【正文】 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 24七、VPN 設(shè)備配置建議配置內(nèi)容主要包括：? VPN 網(wǎng)關(guān)設(shè)備：SecPath100FE/1000F? VPN 客戶端：SecPoint 介質(zhì)+Licence? 管理部署系統(tǒng)：VPN Manager 以及 BIMS? 其他附件：SecKey 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 25八、相關(guān)案例 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 26 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 27 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 28九、Famp。SecKey 可以減少 SecPoint 用戶身份信息被盜用的風(fēng)險(xiǎn)，使用雙因素方式提高用戶身份驗(yàn)證安全性，同時(shí)通過減少 SecPoint 的配置管理工作來提高用戶的工作效率，最終可以幫助企業(yè)實(shí)現(xiàn)優(yōu)化大規(guī)模遠(yuǎn)程訪問 VPN 用戶的部署工作，經(jīng)濟(jì)有效地管理用戶的移動(dòng)能力和安全策略，減少企業(yè)的 IT 運(yùn)營成本。IPSec 使特定的通信方之間在 IP 層通過加密與數(shù)據(jù)源驗(yàn)證等方式，來保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。BIMS 管理解決方案分兩部分，分支網(wǎng)點(diǎn)設(shè)備側(cè)和管理中心側(cè)，分支網(wǎng)點(diǎn)設(shè)備包括華為SecPath10/100 系列安全網(wǎng)關(guān)、3Com AR 系列接入路由器等，管理中心側(cè)由 Quidview BIMS管理組件實(shí)現(xiàn)。傳統(tǒng)網(wǎng)管主要通過 SNMP、Tel 等協(xié)議來實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管側(cè)知道被管設(shè)備的 IP 地址，并且可以主動(dòng)向設(shè)備發(fā)起請求并建立連接。為了避免在設(shè)備上留下冗余的配置信息，支持“清除” 功能，能夠在重新配置以及配置命令下發(fā)過程中出現(xiàn)失敗的情況下，清除設(shè)備已配置的信息。華為 3Com 推出了全系列的專用 VPN 網(wǎng)關(guān)設(shè)備，具有非常高的性能特性以及豐富的功能特性。一般地，二層隧道協(xié)議和三層隧道協(xié)議都是獨(dú)立使用的，如果合理地將這兩層協(xié)議結(jié)合起來使用，將可能為用戶提供更好的安全性（如將 L2TP 和 IPSec 協(xié)議配合使用）和更佳的性能。IPSec 的實(shí)現(xiàn)是靠兩個(gè) IPSec 的對端維系的，因此它實(shí)際上是一種端到端的安全實(shí)現(xiàn)，從技術(shù)的角度上說，在端到端客戶的路由器上實(shí)現(xiàn)是最安全合理的方式，中間任何一個(gè)路由器都不需要做相應(yīng)設(shè)置。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec 協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于 IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括：網(wǎng)絡(luò)安全協(xié)議：Authentication Header（AH）協(xié)議，提供數(shù)據(jù)源認(rèn)證，無連接的完整性，以及一個(gè)可選的抗重放服務(wù)。GRE 協(xié)議的主要用途有兩個(gè)：企業(yè)內(nèi)部協(xié)議封裝和私有地址封裝。 端點(diǎn)用戶需要在連接前手工建立加密信道。L2TP VPN(VPDN)是一種典型的遠(yuǎn)程撥號(hào)訪問企業(yè) VPN 的組網(wǎng)模式，在下圖中，LAC 表示 L2TP 訪問集中器（L2TP Access Concentrator ），是附屬在交換網(wǎng)絡(luò)上的具有接入功能和 L2TP 協(xié)議處理能力的設(shè)備，LAC 一般就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器 NAS（Network Access Server），它通過PSTN/ISDN 為用戶提供網(wǎng)絡(luò)接入服務(wù)；LNS 表示 L2TP 網(wǎng)絡(luò)服務(wù)器（L2TP Network Server），是用于處理 L2TP 協(xié)議服務(wù)器端的軟件。在遠(yuǎn)程辦公室增加 VPN 能力也很簡單，只需通過作適當(dāng)?shù)脑O(shè)備配置就可?！疤摂M”主要指這種網(wǎng)絡(luò)是一種邏輯上的網(wǎng)絡(luò)。各各省分公司網(wǎng)絡(luò)同樣已經(jīng)接入 Inter，隨著水利水電集團(tuán)公司自身業(yè)務(wù)的不斷反展，現(xiàn)在需要建立一張廣域網(wǎng)絡(luò)將各各省分公司的局域網(wǎng)絡(luò)接入到總公司，以完成 OA，項(xiàng)目監(jiān)理，財(cái)務(wù)等業(yè)務(wù)開展，現(xiàn)在需要采用低成本的接入方式，實(shí)現(xiàn)廣域網(wǎng)絡(luò)的建設(shè)和連接。隨著 VPN 技術(shù)的發(fā)展，VPN 技術(shù)已經(jīng)成為一種非常成熟的網(wǎng)絡(luò)連接方式，VPN 具有高性價(jià)比、強(qiáng)適應(yīng)能力、具備很強(qiáng)的網(wǎng)絡(luò)安全特性以及動(dòng)態(tài)的擴(kuò)展能力等優(yōu)勢，已經(jīng)被廣泛替代專線用來進(jìn)行廣域網(wǎng)絡(luò)的銜接，下面我們將以 VPN 模式為核心，提供華為 3 全面的 VPN 解決方案。VPN 技術(shù)優(yōu)勢，低成本，通過公用網(wǎng)來建立 VPN，就可以節(jié)省大量的通信費(fèi)用。這使得 VPN 的應(yīng)用具有很大靈活性。同任何一種技術(shù)一樣，L2TP VPN 也存在著一定的的缺點(diǎn)： L2TP 的缺點(diǎn)是封裝層次多，在數(shù)據(jù)包上依次封裝了 PPPUDPIP 三層，因而效率較低。GRE 的隧道由兩端的源 IP 地址和目的 IP 地址來定義，允許用戶使用 IP 包封裝IP、IPX、AppleTalk 包，并支持全部的路由協(xié)議（如 RIPOSPF 等）。如 IPX包最多可以轉(zhuǎn)發(fā) 16 次（即經(jīng)過 16 個(gè)路由器），而在一個(gè)隧道連接中看上去只經(jīng)過一個(gè)路由器。大部分的應(yīng)用案例都采用了 ESP 或同時(shí)使用 ESP 和 AH。 IPsec 是主要用于在網(wǎng)絡(luò)層實(shí)現(xiàn) VPN 的技術(shù)?？傊琁Psec 三層隧道技術(shù)與 L2TP 二層隧道技術(shù)相比，優(yōu)勢在于它的安全性、可擴(kuò)展性與可靠性。作為 VPN 互聯(lián)方案非常重要的一部分，還需要在總公司部署 VPN Manager 管理系統(tǒng)和BIMS（分支節(jié)點(diǎn)設(shè)備配置管理系統(tǒng)）。華為 3Com VPN Manager 系統(tǒng)：以用戶實(shí)際配置任務(wù)為驅(qū)動(dòng)，提供 IPSec VPN 業(yè)務(wù)配置向?qū)В笇?dǎo)用戶進(jìn)行 IPSec VPN 設(shè)備配置，構(gòu)建 VPN 網(wǎng)絡(luò)。QuidView VMM 組件可以有效監(jiān)視 IPSec 設(shè)備的運(yùn)行性能，提供豐富的性能管理功能。網(wǎng)管通過一個(gè)固定的、全網(wǎng)唯一的 ID 來識(shí)別設(shè)備，而不再依賴于設(shè)備的 IP 地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng) IP 地址或 IP 地址經(jīng)常變化都不會(huì)影響網(wǎng)管對設(shè)備的識(shí)別。 SecPoint，SecPoint VPN 客戶端軟件是華為 3Com 公司自行設(shè)計(jì)開發(fā)的應(yīng)用在 PC 上的 VPN 客戶端軟件。支持配置文件的導(dǎo)入導(dǎo)出，極大地方便了用戶的管理。這也就是意味著，私鑰從生成的時(shí)候開始就一直保存在 SecKey 內(nèi)部，即使是私鑰的所有者也沒有權(quán)限讀取私鑰的內(nèi)容。　　6. 目前所有單位都已經(jīng)接入了 Internt，VPN 的部署應(yīng)該對當(dāng)前網(wǎng)絡(luò)拓樸的影響最小。使用 SecKey 可以保障數(shù)字證書無法被復(fù)制，所有密鑰運(yùn)算由 SecKey 實(shí)現(xiàn)，用戶密鑰不在計(jì)算機(jī)內(nèi)存出現(xiàn)也不在網(wǎng)絡(luò)中傳播，只有 SecKey 的持有人才能夠?qū)?shù)字證書進(jìn)行操作，安全性有了保障。SecPoint VPN 客戶端軟件支持與路由器的握手機(jī)制、備份 LNS 服務(wù)器，支持 VPN 隧道的多種認(rèn)證方式，可以配合 RSA SecurID 實(shí)現(xiàn)一分鐘一密的高安全性認(rèn)證。設(shè)備主動(dòng)訪問 BIMS 管理中心時(shí)，上報(bào)設(shè)備當(dāng)前的配置文件、設(shè)備軟件的特征信息，由 BIMS 管理中心來判斷是否需要對設(shè)備進(jìn)行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點(diǎn)。BIMS 采用一種被動(dòng)的方式對設(shè)備進(jìn)行管理，即網(wǎng)管作為 Server，設(shè)備作為 Client，依靠設(shè)備周期性的主動(dòng)訪問網(wǎng)管來實(shí)現(xiàn)對設(shè)備的管理。 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公