IPSec VPN网关
解决方案说明
天融信 TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119
http: //www.topsec.com.cn
网络卫士网关系列
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有 不得翻印© 1995-2006天融信公司
商标声明
本安装手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司
信息反馈
http://www.topsec.com.cnIPSec VPN网关产品说明
1 1.1 1.2 1.3 2 3 4 4.1 4.2 4.3
目 录
产品概述.......................................................................................................................................1 产品定义....................................................................................................................................1 应用趋势....................................................................................................................................1 天融信VPN方案简述..............................................................................................................2 产品特点.......................................................................................................................................3 产品主要功能...............................................................................................................................9 典型应用.....................................................................................................................................11 案例一:分级应用-- XX省XX 网络安全项目互联网络情况......................................11 案例二:全动态IP VPN应用--XX连锁超市拓扑.........................................................11 案例三:双机热备应用--XX专报系统实施拓扑图........................................................13
服务热线: 8008105119 i
IPSec VPN网关产品说明
1 产品概述
1.1 产品定义
IPSec VPN(Virtual Private Network,虚拟专用网)是遵循IPSEC国际标准,为用户基于因特网构建安全的虚拟专用网络而设计的系列产品形态。通过IPSec VPN产品用户可以实现总部与各个分支机构、企业与合作伙伴、移动办公人员的远程接入等多种网络互联需求,同时对这些远程网络中传输的数据提供私密性、完整性、不可否认性等安全防护手段。
1.2 应用趋势
在电子商务、电子政务开始被企业和政府等行业普遍应用的今天,不同的分支机构之间、不同的信息系统之间有着非常迫切的联网需求,如我们经常提到的ERP、CRM、SCM、OA、VOIP、视频等。对于企业来说,稍具规模的企业都不只具有一个分支机构,并且随着企业规模的不断扩大和业务的不断扩充,企业跨地区、跨国发展成为一种必然的趋势。同时企业中移动办公员工的数量也呈上升之势,企业之间的联系也日趋频繁、密切。政府及事业单位一直是中国信息化的先行者,政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得更为必要。政府部门的相关局、处、办、所往往遍布于城市的各区县,也经常需要与所管辖的事业单位交互信息。同时,政府人员的出差移动办公需求也日益迫切。
所有的应用,都离不开一个基本前提:都要先建立一个可以安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络,传统的做法对于大部分企业和很多政府机构来讲,无论在建设成本上还是后期维护上,要建立一个物理专网都是比较困难的。
随着Internet的迅猛发展及VPN技术的出现,为企业、政府信息化应用提供了良机和更好的选择。VPN是利用公共网络资源来构建的虚拟专用网络,它是通过特殊设计的硬件或软件直接在共享网络中通过隧道、加密技术来保证用户数据的安全性,提供与专用网络一样的安全和功能保障。使得整个企业网络在逻辑上成为一个单独的透明内部网络,具
服务热线: 8008105119 -1-
IPSec VPN网关产品说明
有安全性、可靠性和可管理性。今天,VPN虚拟专用网已经具有与专线几乎相近的稳定性和安全性。
1.3 天融信VPN方案简述
天融信公司历经十年发展的、荣获了多个奖项的网络卫士IPSEC VPN系列产品和整体解决方案是实时网络防护系统和安全传输系统的最佳选择。
TOPSEC IPSEC VPN解决方案将为您提供透明的端对端安全隧道。解决方案包含多种VPN网关和客户端、集中管理等。解决方案能够适应各种应用需求,适应于各种接入方式,并具有灵活的伸缩性和良好的可管理性。
TOPSEC IPSEC VPN解决方案包括VPN网关、客户端VRC、安全管理中心。VPN网关包括SJW11系列产品、TopVPN系列产品和带VPN功能的防火墙产品、UTM产品;客户端VRC支持多种操作系统,可免费下载;安全管理中心包括证书管理子系统、策略子系统、监控子系统、客户端自动分发系统等。
TOPSEC IPSEC VPN解决方案以应用为中心,构筑了一个安全的私有广域网平台,能同时满足各种应用环境、网络环境、政策要求、价位要求、功能要求和性能要求。
TOPSEC IPSEC VPN解决方案拥有国内最广泛的用户群,并且已经在全球性的业务网络中成功部署。
服务热线: 8008105119 -2-
IPSec VPN网关产品说明
2 产品特点
z 全面支持IPSec协议标准
本产品遵循RFC 1829、RFC 1828、RFC 1851、RFC 1852、RFC 2085、RFC 2401-12等一系列标准协议。天融信VPN产品经过严格的互通性测试,与CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通。
¾ 支持标准ESP、AH加密认证协议 ¾ 支持隧道模式、传输模式的协议封装格式 ¾ 支持IKE标准密钥协商协议
¾ 支持主模式、野蛮模式、快速模式多种协商模式 ¾ 支持证书认证和预共享密钥认识方式 ¾ 支持DES、3DES、AES等多种对称密钥算法 ¾ 支持MD5、SHA1等多种完整性验证算法 ¾ 支持RSA、DH等多种非对称密钥算法
z CleanVPN服务
企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
天融信VPN网关同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
z 支持全动态IP地址间建立VPN隧道
目前国内常用的因特网接入方案,包括电话拨号、ISDN拨号、ADSL宽带接入等,都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一
服务热线: 8008105119 -3-
IPSec VPN网关产品说明
过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成。天融信 VPN网关产品通过集中的VPN策略管理和DDNS无缝结合技术成功解决了双动态IP之间自动建立VPN隧道的问题。
z 支持最新的NAT穿越(NATT)协议
NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术。NAT与IPSec协议在原理上存在一定的矛盾,天融信 VPN全系列产品均支持最新的NATT协议标准,也支持双向NAT穿越,具有非常好的网络适应性。
z 通过隧道路由技术实现VPN网络的灵活自动部署
在实际物理网络部署中,网络管理员首先通过物理线路(可能是光纤、双绞线、电话线等)连接各个路由设备,然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSec VPN网络中,将每一条隧道视为连接两台VPN设备的虚拟网络线路,隧道建立成功后,虚拟线路连接工作就完成了。基于这些虚拟线路,网络管理员可以在IPSec VPN网关上采用同样的方法配置静态、动态路由协议,完成整个VPN网络的灵活部署。这种隧道路由机制的优点在于:
¾ 网关的配置概念和方法与路由器类似,减少网络管理员对于部署VPN网络的学习
和熟悉过程;
¾ 通过隧道路由规则的配置,可以完成VPN数据流在VPN网关之间的灵活转发,从
而可以实现星型网络拓扑,并解决双向NAT穿越问题;
¾ 通过动态隧道路由协议的配置,可以实现整个VPN网络的自适应部署,VPN网络
拓扑的自动学习、自动寻径;
¾ 通过基于策略的隧道路由配置,可以实现VPN网关的冗余备份和负载均衡。
z 完善的VPN网络集中管理功能
对于分支机构、营业网点遍布全国的大型企业或政府类垂直行业来讲,其业务网络系统具有分布地域广泛、接入点多、网络结构复杂等特点。如何确保企业内部网络的安全,有效地管理、维护遍布企业各个结点的VPN设备,保证网络的稳定运行,是VPN产品供应
服务热线: 8008105119 -4-
IPSec VPN网关产品说明
商必须解决的问题。天融信VPN解决方案在综合了大量的用户需求后,逐步形成了“统一认证、集中监控、分级管理”的VPN网络管理方案。并成功运用于许多特大型企业的VPN建设中。
z 支持标准的PKI体系
随着VPN技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。天融信IPSec VPN产品全面支持标准PKI体系结构:
¾ 支持标准X509.V3格式数字证书;
¾ 支持DER、PEM、PKCS12等多种证书编码格式; ¾ 支持通过LDAP等标准协议向第三方CA进行在线认证; ¾ 支持CRL列表文件的导入和通过HTTP自动下载CRL列表; ¾ 支持生成PKCS10格式的证书请求; ¾ 支持采用第三方CA证书进行隧道协商认证。
z 支持灵活的移动用户接入策略
VPN技术在远程移动办公领域的应用越来越广泛,因此支持安全灵活的移动用户接入策略已经成为VPN产品竞争的焦点。IPSec VPN产品支持丰富的移动用户接入策略,为各种需求的用户提供了完善的解决方案。
¾ 支持基于用户+口令的接入认证机制; ¾ 支持基于数字证书的接入认证机制; ¾ 支持基于证书+口令的双因子认证机制; ¾ 支持RADIUS/TARCAS/LDAP标准用户认证协议; ¾ 支持USB KEY、动态口令卡等强身份认证机制; ¾ 支持基于服务的移动用户的访问授权; ¾ 支持基于时间的移动用户访问控制; ¾ 支持移动用户的硬件特征码绑定机制。
服务热线: 8008105119 -5-
IPSec VPN网关产品说明
z 集成功能强大的防火墙功能
天融信IPSec VPN产品集成了天融信强大的防火墙产品功能,为用户的VPN网络提供高等级的边界安全防护。网络卫士防火墙产品所具有的防火墙功能在IPSec VPN产品中都具有,具体功能请参见网络卫士系列防火墙的产品说明。
天融信IPSec VPN产品实现了VPN隧道内的访问控制,实现了访问控制策略推送到VPN客户端远端执行,提高了VPN效率。
z 集成强大的网络路由功能
IPSec VPN网关为用户组网提供了强大的网络路由功能,完全可以作为独立的网络设备进行配置使用,主要功能如下:
¾ 支持静态路由、动态路由协议; ¾ 支持VLAN划分;
¾ 支持完善的带宽管理功能; ¾ 支持DNS代理功能; ¾ 支持DHCP服务器。
z 产品系列齐全
天融信VPN产品的最高端产品VPN吞吐量可以达到2Gbps,防火墙吞吐量可以达到10Gbps,可以胜任大型网络的防御任务,同时在各种测试和评比活动中也可以与国内外公司的同类高端产品相竞争。
天融信VPN产品的最底端产品VPN吞吐量只有2Mbps,满足价格敏感的用户的需求。
z 自主安全操作系统平台
采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
服务热线: 8008105119 -6-
IPSec VPN网关产品说明
TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
z 增强的网络链路适应性
采用证书压缩机制
IKE在使用证书方式进行第一阶段协商的时候,由于协商报文载荷较大,有时候会引起IP报文分片,而整个链路中中间设备对于分片报文的处理可能不一致,这样就会导致IKE的协商失败。为了避免这些问题,我们采用证书压缩机制,避免IP报文分片。
采用IPSEC碎包机制
所以采用预分片技术,再对分片后的报文进行隧道封装,提高了系统性能 隧道探测功能
在隧道协商过程中,不停的探测隧道状态,并在GUI管理器中显示探测结果。支持隧道自动恢复,当隧道建立成功后,VPN会每隔一定的时间间隔探测隧道状态,在对探测没有正常响应的情况下,VPN会停掉本方的隧道,并每隔一定的间隔试图去重建,一旦对方VPN或网络恢复正常,隧道就能够马上自动重新建立。
z 遂道交换、接力和嵌套
隧道交换
所谓隧道交换是指通过中心网关的交换策略,实现不同端用户只需和中心设备建立隧道就可以实现端用户间的互相访问。即所谓的单点接入,全网访问。
在中心处架设一台VPN,每个端用户与中心网关建立一条隧道,就可利用中心网关的隧道交换策略实现对其它所有端用户的访问。做到单点接入,全网访问。
隧道接力
服务热线: 8008105119 -7-
IPSec VPN网关产品说明
建立隧道如图A-C,C-B(图中绿色虚线所示),可以实现A的内部子网与B的内部子网间的访问(图中红色虚线所示)。
隧道嵌套
服务热线: 8008105119 -8-
IPSec VPN网关产品说明
3 产品主要功能
VPN网关产品:
¾ 支持CleanVPN技术,可清除VPN隧道病毒和蠕虫 ¾ 采用隧道技术:IPSec、L2TP、PPTP、天融信动态VPN
¾ 采用标准IPSEC和IKE协议,支持IP报文加解密、IP报文完整性认证和数据源
认证
¾ 支持完全的天融信的防火墙功能和防病毒功能(参见天融信防火墙功能列表),
支持隧道内访问控制等组合策略
¾ 支持TCP/IP、UDP、ICMP、IKE、 NAT/NAPT、DHCP等协议 ¾ 支持SNMP,提供IPSec MIB
¾ 支持与CISCO、NETSCREEN、CHECKPOINT、WINDOWS等产品互通 ¾ 支持网络与用户状态监控功能
¾ 支持全动态IP网关组建VPN网络、支持网关都在NAT设备之后组建VPN网络 ¾ 支持路由模式、透明模式、混合模式
¾ 支持网状、树状、星状VPN部署,支持隧道接力、嵌套、路由等 ¾ 支持DDNS部署模式
¾ 支持网关双机热备份,支持链路备份
¾ 支持预共享密钥、PKI /X.509证书认证功能;支持与RSA SecurID动态口令认
证结合;支持USB Key方式存储数字证书、配置信息以及用户名密码;支持与Radius、LDAP服务器配合,实施对接入用户的验证、授权和计费,支持本地数据库认证
¾ 支持国家密码管理委员会批准专用算法(SSF28和SCB2)和标准加密算法
安全集中管理:
¾ 支持集中的网关、客户端、用户的管理和监控 ¾ 支持集中的隧道管理和监控 ¾ 支持统一的证书管理
¾ 支持全网状态监控与全网日志审计
服务热线: 8008105119 -9-
IPSec VPN网关产品说明
¾ 支持客户端自动部署 ¾ 支持管理中心双机热备 ¾ 支持多级管理中心
客户端VRC:
¾ 可实现与客户端、网关建立安全通信
¾ 可在与网关建立的隧道中与网关内部的主机建立二次隧道 ¾ 支持远端内网内部DNS和WINS服务器
¾ 支持自动或人工从远端内网获取私有地址的功能 ¾ 支持与USB设备绑定、支持与客户端物理特征绑定功能 ¾ 支持预共享密钥、X.509证书、RADIUS、LDAP等身份认证方式 ¾ 支持标准算法和专用算法(SSF33和SCB2) ¾ 支持纯密、明密结合、端点检查等多种应用模式
¾ VPN客户端支持无线、DHCP、802.1x、ADSL、PSTN、CDMA、GPRS、CABLE、小区
宽带等各种接入方式
¾ 支持客户端日志管理和状态监测 ¾ 支持客户端系统的自动统一部署 ¾ 支持隧道数据压缩 ¾ 支持多种操作系统 ¾ 支持PPTP、L2TP接入
服务热线: 8008105119 -10-
IPSec VPN网关产品说明
4 典型应用
4.1 案例一:分级应用-- XX省XX 网络安全项目互联
网络情况
层次分明的网络结构,共分5级;
¾ 省市分支机构采用租用DDN专线或帧中继的方法上网; ¾ 移动用户与远端用户通过拨号线路进入各自独立的内部网; ¾ 信息数据传输流程是逐级上传,同时上级也可直接向下级获取数据。
4.2 案例二:全动态IP VPN应用--XX连锁超市拓扑
SCM服务器通过向DDNS服务器注册获得动态域名,所有的VPN设备通过访问该域名获得SCM系统的IP,从而向SCM系统认证,获得隧道策略,自动建立隧道。
服务热线: 8008105119 -11-
IPSec VPN网关产品说明
服务热线: 8008105119 -12-
IPSec VPN网关产品说明
4.3 案例三:双机热备应用--XX专报系统实施拓扑图
服务热线: 8008105119 -13-
IPSec VPN网关产品说明
声明:
1. 2.
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信不另行通知。 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,此可能产生的差异为正常现象,产品功能和性能请以产品说明书为准。 3.
本手册中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,如引起相关纠纷应属于自行推测或误会,天融信对此没有任何立场。 4.
本手册中提到的信息为正常公开的信息,若因本手册或其所提到的任何信息引起了他人直接或间接的资料流失、利益损失,天融信及其员工不承担任何责任。
服务热线: 8008105119 -14-
因篇幅问题不能全部显示,请点此查看更多更全内容