深信服IPSecVPNV4.3技術(shù)白皮書

IPSecIPSecVPNIPSecVPNV4.3\h\h第1 第2 SANGFORIPSecVPN產(chǎn)品簡(jiǎn) SANGFORIPSecVPN硬件產(chǎn) SANGFORIPSecVPN軟件產(chǎn) SANGFORSC集中安全管理平 第3 背景知識(shí)技術(shù)介 鏈路層VPN技 會(huì)話/應(yīng)用層VPN技 網(wǎng)絡(luò)層VPN技 第4 SANGFORIPSecVPN主要優(yōu) 安全的VPN體 穩(wěn)定可靠的VPN系 高速的VPN系 高品質(zhì)保證的VPN系 方便靈活的VPN系 軟硬件一體化的VPN系 第5 SANGFORSC集中安全管理平臺(tái)主要技術(shù)特 全面集中管 設(shè)備狀態(tài)實(shí)時(shí)監(jiān) 智能升級(jí)功 完善安全功 獨(dú)立報(bào)表中 IPSecVPNIPSecVPNV4.3第1 序Internet資源來(lái)展開(kāi)商務(wù)活動(dòng)。VPN的誕生和高速的發(fā)展。傳統(tǒng)專用線路（DDN）的高昂成而在Internet發(fā)展的早期，窄帶線路的通信質(zhì)量、帶寬、以及資費(fèi)，都無(wú)法滿足企業(yè)長(zhǎng)期利用其來(lái)構(gòu)建自身遠(yuǎn)程私有網(wǎng)絡(luò)的需要。如今，各種寬帶上網(wǎng)方式（ADSL、城域網(wǎng)等）都的研發(fā)。目前已經(jīng)擁有：IPSecVPN、SSLVPN、IPSec/SSL一體化、SC集中安全管理平臺(tái)以及集VPN、防火墻、內(nèi)容過(guò)濾、訪問(wèn)控制、網(wǎng)關(guān)殺毒、垃圾郵件過(guò)濾等多功能于一身的UTMIPSecVPN，深信服科技推出有：SANGFORIPSecVPN軟件產(chǎn)品、SANGFORIPSecVPNSCSANGFORIPSec千兆設(shè)備、M5100S5100。IT運(yùn)營(yíng)成本。VPN網(wǎng)絡(luò)內(nèi)可能存在多個(gè)點(diǎn)有較多安全漏洞，但卻無(wú)法發(fā)現(xiàn)。VPN設(shè)備的參數(shù)。深信服科技作為領(lǐng)先的研發(fā)廠商，提供了以上問(wèn)題的一體化解決方案-SANGFORSC集不同防火墻和VPN策略造成的安全漏洞。VPN產(chǎn)品。第2 SANGFORIPSecVPN產(chǎn)品簡(jiǎn)SANGFORIPSecVPNSANGFORVPNSANGFORM5100，獲2004～2005年“計(jì)算機(jī)世界”的年度產(chǎn)品獎(jiǎng)和“中國(guó)計(jì)算機(jī)報(bào)”的編輯選擇獎(jiǎng)。是一款VPN/防火墻網(wǎng)關(guān)，用于中型企業(yè)總部網(wǎng)絡(luò)或大型企業(yè)的區(qū)域總部網(wǎng)絡(luò)。該DMZ，VPN4個(gè)百兆網(wǎng)絡(luò)接口（1LAN,2WAN,1DMZVPN，Internet線路帶寬疊加及備份。SANGFORM5100VPN功能，支持各Internet接入方式（ADSL、LAN寬帶、XDSL等等WebAgentIP尋址機(jī)制，雙尋址方式保證了尋址的穩(wěn)定性。SANGFORM5100IPSec協(xié)議，VPNLZO高速流壓縮SANGFORM5100Radius服務(wù)、并采用了HARDCA硬件證書的形式進(jìn)行身份認(rèn)證，確保接入用戶的合法有效。另外，SANGFORM5100還針對(duì)內(nèi)網(wǎng)用戶可以設(shè)定細(xì)致的訪問(wèn)權(quán)限、避免了病毒類文件的隨意傳播和越權(quán)訪問(wèn)帶來(lái)的安全隱患。并且，M5100本身也是一臺(tái)高性能的防火墻設(shè)備，能有效抵御外網(wǎng)的SANGFORSANGFORM5400VPN/防火墻網(wǎng)關(guān)，4個(gè)千兆接口（2個(gè)WAN口，1LAN口，1DMZ口）2個(gè)百兆接口（WAN口。各網(wǎng)口均可自定對(duì)于大型企業(yè)或重要網(wǎng)絡(luò)來(lái)說(shuō)，帶寬和穩(wěn)定性的要求更高。SANGFORM540042S5100SANGFORDLANVPN軟件互連互通，按需組網(wǎng)。SANGFORSANGFORS5100VPN/防火墻的硬件網(wǎng)關(guān)，采用了最先進(jìn)的嵌入式一體化硬件平臺(tái)、RISCNP處理器，保證了高可靠性和突出的性能。S5100支持DMZ的安全網(wǎng)關(guān)（VPN/防火墻/共享上網(wǎng)）功能。S5100VPNADSL等寬帶網(wǎng)絡(luò)接入環(huán)境。1U尺寸，一體化的嵌入式硬件平臺(tái)和低功耗的設(shè)計(jì)，非常適用于小型SANGFORIPSecVPNSANGFORDLANSANGFORDLANVPNVPN軟件系統(tǒng)，從產(chǎn)品功能上分為標(biāo)準(zhǔn)版、安全版（DWALL軟件防火墻）和專業(yè)版（支持多線路綁定、帶寬疊加）三種類型。每一類（MDLANVPNSANGFORDLANVPNSANGFOR硬件各系列產(chǎn)品無(wú)縫連M5100、M5400、S5100等硬件產(chǎn)品互連互通。SANGFORSCSANGFORSC進(jìn)行部署和升級(jí)，保障整網(wǎng)的安全和可持續(xù)發(fā)展？SANGFORVPN集中安全管理中心（SecureCenter）能夠很好的解決這些問(wèn)題。SANGFORSC集中管理平臺(tái)可為您帶來(lái)以下好處：?jiǎn)⒂眉信渲貌呗韵掳l(fā)，SC內(nèi)置的任務(wù)計(jì)劃功能可以避免眾多受控端同時(shí)連接到IT管理人員的工作量。SC內(nèi)建的網(wǎng)點(diǎn)帳戶相關(guān)聯(lián)。ITSC啟用SCVPN設(shè)備線路流量、流通狀態(tài)、帳戶流量、帳戶安全、VPN網(wǎng)絡(luò)的安全性及管理性，因此而提高了整個(gè)企業(yè)VPNSC產(chǎn)品族的不同設(shè)備組合可以支持管理無(wú)限個(gè)站點(diǎn)。2.1SANGFORSC第3 VPN是虛擬專用網(wǎng)的簡(jiǎn)稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的IS（InternetNS（NetworkServiceprovider網(wǎng)絡(luò)服務(wù)提供商，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬IETFIPVPNInternet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符FrameRelayATMVPNInternet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶節(jié)省了租用專線的費(fèi)VPN價(jià)格低VPNOSIVPNPPTPIPSecVPNOSIVPNPPTPIPSecSANGFOR3.1VPNOSI鏈路層VPNVPN業(yè)務(wù)，1996IETF草案。PPTPPPP協(xié)議的一種擴(kuò)展，提IPVPNPPTP的ISP訪問(wèn)企業(yè)的專用網(wǎng)絡(luò)。PPTPPPTPPPTP服務(wù)器之間的保密通信。PPTP客戶機(jī)是指運(yùn)行該協(xié)PC機(jī)，PPTPPPTP，客戶可以采用撥號(hào)方式PPTPPPTP隧道。PPTP／IP、IPXNetBEUIIPPPP撥號(hào)連接，可PPTP服務(wù)器建立虛擬通路。PPTPMicrosoft公司的支持，另外一個(gè)優(yōu)勢(shì)是它支持流量控制，可保證PPTP把PCPPTP，這樣做既會(huì)增加用戶L2F/L2TPL2F（Layer2Forwarding）Cisco公司提出的，可以在多種介質(zhì)（ATM、FR、IP）VPN的通信方式。它將鏈路層的協(xié)議（HDLC、PPP、ASYNCIETFRFC2341。L2FIP網(wǎng)絡(luò)。首先，按ISP的接入服務(wù)器（NASPPP連接；NAS根據(jù)用戶名等信息發(fā)起L2FPPPWANL2F服務(wù)器。L2F服務(wù)器將包去封PPTP所不同的是，L2F沒(méi)有定義客戶。L2F的主要缺陷是沒(méi)有把標(biāo)準(zhǔn)加密方法包括在內(nèi)，因此它基本上已經(jīng)成為一個(gè)過(guò)時(shí)的會(huì)話/VPN安全套接字層（SecureSocketLayer,SSL）WebSSL3API。服務(wù)器上，而不需要在通信通路的中間節(jié)點(diǎn)（如路由器或防火墻）上實(shí)現(xiàn)。SSLTCP/IPSSL443SOCKS1080端口，然后由防火墻建立到目的主機(jī)的單獨(dú)會(huì)話，這種情況下客戶程序?qū)δ康闹鳈C(jī)是網(wǎng)絡(luò)層VPNIPSecIETFIP層的加IP數(shù)據(jù)包格式中，不同的加密算法IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中實(shí)施。IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道（tunnel）模式，一種是傳輸(transport)模式。在隧道模式下，IPSecIP包中。傳輸模式IPSecNAT,防火墻。SANGFORSLSANGFORSLSANGFORIPSecVPNIPIPSec70%左SANGFORSL90%SANGFORSL提供基于挑戰(zhàn)―響應(yīng)模式的身份認(rèn)證。同時(shí)也提供基于硬件證書第4 SANGFORIPSecVPN主要優(yōu)安全的VPNSANGFORIPSecVPN產(chǎn)品遵循IPSecIPSec是目前最為安全VPNIPSec4.1所示：改進(jìn)的AHESPVPNESPIPIPInternetIp頭+TCPIPIPInternetIp頭+TCPIPMD5算法。SANGFORIPSecVPNAES128的SANGFORVPN產(chǎn)品可以進(jìn)一步通過(guò)添加加密算法或硬件卡的形式進(jìn)行加密算法的擴(kuò)InternetIP，隧道的NAT4.2：IPSecIPSecVPNV4.34.2SANGFORVPNNATCA產(chǎn)生（keyAkeyA對(duì)認(rèn)證信息KeyB產(chǎn)生（keyAkeyA對(duì)認(rèn)證信息KeyBIPSecVPNIPSecVPNV4.34.3SANGFORHARDCA（HARDIDUSBKeyUSBKeyVPNDkey(UUSB鑰匙)PDLANPC上，Dkey，輸入自己的私人密碼后就可以完成接入，類似銀行取款卡，簡(jiǎn)單而安全。USBKeyHARDCA這兩項(xiàng)專利技術(shù)，使得VPNUSBKeyIPSecVPNSSLVPNVPN網(wǎng)絡(luò)中還存在一些潛在的安全隱患，比如分支的用戶可以接入總部訪問(wèn)所有資VPNVPNVPN網(wǎng)絡(luò)中可能存在的種種安全陷阱。如果能夠有VPN產(chǎn)品都沒(méi)有一種簡(jiǎn)單的機(jī)制來(lái)保證VPN的內(nèi)網(wǎng)安全，SANGFORIPSecVPNVPNVPN用戶的具體權(quán)限，4.4SANGFORIPSecVPNVPN權(quán)限粒度保證高級(jí)權(quán)限用戶只能訪問(wèn)服務(wù)器開(kāi)放的服務(wù)端口，還可以限制病毒通過(guò)一些不安全的端口（如RPC）OA4.4SANGFORVPN穩(wěn)定可靠的VPNISP提供了極大的方便。以下是該技術(shù)的簡(jiǎn)單描述：\h\hDESDESHTMLDESDESHTMLWebAgent為一普通的文件，只要求網(wǎng)站支持ASPPHP即可。用戶完全可以將VPN為保證尋址的穩(wěn)定性，SANGFORIPSecVPNWebAgent尋址機(jī)制，WebAgentWebAgent。VPNVPN系統(tǒng)的高可靠性，SANGFORIPSecVPN同時(shí)提供了兩種備份方案。1：SANGFORIPSecVPNVPN4.6紅色線路所示。4.6VPNVPN網(wǎng)絡(luò)的穩(wěn)定性和可靠性就無(wú)法通過(guò)多線路強(qiáng)大的功IPSecVPN使用價(jià)值。SANGFORIPSecVPN獨(dú)家支持單臂模式下的多線路，通過(guò)與前置網(wǎng)關(guān)設(shè)備的配合，使VPN單臂部署就可實(shí)現(xiàn)在網(wǎng)關(guān)模式下多線路的全部功能，在單臂模式部署下仍能為用戶提VPN網(wǎng)絡(luò)。VPN網(wǎng)絡(luò)的穩(wěn)定性，SANGFORIPSecVPNVPN連接異常中斷后立刻啟動(dòng)檢測(cè)機(jī)制，當(dāng)網(wǎng)絡(luò)物理連接恢復(fù)正常后，VPN3秒鐘內(nèi)VPNVPN網(wǎng)絡(luò)的高可用。然增長(zhǎng)的業(yè)務(wù)負(fù)荷，那么系統(tǒng)就可能癱瘓。SANGFORIPSecVPN產(chǎn)品的設(shè)計(jì)容量大大超過(guò)VPN網(wǎng)絡(luò)即使遇到業(yè)務(wù)突發(fā)高峰，也能穩(wěn)定運(yùn)行。高速的VPNIPSecVPNIPSec協(xié)議――SANGFORSL協(xié)議，IPSecIPSec協(xié)議還存在加密冗余數(shù)據(jù)增大，帶寬利用率低等缺陷。SANGFORIPSecVPN改進(jìn)了IPSecVPNSANGFORSL協(xié)議體現(xiàn)出來(lái)。SANGFORVPN在IPSecLZO流壓縮ZIP10倍，很好的保證傳輸?shù)膶?shí)時(shí)性。在啟動(dòng)了該流壓縮選項(xiàng)后，能極大的減少冗余數(shù)據(jù)流量，增大傳輸效率；平均而言，1MIPSec加密數(shù)據(jù)可以壓縮到4.7所示。4.7SANGFORSLSANGFORIPSecVPNInternetVPN系統(tǒng)的穩(wěn)定性。4.8SANGFORVPN互連使用時(shí)帶寬小、延遲大的問(wèn)題，深信服科技SANGFORIPSecVPN訪問(wèn)總部資源時(shí)，SANGFORVPN總部會(huì)對(duì)多條線路速度進(jìn)行動(dòng)態(tài)探測(cè)，從而自動(dòng)檢測(cè)出最優(yōu)線路，使得使VPN分支都能以最快速度訪問(wèn)企業(yè)總部數(shù)據(jù)。4.9SANGFORVPN網(wǎng)絡(luò)具有地域廣、分支多等特點(diǎn)，不同節(jié)點(diǎn)根據(jù)其所在地域環(huán)境，往往選擇不同VPN多線路功能是否成熟的重要標(biāo)志。為此，SANGFORIPSecVPN創(chuàng)新性的提供了多線路選路策略細(xì)化到用戶，通過(guò)該功能VPN分支訪問(wèn)總部應(yīng)用服務(wù)的速度和穩(wěn)定。VPNVPN傳輸VPN網(wǎng)絡(luò)兼容，嚴(yán)重影響了用戶的感受及體驗(yàn)效VPN網(wǎng)絡(luò)上的傳輸問(wèn)題，使用戶獲得VPNVPNIPIPVPNNAT技術(shù)，通過(guò)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行源地IPIP網(wǎng)端的分支都能同時(shí)接入總VPN網(wǎng)絡(luò)。VPNQOSVPN使用效果。SANGFORIPSecVPNQOSVPN中。通過(guò)該項(xiàng)技術(shù)，用QOSVPN隧道內(nèi)的帶寬比例，QOS策略SANGFORIPSecVPN41024QOSSANGFORIPSecVPN（Internet數(shù)據(jù)）VPN數(shù)據(jù)和外網(wǎng)數(shù)據(jù)，以及QOS，可以通過(guò)路由功能將其他上網(wǎng)數(shù)據(jù)過(guò)濾到另外一條線路，4.9所示。互聯(lián)數(shù)據(jù) 4.9SANGFORVPNVPN網(wǎng)絡(luò)中，總部和分支的帶寬處于不對(duì)稱狀態(tài)，即總部使用和一個(gè)分支同樣QOS。4.10方便靈活的VPNIPVPN部署都需要改變網(wǎng)絡(luò)結(jié)構(gòu)，SANGFORIPSecVPN提供遠(yuǎn)程接入模塊，可以當(dāng)移動(dòng)到世界各地，通過(guò)無(wú)線(WLAN,GPRS)Internet后，仍可以保留原來(lái)在局域內(nèi)的IPIP的支持。SANGFORIPSecVPN軟件版本最多可以同時(shí)接10241500用戶。IP情況，因此能適應(yīng)目前各種復(fù)雜網(wǎng)絡(luò)。SANGFORIPSecVPN使用虛擬適配技術(shù)將網(wǎng)絡(luò)適配層和VPN層邏輯分離，使得SANGFORVPNGPRS,CDMA1X,WLAN等最新的無(wú)線上網(wǎng)NGN接入方式。SANGFORIPSecVPN實(shí)現(xiàn)了用戶隨時(shí)隨地移動(dòng)辦SANGFORIPSecVPNDKEYU盤SANGFORIPSecVPN集成完善的日志服務(wù)，提供信息日志，告警日志，錯(cuò)誤日志和調(diào)SANGFORIPSecVPN采用多個(gè)加密的配置文件形式保存配置信息。系統(tǒng)提供了對(duì)所有SANGFORIPSecVPNVPN產(chǎn)品，安裝方便，可以實(shí)現(xiàn)遠(yuǎn)程安裝、遠(yuǎn)程部署。安SANGFORIPSecVPNM5100，用戶可根據(jù)自身的需求SANGFORIPSec/SSL一體化網(wǎng)關(guān)：M5100-SUTM產(chǎn)品：M5100-ACVPN產(chǎn)品還可根據(jù)VPNVPN性能和功能要求都不一樣。深信服科技提供按需而變VPN系統(tǒng)。使用軟硬件分離的技術(shù)可以由用戶根據(jù)自身特點(diǎn)及對(duì)性能的要求，自由選擇VPN往往需要在不同地點(diǎn)部署，如果部署地點(diǎn)太遠(yuǎn)（比如外地甚至境外，部署VPN往往會(huì)大大增加人員的差旅和物流成本，采用軟硬件混合搭配的方案是降低部署成本VPN網(wǎng)關(guān)。而在本地網(wǎng)絡(luò)，客VPNVPN都能支持遠(yuǎn)程維護(hù)。SANGFORIPSecVPN系列產(chǎn)品中軟硬件產(chǎn)品都可以互聯(lián)互通，因此可以使用軟件產(chǎn)品VPNVPN網(wǎng)關(guān)發(fā)生故障，VPN系統(tǒng)，對(duì)大多數(shù)客戶而言成本又太高。SANGFORIPSecVPN為每個(gè)硬件網(wǎng)關(guān)提供了一第5章 SANGFORSC集中安全管理平臺(tái)主要技術(shù)SANGFORSC集中安全管理平臺(tái)（SANGFORSecureCenter）3.0版本以上的SA