端用戶不再是如傳統(tǒng)的遠(yuǎn)程網(wǎng)絡(luò)訪問那樣，通過長途電話 撥號到公司遠(yuǎn)程接入端口，而是撥號接入到用戶本地的 ISP，利用 VPN 系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關(guān)的安全傳輸通道。 ? Intra VPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的 Intra 相對應(yīng)。利用 VPN 特性可以在 Inter 上組建世界范圍內(nèi)的 IntraVPN。示例如圖 12： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 7 圖 12 ? Extra VPN（擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra 相對應(yīng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。 IPSec 用密碼技術(shù) 提供以下 安全 服務(wù)：接入控制，無連接完整性，數(shù)據(jù)源認(rèn)證，防重放，加密，防傳輸流分析 。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。 IPSec 支持一系列加密算法如 DES、 3DES、 IDEA。下面結(jié)合 IPsec 協(xié)議族作介紹。 被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。一個 IP 包源為 A， A 所在的局網(wǎng)與 Inter 的接口為 B，目的地為遠(yuǎn)地的 D， D 所在的局網(wǎng)與 Inter 的接口為 C， IP 包要穿過 Inter 到達(dá) D，可在 B 作如下圖 16 的封裝，數(shù)據(jù)包在 Inter 上可以按照路由到達(dá) C，在 C 處解封裝去掉外 圖 16 IPIP 封裝 部 IP 協(xié)議頭，將內(nèi)部 IP 包在局網(wǎng)上發(fā)送。 IPSec 協(xié)議族在使用 IPIP 隧道時就可能插入另外兩個協(xié)議頭： AH、 ESP。 這對 于網(wǎng)絡(luò)數(shù)據(jù)傳輸 ,特別是電子商務(wù)是極其重要的 。該特性使得摘要技術(shù)在 VPN中有兩個用途： A. 驗證數(shù)據(jù)的完整性。該功能實際上是上一種功能的延伸。協(xié)議頭格式如下： 圖 18 AH協(xié)議頭格式 1） Next Header：下一個頭部的協(xié)議類型。 5） Sequence Number Field：用于防止重放攻擊，采用類似于 TCP協(xié)議中的窗口機(jī)制。認(rèn)證碼計算方法為 HASH（認(rèn)證密鑰，認(rèn)證數(shù)據(jù) ） 。 HASH算法可以保證如果不知道認(rèn)證密鑰，要偽造與認(rèn)證數(shù)據(jù)匹配的認(rèn)證碼是困難的，又由于認(rèn)證數(shù)據(jù)中包含有 IP協(xié)議頭部的源 IP地址 ，所以只要保證認(rèn)證密鑰的秘密性就可以有效的區(qū)別偽裝 IP地址的欺騙數(shù)據(jù)包。 在現(xiàn)代密碼學(xué)中， 加密算法 被 分為對稱加密算法和非對稱加密算法。 由于不對稱加密運(yùn)算量大，一般用于加密 對稱加密算法 中使用的密鑰。 ? AES： Rijndial 加密算法 不對稱加密算法： ? RSA ? 橢圓曲線制算法 IPsec 中的加密 協(xié)議 ESP 下圖是 ESP的頭部格式。 加密過程 ： 1) 封裝數(shù)據(jù)。加密算法可能是 DESCBC， 3DESCBC。 密鑰交換和管理 VPN中無論是認(rèn)證還是加密都需要秘密信息 ，因而密鑰 的分發(fā)與 管理顯得非常重要。 目前主要的密鑰交換與管理標(biāo)準(zhǔn)有 IKE（ Inter Key Exchange） 、 SKIP（ Simple KeyManagement for Inter Protocol） 和 OAKLEY Key Determination Protocol。密鑰交換的前提是雙方都擁有一對不對稱密鑰對（ e,d） ,同時又都擁有對方的公鑰 e。第三步雙方都向?qū)Ψ桨l(fā)送采用共享秘密衍生的密鑰加密的一個數(shù)據(jù)報，數(shù)據(jù)報中有本方的標(biāo)識和一個數(shù)字簽名。從而保證交換的密鑰信息可以安全的使用，例如衍生 出后續(xù)使用的加密密鑰，認(rèn)證密鑰等。 它可以由內(nèi)部網(wǎng)上的管理終 端通過一次性口令的安全認(rèn)證方式后，使用瀏覽器建立與網(wǎng)絡(luò)密碼機(jī)之間的安全連接，通過瀏覽器管理員可根據(jù)安全保護(hù)策略來實現(xiàn)對網(wǎng)絡(luò)密碼機(jī)隧道的配置、管理與審計等功能。如接口的 IP 地址、子網(wǎng)地址、管理 員帳號的設(shè)置。 ? Windows 遠(yuǎn)程 VPN 客戶 端軟件 （可選） ： 是一個安裝于 Windows 等機(jī)器上的網(wǎng)絡(luò)密碼機(jī)客戶端軟件。系統(tǒng)目前支持 WIN9 WIN20 WIN2020AS 操作系統(tǒng)。 ? VPN 網(wǎng)關(guān)本身不提供應(yīng)用層服務(wù)，不存在任何安全隱患 。 VPN 設(shè)備之間采用基于 ,支持 CA認(rèn)證 。 高可用性 ? 明密結(jié)合的數(shù)據(jù)傳輸方式。 ? 多樣化的工作方式。 高擴(kuò)展性 ? 模塊化設(shè)計。 ? 完整的系統(tǒng)日志管理，支持標(biāo)準(zhǔn)的日志管理服務(wù)器。 高效 性 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 17 ? 采用硬件高速加密； ? 先進(jìn)的體系結(jié)構(gòu)設(shè)計，確保系統(tǒng)具有較高的網(wǎng)絡(luò)通訊速率。 ? 網(wǎng)絡(luò)通信明碼設(shè)計功能： （ 100M網(wǎng)絡(luò)環(huán)境中）。 ? 應(yīng)用代理支持的協(xié)議： FTP、 TELNET、 HTTP、 SMTP、 POP DNS等。 既可以以網(wǎng)關(guān)方式也可以用透明方式接入網(wǎng)絡(luò)。如果由于某種原因例如網(wǎng)絡(luò)故障或其它情況，管理員也可以關(guān)閉隧道，那么隧道就會停止運(yùn)作，網(wǎng)絡(luò)就會恢復(fù)到隧道建立之前的狀態(tài)。這些子網(wǎng)既可以是需要保護(hù)的安全子網(wǎng)也可以是不需保護(hù)的普通子網(wǎng)。一旦某個網(wǎng)段的安全被攻破，也不會波及其它的網(wǎng)段上。但是不允許兩者都不處理。協(xié)商內(nèi)容包括加密所采用的算法、摘要認(rèn)證所采用的算法及各種密鑰等。同時也方便了用戶的使用。 ? 支持隧道建立自動化 網(wǎng)絡(luò)衛(wèi)士 VPN 能依據(jù)系統(tǒng)要求自動建立隧道， 主要用于無專職管理人員的場合。一種方式是通過集中管理器中的管理軟件與網(wǎng)絡(luò)密碼機(jī)中的代理軟件通訊，實現(xiàn)對多個網(wǎng)絡(luò)密碼機(jī)的集中配置與操作。 另一種方式是通過天融信公司的 SCM 集中 管理軟件建立與多個需要管理的網(wǎng)絡(luò)密碼機(jī)之間的連接，實現(xiàn)對多個網(wǎng)絡(luò)密碼機(jī)的集中配置與操作。 網(wǎng)絡(luò)管理員在本地計算機(jī)上調(diào)用 SNMP 客戶機(jī)（運(yùn)行了 SNMP 管理程序的一臺計算機(jī)），利用客戶機(jī)與一個或多個運(yùn)行在遠(yuǎn)程機(jī)器（通常為 VPN 網(wǎng)關(guān)）上的 SNMP 服務(wù)器（運(yùn)行了 SNMP 代理程序的機(jī)器）取得聯(lián)系。 管理信息庫 MIB，就是所有代理進(jìn)程包含的、并且能夠被管理進(jìn)程進(jìn)行查詢和設(shè)置的 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 19 信息的集合。并且管理的命令全部經(jīng)過數(shù)據(jù)加密，因此保證了遠(yuǎn)程管理的安全性。為了避免這種情況的發(fā)生， 網(wǎng)絡(luò) 密碼機(jī)的管理平臺中“參數(shù)設(shè)置”項提供了一個“支持網(wǎng)關(guān) NAT”的選項，從而可以使 IPSec 報文順利的通過防火墻 NAT 的處理。當(dāng)接口上的某一規(guī)則的預(yù)留帶寬沒有用完時，其它規(guī)則可以共享使用剩余帶寬。切換過程不需要人為操作，也不需要除兩個網(wǎng)絡(luò)密碼機(jī)以外的其它系統(tǒng)的參與。 CTVRC（ Customer define TunnelVRC）即自定義隧道 VRC ETVRC（ Express Tunnel VRC）即快捷隧道 VRC ? VRC 軟硬件要求 名 稱 硬 件 配 置 操作系統(tǒng) 最低 標(biāo)準(zhǔn) VRC CPU PII 內(nèi)存 64M CPU PIII800 內(nèi)存 128M Windows2020 系列 WindowsXP Windows98 表 221 ? VRC 的工作方式 VRC 是工作在 Windows 客戶端的 VPN,它的實現(xiàn)也是基于 IPSec，所以能對 IP 及上層協(xié)議提供可靠、靈活的安全保證。 VRC 的兩種工作方式如下圖所示： 圖 221 端到端方式 圖 222 端到網(wǎng)關(guān)方式 圖 223 嵌套方式 VRC 中 IPsec 體系的實現(xiàn) 通過對 VPN 系統(tǒng)和 IPSec 規(guī)范的分析， VRC實現(xiàn)了一種基于 IPSec 規(guī)范的 VPN系統(tǒng)，它構(gòu)造在 Windows 操作系統(tǒng)之上。 VRC 系統(tǒng)特點 高安全性 ? 支 持國際標(biāo)準(zhǔn)。提供長度高達(dá) 192 位加密算法，抗攻擊性強(qiáng)，破解難度高，充分保證數(shù)據(jù)的機(jī)密性。提供長達(dá) 128 位的密鑰散列算法，抗攻擊強(qiáng)度高，嚴(yán)格防止用戶纂改數(shù)據(jù)，保證數(shù)據(jù)的完整性。 ? 支持拔號用戶。各 VPN 之間采用基于 標(biāo)準(zhǔn)的數(shù)字證書進(jìn)行認(rèn)證，各 VPN 采用1024 位密鑰長度的身份認(rèn)證算法，完全杜絕假冒 VPN 的可能性。 ? 支持多種工作方式。由于防火墻的 NAT 是當(dāng)前網(wǎng)絡(luò)環(huán)境中非常普遍的技術(shù)，因此本公司在遵循 IPSec 的基礎(chǔ)上自主開發(fā)了新的技術(shù)，可以使 VPN 完全透明地支持防火墻的 NAT 功能。 ? 支持外部防火墻 MAP 映射功能。 高擴(kuò)展性 ? 適用于各種操作系統(tǒng)，如 Windows9x、 Windows NT、 Windows2020Professional 以及Server。 高適應(yīng)性 ? 對端用戶來說網(wǎng)絡(luò)是完全透明的。 ? 可以通過客戶端圖形界面實現(xiàn)管理，也可以通過 SCM 集中進(jìn)行管理。驗證服務(wù)的實現(xiàn)是基于 IPSec 的AH 協(xié)議 ,驗證服務(wù)對用戶數(shù)據(jù)提供完整性驗證。對于 AH 協(xié)議， HMACMD HMACSHA1 是 IPSec 默認(rèn)的驗證算法；對于 ESP 協(xié)議， DES、 3DES 是 IPSec 默認(rèn)的加密算法。 ? VRC 的身份認(rèn)證機(jī)制 VRC 之間 采用基于 身份 認(rèn)證 ， 天融信開發(fā)的證書管理系統(tǒng)可以生成用戶所需 的證書。 CTVRC：在端到端方式下，配置通道所需的密鑰等安全參數(shù)時采用的是預(yù)共享方式，即端用戶雙方事先商定好所需的安全參數(shù)；而在端到網(wǎng)關(guān)的方式下，配置通道所需的安全參數(shù)是采用了動態(tài)協(xié)商方式，即端用戶 VPN 和網(wǎng)關(guān) VPN 在建立通道前，雙方會依據(jù) 一定的協(xié)商策略動態(tài)地協(xié)商好各種安全參數(shù)。 ? 通過 CTVRC 的 GUI界面可以方便地添加新的通道和編輯已有的通道并查看通道的狀態(tài)。 ? ETVRC 是由管理員在 SCM(安全集中管理系統(tǒng) )服務(wù)器上統(tǒng)一管理和維護(hù)安全策略，不需要端用戶自己 配置安全隧道。 ETVRC 的圖形用戶接口（ GUI）界面 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 27 圖 226 ETVRC 的 GUI 界面 2． 3 VPN 安全集中管理系。 ? 可以查看 聯(lián)系范圍內(nèi)（即端用戶成功登錄服務(wù)器）的端用戶 代理或網(wǎng)關(guān)設(shè)備的信息，以及與之建立的隧道信息。 ? 可以了解端用戶的系統(tǒng)性能，主要是系統(tǒng)的網(wǎng)絡(luò)配置。 ? VRC 管理本機(jī)證書和私鑰的方式 用戶可以選擇將本機(jī)的證書和私鑰存放到硬盤中，在使用時導(dǎo)入；另外，用戶也可以選擇將本機(jī)的證書和私鑰存放到安全性更高的 USB 設(shè)備中。 無論 VRC 工作在端到端方式還是工作在端到網(wǎng)關(guān)方式，用戶必須導(dǎo)入本機(jī)的證書；對于 CT－ VRC，在配置通道時，還必須提供對方的證書。另外，兩種 IPSec 協(xié)議均提供了一個可選的抗重播服務(wù)，以抵抗重播攻擊。另外， VRC 采用了口令認(rèn)證機(jī)制來限制非授權(quán)用戶的非法使用。 VRC 系統(tǒng)性能 TOPSEC VPN Solution White Book 安 全