【正文】 常用十六進(jìn)制表示，例如，一個56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數(shù)商業(yè)應(yīng)用了。密匙管理包括手工和自動兩種方式，手工管理系統(tǒng)在有限的安全需要可以工作得很好，而自動管理系統(tǒng)能滿足其他所有的應(yīng)用要求。 使用手工管理系統(tǒng)，密匙由管理站點確定然后分發(fā)到所有的遠(yuǎn)程用戶。真實的密匙可以用隨機(jī)數(shù)字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據(jù)集團(tuán)的安全政策進(jìn)行修改。使用自動管理系統(tǒng)，可以動態(tài)地確定和分發(fā)密匙，顯然和名稱一樣，是自動的。自動管理系統(tǒng)具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮IPSEC的效用。 IPSEC的實現(xiàn)方式IPSEC的一個最基本的優(yōu)點是它可以在共享網(wǎng)絡(luò)訪問設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實現(xiàn)，這很大程度避免了升級任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端，IPSEC架構(gòu)允許使用在遠(yuǎn)程訪問介入路由器或基于純軟件方式使用普通MODEM的PC機(jī)和工作站。而ESP通過兩種模式在應(yīng)用上提供更多的彈性：傳送模式和隧道模式。 IPSEC Packet 可以在壓縮原始IP地址和數(shù)據(jù)的隧道模式使用l 傳送模式通常當(dāng)ESP在一臺主機(jī)（客戶機(jī)或服務(wù)勤）上實現(xiàn)時使用，傳送模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。隧道模式通常當(dāng)ESP在關(guān)聯(lián)到多臺主機(jī)的網(wǎng)絡(luò)訪問介入裝置實現(xiàn)時使用，隧道模式處理整個IP數(shù)據(jù)包——包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。當(dāng)隧道模式用在用戶終端設(shè)置時，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。4. 利用天網(wǎng)防火墻架構(gòu)VPN建立虛擬企業(yè)專網(wǎng)的工作由專門的網(wǎng)絡(luò)服務(wù)器承擔(dān)，在VPN中 ，不同企業(yè)內(nèi)部網(wǎng)之間的通訊通過網(wǎng)絡(luò)服務(wù)器間建立的IPSEC安全通道進(jìn)行。由廣州市眾達(dá)訊通技術(shù)有限公司自行開發(fā)的天網(wǎng)防火墻系統(tǒng)在構(gòu)造VPN方面作為專門的VPN網(wǎng)絡(luò)服務(wù)器具有其獨特的優(yōu)點。它可以建立基于IPSEC的真正的虛擬專網(wǎng)，安全性高；不需要改變目前網(wǎng)絡(luò)結(jié)構(gòu)，只需要增加一臺專用VPN服務(wù)器即可做到平滑升級；性價比高，符合經(jīng)濟(jì)考慮；擴(kuò)展能力強(qiáng)，便于日后擴(kuò)容；虛擬用戶可以訪問視聆通、Internet，互通性好；用戶不需要進(jìn)行任何額外設(shè)置，方便用戶。而ISP可以使用天網(wǎng)防火墻系統(tǒng)來架構(gòu)VPN，建立一個安全可靠的IPSEC安全通道，來進(jìn)行各種私有數(shù)據(jù)的傳送。具體的解決方案舉例如下：天網(wǎng)防火墻VPN網(wǎng)關(guān)工作邏輯示意圖（這里A與AA2和A3為同一虛擬專用網(wǎng)組，B與B1為同一虛擬專用網(wǎng)組）源網(wǎng)絡(luò)地址目標(biāo)網(wǎng)絡(luò)地址使用協(xié)議密匙目標(biāo)VPN網(wǎng)關(guān)A（）A1（）ESP(40Bits)KEY1G2A（）A2（）ESP(168Bits)KEY2G2A（）A3（）AH(無加密)無G3::天網(wǎng)防火墻VPN網(wǎng)關(guān)網(wǎng)絡(luò)連接地址表示例（VPN網(wǎng)關(guān)G1） 天網(wǎng)防火墻系統(tǒng)的VPN服務(wù)體系采用IPSEC安全標(biāo)準(zhǔn)，利用天網(wǎng)虛擬專網(wǎng)復(fù)用技術(shù)，通過網(wǎng)絡(luò)地址進(jìn)行標(biāo)識路由。所謂天網(wǎng)虛擬專網(wǎng)復(fù)用技術(shù)，就是指在一個VPN服務(wù)體系中建立起許多組互不干擾、相對獨立的虛擬專網(wǎng)。例如圖中VPN用戶A通過VPN向VPN用戶A1發(fā)送信息，具體工作過程是：VPN用戶A通過DDN、由VPN網(wǎng)關(guān)G1對VPN用戶A的數(shù)據(jù)包進(jìn)行判斷，如果是發(fā)送到公眾網(wǎng)絡(luò)的，直接路由到公眾網(wǎng)絡(luò)上；這里是發(fā)送到另一端的VPN用戶A1的，由于VPN網(wǎng)關(guān)G1本身具有一個類似于路由表的一一對應(yīng)的網(wǎng)絡(luò)地址連接表，根據(jù)這個連接表，它可以獲知要把VPN用戶A的數(shù)據(jù)包送到到VPN用戶A1目標(biāo)網(wǎng)絡(luò)地址，需要路由到VPN網(wǎng)關(guān)G2，它就把VPN用戶A的數(shù)據(jù)包以ESP（40位加密）進(jìn)行封裝加入密匙KEY1，從而產(chǎn)生一個IPSEC數(shù)據(jù)包，然后把這個IPSEC數(shù)據(jù)包發(fā)送到目標(biāo)網(wǎng)絡(luò)地址連接的VPN網(wǎng)關(guān)G2，由目標(biāo)VPN網(wǎng)關(guān)G2對IPSEC數(shù)據(jù)包進(jìn)行解封解密，并且根據(jù)數(shù)據(jù)包的目標(biāo)網(wǎng)絡(luò)地址把數(shù)據(jù)包發(fā)送到相應(yīng)的目標(biāo)VPN用戶A1。這就像在VPN用戶A和VPN用戶A1之間建立了一個IPSEC的安全通道，只要是源VPN用戶A發(fā)送到目標(biāo)VPN用戶A1的數(shù)據(jù)包，都能在這個IPSEC安全通道內(nèi)進(jìn)行傳輸。而且，由于IPSEC標(biāo)準(zhǔn)是基于TCP/IP協(xié)議，在數(shù)據(jù)碎塊重整、錯誤包處理以及斷線續(xù)傳等方面具有很好的處理性能，因而在數(shù)據(jù)包的長途傳輸過程能保證數(shù)據(jù)的完整性。同時，因為天網(wǎng)防火墻系統(tǒng)的VPN網(wǎng)關(guān)通過網(wǎng)絡(luò)地址來標(biāo)識和分辨VPN網(wǎng)絡(luò)用戶，最多可以支持256個B類VPN網(wǎng)絡(luò)用戶和65535個C類VPN網(wǎng)絡(luò)用戶的用戶量。使用天網(wǎng)防火墻構(gòu)架VPN的主要優(yōu)點：l 獨創(chuàng)的虛擬專網(wǎng)復(fù)用技術(shù)，利用此技術(shù)，可以在一個大型的VPN服務(wù)體系中建立起許多組互不干擾的、相對獨立的虛擬專網(wǎng)。l 便于開展業(yè)務(wù)，由于采用網(wǎng)絡(luò)地址來表識VPN用戶，可以根據(jù)網(wǎng)段的大小對不同網(wǎng)絡(luò)規(guī)模的用戶進(jìn)行收費(fèi)，同時可以根據(jù)不同的加密需要進(jìn)行收費(fèi)。使業(yè)務(wù)的開展更加靈活。l 同時支持撥入用戶使用VPN（即VPDN），利用Radius認(rèn)證區(qū)分用戶身份，接入對應(yīng)的虛擬專網(wǎng)，充分滿足用戶的不同需要。（詳細(xì)技術(shù)見“利用天網(wǎng)防火墻架構(gòu)的VPDN方案”）l VPN用戶可以同時對視聆通和Internet進(jìn)行訪問。l 具有良好的保密性，安全性高。由于VPN是在整個公有網(wǎng)絡(luò)基礎(chǔ)上建立VPN用戶的私有網(wǎng)絡(luò)，進(jìn)行私有信息的傳輸，用戶對數(shù)據(jù)在傳輸過程中的安全性、保密性要求很高，因而需要有非常高級的數(shù)據(jù)加密技術(shù)。天網(wǎng)防火墻全面支持IPSEC，包括支持40/56 Bits DES 、 112/186 Bits 3DES、Blowfish、IDEA加密算法，MDSHA1兩種Hash算法，安全特性好。l 性能高容量大。最多可以建立65535組虛擬專網(wǎng)，使用40/56Bits Des中級加密算法時可以支持32768條同步VPN連接，使用168 Bits Triple DES高級加密算法時可以支持1024條同步VPN連接。由于能夠支持大量用戶，因此大大降低成本。l 由于使用了開放式標(biāo)準(zhǔn)，可以與其他廠家支持IPSEC標(biāo)準(zhǔn)的產(chǎn)品連接。天網(wǎng)防火墻還具有自適應(yīng)功能，如果連接產(chǎn)品的加密程度較低，它可以相應(yīng)自動降低加密程度，以便更好地進(jìn)行協(xié)同工作。12 / 12