迅速发展的广域网技术使公网带宽成倍增长,同时又为企业VPN网络提供了广阔的发展空间。VPN技术已逐渐成为企业网安全建设的必要选择。本文针对市场应用的发展需求, 介绍了企业移动办公VPN应用和NAT情况下的VPN应用方案,及其采用硬件加速VPN处理的重要性。
一.企业移动办公VPN应用
VPN功能支持PPTP,L2TP和IPsec三种VPN协议,提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说,既可以使用PPTP/L2TP拨号软件, 也可以使用客户端IPsec软件,和企业建立VPN的连接。用 IPsec 客户端软件的好处是高度的安全性保证,可以采用动态的密钥,保证数据的安全。IPsec可确保运行在TCP/IP协议上的VPN之间的互操作性。
对于移动的办公室、出差用户、及采用ADSL上网的分支办公室, 安全网关, 例如FortiGate,提供带防火墙的VPN应用,对于用户来讲,功能齐全, 配置和使用都非常方便。分支办公室动态地址方式、移动办公用户、出差用户和总部中心的VPN连接解决方案,如下图所示。
图一: 移动用户VPN解决方案
二. NAT情况下的VPN应用
当企业总部需要对分支企业或分部进行统一的远程安全管理时,一项简单易用的 网络地址转换NAT Traveral 技术 ,称为VPN下的NAT穿越。应用方式是在NAT情况下, 保证远程VPN管理数据的正常应用。 当前在国内IP地址紧张的情况下,很多的分支企业都是通过服务商提供的私有网络地址连接公网的,在服务商的网络出口处统一进行地址转换。
这种情况下,企业总部对分支企业进行远程安全管理时,VPN往往无法正常建立, PPTP、IPsec协议不能成功建立。 如果VPN产品能够支持NAT Traversal技术,则可以忽略服务商的NAT翻译过程,保证企业远程管理VPN的正常应用。
图二:VPN在NAT方式下的解决方案
在VPN设计中,FortiGate网关可以支持双向的NAT处理,使远程办公室的主机以本地IP地址的方式出现,增强了网络兼容性。VPN的策略控制设计,使管理员可以灵活控制使用VPN通道的IP地址、服务、时间等参数,增强了VPN安全控制。
利用 NAT Traversal技术,在两个网关设备建立VPN的时候,中间任何的NAT转换的发生都不会影响VPN的建立,完全解决了NAT情况下的VPN连接问题,对VPN设备的应用具有深远的影响。同时各企业分部可以统一在总部进行通道的交换,利用Hub-and-Spoke技术实现星型VPN的设计结构,通过总部可以完全控制所有分部的数据访问,这样大大减少了VPN通道的数量,降低了管理成本。
三.ASIC芯片保障线速VPN
VPN的数据处理必须采用专用的硬件芯片处理,专用的ASIC芯片技术,能高效地处理复杂的VPN加密和认证过程,极大加快了VPN通道的建立速度和数据加/解密的除了时间,真正达到了线速的VPN处理速度。
ASIC的内容处理器以独特的设计方式, 解决了防火墙设备处理高速加密数据流的瓶颈问题,并通过简单易用的WEB管理,提供给用户人性化的管理界面。高性能的VPN加密处理 (DES,3DES,MD5,SHA1) 使企业可以充分利用VPN技术,无须考虑设备处理速度的影响, 构建自己的Intranet网络,使VPN技术能真正在宽带网络中得到应用。