米葫芦网

用3Com防火墙实现VPN功能

热度:6℃ 发布时间:2023-11-16 19:38:10

VPN技术是指在公共的网络平台上传输用户私有的数据,实现方式是在公网如Internet上搭建隧道,从而使得在不安全的互联网上传输私有数据得到保证。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
目前与企业相关的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道协议L2TP,网络层隧道协议IPSec。而VPN在企业中的组网方式分四种:远程访问(客户端到网关),分支机构互连(网关到网关),Extranet VPN(网关到网关,用于合作伙伴/客户等),Intranet VPN。在各种组网方式下要仔细选用不同的隧道协议。
支持VPN的产品种类很多,包括路由器,主机网关,拨号接入设备,隧道加密机,隧道交换机等等。但利用防火墙支持VPN越来越流行,因为它既能提供VPN实现网络互连,又能保护企业内部的资源免受外部网络的攻击。因此,带VPN功能的防火墙可以提供更全面的安全解决方案。
3Com公司防火墙VPN产品
目前,3Com公司的防火墙产品包括两种型号:
SuperStack 3防火墙
OfficeConnect DMZ防火墙
SuperStack 3防火墙主要用于企业中心以及大型分支办公室,OfficeConnect DMZ防火墙只要用于小型分支办公室。
这两种VPN防火墙都采用实时操作系统,并经过修剪,专门用于网络安全功能,彻底避免了传统软件防火墙由于依靠UNIX和Windows NT操作系统而带来的潜在漏洞。同时,采用高性能安全防火墙引擎,提供状态包检测保护,属于专用硬件防火墙,能够为大中小企业提供高性能价格比的解决方案。
为了提供高性能,高安全性的VPN,3Com公司防火墙采用专用硬件加速引擎,并采用标准的网络层IPsec 协议。下面介绍IPsec VPN与其它两种VPN协议的比较。
点到点隧道协议-PPTP
PPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中.GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继续了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。
第二层隧道协议-L2TP
L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。与PPTP类似,L2TP也可支持多种协议。L2TP协议本身并没有提供任何加密功能。
IPsec协议
IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。
IPsec协议分两种:ESP和AH,这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。
IPsec的安全服务要求支持共享钥匙完成认证和/或保密。在IPsec协议中引入了一个钥匙治理协议,称Internet钥匙交换协议-IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。
IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工作方式:传输方式保护上层协议如TCP;隧道方式保护整个IP包。在传输方式下,IPsec包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可以工作在传输方式下或隧道方式下。
L2TP与IPsec传输方式的集成
鉴于IPsec缺少用户认证,只支持IP协议,目前有一种趋势将L2TP和IPsec结合起来使用,采用L2TP作为隧道协议,而用IPsec协议保护数据。
PPTP和L2TP都支持多协议,但要记住L2TP协议缺少数据保密性的保护。PPTP和L2TP都不具有机器认证的能力,而必须依靠于用户认证。
在所有的VPN协议中,IPsec提供最好的安全性,但IPsec无法提供用户认证,也不支持多协议。许多厂家都采用的附加的特性来支持用户认证,比如支持Radius协议。IPsec协议十分灵活,可以满足所有网关到网关的VPN连接。
3Com防火墙VPN解决方案
通过前面几种VPN协议的分析比较,可以看出3Com公司防火墙VPN采用IPsec协议的优势。同时基于防火墙的VPN还可以充分利用防火墙安全机制的优势。3Com防火墙采用专用硬件加密处理器来加密和解密VPN数据流,而主核心处理器只负责状态包检测功能。因此3Com公司防火墙的VPN性能极高,比如SuperStack 3防火墙可以提供45Mbps的3DES吞吐量,21Mbps 的ARC4吞吐量。
3Com防火墙采用IPsec隧道方式提供网关到网关以及客户端到网关的VPN连接,用于分支机构,远程工作人员,客户以及合作伙伴对企业网络的访问。拓扑结构见附图。
对于网关到网关VPN,SuperStack 3防火墙支持1000个并发VPN隧道,支持手工密钥方式以及IKE动态密钥方式;对于客户端到网关VPN,SuperStack 3防火墙支持64000个并发VPN客户端;3Com防火墙支持14种认证/加密算法.
由于IPsec协议不支持用户认证,因此在远程用户访问VPN环境下,3Com公司防火墙VPN支持Radius协议,通过Radius服务器提供客户端VPN的用户认证。
为简化远程用户访问VPN在防火墙中的配置,3Com 防火墙支持GroupVPN配置功能,一个Group VPN答应100个使用IKE方式的VPN客户端接入。3Com防火墙还提供客户端VPN软件SafeNet/IRE VPN。

网友评论
评论
发 布

更多软件教程
  • 软件教程推荐
更多+
Greenfoot设置中文的方法

Greenfoot设置中文的方法

Greenfoot是一款简单易用的Java开发环境,该软件界面清爽简约,既可以作为一个开发框使用,也能够作为集成开发环境使用,操作起来十分简单。这款软件支持多种语言,但是默认的语言是英文,因此将该软件下载到电脑上的时候,会发现软件的界面语言是英文版本的,这对于英语基础较差的朋友来说,使用这款软件就会...

07-05

Egret UI Editor修改快捷键的方法

Egret UI Editor修改快捷键的方法

Egret UI Editor是一款开源的2D游戏开发代码编辑软件,其主要功能是针对Egret项目中的Exml皮肤文件进行可视化编辑,功能十分强大。我们在使用这款软件的过程中,可以将一些常用操作设置快捷键,这样就可以简化编程,从而提高代码编辑的工作效率。但是这款软件在日常生活中使用得不多,并且专业性...

07-05

KittenCode新建项目的方法

KittenCode新建项目的方法

KittenCode是一款十分专业的编程软件,该软件给用户提供了可视化的操作界面,支持Python语言的编程开发以及第三方库管理,并且提供了很多实用的工具,功能十分强大。我们在使用这款软件进行编程开发的过程中,最基本、最常做的操作就是新建项目,因此我们很有必要掌握新建项目的方法。但是这款软件的专业性...

07-05

Thonny设置中文的方法

Thonny设置中文的方法

Thonny是一款十分专业的Python编辑软件,该软件界面清爽简单,给用户提供了丰富的编程工具,具备代码补全、语法错误显示等功能,非常的适合新手使用。该软件还支持多种语言,所以在下载这款软件的时候,有时候下载到电脑中的软件是英文版本的,这对于英语基础较差的小伙伴来说,使用这款软件就会变得十分困难,...

07-05

最新软件下载