【文章內(nèi)容簡介】 ，要熟悉幾種不同風(fēng)格的產(chǎn)品，一旦出現(xiàn)問題，還要分頭找不同 的廠商來解決。要是一家產(chǎn)品各項(xiàng)功能都能夠集成進(jìn)去，按照模塊方式來配置，管理工作也就簡化了很多。這種需求代表了以后網(wǎng)關(guān)的發(fā)展趨勢，即要求硬件網(wǎng)關(guān)多功能一體化。 近期的主要發(fā)展趨勢，首先是防火墻和 VPN 合二為一。實(shí)際上，很多防火墻的產(chǎn)品，都宣稱支持 VPN。而很多的 VPN 產(chǎn)品，也都聲稱有防火墻功能。VPN 和防火墻都是網(wǎng)關(guān)級的產(chǎn)品，但是其功能本質(zhì)上還是有區(qū)別的， VPN 要解決節(jié)點(diǎn)之間的通訊問題，本質(zhì)上屬于通訊設(shè)備，而防火墻解決的主要是安全性問題。無論是防火墻還是 VPN 網(wǎng)關(guān)，一般都安裝于網(wǎng)絡(luò)出口處，一個(gè)出口處安裝兩個(gè)設(shè) 備，本身就有一個(gè)配合問題，雖然各 VPN 廠商都已解決了兼容性問題，但是如果兩者合二為一，問題就簡化了很多。 VPN 和防火墻的結(jié)合，為用戶提供了良好的綜合功能網(wǎng)關(guān)。例如，國內(nèi)主流的防火墻廠家天融信公司就選擇華盾 VPN 作為其戰(zhàn)略合作伙伴，從產(chǎn)品深層次進(jìn)行了整合，可以無縫捆綁，高效運(yùn)營。 如此發(fā)展下去，將會有更多的功能集成到網(wǎng)關(guān)中，例如：反病毒、 SSLVPN、反垃圾郵件、 Proxy 代理、 IDS 等。這些功能被模塊化，然后被自由組裝。 當(dāng)然，有利有弊。如果一個(gè)設(shè)備的功能太復(fù)雜，那么各項(xiàng)功能將會相互爭奪網(wǎng)關(guān)的計(jì)算資源（內(nèi) 存、 CPU 等）。同樣，太復(fù)雜的配置對于用戶也不是好事情。這在家電行業(yè)早有先例，曾經(jīng)有廠商研發(fā)了 28 個(gè)功能的全功能錄像機(jī)，說明書就足有 1 斤重。可是，市場反應(yīng)很差，因?yàn)槿藗儼l(fā)現(xiàn)還是單一功能的錄像機(jī)簡單好用。 更豐富的網(wǎng)絡(luò)功能、更高的產(chǎn)品性能 在 VPN 發(fā)展初期，人們只是把 VPN 作為一種簡單的聯(lián)網(wǎng)方案，并不作過多的要求。當(dāng) VPN 發(fā)展到一定階段以后， VPN 網(wǎng)關(guān)就越來越接近路由器，傳統(tǒng)路由器的很多網(wǎng)絡(luò)特征，諸如動(dòng)態(tài) IP 地址適應(yīng)、 OSPF 協(xié)議等，都被逐步移植到 VPN 網(wǎng)關(guān)上面，以使 VPN 網(wǎng)關(guān)更好地融入到原有的網(wǎng)絡(luò)體系 之中。 另外，對于性能指標(biāo)的追求是沒有止境的。 VPN 產(chǎn)品往高端發(fā)展，性能指ipsec 在企業(yè)網(wǎng)中的應(yīng)用 3 標(biāo)要求越來越高。重要的性能指標(biāo)主要是以下幾個(gè)方面： 網(wǎng)絡(luò)性能。在明文的條件下，能夠達(dá)到千兆交換的速度。 加密速度。國內(nèi)主流的加密卡速度基本都在百兆以下。但是隨著發(fā)展，國產(chǎn)的加密芯片的加密速度也會逐步提升。另外，國外的加密芯片和板卡，能夠提供更高的加密處理性能。 并發(fā)連接數(shù)。這是來自防火墻的性能指標(biāo)概念，同樣適用于 VPN 設(shè)備。主流的 VPN 設(shè)備，出于基本的安全考慮，至少都帶有一個(gè)基于狀態(tài)跟蹤的防火墻。因此，能夠處理的并發(fā)連接數(shù)，也是一項(xiàng)重 要的性能指標(biāo)。 就高端產(chǎn)品而言，比較理想的指標(biāo)可以歸結(jié)為：千兆線性網(wǎng)絡(luò)速度、 300M以上的加密速度、 50 萬條以上的并發(fā)連接數(shù)。能夠滿足以上條件的網(wǎng)關(guān)，才能夠滿足高端的應(yīng)用需要。 移動(dòng)客戶端安裝配置簡化 同時(shí)強(qiáng)化身份認(rèn)證功能 VPN 客戶端用于很多 VPN 網(wǎng)絡(luò)中，一般是移動(dòng)用戶或者單機(jī)接入 VPN 網(wǎng)絡(luò)的末端節(jié)點(diǎn)。企業(yè)領(lǐng)導(dǎo)、業(yè)務(wù)人員、出差人員，可以隨時(shí)通過 VPN 查詢企業(yè)的內(nèi)部信息，如同在企業(yè)內(nèi)部辦公一樣。 由于移動(dòng)客戶端分布范圍很廣，并且使用者大多數(shù)并不具備很強(qiáng)的網(wǎng)絡(luò)調(diào)試能力。因此， VPN 客戶端要易用，配置參 數(shù)要簡單。 在簡化 VPN 客戶端配置的同時(shí)，也要強(qiáng)化其身份認(rèn)證機(jī)制。看起來似乎矛盾，但是具有必要性。移動(dòng)用戶作為 VPN 網(wǎng)絡(luò)的末端節(jié)點(diǎn)通過 Inter 接入，必須保證其身份的合法性，以免帶來安全隱患。 除了傳統(tǒng)的用戶名 /口令、證書等方式以外，基于硬件特征信息的身份認(rèn)證機(jī)制也得到了很多用戶的青睞。目前，普遍采用 USBKey 和手機(jī) SIM 卡作為身份認(rèn)證的介質(zhì)，移動(dòng)用戶需要在 USB 口上插入 key 或手機(jī)，才能夠發(fā)起 VPN連接。另外，基于計(jì)算機(jī)硬件特征的身份標(biāo)識，也得到了越來越多的應(yīng)用。根據(jù)計(jì)算機(jī)硬件算出一個(gè)特征值，作 為該節(jié)點(diǎn)此后認(rèn)證的依據(jù)。這樣，只有匹配硬件特征的計(jì)算機(jī)可以使用這個(gè)身份連接到 VPN 網(wǎng)絡(luò)中。 標(biāo)準(zhǔn)化仍然是主流 現(xiàn)在國內(nèi)有一些廠商采用自定義的協(xié)議。非標(biāo)準(zhǔn)的 VPN 不受現(xiàn)有的標(biāo)準(zhǔn)約束，可以隨心所欲地改動(dòng)。特別是純軟件 VPN 解決方案，可以充分利用 PC 機(jī)的計(jì)算能力，具有更多的賣點(diǎn)。 但是，非標(biāo)準(zhǔn) VPN 也具有許多缺點(diǎn)：首先，自定義的通訊協(xié)議，安全性沒有經(jīng)過充分認(rèn)證，安全性和可靠性值得懷疑。 IPSEC 和其他的 VPN 標(biāo)準(zhǔn)，是在國際上經(jīng)過長時(shí)間考驗(yàn)，其標(biāo)準(zhǔn)的起草到正式發(fā)布，經(jīng)過了大量的論證和權(quán)衡。絕對不是哪一家廠商自 己定義一個(gè)協(xié)議就可以超越的。另外，非標(biāo)準(zhǔn) VPN 產(chǎn)品無法和其他廠家的 VPN 設(shè)備互聯(lián)互通。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 4 二、 ipsec 原理 使用 inter 協(xié)議安全（ InterProtocolSecurity， IPSec）是解決網(wǎng)絡(luò)安全問題的長久之計(jì)。它能針對那些來自專用網(wǎng)絡(luò)和 inter 的攻擊提供重要的防線，并在網(wǎng)絡(luò)安全性與便用性之間取得平衡。 IPSec 是一種加密的標(biāo)準(zhǔn)，它允許在差別很大的設(shè)備之間進(jìn)行安全通信。利用 IPSec 不僅可以構(gòu)建基于操作系統(tǒng)的防火墻，實(shí)現(xiàn)一般防火墻的功能。它還可以為許可通信的兩個(gè)端點(diǎn)建立加密的、可靠 的數(shù)據(jù)通道。 IPSec 基本概念 IPSec 基本概念 IPSec 通過使用基于密碼學(xué)的保護(hù)服務(wù)、安全協(xié)議和動(dòng)態(tài)密鑰管理，可以實(shí)現(xiàn)以下這幾個(gè)目標(biāo)： 認(rèn)證 IP 報(bào)文的來源 基于 IP 地址的訪問控制十分脆弱，因?yàn)楣粽呖梢院苋菀桌脗窝b的 IP地址來發(fā)送 IP 報(bào)文。許多攻擊者利用機(jī)器間基于 IP 地址的信任，來偽裝 IP 地址。 IPSec 允許設(shè)備使用比源 IP 地址更安全的方式來認(rèn)證 IP 數(shù)據(jù)報(bào)的來源。IPSec 的這一標(biāo)準(zhǔn)稱為原始認(rèn)證（ OriginAuthentication）。 保證 IP 數(shù)據(jù)報(bào)的完整性 除了 確認(rèn) IP 數(shù)據(jù)報(bào)的來源，還希望能確保報(bào)文在網(wǎng)絡(luò)中傳輸時(shí)沒有發(fā)生變化。使用 IPSec，可以確信在 IP 報(bào)文上沒有發(fā)生任何變化。 IPSec 的這一特性稱為無連接完整性。 確保 IP 報(bào)文的內(nèi)容在傳輸過程中未被讀取 除了認(rèn)證與完整性之外，還期望當(dāng)報(bào)文在網(wǎng)上傳播時(shí)，未授權(quán)方不能讀取報(bào)文的內(nèi)容。這可以通過在傳輸前，將報(bào)文加密來實(shí)現(xiàn)。通過加密報(bào)文，可以確保攻擊者不能破解報(bào)文的內(nèi)容，即使他們可以用偵聽程序截獲報(bào)文。 確保認(rèn)證報(bào)文沒有重復(fù) 最終，即使攻擊者不能發(fā)送偽裝的報(bào)文，不能改變報(bào)文，不能讀取報(bào)文的內(nèi)容，攻擊者仍然可以通 過重發(fā)截獲的認(rèn)證報(bào)文來干擾正常的通信，從而導(dǎo)致事務(wù)多次執(zhí)行，或是使被復(fù)制報(bào)文的上層應(yīng)用發(fā)生混亂。 IPSec 能檢測出重復(fù)報(bào)文并丟棄它們。這一特性稱為反重傳（ antireplay）。 IPSec 建立在終端到終端的模式上，這意味著只有識別 IPSec 的計(jì)算機(jī)才能作為發(fā)送和接收計(jì)算機(jī)。 IPSec 并不是一個(gè)單一的協(xié)議或算法，它是一系列加密實(shí)現(xiàn)中使用的加密標(biāo)準(zhǔn)定義的集合。 IPSec 實(shí)現(xiàn)在 IP 層的安全，因而它與任何上層應(yīng)用或傳輸層的協(xié)議無關(guān)。上層不需要知道在 IP 層實(shí)現(xiàn)的安全，所以在ipsec 在企業(yè)網(wǎng)中的應(yīng)用 5 IP 層不需要做任何修改。 IPSec 工作模式 IPSec 在 IP 報(bào)文中使用一個(gè)新的 IPSec 報(bào)頭來封裝信息，這個(gè)過程類似于用一個(gè)正常的 IP 報(bào)文頭封裝上層的 TCP 或 UDP 信息。新的 IPSec 報(bào)文包含 IP報(bào)文認(rèn)證的信息，原始 IP 報(bào)文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否。 可以配置 IPSec 封裝完整的 IP 數(shù)據(jù)報(bào)或只是上層信息。如果配置為封裝整個(gè) IP 數(shù)據(jù)報(bào)，那么它就工作在隧道模式（ TunnelMode）。如果配置為只封裝 IP數(shù)據(jù)報(bào)中上層協(xié)議信息，那么它就工作在傳輸模式（ TransportationMode）。如圖 2 22 所示。 圖 21 隧道模式 圖 22 傳輸模式 除了 IPSec 模式之外，還有兩種 IPSec 的報(bào)頭 ： ●認(rèn)證報(bào)頭：只用于認(rèn)證 IP 報(bào)文，對原始 IP 報(bào)文不做任何加密。 ●封裝安全負(fù)載：可以像認(rèn)證報(bào)頭那樣對原始 IP 報(bào)文實(shí)現(xiàn)認(rèn)證，并可以實(shí)現(xiàn)加密。 認(rèn)證報(bào)頭 認(rèn)證報(bào)頭（ AuthenticationHeader， AH）為整個(gè)數(shù)據(jù)包（數(shù)據(jù)包中攜帶的 IP報(bào)頭和數(shù)據(jù)）提供身份驗(yàn)證、完整性和防止重發(fā)， AH 還簽署整個(gè)數(shù)據(jù)包。因?yàn)椴患用軘?shù)據(jù)，所以不提供機(jī)密性。數(shù)據(jù)可以讀取，但是禁止修改。 AH 使用HMAC 算法來簽署數(shù)據(jù)包。 例如，使用計(jì)算機(jī) A 的 Alice 將數(shù)據(jù)發(fā)送給使用計(jì)算機(jī) B 的 Bob。 IP 報(bào)頭、AH 報(bào)頭和數(shù)據(jù)通過簽名來防止 修改。這意味著 Bob 可以確定確實(shí)是 Alice 發(fā)送的數(shù)據(jù)并且數(shù)據(jù)未經(jīng)修改。 完整性和身份驗(yàn)證通過在 IP 報(bào)頭和傳輸協(xié)議報(bào)頭（ TCP 或 UDP）之間放置 AH 報(bào)頭來提供，如圖 23 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 6 圖 23 AH 報(bào)文格式 封裝安全負(fù)載 封裝安全負(fù)載（ EncapaulatingSecurityPayload， ESP）除了身份驗(yàn)證、完整性和防止重發(fā)外，還提供機(jī)密性。除非使用隧道，否則 ESP 通常不簽署整個(gè)數(shù)據(jù)包，即通常只保護(hù)數(shù)據(jù)，而不保護(hù) IP 報(bào)頭。 ESP 主要使用 DES 或 3DES 加密算法為數(shù)據(jù)包提供保密