分享
 
 
 

3Com防火墙实现VPN功能

王朝other·作者佚名  2008-06-01
窄屏简体版  字體: |||超大  

VPN技术是指在公共的网络平台上传输用户私有的数据,实现方式是在公网

如Internet上搭建隧道,从而使得在不安全的互联网上传输私有数据得到保证。这种技

术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。

目前与企业相关的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道

协议L2TP,网络层隧道协议IPSec。而VPN在企业中的组网方式分四种:远程访问(客户

端到网关),分支机构互连(网关到网关),Extranet VPN(网关到网关,用于合作伙

伴/客户等),Intranet VPN。在各种组网方式下要仔细选用不同的隧道协议。

支持VPN的产品种类很多,包括路由器,主机网关,拨号接入设备,隧道加

密机,隧道交换机等等。但利用防火墙支持VPN越来越流行,因为它既能提供VPN实现网

络互连,又能保护企业内部的资源免受外部网络的攻击。因此,带VPN功能的防火墙可

以提供更全面的安全解决方案。

3Com公司防火墙VPN产品

目前,3Com公司的防火墙产品包括两种型号:

* SuperStack 3防火墙

* OfficeConnect DMZ防火墙

SuperStack 3防火墙主要用于企业中心以及大型分支办公室,

OfficeConnect DMZ防火墙只要用于小型分支办公室。

这两种VPN防火墙都采用实时操作系统,并经过修剪,专门用于网络安全功

能,彻底避免了传统软件防火墙由于依靠UNIX和Windows NT操作系统而带来的潜在漏

洞。同时,采用高性能安全防火墙引擎,提供状态包检测保护,属于专用硬件防火墙,

能够为大中小企业提供高性能价格比的解决方案。

为了提供高性能,高安全性的VPN,3Com公司防火墙采用专用硬件加速引

擎,并采用标准的网络层IPsec 协议。下面介绍IPsec VPN与其它两种VPN协议的比较。

点到点隧道协议-PPTP

PPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就

可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格

的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中

.GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支

持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机

制,但它继续了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制

MPPE。

第二层隧道协议-L2TP

L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议

的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP

上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。与

PPTP类似,L2TP也可支持多种协议。L2TP协议本身并没有提供任何加密功能。

IPsec协议

IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定

义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工

作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),

或主机与网关之间。

IPsec协议分两种:ESP和AH,这两种协议都可以提供网络安全,如数据源认

证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中

继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能

够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。

IPsec的安全服务要求支持共享钥匙完成认证和/或保密。在IPsec协议中引

入了一个钥匙治理协议,称Internet钥匙交换协议-IKE,该协议可以动态认证IPsec对

等体,协商安全服务,并自动生成共享钥匙。

IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工

作方式:传输方式保护上层协议如TCP;隧道方式保护整个IP包。在传输方式下,IPsec

包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP

包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可

以工作在传输方式下或隧道方式下。

L2TP与IPsec传输方式的集成

鉴于IPsec缺少用户认证,只支持IP协议,目前有一种趋势将L2TP和IPsec结

合起来使用,采用L2TP作为隧道协议,而用IPsec协议保护数据。

PPTP和L2TP都支持多协议,但要记住L2TP协议缺少数据保密性的保护。PPTP

和L2TP都不具有机器认证的能力,而必须依靠于用户认证。

在所有的VPN协议中,IPsec提供最好的安全性,但IPsec无法提供用户认

证,也不支持多协议。许多厂家都采用的附加的特性来支持用户认证,比如支持Radius

协议。IPsec协议十分灵活,可以满足所有网关到网关的VPN连接。

3Com防火墙VPN解决方案

通过前面几种VPN协议的分析比较,可以看出3Com公司防火墙VPN采用IPsec

协议的优势。同时基于防火墙的VPN还可以充分利用防火墙安全机制的优势。3Com防火

墙采用专用硬件加密处理器来加密和解密VPN数据流,而主核心处理器只负责状态包检

测功能。因此3Com公司防火墙的VPN性能极高,比如SuperStack 3防火墙可以提供

45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。

3Com防火墙采用IPsec隧道方式提供网关到网关以及客户端到网关的VPN连

接,用于分支机构,远程工作人员,客户以及合作伙伴对企业网络的访问。拓扑结构见

附图。

对于网关到网关VPN,SuperStack 3防火墙支持1000个并发VPN隧道,支持手

工密钥方式以及IKE动态密钥方式;对于客户端到网关VPN,SuperStack 3防火墙支持

64000个并发VPN客户端;3Com防火墙支持14种认证/加密算法.

由于IPsec协议不支持用户认证,因此在远程用户访问VPN环境下,3Com公司

防火墙VPN支持Radius协议,通过Radius服务器提供客户端VPN的用户认证。

为简化远程用户访问VPN在防火墙中的配置,3Com 防火墙支持GroupVPN配置

功能,一个Group VPN答应100个使用IKE方式的VPN客户端接入。3Com防火墙还免费提供

客户端VPN软件SafeNet/IRE VPN。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有