【正文】 采用 Citrix＋ APNGW方案特點總結(jié) ? 集中化管理：所有的數(shù)據(jù)在總部運行，方便維護、高效管理。 1. 原有線路不做任何改動； 2. 在專線不可到達的地方，安裝 APN。 實時 視訊會議 APN 構(gòu)建了一個基于 TCP/IP 的網(wǎng)絡(luò)，任何基于該協(xié)議族的應(yīng)用皆可流暢應(yīng)用。例如跨省、跨地區(qū)、跨國的企業(yè)，尤其是在珠江三角洲地帶的眾多的港資、臺資企業(yè)。 網(wǎng)點分布：一般客戶的公司結(jié)構(gòu)都是分布全國各地，部分子公司還分布到縣、鎮(zhèn)，這就決定了許多地方上網(wǎng)方式的多樣性； 網(wǎng)絡(luò)結(jié)構(gòu)：軟件一 般采用 C/S 結(jié)構(gòu)或 B/S 結(jié)構(gòu)。獨創(chuàng)設(shè)計 。使用起來非常不方便?；?IPSec 的標(biāo)準(zhǔn) ―― 這是業(yè)界公認的最安全的 VPN 協(xié)議。 ? 產(chǎn)品特征 ? APN GW 是解決網(wǎng)絡(luò)安全傳輸?shù)淖罡咝?，最?jié)省的組網(wǎng)技術(shù)。在隧道模式下， AH 或 ESP 被插在原始 IP 頭之前，同時生成一個新的 IP 頭，并用自己的地址作為源地址加入到新的 IP 頭。 IPSec 的主要特征 在于它可以對所有 IP 級的通信進行加密和認證，正是這一點才使IPSec 可以確保包括遠程登錄、客戶 /服務(wù)器、電子郵件、文件傳輸及 Web 訪問在內(nèi)多種應(yīng)用程序的安全。其中 “下一個頭部（ Next Header） ”用來指出有效負載部分使用的協(xié)議，可能是傳輸層協(xié)議（ TCP 或 UDP），也可能還是 IPSec 協(xié)議（ ESP 或 AH）。 AH 和 ESP 都需要使用 SA，而 IKE 的主要功能就是 SA的建立和維護。但是 IPSec不同于包過濾防火墻的是，對 IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)（繞過 IPSec）外，還有一種，即進行 IPSec 處理。 3． IPSec 協(xié)議 IPSec 協(xié)議是一個范圍廣泛、開放的 VPN 安全協(xié)議，工作在 OSI 模型中的第三層 ——網(wǎng)絡(luò)層。未經(jīng)本公司書面許可，本手冊的任何部分不得以任何形式手段復(fù)制或傳播。目前 VPN隧道協(xié)議有 4種：點到點隧道協(xié)議 PPTP、第二層隧道協(xié)議 L2TP、網(wǎng)絡(luò)層隧道協(xié)議 IPSec以及 SOCKS v5，它們在 OSI 七層模型中的位置如表所示。 最初的一組有關(guān) IPSec標(biāo)準(zhǔn)由 IETF 在 1995 年制定，但由于其中存在一些未解決的問題，從 1997年開始 IETF又開展了新一輪的 IPSec 的制定工作，截止至 1998 年 11 月份主要協(xié)議已經(jīng)基本制定完成。此時，繼續(xù)使用以前的 IP 頭部，只對 IP 頭部的部分域進行修改，而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間。為了保證各種 IPSec 實現(xiàn)間的互操作性，目前 ESP 必須提供對 56位 DES 算法的支持。為了提供最基本的功能并保證互操作性， AH 必須包含對 HMACSHA和 HMAC MD5（ HMAC 是一種 SHA和 MD5都支持的對稱式認證系統(tǒng)）的支持。 ? IPSec 的實現(xiàn)方式 IPSec 的一個最基本的優(yōu)勢是它可以在各種網(wǎng)絡(luò)訪問設(shè)備、主機服務(wù)器和工作站上完全實現(xiàn)，從而使其構(gòu)成的安全通 道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。協(xié)議中解決 NAT 穿越問題的基本思路是在 IPSec 封裝好的數(shù)據(jù)包外再進行一次 UDP 的數(shù)據(jù)封裝，這樣當(dāng)此數(shù)據(jù)包穿 過 NAT 網(wǎng)關(guān)時，被修改的只是最外層的 IP/UDP 數(shù)據(jù)，而對其內(nèi)部真正的 IPSec 數(shù)據(jù)沒有進行改動；在目的主機處再把外層的 IP/UDP 封裝去掉，就可以獲得完整的 IPSec 數(shù)據(jù)包。 ? DHCP 服務(wù)器 ? DNS 服務(wù)器 ? 設(shè) 備是一個高性能的防火墻 ? 內(nèi)置 PPPoE ? Tel or VT100 終端控制端口命令行 ? 硬件接口 ? Console 接口：系統(tǒng)配置及系統(tǒng)監(jiān)測，通過 RS232 (9600, 8N1)進行通訊 ? 局域網(wǎng)接口： Ether Interface, 10/100BASET ? 廣域網(wǎng)接口： Ether Interface 10/100BASET) / PPPoE 通訊口接口 ( 用于接 ADSL Cable Modem) ? 廣域網(wǎng)接口： RS232, 外置 Dialup Modem / ISDN TA ? Flash 擴展槽（ RSA硬件密鑰接口）、硬件加密卡接口（部分型號） ? 物理規(guī)范 ? 輸入電壓： 110V~230V ? 功率：最大約 40W (GW1000/2020) GW200 小于 2W ? 使用環(huán)境溫度： 0~45 ℃ ? 使用環(huán)境濕度： 5~95% ? 加密算法 數(shù)據(jù)傳輸可自由選擇 ? AES/128 位加密算法 ? 3DES/168 位加密算法 ? SERPENT/128 位加密算法 ? BLOWFISH/128 位加密算法 ? TWOFISH/128 位加密算法 ? 國家密碼委員會指定的硬件加密卡 、加密器 或第三方算法 保證數(shù)據(jù)完整可自由選擇 ? MD596 ? SHA196 ? SHA2256 ? SHA2512 身份認證支持 ? RSA 2048 ? Preshare Key ? 符合標(biāo)準(zhǔn) ? RFC2401 Security Architecture for the Inter Protocol ? RFC2411 IP Security Document Roadmap ? RFC2402 IP Authentication Header ? RFC2406 IP Encapsulating Security Payload (ESP) ? RFC2367 PF_KEY Key Management API, Version 2 ? RFC2407 The Inter IP Security Domain of Interpretation for ISAKMP ? RFC2408 Inter Security Association and Key Management Protocol (ISAKMP) ? RFC2409 The Inter Key Exchange (IKE) ? RFC2412 The OAKLEY Key Determination Protocol ? RFC2528 Inter Public Key Infrastructure ? RFC2085 HMACMD5 IP Authentication with Replay Prevention ? RFC2104 HMAC: KeyedHashing for Message Authentication ? RFC2202 Test Cases for HMACMD5 and HMACSHA1 ? RFC2207 RSVP Extensions for IPSEC Data Flows ? RFC2403 The Use of HMACMD596 within ESP and AH ? RFC2404 The Use of HMACSHA196 within ESP and AH ? RFC2405 The ESP DESCBC Cipher Algorithm With Explicit IV ? RFC2410 The NULL Encryption Algorithm and Its Use With IPsec ? RFC2451 The ESP CBCMode Cipher Algorithms ? RFC2521 ICMP Security Failures Messages ? APN GW 產(chǎn)品列表 APN GW ID Product Product Description GW200 Series GW00200 APN GW200 2 Eth 10/100 BaseT NIC,1 232Com接口（與 Console接口共用）； 8M Flash, MIPS CPU Based on IPSec Tunnels 適用于運用 VOIP 和視頻會議，數(shù)據(jù)，簡單防火墻功能 GW2020 Series GW20200 APN GW2020 2 Eth 10/100 Based NIC,1 232Com接口； 1Console接口； 8M Flash,243MHz CPU With AOS with Firewall /3DES/AES/BLOWFISH/TWOFISH MD5 /Preshare Key 基于 IPSec，多種加密算法可選，身份驗證用 PRK GW20500 APN GW2500 3 Eth 10/100 Based NIC,1 232Com接口； 1Console接口； 32M Flash； 1 Flash Slot,C533MHzCPU, 1 Licenses Key,With AOS ,With Firewall MD5 /Preshare Key RSA 適用于數(shù)據(jù)流量大公司，或要求國家加密算法的行業(yè)用戶 基于 IPSec，多種加密算法可選，身份驗證用 PRK 和RSA，支持硬件加密卡 GW5000 Series GW50100 APN GW5000 3 Eth 10/100 Based NIC,1Console接口； 32M Flash；可擴展 1 Flash Slot,800MHzCPU, With AOS ,With Firewall MD5 /Preshare Key RSA 適用于集團公司 VDN 服務(wù)、 IPSEC 通訊。 ? 動態(tài) IP形成網(wǎng)狀連接 APN GW建立的網(wǎng)絡(luò)，可以全部采用動態(tài) IP 地址，而且可以形成網(wǎng)狀連接或任 意形狀的網(wǎng)絡(luò)拓撲。簡言之，自己可以定義節(jié)點的邏輯關(guān)系?？梢钥吹矫恳慌_終端的日志情況。我們可提供開 放的接口，可以讓其無縫的連接到其他 VPN體系中。 說明 1． 兩地可以自由通話，傳真； 2． VOIP 可以同時 4 路語音同時通話；可選支持電話機和支持程控交換機。 我們已經(jīng)測試過金碟、用友軟件。這使它可最大限度的利用網(wǎng)絡(luò)資源，改進網(wǎng)絡(luò)性能：提高網(wǎng)絡(luò)的可管理性，可維護性、擴展 性及安全性。 成功案例 ? 美聯(lián)物業(yè)（香港上市公司） 。而 APNGW 產(chǎn)品正是彌補了這一個缺陷。 一旦建立虛擬網(wǎng)絡(luò)，可以實現(xiàn)遠程實時運行財務(wù)軟件、 OA系統(tǒng)。 IP 電話的其基本原理是：通過語音壓縮算法對語音 數(shù)據(jù)進行壓縮編碼處理，然后把這些語音數(shù)據(jù)按 TCP／ IP 標(biāo)準(zhǔn)進行打包，經(jīng)過 IP 網(wǎng)絡(luò)把數(shù)據(jù)包送至接收地，再把這些語音數(shù)據(jù)包串起來，經(jīng)過解碼解壓處理后，恢復(fù)成原來的語音信號，從而達到由互聯(lián)網(wǎng)傳送語音的目的。還可以進行遠程維護、管理。可以形成按照組織架構(gòu)形成的邏輯關(guān)系。 ? 節(jié)點可定義 用戶可以按照自己的網(wǎng)絡(luò)實際的情況整個系統(tǒng)可以形成網(wǎng)狀、星狀、任意形狀的網(wǎng)絡(luò)拓撲。他再購買三臺設(shè)備之后，分別安裝在這三個地方，而原來的北京、上海、香港的設(shè)備不用做任何的設(shè)置，馬上就可以建立這六個點的通訊網(wǎng)絡(luò)。 ? 技術(shù)要點 ? 協(xié)議： TCP/IP ? 基于 IPSec 國際標(biāo)準(zhǔn) ? 完善的路由功能 ? 完善的寬帶代理服務(wù)器。這就是組建 VPN 網(wǎng)關(guān)最常見的 “IPSec與 NAT 協(xié)調(diào)工作 ”的問題。 ? IPSec 對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓(xùn)。 AH 雖然在功能上和 ESP有些重復(fù)，但 AH 除 了對可以對 IP 的有效負載進行認證外，還可以對 IP 頭部實施認證。 1． ESP（ Encapsulating Secuity Fayload） ESP 協(xié)議主要用來處理對 IP 數(shù)據(jù)包的加密，此外對認證也提供某種程度的支持