VPN技術是指在公共的網絡平臺上傳輸用戶私有的數據,實現方式是在公網
如Internet上搭建隧道,從而使得在不安全的互聯網上傳輸私有數據得到保證。這種技
術的效果類似于傳統的租用專線聯網方式,但其費用遠比采用專線方式聯網要便宜。
目前與企業相關的VPN隧道協議分三種:點到點隧道協議PPTP,第二層隧道
協議L2TP,網絡層隧道協議IPSec。而VPN在企業中的組網方式分四種:遠程訪問(客戶
端到網關),分支機構互連(網關到網關),Extranet VPN(網關到網關,用于合作伙
伴/客戶等),Intranet VPN。在各種組網方式下要仔細選用不同的隧道協議。
支持VPN的產品種類很多,包括路由器,主機網關,撥號接入設備,隧道加
密機,隧道交換機等等。但利用防火墻支持VPN越來越流行,因為它既能提供VPN實現網
絡互連,又能保護企業內部的資源免受外部網絡的攻擊。因此,帶VPN功能的防火墻可
以提供更全面的安全解決方案。
3Com公司防火墻VPN產品
目前,3Com公司的防火墻產品包括兩種型號:
* SuperStack 3防火墻
* OfficeConnect DMZ防火墻
SuperStack 3防火墻主要用于企業中心以及大型分支辦公室,
OfficeConnect DMZ防火墻只要用于小型分支辦公室。
這兩種VPN防火墻都采用實時操作系統,并經過修剪,專門用于網絡安全功
能,徹底避免了傳統軟件防火墻由于依賴UNIX和Windows NT操作系統而帶來的潛在漏
洞。同時,采用高性能安全防火墻引擎,提供狀態包檢測保護,屬于專用硬件防火墻,
能夠為大中小企業提供高性能價格比的解決方案。
為了提供高性能,高安全性的VPN,3Com公司防火墻采用專用硬件加速引
擎,并采用標準的網絡層IPsec 協議。下面介紹IPsec VPN與其它兩種VPN協議的比較。
點到點隧道協議-PPTP
PPTP協議在一個已存在的IP連接上封裝PPP會話,只要網絡層是連通的,就
可以運行PPTP協議。PPTP協議將控制包與數據包分開,控制包采用TCP控制,用于嚴格
的狀態查詢以及信令信息;數據包部分先封裝在PPP協議中,然后封裝到GRE V2協議中
.GRE是通用路由封裝協議,用于在標準IP包中封裝任何形式的數據包,因此PPTP可以支
持所有的協議,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身沒有定義加密機
制,但它繼承了PPP的認證和加密機制,包括認證機制PAP/CHAP/MS-CHAP以及加密機制
MPPE。
第二層隧道協議-L2TP
L2TP是一個國際標準隧道協議,它結合了PPTP協議以及第二層轉發L2F協議
的優點。L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一,并運行在UDP
上,而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制,因此L2TP速度很快。與
PPTP類似,L2TP也可支持多種協議。L2TP協議本身并沒有提供任何加密功能。
IPsec協議
IPsec是標準的第三層安全協議,用于保護IP數據包或上層數據,它可以定
義哪些數據流需要保護,怎樣保護以及應該將這些受保護的數據流轉發給誰。由于它工
作在網絡層,因此可以用于兩臺主機之間,網絡安全網關之間(如防火墻,路由器),
或主機與網關之間。
IPsec協議分兩種:ESP和AH,這兩種協議都可以提供網絡安全,如數據源認
證(確保接收到的數據是來自發送方),數據完整性(確保數據沒有被更改)以及防中
繼保護(確保數據到達次序的完整性)。除此之外,ESP協議還支持數據的保密性,能
夠確保其它人無法讀取傳送的數據,這實際上是采用加密算法來實現的。
IPsec的安全服務要求支持共享鑰匙完成認證和/或保密。在IPsec協議中引
入了一個鑰匙管理協議,稱Internet鑰匙交換協議-IKE,該協議可以動態認證IPsec對
等體,協商安全服務,并自動生成共享鑰匙。
IPsec協議(AH或ESP)保護整個IP包或IP包中的上層協議。IPsec有兩種工
作方式:傳輸方式保護上層協議如TCP;隧道方式保護整個IP包。在傳輸方式下,IPsec
包頭加在IP包頭和上層協議包頭之間;而在隧道方式下,整個IP包都封裝在一個新的IP
包中,并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協議AH 和ESP都可
以工作在傳輸方式下或隧道方式下。
L2TP與IPsec傳輸方式的集成
鑒于IPsec缺少用戶認證,只支持IP協議,目前有一種趨勢將L2TP和IPsec結
合起來使用,采用L2TP作為隧道協議,而用IPsec協議保護數據。
PPTP和L2TP都支持多協議,但要記住L2TP協議缺少數據保密性的保護。PPTP
和L2TP都不具有機器認證的能力,而必須依賴于用戶認證。
在所有的VPN協議中,IPsec提供最好的安全性,但IPsec無法提供用戶認
證,也不支持多協議。許多廠家都采用的附加的特性來支持用戶認證,比如支持Radius
協議。IPsec協議十分靈活,可以滿足所有網關到網關的VPN連接。
3Com防火墻VPN解決方案
通過前面幾種VPN協議的分析比較,可以看出3Com公司防火墻VPN采用IPsec
協議的優勢。同時基于防火墻的VPN還可以充分利用防火墻安全機制的優勢。3Com防火
墻采用專用硬件加密處理器來加密和解密VPN數據流,而主核心處理器只負責狀態包檢
測功能。因此3Com公司防火墻的VPN性能極高,比如SuperStack 3防火墻可以提供
45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。
3Com防火墻采用IPsec隧道方式提供網關到網關以及客戶端到網關的VPN連
接,用于分支機構,遠程工作人員,客戶以及合作伙伴對企業網絡的訪問。拓撲結構見
附圖。
對于網關到網關VPN,SuperStack 3防火墻支持1000個并發VPN隧道,支持手
工密鑰方式以及IKE動態密鑰方式;對于客戶端到網關VPN,SuperStack 3防火墻支持
64000個并發VPN客戶端;3Com防火墻支持14種認證/加密算法.
由于IPsec協議不支持用戶認證,因此在遠程用戶訪問VPN環境下,3Com公司
防火墻VPN支持Radius協議,通過Radius服務器提供客戶端VPN的用戶認證。
為簡化遠程用戶訪問VPN在防火墻中的配置,3Com 防火墻支持GroupVPN配置
功能,一個Group VPN允許100個使用IKE方式的VPN客戶端接入。3Com防火墻還免費提供
客戶端VPN軟件SafeNet/IRE VPN。