VPN技术是指在公共的网络平台上传输用户私有的数据,实现方式是在公网
如Internet上搭建隧道,从而使得在不安全的互联网上传输私有数据得到保证。这种技
术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
目前与企业相关的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道
协议L2TP,网络层隧道协议IPSec。而VPN在企业中的组网方式分四种:远程访问(客户
端到网关),分支机构互连(网关到网关),Extranet VPN(网关到网关,用于合作伙
伴/客户等),Intranet VPN。在各种组网方式下要仔细选用不同的隧道协议。
支持VPN的产品种类很多,包括路由器,主机网关,拨号接入设备,隧道加
密机,隧道交换机等等。但利用防火墙支持VPN越来越流行,因为它既能提供VPN实现网
络互连,又能保护企业内部的资源免受外部网络的攻击。因此,带VPN功能的防火墙可
以提供更全面的安全解决方案。
3Com公司防火墙VPN产品
目前,3Com公司的防火墙产品包括两种型号:
* SuperStack 3防火墙
* OfficeConnect DMZ防火墙
SuperStack 3防火墙主要用于企业中心以及大型分支办公室,
OfficeConnect DMZ防火墙只要用于小型分支办公室。
这两种VPN防火墙都采用实时操作系统,并经过修剪,专门用于网络安全功
能,彻底避免了传统软件防火墙由于依靠UNIX和Windows NT操作系统而带来的潜在漏
洞。同时,采用高性能安全防火墙引擎,提供状态包检测保护,属于专用硬件防火墙,
能够为大中小企业提供高性能价格比的解决方案。
为了提供高性能,高安全性的VPN,3Com公司防火墙采用专用硬件加速引
擎,并采用标准的网络层IPsec 协议。下面介绍IPsec VPN与其它两种VPN协议的比较。
点到点隧道协议-PPTP
PPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就
可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格
的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中
.GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支
持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机
制,但它继续了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制
MPPE。
第二层隧道协议-L2TP
L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议
的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP
上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。与
PPTP类似,L2TP也可支持多种协议。L2TP协议本身并没有提供任何加密功能。
IPsec协议
IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定
义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工
作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),
或主机与网关之间。
IPsec协议分两种:ESP和AH,这两种协议都可以提供网络安全,如数据源认
证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中
继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能
够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。
IPsec的安全服务要求支持共享钥匙完成认证和/或保密。在IPsec协议中引
入了一个钥匙治理协议,称Internet钥匙交换协议-IKE,该协议可以动态认证IPsec对
等体,协商安全服务,并自动生成共享钥匙。
IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工
作方式:传输方式保护上层协议如TCP;隧道方式保护整个IP包。在传输方式下,IPsec
包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP
包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可
以工作在传输方式下或隧道方式下。
L2TP与IPsec传输方式的集成
鉴于IPsec缺少用户认证,只支持IP协议,目前有一种趋势将L2TP和IPsec结
合起来使用,采用L2TP作为隧道协议,而用IPsec协议保护数据。
PPTP和L2TP都支持多协议,但要记住L2TP协议缺少数据保密性的保护。PPTP
和L2TP都不具有机器认证的能力,而必须依靠于用户认证。
在所有的VPN协议中,IPsec提供最好的安全性,但IPsec无法提供用户认
证,也不支持多协议。许多厂家都采用的附加的特性来支持用户认证,比如支持Radius
协议。IPsec协议十分灵活,可以满足所有网关到网关的VPN连接。
3Com防火墙VPN解决方案
通过前面几种VPN协议的分析比较,可以看出3Com公司防火墙VPN采用IPsec
协议的优势。同时基于防火墙的VPN还可以充分利用防火墙安全机制的优势。3Com防火
墙采用专用硬件加密处理器来加密和解密VPN数据流,而主核心处理器只负责状态包检
测功能。因此3Com公司防火墙的VPN性能极高,比如SuperStack 3防火墙可以提供
45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。
3Com防火墙采用IPsec隧道方式提供网关到网关以及客户端到网关的VPN连
接,用于分支机构,远程工作人员,客户以及合作伙伴对企业网络的访问。拓扑结构见
附图。
对于网关到网关VPN,SuperStack 3防火墙支持1000个并发VPN隧道,支持手
工密钥方式以及IKE动态密钥方式;对于客户端到网关VPN,SuperStack 3防火墙支持
64000个并发VPN客户端;3Com防火墙支持14种认证/加密算法.
由于IPsec协议不支持用户认证,因此在远程用户访问VPN环境下,3Com公司
防火墙VPN支持Radius协议,通过Radius服务器提供客户端VPN的用户认证。
为简化远程用户访问VPN在防火墙中的配置,3Com 防火墙支持GroupVPN配置
功能,一个Group VPN答应100个使用IKE方式的VPN客户端接入。3Com防火墙还免费提供
客户端VPN软件SafeNet/IRE VPN。