【正文】 推 進(jìn) 應(yīng) 用 25 ? 空載性能 加載 VPN 模塊，但空載時(shí)系統(tǒng)的整體性能為： 80Mbps； ? 驗(yàn)證算法性能 加載 VPN 模塊，系統(tǒng)采用 MD5 作為認(rèn)證算法時(shí)系統(tǒng)的整體性能為： 35Mbps； ? 驗(yàn)證算法性能 加載 VPN 模塊，系統(tǒng)采用 DES 作為加密算法時(shí)系統(tǒng)的整體性能為： 17Mbps； ? 總體性能 加載 VPN 模塊，系統(tǒng)采用 MD5 作為認(rèn) 證算法，同時(shí) DES 作為加密算法時(shí)系統(tǒng)的整體性能為： 12Mbps。 ? 根據(jù)用戶(hù)所需的不同服務(wù)等級(jí)，網(wǎng)絡(luò)通訊的整體性能的下降在可以忍受的范圍之 內(nèi)。 ? 支持各種復(fù)雜的網(wǎng)絡(luò)環(huán)境。同 NAT 一樣，目前的標(biāo)準(zhǔn) IPSec 協(xié)議不支持 MAP 功能。 ? 支持外部防火墻包過(guò)濾功能。 ? 支持外部防火墻 NAT 功能。 在目前公共 CA系統(tǒng)不完善的情況下可以采用本公司自主開(kāi)發(fā)的 CA系統(tǒng)，在各 VPN之間提供身份認(rèn)證功能。因此可以支持移動(dòng)用戶(hù)通過(guò)電話(huà)等撥號(hào)上網(wǎng)。支持國(guó)際流行 的 HMACMD5， HMACSHA1 算法以及公司自主開(kāi)發(fā)的高強(qiáng)度驗(yàn)證算法。除了支持國(guó)際流行的 DES 和 3DES 加密算法之外，還支持公司自行研制的高強(qiáng)度加密算法。 符合當(dāng)前的國(guó)際潮流。應(yīng)用層通過(guò)核心層提供的配置接口實(shí)現(xiàn)對(duì)安全數(shù)據(jù)庫(kù)、安全算法庫(kù)和隧道、子網(wǎng)數(shù)據(jù)庫(kù)的維護(hù)，以及對(duì)通道的建立和刪除。端到端方式主要適用在單個(gè)端用戶(hù)之間建立安全的傳輸通道，以保證傳輸數(shù)據(jù)的機(jī)密性和完整性。 ? 與端用戶(hù)互連（可選功能） 網(wǎng)絡(luò)密碼機(jī)作為網(wǎng)關(guān)式 VPN 與端用戶(hù) VPN 互連，可在整個(gè)網(wǎng)絡(luò)上建立一個(gè)安全的通訊環(huán)境，不僅保證了網(wǎng)關(guān)與網(wǎng)關(guān)之間的通信數(shù)據(jù)經(jīng)過(guò)加密處理，并可對(duì)敏感的端用戶(hù)與網(wǎng)關(guān)之間的傳輸數(shù)據(jù)進(jìn)行加密，從而保證了數(shù)據(jù)在網(wǎng)絡(luò)中的安全性。總之，帶寬管理可以為用戶(hù)不同的通信提供充分的服務(wù)質(zhì)量 QoS(Quality of Security)保證。 ? 帶寬管理（可選功能） TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 21 網(wǎng)絡(luò)衛(wèi)士 VPN 能夠針對(duì)具體的規(guī)則（包括源地址、目的地址 、協(xié)議及端口范圍）對(duì)網(wǎng)絡(luò)帶寬進(jìn)行分配，能夠提供對(duì)帶寬分配的可擴(kuò)展性，能夠?qū)Ξ?dāng)前帶寬管理進(jìn)行監(jiān)視，提供所有可查詢(xún)的數(shù)據(jù)。并且可以通過(guò)將隧道報(bào)文設(shè)置為禁止?fàn)顟B(tài)，來(lái)防止本應(yīng)該通過(guò)隧道傳輸?shù)膱?bào)文卻沒(méi)有通過(guò)隧道而被接收進(jìn)來(lái)的情況。管理員可以像是直接連在串口終端上一樣，對(duì)遠(yuǎn)程的 VPN 設(shè)備進(jìn)行管理。 SJW11 網(wǎng)絡(luò)密碼機(jī)支持 SNMPv1， SNMPv2 和 SNMPv3，其中 SNMPv3 支持 SNMP報(bào)文的認(rèn)證和加密。 ? 支持 SNMP網(wǎng)絡(luò)管理協(xié)議 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ Simple Network Management Protocol）幫助網(wǎng)絡(luò)管理員找出并糾正 TCP/IP 互聯(lián)網(wǎng)中的故障。在建立隧道 雙方的網(wǎng)絡(luò)密碼機(jī)都是動(dòng)態(tài) IP 地址的情況下也必須通過(guò)集中管理器來(lái)建立隧道。但對(duì)于隧道的停止或刪除仍須通過(guò)人工的方式進(jìn)行。收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。因此如果是不同的設(shè)備，那么只要雙方都支持某一種算法，就可以建立起安全隧道。缺省的密鑰更新周期是 12 小時(shí)。 ? 支持用戶(hù)定制 VPN 網(wǎng)關(guān)在缺省情況下，對(duì)數(shù)據(jù) 流分別進(jìn)行加密處理和摘要認(rèn)證處理。因此安全子網(wǎng)和普通子網(wǎng)的數(shù)據(jù)流會(huì)被分別處理，不會(huì)相互影響，從而大大提高了 VPN對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)性。一臺(tái) VPN 網(wǎng)關(guān)與其它 VPN網(wǎng)關(guān) 最多可以建立 450 個(gè)隧道 。 ? 隧道管理 要想在兩個(gè)網(wǎng)絡(luò)衛(wèi)士 VPN網(wǎng)關(guān)之間建立安全隧道，管理員必須 對(duì)這 兩個(gè) VPN網(wǎng)關(guān)分別進(jìn)行 隧道 參數(shù) 設(shè)置，然后才能建立隧道。 ? 支持的協(xié)議： TCP/IP、 UDP、 ICMP、 IPSEC ESP/AH、 IKE、 PUPP等。 ? 密鑰長(zhǎng)度：對(duì)稱(chēng)： 128位，非對(duì)稱(chēng)： 1024位。 VPN 系統(tǒng)性能指標(biāo) ? 系統(tǒng)平均無(wú)故障時(shí)間 MTBF：≥ 40000 小時(shí)。 高可靠性 ? 采用工業(yè)級(jí)組件，支持 7 24 小時(shí)不間斷運(yùn)行。 ? 功能可選，為了方便用戶(hù)，根據(jù)不同用戶(hù)的需要系統(tǒng)的部分功能是可選的，增強(qiáng)了使用的靈活性。 ? 透明支持各種應(yīng)用服務(wù) 。 ? 靈活可變的工作模式。 采用通過(guò)國(guó)家鑒定的硬件加密卡所提供的 128位對(duì)稱(chēng)加密算法和 128位密鑰散列算法。 ? 支持 IPSec（ IP Security）協(xié)議 ，提供傳輸方式和隧道方式安 全 。 ? 專(zhuān)用的操作系統(tǒng)、 標(biāo)準(zhǔn)的 協(xié)議及安全 的 軟件，并全面固化于硬件中，抗攻擊能力強(qiáng) 。該軟件與上層應(yīng)用無(wú)關(guān)，支持各種網(wǎng)絡(luò)協(xié)議，可以與用戶(hù)主機(jī)系統(tǒng)進(jìn)行無(wú)縫的透明連接。 ? 一次性口令管理員客戶(hù)端模塊（軟件）： 是一個(gè)安裝于 PC機(jī)、工作站或便攜機(jī)上的一次性口令管理員客戶(hù)端軟件，可運(yùn)行于 WIN9 WIN9 WIN20 WINDOWS NT環(huán)境下。 ? 基于串口的管理配置模塊（軟件） ： 是一個(gè)安裝于網(wǎng)絡(luò)密碼機(jī)上的軟件。 它是專(zhuān)用軟、硬件設(shè)備，可具有多個(gè)網(wǎng)絡(luò)接口，可安裝于內(nèi)聯(lián)網(wǎng)內(nèi)各局域網(wǎng)出口處或安裝于內(nèi)聯(lián)網(wǎng)與公共網(wǎng)絡(luò)接口處。雙方收到報(bào)文后用共享秘密解密，取得對(duì)方的標(biāo)識(shí)，根據(jù)標(biāo)識(shí)找到對(duì)方的公鑰 e，利用已知公鑰解密摘要信息。協(xié)商成功后，由交換發(fā)起方發(fā)送密鑰信息和一個(gè)隨機(jī)數(shù)，響應(yīng)方作同樣的操作?，F(xiàn)舉 IPSec中的密鑰交換協(xié)議 IKE的一種情況作簡(jiǎn)單介紹。 手工配置的方法由于密鑰更新困難，只適合于簡(jiǎn)單網(wǎng)絡(luò)的情況。 5) ESP還有一個(gè)認(rèn)證尾部，功能類(lèi)似于 AH。 2) 加入填充數(shù)據(jù)。上層協(xié)議的數(shù)據(jù)將被加密，算法的初始化向量（ IV）不被加密，有些算法的初始化向量在 Payload Data的開(kāi)始位置，有些算法的初始數(shù)據(jù)由算法隱式指定。 目前， 常用的 數(shù)據(jù)加密算法有： 對(duì)稱(chēng)加密算法： ? 國(guó)際數(shù)據(jù)加密算法（ IDEA： International Data Encryption Algorithm）： 128位長(zhǎng)密鑰，把 64位的明文塊加密成 64位的密文塊。 使用不 對(duì)稱(chēng)加密 算法加密時(shí) ，通訊各方使用兩個(gè)不同的密鑰 ,一個(gè)是只有發(fā) 送方知道的私有 密鑰 d，另一個(gè)則是對(duì)應(yīng)的公 開(kāi) 密鑰 e，任何人都可以獲得公 開(kāi) 密鑰 e。 加密技術(shù)簡(jiǎn)介 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 11 在 VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時(shí)不被他人竊取 ,采用了加密機(jī)制?？梢允鞘止し职l(fā)的，也可以是后面將介紹的密鑰管理協(xié)議動(dòng)態(tài)分發(fā)。 6） Authentication Data：對(duì)指定的數(shù)據(jù)的認(rèn)證碼，如 HMACMD596。 3） RESERVED：全 0。 常用的 HASH函數(shù)有 MD5， SHA1等。由于在報(bào)文摘要的計(jì)算過(guò)程中一般是將一個(gè)雙方共享的秘密信息連接上實(shí)際報(bào)文一同參與摘要的計(jì)算，不知道秘密信息將很難偽 造一個(gè)匹配的摘要，從而保證了接收方可以辨認(rèn)出偽造或篡改過(guò)的報(bào)文。摘要技術(shù)主要是采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換，映射為一段短的報(bào)文即摘要。通常由加密、認(rèn)證及密鑰 交換與 管理組成了 VPN 的安全機(jī)制。 IPIP 協(xié)議在具體的使用中要考慮如何建立外部 IP 協(xié)議頭的內(nèi)容，要考慮內(nèi)部 IP 協(xié)議頭中的某些內(nèi)容如服務(wù)質(zhì)量參數(shù)，是否要拷貝到外部協(xié)議頭中。下圖 14 是該過(guò)程的示意 . 圖 14 IPsec 中的 隧道協(xié)議 IPIP TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 9 IPIP 數(shù)據(jù)報(bào)格式 如下圖 15： 圖 15 IPIP 數(shù)據(jù)報(bào)格式 從圖中可以看出， IPIP 協(xié)議是將一個(gè) IP 包作為另一個(gè) IP 的負(fù)載來(lái)處理。隧道技術(shù)的基本過(guò)程是在源 局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù) (可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù) )作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。 IPSec 可確保運(yùn)行在 TCP/IP 協(xié)議上的 VPN 之間的互操作性。ISAKMP/IKE/Oakley 支持自動(dòng)建立加密 、認(rèn)證 信道，以及密鑰的自動(dòng)安全分發(fā)和更新。在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 包 中 。 OSI 七層模型 安全技術(shù) 安全協(xié)議 應(yīng)用層 表示層 應(yīng)用代理 會(huì)話(huà)層 傳輸層 會(huì)話(huà)層代理 SOCKSv5/SSL 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 包過(guò)濾 IPSec PPTP/L2F/L2TP 表 11 IPSec 協(xié)議 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 8 IPSec 協(xié)議是一個(gè) 應(yīng)用 廣泛，開(kāi)放的 VPN 安全協(xié)議。 利用 VPN 技術(shù)可以組建安全 的 Extra，既可以向客戶(hù)、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。 IntraVPN 通過(guò)一個(gè)使用專(zhuān)用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。該方式也能提供傳輸?shù)耐该餍?，但是它與 VPN 技術(shù)在安全性上有根本的差異。出差員工 撥號(hào)接入到用戶(hù)本地的 ISP， 就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。 ? 投資保護(hù) VPN基于 IPSEC 實(shí)現(xiàn)， IPSEC逐漸被大家接受 ，用戶(hù)網(wǎng)絡(luò)的改造和擴(kuò)展有很好的保護(hù)。 ? 全方位的安全保護(hù) VPN不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專(zhuān)用通道，保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩?，而且能在企業(yè)內(nèi)部的用戶(hù)與網(wǎng)關(guān)之間、移動(dòng)辦公用戶(hù)和網(wǎng)關(guān)之間、用戶(hù)與用戶(hù)之間建立安全通道，建立全方位的安全保護(hù)，保證網(wǎng)絡(luò)的安全。在遠(yuǎn)程辦公室增加 VPN也很簡(jiǎn)單 ，只需 通過(guò) 作適當(dāng)?shù)脑O(shè)備 配置 即可。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。于是，虛擬專(zhuān)用網(wǎng) VPN（ Virtual Private Network）的概念與市場(chǎng)隨之出現(xiàn)。在這樣的背景下，這些在家辦公或下班后繼續(xù)工作的人員和移動(dòng)辦公人員 ， 遠(yuǎn)程辦公室 ，公司各分支機(jī)構(gòu) ,公司與合作伙伴、供應(yīng)商 ,公司與 客戶(hù)之間 都可能 建立連接通道 以進(jìn)行信息傳送。白皮書(shū)中的任何部分未經(jīng)公司許可，不得轉(zhuǎn)印、影印或復(fù)印。本材料的相關(guān)權(quán)力歸天融信市場(chǎng)部所有。 第一章 虛擬 專(zhuān)用網(wǎng) (VPN)簡(jiǎn)介 VPN的概念 在經(jīng)濟(jì)全球化的今天，越來(lái)越多的公司、企業(yè)開(kāi)始在各地建立分支機(jī)構(gòu)，開(kāi)展業(yè)務(wù)，移動(dòng)辦公人員也 隨之劇增。 隨著 全球化 的步伐加快，移動(dòng)辦公人員越來(lái)越多，公司客戶(hù)關(guān)系越來(lái)越龐大， 這樣的方案必然導(dǎo)致高昂的長(zhǎng)途線(xiàn)路租用費(fèi)及長(zhǎng)途電話(huà)費(fèi)。虛擬專(zhuān)用網(wǎng)通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的 公司企業(yè)網(wǎng)。 ? 容易擴(kuò)展 如果用戶(hù)想擴(kuò)大 VPN的容量和覆蓋范圍 ，只需改變一些配置，或增加幾臺(tái)設(shè)備、 擴(kuò)大服務(wù)范圍。比 如 ，用戶(hù)可以把撥號(hào)訪(fǎng)問(wèn)交給 ISP去做，由自己負(fù)責(zé)用戶(hù)的查驗(yàn)、訪(fǎng)問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。 VPN產(chǎn)品可以實(shí)現(xiàn)集中管理，也就是在同一個(gè)地方實(shí)現(xiàn)對(duì)不同地方 VPN的配置、監(jiān)控和維護(hù)等。示例如圖 11： 圖 11 這種方式 最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。 在 VPN 技術(shù)出現(xiàn)以前，公司兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)想要互連一般會(huì)采用租用專(zhuān)線(xiàn)的方式，雖然該方式也采用如隧道等技術(shù)，在一端將數(shù)據(jù)封裝后通過(guò)專(zhuān)線(xiàn)傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。利用 Inter 的線(xiàn)路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等 VPN 特性可以保證信息在整個(gè) IntraVPN 上安全傳輸。 此種類(lèi)型與上一種類(lèi)型沒(méi)有本質(zhì)的區(qū)別，但由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問(wèn)題。 示例如圖 13： 圖 13 在下表中根據(jù) ISO 七層模型給出了 VPN 的主要協(xié)議標(biāo)準(zhǔn)。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道（ tunnel）模式，一種是傳輸 (transport)模式。IETF 安全工作組完成了 IPSec 的擴(kuò)展，在 IPSec 協(xié)議中加上 ISAKMP(Inter Security Association and Key Management Protocol) 協(xié) 議 ， 密 鑰 分配 協(xié) 議 IKE 、 Oakley 。它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒(méi)有被修改 ，具有數(shù)據(jù)源認(rèn)證功能 。 隧道技術(shù) 隧道技術(shù)簡(jiǎn)介 要能夠使得企業(yè)網(wǎng)內(nèi)一個(gè)局域網(wǎng)的數(shù)據(jù)透明的穿過(guò)公用網(wǎng)到達(dá)另一個(gè)局域網(wǎng) , 虛擬專(zhuān)用網(wǎng)采用了一種稱(chēng)之為隧道的技術(shù)。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)