【正文】 27 圖 226 ETVRC 的 GUI 界面 2． 3 VPN 安全集中管理系。 ? 通過 CTVRC 的 GUI界面可以方便地添加新的通道和編輯已有的通道并查看通道的狀態(tài)。 ? VRC 的身份認證機制 VRC 之間 采用基于 身份 認證 ， 天融信開發(fā)的證書管理系統(tǒng)可以生成用戶所需 的證書。驗證服務的實現(xiàn)是基于 IPSec 的AH 協(xié)議 ,驗證服務對用戶數(shù)據(jù)提供完整性驗證。 高適應性 ? 對端用戶來說網(wǎng)絡是完全透明的。 ? 支持外部防火墻 MAP 映射功能。 ? 支持多種工作方式。 ? 支持拔號用戶。提供長度高達 192 位加密算法，抗攻擊性強，破解難度高，充分保證數(shù)據(jù)的機密性。 VRC 的兩種工作方式如下圖所示： 圖 221 端到端方式 圖 222 端到網(wǎng)關方式 圖 223 嵌套方式 VRC 中 IPsec 體系的實現(xiàn) 通過對 VPN 系統(tǒng)和 IPSec 規(guī)范的分析， VRC實現(xiàn)了一種基于 IPSec 規(guī)范的 VPN系統(tǒng)，它構造在 Windows 操作系統(tǒng)之上。切換過程不需要人為操作，也不需要除兩個網(wǎng)絡密碼機以外的其它系統(tǒng)的參與。為了避免這種情況的發(fā)生， 網(wǎng)絡 密碼機的管理平臺中“參數(shù)設置”項提供了一個“支持網(wǎng)關 NAT”的選項，從而可以使 IPSec 報文順利的通過防火墻 NAT 的處理。 管理信息庫 MIB，就是所有代理進程包含的、并且能夠被管理進程進行查詢和設置的 TOPSEC VPN Solution White Book 安 全 推 進 應 用 19 信息的集合。 另一種方式是通過天融信公司的 SCM 集中 管理軟件建立與多個需要管理的網(wǎng)絡密碼機之間的連接，實現(xiàn)對多個網(wǎng)絡密碼機的集中配置與操作。 ? 支持隧道建立自動化 網(wǎng)絡衛(wèi)士 VPN 能依據(jù)系統(tǒng)要求自動建立隧道， 主要用于無專職管理人員的場合。協(xié)商內(nèi)容包括加密所采用的算法、摘要認證所采用的算法及各種密鑰等。一旦某個網(wǎng)段的安全被攻破，也不會波及其它的網(wǎng)段上。如果由于某種原因例如網(wǎng)絡故障或其它情況，管理員也可以關閉隧道，那么隧道就會停止運作，網(wǎng)絡就會恢復到隧道建立之前的狀態(tài)。 ? 應用代理支持的協(xié)議： FTP、 TELNET、 HTTP、 SMTP、 POP DNS等。 高效 性 TOPSEC VPN Solution White Book 安 全 推 進 應 用 17 ? 采用硬件高速加密； ? 先進的體系結構設計，確保系統(tǒng)具有較高的網(wǎng)絡通訊速率。 高擴展性 ? 模塊化設計。 高可用性 ? 明密結合的數(shù)據(jù)傳輸方式。 ? VPN 網(wǎng)關本身不提供應用層服務，不存在任何安全隱患 。 ? Windows 遠程 VPN 客戶 端軟件 （可選） ： 是一個安裝于 Windows 等機器上的網(wǎng)絡密碼機客戶端軟件。 它可以由內(nèi)部網(wǎng)上的管理終 端通過一次性口令的安全認證方式后，使用瀏覽器建立與網(wǎng)絡密碼機之間的安全連接，通過瀏覽器管理員可根據(jù)安全保護策略來實現(xiàn)對網(wǎng)絡密碼機隧道的配置、管理與審計等功能。第三步雙方都向?qū)Ψ桨l(fā)送采用共享秘密衍生的密鑰加密的一個數(shù)據(jù)報，數(shù)據(jù)報中有本方的標識和一個數(shù)字簽名。 目前主要的密鑰交換與管理標準有 IKE（ Inter Key Exchange） 、 SKIP（ Simple KeyManagement for Inter Protocol） 和 OAKLEY Key Determination Protocol。加密算法可能是 DESCBC， 3DESCBC。 ? AES： Rijndial 加密算法 不對稱加密算法： ? RSA ? 橢圓曲線制算法 IPsec 中的加密 協(xié)議 ESP 下圖是 ESP的頭部格式。 在現(xiàn)代密碼學中， 加密算法 被 分為對稱加密算法和非對稱加密算法。認證碼計算方法為 HASH（認證密鑰，認證數(shù)據(jù) ） 。協(xié)議頭格式如下： 圖 18 AH協(xié)議頭格式 1） Next Header：下一個頭部的協(xié)議類型。該特性使得摘要技術在 VPN中有兩個用途： A. 驗證數(shù)據(jù)的完整性。 IPSec 協(xié)議族在使用 IPIP 隧道時就可能插入另外兩個協(xié)議頭： AH、 ESP。 被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡進行路由。 IPSec 支持一系列加密算法如 DES、 3DES、 IDEA。 IPSec 用密碼技術 提供以下 安全 服務：接入控制，無連接完整性，數(shù)據(jù)源認證，防重放，加密，防傳輸流分析 。示例如圖 12： TOPSEC VPN Solution White Book 安 全 推 進 應 用 7 圖 12 ? Extra VPN（擴展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的 Extra 相對應。 ? Intra VPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的 Intra 相對應。 ? 使用和管理方便 VPN產(chǎn)品可以在網(wǎng)絡連接中透明地配置，而不需要修改網(wǎng)絡或客戶端的配置 ，非常方便使用 。之所以采用虛擬專用網(wǎng)是因為 VPN有以下幾方面 優(yōu)點 ： TOPSEC VPN Solution White Book 安 全 推 進 應 用 5 ? 降低成本 通過公用網(wǎng) 來建立 VPN與建立 DDN、 PSTN等專線方式相比， 可以節(jié)省大量的費用 開支 。對于移動用戶與遠端用戶而言，只能通過撥號線路進入企業(yè)各自獨立的 局域網(wǎng) 。 天天 融融 信信 VPN 整整 體體 解解 決決 方方 案案 零管理、 百 分百成效 技技 術術 白白 皮皮 書書 全面的信息存儲、傳輸安全解決方案 北京天融信網(wǎng)絡安全技術有限公司 Beijing Topsec Network Security Technology Co., Ltd 2020 年 3 月 TOPSEC VPN Solution White Book 安 全 推 進 應 用 1 注意 本白皮書中的內(nèi)容是天融信 VPN 整體解決方案的技術說明書。 傳統(tǒng)的企業(yè)網(wǎng)組網(wǎng)方案中，要進行遠地 LAN 到 LAN互連，除了租用 DDN專線或幀中繼之外，并無更好的解決方法。公共網(wǎng)絡仿佛是只由本網(wǎng)絡在獨占使用，而事實上并非如此，所以稱之虛擬專用。 ? 高的性價比 VPN致力于為網(wǎng)絡提供整體的安全性，是性能價格比比較高的安全方式。 RADIUS 服務器可對員工進行驗證和授權，保證連接的安全，同時負擔的 整體接入成本 大大降低。企業(yè)擁有與專用網(wǎng)絡的相同政策，包括安全、服務質(zhì)量 (QoS)、可管理性和可靠性 。 IPSec 適應向 Ipv6 遷移，它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護， 進行 透明的安全通信。 IPSEC 它定義了一套用于 保護私有性和完整性的標準協(xié)議。由于封裝與解封裝只在兩個接口處由設備按照隧道協(xié)議配置進行，局域網(wǎng)中的其他設備將不會覺察到這一過程。實際上圖 16 的示意并不準確，在兩個 IP協(xié)議頭之間可以插入其它的 協(xié)議內(nèi)容。由于 HASH函數(shù)的特性，使得要找到兩個不同的報文具有相同的摘要是困難的。 IPsec 中的認證 協(xié)議 AH AH協(xié)議的主要功能是用于認證數(shù)據(jù)源和驗證數(shù)據(jù)完整性。 認證的過程如下 ： 發(fā)送方采用哈希算法計算認證碼，添入 AH頭部中的認證碼域發(fā)往目的地。IPSec通過 IKE協(xié)商確定幾種可選的數(shù)據(jù)加密方法 如 DES、 3DES。 ? DES和 3DES加密算法 (The Data Encryption Standard):DES有 64位長密鑰 ,實際上只使用 56位密鑰。 3) 加密明文 Payload Data， Padding， Pad len, Next Header 后，密文重新添入對應明文位置。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，適合于復雜網(wǎng)絡的情況且密鑰可快速更新，可以顯著提高 VPN的安全性。 IKE采用了 DiffieHellman算法來生成密鑰信息，該算法可保證雙方各出一半密鑰信息來 建立一個共享的秘密，并且即使第三方取得了這兩部分信息也難以計算出共享秘密。 ? 管理器 模塊（ 軟件 ） ：是一個安裝于 網(wǎng)絡密碼機上的基于 WEB 方式的網(wǎng)絡密碼機管理系統(tǒng)軟件。凡是需要對其進行身份認證的管理員都需要使用該軟件。 ? 基于密碼技術的管理員身份認證 ，以 及一次性口令認證技術 。身份認證采用 1024位的非對稱算法 。支持透明接入方式 采用國際上流行的 Inter 安全協(xié)議IPSec(IP Security)，在網(wǎng)絡層對用戶數(shù)據(jù)流進行安全處理，因此上層應用無需做任何修改即可實現(xiàn)安全保護。 ? 采用專門的硬件設備，可以防止物理上受到攻擊，提高安全可靠性。 ? 加密隧道設計指標：無限。隧道一旦建立起來，就始終處于運作狀態(tài)，對通過它的數(shù)據(jù)流進行安全保護。 ? 支持安全子網(wǎng)的網(wǎng)段分割 為了對安全子網(wǎng)提供更為細致的保護，網(wǎng)絡衛(wèi)士 VPN 允許內(nèi)部子網(wǎng)劃分為更小的網(wǎng)段，對每個網(wǎng)段的數(shù)據(jù)流分別進行安全處理。 ? 支持多種安全算法的協(xié)商 VPN 網(wǎng)關在建立隧道之前，要與對方 VPN 網(wǎng)關進行相關信息的協(xié)商。根據(jù)日志可以審計 VPN網(wǎng)關隧道建立的情況 、設備 管理員所進行的操作和網(wǎng)絡密碼機所阻斷的探測、攻擊等非法訪問，并為安全策略的進一步完善提供參考。還能通過集中管理器實現(xiàn)網(wǎng)絡密碼機證書的頒發(fā)與交換。 在管理終端上通過串口啟動網(wǎng)絡密碼機上的 SNMP 代理模塊，再通過管理終端上的SNMP 管理軟件 OpenView 可以取到 SNMP 基本 MIB 庫信息和企業(yè)模塊信息 WuhanTIT。 ? 支 持外部防火墻 NAT（可選功能） 網(wǎng)絡 密碼機一般放在防火墻的內(nèi)部，當防火墻利用 NAT 進行地址轉(zhuǎn)換時會將 網(wǎng)絡 密碼機發(fā)出的加密包進行一定的修改，破壞了其完整性，當這樣的加密包到達對方 網(wǎng)絡 密碼機時會因為完整性鑒別不通過而被丟棄。 ? 雙機熱備（可選功能） 網(wǎng)絡衛(wèi)士 VPN 可提供雙機熱備份功能，當處于工作狀態(tài)的網(wǎng)絡密碼機出 現(xiàn)故障時，備份狀態(tài)的網(wǎng)絡密碼機將自動切換到工作狀態(tài)，替換故障的網(wǎng)絡密碼機進行工作，以保證網(wǎng)絡的正常使用。而通過端到網(wǎng)關方式，可以在單個端用戶到 VPN 網(wǎng)關之間建立安全的傳輸通道，這種方式可以實現(xiàn) TOPSEC VPN Solution White Book 安 全 推 進 應 用 22 端用戶安全地訪問遠程的企業(yè)內(nèi)部網(wǎng)。 ? 加密強度高。 TOPSEC VPN Solution White Book 安 全 推 進 應 用 24 高靈活性好 ? 各種加密算法和驗證算法可以靈活自主地組合使用，可以由用戶根據(jù)實際情況自由搭配使用。在將來公共 CA系統(tǒng)完善之后，可以容易地升級支持公共 CA系統(tǒng)。由于 IPSec 協(xié)議族中的 ESP(50)、 AH(51)號協(xié)議是一種近年來新開發(fā)的協(xié)議，在某些防火墻中可能會將此協(xié)議過濾掉，但客戶端 VPN 可以在防火墻不支持的的情況下，安全穿過包過濾，達到正常的通信功能。利用 VPN 客戶端的三種功能（支持 NAT、支持包過濾、支持 MAP 映射），可以在各種復雜的網(wǎng)絡環(huán)境中自由通信。 注 ：測試系統(tǒng)采用 3COM 100M 網(wǎng)卡 VRC 系統(tǒng)安全機制 ? VRC 的安全與認證服務 VRC 的安全與認證服務類型有驗證服務和加密服務。對于每種協(xié)議提供的抗重