一 : 98xxxx有限公司SSL-VPN解决方案

61阅读/ www.61k.net

XXXX股份有限公司

SSL-VPN解决方案

SonicWALL .Inc

2013年3月24日

前 言

随着企业的规模越来越大，在全省乃至全国设立分公司和办事处，企业信息化是企业在市场竞争中的利器，怎样实现人、财、物等信息流在企业的顺畅的流转，ERP和OA办公自动化系统是必不可少的手段，而在以前，采用电信的专线组网方式是费用十分昂贵，将给企业带来沉重的负担，而VPN的互联方式是一种经济的手段，具有不受地域限制、安全性高，资费经济等特点，非常适合于现代企业ERP互联和移动办公的需要。

VPN是利用隧道技术来实现数据安全传输的。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。 SonicWALL 公司简介

SonicWALL公司成立于 1991 年，总部设在美国加洲桑尼维尔，全球雇员超过400名，分支机构和办事处分布于全球15个国家和地区（美国，加拿大,墨西哥,巴西,挪威,英国,德国,法国,西班牙，意大利,日本,韩国,中国，中国香港,中国台湾,新加坡,澳大利亚等）。为1997年NASDQ上市企业，年营业额过数亿美金并且保持良好的持续增长势头。

SonicWALL公司是业界领先的网络安全供应商，一直致力于为中小型企业、大型企业、电子商务、教育、零售/销售以及政府市场提供集成网络安全性、移动能力和生产能力解决方案，公司主要进行全面互联网安全解决方案的设计、开发和生产，为广大的市场提供访问安全、增值安全服务和交易安全产品。所服务的对象包括：SOHO、SME、企业、服务提供商、电子商务、政府、教育和保健机构。公司核心技术包括：防火墙、虚拟专用网（VPN）、无线、网关防病毒/入侵检测和防御、SSL、桌面防病毒和内容过滤，以及屡获殊荣的安全管理解决方案。这些产品和技术相结合可以实现最全面的分布式强制安全架构。

SonicWALL 互联网安全设备为各类组织提供一流的安全平台，保护其网络免受互联网安全威胁。其易于使用和高性能的特点，受到业界媒体（如 InfoWorld、PC Magazine、Network World 和 InternetWeek）的高度称赞。SonicWALL 互联网安全设备在全世界安装了 640,000

多套，保护着数百万计算机用户。通过集成高性能的防火墙固件与增值的安全服务（如网络防病毒、虚拟专用网络 [VPN]、使用数字证书的强大验证功能、内容过滤和其他安全服务），SonicWALL 互联网安全设备可提供全面的安全解决方案。

SonicWALL 于 2000 年第四季度收购了 Phobos Corporation，进一步巩固了它在安全解决方案领域的领先地位。（Phobos Corporation 是安全交易方面的佼佼者，它提供的 SSL

[安全套接字层] 加速器现已成为 SonicWALL 系列安全解决方案的一部分。）SonicWALL 的 SSL 加速技术在行业内处于领先地位，可为企业、数据中心、共用和托管 Web 主机的机构、应用服务提供商 (ASP) 和服务提供商提供优越的性价比。

随着 SonicWALL 安全产品在大中型企业、数据中心和其他高要求环境中的广泛应用，其售前和售后的工程支持及全天候的技术支持变得日益重要。SonicWALL 于 2001 年第一季度收购了 Ignyte Technology，现在可为企业级网络客户提供深入的咨询、设计和支持，以及管理他们的互联网安全需要。收购 Ignyte Technology 使 SonicWALL 得到了充足的技术支持资源，包括互联网安全和网络基础结构技术方面的技术专家，以及一个完善的网络运营中心和测试实验室（用于向客户提供真实环境中的产品评估）。

SonicWALL 都还在继续发展与合作伙伴（如 Cisco、3COM、NetGear 和 Network Associates）的战略关系。全世界已经有 10,000 多个经销商在销售 SonicWALL 的安全解决方案。

第一章 需求分析

1.1业务背景

XXXX股份有限公司是一家电力生产、经营和投资，电力生产技术咨询，水电工程检修维护的一流电力公司，目前公司业务流程已经采用电子信息化办公，公司局域网已经采用了相关的行业应用软件并且已经部署了防火墙等安全设备，但是目前公司需要开放移动办公业务，同时还需要兼顾到移动办公的安全性，在兼顾成本回报率的前提下，优先考虑采用VPN安全远程连接的方式实现移动办公。

1.2需求分析

作为远程安全连接方式的移动办公，VPN技术是首选的经济方案，一方面可以节约企业成本，另一方面也可以提高应用的安全性，目前业界流行的两大VPN技术包含IPS-ec VPN以及SSL-VPN，这两中VPN即使在应用上各有千秋，具体体现在：

IPSecVPN和SSLVPN是两种不同的VPN架构，IPSecVPN是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而SSL VPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。

(1)客户端支撑维护简单

对于大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件，只需通过标准的Web浏览器连接因特网，就可以以通过网页访问到企业内部的网络资源。而IPSecVPN需要在远程终端用户一方安装特定软件以建立安全隧道。

(2)提供增强的远程安全接入功能

IPSecVPN通过在两站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问;一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，这会带来很多安全风险，尤其是在接入用户权限过大的情况下。SSLVPN提供安全、可代理连接。通常SSLVPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证

该用户的身份，然后SSL代理服务器将连接映射到不同的应用服务器上。

(3)提供更细粒度的访问控制

SSLVPN能对加密隧道进行细分，使终端用户能够同时接入Internet和访问内部企业网资源。另外，SSLVPN还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源，这种精确的接入控制功能对远程接入IPSecVPN来说几乎是不可能实现的。

(4)能够穿越NAT和防火墙设备

SSLVPN工作在传输层之上，因而能够遍历所有NAT设备和防火墙设备，这使得用户能够从任何地方远程接入到公司的内部网络。而IPSecVPN工作在网络层上，它很难实现防火墙和NAT设备的遍历，并且无力解决IP地址冲突。

(5)能够较好地抵御外部系统和病毒攻击

SSL是一个安全协议，数据是全程加密传输的。另外，由于SSL网关隔离了内网服务器和客户端，只留下一个Web浏览接口，客户端的大多数木马病毒感染不到内网服务器。而传统的IPSecVPN由于实现的是IP级别的访问，一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，内部网络所连接的应用系统都是可以侦测得到，这就为黑客攻击提供了机会，并且使得局域网能够传播的病毒，通过VPN一样能够传播。

(6)网络部署灵活方便

IPSecVPN在部署时一般放置在网络网关处，因而需要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构。而SSLVPN却有所不同，它一般部署在内网中防火墙之后，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。

有鉴如此，本方案中优先推荐使用SSL-VPN的连接方式来支持远程移动办公。

98xxxx有限公司SSL-VPN解决方案_ssl公司

第二章：方案设计

有鉴于前述需求分析，我们决定采用SonicWALL SSL-VPN2000来设计本方案以满足XXXX股份有限公司的远程移动办公需求，设计方案示例图如下：

2.1 SSL-VPN2000解决方案

如上图示，我们在公司现存的防火墙后面部署了一台SonicWALL SSL-VPN2000安全接入器，由防火墙来转发所有对内部应用系统的SSL连接请求到SSL-VPN2000上，由SSL-VPN2000来处理用户的认证、授权以及信息的加/解密工作，而正常的网络访问流量通过防火墙的相关策略直接处理，由于防火墙的安全隔离作用，可以有效隔离大部分来自网络的攻击扫描行

为，一方面保障了内部网络及服务器的安全，同时也可以有效保障SSL-VPN2000本身的安全性。SonicWALL SSL-VPN2000 工作在单臂模式，远程用户通过HTTPS协议安全连接到SSL-VPN2000进行加/解密信息交换以及用户认证并获得应用资源访问授权。用户透过该设备就可以以安全访问到管理员授权访问的内部资源。当应用服务器增加时，不需要更改任何防火墙的或者路由器策略，也不需要更改任何网络拓扑，只需要在SSL-VPN2000上增加相应的策略就可以实现远程用户的安全访问，大大提高了易用性。

对用户而言，由于防火墙的NAT以及访问控制策略的限制，用户能够接触到的只是SSL-VPN2000，不可能接触到实际的内部网络应用服务器，所有对内网应用的请求会被防火墙直接强制转移到SSL-VPN2000上，SSL-VPN2000此时会和用户端发起SSL-VPN协商并进行进一步的通讯处理，由于防火墙的隔离以及SSL-VPN的限制，用户不会直接访问到应用服务器，大大提高了系统的安全性。

对于远程SSL-VPN连接的用户端来说，并不需要安装“肥”的VPN客户端软件，只需要一个标准的浏览器就可以，使用门槛大大降低，非常方便用户使用，而且，可以大大减轻管理员对于终端的维护工作量；SSL-VPN2000也不存在NAT穿越的问题，具有很强的网络适应性。

另外，考虑到SSL-VPN存在应用协议支持的局限性，即，支持的应用协议有限并且多是基于web应用方式的，SonicWALL针对现状，开发出了一种全新的应用技术NetExtender ，使用该技术，SSL-VPN2000即可支持所有的基于TCP协议的应用了。克服了SSL-VPN应用的局限性，有非常好的网络适应性。SonicWALL SSL-VPN2000的功能特色如下： 可无缝集成到任何防火墙后面

SSL-VPN 2000实际上可无缝集成到任何网络拓扑中，并能方便地与几乎任何第三方防火墙一同部署，来作为一种安全远程访问解决方案。这使您无需购买其它硬件既可利用您现有的网络基础设施。但好处还不只这些，当与运行SonicWALL网关防病毒、防间谍程序及入侵防护服务的SonicWALL互联网安全设备一同部署时，SSL-VPN 2000还能提供网络集成与安全。SonicWALL网关中的深度包检测能力可净化移动用户连接，以避免其将漏洞及恶意代码等带到您的企业网络中。

功能强大的SonicWALL NetExtender技术

SSL-VPN 2000使远程访问变得极其简单，用户只需用一个标准Web浏览器打开一个对他来说是唯一的个性化Web门户。从此门户，用户可访问e-mail、文件、应用程序及内部网站。而对于一些功能更加强大的能力，例如对企业网上资源（包括服务器及复杂或家庭应

用程序等）的无缝、安全访问，SSL-VPN 2000可透明地向用户桌面或笔记本电脑上弹出一个称为NetExtender的可下载瘦客户端程序。

精细策略配置控制

您的组织机构中包括一些对企业网上资源具有不同访问级别的用户。SSL-VPN 2000可将安全远程访问从远程办事处及企业控制笔记本电脑扩展至不受企业IT部门控制与管理的网络环境及远程计算机。内置精细访问控制使您不仅能为您的员工，而且能为可信合同商、合作伙伴及客户提供根据公司设定策略对特定及确定资源的访问

该SSL-VPN2000部署后，可以实现如下效果，效果图如下：

2.2方案补充说明

虽然上述方案的实施能够给XXXX股份有限公司带来很大应用便利，但是我们依旧是忽略了一个问题，即，当SSL-VPN是通过代理方式工作时，对外部用户而言，它仅提供一个web接口，因此可以有效的隔离大部分可能透过该SSL隧道传入到企业内部的病毒，企业内部网络的安全性有一定的保障。但是，由于目前技术以及硬件性能上的问题，SSL-VPN能够支持的代理协议非常有限，而且多数是基于web方式工作的协议，当企业需要应用到C/S结构的应用时，一般的做法是在SSL-VPN产品上扩展网络延伸器功能，该功能的实现需要在用户客户机上通过ActivX方式安装一个插件，就象一个“瘦”的IPSec客户端一样，使用该延伸器，用户就能够通过象使用IPSec客户端一样自由的访问企业内部的C/S架构的应用资源了，由于该技术实现了网络层的访问，因此，客户端如果感染病毒，将很容易被VPN封包携带进入企业内网，而传统的网络应用安全设备，如果网关防病毒，由于不能够识别SSL封包的数据包，因此对于该种形式的数据的应用层过滤显得无能为力。有鉴如此，我们强烈建议采用如下设计方案：

该方案在公司的internet网关处部署一台SonicWALL UTM防火墙，SonicWALL UTM防火墙内部集成了网关防病毒、入侵检测以及反间谍软件功能，当远程客户端发起SSL-VPN连接时，该防火墙的NAT和访问控制策略会自动映射访问请求到SonicWALL SSL-VPN2000上来完成SSL-VPN协商以及用户认证、授权等动作，当SSL-VPN2000工作在代理模式时，客户端到SSL-VPN2000的链路是经过SSL加密的，防火墙不能够识别，但是，此时SSL-VPN2000会代理用户访问内部应用服务器，此时的链路将再回到防火墙并指向内网应用服务器，此链路是已经解密过的，是纯粹的IP链路，因此，防火墙上的UTM引擎能够正确识别该数据包并针对其做应用层安全扫描，可以识别应用层的攻击行为，如，封包中夹带的病毒、木马程序等。同样，当SSL-VPN2000工作在NetExtender模式时，穿过防火墙回到内部网络应用服务器的链路也是被解密过的，防火墙的UTM引擎也能够正确识别并做相应的应用层内容安全扫描，因此，可以大大提高内部网络的安全级别。

98xxxx有限公司SSL-VPN解决方案_ssl公司

另外，由于SonicWALL UTM防火墙可以针对所有流经防火墙的数据进行UTM应用层内容安全扫描，因此，内网用户也能够得益于该设备，可以通过SonicWALL UTM防火墙来过滤掉来自internet或者内网传出传入的安全威胁。

SonicWALL UTM防火墙采用独一无二的逐个包扫描深度包检测引擎专利技术，无需对数据包重组及对文件进行缓存即可实现对病毒和入侵的扫描和防护，所以SonicWALL对同时下载的文件数目和文件的大小没有任何限制。SonicWALL直接在安全网关上匹配全面的签名库，对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。SonicWALL UTM设备能够并行扫描超过50种协议上的25000种病毒，检测并阻断(根据管理员的设置)超过2000种入侵威胁。

另外，SonicWALL还支持对100多种及时消息(IM，如MSN、QQ)和对等应用(P2P，如BT下载、eMule下载)的通信控制，能够扫描NetBIOS over TCP/IP，防止病毒通过Windows文件共享进行扩散。同时，SonicWALL解决方案还可以限制带有宏的Office文件、密码保护的压缩文件和“加壳”的可执行文件的传输。

采用DEA 架构，SonicWALL的安全设备做到了每个小时自动更新病毒签名库和入侵签名库。SonicWALL的UTM设备还能阻止病毒在内部网络扩散，防止内部的黑客入侵行为。此外，SonicWALL的UTM设备即将支持反间谍软件功能，通过简单的软件升级，现有的网关防病毒和IPS用户可直接享用反间谍软件服务。

上述功能适用于SonicWALL全系列产品。

另外，由于公司已经部署了防火墙，再额外部署一台防火墙是需要考虑到企业的成本以及投资回报问题的，为此，我们在设计方案的时候特别考虑到了该设备的利用率的问题，尽最大的努力避免设备的重复配置，减少企业投资成本。我们的设计思路如下：

由于防火墙是工作在internet的接入点，是处在网关处，一旦该设备出现单点失效将使得internet变得不可用，不利于企业的信息化及时沟通，为了避免这种问题，我们将现存的防火墙作为冷备份，不需要更改任何配置，SonicWALL UTM防火墙的访问控制策略采用现存防火墙的配置，充当主防火墙，当其中任何一台防火墙失效时，手动启动另外一台冷备中的防火墙就可以自动接管当前的网络流量，保障了网络的高可用性，SonicWALL UTM防火墙内建支持client-site方式的IPSec VPN，即使当SSL-VPN出现单点故障，远程用户也可以临时通过SonicWALL UTM防火墙里内建的IPSec VPN连安全连接到公司内部网络，保障了网络的不间断运行。

方案实施后将能达到如下效果：

第三章 方案分析

3.1：可行性、可靠性、安全性

本方案中涉及到的安全技术均是安全领域中成熟的、值得信赖的技术规范，其中所有安全技术均通过了ICSA的强制认证，其可行性、可靠性以及安全性均在安全领域中得到了大量的实践验证并被作为安全规范来执行，是经得起考验的。其次，sonicwall是安全领域的一个优势的实力品牌，其安全产品的可靠性和安全性同样值得信任！

Sonicwall的PRO系列防火墙支持桥接模式、NAT、路由或者混合模式，可以很好的适应网络配置的更改，当实施本方案，即接入防火墙时，用户几乎感觉不到防火墙的存在，但是安全模式并没有因此而降低。

SonicWALL一体化全硬件防火墙结构将硬件单点失效的几率降到了更低的层次，大大提高了防火墙的整体可靠性，同时，SonicWALL的Dual WAN技术的使用大大提高了网络的连通可靠性，使得网络可以不因为防火墙的局部失效导致网络可靠性降低。

SonicWALL SSL-VPN封包的VPN数据包可以顺畅的穿越网络设备，同时SonicWALL的UTM功能可以保障数据的应用安全，从整体上提高了联网应用数据的安全性。

SonicWALL UTM防火墙可以和公司现有防火墙性能冷备份，当其中任何一台设备以为单点故障失效时，也不会影响网络的可靠性。

SonicWALL UTM防火墙内建IPSec VPN功能，当SSL-VPN2000单点失效时，也能够保障远程用户能够安全连接到公司内部网络。

SonicWALL UTM引擎能够“清洁”VPN流量，在应用层过滤内容安全威胁，提高内部应用系统的可靠行。

3.2：适应性、扩展性

适应性：

? 方案中涉及的所有SonicWALL UTM防火墙内核引擎均可以通过fireware升级方式获得升级，可以很好的适应XXXX股份有限公司将来应用种类的增加。

? 方案中涉及的所有SonicWALL UTM防火墙的反病毒库和入侵特征库均是实时升级的，能从容应对未来病毒及入侵手段的更新。

? SonicWALL SSL-VPN在代理模式下支持所有的操作系统，不会因为客户端操作系统的变

更而不能支持；在NetExtender模式下支持所有当前主流的Windows操作系统，适应性良好。

可扩展性：

? SonicWALL UTM防火墙是纯硬件防火墙，除了标准的UTM功能之外，还内建了许多的扩

展功能，如邮件过滤功能、强制客户端网络防病毒功能、强制客户端个人防火墙功能、实时邮件黑名单功能，反间谍软件功能、internet内容过滤功能，这些都可以通过license方式来激活，当XXXX股份有限公司的应用需求扩展时，只需要增加相应的license即可使用上述扩展功能，具有良好的应用功能扩展性。

? SonicWALL SSL-VPN2000对于客户端数量没有限制，也就意味着在将来很长一段时间内

能够满足公司VPN规模的扩大。

98xxxx有限公司SSL-VPN解决方案_ssl公司

SonicWALL SSL-VPN2000产品介绍 综述

SonicWALL SSL-VPN 2000可为各种规模的组织机构提供价格适中、简单及安全的无客户端远程网络与应用访问解决方案，无需预先安装客户端软件。

只需用一个标准Web浏览器，用户既可从任何位置方便及安全地访问企业LAN上的e-mail、文件、企业内部网、应用及其他资源。由于无需预先安装或“胖的”VPN客户端软件，故可将您从部署、配置及更新软件的繁琐工作中解放出来，从而减少维护与支持成本。另外，通过为可信合作伙伴及客户提供对特定及确定资源的远程访问，精细访问控制还使您能将连接扩展至您的组织机构以外。SonicWALL SSL-VPN解决方案实际上可无缝集成到任何网络拓扑中，来提供对您企业资源的强大、可扩展及价格适中的远程访问。 实际上可无缝集成到任何防火墙后面

SSL-VPN 2000实际上可无缝集成到任何网络拓扑中，并能方便地与几乎任何第三方防火墙一同部署，来作为一种安全远程访问解决方案。这使您无需购买其它硬件既可利用您现有的网络基础设施。但好处还不只这些，当与运行SonicWALL网关防病毒、防间谍程序及入侵防护服务的SonicWALL互联网安全设备一同部署时，SSL-VPN 2000还能提供网络集成与安全。SonicWALL网关中的深度包检测能力可净化移动用户连接，以避免其将漏洞及恶意代码等带到您的企业网络中。

功能强大的SonicWALL NetExtender技术

SSL-VPN 2000使远程访问变得极其简单，用户只需用一个标准Web浏览器打开一个对他来说是唯一的个性化Web门户。从此门户，用户可访问e-mail、文件、应用程序及内部网站。而对于一些功能更加强大的能力，例如对企业网上资源（包括服务器及复杂或家庭应用程序等）的无缝、安全访问，SSL-VPN 2000可透明地向用户桌面或笔记本电脑上弹出一个称为NetExtender的可下载瘦客户端程序。

精细策略配置控制

您的组织机构中包括一些对企业网上资源具有不同访问级别的用户。SSL-VPN 2000可将安全远程访问从远程办事处及企业控制笔记本电脑扩展至不受企业IT部门控制与管理的网络环境及远程计算机。内置精细访问控制使您不仅能为您的员工，而且能为可信合同商、合作伙伴及客户提供根据公司设定策略对特定及确定资源的访问

主要特点与优势

实际上可无缝集成到任何防火墙后面。SonicWALL SSL-VPN 2000实际上可无缝集成到任何防火墙后面，使您的组织机构无需购买其他硬件就可以利用您现有的网络基础设施。 无限同时（或并行）用户隧道。SonicWALL SSL-VPN 2000可提供无限制同时用户隧道，而不是每隧道许可证，从而能极大地减少与部署一种可扩展安全远程访问解决方案有关的成本。

无客户端有线与无线连接。The SonicWALL SSL-VPN 2000具有无需预先安装或“胖”VPN客户端的有线与无线连接，从而能将管理员从安装及更新用户PC上客户端软件的繁琐工作中解放出来。

NetExtender 技术。SonicWALL SSL-VPN 2000还含有NetExtender技术，可用于完全连接至企业网上任何基于TCP/IP的资源、服务或应用等增强能力。

精细策略配置控制.SonicWALL SSL-VPN 2000提供有精细策略配置控制，使网管员能创建将用户“锁定”在特定应用或资源上的访问策略，并防止远程用户访问或使用其他受限制的网络资源。

个性化门户体验.SonicWALL SSL-VPN 2000具有可定制 Web界面，可为用户提供个性化门户体验，并可根据企业策略只显示允许该用户访问的资源。

SonicWALL环境下的增强分层安全.当与利用功能强大的深度包检测技术，来扫描网络流量以发现病毒、蠕虫、特洛伊木马及间谍程序等恶意威胁的SonicWALL TZ或PRO系列互联网安全设备一起部署时， SonicWALL SSL-VPN 2000可提供增强的分层安全。

技术规范

二 : 天网VPN解决方案

天网VPN解决方案

1. VPN概念...

1.1 VPN产生背景...

1.2 VPN技术支撑

1.3 VPN发展前景...

2. 国内运营商VPN需求分析...

2.1 目前现状...

2.2 解决方法...

2.3 问题与对策...

3. 天网VPN服务体系...

3.1 技术支撑...

3.11.1 IPSEC隧道与加密技术...

3.1.2 动态密钥交换技术

3.1.3 VPN复用技术

3.2 技术标准...

3.3 优势所在...

4. 天网VPN建议方案...

4.1 VPN试验网

4.2 VPN骨干网...

5 结语...

1. VPN概念

1.1 VPN产生背景

在当今世界，随着企业网应用的日益广泛，企业网的范围也在不断扩大，从本地网络，发展到跨地区跨城市，甚至是跨国家的网络。［www.61k.com）网络的范围日渐扩大，导致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。而在此同时，国内公众信息网（ChinaNET与Internet）在近几年来得到高速发展，已经遍布全国各地，在物理上，各地的公众信息网都是连通的，但由于公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网，来安全地建立企业的专有网络，就成为了现今网络应用上最迫切需要解决的一个重要课题。VPN技术的出现，为问题的解决带来了新的方向。VPN技术，也就是虚拟专网技术，是指在公共网络中建立私有专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。Top

1.2 VPN技术支撑

目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案

draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）。同时IPSEC得到厂家支持广泛，Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙，包括天网防

vpn解决方案 天网VPN解决方案

火墙，都支持IPSEC标准。[www.61k.com］因此在构造VPN基础设施时最好采用IPSEC标准，至少也必须采取以IPSEC为加密基础的L2TP协议。Top

1.3 VPN发展前景

广泛来说，VPN的发展具有以下发展前景:

使用价值

目前，VPN技术越来越体现出其价值，作为一种非常灵活和可靠的技术和手段，跨国、跨区域公司中分布于各地的雇员、客户、供货商、代理商、合作伙伴可利用此技术以非常可靠和简易的方式借助公众网络与公司内部网络联系，并进行统一的规划和管理。根据Infonetics的研究报告，VPN业务的开展将为企业提供节省长途专线租用成本的20%～47%，节省远程拨号费用的60%～80%。Top 市场潜力

根据统计报告，VPN产品、系统集成和服务的市场将以每年超过100%的增长率发展，从1997年的205万美元到2001年的11。9亿美元。到2001年，ISP将通过VPN获益90亿美元，55%的企业有意建立VPN。对于国内，今年是政府上网年，VPN技术又恰恰能够解决国家政府机关、各大部委的上网、安全及互联问题，因而国内的VPN市场蕴含着无穷的潜力。

ISP的角色

VPN的服务必须有Internet服务提供商（ISP）的介入，因为只有ISP才能建立起具有完善功能的、可重复使用的VPN服务体系，所以Internet服务提供商（ISP）将会在VPN市场上发挥越来越大的作用，作为一个整体解决方案的提供者，服务提供商除了能够提供各种本地和长途专线和拨号用户的服务，还能提供基于目前广泛的Internet网络的VPN的服务，以满足绝大多数用户和企业应用目前以及将来发展的需求。

未来机遇

VPN业务的开展将刺激国内企业内部网信息资源挖掘的力度，如此庞大的市场并非海市蜃楼，中国的ISP，特别是作为中国最大的ISP的中国电信，不应在观望中错失良机。

同时VPN可以在多种场合得到应用。从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络（有厂家称之为VPDN，属于VPN的一种特例）。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网；虚拟专用拨号网络是指使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件： 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 l 提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。

提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。

2. 国内运营商VPN需求分析

vpn解决方案 天网VPN解决方案

信息产业部部长吴基传指出，建立一个完整、统一、先进的国家公用信息基础网，是当前的首要任务。[www.61k.com)同时，要充分利用这个网络，构建面向各种业务和应用的信息应用系统。

根据我们对VPN技术、IP发展趋势的跟踪和研究，就目前我国面向公众提供信道接入的部门应如何充分利用国家公用信息基础网建设各部门、各行业的专用广域网提出一点建设思路，利用VPN提供增值服务进行可行性分析，以期提高服务商的行业竞争力，同时籍着提供的VPN服务改变目前各行业网和各专业网过于分散、规模过小、技术层次不高等局面。Top

2.1 目前现状

经过十几年的发展，我国通信部门已基本建成了覆盖全国的大容量、数字化的通信传输主干道，其数字化水平和技术层次已达到世界先进水平。目前，国内跨省干线SDH传输网主要采用10Gbps、2.5Gbps速率。中国公众多媒体网（简称169网）已经全国开通（除少数省市外），该网的省间骨干由34M到155M的ATM构成，部分省份还建成了省内ATM高速网（如广东省、江苏省）。这是一个基于IP应用的高速骨干网，为跨省、跨地区的通信提供了一个高速的通信主干道。如何充分利用这个高速主干道为国内用户提供增值服务，我国电信部门应有相应的积极可行的政策和策略。

另一方面，由中央各部委、各行业主管部门牵头的各个行业网在最近几年得到了飞速发展，各行业纷纷建设自己的行业网（如科技网、经济网、卫生网、劳动网、医学网、电力网等等），在本行业中发挥了很好的作用。从网络结构上来看，一般都是在北京建立中心节点，各个地区建立区域节点，区域节点以64K（或128K）DDN连入中心节点，各个市级节点也以64K DDN接入区域节点，形成一个以DDN专线或卫星专线为广域网联网手段的三级网络结构。在北京的中心节点又以64K（或64K以上）DDN专线接入我国四大Internet出口中的一个。

这种广域网的结构体系，在当时的技术条件下，也不能说有什么问题。但目前看来，有两个明显的弊病：一是各个网络之间相互独立，规模小，互相访问很慢（都要绕道北京或国外），不利于信息资源的共享和提高信息资源利用率，不利于形成规模效益；二是网络运行维护费用高、可靠性差。各个中心节点不仅要支付昂贵的DDN专线租用费，还要支付Internet出口费用；同时还要专人维护并不可靠的广域网。而且，一般情况下都是主要由中心节点来组织信息源上网，可见中心节点的负担之重。

从以上两个方面（电信、各专业系统）的情况来看，不难看出为什么信息产业部提出要“以国家公用信息基础网络为基础，通过联合投资、合作改造等形式，构建面向各种业务和应用的信息应用系统”的策略。目前，由国家发起的“政府上网”工程，正是对这一思路的具体体现，但如何实现，不是一个行政指令就能完成的，需要依靠采用先进的技术手段来进行改造。Top

2.2 解决方法

目前各行业网、专业网的应用主要有两个方面：一是作为Internet的一部分，组织本行业的信息资源上网；二是作为一个内部网，为本行业、本系统的内部办公自动化和业务处理系统服务。基本上都是采用Internet技术的IP数据通信。

传统的20/80规则，即80%的通信流量分布在局域网，20%的通信流量分布在广域网，已经逐渐演变为80/20规则，即20%的通信流量分布在局域网，80%的通信流量分布在广域网。

如何充分利用已有的公共网络设施，实现廉价的跨地区数据通信，目前已成为IT领域最热门的技术之一。这其中的焦点就是虚拟专用网技术（VPN），它集网络加密、访问控制、认证和网络管理于一体，能够实现廉价的、安全可靠的跨地域数据通信。

对于各专业网两种应用的第一种应用，其解决方案可以根据网络的性质和信息资源的服务对象，各地就近接入当地的宽带骨干网络，完全省去了用于连接跨省的DDN专线，只需在域名规划和信息主页设计中统一规划，统一形象，把有限的人力和物力用于专业的信息资源开发和深加工。

对于第二种应用或两者都有的应用，则各地就近接入当地的宽带骨干网络，采用VPN技术，实现

vpn解决方案 天网VPN解决方案

跨地区的数据通信，充分利用宽带网络的跨省通道主干道，建设自己的内部网。［www.61k.com)其网络结构如下图所示。由于内部网的敏感数据在公网传输时是加密传输，因此可以实现安全廉价的跨地域数据通信。Top

当然，对于各行业网、专业网的这类应用，接入服务商应在当地接入线路、信息流量费用等方面给予一定的优惠政策（一些地方已采取的免费提供接入线路、免收流量费的做法值得推广）。即使是接入服务商不给优惠政策，就目前的资费情况来看，由于采有VPN技术，也大大节省了广域网的费用和维护工作。下表列出了目前的DDN广域网方式和采用VPN技术组网方式的费用对照。

两种广域网费用对比表

（以北京至深圳的电信接入业务为例） 月

租?/span>

6300元

1500元 本地接入方式 速率 64K 7M/1M 初装费?/span> 1.3万 流量费 4万元 无 DDN方式 VPN方式 ADSL(169)

3900元

从表中可以看出，以ADSL方式接入169网，不仅费用低，而且通信速率高，同时还可以开通内部语音电话服务及内部电视会议服务（无需另外的通信费用）。

同样，本解决方案也适用于企业的跨地域数据通信，实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。

VPN的服务必须有Internet服务提供商（ISP）的介入，因为只有ISP才能建立起具有完善功能

vpn解决方案 天网VPN解决方案

的、可重复使用的VPN服务体系，所以Internet服务提供商（ISP）将会在VPN市场上发挥越来越大的作用，作为一个整体解决方案的提供者，服务提供商除了能够提供各种本地和长途专线和拨号用户的服务，还能提供基于目前广泛的Internet网络的VPN的服务，以满足绝大多数用户和企业应用目前以及将来发展的需求。（www.61k.com)

2.3 问题与对策

VPN应用前景诱人，国内的网络通讯业务接入商，最有资格和必要首先提供VPN增值服务。VPN本身具有的高保密性、低费用、灵活的网间切换等其它技术无法比拟的优点迎合了数量庞大的国内用户群的需求。但作为一种新兴的技术，VPN技术在现阶段也存在缺点，这就是QoS问题。

所谓QoS问题，体现在VPN应用上就是带宽保证。何谓带宽保证，比如说DDN，DDN就提供了带宽保证，64K的DDN专线任何时候提供给了用户64K的传输带宽。但VPN的本质是利用公网传输数据，当网络传输饱和的时候，提供给VPN用户的带宽就窄；当网络传输未饱和的时候，提供给VPN用户的带宽就宽。所以VPN在现阶段还不能提供带宽保证。

虽然VPN存在上述弱点，但根据“技术推动市场，市场又反作用于技术”的理论，我们认为国内的网络通讯业务接入商现阶段存在应用VPN项目的必要性，具体分析如下：

服务细分的角度，我们发现，专用广域网都对网络的安全性提出了需求。专用广域网用户的需求大致可分为实时性、安全性、灵活性三个方面的需求。像银行、证券对实时性、安全性要求很高，对灵活性几乎不作要求；而各政府网、司局网（地税、国税、工商等，典型成功案例如国家海关报关稽核系统）对实时性要求不高，对安全性、灵活性提出了比较高的要求；各企业网对灵活性提出了很高的要求，同时要求数据的安全传输，但对实时性一般要求不高。针对上述需求的差异，现在的对应服务只有DDN专线方式，而其它公网传输方式只能提供灵活性和实时性，根本不能提供安全性的解决方式。VPN服务填补了这一服务空档：对实时性要求不高的专用广域网用户，从此不用再享受和银行行业一样的高费用“待遇”了。这些用户（其实也是数量最多的专用广域网用户）就是VPN增值服务的潜在市场，也是电信部门推广VPN业务的市场切入点。

从市场竞争的角度考虑。国内能提供DDN专线的不光中国电信，还有中国广电；国内能提供VPN增值业务的已有中国吉通公司。一方面，因为广电打出价格优势，有一部分DDN用户会被广电争取过去，而且随着国内形势的发展，这一竞争更趋激化。另一方面，中国吉通公司已宣布提供VPN增值服务，据我们了解，在短短的一个月时间内，已有很多用户咨询VPN业务，同时在吉通公司的市场宣传下，已有一些用户准备试用VPN服务。这样，以前由中国电信提供的DDN专线市场逐渐形成三足鼎立的局面，尤其是吉通公司，因为据我们上面的分析，会用VPN服务把国内大部分专线广域网用户拉到自己旗下。

从品牌巩固的策略角度分析，中国电信应该首先提供VPN增值业务。远期根据以往中国电信在移动通信领域成功的经验，中国电信首先在国内推出存在弱点的模拟移动，抢占了移动通信市场，确立了自己在国内移动市场的第一品牌形象，从而进入投资——回报——巩固投资——再回报的正螺旋规则；为以后连续推出一系列移动通信服务打下了良好的基础，成为在移动通信领域无可争议的龙头。近期炒作的沸沸扬扬的IP电话，也是一项新技术，其本身存在着很多缺点，如语音忽高忽低、延迟时间长、声音不真实等，与电信级的应用要求相去甚远，但一好遮百丑，其低廉的费用相比其缺点，对大多数用户、大多数场合来讲都是可以忍受的；所以吉通公司（又是吉通公司）迅捷的上马IP电话卡业务，率先抢占了这一市场，树立了自己在这一领域的第一品牌形象，事实证明拥护者众，而中国电信这一次比较保守，落在了吉通公司的后面；对这种有前途的业务来讲，不能抢先树立第一品牌形象意味着以后的市场工作加倍艰难。而VPN业务恰恰类似于IP电话业务，谁先树立第一品牌形象，谁就在以后的竞争中占领先机。

从网络技术发展的趋势来看，VPN最终将完全替代专线。可以分两个方面来看待这个问题：一是随着带宽建设的力度加强，网上信息拥挤问题将应刃而解，正如八辆车在十车道的高速公路上，根本

vpn解决方案 天网VPN解决方案

不存在优先级别的问题，到那时，将不会再有人担忧QoS问题；二是退一步讲，就算带宽建设跟不上网络信息增长的力度，但技术水平是不断发展的，很快QoS问题在技术上会被解决。(www.61k.com)这正如以前中国电信上马模拟移动通信时，并机问题无法解决，但随着技术的发展，GSM和CDMA就解决了这方面的问题，而且还会发展。如果等着一项技术十全十美时再加以利用，遥遥无期。

综上所述，从国家信息产业发展的大趋势和中国电信发展市场的角度来看，国内的网络通讯业务接入商提供VPN增值业务是必要的也是必然的趋势。Top

3. 天网VPN服务体系

3.1 技术支撑

3.1.1 IPSEC隧道与加密技术

IPSEC是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准，是虚拟专网的基础。

IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据：

认证——作用是可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。

数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。 机密性——作用是使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。

在IPSEC由三个基本要素来提供以上三种保护形式：认证协议头（AH）、安全加载封装（ESP）和互联网密匙管理协议（IKMP）。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。

IPSEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。Top

IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用

vpn解决方案 天网VPN解决方案

传送模式通常当ESP在一台主机（客户机或服务勤）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。［www.61k.com]

隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

3.1.2 动态密钥交换技术

密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，例如，一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（DES）足够满足大多数商业应用了。密匙管理包括手工和自动两种方式，手工管理系统在有限的安全需要可以工作得很好，而自动管理系统使用了动态密匙交换技术，能满足其他所有的应用要求。

使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政策进行修改。

使用自动管理系统，可以动态地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥IPSEC的效用。Top

3.1.3 VPN复用技术

VPN复用技术是通过网络地址进行标识路由，在一个大型VPN网络体系里划分多个独立的VPN网络，实现在同一VPN网络体系建立多个独立的VPN通信隧道。

这一技术解决了在现存的各种VPN设备及解决方案中，普遍存在的几个方面的问题：

支持在一个大型VPN网络体系里划分多个独立的VPN网络，并且在某个VPN网络还可支持静态的VPN和动态的VPN。

根据网络地址连接表的内容，可以在静态VPN之间自动建立原先没有设定的VPN通信隧道。 对于动态的VPN，例如拨号虚拟专网用户，可以通过天网VPN和Radius服务器相结合，来建立起一条实时的VPN通信隧道，并且在通信完成或超过一定连接时间后，自动删除这条VPN通信隧道。 对于连接到同一VPN网关的两个或多个VPN网络，可以在本来相互隔离的VPN网络之间建立起静态的VPN路由，使这种原本不可连接的VPN网络实现VPN通信。

3.2 技术标准

天网防火墙系统核心通过加入对IPSec标准的支持，在保证同其它第三方产品进行完整互操作的同时，还提供了完善的高级特性。

vpn解决方案 天网VPN解决方案

支持软件升级。(www.61k.com］一体化解决方案可以通过软件升级以获得更多新特性，并进行功能扩展，而不需要对网络结构，主机和应用进行任何改动;

支持数字证书。支持第三方CA签发的数字证书;

灵活的安全策略。按照用户应用类型使用不同的扩展访问列表，有选择性地对数据包进行认证和加密。这里IP数据包可以按照基于源和目的地址，传输层协议与应用端口等不同的组合方式进行选择操作。每一种数据流可以独立地进行加密和认证。如图所示，根据应用类型的区别，通过设置可以使的用户Alice和用户Bob之间的数据通信按照不同的策略进行传输，比如Web传输通过密钥1加密，Telnet会话通过密钥2加密，而电子邮件通过明文传送。

广泛的第三方支持。可以按照用户实际应用环境的需要，配置第三方的CA，AAA服务，并保证与其的互操作特性。 Top

天网防火墙系统核心支持以下IPSec标准

现有RFC及互联网络草案中关于IPSec和IKE的描述:

RFC 2406中ESP的定义

RFC 2402 中AH的定义

RFC 2409中IKE的定义

RFC 2401中IPSec完整实施的定义(互联网络协议安全体系)

IPSec与IKE拒绝服务加密算法的定义，包括:

vpn解决方案 天网VPN解决方案

RFC 2405中DES-CBC的定义

RFC 2451中3DES-CBC的定义

40-bit DES-CBC

RFC 1829中DES-CBC的定义

认证算法:

RFC 2403中HMAC-MD5的定义

RFC 2404中HMAC-SHA的定义

RFC 1828中Keyed MD5的定义

3.3 优势所在

目前VPN业务的潜在用户是政府部门和企业，他们需要高性/价比的VPN服务来建立各分部之间、企业网络与拨号上网员工之间的信息桥梁。[www.61k.com]根据我国实际市场需要而推出的天网VPN服务器提供了为国内的网络通讯业务接入商建造VPN的最优方案，它的优势包括：

VPN设备由接入商提供，企业端不需要购买任何设备，为企业节省了大量的初期投资及后续维护、升级成本，是吸引用户的有利条件。

对接入商而言，只需局部投资；平滑插入，方便快捷；不影响现有业务，不需全网改造而实现了全面的VPN增值业务；节省了综合投资，同时在时间上为电信局抢占VPN市场提供了先机。

接入商利用VPN设备为企业提供VPN服务，每套VPN设备可以支撑几万组不同的VPN网络，通过设备复用将成本大幅降低，企业只需要付出很低的VPN网络服务费用即可享有优质的VPN服务。电信部门在通过提供服务得到利润的同时，VPN用户可以享受价廉物美的VPN服务，是ISP、VPN用户双赢的VPN解决方案。

规模较大的分部用专线接入，较小的支部或者员工用拨号接入，这是我国大多数政府部门和企业的选择，他们是VPN业务最大的客户，天网VPN解决方案是唯一能够同时提供专线接入和拨号接入的ISP端VPN解决方案。

便于开展业务，由于采用网络地址来标识VPN用户，可以根据网段的大小对不同网络规模的用户进行收费，同时可以根据不同的加密需要进行收费。使业务的开展更加灵活。

具有良好的保密性，安全性高。由于VPN是在整个公有网络基础上建立VPN用户的私有网络，进行私有信息的传输，用户对数据在传输过程中的安全性、保密性要求很高，因而需要有非常高级的数据加密技术 天网防火墙全面支持IPSEC，包括支持40/56 Bits DES 、112/168 Bits 3DES、Blowfish、IDEA加密算法，MD5、SHA1两种Hash算法，安全特性极好。

由于使用了开放式标准，可以与其他厂家支持IPSEC标准的产品连接，方便日后全国乃至全球VPN服务的互联；天网防火墙还具有自适应功能，如果连接产品的加密程度较低，它可以相应自动降低加密程度，以便更好地进行协同工作。

由于天网VPN具有集群功能，能满足运营商日后的平滑升级扩容要求。

VPN用户可自由的在公网和VPN专网之间进行切换，迎合了对安全性和灵活性都提出很高要求的用户的需求。

天网VPN服务器极高的性能价格比，更是电信部门综合考虑VPN项目投资/效益比的有利保证。Top

4. 天网VPN建议方案

4.1 VPN试验网

在正式实施骨干VPN网络建设以前，可以在局部区域内建设实验型VPN网络。

虚拟专用网在天网VPN具体的实际应用中分为两种：一种是通过DDN、ATM、Frame Relay和X.25等方式连到局端的天网VPN网关，然后通过局端之间的天网VPN网关建立的IPSEC安全加密隧道与目

vpn解决方案 天网VPN解决方案

的地进行通信，也就是传统的VPN；另一种是虚拟拨号网络用户通过拨号连接到VPN服务器上，通过VPN服务器与企业网络服务器建立的IPSEC安全通道与企业内部网络相连，也称为VPDN。［www.61k.com］

1、 VPN的网络配置

在虚拟专网方面，用户通过DDN。、ATM、Frame Relay和X.25等方式连到局端的天网VPN网关，通过局端之间的天网VPN网关建立的IPSEC安全加密隧道与目的地进行通信。具体的配置实例图如下：

天网VPN网关工作逻辑示意图

（这里A与A1、A2和A3为同一虚拟专用网组，B与B1为同一虚拟专用网组） 源网络地址

A(10.1.x.x)

A(10.1.x.x)

A(10.1.x.x) 目标网络地址 A1(10.2.x.x) A1(10.3.x.x) A1(10.4.x.x) 使用协议 ESP(40Bits) ESP(168Bits) AH(无加密) 密匙 KEY1 KEY2 无 目标VPN网关 G2 G2 G3

天网VPN网关网络连接地址表示例（VPN网关G1）

天网的VPN系统服务体系采用IPSEC安全标准，通过网络地址进行标识路由。例如图中VPN用户A通过VPN向VPN用户A1发送信息，具体工作过程是：VPN用户A通过DDN、ATM或X。25等方式连上天网VPN网关G1，由VPN网关G1对VPN用户A的数据包进行判断，如果是发送到公众网络的，直接路由到公众网络上；这里是发送到另一端的VPN用户A1的，由于VPN网关G1本身具有一个类似于路由表的一一对应的网络地址连接表，根据这个连接表，它可以获知要把VPN用户A的数据包送到到VPN用户A1目标网络地址，需要路由到VPN网关G2，它就把VPN用户A的数据包以ESP（40位加密）进行封装加入密匙KEY1，从而产生一个IPSEC数据包，然后把这个IPSEC数据包发送到目标网络地址连接的VPN网关G2，由目标VPN网关G2对IPSEC数据包进行解封解密，并且根据数据包的目标网络地址把数据包发送到相应的目标VPN用户A1。这就像在VPN用户A和VPN用户A1之间建立了一个IPSEC的安全通道，只要是源VPN用户A发送到目标VPN用户A1的数据包，都能在这个IPSEC安全通道内进行传输。而且，由于IPSEC标准是基于TCP/IP协议，在数据碎块重整、错误包处理以及断线续传等方面具有很好的处理性能，因而在数据包的长途传输过程能保证数据的完整性。同时，因为天网的VPN系统网关通过网络地址来标识和分辨VPN网络用户，假如它采用10.x.x.x网段，最多可以支持256个B类VPN网络用户和65535个C类VPN

vpn解决方案 天网VPN解决方案

网络用户的用户量。［www.61k.com) Top

2、 VPDN的网络配置

VPDN网络配置过程很简单，只需在局端加入接入服务器、Radius服务器，与天网VPN服务器配合，就可以建立虚拟拨号专网，这种建设体系在虚拟拨号专网方面采用Radius服务器作用户数据库，普通用户和虚拟拨号网络用户的资料都放在Radius Server上，并使用天网VPN服务器作Radius Proxy，来满足Radius认证的路由要求。这样，相对于接入服务器，天网VPN的Radius Proxy就像是一个Radius服务器，而相对于Radius服务器，天网VPN的Radius Proxy则扮演着Radius客户端的角色。远程用户通过PSTN连接到接入服务器时，接入服务器从Radius服务器上取出用户资料，并根据这些资料分配IP给远程用户，建立PPP连接。例如普通视聆通用户分配到GNET地址172.X.X.X。而对于虚拟拨号专网，将会划分固定的一个IP地址段，在天网VPN网关里建立这一固定地址段的网络地址连接表，并且在Radius服务器里设定虚拟拨号专网用户使用固定IP地址段中的IP地址。这样，当虚拟拨号专网用户通过拨号连接上来，将会获得一个固定的用于VPDN的IP地址，而在天网VPN中已经为这个IP地址定义好相应的网络地址连接表，虚拟拨号专网用户就可以像虚拟专网用户一样访问私有网络资源。具体配置图如下：

4.2 VPN骨干网

天网VPN以支持基于MPLS和IPSec混合型的骨干网络操作模式为发展目标。

vpn解决方案 天网VPN解决方案

在VPN试验网通过测试以后，可以开始着手建设VPN骨干网络。[www.61k.com)为了保证和现有宽带网络的无缝连接，天网VPN网络设备支持与用户现有第三方基于IPSec的VPN骨干网络设备的互操作，在最大限度保护用户现有投资的同时，最小可能对网络连接和拓扑结构造成影响。

在具体的应用环境中，天网VPN网络解决方案通过如下高级特性满足业务供应商建设骨干网络的需求。

容易管理 天网VPN设备采用统一的基于Web界面的管理方式，用户人机交互方式友好操作灵活，易于维护

高可靠性 天网VPN支持动态VPN路由工作方式，可以在网络连接发生故障或拓扑结构发生改变时，按照预定义的备份路径通讯，保证关键应用数据可靠传输；

可扩展性 天网提供包括防火墙和VPN交换机在内全系列的网络安全产品供用户根据不同的应用环境进行选择，满足用户应用类型多样性的需求。Top

5. 结语

天网的根基在中国，我们将根据我国具体情况，不断创新，完善符合中国国情的VPN服务。我们将继续开发符合潮流的技术，包括支持IPV6(第二代Internet)的VPN技术，千兆VPN技术。同时我们还将全力支持ISP开展VPN业务，提供最强大的技术支持

三 : VPN公司组网解决方案

VPN公司组网解决方案


客户需求：
现状：
广东显润资讯科技有限公司是香港显润国际有限公司集团下属的一家专业从事宽带接入网设备、光纤网络产品、智能化布线产品的分销和技术服务的公司，总部在广州，目前已在
上海、成都，香港等地设立分支机构，销售渠道已逐步完善，业务覆盖全国各地。但各公司之间还没有建立起可以互通的网络，给日益壮大的业务发展带来了不便，鉴于此种情况，
公司决定完善目前的公司网络，以运行公司的客户管理和财务软件。

要求：
在性能和安全满足的条件下，采用较低的成本能完成以下功能：
1．目前要求在广州总公司运行一套CRM(客户关系管理系统)系统，想在其它分公司一起使用上。另外其他分公司没有财务系统，希望将用有友财务系统（U8）一起使用上。
2．保证不影响各个公司的正常上网的基础上保证外部网络通道的安全性；
3．要求公司内部数据的共享；
4．能实现远程的管理；
5．保证移动用户能正常安全的访问总部服务器（特别是香港）；
6．支持同一域服务器；
7．保证整个网络的速率和稳定性。
n VPN技术介绍：
虚拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用
服务提供了发展的舞台。

虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义：
一、 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立；
二、 它是利用公众网络设施和隧道加密技术构成的虚拟专用网。
VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：
公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；

对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；
电话公司通过开展拨号VPN服务可以减轻终端阻塞；
通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。

VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。

VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，
VPN将是本世纪

末发展速度最快的业务之一。


第二章 方案描述
设计思路：
1． 通过VPN技术把各地连接起来，组建基于TCP/IP的虚拟专用网络；将上海、成都、香港和总部广州联接成一个互不在同一个网段的虚拟专用网络。
2． 广州公司运行一套CRM系统和用有友财务系统（U8），各分公司运行客户端软件即可。

产品选型：
采用CYBERLAN产品：任何一点无需专线，支持ADSL , ISDN, 电话拨号, DDN等连接方式，各点之间连接无需中心点作转发，各点之间的连接是网状的；
广州总部和上海、成都各用一台GW1000,香港属于移动用户，不需在添置VPN设备，只要求在移动PC上安装一套VPN相应的软件即可。

CYBERLAN方案描述
1. 在广州、上海、成都、香港分别放置一台GW1000，建议都使用ADSL上网；
2. 在每点安装CYBERLAN之后，当地的局域网可以用它作为代理服务器上网和防火墙，以CYBERLAN网关建立虚拟加密隧道，实现广州、上海、成都以及香港四端互联，保证数据的
线路畅通；
3. 每点与其它点的通讯速度取决定于其中一个点连接Internet的速度的最低上行速度，与VPN设备无关，GW1000可支持35M的速率。
4. 任何两点之间可以自由通讯，其连接无需转发。连接是网状的。
5. 总部或任何需要运行CRM软件和用有财务软件的地方，只需要安装客户端软件，同时该机器再安装需要运行的程序。象典型的C/S模式的程序，可以不经过任何修改直接运行。
网络拓朴图如下所示：


说明：
每个VPN设备必须要求能获得公网的IP地址，无论是静态还是动态都可，ADSL就能实现满足此要求。
CYBERLAN简介
为了实现现在线路的连接，我们提出一种全新的解决方案。就是利用我们的CYBERLAN产品。它最大的特点就是费用低，稳定可靠，无需专线，无需固定IP地址。可以支持多种上网
方式，如拨号、ISDN、ADSL。

CYBERLAN（）是我公司自主开发的一系列VPN产品。基于Linux内核，从操作系统的核心做起，利用Linux的强大功能，历时两年多而开发的符合国情实际需要的产品。它有以下特点
：
? CYBERLAN是解决网络完全传输的最高效，最节省的组网技术。
? CYBERLAN通过使用动态IP接入Internet的LAN之间进行互联。
? 以最低成本接入，最低通讯成本提供高性能最可靠性的企业专网的计算机网络技术。
? CYBERLAN支持ADSL/IDSN/DDN/Dial-up方式，静态／动态IP接入。在相同的通讯带宽下，节省80%通讯费用。这些接入法可以相互作为备份接入。如用ADSL上网的。为防万一，
可以用Dial-up方式提供线路备份。从而保证了线路备份。
? 设备是一个高性能的防火墙。可选型号也可作为邮件服务器，企业内部WEB功能，CVS服务器等。

? CYBERLAN 从而使企业专网应用至普通企业，使其组建自己的企业专网，有自己的IP空间和域名体系。CYBERLAN使所有于局域网上应用的网络应用以最低的成本应用至Internet
所及的范围。

产品介绍

? 所有产品
提供至少1个以太网口（ADSL系列含两个以太网口）；
支持ISDN、电话拨号、ADSL、DDN 接入internet；
选件（免费）：局域网连Internet透明代理服务器。
? CYBERLAN GW1000：
提供最实用的虚拟专网接入。速度快，价格低；
适用对象：中小企业，对安全要求不高。 如有更高要求，安全可通过Citrix来解决。

? CYBERLAN GW2000：
提供最实用而安全的虚拟专网接入。数据传输加密经过168位加密传输。
使用对象：对安全性要求较高。

? CYBERLAN GW5000：
针对DDN专线或静态IP的节点中心，提供最安全的虚拟专网接入。数据传输加密经过168位加密传输；提供所有内部DNS,WEB,EMAIL服务器，防火墙等功能。
适用对象：证券行业，金融行业。


CYBERLAN硬件特征
CYBERLAN GW网络服务器有如下的网络联接接口：
l 系统配置及系统监测系统，通过RS-232 (9600, 8N1)进行通讯
l 局域网接口：Ethernet Interface: 10/100BASE-T
l 广域网接口：Ethernet Interface(10/100BASE-T) / PPPoE通讯口接口 ( 用于接ADSL Cable Modem)
l 广域网接口：RS-232 (56K), 外置Dial-up Modem / ISDN TA
l 用于系统重配或紧急系统配置的标准101键盘和标准PC显示器接口
CYBERLAN系统参数
l 输入电压： 210V~230V
l 功率： 最大约40W
l 使用环境温度：０~35 ℃
l 使用环境湿度：5~95%

CYBERLAN的安装设置
CYBERLAN的安装非常简单。只需连接好线路，启动机器，通过232口和windows的超级终端来设置即可。设置参数包括：广域网（类型、用户名、密码）、局域网（IP地址）。


第三章 系统的安全性
CYBERLAN的安全
在CYBERLAN GW系统中，
n 首先，各分部通过预先设定的域名,主机名,和用户认证的有关信息密码来获的登录的权利；
n 必须通过硬件设备在每个CYBERLAN GW 2000中预置其他机器的RSA私钥，所以在管理完善的情况下不可能让其他没有经过授权的机器连接到该网络中来。而且密钥可以定期更改，
自己生成；
n 通讯过程中3DES算法的密码每6小时变更一次；
n CYBERLAN具有完备的防火墙功能。
n 网络之间的通讯符合IPSec标准。
n GW1000的安全通过Citrix来完善。

基于本方案的特点，主要考虑三个方面的安全：
一、 来自外部的安全：
VPN主要采用IPSEC、PPTP/L2TP 技术，网络之间的通讯符合IPSEC标准，VPN主要基于在网络的第二层建立隧道，采用PAP/CHAP验证协议进行验证，PAP是一种明文握手验证，CHAP是
一种密文验证，在一定程度上保证了隧道的安

全性，APN2000以上存在有数据加密。一种是对称加密，采用3DES168位加密法，这种加密法速度快，但不易管理；第二种是非对称加
密，采用RSA2048加密，其实质上是一种很复杂的数学算法，很加密性很强，易于管理，但速度慢。该设备集合两者的长处，在传输数据块采用3DES加密法，MD5算法，密钥采用
RSA加密，这样既保证了速度，又保证了安全性。
二、 来自内部的安全：
来自内部的安全主要是加强内部网络管理和职业道德宣传，内部网络管理主要是利用交换机划分VLAN,把一些公用的PC加入多个VLAN中，从而方便管理和保证非合法用户进入重要
PC区,分公司局域网间互连限制用户可通过VPN内部防火墙功能实现，过滤特定端口、服务和源、目标IP地址。
三、病毒防火墙主要安装网络版杀毒软件：NORTON、瑞星和毒霸。

CYBERLAN使用的加密算法
n RSA 2048位
n CBC-3DES
n SecurityCBC-3DES
n MD5

防火墙策略
数据包过滤
通过NAT(Network Address Translater)和Transfer Proxy进每内部网对广域网(Internet)的防问。 这是一种比数据包过滤更安全的防火墙策略。
缺省forward拒绝防问，保护你的内局网免受网络攻击．
动态调整访问列表来建立虚拟专网的建立
TCP D.O.S(Delay Of Service)的跟踪与防范
符合标准
RFC2401 Security Architecture for the Internet Protocol
RFC2411 IP Security Document Roadmap
RFC2402 IP Authentication Header
RFC2406 IP Encapsulating Security Payload (ESP)
RFC2367 PF_KEY Key Management API, Version 2
RFC2407 The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408 Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409 The Internet Key Exchange (IKE)
RFC2412 The OAKLEY Key Determination Protocol
RFC2528 Internet X.509 Public Key Infrastructure
RFC2085 HMAC-MD5 IP Authentication with Replay Prevention
RFC2104 HMAC: Keyed-Hashing for Message Authentication
RFC2202 Test Cases for HMAC-MD5 and HMAC-SHA-1
RFC2207 RSVP Extensions for IPSEC Data Flows
RFC2403 The Use of HMAC-MD5-96 within ESP and AH
RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2410 The NULL Encryption Algorithm and Its Use With IPsec
RFC2451 The ESP CBC-Mode Cipher Algorithms
RFC2521 ICMP Security Failures Messages

采用第三方硬件防火墙和中间件产品
还可以采用第三方的防火墙产品，双重保险。局域网作为“内部网”（Inside），其安全等级为100；Internet作为“外部网”（Outside），其安全等级为0；公司的Web服务器、
DNS服务器位于“非军事化区”（DMZ），其安全等级为50。
加密技术简介

在计算机上实现的数据加密，其加密或解密变换是由密钥控制实现的。密钥（Keyword）是用户按照一种密码体制随机选取，它通

常是一随机字符串，是控制明文和密文变换的唯一
参数。
加密体制及比较
根据密钥类型不同将现代密码技术分为两类：一类是对称加密（秘密钥匙加密）系统，另一类是公开密钥加密（非对称加密）系统。
对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。
对称密码系统的安全性依赖于以下两个因素。第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，
而不是算法的秘密性，因此，我们没有必要确保算法的秘密性，而需要保证密钥的秘密性。对称加密系统的算法实现速度极快，从AES候选算法的测试结果看，软件实现的速度都达
到了每秒数兆或数十兆比特。对称密码系统的这些特点使其有着广泛的应用。因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应
用，适合于大规模生产。
对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于具有n个用户的网络，需要n(n－1)/2个密钥，在用户群不是很大的情况下，对称加密系统是有效的。
但是对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成了大问题。对称加密算法另一个缺点是不能实现数字签名。
公开密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。由于加密钥匙是公开的，密钥的分配和管理就很简单，比如对于具有n个用户的网络，仅需要2n个密钥。
公开密钥加密系统还能够很容易地实现数字签名。因此，最适合于电子商务应用需要。在实际应用中，公开密钥加密系统并没有完全取代对称密钥加密系统，这是因为公开密钥加
密系统是基于尖端的数学难题，计算非常复杂，它的安全性更高，但它实现速度却远赶不上对称密钥加密系统。在实际应用中可利用二者的各自优点，采用对称加密系统加密文件，
采用公开密钥加密系统加密“加密文件”的密钥（会话密钥），这就是混合加密系统，它较好地解决了运算速度问题和密钥分配管理问题。因此，公钥密码体制通常被用来加密关
键性的、核心的机密数据，而对称密码体制通常被用来加密大量的数据。
对称密码加密系统
对称加密系统最著名的是美国数据加密标准DES、AES(高级加密标准)和欧洲数据加密标准IDEA。
1977年美国国家标准局正式公布实施了美国的数据加密标准DES，公开它的加密算法，并批准用于非机密单位和商业上的保密通信。随后DES成为全世界使用最广泛的加

密标准。
加密与解密的密钥和流程是完全相同的，区别仅仅是加密与解密使用的子密钥序列的施加顺序刚好相反。
公钥密码加密系统
自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：
大整数因子分解系统(代表性的有RSA)、椭园曲线离散对数系统(ECC)和离散对数系统 (代表性的有DSA)。
当前最著名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出的(简称为RSA系统)，它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的
著名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准
使用的都是RSA算法。

本文标题：vpn解决方案-98xxxx有限公司SSL-VPN解决方案
本文地址： http://www.61k.com/1164877.html