深信服IPSecVPNV4.3技术白皮书

IPSecIPSecVPNIPSecVPNV4.3\h\h第1 第2 SANGFORIPSecVPN产品简 SANGFORIPSecVPN硬件产 SANGFORIPSecVPN软件产 SANGFORSC集中安全管理平 第3 背景知识技术介 链路层VPN技 会话/应用层VPN技 网络层VPN技 第4 SANGFORIPSecVPN主要优 安全的VPN体 稳定可靠的VPN系 高速的VPN系 高品质保证的VPN系 方便灵活的VPN系 软硬件一体化的VPN系 第5 SANGFORSC集中安全管理平台主要技术特 全面集中管 设备状态实时监 智能升级功 完善安全功 独立报表中 IPSecVPNIPSecVPNV4.3第1 序Internet资源来展开商务活动。VPN的诞生和高速的发展。传统专用线路（DDN）的高昂成而在Internet发展的早期，窄带线路的通信质量、带宽、以及资费，都无法满足企业长期利用其来构建自身远程私有网络的需要。如今，各种宽带上网方式（ADSL、城域网等）都的研发。目前已经拥有：IPSecVPN、SSLVPN、IPSec/SSL一体化、SC集中安全管理平台以及集VPN、防火墙、内容过滤、访问控制、网关杀毒、垃圾邮件过滤等多功能于一身的UTMIPSecVPN，深信服科技推出有：SANGFORIPSecVPN软件产品、SANGFORIPSecVPNSCSANGFORIPSec千兆设备、M5100S5100。IT运营成本。VPN网络内可能存在多个点有较多安全漏洞，但却无法发现。VPN设备的参数。深信服科技作为领先的研发厂商，提供了以上问题的一体化解决方案-SANGFORSC集不同防火墙和VPN策略造成的安全漏洞。VPN产品。第2 SANGFORIPSecVPN产品简SANGFORIPSecVPNSANGFORVPNSANGFORM5100，获2004～2005年“计算机世界”的年度产品奖和“中国计算机报”的编辑选择奖。是一款VPN/防火墙网关，用于中型企业总部网络或大型企业的区域总部网络。该DMZ，VPN4个百兆网络接口（1LAN,2WAN,1DMZVPN，Internet线路带宽叠加及备份。SANGFORM5100VPN功能，支持各Internet接入方式（ADSL、LAN宽带、XDSL等等WebAgentIP寻址机制，双寻址方式保证了寻址的稳定性。SANGFORM5100IPSec协议，VPNLZO高速流压缩SANGFORM5100Radius服务、并采用了HARDCA硬件证书的形式进行身份认证，确保接入用户的合法有效。另外，SANGFORM5100还针对内网用户可以设定细致的访问权限、避免了病毒类文件的随意传播和越权访问带来的安全隐患。并且，M5100本身也是一台高性能的防火墙设备，能有效抵御外网的SANGFORSANGFORM5400VPN/防火墙网关，4个千兆接口（2个WAN口，1LAN口，1DMZ口）2个百兆接口（WAN口。各网口均可自定对于大型企业或重要网络来说，带宽和稳定性的要求更高。SANGFORM540042S5100SANGFORDLANVPN软件互连互通，按需组网。SANGFORSANGFORS5100VPN/防火墙的硬件网关，采用了最先进的嵌入式一体化硬件平台、RISCNP处理器，保证了高可靠性和突出的性能。S5100支持DMZ的安全网关（VPN/防火墙/共享上网）功能。S5100VPNADSL等宽带网络接入环境。1U尺寸，一体化的嵌入式硬件平台和低功耗的设计，非常适用于小型SANGFORIPSecVPNSANGFORDLANSANGFORDLANVPNVPN软件系统，从产品功能上分为标准版、安全版（DWALL软件防火墙）和专业版（支持多线路绑定、带宽叠加）三种类型。每一类（MDLANVPNSANGFORDLANVPNSANGFOR硬件各系列产品无缝连M5100、M5400、S5100等硬件产品互连互通。SANGFORSCSANGFORSC进行部署和升级，保障整网的安全和可持续发展？SANGFORVPN集中安全管理中心（SecureCenter）能够很好的解决这些问题。SANGFORSC集中管理平台可为您带来以下好处：启用集中配置策略下发，SC内置的任务计划功能可以避免众多受控端同时连接到IT管理人员的工作量。SC内建的网点帐户相关联。ITSC启用SCVPN设备线路流量、流通状态、帐户流量、帐户安全、VPN网络的安全性及管理性，因此而提高了整个企业VPNSC产品族的不同设备组合可以支持管理无限个站点。2.1SANGFORSC第3 VPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的IS（InternetNS（NetworkServiceprovider网络服务提供商，在公用网络中建立专用的数据通信网络的技术。在虚拟IETFIPVPNInternet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符FrameRelayATMVPNInternet上临时建立的安全专用虚拟网络，用户节省了租用专线的费VPN价格低VPNOSIVPNPPTPIPSecVPNOSIVPNPPTPIPSecSANGFOR3.1VPNOSI链路层VPNVPN业务，1996IETF草案。PPTPPPP协议的一种扩展，提IPVPNPPTP的ISP访问企业的专用网络。PPTPPPTPPPTP服务器之间的保密通信。PPTP客户机是指运行该协PC机，PPTPPPTP，客户可以采用拨号方式PPTPPPTP隧道。PPTP／IP、IPXNetBEUIIPPPP拨号连接，可PPTP服务器建立虚拟通路。PPTPMicrosoft公司的支持，另外一个优势是它支持流量控制，可保证PPTP把PCPPTP，这样做既会增加用户L2F/L2TPL2F（Layer2Forwarding）Cisco公司提出的，可以在多种介质（ATM、FR、IP）VPN的通信方式。它将链路层的协议（HDLC、PPP、ASYNCIETFRFC2341。L2FIP网络。首先，按ISP的接入服务器（NASPPP连接；NAS根据用户名等信息发起L2FPPPWANL2F服务器。L2F服务器将包去封PPTP所不同的是，L2F没有定义客户。L2F的主要缺陷是没有把标准加密方法包括在内，因此它基本上已经成为一个过时的会话/VPN安全套接字层（SecureSocketLayer,SSL）WebSSL3API。服务器上，而不需要在通信通路的中间节点（如路由器或防火墙）上实现。SSLTCP/IPSSL443SOCKS1080端口，然后由防火墙建立到目的主机的单独会话，这种情况下客户程序对目的主机是网络层VPNIPSecIETFIP层的加IP数据包格式中，不同的加密算法IPSec定义的体系结构在网络数据传输过程中实施。IPSec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种是传输(transport)模式。在隧道模式下，IPSecIP包中。传输模式IPSecNAT,防火墙。SANGFORSLSANGFORSLSANGFORIPSecVPNIPIPSec70%左SANGFORSL90%SANGFORSL提供基于挑战―响应模式的身份认证。同时也提供基于硬件证书第4 SANGFORIPSecVPN主要优安全的VPNSANGFORIPSecVPN产品遵循IPSecIPSec是目前最为安全VPNIPSec4.1所示：改进的AHESPVPNESPIPIPInternetIp头+TCPIPIPInternetIp头+TCPIPMD5算法。SANGFORIPSecVPNAES128的SANGFORVPN产品可以进一步通过添加加密算法或硬件卡的形式进行加密算法的扩InternetIP，隧道的NAT4.2：IPSecIPSecVPNV4.34.2SANGFORVPNNATCA产生（keyAkeyA对认证信息KeyB产生（keyAkeyA对认证信息KeyBIPSecVPNIPSecVPNV4.34.3SANGFORHARDCA（HARDIDUSBKeyUSBKeyVPNDkey(UUSB钥匙)PDLANPC上，Dkey，输入自己的私人密码后就可以完成接入，类似银行取款卡，简单而安全。USBKeyHARDCA这两项专利技术，使得VPNUSBKeyIPSecVPNSSLVPNVPN网络中还存在一些潜在的安全隐患，比如分支的用户可以接入总部访问所有资VPNVPNVPN网络中可能存在的种种安全陷阱。如果能够有VPN产品都没有一种简单的机制来保证VPN的内网安全，SANGFORIPSecVPNVPNVPN用户的具体权限，4.4SANGFORIPSecVPNVPN权限粒度保证高级权限用户只能访问服务器开放的服务端口，还可以限制病毒通过一些不安全的端口（如RPC）OA4.4SANGFORVPN稳定可靠的VPNISP提供了极大的方便。以下是该技术的简单描述：\h\hDESDESHTMLDESDESHTMLWebAgent为一普通的文件，只要求网站支持ASPPHP即可。用户完全可以将VPN为保证寻址的稳定性，SANGFORIPSecVPNWebAgent寻址机制，WebAgentWebAgent。VPNVPN系统的高可靠性，SANGFORIPSecVPN同时提供了两种备份方案。1：SANGFORIPSecVPNVPN4.6红色线路所示。4.6VPNVPN网络的稳定性和可靠性就无法通过多线路强大的功IPSecVPN使用价值。SANGFORIPSecVPN独家支持单臂模式下的多线路，通过与前置网关设备的配合，使VPN单臂部署就可实现在网关模式下多线路的全部功能，在单臂模式部署下仍能为用户提VPN网络。VPN网络的稳定性，SANGFORIPSecVPNVPN连接异常中断后立刻启动检测机制，当网络物理连接恢复正常后，VPN3秒钟内VPNVPN网络的高可用。然增长的业务负荷，那么系统就可能瘫痪。SANGFORIPSecVPN产品的设计容量大大超过VPN网络即使遇到业务突发高峰，也能稳定运行。高速的VPNIPSecVPNIPSec协议――SANGFORSL协议，IPSecIPSec协议还存在加密冗余数据增大，带宽利用率低等缺陷。SANGFORIPSecVPN改进了IPSecVPNSANGFORSL协议体现出来。SANGFORVPN在IPSecLZO流压缩ZIP10倍，很好的保证传输的实时性。在启动了该流压缩选项后，能极大的减少冗余数据流量，增大传输效率；平均而言，1MIPSec加密数据可以压缩到4.7所示。4.7SANGFORSLSANGFORIPSecVPNInternetVPN系统的稳定性。4.8SANGFORVPN互连使用时带宽小、延迟大的问题，深信服科技SANGFORIPSecVPN访问总部资源时，SANGFORVPN总部会对多条线路速度进行动态探测，从而自动检测出最优线路，使得使VPN分支都能以最快速度访问企业总部数据。4.9SANGFORVPN网络具有地域广、分支多等特点，不同节点根据其所在地域环境，往往选择不同VPN多线路功能是否成熟的重要标志。为此，SANGFORIPSecVPN创新性的提供了多线路选路策略细化到用户，通过该功能VPN分支访问总部应用服务的速度和稳定。VPNVPN传输VPN网络兼容，严重影响了用户的感受及体验效VPN网络上的传输问题，使用户获得VPNVPNIPIPVPNNAT技术，通过对传输的数据进行源地IPIP网端的分支都能同时接入总VPN网络。VPNQOSVPN使用效果。SANGFORIPSecVPNQOSVPN中。通过该项技术，用QOSVPN隧道内的带宽比例，QOS策略SANGFORIPSecVPN41024QOSSANGFORIPSecVPN（Internet数据）VPN数据和外网数据，以及QOS，可以通过路由功能将其他上网数据过滤到另外一条线路，4.9所示。互联数据 4.9SANGFORVPNVPN网络中，总部和分支的带宽处于不对称状态，即总部使用和一个分支同样QOS。4.10方便灵活的VPNIPVPN部署都需要改变网络结构，SANGFORIPSecVPN提供远程接入模块，可以当移动到世界各地，通过无线(WLAN,GPRS)Internet后，仍可以保留原来在局域内的IPIP的支持。SANGFORIPSecVPN软件版本最多可以同时接10241500用户。IP情况，因此能适应目前各种复杂网络。SANGFORIPSecVPN使用虚拟适配技术将网络适配层和VPN层逻辑分离，使得SANGFORVPNGPRS,CDMA1X,WLAN等最新的无线上网NGN接入方式。SANGFORIPSecVPN实现了用户随时随地移动办SANGFORIPSecVPNDKEYU盘SANGFORIPSecVPN集成完善的日志服务，提供信息日志，告警日志，错误日志和调SANGFORIPSecVPN采用多个加密的配置文件形式保存配置信息。系统提供了对所有SANGFORIPSecVPNVPN产品，安装方便，可以实现远程安装、远程部署。安SANGFORIPSecVPNM5100，用户可根据自身的需求SANGFORIPSec/SSL一体化网关：M5100-SUTM产品：M5100-ACVPN产品还可根据VPNVPN性能和功能要求都不一样。深信服科技提供按需而变VPN系统。使用软硬件分离的技术可以由用户根据自身特点及对性能的要求，自由选择VPN往往需要在不同地点部署，如果部署地点太远（比如外地甚至境外，部署VPN往往会大大增加人员的差旅和物流成本，采用软硬件混合搭配的方案是降低部署成本VPN网关。而在本地网络，客VPNVPN都能支持远程维护。SANGFORIPSecVPN系列产品中软硬件产品都可以互联互通，因此可以使用软件产品VPNVPN网关发生故障，VPN系统，对大多数客户而言成本又太高。SANGFORIPSecVPN为每个硬件网关提供了一第5章 SANGFORSC集中安全管理平台主要技术SANGFORSC集中安全管理平台（SANGFORSecureCenter）3.0版本以上的SA