【正文】 司 13利用 QuidView 提供的解決方案可以輕易實(shí)現(xiàn)對(duì)于 VPN 網(wǎng)絡(luò)的信息監(jiān)視。配合防火墻、AAA 、 NAT、QoS 等技術(shù)，安全網(wǎng)關(guān)可以確保在開放的 Inter 上實(shí)現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡(luò)。在每個(gè)分公司部署 1 臺(tái) SecPath100FE，連接運(yùn)營商的 Inter 專線，通過與總公司SecPath1000F 之間建立 IPsec VPN 隧道，實(shí)現(xiàn)分支機(jī)構(gòu)的廣域網(wǎng)接入，完成業(yè)務(wù)數(shù)據(jù)、語音 /.視頻，OA 等數(shù)據(jù)的 VPN 線路承載；SecPath100FE 還可兼做分公司出口防火墻，如果分公司內(nèi)部已經(jīng)有了防火墻，VPN 的部署位置可以放置在防火墻之后進(jìn)行雙臂串行部署，如果分配VPN 設(shè)備的 IP 地址為內(nèi)網(wǎng)地址，這個(gè)時(shí)候需要 VPN 設(shè)備使用 IPSec 協(xié)議通過防火墻做 NAT 穿越。 IPSec 的特點(diǎn)是較為適用于各分支機(jī)構(gòu)之間的互聯(lián)，對(duì)于 IP 地址要求做較為完善的規(guī)劃，在一定程度上制約了 IPSec 的應(yīng)用范圍。IPSec 提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)（如 Inter）中傳輸?shù)陌踩珯C(jī)制。與 AH 不同的是，ESP 認(rèn)證功能不對(duì) IP 數(shù)據(jù)報(bào)頭中的源和目的以及其它域認(rèn)證，這為 ESP 帶來了一定的靈活性。當(dāng)運(yùn)營商向多個(gè)用戶提供這種方式的 VPN業(yè)務(wù)時(shí)會(huì)存在地址沖突的可能性。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持 GRE 隧道協(xié)議。3. 能夠?qū)崿F(xiàn)網(wǎng)絡(luò)計(jì)費(fèi)的靈活性，可以在 LAC 和 LNS 兩處同時(shí)計(jì)費(fèi)，即 ISP 處（用于產(chǎn)生賬單）及企業(yè)處（用于付費(fèi)及審記）。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，一方面使企業(yè)以明顯更低的成本連接遠(yuǎn)地辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴，另一方面極大的提高了網(wǎng)絡(luò)的資源利用率。從 VPN 用戶角度看來，使用 VPN 與傳統(tǒng)專網(wǎng)沒有區(qū)別。缺點(diǎn)在于網(wǎng)絡(luò)連接性能低，不提供 QOS 保障，無法保證對(duì)實(shí)時(shí)業(yè)務(wù)的支持，無法滿足復(fù)雜業(yè)務(wù)處理的需求；網(wǎng)絡(luò)數(shù)據(jù)在 PSTN 傳輸，沒有任何安全措施，數(shù)據(jù)在傳輸過程中存在很大的安全風(fēng)險(xiǎn)；缺少足夠的訪問控制能力以及日志記錄能力，不能滿足事后審計(jì)需求。這種方式的優(yōu)點(diǎn)在于比較靈活，PSTN 電話線路資源比較容易獲得。VPN 只為特定的企業(yè)或用戶群體所專用。這一優(yōu)勢(shì)對(duì)于實(shí)現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合將有特別重要的意義。2. L2TP 支持內(nèi)部地址分配，LNS 可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)于遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持DHCP 和私有地址應(yīng)用等方案。GRE VPN 技術(shù) ：GRE(通用路由協(xié)議封裝）是由 Cisco 和 Netsmiths 等公司于 1994 年提交給 IETF 的，標(biāo)號(hào)為 RFC1701 和 RFC1702。企業(yè)使用 GRE 的唯一理由應(yīng)該是對(duì)內(nèi)部地址的封裝。Encapsulating Security Payload（ESP ）協(xié)議，通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密，進(jìn)而提供數(shù)據(jù)保密性、有限的數(shù)據(jù)流保密性，數(shù)據(jù)源認(rèn)證，無連接的完整性，以及抗重放服務(wù)。IPSec 適應(yīng)向 IPv6 遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，進(jìn)行透明的安全通信。但這并不等于說它就是與網(wǎng)絡(luò)服務(wù)提供商無關(guān)的，我們可以作為網(wǎng)絡(luò)服務(wù)維護(hù)者的角度，幫助客戶建立并維護(hù) VPN網(wǎng)絡(luò)，使得用戶不必投入人力資源去維護(hù)一個(gè) VPN 網(wǎng)絡(luò)。SecPath10FSecPath10FESecPath10FEVPNSecPath10FESecPoint＋ SecKy水 利 水 電 集團(tuán) 總 公 司省 分 公 司 移 動(dòng) 辦 公網(wǎng) 管 系 統(tǒng)VPN管 理 平 臺(tái)BIMS系 統(tǒng)SecPath10FEVN VPN省 分 公 司 省 分 公 司在總公司部署 2 臺(tái) SecPath1000F，分別連接不同運(yùn)營商的 Inter 專線，實(shí)現(xiàn)總公司接入網(wǎng)關(guān)的互備和負(fù)載分擔(dān)，同時(shí)還可以實(shí)現(xiàn)對(duì)通過不同運(yùn)營商線路上聯(lián)的分支機(jī)構(gòu)的最優(yōu)接入；SecPath1000F 還兼做總公司的出口防火墻。 SecPath 系列 VPN 安全網(wǎng)關(guān)是華為 3Com 公司面向企業(yè)用戶開發(fā)的新一代專業(yè)安全網(wǎng)關(guān)設(shè)備；支持防火墻、AAA、NAT、QoS 等技術(shù)，可以確保在開放的 Inter 上實(shí)現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡(luò)；支持多種 VPN 業(yè)務(wù)，如 L2TP VPN、IPSec VPN、GRE VPN、華為動(dòng)態(tài) VPN、MPLS VPN、SSL VPN 等，可以針對(duì)客戶需求通過撥號(hào)、租用線、VLAN 或隧道等方式接入遠(yuǎn)端用戶，構(gòu)建 Inter、Intra 、Access 等多種形式的 VPN。同時(shí)，用戶也可指定某個(gè)設(shè)備的特殊配置。BIMS（Branch Intelligent Management System）就是要解決上述問題，實(shí)現(xiàn)對(duì)動(dòng)態(tài)獲取 IP 地址的設(shè)備或位于 NAT 網(wǎng)關(guān)后面的分支網(wǎng)點(diǎn)設(shè)備的集中、有效的監(jiān)控和管理，尤其在對(duì)業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備進(jìn)行管理時(shí)，BIMS 會(huì)極大提高管理的效率，大大節(jié)約管理成本。設(shè)備和管理中心采用 協(xié)議進(jìn)行通信的優(yōu)勢(shì)在于其可穿透絕大多數(shù)的防火墻，而且協(xié)議簡(jiǎn)單、易擴(kuò)展。 SecKey 認(rèn)證方式結(jié)合，通過 USB Key 的方式存儲(chǔ)用戶的密鑰或數(shù)字證書、SecPoint VPN 客戶端配置信息等，加強(qiáng)身份認(rèn)證的安全強(qiáng)度，減少 SecPoint 用戶身份信息被盜用的風(fēng)險(xiǎn)，同時(shí)減少 SecPoint 的配置管理工作，最終可以幫助企業(yè)實(shí)現(xiàn)優(yōu)化大規(guī)模移動(dòng) VPN 用戶接入的部署工作。用戶可以將數(shù)字證書 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 17或者用戶名/密碼保存到 SecKey 中來確保這些信息的安全，解決了身份認(rèn)證信息安全存儲(chǔ)中的薄弱環(huán)節(jié)――存儲(chǔ)介質(zhì)安全性的問題。　　4. 是否支持集中式管理？集中管理平臺(tái)的報(bào)價(jià)？　　5. VPN 軟客戶端的報(bào)價(jià)，要求全網(wǎng)支持 1000 個(gè) VPN 軟客戶端，可以在全網(wǎng)任意使用，即 VPN 軟客戶端可以和全網(wǎng)內(nèi)的任意一個(gè) VPN 網(wǎng)關(guān)進(jìn)行連接，不能針對(duì)每個(gè) VPN網(wǎng)關(guān)作 License 限制。同時(shí)由于 SecKey 專用芯片所使用的安全封裝技術(shù)，使得從 SecKey 中強(qiáng)行獲取用戶私鑰的信息的嘗試變得不可能。 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 16華為 3Com 公司堅(jiān)持以客戶需求為導(dǎo)向，新推出的基于智能卡安全技術(shù)的 Quidway174。通過安裝本軟件，可以使 PC 機(jī)通過多種方式與華為 3Com 公司的網(wǎng)絡(luò)設(shè)備（如 SecPath 系列安全網(wǎng)關(guān)及路由器設(shè)備等）進(jìn)行 VPN 互聯(lián)，并最終實(shí)現(xiàn)遠(yuǎn)端 PC 能夠安全、快捷地通過 Inter 訪問相應(yīng)企業(yè)總部 VPN 的目的； SecPoint 提供了 L2TP 客戶端功能，只要遠(yuǎn)端用戶能夠通過某種方式如撥號(hào)、ADSL 和小區(qū)寬帶等接入到 Inter，就可以和總部的 VPN 網(wǎng)關(guān)之間建立 L2TP 隧道，訪問公司企業(yè)內(nèi)部網(wǎng)（Intra ）上的相關(guān)資源。BIMS 網(wǎng)管側(cè)與設(shè)備側(cè)之間通過HTTP 協(xié)議進(jìn)行通訊，采用 HTTP 進(jìn)行通信的優(yōu)勢(shì)在于其可方便的穿透防火墻，而且協(xié)議簡(jiǎn)單、易擴(kuò)展。包括支持對(duì) IPSec VPN 網(wǎng)關(guān) CPU 利用率等關(guān)鍵指標(biāo)的監(jiān)視；支持對(duì) IPSec、IKE 隧道的監(jiān)視； 支持對(duì)協(xié)商過程的監(jiān)視；并提供折線圖、直方圖、餅圖等多種顯示方式直觀的把 VPN 性能數(shù)據(jù)顯示給用戶；支持 At a Glance、TopN 功能，使用戶能夠?qū)?CPU 利用率、流量等關(guān)鍵指標(biāo)一目了然；提供報(bào)表導(dǎo)出和基于歷史數(shù)據(jù)的分析，為用戶網(wǎng)絡(luò)擴(kuò)容、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障；支持對(duì)用戶關(guān)心的性能參數(shù)設(shè)定閾值，當(dāng)超過設(shè)定的閾值后，系統(tǒng)將會(huì)發(fā)送性能告警，使網(wǎng)絡(luò)管理人員及時(shí)發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的隱患。在配置業(yè)務(wù)中，提供預(yù)定義配置參數(shù)功能，以方便高級(jí)用戶預(yù)定義、重用配置信息。VPN Manager 實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾?、VPN 監(jiān)控、VPN 引導(dǎo)部署、連接監(jiān)控以及網(wǎng)絡(luò)管理等功能，BIMS 完成設(shè)備配置文件管理、配置文件自動(dòng)更新以及 VRP 版本管理等功能。從安全性的角度看，由于 L2TP 一般終止在用戶側(cè)設(shè)備上，對(duì)用戶網(wǎng)的安全及防火墻技術(shù)提出十分嚴(yán)峻的挑戰(zhàn)；而 IPsec 技術(shù)一般終止在網(wǎng)關(guān)上，因此不會(huì)對(duì)用戶網(wǎng)的安全構(gòu)成威脅。根據(jù)用戶對(duì)在內(nèi)部網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性和處理速度要求的情況，可采用 IPsec 技術(shù)組建企業(yè) VPN。密鑰管理協(xié)議：Inter Key Exchange （IKE）協(xié)議，實(shí)現(xiàn)安全協(xié)議的自動(dòng)安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護(hù)模式、密鑰的生存周期等，這些安