【正文】 或 分布式兩種管理方式。 1） 分布式管理 在 分布 管理方式下，隧道兩端 網(wǎng)絡(luò) 的 系統(tǒng)管理員 根據(jù) 對 端 VPN 網(wǎng)關(guān)設(shè)備的 IP地址（域名地址）和子網(wǎng)掩碼等信息，各自在本地配置隧道策略后，建立隧道而進行安全的通信，通過這種方式建立的隧道即為靜態(tài)隧道。 靜態(tài)隧道 的配置相對來說對用戶的要求較高，需要知道配置一條隧道參數(shù)的所有信息，且兩臺 VPN 設(shè)備要采用靜態(tài)隧道通信，兩端的參數(shù)必須對稱。 采用靜態(tài)隧道可以 方便地實現(xiàn) 與第三方 VPN 設(shè)備進行互連。 2）集中式管理 在集中管理方式下，所有的 隧道 策略均由 TopPolicy 系統(tǒng) 制定， TopPolicy 系統(tǒng)可以對 IPSec VPN 隧道進行全面管理，包括隧道的建立、監(jiān)控、維護。 TopPolicy系統(tǒng)建立隧道的流程如 圖 所示。 圖 基于 TopPolicy 系統(tǒng) 的 隧道建立流程 29 在 TopPolicy 系統(tǒng) 監(jiān)管下，所有 VPN 設(shè)備首先需要通過設(shè)備證書到 TopPolicy系統(tǒng)進行身份認證，認證通過后從 TopPolicy 系統(tǒng)下載與本機相關(guān)的設(shè)備、子網(wǎng)、隧道 等 通訊策略，而不再需要 管理員 在本地配置策略 。 管理員在 TopPolicy 管理器中可以集中為整個 VPN 網(wǎng)絡(luò)配置通信策略，也可以單獨為某個設(shè)備添加通信策略 。 TopPolicy 管理器中的隧道添加界面 如 圖 所示 。 圖 在 TopPolicy 管理器 中添加隧道 注意上圖中隧道兩端的設(shè)備均是用設(shè)備名來標識而非 IP 地址，該設(shè)備名是添加 VPN 網(wǎng)關(guān) 設(shè)備時定義好的。 如果 還 需要 進行隧道的中間 轉(zhuǎn)發(fā)， 還可 設(shè)置轉(zhuǎn)發(fā) 節(jié)點設(shè)備的名稱。 對隧道信息的詳細設(shè)置界面如 圖 30 圖 隧道信息的詳細設(shè)置 對上圖中主要 參數(shù)的說明如下： 隧道封裝模式 ： 指隧道的數(shù)據(jù)包封裝模式，支持隧道模式和傳輸模式兩種，這里我們建議 采用隧道模式。 安全保護方式 ： 可以是“數(shù)據(jù)加密（ ESP）” ,“數(shù)據(jù)認證（ AH）”以及“數(shù)據(jù)認證 +數(shù)據(jù)加密（ AH+ESP）”。 如果不需要 NAT 穿越，我們建議采用 “數(shù)據(jù)認證 +數(shù)據(jù)加密（ AH+ESP）” 方式，具有較高安全性。 認證方式 ： 進行隧 道協(xié)商時的身份認證方式，只支持證書認證方式。 壓縮 ：對于數(shù)據(jù)文件，可以設(shè)置 隧道傳輸數(shù)據(jù)壓縮 以提高傳輸效率 。 算法 ： 進行信息加密傳輸時，需要指定加密算法，默認為 3DESMD5 算法。此外建議也可以選用 3DESSHA AESSHA1 等安全強度較高的算法。 隧道添加成功后，如果其左右端點設(shè)備及中間轉(zhuǎn)發(fā)設(shè)備均在線且設(shè)置正確，則隧道會馬上協(xié)商，協(xié)商成功后， VPN 隧道兩端設(shè)備之間 便會 根據(jù)通訊策略建立VPN 隧道， 隧道建立成功后 就可以 進行正常的 VPN 數(shù)據(jù) 加密 通訊 了 。 31 在集中管理方式下，利用 VPN 進行安全通信將更加方便 。 因此我們建議 XX公司 采用基于 TopPolicy 系統(tǒng)的 VPN 隧道集中管理方式，不論是網(wǎng)關(guān) 網(wǎng)關(guān)之間，還是移動用戶 網(wǎng)關(guān)之間，均通過 TopPolicy 系統(tǒng)統(tǒng)一制訂的隧道策略進行通信。其中，網(wǎng)關(guān) 網(wǎng)關(guān)之間的通信策略由總公司管理員統(tǒng)一進行配置，移動用戶（組）網(wǎng)關(guān)之間的通信策略由其所在省分公司的管理員進行配置。 相關(guān)產(chǎn)品介紹 天融信 IPSEC VPN 產(chǎn)品 介紹 產(chǎn)品概述 天融信公司歷經(jīng)十年發(fā)展的、榮獲了多個獎項的網(wǎng)絡(luò)衛(wèi)士 IPSEC VPN 系列產(chǎn)品和整體解決方案是實時網(wǎng)絡(luò)防護系統(tǒng)和安全傳輸系統(tǒng)的最佳選擇。 TOPSEC IPSEC VPN 解決方案將為您提供透明的端對端安全隧道。解決方案包含多種 VPN 網(wǎng)關(guān)和客戶端、集中管理等。解決方案能夠適應(yīng)各種應(yīng)用需求，適應(yīng)于各種接入方式，并具有靈活的伸縮性和良好的可管理性。 TOPSEC IPSEC VPN 產(chǎn)品 包括 VPN 網(wǎng)關(guān)、客戶端 VRC。 VPN 網(wǎng)關(guān)包括 SJW11系列產(chǎn)品、 TopVPN 系列產(chǎn)品和帶 VPN 功能的防火墻產(chǎn)品、 UTM 產(chǎn)品；客戶端VRC 支持多種操作系統(tǒng)，可免費下載。 TOPSEC IPSEC VPN 解決方案以應(yīng)用為中心，構(gòu)筑了一個安全的私有廣域網(wǎng)平臺，能同時滿足各種應(yīng)用環(huán)境、 網(wǎng)絡(luò)環(huán)境、政策要求、價位要求、功能要求和性能要求。 TOPSEC IPSEC VPN 解決方案擁有國內(nèi)最廣泛的用戶群，并且已經(jīng)在全球性的業(yè)務(wù)網(wǎng)絡(luò)中成功部署。 產(chǎn)品 特點 ? 全面支持 IPSec 協(xié)議標準 32 本產(chǎn)品遵循 RFC 182 RFC 182 RFC 185 RFC 185 RFC 208 RFC 240112 等一系列標準協(xié)議。天融信 VPN 產(chǎn)品經(jīng)過嚴格的互通性測試，與 CISCO、NetScreen、 MicroSoft 等著名廠家的 VPN 產(chǎn)品可以實現(xiàn)互通。 ? 支持標準 ESP、 AH 加密認證協(xié)議 ? 支持隧道模式、傳 輸模式的協(xié)議封裝格式 ? 支持 IKE 標準密鑰協(xié)商協(xié)議 ? 支持主模式、野蠻模式、快速模式多種協(xié)商模式 ? 支持證書認證和預共享密鑰認識方式 ? 支持 DES、 3DES、 AES 等多種對稱密鑰算法 ? 支持 MD SHA1 等多種完整性驗證算法 ? 支持 RSA、 DH 等多種非對稱密鑰算法 ? CleanVPN 服務(wù) 企業(yè)對 VPN 應(yīng)用越來越普及，但是當企業(yè)員工或合作伙伴通過各種 VPN 遠程訪問企業(yè)網(wǎng)絡(luò)時，病毒 、蠕蟲 、木馬、惡意代碼等有害數(shù)據(jù)有可能通過 VPN 隧道從遠程 PC 或網(wǎng)絡(luò)傳遞進來，這種威脅的傳播方式極具隱蔽性，很難防范。 天融信 VPN 網(wǎng)關(guān)同時 具備防火墻、 VPN、防病毒和內(nèi)容過濾等功能，并且各功能相互融合，能夠?qū)?VPN 數(shù)據(jù)進行檢查，攔截病毒 、蠕蟲 、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了 VPN 通信的安全，為用戶提供放心的 CleanVPN 服務(wù)。 ? 支持全動態(tài) IP 地址間建立 VPN 隧道 目前國內(nèi)常用的因特網(wǎng)接入方案，包括電話撥號、 ISDN 撥號、 ADSL 寬帶接入等，都是由 ISP 為接入用戶動態(tài)分配臨時 IP 地址。如果企業(yè)的兩個分支機構(gòu)均采用動態(tài) IP 地址方式接入因特網(wǎng)，那么這兩個分支機構(gòu)之間的 VPN 隧道策略參數(shù)必須進行動態(tài)調(diào)整，這一過程對目前市場大部分的 VPN 產(chǎn)品（ 包括國內(nèi)產(chǎn)品和國外產(chǎn)品）都無法自動完成。天融信 VPN 網(wǎng)關(guān)產(chǎn)品通過集中的 VPN 策略管理和DDNS 無縫結(jié)合技術(shù)成功解決了雙動態(tài) IP 之間自動建立 VPN 隧道的問題。 ? 支持最新的 NAT 穿越（ NATT）協(xié)議 NAT 技術(shù)是目前國內(nèi)企業(yè)共享上網(wǎng)、小區(qū)和智能大廈寬帶接入、城域網(wǎng)寬帶接入所使用的主流技術(shù)。 NAT 與 IPSec 協(xié)議在原理上存在一定的矛盾，天融信 33 VPN 全系列產(chǎn)品均支持最新的 NATT 協(xié)議標準，也支持雙向 NAT 穿越，具有非常好的網(wǎng)絡(luò)適應(yīng)性。 ? 通過隧道路由技術(shù)實現(xiàn) VPN 網(wǎng)絡(luò)的靈活自動部署 在實際物理網(wǎng)絡(luò)部署中，網(wǎng)絡(luò)管理 員首先通過物理線路（可能是光纖、雙絞線、電話線等）連接各個路由設(shè)備，然后通過在路由器上配置靜態(tài)路由或者動態(tài)路由完成各種規(guī)模網(wǎng)絡(luò)的靈活部署。在 IPSec VPN 網(wǎng)絡(luò)中，將每一條隧道視為連接兩臺 VPN 設(shè)備的虛擬網(wǎng)絡(luò)線路，隧道建立成功后，虛擬線路連接工作就完成了?；谶@些虛擬線路，網(wǎng)絡(luò)管理員可以在 IPSec VPN 網(wǎng)關(guān)上采用同樣的方法配置靜態(tài)、動態(tài)路由協(xié)議，完成整個 VPN 網(wǎng)絡(luò)的靈活部署。這種隧道路由機制的優(yōu)點在于： ? 網(wǎng)關(guān)的配置概念和方法與路由器類似，減少網(wǎng)絡(luò)管理員對于部署 VPN網(wǎng)絡(luò)的學習和熟悉過程； ? 通過隧道路由 規(guī)則的配置，可以完成 VPN 數(shù)據(jù)流在 VPN 網(wǎng)關(guān)之間的靈活轉(zhuǎn)發(fā)，從而可以實現(xiàn)星型網(wǎng)絡(luò)拓撲，并解決雙向 NAT 穿越問題； ? 通過動態(tài)隧道路由協(xié)議的配置，可以實現(xiàn)整個 VPN 網(wǎng)絡(luò)的自適應(yīng)部署， VPN 網(wǎng)絡(luò)拓撲的自動學習、自動尋徑； ? 通過基于策略的隧道路由配置，可以實現(xiàn) VPN 網(wǎng)關(guān)的冗余備份和負載均衡。 ? 支持 完善的 VPN 網(wǎng)絡(luò)集中管理 對于分支機構(gòu)、營業(yè)網(wǎng)點遍布全國的大型企業(yè)或政府類垂直行業(yè)來講，其業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)具有分布地域廣泛、接入點多、網(wǎng)絡(luò)結(jié)構(gòu)復雜等特點。如何確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，有效地管理、維護遍布企業(yè)各個結(jié)點的 VPN 設(shè)備 ，保證網(wǎng)絡(luò)的穩(wěn)定運行，是 VPN 產(chǎn)品供應(yīng)商必須解決的問題。天融信 VPN 解決方案在綜合了大量的用戶需求后，逐步形成了 “統(tǒng)一認證、集中監(jiān)控、分級管理 ”的 VPN 網(wǎng)絡(luò)管理方案 ，并 成功運用于許多特大型企業(yè)的 VPN 建設(shè)中 ，目前該 功能已經(jīng)完全 融合到 天融信安全策略統(tǒng)一管理產(chǎn)品中 。 ? 支持標準的 PKI 體系 34 隨著 VPN 技術(shù)在政府、金融等高安全性要求領(lǐng)域的應(yīng)用不斷深入，用戶對VPN 網(wǎng)絡(luò)的認證功能與其原有的 PKI 體系進行無縫結(jié)合的需求也越來越強烈。天融信 IPSec VPN 產(chǎn)品全面支持標準 PKI 體系結(jié)構(gòu)： ? 支持標準 格式數(shù) 字證書； ? 支持 DER、 PEM、 PKCS12 等多種證書編碼格式； ? 支持通過 LDAP 等標準協(xié)議向第三方 CA 進行在線認證； ? 支持 CRL 列表文件的導入和通過 HTTP 自動下載 CRL 列表； ? 支持生成 PKCS10 格式的證書請求； ? 支持采用第三方 CA 證書進行隧道協(xié)商認證。 ? 支持靈活的移動用戶接入策略 VPN 技術(shù)在遠程移動辦公領(lǐng)域的應(yīng)用越來越廣泛，因此支持安全靈活的移動用戶接入策略已經(jīng)成為 VPN 產(chǎn)品競爭的焦點。 IPSec VPN 產(chǎn)品支持豐富的移動用戶接入策略，為各種需求的用戶提供了完善的解決方案。 ? 支持基于用戶＋口令的接入認 證機制； ? 支持基于數(shù)字證書的接入認證機制； ? 支持基于證書＋口令的雙因子認證機制； ? 支持 RADIUS/TARCAS/LDAP 標準用戶認證協(xié)議； ? 支持 USB KEY、動態(tài)口令卡等強身份認證機制； ? 支持基于服務(wù)的移動用戶的訪問授權(quán)； ? 支持基于時間的移動用戶訪問控制； ? 支持移動用戶的硬件特征碼綁定機制。 ? 集成功能強大的防火墻功能 天融信 IPSec VPN 產(chǎn)品集成了天融信強大的防火墻產(chǎn)品功能，為用戶的 VPN網(wǎng)絡(luò)提供高等級的邊界安全防護 。 ? 集成強大的網(wǎng)絡(luò)路由功能 IPSec VPN 網(wǎng)關(guān)為用戶組網(wǎng)提供了強大的網(wǎng)絡(luò)路由功 能，完全可以作為獨立的網(wǎng)絡(luò)設(shè)備進行配置使用，主要功能如下： ? 支持靜態(tài)路由、動態(tài)路由協(xié)議； ? 支持 VLAN 劃分； 35 ? 支持完善的帶寬管理功能； ? 支持 DNS 代理功能； ? 支持 DHCP 服務(wù)器。 ? 自主安全操作系統(tǒng)平臺 采用自主知識產(chǎn)權(quán)的安全操作系統(tǒng) — TOS（ Topsec Operating System）， TOS擁有優(yōu)秀的模塊化設(shè)計架構(gòu)，有效保障了防火墻、 VPN、防病毒、內(nèi)容過濾、抗攻擊、流量整形等模塊的優(yōu)異性能，其良好的擴展性為未來迅速擴展更多特性提供了無限可能。 TOS 具有具有高安全性、高可靠性、高實時性、高擴展性 及多體系結(jié)構(gòu)平臺適應(yīng)性的特點。 ? 增強的網(wǎng)絡(luò)鏈路適應(yīng)性 ? 采用證書壓縮機制 IKE 在使用證書方式進行第一階段協(xié)商的時候，由于協(xié)商報文載荷較大，有時候會引起 IP 報文分片，而整個鏈路中中間設(shè)備對于分片報文的處理可能不一致，這樣就會導致 IKE 的協(xié)商失敗。為了避免這些問題，我們采用證書壓縮機制，避免 IP 報文分片。 ? 采用 IPSEC 碎包機制 所以采用 預分片技術(shù)，再對分片后的報文進行隧道封裝 ，提高了系統(tǒng)性能 。 ? 隧道探測功能 在隧道協(xié)商過程中，不停的探測隧道狀態(tài)，并在 GUI 管理器中顯示探測結(jié)果。支持隧道自動恢復，當隧道建立成功 后， VPN 會每隔一定的時間間隔探測隧道狀態(tài)，在對探測沒有正常響應(yīng)的情況下， VPN 會停掉本方的隧道，并每隔一定的間隔試圖去重建，一旦對方 VPN 或網(wǎng)絡(luò)恢復正常，隧道就能夠馬上自動重新建立。 ? 遂道交換、接力和嵌套 ? 隧道交換 所謂隧道交換是指通過中心網(wǎng)關(guān)的交換策略，實現(xiàn)不同端用戶只需和中心設(shè)備建立隧道就可以實現(xiàn)端用戶間的互相訪問。即所謂的 單點接入，全網(wǎng)訪問 。 36 在中心處架設(shè)一臺 VPN，每個端用戶與中心網(wǎng)關(guān)建立一條隧道，就可利用中心網(wǎng)關(guān)的隧道交換策略實現(xiàn)對其它所有端用戶的訪問。 做到單點接入，全網(wǎng)訪問 。 ? 隧道接力 建 立隧道如圖 A－ C， C－ B（圖中綠色虛線所示），可以實現(xiàn) A 的內(nèi)部子網(wǎng)與 B 的內(nèi)部子網(wǎng)間的訪問 (圖中紅色虛線所示 )。 ? 隧道嵌套 37 天融信 IPSEC VPN 網(wǎng)關(guān) 主要 功能 ? 支持 CleanVPN 技術(shù)，可清除 VPN 隧道病毒和蠕蟲 ? 采用隧道技術(shù)： IPSec、 L2TP、 PPTP、天融信動態(tài) VPN；可擴展 SSL ? 采用標準 IPSEC 和 IKE 協(xié)議，支持 IP 報文加解密、 IP 報文完整性認證和數(shù)據(jù)源認證 ? 支持完全的天融信的防火墻功能，支持隧道內(nèi)訪問控制等組合策略 ，可擴展 防病毒功能 ? 支持