摘 要:北電網絡提供的contivity解決方案不僅可以使用戶建立各種類型的VPN,而且還可以把這些VPN集成到未來的融合話音和數據的網絡中。該方案已實現了安全路由選擇;可通過多種技術支持鑒權功能,從而實現安全接入;允許用戶使用其各自的安全性配置文件設置;其設計中沒有“后門”。重點介紹了contivity2700網關的主要特征及其優勢。
目前,通過調制解調器或專用線路連接互聯網用戶的方式正逐漸被虛擬專用網(VPN)所代替,VPN使用戶可以通過互聯網安全通信。北電網絡提供的contivity解決方案不僅可以使客戶建立各種類型的VPN,而且還可以把這些VPN集成到未來的融合話音和數據的網絡中。在北電網絡看來,明天的VPN將發展成為高速、安全的網絡,將在公共互聯網上安全融合所有業務,包括數據、話音和視頻。
IPSec VPN是保證重要信息在公共互聯網上傳輸時不會被泄露的最好選擇。IPSec 有效地保證了數據的私密性、完整性、鑒權和可查性。IPSec 分兩種工作模式:隧道模式、傳輸模式。當許多主機通過IPSec VPN網關建立隧道安全通信時,則采用隧道模式。北電網絡已解決了在IPSec隧道上實現安全路由的問題,為IPSec VPN 的普及打下了堅實的基礎。
安全路由技術
所謂的安全路由技術即如何在IPSec VPN隧道上實現動態路由選擇技術。
1.安全路由技術的實現
要在IPSec隧道上實現動態路由技術,必需找到兩個通信端點的SA(Security Association?,如果該SA不存在,則啟動IKE(Internet Key Exchange?來為該通信端點建立SA。一旦該SA建立,就只允許這兩個通信端點相互交流,其余數據均被禁止(除非通過IKE建立新的SA)。
假設IPSec VPN隧道已建立,并且由IKE為動態路由協議(OSPF, RIP, Etc.?建立了允許動態路由協議包通過的SA,VPN兩端的路由信息通過該SA互相學取,建立了動態路由表,那么當兩端的用戶根據該路由信息通信時,又需要通過IKE為各自通信的端點重新建立SA,而如果網絡狀態有變導致某網段消失,則又需要通過IKE刪除相關的SA,工作過程非常復雜,開銷太大,不能接受,并且目前IPSec規范中沒有該標準。有的廠家為了解決該問題,只好把數據額外封裝到GRE(General Routing Encapsulation?隧道上。由于數據封裝次數太多,導致數據開銷過大,因此沒有被市場接受。
可見要實現安全路由技術,關鍵在于建立一種特定的SA。北電網絡的contivity已實現了安全路由選擇(SRT?。
北電網絡的contivity操作組件具有以下優勢
(1)安全路由選擇
SRT支持IPSec隧道上的動態路由。contivity符合IPSec標準,能夠將虛擬IP接口映射到IPSec隧道。當通過隧道傳輸IP業務時,contivity的動態路徑避免了額外的狀態處理和數據包開銷(每個數據包多達24 B)。
(2)安全接入
所有與contivity的連接或通過contivity的連接,不管是隧道化或非隧道化連接,都可被安全化。用戶、用戶組和遠端站點均擁有唯一的一個過濾配置文件。配置文件被存儲在一個LDAP數據庫中,以便在單一設備或多個contivity設備中實現公共策略設置。contivity通過多種技術支持鑒權功能,這些技術包括RADIUS、數字證書、智能卡和令牌卡等。
(3)安全策略
SRT允許每個用戶、用戶組或分支辦公室分別使用各自的安全性配置文件設置。該配置文件保存個人信息,不管他是在家中還是在辦公室,而且,不管是運行在隧道化還是非隧道化連接上,都以同樣的方式應用鑒權和接入權限。
(4)安全管理
contivity的設計中沒有“后門”。通過安全加密隧道進行配置是contivity因特網(或公共)接口支持的唯一模式,在該接口中內置了拒絕服務(DoS)保護。contivity還記錄所有的安全性/鑒權事務處理和事件,它們可存儲在contivity的本地硬盤驅動器中或存儲在設備以外的介質中,依賴于企業的安全性實踐。
單一硬件設備以一種高度集成的方式提供IP路由、VPN、狀態防火墻、加密、鑒權、策略服務、QoS和帶寬管理業務。利用其全面的IP服務,單一contivity設備可以解決處理通常需要多個專用IP和安全性設備來解決的問題。此外,靈活的軟件許可系統允許企業在需要時增加多種IP業務。
contivity構建于北電網絡安全路由技術(SRT)框架之上,SRT集成了contivity的主要功能組件(如管理、接入、路由、和策略),在這些設備上編織了一個堅固的安全架構。即使是在同一個設備上運行多種IP業務,它也可提供擴展性和較高的性能。
SRT同時還能實現密鑰功能,如安全IPSec隧道上的動態路由(RIP/OSPF)、VPN、防火墻和路由業務的公共用戶安全策略,以及在需要時增加新的IP設備而不影響總體性能。
北電網絡安全路由技術能將VPN集成到現有路由器中,升級軟件以便通過安全協議來處理話務;為每個設備添加加密卡?支持和實施上述網絡升級。
2.安全路由技術的發展
要實現IPSec VPN及安全路由技術大面積的推廣,還需確保IPSec VPN實現網絡地址轉換的功能,遠端節點極有可能處于保留地址段,該遠端節點若要采用IPSec VPN連接中心節點,必須實現網絡地址轉換(NAT)的功能。
由于 IPSec VPN協議架構本身的原因以及缺乏支持IPSec 的NAT設備,當IPSec和NAT在一起運行時就會出現很多問題。
NAT 有靜態NAT和動態NAT兩種類型。其中靜態NAT允許數據主動進出網絡,而動態NAT只允許數據主動流出網絡,出網時把源地址轉換為合法地址,進網時則把目標地址轉換為原來的內部地址,以達到與公網互通的目的。
IPSec 的許多特性阻止了NAT的運行,如IKE 必需保證源UDP端口=目的UDP端口=500,此特性阻止了PAT?多對一?的運行,IPSec AH 方式不允許改變任何IP 地址,以滿足認證功能與完整性功能,因此阻止了任何類型NAT的運行。在ESP 傳輸模式下,NAT設備無法修改TCP CHECKSUM,因此也無法運行NAT。這些限制嚴重阻礙了IPSec VPN的普及,無法把IPSec推向網絡邊緣。而北電網絡contivity解決方案成功解決了該問題,讓IPSec VPN 走向網絡邊緣成為可能。保證了建網的靈活性。
北電網絡推出五種contivity安全IP業務網關,其中contivity 1010,1050和1100可為要求站點間或遠程接入VPN應用及簡單因特網連接的小型分支機構、家庭辦公室及小型企業提供經濟高效、安全的一體化解決方案;contivity 1700和2700則適用于大中型分支機構。
contivity 2700簡介
contivity 2700的主要特征及優勢見表1。 
1.為因特網提供安全保障
contivity安全IP服務網關屬于下一代產品系列,旨在通過單一集成的平臺來提供安全性和IP服務。專門為企業邊緣(企業專用網絡和公共IP網絡之間的交點)而設計,通過一套基于軟件的全面IP服務,contivity使企業能夠在今天方便地部署所需的服務,并可以在將來靈活地增加新業務,所有服務都無需成本高昂的硬件升級。服務供應商同樣可以提供新的增值IP服務和安全性服務,無須中斷現有網絡基礎設施。
contivity 2700在單一集成平臺上提供IP路由、VPN、狀態防火墻、加密、鑒權、目錄和策略服務、QoS以及帶寬管理服務,可服務于企業安全IP服務市場。當用作總部解決方案時,它可以為需要安全因特網(如VPN網關、防火墻)或安全IP路由設備的大中型企業的數據中心提供服務。該產品還可以部署在要求安全性和/或安全IP路由服務并需要連接總部數據中心的企業大型分支機構中,通過全面的WAN服務(包括T1/E1,V.35/X.21,V.90 和ISDN以及幀中繼), contivity 2700可以作為企業的全能型IP邊緣解決方案,實現到因特網或IP網絡的安全連接。
由于contivity 2700具有1.33 GHz處理器、集成LAN/WAN接口以及多種安全IP服務等功能,成為適用于大中型企業站點的經濟解決方案。
2.保證安全性
contivity 2700采用了contivity產品系列中相同的SRT框架,可以在單一contivity設備中,實現一致的安全性結構。即使在同一設備中運行多種IP服務,它也可以提供擴展性和較高的性能。SRT還提供一些關鍵特性(如IPSec VPN隧道上的動態路由、VPN中的公共安全性策略、路由和防火墻服務),靈活的許可證使企業能夠在需要時啟動新的IP服務。
