【正文】 ? 可以主動(dòng)的啟動(dòng)、停止聯(lián)系范圍內(nèi)（即端用戶成功登錄服務(wù)器）建立的端到端或端到網(wǎng)關(guān)的隧道。 CTVRC 的圖形用戶接口（ GUI）界面 圖 225 CTVRC 的 GUI 界面 ? ETVRC 不必用戶自己配置隧道和安全參數(shù)，使用便捷，適用于不同層次的用戶，利于大型網(wǎng)絡(luò)集中管理 VPN 系統(tǒng)。 VRC 系統(tǒng) 基本功能 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 26 ? CTVRC ? 對(duì)所有的以本地用戶為起點(diǎn)的通道進(jìn)行集中管理。 ? VRC 的密鑰協(xié)商和管理 針對(duì) VRC 不同的工作方式，采用了不同的密鑰協(xié)商和管理策略。對(duì)于每種協(xié)議提供的抗重播服務(wù)，可以分別設(shè)定抗重播窗口的大小。 ? VRC 的加密及驗(yàn)證算法 IPSec 針對(duì) AH、 ESP 協(xié)議定義了一套默認(rèn) 的、強(qiáng)制實(shí)施的算法，以確保不同的實(shí)施方案相互之間可以共通。 注 ：測(cè)試系統(tǒng)采用 3COM 100M 網(wǎng)卡 VRC 系統(tǒng)安全機(jī)制 ? VRC 的安全與認(rèn)證服務(wù) VRC 的安全與認(rèn)證服務(wù)類型有驗(yàn)證服務(wù)和加密服務(wù)。 易管理 ? 界面簡(jiǎn)潔，操作方便，簡(jiǎn)單易用。利用 VPN 客戶端的三種功能（支持 NAT、支持包過(guò)濾、支持 MAP 映射），可以在各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中自由通信。本公司自行研發(fā)的新技術(shù) 可以完全支持各種防火墻的 MAP 功能。由于 IPSec 協(xié)議族中的 ESP(50)、 AH(51)號(hào)協(xié)議是一種近年來(lái)新開(kāi)發(fā)的協(xié)議，在某些防火墻中可能會(huì)將此協(xié)議過(guò)濾掉，但客戶端 VPN 可以在防火墻不支持的的情況下，安全穿過(guò)包過(guò)濾，達(dá)到正常的通信功能。由于 NAT 的特點(diǎn)，導(dǎo)致按照標(biāo)準(zhǔn)的 IPSec 協(xié)議實(shí)現(xiàn)的 VPN無(wú)法支持防火墻的地址轉(zhuǎn)換功能。在將來(lái)公共 CA系統(tǒng)完善之后，可以容易地升級(jí)支持公共 CA系統(tǒng)。 ? 支持 CA 認(rèn)證。 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 24 高靈活性好 ? 各種加密算法和驗(yàn)證算法可以靈活自主地組合使用，可以由用戶根據(jù)實(shí)際情況自由搭配使用。 ? 驗(yàn)證強(qiáng)度高。 ? 加密強(qiáng)度高。 ? 核心層 核心態(tài)配置接口模塊提供了應(yīng)用層和核心層交互的接口；安全數(shù)據(jù)庫(kù)、安全算法庫(kù)提供了處理進(jìn)出數(shù)據(jù)包的安全機(jī)制和安全算法； IPSec 發(fā)送處理模塊和 IPSec 接收處理模塊主要根據(jù)安全數(shù)據(jù)庫(kù)、安全算法庫(kù)和隧道、子網(wǎng)數(shù)據(jù)庫(kù)的信息，實(shí)現(xiàn)對(duì)進(jìn)出數(shù)據(jù)包的過(guò)濾和安全處理。而通過(guò)端到網(wǎng)關(guān)方式，可以在單個(gè)端用戶到 VPN 網(wǎng)關(guān)之間建立安全的傳輸通道，這種方式可以實(shí)現(xiàn) TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 22 端用戶安全地訪問(wèn)遠(yuǎn)程的企業(yè)內(nèi)部網(wǎng)。 客戶端 VPN (VRC) VRC 系統(tǒng)簡(jiǎn)介 ? VRC 的名稱及組成 VRC 即 VPN Remote Client， VRC 系統(tǒng)由 CTVRC 和 ETVRC 組成。 ? 雙機(jī)熱備（可選功能） 網(wǎng)絡(luò)衛(wèi)士 VPN 可提供雙機(jī)熱備份功能，當(dāng)處于工作狀態(tài)的網(wǎng)絡(luò)密碼機(jī)出 現(xiàn)故障時(shí)，備份狀態(tài)的網(wǎng)絡(luò)密碼機(jī)將自動(dòng)切換到工作狀態(tài)，替換故障的網(wǎng)絡(luò)密碼機(jī)進(jìn)行工作，以保證網(wǎng)絡(luò)的正常使用。保證在任何時(shí)刻網(wǎng)絡(luò)帶寬都能夠被盡量使用。 ? 支 持外部防火墻 NAT（可選功能） 網(wǎng)絡(luò) 密碼機(jī)一般放在防火墻的內(nèi)部，當(dāng)防火墻利用 NAT 進(jìn)行地址轉(zhuǎn)換時(shí)會(huì)將 網(wǎng)絡(luò) 密碼機(jī)發(fā)出的加密包進(jìn)行一定的修改，破壞了其完整性，當(dāng)這樣的加密包到達(dá)對(duì)方 網(wǎng)絡(luò) 密碼機(jī)時(shí)會(huì)因?yàn)橥暾澡b別不通過(guò)而被丟棄。除了 VPN 設(shè)備的 IP 地址不能隨便更改外，其它操作與串口管理無(wú)異。 在管理終端上通過(guò)串口啟動(dòng)網(wǎng)絡(luò)密碼機(jī)上的 SNMP 代理模塊，再通過(guò)管理終端上的SNMP 管理軟件 OpenView 可以取到 SNMP 基本 MIB 庫(kù)信息和企業(yè)模塊信息 WuhanTIT。基于 TCP/IP 的網(wǎng)絡(luò)管理包含兩個(gè)部分： SNMP 客戶機(jī)和 SNMP服務(wù)器。還能通過(guò)集中管理器實(shí)現(xiàn)網(wǎng)絡(luò)密碼機(jī)證書的頒發(fā)與交換。 ? 支持集中管理 網(wǎng)絡(luò)衛(wèi)士 VPN 具有支持集中管理的功能，有兩種方式實(shí)現(xiàn)。根據(jù)日志可以審計(jì) VPN網(wǎng)關(guān)隧道建立的情況 、設(shè)備 管理員所進(jìn)行的操作和網(wǎng)絡(luò)密碼機(jī)所阻斷的探測(cè)、攻擊等非法訪問(wèn)，并為安全策略的進(jìn)一步完善提供參考。這 樣就極大的提高了本公司產(chǎn)品與其它公司產(chǎn)品的相互操作性。 ? 支持多種安全算法的協(xié)商 VPN 網(wǎng)關(guān)在建立隧道之前，要與對(duì)方 VPN 網(wǎng)關(guān)進(jìn)行相關(guān)信息的協(xié)商。但是允許用戶對(duì)保護(hù)處理方式進(jìn)行規(guī)定，例如對(duì)數(shù)據(jù)流只進(jìn)行加密處理或只進(jìn)行摘要認(rèn)證處理，或者兩 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 18 者都要處理。 ? 支持安全子網(wǎng)的網(wǎng)段分割 為了對(duì)安全子網(wǎng)提供更為細(xì)致的保護(hù)，網(wǎng)絡(luò)衛(wèi)士 VPN 允許內(nèi)部子網(wǎng)劃分為更小的網(wǎng)段，對(duì)每個(gè)網(wǎng)段的數(shù)據(jù)流分別進(jìn)行安全處理。 ? 對(duì)不同需求的兼顧 網(wǎng)絡(luò)衛(wèi)士 VPN作為網(wǎng)關(guān)可以連接多個(gè)內(nèi)部子網(wǎng)。隧道一旦建立起來(lái)，就始終處于運(yùn)作狀態(tài)，對(duì)通過(guò)它的數(shù)據(jù)流進(jìn)行安全保護(hù)。 VPN 系統(tǒng)基本功能 ? 支持透明和非透明連接 網(wǎng)絡(luò)衛(wèi)士 VPN對(duì)用戶完全透明。 ? 加密隧道設(shè)計(jì)指標(biāo)：無(wú)限。 ? 網(wǎng)絡(luò)接口：標(biāo)準(zhǔn)配置為 3個(gè) 10M/100M自適應(yīng)以太網(wǎng)接口（ 10/100MbaseT）（可擴(kuò)充至12個(gè)）。 ? 采用專門的硬件設(shè)備，可以防止物理上受到攻擊，提高安全可靠性。 高易用性 ? 基于對(duì)象模式的全中文圖形管理器界面， 友好、直觀，方便快捷，易于管理。支持透明接入方式 采用國(guó)際上流行的 Inter 安全協(xié)議IPSec(IP Security)，在網(wǎng)絡(luò)層對(duì)用戶數(shù)據(jù)流進(jìn)行安全處理，因此上層應(yīng)用無(wú)需做任何修改即可實(shí)現(xiàn)安全保護(hù)。透明模式：在該模式下 用戶網(wǎng)絡(luò)環(huán)境無(wú)需任何變動(dòng)即可實(shí)現(xiàn)對(duì)整個(gè)子網(wǎng)的安全保護(hù) ；路由器模式：該模式下內(nèi)部網(wǎng)絡(luò)各主機(jī)將缺省網(wǎng)關(guān)指向網(wǎng)絡(luò)密碼機(jī)，網(wǎng)絡(luò)密碼機(jī)可充當(dāng)一臺(tái)簡(jiǎn)單的路由器。身份認(rèn)證采用 1024位的非對(duì)稱算法 。 ? 遵循 ISAKMP/OAKLEY 密鑰協(xié)商和管理協(xié)議 ， 實(shí)現(xiàn)安全可靠的密鑰分發(fā)與管理。 ? 基于密碼技術(shù)的管理員身份認(rèn)證 ，以 及一次性口令認(rèn)證技術(shù) 。支持以太網(wǎng)和 Modem 遠(yuǎn)程撥號(hào)鏈路。凡是需要對(duì)其進(jìn)行身份認(rèn)證的管理員都需要使用該軟件。管理員可以通過(guò)串口來(lái)運(yùn)行該軟件對(duì)網(wǎng)絡(luò)密碼機(jī)系統(tǒng)進(jìn)行基本網(wǎng)關(guān)信息的配置。 ? 管理器 模塊（ 軟件 ） ：是一個(gè)安裝于 網(wǎng)絡(luò)密碼機(jī)上的基于 WEB 方式的網(wǎng)絡(luò)密碼機(jī)管理系統(tǒng)軟件。根據(jù)收到的對(duì)方的報(bào)文計(jì)算出摘要與解密的摘要匹配，如果相同則說(shuō) TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 13 明確實(shí)在與標(biāo)識(shí)所指的對(duì)象進(jìn)行密鑰交換。 IKE采用了 DiffieHellman算法來(lái)生成密鑰信息，該算法可保證雙方各出一半密鑰信息來(lái) 建立一個(gè)共享的秘密，并且即使第三方取得了這兩部分信息也難以計(jì)算出共享秘密。 IPsec中的 密鑰交換 協(xié)議 IKE 中基于數(shù)字簽名認(rèn)證的 MAIN 方式的簡(jiǎn)單過(guò)程 IKE協(xié)議支持采用數(shù)字簽名的方式進(jìn)行認(rèn)證的密鑰交換過(guò)程。密鑰交換協(xié)議采用軟件方式動(dòng)態(tài)生成密鑰，適合于復(fù)雜網(wǎng)絡(luò)的情況且密鑰可快速更新，可以顯著提高 VPN的安全性。 解密過(guò)程： 解密過(guò)程相對(duì)簡(jiǎn)單，對(duì)于需要 IV的加密算法，首先從 Payload Data指定位置取出 IV，然后解密 Payload Data， Padding， Pad len, Next Header 等域即可。 3) 加密明文 Payload Data， Padding， Pad len, Next Header 后，密文重新添入對(duì)應(yīng)明文位置。 4) Padding：填充內(nèi)容 5) Pad Length：填充數(shù)據(jù)長(zhǎng)度 6) Next Header：指定 Payload Data 中數(shù)據(jù)的協(xié)議類型如 TCP， UDP?? 7) Authentication Data：是對(duì) 16數(shù)據(jù)的認(rèn)證。 ? DES和 3DES加密算法 (The Data Encryption Standard):DES有 64位長(zhǎng)密鑰 ,實(shí)際上只使用 56位密鑰。 私有 密鑰和公開(kāi) 密鑰在加密算法上相互關(guān)聯(lián)，一個(gè)用于數(shù)據(jù)加密，另一個(gè)用于數(shù)據(jù)解密。IPSec通過(guò) IKE協(xié)商確定幾種可選的數(shù)據(jù)加密方法 如 DES、 3DES。接收方采用同樣的方法計(jì)算出認(rèn)證碼后與 AH頭部中的認(rèn)證碼域內(nèi)的值比較，如果相同則認(rèn)證成功，否則認(rèn)證失敗。 認(rèn)證的過(guò)程如下 ： 發(fā)送方采用哈希算法計(jì)算認(rèn)證碼，添入 AH頭部中的認(rèn)證碼域發(fā)往目的地。 4） Security Parameters Index (SPI)：由接收方在創(chuàng)建安全連接時(shí)指定， SPI,目的IP地址 ,AH協(xié)議唯一確定一個(gè)使用 AH的安全連接。 IPsec 中的認(rèn)證 協(xié)議 AH AH協(xié)議的主要功能是用于認(rèn)證數(shù)據(jù)源和驗(yàn)證數(shù)據(jù)完整性。 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 10 B. 用戶認(rèn)證。由于 HASH函數(shù)的特性，使得要找到兩個(gè)不同的報(bào)文具有相同的摘要是困難的。 認(rèn)證技術(shù)簡(jiǎn)介 認(rèn)證技術(shù)可以區(qū)分真實(shí)數(shù)據(jù)與偽造、被篡改過(guò)的數(shù)據(jù) 。實(shí)際上圖 16 的示意并不準(zhǔn)確，在兩個(gè) IP協(xié)議頭之間可以插入其它的 協(xié)議內(nèi)容。舉個(gè)簡(jiǎn)單的例子來(lái)說(shuō)明 IPIP 協(xié)議的工作過(guò)程。由于封裝與解封裝只在兩個(gè)接口處由設(shè)備按照隧道協(xié)議配置進(jìn)行，局域網(wǎng)中的其他設(shè)備將不會(huì)覺(jué)察到這一過(guò)程。 VPN技術(shù) 虛擬專用網(wǎng)主要采用了兩種技術(shù)：隧道技術(shù)與安全技術(shù)。 IPSEC 它定義了一套用于 保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。 傳輸模式是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。 IPSec 適應(yīng)向 Ipv6 遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)， 進(jìn)行 透明的安全通信。 ExtraVPN 通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性 。而且 在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。 RADIUS 服務(wù)器可對(duì)員工進(jìn)行驗(yàn)證和授權(quán)，保證連接的安全，同時(shí)負(fù)擔(dān)的 整體接入成本 大大降低。 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 6 VPN的類型與標(biāo)準(zhǔn) 可以根據(jù)網(wǎng)絡(luò)連接方式的不同把 VPN 分為以下幾種類型： ? Access VPN（遠(yuǎn)程訪問(wèn)虛擬專網(wǎng)）與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)相對(duì)應(yīng)。 ? 高的性價(jià)比 VPN致力于為網(wǎng)絡(luò)提供整體的安全性，是性能價(jià)格比比較高的安全方式。 ? 完全控制主動(dòng)權(quán) 企業(yè)可以利用公網(wǎng)或在網(wǎng)絡(luò) 內(nèi)部自己組建管理 VPN。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此，所以稱之虛擬專用。 其實(shí) 虛擬專用網(wǎng) VPN技術(shù)并不是 什么 新 鮮 事物，早在 1993年，歐洲虛擬專用網(wǎng)聯(lián)盟（ EVUA）就成立了，力圖在全歐洲范圍內(nèi)推廣 VPN,由于 Inter的迅猛發(fā)展 為 VPN提供了技術(shù)基礎(chǔ)， 全球化的 企業(yè)為 VPN提供了市場(chǎng)， 使 得 VPN開(kāi)始遍布全世界。 傳統(tǒng)的企業(yè)網(wǎng)組網(wǎng)方案中，要進(jìn)行遠(yuǎn)地 LAN 到 LAN互連，除了租用 DDN專線或幀中繼之外，并無(wú)更好的解決方法。 169。 天天 融融 信信 VPN 整整 體體 解解 決決 方方 案案 零管理、 百 分百成效 技技 術(shù)術(shù) 白白 皮皮 書書 全面的信息存儲(chǔ)、傳輸安全解決方案 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 Beijing Topsec Network Secu