VPN技術(shù)是指在公共的網(wǎng)絡(luò)平臺上傳輸用戶私有的數(shù)據(jù),實現(xiàn)方式是在公網(wǎng)
如Internet上搭建隧道,從而使得在不安全的互聯(lián)網(wǎng)上傳輸私有數(shù)據(jù)得到保證。這種技
術(shù)的效果類似于傳統(tǒng)的租用專線聯(lián)網(wǎng)方式,但其費用遠(yuǎn)比采用專線方式聯(lián)網(wǎng)要便宜。
目前與企業(yè)相關(guān)的VPN隧道協(xié)議分三種:點到點隧道協(xié)議PPTP,第二層隧道
協(xié)議L2TP,網(wǎng)絡(luò)層隧道協(xié)議IPSec。而VPN在企業(yè)中的組網(wǎng)方式分四種:遠(yuǎn)程訪問(客戶
端到網(wǎng)關(guān)),分支機(jī)構(gòu)互連(網(wǎng)關(guān)到網(wǎng)關(guān)),Extranet VPN(網(wǎng)關(guān)到網(wǎng)關(guān),用于合作伙
伴/客戶等),Intranet VPN。在各種組網(wǎng)方式下要仔細(xì)選用不同的隧道協(xié)議。
支持VPN的產(chǎn)品種類很多,包括路由器,主機(jī)網(wǎng)關(guān),撥號接入設(shè)備,隧道加
密機(jī),隧道交換機(jī)等等。但利用防火墻支持VPN越來越流行,因為它既能提供VPN實現(xiàn)網(wǎng)
絡(luò)互連,又能保護(hù)企業(yè)內(nèi)部的資源免受外部網(wǎng)絡(luò)的攻擊。因此,帶VPN功能的防火墻可
以提供更全面的安全解決方案。
3Com公司防火墻VPN產(chǎn)品
目前,3Com公司的防火墻產(chǎn)品包括兩種型號:
* SuperStack 3防火墻
* OfficeConnect DMZ防火墻
SuperStack 3防火墻主要用于企業(yè)中心以及大型分支辦公室,
OfficeConnect DMZ防火墻只要用于小型分支辦公室。
這兩種VPN防火墻都采用實時操作系統(tǒng),并經(jīng)過修剪,專門用于網(wǎng)絡(luò)安全功
能,徹底避免了傳統(tǒng)軟件防火墻由于依賴UNIX和Windows NT操作系統(tǒng)而帶來的潛在漏
洞。同時,采用高性能安全防火墻引擎,提供狀態(tài)包檢測保護(hù),屬于專用硬件防火墻,
能夠為大中小企業(yè)提供高性能價格比的解決方案。
為了提供高性能,高安全性的VPN,3Com公司防火墻采用專用硬件加速引
擎,并采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)層IPsec 協(xié)議。下面介紹IPsec VPN與其它兩種VPN協(xié)議的比較。
點到點隧道協(xié)議-PPTP
PPTP協(xié)議在一個已存在的IP連接上封裝PPP會話,只要網(wǎng)絡(luò)層是連通的,就
可以運行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴(yán)格
的狀態(tài)查詢以及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中
.GRE是通用路由封裝協(xié)議,用于在標(biāo)準(zhǔn)IP包中封裝任何形式的數(shù)據(jù)包,因此PPTP可以支
持所有的協(xié)議,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身沒有定義加密機(jī)
制,但它繼承了PPP的認(rèn)證和加密機(jī)制,包括認(rèn)證機(jī)制PAP/CHAP/MS-CHAP以及加密機(jī)制
MPPE。
第二層隧道協(xié)議-L2TP
L2TP是一個國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議
的優(yōu)點。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一,并運行在UDP
上,而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機(jī)制,因此L2TP速度很快。與
PPTP類似,L2TP也可支持多種協(xié)議。L2TP協(xié)議本身并沒有提供任何加密功能。
IPsec協(xié)議
IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議,用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù),它可以定
義哪些數(shù)據(jù)流需要保護(hù),怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工
作在網(wǎng)絡(luò)層,因此可以用于兩臺主機(jī)之間,網(wǎng)絡(luò)安全網(wǎng)關(guān)之間(如防火墻,路由器),
或主機(jī)與網(wǎng)關(guān)之間。
IPsec協(xié)議分兩種:ESP和AH,這兩種協(xié)議都可以提供網(wǎng)絡(luò)安全,如數(shù)據(jù)源認(rèn)
證(確保接收到的數(shù)據(jù)是來自發(fā)送方),數(shù)據(jù)完整性(確保數(shù)據(jù)沒有被更改)以及防中
繼保護(hù)(確保數(shù)據(jù)到達(dá)次序的完整性)。除此之外,ESP協(xié)議還支持?jǐn)?shù)據(jù)的保密性,能
夠確保其它人無法讀取傳送的數(shù)據(jù),這實際上是采用加密算法來實現(xiàn)的。
IPsec的安全服務(wù)要求支持共享鑰匙完成認(rèn)證和/或保密。在IPsec協(xié)議中引
入了一個鑰匙管理協(xié)議,稱Internet鑰匙交換協(xié)議-IKE,該協(xié)議可以動態(tài)認(rèn)證IPsec對
等體,協(xié)商安全服務(wù),并自動生成共享鑰匙。
IPsec協(xié)議(AH或ESP)保護(hù)整個IP包或IP包中的上層協(xié)議。IPsec有兩種工
作方式:傳輸方式保護(hù)上層協(xié)議如TCP;隧道方式保護(hù)整個IP包。在傳輸方式下,IPsec
包頭加在IP包頭和上層協(xié)議包頭之間;而在隧道方式下,整個IP包都封裝在一個新的IP
包中,并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可
以工作在傳輸方式下或隧道方式下。
L2TP與IPsec傳輸方式的集成
鑒于IPsec缺少用戶認(rèn)證,只支持IP協(xié)議,目前有一種趨勢將L2TP和IPsec結(jié)
合起來使用,采用L2TP作為隧道協(xié)議,而用IPsec協(xié)議保護(hù)數(shù)據(jù)。
PPTP和L2TP都支持多協(xié)議,但要記住L2TP協(xié)議缺少數(shù)據(jù)保密性的保護(hù)。PPTP
和L2TP都不具有機(jī)器認(rèn)證的能力,而必須依賴于用戶認(rèn)證。
在所有的VPN協(xié)議中,IPsec提供最好的安全性,但I(xiàn)Psec無法提供用戶認(rèn)
證,也不支持多協(xié)議。許多廠家都采用的附加的特性來支持用戶認(rèn)證,比如支持Radius
協(xié)議。IPsec協(xié)議十分靈活,可以滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接。
3Com防火墻VPN解決方案
通過前面幾種VPN協(xié)議的分析比較,可以看出3Com公司防火墻VPN采用IPsec
協(xié)議的優(yōu)勢。同時基于防火墻的VPN還可以充分利用防火墻安全機(jī)制的優(yōu)勢。3Com防火
墻采用專用硬件加密處理器來加密和解密VPN數(shù)據(jù)流,而主核心處理器只負(fù)責(zé)狀態(tài)包檢
測功能。因此3Com公司防火墻的VPN性能極高,比如SuperStack 3防火墻可以提供
45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。
3Com防火墻采用IPsec隧道方式提供網(wǎng)關(guān)到網(wǎng)關(guān)以及客戶端到網(wǎng)關(guān)的VPN連
接,用于分支機(jī)構(gòu),遠(yuǎn)程工作人員,客戶以及合作伙伴對企業(yè)網(wǎng)絡(luò)的訪問。拓?fù)浣Y(jié)構(gòu)見
附圖。
對于網(wǎng)關(guān)到網(wǎng)關(guān)VPN,SuperStack 3防火墻支持1000個并發(fā)VPN隧道,支持手
工密鑰方式以及IKE動態(tài)密鑰方式;對于客戶端到網(wǎng)關(guān)VPN,SuperStack 3防火墻支持
64000個并發(fā)VPN客戶端;3Com防火墻支持14種認(rèn)證/加密算法.
由于IPsec協(xié)議不支持用戶認(rèn)證,因此在遠(yuǎn)程用戶訪問VPN環(huán)境下,3Com公司
防火墻VPN支持Radius協(xié)議,通過Radius服務(wù)器提供客戶端VPN的用戶認(rèn)證。
為簡化遠(yuǎn)程用戶訪問VPN在防火墻中的配置,3Com 防火墻支持GroupVPN配置
功能,一個Group VPN允許100個使用IKE方式的VPN客戶端接入。3Com防火墻還免費提供
客戶端VPN軟件SafeNet/IRE VPN。