【正文】 推 進(jìn) 應(yīng) 用 25 ? 空載性能 加載 VPN 模塊，但空載時系統(tǒng)的整體性能為： 80Mbps； ? 驗證算法性能 加載 VPN 模塊，系統(tǒng)采用 MD5 作為認(rèn)證算法時系統(tǒng)的整體性能為： 35Mbps； ? 驗證算法性能 加載 VPN 模塊，系統(tǒng)采用 DES 作為加密算法時系統(tǒng)的整體性能為： 17Mbps； ? 總體性能 加載 VPN 模塊，系統(tǒng)采用 MD5 作為認(rèn) 證算法，同時 DES 作為加密算法時系統(tǒng)的整體性能為： 12Mbps。 ? 根據(jù)用戶所需的不同服務(wù)等級，網(wǎng)絡(luò)通訊的整體性能的下降在可以忍受的范圍之 內(nèi)。 ? 支持各種復(fù)雜的網(wǎng)絡(luò)環(huán)境。同 NAT 一樣，目前的標(biāo)準(zhǔn) IPSec 協(xié)議不支持 MAP 功能。 ? 支持外部防火墻包過濾功能。 ? 支持外部防火墻 NAT 功能。 在目前公共 CA系統(tǒng)不完善的情況下可以采用本公司自主開發(fā)的 CA系統(tǒng)，在各 VPN之間提供身份認(rèn)證功能。因此可以支持移動用戶通過電話等撥號上網(wǎng)。支持國際流行 的 HMACMD5， HMACSHA1 算法以及公司自主開發(fā)的高強(qiáng)度驗證算法。除了支持國際流行的 DES 和 3DES 加密算法之外，還支持公司自行研制的高強(qiáng)度加密算法。 符合當(dāng)前的國際潮流。應(yīng)用層通過核心層提供的配置接口實現(xiàn)對安全數(shù)據(jù)庫、安全算法庫和隧道、子網(wǎng)數(shù)據(jù)庫的維護(hù)，以及對通道的建立和刪除。端到端方式主要適用在單個端用戶之間建立安全的傳輸通道，以保證傳輸數(shù)據(jù)的機(jī)密性和完整性。 ? 與端用戶互連（可選功能） 網(wǎng)絡(luò)密碼機(jī)作為網(wǎng)關(guān)式 VPN 與端用戶 VPN 互連，可在整個網(wǎng)絡(luò)上建立一個安全的通訊環(huán)境，不僅保證了網(wǎng)關(guān)與網(wǎng)關(guān)之間的通信數(shù)據(jù)經(jīng)過加密處理，并可對敏感的端用戶與網(wǎng)關(guān)之間的傳輸數(shù)據(jù)進(jìn)行加密，從而保證了數(shù)據(jù)在網(wǎng)絡(luò)中的安全性。總之，帶寬管理可以為用戶不同的通信提供充分的服務(wù)質(zhì)量 QoS(Quality of Security)保證。 ? 帶寬管理（可選功能） TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 21 網(wǎng)絡(luò)衛(wèi)士 VPN 能夠針對具體的規(guī)則（包括源地址、目的地址 、協(xié)議及端口范圍）對網(wǎng)絡(luò)帶寬進(jìn)行分配，能夠提供對帶寬分配的可擴(kuò)展性，能夠?qū)Ξ?dāng)前帶寬管理進(jìn)行監(jiān)視，提供所有可查詢的數(shù)據(jù)。并且可以通過將隧道報文設(shè)置為禁止?fàn)顟B(tài)，來防止本應(yīng)該通過隧道傳輸?shù)膱笪膮s沒有通過隧道而被接收進(jìn)來的情況。管理員可以像是直接連在串口終端上一樣，對遠(yuǎn)程的 VPN 設(shè)備進(jìn)行管理。 SJW11 網(wǎng)絡(luò)密碼機(jī)支持 SNMPv1， SNMPv2 和 SNMPv3，其中 SNMPv3 支持 SNMP報文的認(rèn)證和加密。 ? 支持 SNMP網(wǎng)絡(luò)管理協(xié)議 簡單網(wǎng)絡(luò)管理協(xié)議（ Simple Network Management Protocol）幫助網(wǎng)絡(luò)管理員找出并糾正 TCP/IP 互聯(lián)網(wǎng)中的故障。在建立隧道 雙方的網(wǎng)絡(luò)密碼機(jī)都是動態(tài) IP 地址的情況下也必須通過集中管理器來建立隧道。但對于隧道的停止或刪除仍須通過人工的方式進(jìn)行。收集一個網(wǎng)絡(luò)的使用和誤用情況是非常重要的。因此如果是不同的設(shè)備，那么只要雙方都支持某一種算法，就可以建立起安全隧道。缺省的密鑰更新周期是 12 小時。 ? 支持用戶定制 VPN 網(wǎng)關(guān)在缺省情況下，對數(shù)據(jù) 流分別進(jìn)行加密處理和摘要認(rèn)證處理。因此安全子網(wǎng)和普通子網(wǎng)的數(shù)據(jù)流會被分別處理，不會相互影響，從而大大提高了 VPN對網(wǎng)絡(luò)環(huán)境的適應(yīng)性。一臺 VPN 網(wǎng)關(guān)與其它 VPN網(wǎng)關(guān) 最多可以建立 450 個隧道 。 ? 隧道管理 要想在兩個網(wǎng)絡(luò)衛(wèi)士 VPN網(wǎng)關(guān)之間建立安全隧道，管理員必須 對這 兩個 VPN網(wǎng)關(guān)分別進(jìn)行 隧道 參數(shù) 設(shè)置，然后才能建立隧道。 ? 支持的協(xié)議： TCP/IP、 UDP、 ICMP、 IPSEC ESP/AH、 IKE、 PUPP等。 ? 密鑰長度：對稱： 128位，非對稱： 1024位。 VPN 系統(tǒng)性能指標(biāo) ? 系統(tǒng)平均無故障時間 MTBF：≥ 40000 小時。 高可靠性 ? 采用工業(yè)級組件，支持 7 24 小時不間斷運(yùn)行。 ? 功能可選，為了方便用戶，根據(jù)不同用戶的需要系統(tǒng)的部分功能是可選的，增強(qiáng)了使用的靈活性。 ? 透明支持各種應(yīng)用服務(wù) 。 ? 靈活可變的工作模式。 采用通過國家鑒定的硬件加密卡所提供的 128位對稱加密算法和 128位密鑰散列算法。 ? 支持 IPSec（ IP Security）協(xié)議 ，提供傳輸方式和隧道方式安 全 。 ? 專用的操作系統(tǒng)、 標(biāo)準(zhǔn)的 協(xié)議及安全 的 軟件，并全面固化于硬件中，抗攻擊能力強(qiáng) 。該軟件與上層應(yīng)用無關(guān)，支持各種網(wǎng)絡(luò)協(xié)議，可以與用戶主機(jī)系統(tǒng)進(jìn)行無縫的透明連接。 ? 一次性口令管理員客戶端模塊（軟件）： 是一個安裝于 PC機(jī)、工作站或便攜機(jī)上的一次性口令管理員客戶端軟件，可運(yùn)行于 WIN9 WIN9 WIN20 WINDOWS NT環(huán)境下。 ? 基于串口的管理配置模塊（軟件） ： 是一個安裝于網(wǎng)絡(luò)密碼機(jī)上的軟件。 它是專用軟、硬件設(shè)備，可具有多個網(wǎng)絡(luò)接口，可安裝于內(nèi)聯(lián)網(wǎng)內(nèi)各局域網(wǎng)出口處或安裝于內(nèi)聯(lián)網(wǎng)與公共網(wǎng)絡(luò)接口處。雙方收到報文后用共享秘密解密，取得對方的標(biāo)識，根據(jù)標(biāo)識找到對方的公鑰 e，利用已知公鑰解密摘要信息。協(xié)商成功后，由交換發(fā)起方發(fā)送密鑰信息和一個隨機(jī)數(shù)，響應(yīng)方作同樣的操作?，F(xiàn)舉 IPSec中的密鑰交換協(xié)議 IKE的一種情況作簡單介紹。 手工配置的方法由于密鑰更新困難，只適合于簡單網(wǎng)絡(luò)的情況。 5) ESP還有一個認(rèn)證尾部，功能類似于 AH。 2) 加入填充數(shù)據(jù)。上層協(xié)議的數(shù)據(jù)將被加密，算法的初始化向量（ IV）不被加密，有些算法的初始化向量在 Payload Data的開始位置，有些算法的初始數(shù)據(jù)由算法隱式指定。 目前， 常用的 數(shù)據(jù)加密算法有： 對稱加密算法： ? 國際數(shù)據(jù)加密算法（ IDEA： International Data Encryption Algorithm）： 128位長密鑰，把 64位的明文塊加密成 64位的密文塊。 使用不 對稱加密 算法加密時 ，通訊各方使用兩個不同的密鑰 ,一個是只有發(fā) 送方知道的私有 密鑰 d，另一個則是對應(yīng)的公 開 密鑰 e，任何人都可以獲得公 開 密鑰 e。 加密技術(shù)簡介 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 11 在 VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時不被他人竊取 ,采用了加密機(jī)制?？梢允鞘止し职l(fā)的，也可以是后面將介紹的密鑰管理協(xié)議動態(tài)分發(fā)。 6） Authentication Data：對指定的數(shù)據(jù)的認(rèn)證碼，如 HMACMD596。 3） RESERVED：全 0。 常用的 HASH函數(shù)有 MD5， SHA1等。由于在報文摘要的計算過程中一般是將一個雙方共享的秘密信息連接上實際報文一同參與摘要的計算，不知道秘密信息將很難偽 造一個匹配的摘要，從而保證了接收方可以辨認(rèn)出偽造或篡改過的報文。摘要技術(shù)主要是采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。通常由加密、認(rèn)證及密鑰 交換與 管理組成了 VPN 的安全機(jī)制。 IPIP 協(xié)議在具體的使用中要考慮如何建立外部 IP 協(xié)議頭的內(nèi)容，要考慮內(nèi)部 IP 協(xié)議頭中的某些內(nèi)容如服務(wù)質(zhì)量參數(shù)，是否要拷貝到外部協(xié)議頭中。下圖 14 是該過程的示意 . 圖 14 IPsec 中的 隧道協(xié)議 IPIP TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 9 IPIP 數(shù)據(jù)報格式 如下圖 15： 圖 15 IPIP 數(shù)據(jù)報格式 從圖中可以看出， IPIP 協(xié)議是將一個 IP 包作為另一個 IP 的負(fù)載來處理。隧道技術(shù)的基本過程是在源 局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù) (可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù) )作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。 IPSec 可確保運(yùn)行在 TCP/IP 協(xié)議上的 VPN 之間的互操作性。ISAKMP/IKE/Oakley 支持自動建立加密 、認(rèn)證 信道，以及密鑰的自動安全分發(fā)和更新。在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 包 中 。 OSI 七層模型 安全技術(shù) 安全協(xié)議 應(yīng)用層 表示層 應(yīng)用代理 會話層 傳輸層 會話層代理 SOCKSv5/SSL 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 包過濾 IPSec PPTP/L2F/L2TP 表 11 IPSec 協(xié)議 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 8 IPSec 協(xié)議是一個 應(yīng)用 廣泛，開放的 VPN 安全協(xié)議。 利用 VPN 技術(shù)可以組建安全 的 Extra，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。 IntraVPN 通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。該方式也能提供傳輸?shù)耐该餍?，但是它與 VPN 技術(shù)在安全性上有根本的差異。出差員工 撥號接入到用戶本地的 ISP， 就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。 ? 投資保護(hù) VPN基于 IPSEC 實現(xiàn)， IPSEC逐漸被大家接受 ，用戶網(wǎng)絡(luò)的改造和擴(kuò)展有很好的保護(hù)。 ? 全方位的安全保護(hù) VPN不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專用通道，保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩?，而且能在企業(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道，建立全方位的安全保護(hù)，保證網(wǎng)絡(luò)的安全。在遠(yuǎn)程辦公室增加 VPN也很簡單 ，只需 通過 作適當(dāng)?shù)脑O(shè)備 配置 即可。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個網(wǎng)絡(luò)之中。于是，虛擬專用網(wǎng) VPN（ Virtual Private Network）的概念與市場隨之出現(xiàn)。在這樣的背景下，這些在家辦公或下班后繼續(xù)工作的人員和移動辦公人員 ， 遠(yuǎn)程辦公室 ，公司各分支機(jī)構(gòu) ,公司與合作伙伴、供應(yīng)商 ,公司與 客戶之間 都可能 建立連接通道 以進(jìn)行信息傳送。白皮書中的任何部分未經(jīng)公司許可，不得轉(zhuǎn)印、影印或復(fù)印。本材料的相關(guān)權(quán)力歸天融信市場部所有。 第一章 虛擬 專用網(wǎng) (VPN)簡介 VPN的概念 在經(jīng)濟(jì)全球化的今天，越來越多的公司、企業(yè)開始在各地建立分支機(jī)構(gòu)，開展業(yè)務(wù)，移動辦公人員也 隨之劇增。 隨著 全球化 的步伐加快，移動辦公人員越來越多，公司客戶關(guān)系越來越龐大， 這樣的方案必然導(dǎo)致高昂的長途線路租用費(fèi)及長途電話費(fèi)。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的 公司企業(yè)網(wǎng)。 ? 容易擴(kuò)展 如果用戶想擴(kuò)大 VPN的容量和覆蓋范圍 ，只需改變一些配置，或增加幾臺設(shè)備、 擴(kuò)大服務(wù)范圍。比 如 ，用戶可以把撥號訪問交給 ISP去做，由自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。 VPN產(chǎn)品可以實現(xiàn)集中管理，也就是在同一個地方實現(xiàn)對不同地方 VPN的配置、監(jiān)控和維護(hù)等。示例如圖 11： 圖 11 這種方式 最適用于公司內(nèi)部經(jīng)常有流動人員遠(yuǎn)程辦公的情況。 在 VPN 技術(shù)出現(xiàn)以前，公司兩個異地機(jī)構(gòu)的局域網(wǎng)想要互連一般會采用租用專線的方式，雖然該方式也采用如隧道等技術(shù)，在一端將數(shù)據(jù)封裝后通過專線傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。利用 Inter 的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等 VPN 特性可以保證信息在整個 IntraVPN 上安全傳輸。 此種類型與上一種類型沒有本質(zhì)的區(qū)別，但由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問題。 示例如圖 13： 圖 13 在下表中根據(jù) ISO 七層模型給出了 VPN 的主要協(xié)議標(biāo)準(zhǔn)。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道（ tunnel）模式，一種是傳輸 (transport)模式。IETF 安全工作組完成了 IPSec 的擴(kuò)展，在 IPSec 協(xié)議中加上 ISAKMP(Inter Security Association and Key Management Protocol) 協(xié) 議 ， 密 鑰 分配 協(xié) 議 IKE 、 Oakley 。它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改 ，具有數(shù)據(jù)源認(rèn)證功能 。 隧道技術(shù) 隧道技術(shù)簡介 要能夠使得企業(yè)網(wǎng)內(nèi)一個局域網(wǎng)的數(shù)據(jù)透明的穿過公用網(wǎng)到達(dá)另一個局域網(wǎng) , 虛擬專用網(wǎng)采用了一種稱之為隧道的技術(shù)。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)