【正文】 問控制保護(hù)，只有通過身份認(rèn)證并能夠與被保護(hù)主機(jī)正確VPN隧道的用戶主機(jī)才能對其進(jìn)行數(shù)據(jù)訪問；所有訪問被保護(hù)主機(jī)的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸形式都是密文，從而避免了關(guān)鍵數(shù)據(jù)在傳輸過程中，特別是在本地局域網(wǎng)環(huán)境中，被非法竊聽的可能性；端到端的VPN 隧道建立方式非常靈活，被授權(quán)訪問的主機(jī)無論是在本地局域網(wǎng)內(nèi)部，還是在家辦公或在外出差的移動用戶，或者是在企業(yè)的其他分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中，都可以與被保護(hù)主機(jī)建立VPN隧道，從而進(jìn)行授權(quán)的數(shù)據(jù)訪問。使用SSL VPN，只需要在安全網(wǎng)關(guān)上進(jìn)行配置，而不需要用戶在計(jì)算機(jī)上安裝軟件，也不需要配置。2．解決方案能夠?yàn)橐苿佑脩籼峁┑腣PN服務(wù)移動用戶一旦啟動客戶端并正確與VPN網(wǎng)關(guān)建立VPN 隧道后，即可象企業(yè)局域網(wǎng)內(nèi)部用戶一樣訪問內(nèi)部網(wǎng)絡(luò)資源；移動用戶可以同時(shí)訪問因特網(wǎng)數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)；客戶端為移動用戶提供的功能強(qiáng)大的個(gè)人防火墻功能，有效防止用戶遭受來自因特網(wǎng)的非法攻擊；移動用戶通過隧道訪問企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)使用內(nèi)部統(tǒng)一規(guī)劃的網(wǎng)絡(luò)IP地址，這為企業(yè)內(nèi)部網(wǎng)絡(luò)部署第三方的防火墻、IDS等安全產(chǎn)品提供了方便。在傳統(tǒng)網(wǎng)絡(luò)中，移動用戶如果希望訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)資源，可以通過遠(yuǎn)程電話撥號接入企業(yè)的“遠(yuǎn)程接入服務(wù)器（RAS）”，這種方式往往需要企業(yè)支付較高的長途電話費(fèi)用，而且網(wǎng)絡(luò)速度慢，無法支持大量移動用戶的同時(shí)訪問需求。辦事處：一般指企業(yè)在全國各地建立的小型辦事機(jī)構(gòu)，通常僅有少量的工作人員和業(yè)務(wù)處理主機(jī)。對于規(guī)模較小、分支機(jī)構(gòu)不多的中小型企業(yè)，可以不單獨(dú)部署“網(wǎng)御安全管理中心”，而啟用網(wǎng)御VPN中心網(wǎng)關(guān)內(nèi)部集成的“ 安全策略服務(wù)器”功能，對整個(gè)企業(yè)VPN中的設(shè)備和策略進(jìn)Power V520VPNPower V520VPNPower V520VPN行管理?？煽康陌踩浴?lián)想網(wǎng)御VPN產(chǎn)品是集 VPN功能、防火墻功能、路由功能于一身的網(wǎng)絡(luò)安全產(chǎn)品，通過公安部安全產(chǎn)品評測中心、國家信息安全產(chǎn)品測評中心等多家國內(nèi)權(quán)威安全產(chǎn)品評測機(jī)構(gòu)的評測，并取得銷售資質(zhì)，因此其安全性和成熟性都有很好的保障。第三章 聯(lián)想網(wǎng)御VPN解決方案聯(lián)想網(wǎng)御VPN系列產(chǎn)品向用戶提供了通過完整的企業(yè)級網(wǎng)絡(luò)安全解決方案，聯(lián)想網(wǎng)御VPN解決方案具有如下鮮明的特點(diǎn)：廣泛的適用性——聯(lián)系網(wǎng)御VPN解決方案能夠解決企業(yè)構(gòu)建VPN網(wǎng)絡(luò)所提出的各種應(yīng)用需求，包括企業(yè)機(jī)構(gòu)內(nèi)部之間的數(shù)據(jù)通信、與合作伙伴之間的數(shù)據(jù)通信、企業(yè)分支機(jī)構(gòu)與企業(yè)總部之間的數(shù)據(jù)通信、遠(yuǎn)程移動辦公人員與企業(yè)內(nèi)部安全通信以及移動人員之間的安全通信等等。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點(diǎn)，并進(jìn)行智能分類、人工核驗(yàn)的處理手段對網(wǎng)站進(jìn)行分類。比如當(dāng)BT數(shù)據(jù)流和MSN 數(shù)據(jù)流同時(shí)進(jìn)入VPN網(wǎng)關(guān)時(shí)，VPN 網(wǎng)關(guān)內(nèi)容搜索引擎不是在檢索完 BT數(shù)據(jù)流以后再去檢索MSN 數(shù)據(jù)流，而是可以同時(shí)啟動BT搜索引擎和MSN搜索引擎。當(dāng)數(shù)據(jù)包到達(dá)VPN網(wǎng)關(guān)時(shí)，VPN網(wǎng)關(guān)首先根據(jù)用戶定制策略將其分配到其對應(yīng)的特征庫管道，如P2P 下載行為的流量被輸送到P2P特征庫管道，即時(shí)通訊的流量則被輸送到IM特征庫管道。當(dāng)過濾引擎搜索到與之匹配的特征碼時(shí)，VPN網(wǎng)關(guān)即可應(yīng)用智能識別技術(shù)進(jìn)行細(xì)粒度控制或一鍵封鎖。對任何一個(gè)網(wǎng)御VPN產(chǎn)品節(jié)點(diǎn)，必須導(dǎo)入一個(gè)合法的數(shù)字證書，才能和其它VPN節(jié)點(diǎn)進(jìn)行基于電子證書的雙向身份認(rèn)證，進(jìn)而協(xié)商建立安全加密隧道。聯(lián)想網(wǎng)御VPN 客戶端的運(yùn)行對用戶表現(xiàn)為全透明，即：用戶的應(yīng)用系統(tǒng)無需作任何適應(yīng)性調(diào)整，其網(wǎng)絡(luò)配置也不必作任何改動。具體功能包括：? 內(nèi)置DHCP服務(wù)器和客戶端；? 內(nèi)置遠(yuǎn)程撥號服務(wù)器功能；? 支持靜態(tài)路由協(xié)議；? 支持RIP、OSPF 動態(tài)路由協(xié)議；? 支持內(nèi)部多子網(wǎng)劃分；? 支持遠(yuǎn)程網(wǎng)絡(luò)鄰居互訪（與WINS服務(wù)器配合）。 提供易用的管理配置界面聯(lián)想網(wǎng)御VPN 網(wǎng)關(guān)提供基于串口超級終端和遠(yuǎn)程tel兩種登錄管理方式，管理員可以使用命令行的方式對設(shè)備進(jìn)行配置；同時(shí)提供基于windows的GUI管理控制界面，管理員可以不用記憶復(fù)雜的配置命令，而僅通過點(diǎn)擊鼠標(biāo)就可完成全部配置工作。具體方案如下：a、 雙機(jī)單線路主從備份雙機(jī)單線路主從備份在這種方案中，正常情況下僅有工作機(jī)進(jìn)行工作，備份機(jī)處于熱等待狀態(tài)，并使用心跳信號實(shí)時(shí)偵聽工作機(jī)的運(yùn)轉(zhuǎn)狀態(tài)；當(dāng)工作機(jī)出現(xiàn)故障時(shí)，備份機(jī)自動接替工作機(jī)的工作，完成VPN 隧道的加解密和數(shù)據(jù)隧道封裝工作；當(dāng)工作機(jī)恢復(fù)正常后，備份重新進(jìn)入熱等待狀態(tài)。因此合理分配有限的因特網(wǎng)接入帶寬資源，確保企業(yè)內(nèi)部的業(yè)務(wù)數(shù)據(jù)流快速實(shí)時(shí)地進(jìn)行傳輸是VPN 網(wǎng)關(guān)設(shè)備必不可少的一項(xiàng)功能。綜合以上分析的企業(yè)VPN網(wǎng)絡(luò)管理需求，聯(lián)想網(wǎng)御VPN 系列產(chǎn)品采用了“統(tǒng)一認(rèn)證、集中監(jiān)控、分級管理”的VPN 網(wǎng)絡(luò)管理方案：? 統(tǒng)一認(rèn)證：聯(lián)想網(wǎng)御VPN全系列產(chǎn)品（包括網(wǎng)關(guān)和軟件包）均支持目前最安全的身份認(rèn)證方式——數(shù)字電子證書認(rèn)證，采用1024bits密鑰的RSA算法進(jìn)行數(shù)字證書簽名，數(shù)字證書的發(fā)放、認(rèn)證過程由“網(wǎng)御安全管理中心（SMC）”軟件完成；在企業(yè)的總部部署 “網(wǎng)御安全管理中心”，負(fù)責(zé)對全國VPN網(wǎng)絡(luò)的入網(wǎng)設(shè)備發(fā)放數(shù)字證書，只有擁有合法數(shù)字證書并通過中心SMC認(rèn)證的網(wǎng)關(guān)或安全包才能接入企業(yè)的VPN 網(wǎng)絡(luò)。 支持動態(tài)域名解析（DDNS）聯(lián)想網(wǎng)御VPN 產(chǎn)品支持企業(yè)總部及各個(gè)分支機(jī)構(gòu)以全靜態(tài)IP地址、單靜態(tài)IP地址＋動態(tài)IP地址以及全動態(tài)IP地址的方式接入因特網(wǎng)。如果企業(yè)的兩個(gè)分支機(jī)構(gòu)均采用動態(tài)IP地址方式接入因特網(wǎng)，那么這兩個(gè)分支機(jī)構(gòu)之間的VPN隧道策略參數(shù)必須進(jìn)行動態(tài)調(diào)整，這一過程對目前市場大部分的VPN產(chǎn)品（包括國內(nèi)產(chǎn)品和國外產(chǎn)品）都無法自動完成，這為企業(yè)VPN網(wǎng)絡(luò)的廣泛應(yīng)用和管理人員的維護(hù)工作帶來很大麻煩。移動用戶只需要通過瀏覽器打開聯(lián)想網(wǎng)御VPN網(wǎng)關(guān)的SSLVPN入口網(wǎng)頁，就可以建立隧道。聯(lián)想網(wǎng)御VPN產(chǎn)品經(jīng)過嚴(yán)格的互通性測試，和CISCO、NetScreen等著名廠家的VPN 產(chǎn)品可以實(shí)現(xiàn)互通（采用標(biāo)準(zhǔn)算法）。 完備的VPN系統(tǒng)聯(lián)想網(wǎng)御VPN 產(chǎn)品由 VPN安全網(wǎng)關(guān)、 VPN客戶端以及集中管理平臺組成。網(wǎng)御VPN 的全系列產(chǎn)品（從網(wǎng)關(guān)到移動客戶端軟件）都支持最新的NATT標(biāo)準(zhǔn)。這就是組建VPN網(wǎng)關(guān)最常見的“IPSec與NAT 協(xié)調(diào)工作”的問題。 IPSec與NAT協(xié)同工作網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是IETF為了解決IPv4協(xié)議定義的IP地址不足問題而提出的一種解決方案。由于沒有對原始IP頭進(jìn)行加密，因此傳輸模式不能抗數(shù)據(jù)流量分析。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實(shí)現(xiàn)VPN網(wǎng)關(guān)；在客戶端，IPSec架構(gòu)允許使用基于純軟件方式使用普通Modem的PC機(jī)和工作站。我國頒布的《中華人民共和國商用密碼管理?xiàng)l例》中規(guī)定，“商用密碼技術(shù)屬于國家秘密。設(shè)計(jì)IPSec是為了給IP數(shù)據(jù)報(bào)提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。使用自動協(xié)商管理方式，通訊雙方在建立安全連接（SA）時(shí)可以動態(tài)地協(xié)商本次會話所需的加密密鑰和其它各種安全參數(shù)，無須用戶的介入。IPSec支持手工密鑰設(shè)置和自動協(xié)商兩種密鑰管理方式。安全載荷封裝（ESP）協(xié)議通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密，來提供數(shù)據(jù)保密性、有限的數(shù)據(jù)流保密性，數(shù)據(jù)源認(rèn)證，無連接的完整性，以及抗重放服務(wù)。IETF的IPSec工作組已經(jīng)制定了很多個(gè) RFC文檔，對 IPSec的方方面面都進(jìn)行了定義，但其核心由其中的三個(gè)最基本的協(xié)議組成。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會被影響。例如，Netscape Navigator和Microsoft Inter Explorer支持保護(hù)互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護(hù)Inter上信用卡交易的安全電子交易協(xié)議（SET ）?？梢詳喽ǎ琁PSec將成為未來相當(dāng)一段時(shí)間內(nèi)企業(yè)構(gòu)筑VPN的主流標(biāo)準(zhǔn)，因此企業(yè)在構(gòu)造VPN基礎(chǔ)設(shè)施時(shí)應(yīng)該首先考慮IPSec標(biāo)準(zhǔn)。 IPSec VPN網(wǎng)絡(luò)安全體系目前建造虛擬專用網(wǎng)依據(jù)的主要國際標(biāo)準(zhǔn)有IPSec、L2TP、PPTP 、L2F 、SOCKS等。在IPSec實(shí)現(xiàn)中，非對稱算法（證書）用于自動協(xié)商隧道密鑰（對稱密鑰），從而可大大簡化密鑰的管理工作。對稱密碼算法的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度和較快的運(yùn)算速度，但其密鑰必須通過安全的途徑傳送。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法，這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)。有多種方法可以完成這種地址轉(zhuǎn)換，如靜態(tài)IP地址轉(zhuǎn)換、動態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等，對于VPN而言，數(shù)據(jù)包封裝（隧道）是最常用的技術(shù)。企業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。? 保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。VPN技術(shù)需要解決的主要問題概括起來就是：實(shí)現(xiàn)低成本的互通和安全。聯(lián)想作為一個(gè)專業(yè)化的VPN產(chǎn)品研制、生產(chǎn)和服務(wù)提供商，對VPN的技術(shù)內(nèi)涵和國內(nèi)企業(yè)的需求特點(diǎn)有著深刻的理解，并具有豐富的VPN工程實(shí)施經(jīng)驗(yàn)。Inter技術(shù)的不斷發(fā)展和日趨成熟為這種需求的實(shí)現(xiàn)提供了現(xiàn)實(shí)的可能性。第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標(biāo)，屬于各自公司或組織所有。聯(lián)想網(wǎng)御VPN技術(shù)與產(chǎn)品特點(diǎn)作者：日期：聯(lián)想網(wǎng)御VPN系統(tǒng)產(chǎn)品白皮書聯(lián)想網(wǎng)御科技（北京）有限公司版權(quán)信息169。商標(biāo)信息聯(lián)想，網(wǎng)御，Legend，Lenovo，leadsec等標(biāo)識及其組合是聯(lián)想網(wǎng)御科技(北京)有限公司擁有的商標(biāo)，受商標(biāo)法和有關(guān)國際公約的保護(hù)。在這樣的背景下，企業(yè)迫切需要一種低成本的網(wǎng)絡(luò)互聯(lián)解決方案，以實(shí)現(xiàn)異地分支機(jī)構(gòu)、合作伙伴或移動用戶與企業(yè)總部之間暢通、安全地交換或共享業(yè)務(wù)數(shù)據(jù)。企業(yè)實(shí)際構(gòu)建虛擬專用網(wǎng)絡(luò)需要對一系列與互通和安全相關(guān)的問題作出決策，如VPN技術(shù)和產(chǎn)品的選用、安全策略的制定、用戶認(rèn)證、私有IP地址的分配和傳送、NAT、流量控制、以及和其它安全產(chǎn)品的配合等等。VPN的主要目標(biāo)是建立一種靈活、低成本、可擴(kuò)展的網(wǎng)絡(luò)互連手段，以替代傳統(tǒng)的長途專線連接和遠(yuǎn)程撥號連接，但同時(shí)VPN也是一種實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)安全隔離的有效方式。? 保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子篡改數(shù)據(jù)的能力。需要強(qiáng)調(diào)指出的是：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息系統(tǒng)環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。 隧道技術(shù)由于受到Inter 網(wǎng)絡(luò)中IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過Inter傳輸?shù)?，而必須代之以合法的IP地址。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。最著名的對稱密碼算法為美國的DES算法及其各種變形。由于非對稱密碼算法加密速度慢，不適宜直接對實(shí)時(shí)的和大量的數(shù)據(jù)加密。由于防火墻和VPN 均處于公網(wǎng)出口處，在網(wǎng)絡(luò)中的位置基本相同，而其功能具有很強(qiáng)的互補(bǔ)性，因此