【文章內(nèi)容簡介】 第一階段，由 IKE 交換的發(fā)起方發(fā)起一個主模式交換或野蠻模式交換，交換的結(jié)果是建立一個名為 ISAKMP SA 的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起一個快捷模式的消息交換序列，完成用于保護通信數(shù)據(jù)的 IPSec SA 的協(xié)商。設(shè)計 IPSec 是為了給 IP 數(shù)據(jù)報提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。因此，IPSec 協(xié)議中涉及各種密碼算法，具體的加密和認證算法的選擇因 IPSec 的實現(xiàn)不同而不同，但為了保證互操作性，IPSec 中規(guī)定了每個 IPSec 實現(xiàn)要強制實現(xiàn)的算法。IPSec規(guī)范中要求強制實現(xiàn)的加密算法是 CBC 模式的 DES 和 NULL 算法，而認證算法是HMACMD HMACSHA1 和 NULL 認證算法。必須強調(diào)指出的是，高強度的密碼算法是國家?？厣唐罚两衩绹詫嵭袑用荛L度超過 128 位的加密算法的出口限制。我國頒布的《中華人民共和國商用密碼管理條例》中規(guī)定， “商用密碼技術(shù)屬于國家秘密。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行專控管理。 ”， “任何單位或者個人只能使用經(jīng)國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品” ，因此在選擇 VPN 產(chǎn)品時，應(yīng)采用經(jīng)過國家密碼管理機構(gòu)認可的產(chǎn)品。 IPSec 的實現(xiàn)方式IPSec 的一個最基本的優(yōu)勢是它可以在各種網(wǎng)絡(luò)設(shè)備、主機服務(wù)器或工作站上完全實現(xiàn)，從而使其構(gòu)成的安全通道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實現(xiàn) VPN 網(wǎng)關(guān)；在客戶端，IPSec 架構(gòu)允許使用基于純軟件方式使用普通 Modem 的 PC 機和工作站。IPSec 通過兩種模式在應(yīng)用上提供更多的彈性：傳輸模式和隧道模式。傳送模式通常當通訊發(fā)生在主機（客戶機或服務(wù)器）之間時使用。傳輸模式使用原始明文 IP 頭，AH 或 ESP 被插在 IP 頭之后但在所有的傳輸層協(xié)議之前。由于沒有對原始IP 頭進行加密，因此傳輸模式不能抗數(shù)據(jù)流量分析。隧道模式通常當通訊雙方中有任一方是關(guān)聯(lián)到多臺主機的網(wǎng)絡(luò)訪問接入裝置時使用。11 / 29在隧道模式下，AH 或 ESP 被插在原始 IP 頭之前，同時生成一個新的 IP 頭，并用自己的地址作為源地址加入到新的 IP 頭。當隧道模式用于用戶終端設(shè)置時，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機和客戶機的地址。 IPSec 與 NAT 協(xié)同工作網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是 IETF 為了解決 IPv4 協(xié)議定義的 IP 地址不足問題而提出的一種解決方案。它的主要工作原理是：在內(nèi)部網(wǎng)絡(luò)中使用 IPv4 保留的私有地址對主機進行地址分配，同時在 NAT 網(wǎng)關(guān)處將所有的內(nèi)部網(wǎng)絡(luò)地址以某種方式動態(tài)映射為一個或多個因特網(wǎng)合法 IP 地址（通常為 NAT 網(wǎng)關(guān)的外網(wǎng)口地址） 。在多數(shù)情況下 NAT 的處理對用戶使用是完全透明的，但是當希望使用 IPSec 技術(shù)組建 VPN 網(wǎng)絡(luò)時， NAT 卻帶來了很大的麻煩。由于 NAT 處理過程是需要修改 IP 數(shù)據(jù)報文的 IP 頭數(shù)據(jù)、傳輸層報文頭數(shù)據(jù)甚至傳輸數(shù)據(jù)的內(nèi)容（如 FTP 應(yīng)用） ，而在 IPSec 協(xié)議中是對整個 IP 報文數(shù)據(jù)進行了加密和完整性認證處理的，所以一旦經(jīng)過 IPSec 處理的 IP 包穿過 NAT 網(wǎng)關(guān)時，包內(nèi)容被網(wǎng)關(guān)所改動，改數(shù)據(jù)包到達目的主機后其解密或完整性認證處理就會失敗，于是這個報文被認為是非法數(shù)據(jù)而被丟棄。這就是組建 VPN 網(wǎng)關(guān)最常見的“IPSec 與 NAT 協(xié)調(diào)工作”的問題。為了解決這個問題 IETF 專門為 IPSec 制定的“NAT 穿越（NATT） ”的協(xié)議草案，是 2022 年剛剛提出的。協(xié)議中解決 NAT 穿越問題的基本思路是在 IPSec 封裝好的數(shù)據(jù)包外再進行一次 UDP 的數(shù)據(jù)封裝，這樣當此數(shù)據(jù)包穿過 NAT 網(wǎng)關(guān)時，被修改的只是最外層的 IP/UDP 數(shù)據(jù)，而對其內(nèi)部真正的 IPSec 數(shù)據(jù)沒有進行改動；在目的主機處再把外層的IP/UDP 封裝去掉，就可以獲得完整的 IPSec 數(shù)據(jù)包。由于 NATT 協(xié)議標準制定的時間還比較短，而且還沒有最終形成 RFC 的標準，所以目前國內(nèi) VPN 廠商真正支持這個標準的產(chǎn)品幾乎沒有，國外的 VPN 廠商也只有象NetScreen 這樣的大型的 VPN 設(shè)備供應(yīng)商才支持 NATT 標準。網(wǎng)御 VPN 的全系列產(chǎn)品（從網(wǎng)關(guān)到移動客戶端軟件）都支持最新的 NATT 標準。由于 NAT 技術(shù)在國內(nèi)的廣泛應(yīng)用，所以用戶在選用 VPN 設(shè)備時應(yīng)該將這一功能作為一個重要的考核指標。第二章 聯(lián)想網(wǎng)御 VPN 產(chǎn)品特點在總結(jié)國內(nèi)外各種 VPN 產(chǎn)品的特點和國內(nèi)用戶實際需求的基礎(chǔ)上，聯(lián)想網(wǎng)御公司推出12 / 29了面向企業(yè)用戶并具有完全知識產(chǎn)權(quán)的 VPN 系列產(chǎn)品。聯(lián)想網(wǎng)御 VPN 產(chǎn)品要達到的目標是：采用聯(lián)想網(wǎng)御 VPN，企業(yè)的所有分支機構(gòu)、合作伙伴和移動用戶只要連接上因特網(wǎng)（無論采取什么樣的接入方式） ，就能夠像是用專線互聯(lián)一樣方便安全地交換和共享數(shù)據(jù)。 完備的 VPN 系統(tǒng)聯(lián)想網(wǎng)御 VPN 產(chǎn)品由 VPN 安全網(wǎng)關(guān)、 VPN 客戶端以及集中管理平臺組成。VPN 安全網(wǎng)關(guān)可以實現(xiàn)用戶網(wǎng)絡(luò)到網(wǎng)絡(luò)安全訪問，VPN 客戶端幫助用戶實現(xiàn)遠程接入用戶的安全訪問。集中管理平臺可以幫助用戶輕松管理多層次多節(jié)點的大型 VPN 系統(tǒng)。 全面支持 IPSec 協(xié)議標準IPSec 作為一個全球性的安全標準，要求所有 IPSec 的實現(xiàn)必須嚴格遵循其各種協(xié)議規(guī)范，以便實現(xiàn)不同產(chǎn)品之間的互通。聯(lián)想網(wǎng)御 VPN 產(chǎn)品經(jīng)過嚴格的互通性測試，和CISCO、 NetScreen 等著名廠家的 VPN 產(chǎn)品可以實現(xiàn)互通（采用標準算法） 。 支持最新的 NAT 穿越（NATT）協(xié)議NAT 技術(shù)是目前國內(nèi)企業(yè)共享上網(wǎng)、小區(qū)和智能大廈寬帶接入、城域網(wǎng)寬帶接入所使用的主流技術(shù)；NAT 與 IPSec 協(xié)議存在著原理上的矛盾（具體參考上一章的相關(guān)描述） ；所以在應(yīng)用 IPSec 技術(shù)組建 VPN 網(wǎng)絡(luò)時，一定要考慮選用的 VPN 設(shè)備是否具有“NAT 穿越”的功能。網(wǎng)御 VPN 的全系列產(chǎn)品均支持最新的 NATT 協(xié)議標準，具有非常好的網(wǎng)絡(luò)適應(yīng)性。 集成 SSL VPN 接入功能聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)中集成開發(fā)了功能強大的 SSLVPN 功能，移動辦公用戶不需要安裝客戶端就可以通過 SSLVPN 安全的訪問內(nèi)部網(wǎng)絡(luò)。移動用戶只需要通過瀏覽器打開聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)的 SSLVPN 入口網(wǎng)頁，就可以建立隧道。隧道建立后，可以透明的訪問內(nèi)部網(wǎng)絡(luò)。SSLVPN 支持所有的動態(tài)協(xié)議。聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)中 SSL VPN 功能特點：? 無客戶端，部署方便? 終端用戶無需配置，使用方便? 支持 B/S、C/S 各種應(yīng)用? 支持隧道內(nèi)包過濾? 支持代理和 NAT 接入方式? 支持 3DES、DES、AES 等加密算法以及 SHAMD5 摘要算法13 / 29? 支持基于 USBKey 的證書認證? 支持 IP 地址動態(tài)分配? 支持多個保護網(wǎng)絡(luò)? 支持資源管理、方便用戶使用 集成完善的防火墻功能聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)中集成開發(fā)了功能強大的防火墻，并進行了友好易用的用戶界面封裝，提供專用防火墻產(chǎn)品絕大部分的功能：? 完備的動態(tài)包過濾功能；? 雙向 NAT 功能；? MAC 地址綁定功能；? ARP 代理功能；? 透明應(yīng)用代理功能；? 防止半連接、拒絕服務(wù)、IP 碎片等常見攻擊功能； 支持雙動態(tài) IP 地址間建立 VPN 隧道目前國內(nèi)常用的因特網(wǎng)接入方案（包括電話撥號、ISDN 撥號、ADSL 寬帶接入等等）都是由 ISP 為接入用戶動態(tài)分配臨時 IP 地址。如果企業(yè)的兩個分支機構(gòu)均采用動態(tài) IP 地址方式接入因特網(wǎng)，那么這兩個分支機構(gòu)之間的 VPN 隧道策略參數(shù)必須進行動態(tài)調(diào)整，這一過程對目前市場大部分的 VPN 產(chǎn)品（包括國內(nèi)產(chǎn)品和國外產(chǎn)品）都無法自動完成，這為企業(yè) VPN 網(wǎng)絡(luò)的廣泛應(yīng)用和管理人員的維護工作帶來很大麻煩。聯(lián)想網(wǎng)御 VPN 網(wǎng)關(guān)產(chǎn)品通過集中的 VPN 策略管理方式成功解決了雙動態(tài) IP 之間自動建立 VPN 隧道的問題。網(wǎng)關(guān)接入因特網(wǎng)之后首先向企業(yè)總部部署的“安全策略服務(wù)器（SPS） ”進行注冊和身份認證，然后從 SPS 下載自己的 VPN 策略；同時 SPS 負責(zé)當策略參數(shù)發(fā)生改變時，實時通知在線的網(wǎng)關(guān)產(chǎn)品更新策略。從而確保所有的網(wǎng)關(guān)都能夠獲得最新的策略參數(shù)變化情況。 支持動態(tài)域名解析（DDNS）聯(lián)想網(wǎng)御 VPN 產(chǎn)品支持企業(yè)總部及各個分支機構(gòu)以全靜態(tài) IP 地址、單靜態(tài) IP 地址＋動態(tài) IP 地址以及全動態(tài) IP 地址的方式接入因特網(wǎng)。對于企業(yè)內(nèi)部全動態(tài) IP 地址接入的情況，部署在企業(yè)總部的網(wǎng)御 VPN 網(wǎng)關(guān)（內(nèi)置安全策略服務(wù)器）可以啟動內(nèi)置的動態(tài)域名解析功能（DDNS） ，從而使各個分支網(wǎng)關(guān)能夠通過中心網(wǎng)關(guān)的域名來下載安全策略。對于國14 / 29內(nèi)大量沒有條件申請專線和靜態(tài) IP 地址的企業(yè)用戶，聯(lián)想網(wǎng)御 VPN 產(chǎn)品無疑是一個最佳的選擇。 完善的 VPN 網(wǎng)絡(luò)集中管理功能企業(yè)內(nèi)部網(wǎng)絡(luò)上一般都會運行 OA 和業(yè)務(wù)數(shù)據(jù)傳輸系統(tǒng)，系統(tǒng)中的數(shù)據(jù)直接關(guān)系到企業(yè)的商業(yè)秘密和經(jīng)濟利益，具有較高的安全性要求，因此對接入企業(yè) VPN 網(wǎng)絡(luò)的部門及個人必須進行集中嚴格的身份認證，控制非授權(quán)人員進入企業(yè)內(nèi)部網(wǎng)絡(luò)，對業(yè)務(wù)系統(tǒng)的安全運行造成威脅；其次，多數(shù)大型企業(yè)的業(yè)務(wù)數(shù)據(jù)具有比較強的實時性要求，一旦某個分公司或者營業(yè)網(wǎng)點的 VPN 網(wǎng)絡(luò)發(fā)生故障，業(yè)務(wù)數(shù)據(jù)不能及時上傳，就可能對企業(yè)用戶造成時間或經(jīng)濟上的損失，從而直接影響公司的聲譽形象和經(jīng)濟利益，所以需要對整個 VPN 網(wǎng)絡(luò)的運行情況進行集中監(jiān)控和遠程管理，及時發(fā)現(xiàn)網(wǎng)絡(luò)故障并排除，保證業(yè)務(wù)系統(tǒng)的順利運行；同時，對于分支機構(gòu)、營業(yè)網(wǎng)點遍布全國的大型企業(yè)來講，其業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)具有分布地域廣泛、接入網(wǎng)點較多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點，如果全部的管理工作都集中在公司總部完成，必然會給總部的網(wǎng)絡(luò)管理人員帶來繁重的日常維護管理工作，降低對接入、連通需求的反映速度，因此對 VPN 網(wǎng)絡(luò)的管理在統(tǒng)一認證、集中監(jiān)控的前提下，還應(yīng)該充分發(fā)揮各個分公司網(wǎng)絡(luò)管理人員的作用，將日常的管理維護工作分級化，提高整個網(wǎng)絡(luò)的運行效率。綜合以上分析的企業(yè) VPN 網(wǎng)絡(luò)管理需求，聯(lián)想網(wǎng)御 VPN 系列產(chǎn)品采用了“統(tǒng)一認證、集中監(jiān)控、分級管理”的 VPN 網(wǎng)絡(luò)管理方案：? 統(tǒng)一認證：聯(lián)想網(wǎng)御 VPN 全系列產(chǎn)品（包括網(wǎng)關(guān)和軟件包）均支持目前最安全的身份認證方式——數(shù)字電子證書認證，采用 1024bits 密鑰的 RSA 算法進行數(shù)字證書簽名，數(shù)字證書的發(fā)放、認證過程由“網(wǎng)御安全管理中心（SMC ） ”軟件完成；在企業(yè)的總部部署“網(wǎng)御安全管理中心” ，負責(zé)對全國 VPN 網(wǎng)絡(luò)的入網(wǎng)設(shè)備發(fā)放數(shù)字證書，只有擁有合法數(shù)字證書并通過中心 SMC 認證的網(wǎng)關(guān)或安全包才能接入企業(yè)的 VPN 網(wǎng)絡(luò)。? 集中監(jiān)控：通過“聯(lián)想網(wǎng)御安全管理中心（SMC） ”軟件，可以對整個 VPN 網(wǎng)絡(luò)中部署的網(wǎng)御 VPN 產(chǎn)品（包括網(wǎng)關(guān)和軟件包）完成實時在線狀態(tài)監(jiān)控，可以及時、清楚的獲取當前在線 VPN 設(shè)備的各種狀態(tài)參數(shù)；同時網(wǎng)御 VPN 網(wǎng)關(guān)產(chǎn)品均具有安全的遠程管理的功能，無論該設(shè)備以何種方式接入企業(yè)虛擬網(wǎng)，都可以對其進行遠程配置，因此當通過狀態(tài)查看發(fā)現(xiàn)某個網(wǎng)關(guān)設(shè)備工作不正常時，中心管理員可以及時遠程修