【正文】 作為認(rèn) 證算法，同時(shí) DES 作為加密算法時(shí)系統(tǒng)的整體性能為： 12Mbps。 ? 支持各種復(fù)雜的網(wǎng)絡(luò)環(huán)境。 ? 支持外部防火墻包過(guò)濾功能。 在目前公共 CA系統(tǒng)不完善的情況下可以采用本公司自主開(kāi)發(fā)的 CA系統(tǒng)，在各 VPN之間提供身份認(rèn)證功能。支持國(guó)際流行 的 HMACMD5， HMACSHA1 算法以及公司自主開(kāi)發(fā)的高強(qiáng)度驗(yàn)證算法。 符合當(dāng)前的國(guó)際潮流。端到端方式主要適用在單個(gè)端用戶之間建立安全的傳輸通道，以保證傳輸數(shù)據(jù)的機(jī)密性和完整性。總之，帶寬管理可以為用戶不同的通信提供充分的服務(wù)質(zhì)量 QoS(Quality of Security)保證。并且可以通過(guò)將隧道報(bào)文設(shè)置為禁止?fàn)顟B(tài)，來(lái)防止本應(yīng)該通過(guò)隧道傳輸?shù)膱?bào)文卻沒(méi)有通過(guò)隧道而被接收進(jìn)來(lái)的情況。 SJW11 網(wǎng)絡(luò)密碼機(jī)支持 SNMPv1， SNMPv2 和 SNMPv3，其中 SNMPv3 支持 SNMP報(bào)文的認(rèn)證和加密。在建立隧道 雙方的網(wǎng)絡(luò)密碼機(jī)都是動(dòng)態(tài) IP 地址的情況下也必須通過(guò)集中管理器來(lái)建立隧道。收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。缺省的密鑰更新周期是 12 小時(shí)。因此安全子網(wǎng)和普通子網(wǎng)的數(shù)據(jù)流會(huì)被分別處理，不會(huì)相互影響，從而大大提高了 VPN對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)性。 ? 隧道管理 要想在兩個(gè)網(wǎng)絡(luò)衛(wèi)士 VPN網(wǎng)關(guān)之間建立安全隧道，管理員必須 對(duì)這 兩個(gè) VPN網(wǎng)關(guān)分別進(jìn)行 隧道 參數(shù) 設(shè)置，然后才能建立隧道。 ? 密鑰長(zhǎng)度：對(duì)稱： 128位，非對(duì)稱： 1024位。 高可靠性 ? 采用工業(yè)級(jí)組件，支持 7 24 小時(shí)不間斷運(yùn)行。 ? 透明支持各種應(yīng)用服務(wù) 。 采用通過(guò)國(guó)家鑒定的硬件加密卡所提供的 128位對(duì)稱加密算法和 128位密鑰散列算法。 ? 專用的操作系統(tǒng)、 標(biāo)準(zhǔn)的 協(xié)議及安全 的 軟件，并全面固化于硬件中，抗攻擊能力強(qiáng) 。 ? 一次性口令管理員客戶端模塊（軟件）： 是一個(gè)安裝于 PC機(jī)、工作站或便攜機(jī)上的一次性口令管理員客戶端軟件，可運(yùn)行于 WIN9 WIN9 WIN20 WINDOWS NT環(huán)境下。 它是專用軟、硬件設(shè)備，可具有多個(gè)網(wǎng)絡(luò)接口，可安裝于內(nèi)聯(lián)網(wǎng)內(nèi)各局域網(wǎng)出口處或安裝于內(nèi)聯(lián)網(wǎng)與公共網(wǎng)絡(luò)接口處。協(xié)商成功后，由交換發(fā)起方發(fā)送密鑰信息和一個(gè)隨機(jī)數(shù)，響應(yīng)方作同樣的操作。 手工配置的方法由于密鑰更新困難，只適合于簡(jiǎn)單網(wǎng)絡(luò)的情況。 2) 加入填充數(shù)據(jù)。 目前， 常用的 數(shù)據(jù)加密算法有： 對(duì)稱加密算法： ? 國(guó)際數(shù)據(jù)加密算法（ IDEA： International Data Encryption Algorithm）： 128位長(zhǎng)密鑰，把 64位的明文塊加密成 64位的密文塊。 加密技術(shù)簡(jiǎn)介 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 11 在 VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時(shí)不被他人竊取 ,采用了加密機(jī)制。 6） Authentication Data：對(duì)指定的數(shù)據(jù)的認(rèn)證碼，如 HMACMD596。 常用的 HASH函數(shù)有 MD5， SHA1等。摘要技術(shù)主要是采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換，映射為一段短的報(bào)文即摘要。 IPIP 協(xié)議在具體的使用中要考慮如何建立外部 IP 協(xié)議頭的內(nèi)容，要考慮內(nèi)部 IP 協(xié)議頭中的某些內(nèi)容如服務(wù)質(zhì)量參數(shù)，是否要拷貝到外部協(xié)議頭中。隧道技術(shù)的基本過(guò)程是在源 局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù) (可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù) )作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。ISAKMP/IKE/Oakley 支持自動(dòng)建立加密 、認(rèn)證 信道，以及密鑰的自動(dòng)安全分發(fā)和更新。 OSI 七層模型 安全技術(shù) 安全協(xié)議 應(yīng)用層 表示層 應(yīng)用代理 會(huì)話層 傳輸層 會(huì)話層代理 SOCKSv5/SSL 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 包過(guò)濾 IPSec PPTP/L2F/L2TP 表 11 IPSec 協(xié)議 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 8 IPSec 協(xié)議是一個(gè) 應(yīng)用 廣泛，開(kāi)放的 VPN 安全協(xié)議。 IntraVPN 通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。出差員工 撥號(hào)接入到用戶本地的 ISP， 就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。 ? 全方位的安全保護(hù) VPN不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專用通道，保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩?，而且能在企業(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動(dòng)辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道，建立全方位的安全保護(hù)，保證網(wǎng)絡(luò)的安全。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。在這樣的背景下，這些在家辦公或下班后繼續(xù)工作的人員和移動(dòng)辦公人員 ， 遠(yuǎn)程辦公室 ，公司各分支機(jī)構(gòu) ,公司與合作伙伴、供應(yīng)商 ,公司與 客戶之間 都可能 建立連接通道 以進(jìn)行信息傳送。本材料的相關(guān)權(quán)力歸天融信市場(chǎng)部所有。 隨著 全球化 的步伐加快，移動(dòng)辦公人員越來(lái)越多，公司客戶關(guān)系越來(lái)越龐大， 這樣的方案必然導(dǎo)致高昂的長(zhǎng)途線路租用費(fèi)及長(zhǎng)途電話費(fèi)。 ? 容易擴(kuò)展 如果用戶想擴(kuò)大 VPN的容量和覆蓋范圍 ，只需改變一些配置，或增加幾臺(tái)設(shè)備、 擴(kuò)大服務(wù)范圍。 VPN產(chǎn)品可以實(shí)現(xiàn)集中管理，也就是在同一個(gè)地方實(shí)現(xiàn)對(duì)不同地方 VPN的配置、監(jiān)控和維護(hù)等。 在 VPN 技術(shù)出現(xiàn)以前，公司兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)想要互連一般會(huì)采用租用專線的方式，雖然該方式也采用如隧道等技術(shù)，在一端將數(shù)據(jù)封裝后通過(guò)專線傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。 此種類型與上一種類型沒(méi)有本質(zhì)的區(qū)別，但由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問(wèn)題。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道（ tunnel）模式，一種是傳輸 (transport)模式。它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒(méi)有被修改 ，具有數(shù)據(jù)源認(rèn)證功能 。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱為隧道 。 IPSec 協(xié)議族建立隧道可能采用如下的方式： 圖 17 IPIP 在 IPSec 中的使用 VPN 的安全機(jī)制 由于 VPN 是在不安全的 Inter 中進(jìn)行通信， 而 通信的內(nèi)容 可能 涉及到企業(yè)的機(jī)密數(shù)據(jù)，因此其安全性就顯得非常重要，必須采取一系列的安全機(jī)制來(lái)保證 VPN 的安全 。發(fā)送方將數(shù)據(jù)報(bào)文和報(bào)文摘要一同發(fā)送 ,接收方通過(guò)計(jì)算報(bào)文摘要 ,與發(fā)來(lái)摘要比較 ,相同則說(shuō)明報(bào)文未經(jīng)修改。 2） Payload Len：認(rèn)證頭部長(zhǎng)度 (32bit單位 )－ 2， IPv4 是 32位對(duì)齊， IPv6是 64bit 位對(duì)齊。其中，認(rèn)證密鑰是雙方共享的。 對(duì)稱加密算法采用同一 個(gè) 密鑰進(jìn)行加密和解密，優(yōu)點(diǎn)是速度快，但密鑰的分發(fā)與交換不便于管理。 圖 19 ESP協(xié)議頭格式 1) SPI：意義同 AH協(xié)議 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 12 2) Sequence Number:意義同 AH協(xié)議 3) Payload Data：是算法的初始數(shù)據(jù)（ IV）與上層協(xié)議的數(shù)據(jù)。 4) 如果算法要求顯示 IV則要將 IV添入 Payload Data 指定位置。Diffie_Hellman算法是當(dāng)前使用最廣泛的密鑰交換體制。該數(shù)字簽名采用如下方式生成，首先對(duì)本方前面所有發(fā)送的報(bào)文作出摘要，然后使用本方的私鑰 d將摘要加密。此外系統(tǒng)還提供 SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 的代理軟件 ，管理員還可以使用 天融信的 Topsec Manager、 HP的 OpenView 或者IBM 的 NetView 等網(wǎng)絡(luò)管理工具對(duì)系統(tǒng)進(jìn)行 狀態(tài)監(jiān)控 。通過(guò)采用 IPSec 協(xié)議，可以保證遠(yuǎn)程終端之間、遠(yuǎn)程終端與網(wǎng)絡(luò)密碼機(jī)之間建立安全可靠的加密隧道 。 ? 采用 國(guó)際標(biāo)準(zhǔn)安全協(xié)議 ， 遵循 IPSec(IP Security)安全協(xié)議，對(duì)用戶數(shù)據(jù)提供加密、完整性驗(yàn)證以及身份認(rèn)證的功能，最大限度的對(duì)上層應(yīng)用提供安全保護(hù) 。在安全網(wǎng)關(guān)之間的數(shù)據(jù)傳輸用戶可以根據(jù)需要采用加密方式傳輸也可以以明文方式（既不加密方式）傳輸。網(wǎng)絡(luò)衛(wèi)士 VPN可實(shí)現(xiàn)模塊化與防火墻結(jié)合，更大限 度的保障網(wǎng)絡(luò)信息的安全性。 ? 基于公共的 IP 網(wǎng)絡(luò) 環(huán)境，組網(wǎng)靈活，經(jīng)濟(jì)、可靠，適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。 ? 入侵檢測(cè)的類型：掃描探測(cè)、 DoS、 WEB攻擊、木馬攻擊等。管理員甚至也可以刪除隧道，那么如果想重建隧道就必須重新進(jìn)行隧道設(shè)置。因?yàn)椴煌木W(wǎng)段所采用的安全保護(hù)的算法和密鑰都是單獨(dú)的。協(xié)商的算法是兩個(gè)設(shè)備所共同擁有的算法中最優(yōu)的算法。設(shè)備管理員將需自動(dòng)建立隧道的信息記錄到一個(gè)文件中 (此文件的 記錄通過(guò) ”通道設(shè)置 ”操作加入 )，當(dāng)從 IC 卡讀入私鑰并加載密鑰協(xié)商程序后，協(xié)商程序會(huì)從該文件中逐條讀出記錄，根據(jù)記錄中所描述的隧道參數(shù)向相應(yīng) VPN 網(wǎng)關(guān)發(fā)出建立隧道的請(qǐng)求。除此之外 SCM 集中 管理軟件還能同其它設(shè)備（如防火墻）建立連接，對(duì)其進(jìn)行集中管理。整個(gè) MIB 庫(kù)成一棵倒立的樹(shù)形結(jié)構(gòu) (如圖 23)，最上面相當(dāng)于樹(shù)根，最下層是樹(shù)葉，中間是樹(shù)枝，分布如下： iso dod inter private mgmt enterprises mib2 WuhanTIT system interfaces ? NetSecurity ?? ?? DeviceStatus vpnMIBObjects SystemStatus memory dskTable vpn ?? ?? dskEntry ?? ?? 圖 212 其中 VPN 系統(tǒng)提供的通用信息 mib2 下包含以下幾組信息 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 20 MIB 類別 包含的相關(guān)信息 System SNMP 服務(wù)器的操作系統(tǒng) Interfaces 各個(gè)網(wǎng)絡(luò)接口 .(at) 地址轉(zhuǎn)換（例如， ARP 映射） Ip Inter 協(xié)議軟件 Icmp Inter 控制報(bào)文協(xié)議軟件 Tcp 傳輸控制協(xié)議軟件 Udp 用戶數(shù)據(jù)報(bào)軟件 Egp 外部網(wǎng)關(guān)協(xié)議軟件（暫時(shí)不提供） Snmp 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議軟件 表 21 VPN 系統(tǒng)自己的企業(yè)模塊信息 WuhanTIT 則包含以下幾類信息： WuanTIT 類別 包含的相關(guān)信息 systemStatus 系統(tǒng)狀態(tài)信息 Memory 內(nèi)存情況 DiskTable 硬盤情況 Vpn 有關(guān) VPN 配置、狀態(tài)及參數(shù)信息 表 22 ? 支持 SSH 遠(yuǎn)程安全登錄 為了提供管理員遠(yuǎn)程進(jìn)行串口管理的操作，網(wǎng)絡(luò)衛(wèi)士 VPN 支持 SSH 安全登錄協(xié)議，遠(yuǎn)程管理員可以使用 SSH 客戶端軟件，與網(wǎng)絡(luò)密碼機(jī)的 SSH 服務(wù)進(jìn)行連接，從而可以安全的 登錄到網(wǎng)絡(luò)密碼機(jī)上。說(shuō)明采用此功能后，網(wǎng)絡(luò)密碼機(jī)可以和任何一個(gè)網(wǎng)絡(luò)訪問(wèn)控制設(shè)備兼容。此功能適合于對(duì)可靠性和穩(wěn)定性要求高的應(yīng)用環(huán)境。其基本的實(shí)現(xiàn)可用下圖表示： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 23 圖 224 ? 應(yīng)用層 應(yīng)用層主要提供了 GUI 界面以及安全參數(shù)配置模塊，包括安全參數(shù)的手工配置和自動(dòng)配置。 ? 支持多種加密算法?？蛻舳?VPN 支持動(dòng)態(tài) IP。即可以支持端到端的方式、端到網(wǎng)關(guān)的方式，還可以將端和網(wǎng)關(guān)嵌套組合，如端到網(wǎng)關(guān)到端的方式。由于目前局域網(wǎng)的廣泛流行，在局域網(wǎng)中大多數(shù)機(jī)器均采用私有 IP 地址，因此要想訪問(wèn)具有私有 IP 地址的機(jī)器，必須要求防火墻做 MAP映射。它既不影響原有的網(wǎng)絡(luò)功能就可以方便地提供基于IP 的高安全性。加密服務(wù)的實(shí)現(xiàn)是基于 IPSec 的 ESP 協(xié)議 ,加密服務(wù)對(duì)用戶數(shù)據(jù)提供加密，保證了數(shù)據(jù)的機(jī)密性。同時(shí)， VRC 也支持由一個(gè)可信的證書(shū)機(jī)關(guān) CA 頒發(fā)的證書(shū)。 ? 可以進(jìn)行日志管理和 查看各種相