【正文】 全供應(yīng)商的鼎力支持，并且正在不斷豐富完善。盡管現(xiàn)在發(fā)行的許多 Inter 應(yīng)用軟件中已包含了安全特征。當(dāng)在廣域網(wǎng)出口處安裝IPSec 時(shí)，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。 IPSec 的原理IPSec 包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對(duì)通信的各種保護(hù)方式；密鑰協(xié)商部分則定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別。AH 認(rèn)證整個(gè) IP 頭，不過由于 AH 不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。大部分的應(yīng)用實(shí)例中都采用了 ESP 或同時(shí)使用 ESP 和 AH，但對(duì)于某些僅需要保證完整性的應(yīng)用（如股市行情的發(fā)送） ，也可僅使用 AH。自動(dòng)協(xié)商管理方式則能滿足其它所有的應(yīng)用要求。 IKE 通過兩個(gè)階段的協(xié)商來完成安全關(guān)聯(lián)（SA ）的建立，第一階段，由 IKE 交換的發(fā)起方發(fā)起一個(gè)主模式交換或野蠻模式交換，交換的結(jié)果是建立一個(gè)名為 ISAKMP SA 的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起一個(gè)快捷模式的消息交換序列，完成用于保護(hù)通信數(shù)據(jù)的 IPSec SA 的協(xié)商。必須強(qiáng)調(diào)指出的是，高強(qiáng)度的密碼算法是國家專控商品，至今美國仍實(shí)行對(duì)加密長(zhǎng)度超過 128 位的加密算法的出口限制。 IPSec 的實(shí)現(xiàn)方式IPSec 的一個(gè)最基本的優(yōu)勢(shì)是它可以在各種網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器或工作站上完全實(shí)現(xiàn)，從而使其構(gòu)成的安全通道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。傳輸模式使用原始明文 IP 頭，AH 或 ESP 被插在 IP 頭之后但在所有的傳輸層協(xié)議之前。當(dāng)隧道模式用于用戶終端設(shè)置時(shí)，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。由于 NAT 處理過程是需要修改 IP 數(shù)據(jù)報(bào)文的 IP 頭數(shù)據(jù)、傳輸層報(bào)文頭數(shù)據(jù)甚至傳輸數(shù)據(jù)的內(nèi)容（如 FTP 應(yīng)用） ，而在 IPSec 協(xié)議中是對(duì)整個(gè) IP 報(bào)文數(shù)據(jù)進(jìn)行了加密和完整性認(rèn)證處理的，所以一旦經(jīng)過 IPSec 處理的 IP 包穿過 NAT 網(wǎng)關(guān)時(shí)，包內(nèi)容被網(wǎng)關(guān)所改動(dòng)，改數(shù)據(jù)包到達(dá)目的主機(jī)后其解密或完整性認(rèn)證處理就會(huì)失敗，于是這個(gè)報(bào)文被認(rèn)為是非法數(shù)據(jù)而被丟棄。由于 NATT 協(xié)議標(biāo)準(zhǔn)制定的時(shí)間還比較短，而且還沒有最終形成 RFC 的標(biāo)準(zhǔn)，所以目前國內(nèi) VPN 廠商真正支持這個(gè)標(biāo)準(zhǔn)的產(chǎn)品幾乎沒有，國外的 VPN 廠商也只有象NetScreen 這樣的大型的 VPN 設(shè)備供應(yīng)商才支持 NATT 標(biāo)準(zhǔn)。聯(lián)想網(wǎng)御 VPN 產(chǎn)品要達(dá)到的目標(biāo)是：采用聯(lián)想網(wǎng)御 VPN，企業(yè)的所有分支機(jī)構(gòu)、合作伙伴和移動(dòng)用戶只要連接上因特網(wǎng)（無論采取什么樣的接入方式） ，就能夠像是用專線互聯(lián)一樣方便安全地交換和共享數(shù)據(jù)。 全面支持 IPSec 協(xié)議標(biāo)準(zhǔn)IPSec 作為一個(gè)全球性的安全標(biāo)準(zhǔn)，要求所有 IPSec 的實(shí)現(xiàn)必須嚴(yán)格遵循其各種協(xié)議規(guī)范，以便實(shí)現(xiàn)不同產(chǎn)品之間的互通。 集成 SSL VPN 接入功能聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)中集成開發(fā)了功能強(qiáng)大的 SSLVPN 功能，移動(dòng)辦公用戶不需要安裝客戶端就可以通過 SSLVPN 安全的訪問內(nèi)部網(wǎng)絡(luò)。聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)中 SSL VPN 功能特點(diǎn)：? 無客戶端，部署方便? 終端用戶無需配置，使用方便? 支持 B/S、C/S 各種應(yīng)用? 支持隧道內(nèi)包過濾? 支持代理和 NAT 接入方式? 支持 3DES、DES、AES 等加密算法以及 SHAMD5 摘要算法13 / 29? 支持基于 USBKey 的證書認(rèn)證? 支持 IP 地址動(dòng)態(tài)分配? 支持多個(gè)保護(hù)網(wǎng)絡(luò)? 支持資源管理、方便用戶使用 集成完善的防火墻功能聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)中集成開發(fā)了功能強(qiáng)大的防火墻，并進(jìn)行了友好易用的用戶界面封裝，提供專用防火墻產(chǎn)品絕大部分的功能：? 完備的動(dòng)態(tài)包過濾功能；? 雙向 NAT 功能；? MAC 地址綁定功能；? ARP 代理功能；? 透明應(yīng)用代理功能；? 防止半連接、拒絕服務(wù)、IP 碎片等常見攻擊功能； 支持雙動(dòng)態(tài) IP 地址間建立 VPN 隧道目前國內(nèi)常用的因特網(wǎng)接入方案（包括電話撥號(hào)、ISDN 撥號(hào)、ADSL 寬帶接入等等）都是由 ISP 為接入用戶動(dòng)態(tài)分配臨時(shí) IP 地址。從而確保所有的網(wǎng)關(guān)都能夠獲得最新的策略參數(shù)變化情況。 完善的 VPN 網(wǎng)絡(luò)集中管理功能企業(yè)內(nèi)部網(wǎng)絡(luò)上一般都會(huì)運(yùn)行 OA 和業(yè)務(wù)數(shù)據(jù)傳輸系統(tǒng)，系統(tǒng)中的數(shù)據(jù)直接關(guān)系到企業(yè)的商業(yè)秘密和經(jīng)濟(jì)利益，具有較高的安全性要求，因此對(duì)接入企業(yè) VPN 網(wǎng)絡(luò)的部門及個(gè)人必須進(jìn)行集中嚴(yán)格的身份認(rèn)證，控制非授權(quán)人員進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，對(duì)業(yè)務(wù)系統(tǒng)的安全運(yùn)行造成威脅；其次，多數(shù)大型企業(yè)的業(yè)務(wù)數(shù)據(jù)具有比較強(qiáng)的實(shí)時(shí)性要求，一旦某個(gè)分公司或者營(yíng)業(yè)網(wǎng)點(diǎn)的 VPN 網(wǎng)絡(luò)發(fā)生故障，業(yè)務(wù)數(shù)據(jù)不能及時(shí)上傳，就可能對(duì)企業(yè)用戶造成時(shí)間或經(jīng)濟(jì)上的損失，從而直接影響公司的聲譽(yù)形象和經(jīng)濟(jì)利益，所以需要對(duì)整個(gè) VPN 網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行集中監(jiān)控和遠(yuǎn)程管理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障并排除，保證業(yè)務(wù)系統(tǒng)的順利運(yùn)行；同時(shí)，對(duì)于分支機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)遍布全國的大型企業(yè)來講，其業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)具有分布地域廣泛、接入網(wǎng)點(diǎn)較多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點(diǎn)，如果全部的管理工作都集中在公司總部完成，必然會(huì)給總部的網(wǎng)絡(luò)管理人員帶來繁重的日常維護(hù)管理工作，降低對(duì)接入、連通需求的反映速度，因此對(duì) VPN 網(wǎng)絡(luò)的管理在統(tǒng)一認(rèn)證、集中監(jiān)控的前提下，還應(yīng)該充分發(fā)揮各個(gè)分公司網(wǎng)絡(luò)管理人員的作用，將日常的管理維護(hù)工作分級(jí)化，提高整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。15 / 29 支持動(dòng)態(tài)帶寬管理功能VPN 網(wǎng)關(guān)設(shè)備作為企業(yè)內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的互聯(lián)設(shè)備，通常需要完成兩個(gè)主要功能：? 代理內(nèi)部網(wǎng)絡(luò)用戶訪問因特網(wǎng)；? 隧道封裝內(nèi)部網(wǎng)絡(luò)用戶訪問遠(yuǎn)端企業(yè)內(nèi)部網(wǎng)主機(jī)的數(shù)據(jù)流。 提供豐富的冗余備份方案聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)提供兩種冗余備份解決方案，為保證企業(yè) VPN 網(wǎng)絡(luò)的穩(wěn)定性提供了強(qiáng)有力的工具。聯(lián)想網(wǎng)御 VPN 軟件包不但提供完整的 IPSec 協(xié)議實(shí)現(xiàn)，支持移動(dòng)用戶的 VPN 接入需求，而且內(nèi)置完善的軟件防火墻功能、支持 PPPoE 撥號(hào)協(xié)議、支持動(dòng)態(tài) VPN 策略下載、支持開機(jī)自動(dòng)建立隧道、支持同時(shí)激活多條 VPN 隧道、支持內(nèi)部主機(jī)共享上網(wǎng)連接和 VPN 隧道等強(qiáng)大的安全功能，所以其可以作為軟件 VPN 網(wǎng)關(guān)安裝在企業(yè)局域網(wǎng)的代理服務(wù)器上，作為硬件網(wǎng)關(guān)的備份或補(bǔ)充。 提供豐富的 VPN 網(wǎng)關(guān)附加功能聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)不僅能夠提供組建企業(yè) VPN 網(wǎng)絡(luò)的基本功能，而且作為網(wǎng)關(guān)設(shè)備具有許多對(duì)用戶十分實(shí)用的附加功能，真正做到一機(jī)多能，節(jié)省用戶投資。聯(lián)想網(wǎng)御 VPN 客戶端既可以與聯(lián)想網(wǎng)御 VPN 安全網(wǎng)關(guān)配套使用，也可以在多個(gè)VPN 客戶端之間建立安全隧道，構(gòu)成虛擬專網(wǎng)，從而實(shí)現(xiàn)客戶端—客戶端、客戶端—網(wǎng)關(guān)（硬件/軟件） 、網(wǎng)關(guān)（硬件/軟件）—網(wǎng)關(guān)（硬件/軟件）之間的信息安全傳輸。它由兩個(gè)相對(duì)獨(dú)立的子系統(tǒng)組成：安全策略服務(wù)器（SPS ）和中心管理器（SMC Manager） ，子系統(tǒng)可分別安裝在不同的主機(jī)上，它 們之間通過安全的網(wǎng)絡(luò)通訊機(jī)制進(jìn)行數(shù)據(jù)交換；SPS 是一個(gè)基于數(shù)據(jù)庫的后臺(tái)服務(wù)程序，可運(yùn)行在 Windows 202Linux 系統(tǒng)平臺(tái)上，主要完成：? 存儲(chǔ)并同步整個(gè)企業(yè) VPN 網(wǎng)絡(luò)中所部署的聯(lián)想網(wǎng)御 VPN 設(shè)備狀態(tài)信息；? 存儲(chǔ)并下發(fā)預(yù)先制定的全局 VPN 安全策略；SMC 管理器是基于 Windows 的圖形界面程序，它主要完成瀏覽、配置 SPS 所維護(hù)的VPN 設(shè)備信息和 VPN 安全策略信息。當(dāng)流量經(jīng)過 VPN 網(wǎng)關(guān)時(shí)，VPN 網(wǎng)關(guān)啟動(dòng)過濾引擎，對(duì)流量進(jìn)行特征值的匹配。? 智能匹配技術(shù)在特征庫上的設(shè)置上，VPN 網(wǎng)關(guān)按照所有上網(wǎng)行為的特點(diǎn)進(jìn)行了分類，并對(duì)P2P、IM、炒股以及在線游戲等上網(wǎng)行為設(shè)置了不同的特征庫。? 多線程掃描技術(shù)20 / 29聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)采用多線程掃描技術(shù)，提高了引擎掃描的效率。 精確細(xì)致的 WEB 分類過濾聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)系列在內(nèi)容過濾庫的處理上力求收集齊全、分類準(zhǔn)確、更新及時(shí)。 可信架構(gòu)主動(dòng)云防御技術(shù)聯(lián)想網(wǎng)御防火墻通過與已部署的防病毒網(wǎng)關(guān)、IPS、UTM 等設(shè)備聯(lián)合抓取病毒源、攻擊檢測(cè)源和掛馬網(wǎng)站 URL 等特征，匯集至云防御服務(wù)器定時(shí)收納合并，云防御服務(wù)器動(dòng)態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有聯(lián)想網(wǎng)御安全網(wǎng)關(guān)設(shè)備中，使其他設(shè)備具有防病毒、IPS、防掛馬等功能，同時(shí)使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。無論是分支機(jī)構(gòu)構(gòu)遍布全國的大型企業(yè)集團(tuán)，還是只有若干辦事機(jī)構(gòu)的小型企業(yè)，都能夠獲得滿意的 VPN 解決方案。利用網(wǎng)御 VPN 的解決方案見下圖：1．產(chǎn)品部署方案企業(yè)總部：總部一般來講是企業(yè)信息存放、處理的中心，網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；因此推薦部署 VPN 處理能力強(qiáng)、硬件可靠性高的聯(lián)想網(wǎng)御 Power V520VPN ，對(duì)于實(shí)時(shí)要求很高的企業(yè)用戶，可以在總部采用 VPN 網(wǎng)關(guān)的雙機(jī)熱備份方案，以提高企業(yè) VPN 網(wǎng)絡(luò)的容錯(cuò)性；對(duì)于規(guī)模比較大、分支機(jī)構(gòu)較多的企業(yè)，應(yīng)該在總部的內(nèi)部網(wǎng)絡(luò)中部署獨(dú)立的“VPN 安全管理中心”主機(jī)，運(yùn)行“VPN 安全管理”和“VPN 安全策略服務(wù) ”系統(tǒng)，完成對(duì)整個(gè)網(wǎng)絡(luò)中 VPN 設(shè)備狀態(tài)的集中監(jiān)控和對(duì) VPN 安全策略的集中管理。VPN 網(wǎng)關(guān)可以完成自動(dòng)接入因特網(wǎng)、代理內(nèi)部主機(jī)訪問因特網(wǎng)信息、為內(nèi)部主機(jī)提供功能完善的防火墻保護(hù)等功能，同時(shí) VPN 網(wǎng)關(guān)自動(dòng)向總部的 “管理中心”或“策略服務(wù)器”進(jìn)行注冊(cè)和身份認(rèn)證，認(rèn)證通過之后自動(dòng)從策略中心下載本機(jī)的 VPN 策略信息，建立 VPN 隧道，完成與總部或其他分支機(jī)構(gòu)之間的隧道信息封裝處理工作。 移動(dòng)用戶遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)解決方案移動(dòng)用戶主要包括：企業(yè)出差在外的工作人員、因工作需要在家辦公的企業(yè)員工、僅有一臺(tái)主機(jī)的企業(yè)營(yíng)業(yè)網(wǎng)點(diǎn)等。移動(dòng)用戶通過當(dāng)?shù)氐?ISP 接入因特網(wǎng)之后，啟動(dòng)客戶端軟件的控制界面程序，點(diǎn)擊“連接”就可以建立相應(yīng)的安全隧道；客戶端的安裝配置工作由安裝向?qū)С绦蛑笇?dǎo)用戶一步一步完成，整個(gè)配置過程中僅需要輸入 3－5 個(gè)必要的配置參數(shù)即可完成，一旦配置完成后，每次使用時(shí)用戶只需啟動(dòng)控制界面，所有操作均自動(dòng)完成。SSL VPN 隧道建立后，支持所有的 C/S 或者 B/S 程序安全地訪問內(nèi)部網(wǎng)絡(luò)。對(duì)于遠(yuǎn)程授權(quán)訪問主機(jī)（如其他分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)主機(jī)）和移動(dòng)用戶主機(jī)，需要首先建立VRCCLKeyVRCCLKeyVRCCLKeyVRCCLKey27 / 29能夠訪問本地內(nèi)部網(wǎng)絡(luò)的 VPN 隧道，在此基礎(chǔ)上在建立端到端的 VPN 隧道。作為連鎖型企業(yè)，各部門之間各種信息如商品信息、單據(jù)、庫存、銷售等的流動(dòng)十分頻繁，并要求能及時(shí)傳達(dá)，因此對(duì)遠(yuǎn)程通訊的要求較高。 設(shè)備制造廠商連接廠部、分支機(jī)構(gòu)和流動(dòng)業(yè)務(wù)員某設(shè)備制造公司是一個(gè)生產(chǎn)電信、電器、機(jī)柜等電子類產(chǎn)品的大型供應(yīng)商。由于公司有大量分支機(jī)構(gòu)和流動(dòng)業(yè)務(wù)員，它們需要從總部實(shí)時(shí)獲知庫存、銷售、財(cái)務(wù)各方面信息。分支機(jī)構(gòu)和移動(dòng)用戶只要連接 Inter，即可遠(yuǎn)程訪問放置在公司總部?jī)?nèi)部局域網(wǎng)的 SQL Server 數(shù)據(jù)庫服務(wù)器，每天實(shí)時(shí)更新各方面數(shù)據(jù)信息，原有系統(tǒng)結(jié)構(gòu)未作任何修改，輕松快捷的實(shí)現(xiàn)了全公司 ERPII 系統(tǒng)的同步使用?？偛亢透鞣謴S均已建立了 OA 系統(tǒng)（Notes ） ，但由于各分廠在地理上極為分散，如向電信部門申請(qǐng)專線或衛(wèi)星信道，則通信費(fèi)用將極為浩大，因此各地的 OA 系統(tǒng)互相獨(dú)立，無法直接