用3Com防火墻實(shí)現(xiàn)VPN功能

2019-11-05 01:57:31

字體：大中小

供稿：網(wǎng)友

　　VPN技術(shù)是指在公共的網(wǎng)絡(luò)平臺上傳輸用戶私有的數(shù)據(jù)，實(shí)現(xiàn)方式是在公網(wǎng)如Internet上搭建隧道，從而使得在不安全的互聯(lián)網(wǎng)上傳輸私有數(shù)據(jù)得到保證。這種技術(shù)的效果類似于傳統(tǒng)的租用專線聯(lián)網(wǎng)方式，但其費(fèi)用遠(yuǎn)比采用專線方式聯(lián)網(wǎng)要便宜。

目前與企業(yè)相關(guān)的VPN隧道協(xié)議分三種：點(diǎn)到點(diǎn)隧道協(xié)議PPTP，第二層隧道協(xié)議L2TP，網(wǎng)絡(luò)層隧道協(xié)議ipSec。而VPN在企業(yè)中的組網(wǎng)方式分四種：遠(yuǎn)程訪問（客戶端到網(wǎng)關(guān)），分支機(jī)構(gòu)互連（網(wǎng)關(guān)到網(wǎng)關(guān)），Extranet VPN（網(wǎng)關(guān)到網(wǎng)關(guān)，用于合作伙伴/客戶等），Intranet VPN。在各種組網(wǎng)方式下要仔細(xì)選用不同的隧道協(xié)議。

支持VPN的產(chǎn)品種類很多，包括路由器，主機(jī)網(wǎng)關(guān)，撥號接入設(shè)備，隧道加密機(jī)，隧道交換機(jī)等等。但利用防火墻支持VPN越來越流行，因?yàn)樗饶芴峁￢PN實(shí)現(xiàn)網(wǎng)絡(luò)互連，又能保護(hù)企業(yè)內(nèi)部的資源免受外部網(wǎng)絡(luò)的攻擊。因此，帶VPN功能的防火墻可以提供更全面的安全解決方案。

3Com公司防火墻VPN產(chǎn)品

目前，3Com公司的防火墻產(chǎn)品包括兩種型號：

SuperStack 3防火墻

OfficeConnect DMZ防火墻

SuperStack 3防火墻主要用于企業(yè)中心以及大型分支辦公室，OfficeConnect DMZ防火墻只要用于小型分支辦公室。

這兩種VPN防火墻都采用實(shí)時(shí)操作系統(tǒng)，并經(jīng)過修剪，專門用于網(wǎng)絡(luò)安全功能，徹底避免了傳統(tǒng)軟件防火墻由于依靠UNIX和Windows NT操作系統(tǒng)而帶來的潛在漏洞。同時(shí)，采用高性能安全防火墻引擎，提供狀態(tài)包檢測保護(hù)，屬于專用硬件防火墻，能夠?yàn)榇笾行∑髽I(yè)提供高性能價(jià)格比的解決方案。

為了提供高性能，高安全性的VPN，3Com公司防火墻采用專用硬件加速引擎，并采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)層IPsec 協(xié)議。下面介紹IPsec VPN與其它兩種VPN協(xié)議的比較。

點(diǎn)到點(diǎn)隧道協(xié)議-PPTP

PPTP協(xié)議在一個(gè)已存在的IP連接上封裝PPP會話，只要網(wǎng)絡(luò)層是連通的，就可以運(yùn)行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢以及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中.GRE是通用路由封裝協(xié)議，用于在標(biāo)準(zhǔn)IP包中封裝任何形式的數(shù)據(jù)包，因此PPTP可以支持所有的協(xié)議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒有定義加密機(jī)制，但它繼續(xù)了PPP的認(rèn)證和加密機(jī)制，包括認(rèn)證機(jī)制PAP/CHAP/MS-CHAP以及加密機(jī)制MPPE。

第二層隧道協(xié)議-L2TP

L2TP是一個(gè)國際標(biāo)準(zhǔn)隧道協(xié)議，它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一，并運(yùn)行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯(cuò)、重傳等機(jī)制，因此L2TP速度很快。與PPTP類似，L2TP也可支持多種協(xié)議。L2TP協(xié)議本身并沒有提供任何加密功能。

IPsec協(xié)議

IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺主機(jī)之間，網(wǎng)絡(luò)安全網(wǎng)關(guān)之間（如防火墻，路由器），或主機(jī)與網(wǎng)關(guān)之間。

IPsec協(xié)議分兩種：ESP和AH，這兩種協(xié)議都可以提供網(wǎng)絡(luò)安全，如數(shù)據(jù)源認(rèn)證（確保接收到的數(shù)據(jù)是來自發(fā)送方），數(shù)據(jù)完整性（確保數(shù)據(jù)沒有被更改）以及防中繼保護(hù)（確保數(shù)據(jù)到達(dá)次序的完整性）。除此之外，ESP協(xié)議還支持?jǐn)?shù)據(jù)的保密性，能夠確保其它人無法讀取傳送的數(shù)據(jù)，這實(shí)際上是采用加密算法來實(shí)現(xiàn)的。

IPsec的安全服務(wù)要求支持共享鑰匙完成認(rèn)證和/或保密。在IPsec協(xié)議中引入了一個(gè)鑰匙治理協(xié)議，稱Internet鑰匙交換協(xié)議-IKE，該協(xié)議可以動態(tài)認(rèn)證IPsec對等體，協(xié)商安全服務(wù)，并自動生成共享鑰匙。

IPsec協(xié)議（AH或ESP）保護(hù)整個(gè)IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式：傳輸方式保護(hù)上層協(xié)議如TCP；隧道方式保護(hù)整個(gè)IP包。在傳輸方式下，IPsec包頭加在IP包頭和上層協(xié)議包頭之間；而在隧道方式下，整個(gè)IP包都封裝在一個(gè)新的IP包中，并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。

L2TP與IPsec傳輸方式的集成

鑒于IPsec缺少用戶認(rèn)證，只支持IP協(xié)議，目前有一種趨勢將L2TP和IPsec結(jié)合起來使用，采用L2TP作為隧道協(xié)議，而用IPsec協(xié)議保護(hù)數(shù)據(jù)。

PPTP和L2TP都支持多協(xié)議，但要記住L2TP協(xié)議缺少數(shù)據(jù)保密性的保護(hù)。PPTP和L2TP都不具有機(jī)器認(rèn)證的能力，而必須依靠于用戶認(rèn)證。

在所有的VPN協(xié)議中，IPsec提供最好的安全性，但I(xiàn)Psec無法提供用戶認(rèn)證，也不支持多協(xié)議。許多廠家都采用的附加的特性來支持用戶認(rèn)證，比如支持Radius協(xié)議。IPsec協(xié)議十分靈活，可以滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接。

3Com防火墻VPN解決方案

通過前面幾種VPN協(xié)議的分析比較，可以看出3Com公司防火墻VPN采用IPsec協(xié)議的優(yōu)勢。同時(shí)基于防火墻的VPN還可以充分利用防火墻安全機(jī)制的優(yōu)勢。3Com防火墻采用專用硬件加密處理器來加密和解密VPN數(shù)據(jù)流，而主核心處理器只負(fù)責(zé)狀態(tài)包檢測功能。因此3Com公司防火墻的VPN性能極高，比如SuperStack 3防火墻可以提供45Mbps的3DES吞吐量，21Mbps 的ARC4吞吐量。

3Com防火墻采用IPsec隧道方式提供網(wǎng)關(guān)到網(wǎng)關(guān)以及客戶端到網(wǎng)關(guān)的VPN連接，用于分支機(jī)構(gòu)，遠(yuǎn)程工作人員，客戶以及合作伙伴對企業(yè)網(wǎng)絡(luò)的訪問。拓?fù)浣Y(jié)構(gòu)見附圖。

對于網(wǎng)關(guān)到網(wǎng)關(guān)VPN，SuperStack 3防火墻支持1000個(gè)并發(fā)VPN隧道，支持手工密鑰方式以及IKE動態(tài)密鑰方式；對于客戶端到網(wǎng)關(guān)VPN，SuperStack 3防火墻支持64000個(gè)并發(fā)VPN客戶端;3Com防火墻支持14種認(rèn)證/加密算法.

由于IPsec協(xié)議不支持用戶認(rèn)證，因此在遠(yuǎn)程用戶訪問VPN環(huán)境下，3Com公司防火墻VPN支持Radius協(xié)議，通過Radius服務(wù)器提供客戶端VPN的用戶認(rèn)證。

為簡化遠(yuǎn)程用戶訪問VPN在防火墻中的配置，3Com 防火墻支持GroupVPN配置功能，一個(gè)Group VPN答應(yīng)100個(gè)使用IKE方式的VPN客戶端接入。3Com防火墻還提供客戶端VPN軟件SafeNet/IRE VPN。

上一篇：深信服VPN成就樂山市地稅局移動辦公應(yīng)用

下一篇：VPN硬件網(wǎng)關(guān)SINFOR M5100-S