阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSec SA的协商。
设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。因此,IPSec协议中涉及各种密码算法,具体的加密和认证算法的选择因IPSec的实现不同而不同,但为了保证互操作性,IPSec中规定了每个IPSec实现要强制实现的算法。IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法,而认证算法是HMAC-MD5、HMAC-SHA-1和NULL认证算法。必须强调指出的是,高强度的密码算法是国家专控商品,至今美国仍实行对加密长度超过128位的加密算法的出口限制。我国颁布的《中华人民共和国商用密码管理条例》中规定,“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”,“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”,因此在选择VPN产品时,应采用经过国家密码管理机构认可的产品。
1.3.3 IPSec的实现方式
IPSec的一个最基本的优势是它可以在各种网络设备、主机服务器或工作站上完全实现,从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端,可以在路由器、防火墙、代理网关等设备中实现VPN网关;在客户端,IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性:传输模式和隧道模式。
传送模式通常当通讯发生在主机(客户机或服务器)之间时使用。传输模式使用原始明文IP头,AH或ESP被插在IP头之后但在所有的传输层协议之前。由于没有对原始IP头进行加密,因此传输模式不能抗数据流量分析。
隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。在隧道模式下,AH或ESP被插在原始IP头之前,同时生成一个新的IP头,并用自己的地址作为源地址加入到新的IP头。当隧道模式用于用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
1.3.4 IPSec与NAT协同工作
网络地址转换(NAT)是IETF为了解决IPv4协议定义的IP地址不足问题而提出的一种解决方案。它的主要工作原理是:在内部网络中使用IPv4保留的私有地址对主机进行地址分配,同时在NAT网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP地址(通常为NAT网关的外网口地址)。
在多数情况下NAT的处理对用户使用是完全透明的,但是当希望使用IPSec技术组建VPN网络时,NAT却带来了很大的麻烦。由于NAT处理过程是需要修改IP数据报文的IP头数据、传输层报文头数据甚至传输数据的内容(如FTP应用),而在IPSec协议中是对整个IP报文数据进行了加密和完整性认证处理的,所以一旦经过IPSec处理的IP包穿过NAT网关
时,包内容被网关所改动,改数据包到达目的主机后其解密或完整性认证处理就会失败,于是这个报文被认为是非法数据而被丢弃。这就是组建VPN网关最常见的“IPSec与NAT协调工作”的问题。
为了解决这个问题IETF专门为IPSec制定的“NAT穿越(NATT)”的协议草案,是2002年刚刚提出的。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装,这样当此数据包穿过NAT网关时,被修改的只是最外层的IP/UDP数据,而对其内部真正的IPSec数据没有进行改动;在目的主机处再把外层的IP/UDP封装去掉,就可以获得完整的IPSec数据包。
由于NATT协议标准制定的时间还比较短,而且还没有最终形成RFC的标准,所以目前国内VPN厂商真正支持这个标准的产品几乎没有,国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准。网御VPN的全系列产品(从网关到移动客户端软件)都支持最新的NATT标准。由于NAT技术在国内的广泛应用,所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。 第二章 联想网御VPN产品特点
在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,联想网御公司推出了面向企业用户并具有完全知识产权的VPN系列产品。联想网御VPN产品要达到的目标是:采用联想网御VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方
式),就能够像是用专线互联一样方便安全地交换和共享数据。 完备的VPN系统
联想网御VPN产品由VPN安全网关、VPN客户端以及集中管理平台组成。VPN安全网关可以实现用户网络到网络安全访问,VPN客户端帮助用户实现远程接入用户的安全访问。集中管理平台可以帮助用户轻松管理多层次多节点的大型VPN系统。
全面支持IPSec协议标准
IPSec作为一个全球性的安全标准,要求所有IPSec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。联想网御VPN产品经过严格的互通性测试,和CISCO、NetScreen等着名厂家的VPN产品可以实现互通(采用标准算法)。
支持最新的NAT穿越(NATT)协议
NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NAT与IPSec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPSec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。网御VPN的全系列产品均支持最新的NATT协议标准,具有非常好的网络适应性。
集成SSL VPN接入功能
联想网御VPN网关中集成开发了功能强大的SSLVPN功能,移动办公用户不需要安装客户端就可以通过SSLVPN安全的访问内部网络。
移动用户只需要通过浏览器打开联想网御VPN网关的SSLVPN入口网页,就可以建立隧道。隧道建立后,可以透明的访问内部网络。SSLVPN支持所有的动态协议。
联想网御VPN网关中SSL VPN功能特点:
无客户端,部署方便
终端用户无需配置,使用方便
支持B/S、C/S各种应用
支持隧道内包过滤
支持代理和NAT接入方式
支持3DES、DES、AES等加密算法以及SHA1、MD5 摘要算法
支持基于USBKey的证书认证
支持IP地址动态分配
支持多个保护网络
联想网御VPN产品白皮书V
