冯向辉
摘 要:北电网络提供的 Contivity 解决方案不仅可以使用户建立各种类型的VPN,而且还可以把这些VPN集成到未来的融合话音和数据的网络中。该方案已实现了安全路由选择;可通过多种技术支持鉴权功能,从而实现安全接入;允许用户使用其各自的安全性配置文件设置;其设计中没有“后门”。重点介绍了Contivity2700网关的主要特征及其优势。
主题词:安全路由技术 Contivity2700 北电网络
目前,通过调制解调器或专用线路连接互联网用户的方式正逐渐被虚拟专用网(VPN)所代替,VPN使用户可以通过互联网安全通信。北电网络提供的 Contivity 解决方案不仅可以使客户建立各种类型的VPN,而且还可以把这些VPN集成到未来的融合话音和数据的网络中。在北电网络看来,明天的VPN将发展成为高速、安全的网络,将在公共互联网上安全融合所有业务,包括数据、话音和视频。
IPSec VPN是保证重要信息在公共互联网上传输时不会被泄露的最好选择。IPSec 有效地保证了数据的私密性、完整性、鉴权和可查性。IPSec 分两种工作模式:隧道模式、传输模式。当许多主机通过IPSec VPN网关建立隧道安全通信时,则采用隧道模式。北电网络已解决了在IPSec隧道上实现安全路由的问题,为IPSec VPN 的普及打下了坚实的基础。
安全路由技术
所谓的安全路由技术即如何在IPSec VPN隧道上实现动态路由选择技术。
1.安全路由技术的实现
要在IPSec隧道上实现动态路由技术,必需找到两个通信端点的SA(Security Association,如果该SA不存在,则启动IKE(Internet Key Exchange来为该通信端点建立SA。一旦该SA建立,就只允许这两个通信端点相互交流,其余数据均被禁止(除非通过IKE建立新的SA)。
假设IPSec VPN隧道已建立,并且由IKE为动态路由协议(OSPF, RIP, Etc.建立了允许动态路由协议包通过的SA,VPN两端的路由信息通过该SA互相学取,建立了动态路由表,那么当两端的用户根据该路由信息通信时,又需要通过IKE为各自通信的端点重新建立SA,而如果网络状态有变导致某网段消失,则又需要通过IKE删除相关的SA,工作过程非常复杂,开销太大,不能接受,并且目前IPSec规范中没有该标准。有的厂家为了解决该问题,只好把数据额外封装到GRE(General Routing Encapsulation隧道上。由于数据封装次数太多,导致数据开销过大,因此没有被市场接受。
可见要实现安全路由技术,关键在于建立一种特定的SA。北电网络的Contivity已实现了安全路由选择(SRT。
北电网络的Contivity操作组件具有以下优势。
(1)安全路由选择
SRT支持IPSec隧道上的动态路由。Contivity符合IPSec标准,能够将虚拟IP接口映射到IPSec隧道。当通过隧道传输IP业务时,Contivity的动态路径避免了额外的状态处理和数据包开销(每个数据包多达24 B)。
(2)安全接入
所有与Contivity的连接或通过Contivity的连接,不管是隧道化或非隧道化连接,都可被安全化。用户、用户组和远端站点均拥有唯一的一个过滤配置文件。配置文件被存储在一个LDAP数据库中,以便在单一设备或多个Contivity设备中实现公共策略设置。Contivity通过多种技术支持鉴权功能,这些技术包括RADIUS、数字证书、智能卡和令牌卡等。
(3)安全策略
SRT允许每个用户、用户组或分支办公室分别使用各自的安全性配置文件设置。该配置文件保存个人信息,不管他是在家中还是在办公室,而且,不管是运行在隧道化还是非隧道化连接上,都以同样的方式应用鉴权和接入权限。
(4)安全管理
Contivity的设计中没有“后门”。通过安全加密隧道进行配置是Contivity因特网(或公共)接口支持的唯一模式,在该接口中内置了拒绝服务(DoS)保护。Contivity还记录所有的安全性/鉴权事务处理和事件,它们可存储在Contivity的本地硬盘驱动器中或存储在设备以外的介质中,依赖于企业的安全性实践。
单一硬件设备以一种高度集成的方式提供IP路由、VPN、状态防火墙、加密、鉴权、策略服务、QoS和带宽管理业务。利用其全面的IP服务,单一Contivity设备可以解决处理通常需要多个专用IP和安全性设备来解决的问题。此外,灵活的软件许可系统允许企业在需要时增加多种IP业务。
Contivity构建于北电网络安全路由技术(SRT)框架之上,SRT集成了Contivity的主要功能组件(如管理、接入、路由、和策略),在这些设备上编织了一个坚固的安全架构。即使是在同一个设备上运行多种IP业务,它也可提供扩展性和较高的性能。
SRT同时还能实现密钥功能,如安全IPSec隧道上的动态路由(RIP/OSPF)、VPN、防火墙和路由业务的公共用户安全策略,以及在需要时增加新的IP设备而不影响总体性能。
北电网络安全路由技术能将VPN集成到现有路由器中,升级软件以便通过安全协议来处理话务;为每个设备添加加密卡支持和实施上述网络升级。
2.安全路由技术的发展
要实现IPSec VPN及安全路由技术大面积的推广,还需确保IPSec VPN实现网络地址转换的功能,远端节点极有可能处于保留地址段,该远端节点若要采用IPSec VPN连接中心节点,必须实现网络地址转换(NAT)的功能。
由于 IPSec VPN协议架构本身的原因以及缺乏支持IPSec 的NAT设备,当IPSec和NAT在一起运行时就会出现很多问题。
NAT 有静态NAT和动态NAT两种类型。其中静态NAT允许数据主动进出网络,而动态NAT只允许数据主动流出网络,出网时把源地址转换为合法地址,进网时则把目标地址转换为原来的内部地址,以达到与公网互通的目的。
IPSec 的许多特性阻止了NAT的运行,如IKE 必需保证源UDP端口=目的UDP端口=500,此特性阻止了PAT多对一的运行,IPSec AH 方式不允许改变任何IP 地址,以满足认证功能与完整性功能,因此阻止了任何类型NAT的运行。在ESP 传输模式下,NAT设备无法修改TCP CHECKSUM,因此也无法运行NAT。这些限制严重阻碍了IPSec VPN的普及,无法把IPSec推向网络边缘。而北电网络Contivity解决方案成功解决了该问题,让IPSec VPN 走向网络边缘成为可能。保证了建网的灵活性。
北电网络推出五种Contivity安全IP业务网关,其中Contivity 1010,1050和1100可为要求站点间或远程接入VPN应用及简单因特网连接的小型分支机构、家庭办公室及小型企业提供经济高效、安全的一体化解决方案;Contivity 1700和2700则适用于大中型分支机构。
Contivity 2700简介
Contivity 2700的主要特征及优势见表1。
1.为因特网提供安全保障
Contivity安全IP服务网关属于下一代产品系列,旨在通过单一集成的平台来提供安全性和IP服务。专门为企业边缘(企业专用网络和公共IP网络之间的交点)而设计,通过一套基于软件的全面IP服务,Contivity使企业能够在今天方便地部署所需的服务,并可以在将来灵活地增加新业务,所有服务都无需成本高昂的硬件升级。服务供应商同样可以提供新的增值IP服务和安全性服务,无须中断现有网络基础设施。
Contivity 2700在单一集成平台上提供IP路由、VPN、状态防火墙、加密、鉴权、目录和策略服务、QoS以及带宽管理服务,可服务于企业安全IP服务市场。当用作总部解决方案时,它可以为需要安全因特网(如VPN网关、防火墙)或安全IP路由设备的大中型企业的数据中心提供服务。该产品还可以部署在要求安全性和/或安全IP路由服务并需要连接总部数据中心的企业大型分支机构中,通过全面的WAN服务(包括T1/E1,V.35/X.21,V.90 和ISDN以及帧中继), Contivity 2700可以作为企业的全能型IP边缘解决方案,实现到因特网或IP网络的安全连接。
由于Contivity 2700具有1.33 GHz处理器、集成LAN/WAN接口以及多种安全IP服务等功能,成为适用于大中型企业站点的经济解决方案。
2.保证安全性
Contivity 2700采用了Contivity产品系列中相同的SRT框架,可以在单一Contivity设备中,实现一致的安全性结构。即使在同一设备中运行多种IP服务,它也可以提供扩展性和较高的性能。SRT还提供一些关键特性(如IPSec VPN隧道上的动态路由、VPN中的公共安全性策略、路由和防火墙服务),灵活的许可证使企业能够在需要时启动新的IP服务。
Contivity 2700 的优势在于降低了设备总成本、通过安全设计保证安全性、具有灵活和安全的IP服务以及全面丰富的管理服务。
Contivity系列产品多年来一直都在履行其提供安全端到端VPN的承诺。IP-VPN功能被嵌入到了所有Contivity 2700设备中,无论是按具有5条VPN隧道的安全路由器来订购,还是按具有最多2 000条VPN隧道的VPN网关来购买。
3.灵活的IP服务
Contivity 2700可以和现有的路由、鉴权、目录和安全性系统互操作,能够为新IP服务的过渡发挥桥梁作用。它可以作为因特网接入设备、安全VPN网关或防火墙解决方案来部署,能很方便地进行升级,增加新的服务。高级路由软件能够使Contivity 2700与现有的路由器基础设施进行互操作。对LDAP,RADIUS以及X.509数字证书的支持使Contivity 2700能够与现有的鉴权和/或目录系统互操作。
摘自北极星网站