亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

3Com防火墻實現VPN功能
2008-06-24   

  VPN技術是指在公共的網絡平臺上傳輸用戶私有的數據,實現方式是在公網
  如Internet上搭建隧道,從而使得在不安全的互聯網上傳輸私有數據得到保證。這種技
  術的效果類似于傳統的租用專線聯網方式,但其費用遠比采用專線方式聯網要便宜。
  
    目前與企業相關的VPN隧道協議分三種:點到點隧道協議PPTP,第二層隧道
  協議L2TP,網絡層隧道協議IPSec。而VPN在企業中的組網方式分四種:遠程訪問(客戶
  端到網關),分支機構互連(網關到網關),Extranet VPN(網關到網關,用于合作伙
  伴/客戶等),Intranet VPN。在各種組網方式下要仔細選用不同的隧道協議。
  
    支持VPN的產品種類很多,包括路由器,主機網關,撥號接入設備,隧道加
  密機,隧道交換機等等。但利用防火墻支持VPN越來越流行,因為它既能提供VPN實現網
  絡互連,又能保護企業內部的資源免受外部網絡的攻擊。因此,帶VPN功能的防火墻可
  以提供更全面的安全解決方案。
  
    3Com公司防火墻VPN產品
    目前,3Com公司的防火墻產品包括兩種型號:
     * SuperStack 3防火墻
     * OfficeConnect DMZ防火墻
  
    SuperStack 3防火墻主要用于企業中心以及大型分支辦公室,
  OfficeConnect DMZ防火墻只要用于小型分支辦公室。
  
    這兩種VPN防火墻都采用實時操作系統,并經過修剪,專門用于網絡安全功
  能,徹底避免了傳統軟件防火墻由于依賴UNIX和Windows NT操作系統而帶來的潛在漏
  洞。同時,采用高性能安全防火墻引擎,提供狀態包檢測保護,屬于專用硬件防火墻,
  能夠為大中小企業提供高性能價格比的解決方案。
  
    為了提供高性能,高安全性的VPN,3Com公司防火墻采用專用硬件加速引
  擎,并采用標準的網絡層IPsec 協議。下面介紹IPsec VPN與其它兩種VPN協議的比較。
  
    點到點隧道協議-PPTP
    PPTP協議在一個已存在的IP連接上封裝PPP會話,只要網絡層是連通的,就
  可以運行PPTP協議。PPTP協議將控制包與數據包分開,控制包采用TCP控制,用于嚴格
  的狀態查詢以及信令信息;數據包部分先封裝在PPP協議中,然后封裝到GRE V2協議中
  .GRE是通用路由封裝協議,用于在標準IP包中封裝任何形式的數據包,因此PPTP可以支
  持所有的協議,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身沒有定義加密機
  制,但它繼承了PPP的認證和加密機制,包括認證機制PAP/CHAP/MS-CHAP以及加密機制
  MPPE。
  
    第二層隧道協議-L2TP
    L2TP是一個國際標準隧道協議,它結合了PPTP協議以及第二層轉發L2F協議
  的優點。L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一,并運行在UDP
  上,而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制,因此L2TP速度很快。與
  PPTP類似,L2TP也可支持多種協議。L2TP協議本身并沒有提供任何加密功能。
  
    IPsec協議
    IPsec是標準的第三層安全協議,用于保護IP數據包或上層數據,它可以定
  義哪些數據流需要保護,怎樣保護以及應該將這些受保護的數據流轉發給誰。由于它工
  作在網絡層,因此可以用于兩臺主機之間,網絡安全網關之間(如防火墻,路由器),
  或主機與網關之間。
  
    IPsec協議分兩種:ESP和AH,這兩種協議都可以提供網絡安全,如數據源認
  證(確保接收到的數據是來自發送方),數據完整性(確保數據沒有被更改)以及防中
  繼保護(確保數據到達次序的完整性)。除此之外,ESP協議還支持數據的保密性,能
  夠確保其它人無法讀取傳送的數據,這實際上是采用加密算法來實現的。
  
    IPsec的安全服務要求支持共享鑰匙完成認證和/或保密。在IPsec協議中引
  入了一個鑰匙管理協議,稱Internet鑰匙交換協議-IKE,該協議可以動態認證IPsec對
  等體,協商安全服務,并自動生成共享鑰匙。
  
    IPsec協議(AH或ESP)保護整個IP包或IP包中的上層協議。IPsec有兩種工
  作方式:傳輸方式保護上層協議如TCP;隧道方式保護整個IP包。在傳輸方式下,IPsec
  包頭加在IP包頭和上層協議包頭之間;而在隧道方式下,整個IP包都封裝在一個新的IP
  包中,并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協議AH 和ESP都可
  以工作在傳輸方式下或隧道方式下。
  
    L2TP與IPsec傳輸方式的集成
    鑒于IPsec缺少用戶認證,只支持IP協議,目前有一種趨勢將L2TP和IPsec結
  合起來使用,采用L2TP作為隧道協議,而用IPsec協議保護數據。
  
    PPTP和L2TP都支持多協議,但要記住L2TP協議缺少數據保密性的保護。PPTP
  和L2TP都不具有機器認證的能力,而必須依賴于用戶認證。
  
    在所有的VPN協議中,IPsec提供最好的安全性,但IPsec無法提供用戶認
  證,也不支持多協議。許多廠家都采用的附加的特性來支持用戶認證,比如支持Radius
  協議。IPsec協議十分靈活,可以滿足所有網關到網關的VPN連接。
  
    3Com防火墻VPN解決方案
    通過前面幾種VPN協議的分析比較,可以看出3Com公司防火墻VPN采用IPsec
  協議的優勢。同時基于防火墻的VPN還可以充分利用防火墻安全機制的優勢。3Com防火
  墻采用專用硬件加密處理器來加密和解密VPN數據流,而主核心處理器只負責狀態包檢
  測功能。因此3Com公司防火墻的VPN性能極高,比如SuperStack 3防火墻可以提供
  45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。
  
    3Com防火墻采用IPsec隧道方式提供網關到網關以及客戶端到網關的VPN連
  接,用于分支機構,遠程工作人員,客戶以及合作伙伴對企業網絡的訪問。拓撲結構見
  附圖。
  
    對于網關到網關VPN,SuperStack 3防火墻支持1000個并發VPN隧道,支持手
  工密鑰方式以及IKE動態密鑰方式;對于客戶端到網關VPN,SuperStack 3防火墻支持
  64000個并發VPN客戶端;3Com防火墻支持14種認證/加密算法.
  
    由于IPsec協議不支持用戶認證,因此在遠程用戶訪問VPN環境下,3Com公司
  防火墻VPN支持Radius協議,通過Radius服務器提供客戶端VPN的用戶認證。
  
    為簡化遠程用戶訪問VPN在防火墻中的配置,3Com 防火墻支持GroupVPN配置
  功能,一個Group VPN允許100個使用IKE方式的VPN客戶端接入。3Com防火墻還免費提供
  客戶端VPN軟件SafeNet/IRE VPN。

熱詞搜索:

上一篇:華為MPLS VPN技術特色
下一篇:拓展遠程接入和分支機構VPN應用

分享到: 收藏