【正文】 ETVRC 的圖形用戶接口（ GUI）界面 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 27 圖 226 ETVRC 的 GUI 界面 2． 3 VPN 安全集中管理系。 ? 可以查看 聯(lián)系范圍內(nèi)（即端用戶成功登錄服務(wù)器）的端用戶 代理或網(wǎng)關(guān)設(shè)備的信息，以及與之建立的隧道信息。 ? ETVRC 是由管理員在 SCM(安全集中管理系統(tǒng) )服務(wù)器上統(tǒng)一管理和維護(hù)安全策略，不需要端用戶自己 配置安全隧道。 ? 可以了解端用戶的系統(tǒng)性能，主要是系統(tǒng)的網(wǎng)絡(luò)配置。 ? 通過 CTVRC 的 GUI界面可以方便地添加新的通道和編輯已有的通道并查看通道的狀態(tài)。 ? VRC 管理本機(jī)證書和私鑰的方式 用戶可以選擇將本機(jī)的證書和私鑰存放到硬盤中，在使用時(shí)導(dǎo)入；另外，用戶也可以選擇將本機(jī)的證書和私鑰存放到安全性更高的 USB 設(shè)備中。 CTVRC：在端到端方式下，配置通道所需的密鑰等安全參數(shù)時(shí)采用的是預(yù)共享方式，即端用戶雙方事先商定好所需的安全參數(shù)；而在端到網(wǎng)關(guān)的方式下，配置通道所需的安全參數(shù)是采用了動(dòng)態(tài)協(xié)商方式，即端用戶 VPN 和網(wǎng)關(guān) VPN 在建立通道前，雙方會(huì)依據(jù) 一定的協(xié)商策略動(dòng)態(tài)地協(xié)商好各種安全參數(shù)。 無論 VRC 工作在端到端方式還是工作在端到網(wǎng)關(guān)方式，用戶必須導(dǎo)入本機(jī)的證書；對(duì)于 CT－ VRC，在配置通道時(shí)，還必須提供對(duì)方的證書。 ? VRC 的身份認(rèn)證機(jī)制 VRC 之間 采用基于 身份 認(rèn)證 ， 天融信開發(fā)的證書管理系統(tǒng)可以生成用戶所需 的證書。另外，兩種 IPSec 協(xié)議均提供了一個(gè)可選的抗重播服務(wù)，以抵抗重播攻擊。對(duì)于 AH 協(xié)議， HMACMD HMACSHA1 是 IPSec 默認(rèn)的驗(yàn)證算法；對(duì)于 ESP 協(xié)議， DES、 3DES 是 IPSec 默認(rèn)的加密算法。另外， VRC 采用了口令認(rèn)證機(jī)制來限制非授權(quán)用戶的非法使用。驗(yàn)證服務(wù)的實(shí)現(xiàn)是基于 IPSec 的AH 協(xié)議 ,驗(yàn)證服務(wù)對(duì)用戶數(shù)據(jù)提供完整性驗(yàn)證。 VRC 系統(tǒng)性能 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 25 ? 空載性能 加載 VPN 模塊，但空載時(shí)系統(tǒng)的整體性能為： 80Mbps； ? 驗(yàn)證算法性能 加載 VPN 模塊，系統(tǒng)采用 MD5 作為認(rèn)證算法時(shí)系統(tǒng)的整體性能為： 35Mbps； ? 驗(yàn)證算法性能 加載 VPN 模塊，系統(tǒng)采用 DES 作為加密算法時(shí)系統(tǒng)的整體性能為： 17Mbps； ? 總體性能 加載 VPN 模塊，系統(tǒng)采用 MD5 作為認(rèn) 證算法，同時(shí) DES 作為加密算法時(shí)系統(tǒng)的整體性能為： 12Mbps。 ? 可以通過客戶端圖形界面實(shí)現(xiàn)管理，也可以通過 SCM 集中進(jìn)行管理。 ? 根據(jù)用戶所需的不同服務(wù)等級(jí)，網(wǎng)絡(luò)通訊的整體性能的下降在可以忍受的范圍之 內(nèi)。 高適應(yīng)性 ? 對(duì)端用戶來說網(wǎng)絡(luò)是完全透明的。 ? 支持各種復(fù)雜的網(wǎng)絡(luò)環(huán)境。 高擴(kuò)展性 ? 適用于各種操作系統(tǒng)，如 Windows9x、 Windows NT、 Windows2020Professional 以及Server。同 NAT 一樣，目前的標(biāo)準(zhǔn) IPSec 協(xié)議不支持 MAP 功能。 ? 支持外部防火墻 MAP 映射功能。 ? 支持外部防火墻包過濾功能。由于防火墻的 NAT 是當(dāng)前網(wǎng)絡(luò)環(huán)境中非常普遍的技術(shù)，因此本公司在遵循 IPSec 的基礎(chǔ)上自主開發(fā)了新的技術(shù)，可以使 VPN 完全透明地支持防火墻的 NAT 功能。 ? 支持外部防火墻 NAT 功能。 ? 支持多種工作方式。 在目前公共 CA系統(tǒng)不完善的情況下可以采用本公司自主開發(fā)的 CA系統(tǒng)，在各 VPN之間提供身份認(rèn)證功能。各 VPN 之間采用基于 標(biāo)準(zhǔn)的數(shù)字證書進(jìn)行認(rèn)證，各 VPN 采用1024 位密鑰長度的身份認(rèn)證算法，完全杜絕假冒 VPN 的可能性。因此可以支持移動(dòng)用戶通過電話等撥號(hào)上網(wǎng)。 ? 支持拔號(hào)用戶。支持國際流行 的 HMACMD5， HMACSHA1 算法以及公司自主開發(fā)的高強(qiáng)度驗(yàn)證算法。提供長達(dá) 128 位的密鑰散列算法，抗攻擊強(qiáng)度高，嚴(yán)格防止用戶纂改數(shù)據(jù)，保證數(shù)據(jù)的完整性。除了支持國際流行的 DES 和 3DES 加密算法之外，還支持公司自行研制的高強(qiáng)度加密算法。提供長度高達(dá) 192 位加密算法，抗攻擊性強(qiáng)，破解難度高，充分保證數(shù)據(jù)的機(jī)密性。 符合當(dāng)前的國際潮流。 VRC 系統(tǒng)特點(diǎn) 高安全性 ? 支 持國際標(biāo)準(zhǔn)。應(yīng)用層通過核心層提供的配置接口實(shí)現(xiàn)對(duì)安全數(shù)據(jù)庫、安全算法庫和隧道、子網(wǎng)數(shù)據(jù)庫的維護(hù)，以及對(duì)通道的建立和刪除。 VRC 的兩種工作方式如下圖所示： 圖 221 端到端方式 圖 222 端到網(wǎng)關(guān)方式 圖 223 嵌套方式 VRC 中 IPsec 體系的實(shí)現(xiàn) 通過對(duì) VPN 系統(tǒng)和 IPSec 規(guī)范的分析， VRC實(shí)現(xiàn)了一種基于 IPSec 規(guī)范的 VPN系統(tǒng)，它構(gòu)造在 Windows 操作系統(tǒng)之上。端到端方式主要適用在單個(gè)端用戶之間建立安全的傳輸通道，以保證傳輸數(shù)據(jù)的機(jī)密性和完整性。 CTVRC（ Customer define TunnelVRC）即自定義隧道 VRC ETVRC（ Express Tunnel VRC）即快捷隧道 VRC ? VRC 軟硬件要求 名 稱 硬 件 配 置 操作系統(tǒng) 最低 標(biāo)準(zhǔn) VRC CPU PII 內(nèi)存 64M CPU PIII800 內(nèi)存 128M Windows2020 系列 WindowsXP Windows98 表 221 ? VRC 的工作方式 VRC 是工作在 Windows 客戶端的 VPN,它的實(shí)現(xiàn)也是基于 IPSec，所以能對(duì) IP 及上層協(xié)議提供可靠、靈活的安全保證。 ? 與端用戶互連（可選功能） 網(wǎng)絡(luò)密碼機(jī)作為網(wǎng)關(guān)式 VPN 與端用戶 VPN 互連，可在整個(gè)網(wǎng)絡(luò)上建立一個(gè)安全的通訊環(huán)境，不僅保證了網(wǎng)關(guān)與網(wǎng)關(guān)之間的通信數(shù)據(jù)經(jīng)過加密處理，并可對(duì)敏感的端用戶與網(wǎng)關(guān)之間的傳輸數(shù)據(jù)進(jìn)行加密，從而保證了數(shù)據(jù)在網(wǎng)絡(luò)中的安全性。切換過程不需要人為操作，也不需要除兩個(gè)網(wǎng)絡(luò)密碼機(jī)以外的其它系統(tǒng)的參與?？傊?，帶寬管理可以為用戶不同的通信提供充分的服務(wù)質(zhì)量 QoS(Quality of Security)保證。當(dāng)接口上的某一規(guī)則的預(yù)留帶寬沒有用完時(shí)，其它規(guī)則可以共享使用剩余帶寬。 ? 帶寬管理（可選功能） TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 21 網(wǎng)絡(luò)衛(wèi)士 VPN 能夠針對(duì)具體的規(guī)則（包括源地址、目的地址 、協(xié)議及端口范圍）對(duì)網(wǎng)絡(luò)帶寬進(jìn)行分配，能夠提供對(duì)帶寬分配的可擴(kuò)展性，能夠?qū)Ξ?dāng)前帶寬管理進(jìn)行監(jiān)視，提供所有可查詢的數(shù)據(jù)。為了避免這種情況的發(fā)生， 網(wǎng)絡(luò) 密碼機(jī)的管理平臺(tái)中“參數(shù)設(shè)置”項(xiàng)提供了一個(gè)“支持網(wǎng)關(guān) NAT”的選項(xiàng)，從而可以使 IPSec 報(bào)文順利的通過防火墻 NAT 的處理。并且可以通過將隧道報(bào)文設(shè)置為禁止?fàn)顟B(tài)，來防止本應(yīng)該通過隧道傳輸?shù)膱?bào)文卻沒有通過隧道而被接收進(jìn)來的情況。并且管理的命令全部經(jīng)過數(shù)據(jù)加密，因此保證了遠(yuǎn)程管理的安全性。管理員可以像是直接連在串口終端上一樣，對(duì)遠(yuǎn)程的 VPN 設(shè)備進(jìn)行管理。 管理信息庫 MIB，就是所有代理進(jìn)程包含的、并且能夠被管理進(jìn)程進(jìn)行查詢和設(shè)置的 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 19 信息的集合。 SJW11 網(wǎng)絡(luò)密碼機(jī)支持 SNMPv1， SNMPv2 和 SNMPv3，其中 SNMPv3 支持 SNMP報(bào)文的認(rèn)證和加密。 網(wǎng)絡(luò)管理員在本地計(jì)算機(jī)上調(diào)用 SNMP 客戶機(jī)（運(yùn)行了 SNMP 管理程序的一臺(tái)計(jì)算機(jī)），利用客戶機(jī)與一個(gè)或多個(gè)運(yùn)行在遠(yuǎn)程機(jī)器（通常為 VPN 網(wǎng)關(guān)）上的 SNMP 服務(wù)器（運(yùn)行了 SNMP 代理程序的機(jī)器）取得聯(lián)系。 ? 支持 SNMP網(wǎng)絡(luò)管理協(xié)議 簡單網(wǎng)絡(luò)管理協(xié)議（ Simple Network Management Protocol）幫助網(wǎng)絡(luò)管理員找出并糾正 TCP/IP 互聯(lián)網(wǎng)中的故障。 另一種方式是通過天融信公司的 SCM 集中 管理軟件建立與多個(gè)需要管理的網(wǎng)絡(luò)密碼機(jī)之間的連接，實(shí)現(xiàn)對(duì)多個(gè)網(wǎng)絡(luò)密碼機(jī)的集中配置與操作。在建立隧道 雙方的網(wǎng)絡(luò)密碼機(jī)都是動(dòng)態(tài) IP 地址的情況下也必須通過集中管理器來建立隧道。一種方式是通過集中管理器中的管理軟件與網(wǎng)絡(luò)密碼機(jī)中的代理軟件通訊，實(shí)現(xiàn)對(duì)多個(gè)網(wǎng)絡(luò)密碼機(jī)的集中配置與操作。但對(duì)于隧道的停止或刪除仍須通過人工的方式進(jìn)行。 ? 支持隧道建立自動(dòng)化 網(wǎng)絡(luò)衛(wèi)士 VPN 能依據(jù)系統(tǒng)要求自動(dòng)建立隧道， 主要用于無專職管理人員的場合。收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。同時(shí)也方便了用戶的使用。因此如果是不同的設(shè)備，那么只要雙方都支持某一種算法，就可以建立起安全隧道。協(xié)商內(nèi)容包括加密所采用的算法、摘要認(rèn)證所采用的算法及各種密鑰等。缺省的密鑰更新周期是 12 小時(shí)。但是不允許兩者都不處理。 ? 支持用戶定制 VPN 網(wǎng)關(guān)在缺省情況下，對(duì)數(shù)據(jù) 流分別進(jìn)行加密處理和摘要認(rèn)證處理。一旦某個(gè)網(wǎng)段的安全被攻破，也不會(huì)波及其它的網(wǎng)段上。因此安全子網(wǎng)和普通子網(wǎng)的數(shù)據(jù)流會(huì)被分別處理，不會(huì)相互影響，從而大大提高了 VPN對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)性。這些子網(wǎng)既可以是需要保護(hù)的安全子網(wǎng)也可以是不需保護(hù)的普通子網(wǎng)。一臺(tái) VPN 網(wǎng)關(guān)與其它 VPN網(wǎng)關(guān) 最多可以建立 450 個(gè)隧道 。如果由于某種原因例如網(wǎng)絡(luò)故障或其它情況，管理員也可以關(guān)閉隧道，那么隧道就會(huì)停止運(yùn)作，網(wǎng)絡(luò)就會(huì)恢復(fù)到隧道建立之前的狀態(tài)。 ? 隧道管理 要想在兩個(gè)網(wǎng)絡(luò)衛(wèi)士 VPN網(wǎng)關(guān)之間建立安全隧道，管理員必須 對(duì)這 兩個(gè) VPN網(wǎng)關(guān)分別進(jìn)行 隧道 參數(shù) 設(shè)置，然后才能建立隧道。 既可以以網(wǎng)關(guān)方式也可以用透明方式接入網(wǎng)絡(luò)。 ? 支持的協(xié)議： TCP/IP、 UDP、 ICMP、 IPSEC ESP/AH、 IKE、 PUPP等。 ? 應(yīng)用代理支持的協(xié)議： FTP、 TELNET、 HTTP、 SMTP、 POP DNS等。 ? 密鑰長度：對(duì)稱： 128位，非對(duì)稱： 1024位。 ? 網(wǎng)絡(luò)通信明碼設(shè)計(jì)功能： （ 100M網(wǎng)絡(luò)環(huán)境中）。 VPN 系統(tǒng)性能指標(biāo) ? 系統(tǒng)平均無故障時(shí)間 MTBF：≥ 40000 小時(shí)。 高效 性 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 17 ? 采用硬件高速加密； ? 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì)，確保系統(tǒng)具有較高的網(wǎng)絡(luò)通訊速率。 高可靠性 ? 采用工業(yè)級(jí)組件，支持 7 24 小時(shí)不間斷運(yùn)行。 ? 完整的系統(tǒng)日志管理，支持標(biāo)準(zhǔn)的日志管理服務(wù)器。 ? 功能可選，為了方便用戶，根據(jù)不同用戶的需要系統(tǒng)的部分功能是可選的，增強(qiáng)了使用的靈活性。 高擴(kuò)展性 ? 模塊化設(shè)計(jì)。 ? 透明支持各種應(yīng)用服務(wù) 。 ? 多樣化的工作方式。 ? 靈活可變的工作模式。 高可用性 ? 明密結(jié)合的數(shù)據(jù)傳輸方式。 采用通過國家鑒定的硬件加密卡所提供的 128位對(duì)稱加密算法和 128位密鑰散列算法。 VPN 設(shè)備之間采用基于 ,支持 CA認(rèn)證 。 ? 支持 IPSec（ IP Security）協(xié)議 ，提供傳輸方式和隧道方式安 全 。 ? VPN 網(wǎng)關(guān)本身不提供應(yīng)用層服務(wù)，不存在任何安全隱患 。 ? 專用的操作系統(tǒng)、 標(biāo)準(zhǔn)的 協(xié)議及安全 的 軟件，并全面固化于硬件中，抗攻擊能力強(qiáng) 。系統(tǒng)目前支持 WIN9 WIN20 WIN2020AS 操作系統(tǒng)。該軟件與上層應(yīng)用無關(guān)，支持各種網(wǎng)絡(luò)協(xié)議，可以與用戶主機(jī)系統(tǒng)進(jìn)行無縫的透明連接。 ? Windows 遠(yuǎn)程 VPN 客戶 端軟件 （可選） ： 是一個(gè)安裝于 Windows 等機(jī)器上的網(wǎng)絡(luò)密碼機(jī)客戶端軟件。 ? 一次性口令管理員客戶端模塊（軟件）： 是一個(gè)安裝于 PC機(jī)、工作站或便攜機(jī)上的一次性口令管理員客戶端軟件，可運(yùn)行于 WIN9 WIN9 WIN20 WINDOWS NT環(huán)境下。如接口的 IP 地址、子網(wǎng)地址、管理 員帳號(hào)的設(shè)置。 ? 基于串口的管理配置模塊（軟件） ： 是一個(gè)安裝于網(wǎng)絡(luò)密碼機(jī)上的軟件。 它可以由內(nèi)部網(wǎng)上的管理終 端通過一次性口令的安全認(rèn)證方式后，使用瀏覽器建立與網(wǎng)絡(luò)密碼機(jī)之間的安全連接，通過瀏覽器管理員可根據(jù)安全保護(hù)策略來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)密碼機(jī)隧道的配置、管理與審計(jì)等功能。 它是專用軟、硬件設(shè)備，可具有多個(gè)網(wǎng)絡(luò)接口，可安裝于內(nèi)聯(lián)網(wǎng)內(nèi)各局域網(wǎng)出口處或安裝于內(nèi)聯(lián)網(wǎng)與公共網(wǎng)絡(luò)接口處。從而保證交換的密鑰信息可以安全的使用，例如衍生