VPN測(cè)試遠(yuǎn)程視頻交流

銳捷VPN網(wǎng)關(guān)系列產(chǎn)品與技術(shù)培訓(xùn)---內(nèi)部培訓(xùn)技術(shù)支持部袁向衛(wèi)

2009年9月11日VPN測(cè)試遠(yuǎn)程視頻交流RG-VPN產(chǎn)品系統(tǒng)介紹RG-VPN產(chǎn)品功能特點(diǎn)RG-VPN產(chǎn)品測(cè)試步驟VPN相關(guān)技術(shù)第一部分RG-VPN產(chǎn)品系統(tǒng)介紹銳捷VPN系統(tǒng)組成安全網(wǎng)關(guān)由3部分組成:1硬件采用高性能網(wǎng)絡(luò)通信平臺(tái)銳捷VPN系統(tǒng)組成高端中端低端產(chǎn)品配件RG-WALLV1600ERG-WALLV1600SRG-WALLV160ERG-WALLV160SRG-VMSRG-SRA-LICENSERG-KEYRG-CMS銳捷VPN系統(tǒng)組成RG-WALLV1600E/S、V160E/S硬件安全網(wǎng)關(guān)產(chǎn)品，其中RG-WALLV1600E/S、V160E自帶10個(gè)RG-SRA-LICENSE，RG-WALLV160S自帶25個(gè)RG-SRA-LICENSERG-SRA-LICENSEVPN隧道許可，用于VPN安全網(wǎng)關(guān)設(shè)備上開(kāi)啟VPN隧道，數(shù)量由并發(fā)用戶(hù)數(shù)量決定RG-KEY密鑰存儲(chǔ)器，用于存儲(chǔ)數(shù)字證書(shū)文件，需要的數(shù)量由用戶(hù)數(shù)量決定RG-VMSVPN設(shè)備集中管理系統(tǒng)，用于對(duì)VPN設(shè)備進(jìn)行全面監(jiān)管；License免費(fèi)提供，需要的數(shù)量由設(shè)備數(shù)量決定RG-CMSVPN設(shè)備證書(shū)管理系統(tǒng)，為整個(gè)VPN系統(tǒng)提供安全的證書(shū)和密鑰服務(wù)的軟件，如RG-VPN網(wǎng)關(guān)證書(shū)，RG-KEY用戶(hù)證書(shū)，RG-VMS管理器證書(shū)銳捷VPN系統(tǒng)組成項(xiàng)目描述RG-WALLV1600ERG-WALLV1600SRG-WALLV160ERG-WALLV160S接口形態(tài)固化6個(gè)GE口+2個(gè)SFP口；提供3個(gè)模塊化插槽，支持8GE/8SFP/4GE/4SFP擴(kuò)展，可擴(kuò)展至32個(gè)千兆口固化4個(gè)GE口+1個(gè)FE口；提供1個(gè)模塊化插槽，支持4GE/4SFP/2GE/2SFP擴(kuò)展，可擴(kuò)展至8個(gè)千兆口固化4個(gè)GE口+1個(gè)FE口；提供1個(gè)模塊化插槽，支持4GE/4SFP/2GE/2SFP擴(kuò)展，可擴(kuò)展至8個(gè)千兆口固化2個(gè)FE路由口+3個(gè)FE交換口實(shí)際環(huán)境中吞吐性能800Mbps400Mbps300Mbps30MbpsAES加密速率(單向)500M200M100M10M最大并發(fā)隧道數(shù)100003000100050最大IPsecVPN并發(fā)用戶(hù)（SitetoSite）80003000100030最大IPsecVPN并發(fā)用戶(hù)（SitetoPoint）4000150050020最大SSLVPN并發(fā)用戶(hù)2000600200不支持L2TPVPN并發(fā)用戶(hù)256256256不支持最大并發(fā)連接數(shù)250萬(wàn)200萬(wàn)200萬(wàn)10萬(wàn)系統(tǒng)組成對(duì)安全網(wǎng)關(guān)進(jìn)行管理監(jiān)控的管理系統(tǒng)軟件（又稱(chēng)：安全網(wǎng)關(guān)管理器）管理員可根據(jù)安全保護(hù)策略，來(lái)實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)的配置、管理與審計(jì)等功能2軟件－管理器模塊3軟件－高品質(zhì)的網(wǎng)絡(luò)安全平臺(tái)采用自主知識(shí)產(chǎn)權(quán)安全操作系統(tǒng)包括防火墻訪問(wèn)控制、VPN安全加密傳輸和入侵防御系統(tǒng)等功能全面保護(hù)用戶(hù)網(wǎng)絡(luò)第二部分VPN相關(guān)技術(shù)IPSEC協(xié)議IPSec（網(wǎng)絡(luò)安全協(xié)議）協(xié)議是一個(gè)協(xié)議集而不是一個(gè)單個(gè)的協(xié)議；IPSec協(xié)議給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)IPSec協(xié)議包括AH協(xié)議、ESP協(xié)議、密鑰管理協(xié)議（IKE協(xié)議）和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法等。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問(wèn)控制、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSEC的功能

數(shù)據(jù)機(jī)密性保護(hù)：IKE使用Diffie-Hellman算法完成密鑰的交換，并使后續(xù)的協(xié)商處在加密保護(hù)中完成

數(shù)據(jù)完整性保護(hù)：IKE通過(guò)交換驗(yàn)證載荷完成對(duì)數(shù)據(jù)完整性的檢驗(yàn)

數(shù)據(jù)源身份認(rèn)證：IKE通過(guò)交換驗(yàn)證載荷完成對(duì)對(duì)端身份的驗(yàn)證重放攻擊保護(hù)：IKE協(xié)議通過(guò)將認(rèn)證、加密與SA交換相結(jié)合等方式，提供防重放攻擊IPSEC的工作模式傳輸模式IP有效載荷IP頭內(nèi)部在IPSec之前受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸在IPSec之后保護(hù)TCP/UDP/ICMP有效負(fù)載IPSEC工作模式隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類(lèi)型和端口號(hào)加密在IPSec之前在IPSec之后IPSEC的結(jié)構(gòu)體系封裝安全載荷驗(yàn)證頭密鑰管理加密算法解釋域（DOI）認(rèn)證算法策略IPSEC協(xié)議的組成驗(yàn)證頭協(xié)議（AH－AuthenticationHeader）：提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、重放攻擊保護(hù)功能封裝安全協(xié)議（ESP－EncapsulatingSecurityProtocol）：提供數(shù)據(jù)保密、數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性、重放攻擊保護(hù)功能Internet密鑰管理協(xié)議（IKE－InternetKeyExchange）：提供自動(dòng)建立安全關(guān)聯(lián)和管理密鑰的功能安全政策：SA是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定，SA是單向的，雙向的通信需要兩個(gè)SA認(rèn)證頭部（AH）協(xié)議保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長(zhǎng)序列號(hào)安全參數(shù)索引（SPI）下一頭部負(fù)載AH頭部IP頭部認(rèn)證數(shù)據(jù)：一個(gè)變長(zhǎng)字段，也叫IntegrityCheckValue，由SA初始化時(shí)指定的算法來(lái)計(jì)算。長(zhǎng)度=整數(shù)倍32位比特保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長(zhǎng)序列號(hào)安全參數(shù)索引（SPI）下一頭部

下一頭部：8比特，標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類(lèi)型

負(fù)載長(zhǎng)度：8比特，表示以32比特為單位的AH頭部長(zhǎng)度減2，Default=4保留字段：16比特，保留將來(lái)使用，Default=0SPI：32比特，用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義序列號(hào)：32比特，一個(gè)單項(xiàng)遞增的計(jì)數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號(hào)不允許重復(fù)32位傳輸模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載AH頭部IP頭部負(fù)載AH頭部IP頭部負(fù)載IP頭部經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后負(fù)載AH頭部IP頭部通道模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB負(fù)載安全封裝（ESP）協(xié)議認(rèn)證數(shù)據(jù)：一個(gè)變長(zhǎng)字段，也叫IntegrityCheckValue，由SA初始化時(shí)指定的算法來(lái)計(jì)算。長(zhǎng)度=整數(shù)倍32位比特

下一頭部：8比特，標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類(lèi)型

填充字段：8比特，大多數(shù)加密加密算法要求輸入數(shù)據(jù)包含整數(shù)各分組，因此需要填充負(fù)載數(shù)據(jù)：包含由下一頭部字段給出的變長(zhǎng)數(shù)據(jù)SPI：32比特，用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭填充（0~255字節(jié)）下一頭部填充長(zhǎng)度認(rèn)證數(shù)據(jù)（變長(zhǎng)的）負(fù)載數(shù)據(jù)（變長(zhǎng)的）序列號(hào)安全參數(shù)索引（SPI）

填充長(zhǎng)度：8比特，給出前面填充字段的長(zhǎng)度，置0時(shí)表示沒(méi)有填充下一頭部填充長(zhǎng)度認(rèn)證數(shù)據(jù)（變長(zhǎng)的）填充（0~255字節(jié)）負(fù)載數(shù)據(jù)（變長(zhǎng)的）序列號(hào)安全參數(shù)索引（SPI）32位ESP頭部ESP尾部ESP認(rèn)證數(shù)據(jù)加密的認(rèn)證的序列號(hào)：32比特，一個(gè)單項(xiàng)遞增的計(jì)數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號(hào)不允許重復(fù)傳輸模式下的ESP工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載IP頭部經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)通道模式下的ESP工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭因特網(wǎng)密鑰交換協(xié)議概要ISAKMP：該框架定義了安全關(guān)聯(lián)的管理和密鑰管理，以及用于交換密鑰產(chǎn)生和認(rèn)證數(shù)據(jù)的報(bào)文負(fù)載，它本身沒(méi)有定義任何密鑰交換協(xié)議。

Oakley：是一個(gè)可用于ISAKMP框架的密鑰交換協(xié)議，它為安全關(guān)聯(lián)提供密鑰交換和刷新功能。

ISAKMP/Oakley階段一：主要用來(lái)建立對(duì)ISAKMP消息自身的保護(hù)措施，它并不建立用于保護(hù)用戶(hù)數(shù)據(jù)流的安全關(guān)聯(lián)或密鑰。同時(shí)，協(xié)商建立一個(gè)主秘密，以后用于保護(hù)用戶(hù)數(shù)據(jù)流的所有秘密都將根據(jù)主密鑰產(chǎn)生。

ISAMKMP/Oakley階段二：協(xié)商建立安全關(guān)聯(lián)和將用于保護(hù)用戶(hù)數(shù)據(jù)流的密鑰。IKE協(xié)商模式第一階段兩種協(xié)商模式主模式（身份保護(hù)交換）－MainMode靈活野蠻模式（根據(jù)基本ISAKMP文檔制定的）－AggressiveMode速度快第二階段僅一種協(xié)商模式快速模式－QuickModeIKE認(rèn)證方式IKE的認(rèn)證方式只存在于第一階段共有有三種方式預(yù)共享密鑰方式（PSK，PresharedKey）數(shù)字簽名方式（RSASIGNATURE）公鑰加密方式IKE的協(xié)商步驟第一階段預(yù)共享密鑰方式，主模式的協(xié)商步驟數(shù)字簽名方式，主模式的協(xié)商步驟公鑰加密方式，主模式的協(xié)商步驟第二階段快速模式的協(xié)商步驟第一階段的6個(gè)步驟發(fā)起者（客戶(hù)端）響應(yīng)者（服務(wù)器端）HDR、SAHDR、SA步驟1步驟2HDR、KE、NonceHDR、KE、Nonce步驟3步驟4HDR、ID、散列HDR、ID、散列步驟5步驟6預(yù)共享密鑰方式、主模式協(xié)商KE：KeyExchangeDH：Diffie-HellmanNonce：隨機(jī)數(shù)協(xié)商IKESA的各項(xiàng)參數(shù),并對(duì)交換的其余部分?jǐn)M定規(guī)范。交換DH公共值以及偽隨機(jī)nonce。完成DH交換,并生成SKEYID狀態(tài)。標(biāo)定自己的身份,并相互交換驗(yàn)證散列摘要。第一階段的6個(gè)步驟發(fā)起者（客戶(hù)端）響應(yīng)者（服務(wù)器端）HDR、SAHDR、SA步驟1步驟2HDR、KE、NonceHDR、KE、Nonce步驟3步驟4HDR、ID、［Cert］HDR、ID、［Cert］步驟5步驟6數(shù)字簽名方式、主模式協(xié)商第一階段的6個(gè)步驟發(fā)起者（客戶(hù)端）響應(yīng)者（服務(wù)器端）HDR、SAHDR、SA步驟1步驟2HDR、KE、｛ID｝pub_r，｛Ni｝pub_rHDR、KE、｛ID｝pub_I，｛Nr｝pub_r步驟3步驟4HDR、散列HDR、散列步驟5步驟6公鑰加密方式、主模式協(xié)商第二階段的3個(gè)步驟發(fā)起者（客戶(hù)端）響應(yīng)者（服務(wù)器端）HDR、散列、SA…HDR、散列、SA…步驟1步驟2SA、寫(xiě)IPSecSA、寫(xiě)IPSec步驟3快速模式協(xié)商發(fā)起方在收到響應(yīng)方的“已連接”消息后，將SA加入自己的IPSecSADB數(shù)據(jù)庫(kù)。將SA加入自己的IPSecSADB數(shù)據(jù)庫(kù)。IKESA是雙向的，雙方都可以發(fā)起一次快速模式交換。隧道建立中易出錯(cuò)的階段階段一的步驟1協(xié)商算法不一致階段一的步驟5預(yù)共享密鑰不一致公鑰過(guò)期沒(méi)有私鑰沒(méi)有CA證書(shū)證書(shū)ID不一致階段二的步驟7算法不匹配子網(wǎng)不一致IKE對(duì)證書(shū)的要求一般采用X.509證書(shū)X.509標(biāo)準(zhǔn)是國(guó)際標(biāo)準(zhǔn)，現(xiàn)行版本為V3版；X.509證書(shū)是符合一定格式的電子文件，用來(lái)識(shí)別數(shù)字證書(shū)持有者的真實(shí)身份；它由具有權(quán)威性、可信任性即公正性的第三方機(jī)構(gòu)（CA）所頒發(fā)，實(shí)現(xiàn)身份的鑒別與識(shí)別（認(rèn)證）、完整性、保密性及不可否認(rèn)性安全服務(wù)。隧道建立中認(rèn)證方式填寫(xiě)注意在配置隧道時(shí)，必須指定雙方的ID：當(dāng)認(rèn)證方式為PSK時(shí)，ID默認(rèn)為雙方的IP地址。當(dāng)為數(shù)字簽名方式時(shí)，ID必須與證書(shū)相關(guān)?？梢越邮盏腎D有下列四種方式：1：證書(shū)的SUBJECT(C=CN,ST=HB,O=TIT,OU=VPN,CN=308/Email=308@)2：IP地址(6)3：FQDN(@)-域名4：UFQDN(yer@)-郵件地址選用2、3、4三種ID必須在證書(shū)的SubjectAltName字段必須存在此ID。IPSec為什么不能穿越NATNAT只對(duì)TCP、UDP、ICMP有效，IPSec報(bào)文是AH、ESP協(xié)議的，因此NAT無(wú)法正確處理這兩類(lèi)的報(bào)文，導(dǎo)致IPSec報(bào)文無(wú)法穿透NAT設(shè)備。AH的目的是保護(hù)IP頭部中不變的區(qū)域(包括地址域)，而NAT必須轉(zhuǎn)換地址，從而使AH完整性檢驗(yàn)失效。因此，NAT和AH從根本上就是不兼容的。在IPSec-NAT兼容性方案中，沒(méi)有必要支持AH。VPN1VPN2AH校驗(yàn)＝ANAT再次AH校驗(yàn)＝BA不相等，校驗(yàn)失敗發(fā)起方接收方操作提示：當(dāng)VPN的應(yīng)用中存在NAT環(huán)境時(shí)，請(qǐng)不要選擇AH算法。IPSec如何實(shí)現(xiàn)NAT穿越UDP封裝ESP傳輸模式下ESP隧道模式下MTU問(wèn)題－MTU與MSSMTU:MaxitumTransmissionUnit最大傳輸單元EthernetII

幀結(jié)構(gòu)：DMAC+SMAC+Type+Data+CRC

64bytes>=每個(gè)幀<=1518bytes除去幀頭和幀尾，Data域最大就只能有1500Bytes

即MTU值網(wǎng)絡(luò)層IP協(xié)議會(huì)檢查每個(gè)從上層協(xié)議下來(lái)的數(shù)據(jù)包的大小，并根據(jù)本機(jī)MTU的大小決定是否作“分片”處理。分片會(huì)降低傳輸性能加DF標(biāo)簽，轉(zhuǎn)發(fā)設(shè)備會(huì)丟棄數(shù)據(jù)包，并返回一個(gè)錯(cuò)誤信息給發(fā)送者。MSS就是TCP數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段。MSS值＝MTU－IP包頭（20bytes）－TCP包頭（20bytes）<=1460Bytes通訊雙方會(huì)根據(jù)雙方提供的MSS值的最小值確定為這次連接的最大MSS值。IPSec與MTUIPSec封裝會(huì)引入了額外的頭（一般100bytes左右），這樣就會(huì)使原來(lái)的報(bào)文變大（1500+100=1600bytes），因此會(huì)造成分片。分片的缺點(diǎn)：分片降低傳輸性能；某些低端路由器芯片，對(duì)NAT后的UDP分片報(bào)文處理不好，導(dǎo)致報(bào)文丟失，使得IPSec報(bào)文無(wú)法還原。產(chǎn)品實(shí)現(xiàn)

VPN客戶(hù)端提供設(shè)置MTU值的小工具，可修改范圍是576至1500。目前系統(tǒng)提供默認(rèn)值1414，這是經(jīng)過(guò)多次反復(fù)的測(cè)試，性能很好的一個(gè)值。SSLVPN應(yīng)用層的VPN解決方案采用SSL（SecureSocketLayer，安全套接字層）協(xié)議，通過(guò)瀏覽器和遠(yuǎn)程內(nèi)部網(wǎng)進(jìn)行加密通信，其包括網(wǎng)關(guān)設(shè)備和用戶(hù)的www瀏覽器。WEB代理方式SSLVPN不需要安裝客戶(hù)端軟件；JAVA代理方式SSLVPN需要安裝插件；網(wǎng)絡(luò)客戶(hù)端方式SSLVPN需要客戶(hù)端支持WEB、FTP、MAIL等應(yīng)用無(wú)需擔(dān)心網(wǎng)絡(luò)中是否存在NAT設(shè)備（如防火墻）可以基于應(yīng)用、TCP/IP端口以及用戶(hù)，對(duì)SSLVPN進(jìn)行詳細(xì)的訪問(wèn)控制和規(guī)則設(shè)置加密通道SSLVPN遠(yuǎn)程用戶(hù)認(rèn)證服務(wù)器IE瀏覽器L2TPVPNL2TP—第二層隧道協(xié)議L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。但是L2TP沒(méi)有任何加密措施，更多是和IPSec協(xié)議結(jié)合使用，提供隧道驗(yàn)證。L2TP是安全的協(xié)議，但并不提供安全的隧道。PPTPVPNPPTP—點(diǎn)到點(diǎn)隧道協(xié)議微軟最先提出，提供PPTP客戶(hù)端和PPTP服務(wù)器間的加密通信。PPTP協(xié)議將控制包與數(shù)據(jù)包分開(kāi)，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢(xún)及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GREV2協(xié)議中。銳捷VPN系列網(wǎng)關(guān)不支持PPTPVPN

PPTP

的缺點(diǎn)缺乏基于權(quán)標(biāo)的身份認(rèn)證加密功能薄弱GRE技術(shù)乘客協(xié)議封裝IP/IPX以及Ethernet封裝協(xié)議GRE/IP運(yùn)輸協(xié)議IP協(xié)議號(hào)為47GRE協(xié)議實(shí)現(xiàn)（很少用）無(wú)安全性，管理成本高GRE封裝過(guò)程GRE的配置R1interfaceTunnel0ipaddresstunnelsource21tunneldestination5R2interfaceTunnel0ipaddresstunnelsource5tunneldestination21VPN主流技術(shù)之間的比較VPN主流技術(shù)之間的比較第三部分RG-VPN產(chǎn)品功能特點(diǎn)銳捷VPN的功能特點(diǎn)集成的安全保護(hù)采用多種冗余備份技術(shù)高性能保障網(wǎng)絡(luò)部署能力強(qiáng)鏈路適應(yīng)能力好移動(dòng)用戶(hù)管理能力簡(jiǎn)單方便的管理和操作支持標(biāo)準(zhǔn)化，保護(hù)用戶(hù)投資銳捷VPN-集成的安全保護(hù)銳捷VPN網(wǎng)關(guān)融合了VPN、防火墻、入侵防御、流量管理、安全認(rèn)證等多種網(wǎng)絡(luò)安全技術(shù)，能夠提供安全的用戶(hù)認(rèn)證、高效的加密傳輸、全面的訪問(wèn)控制以及實(shí)時(shí)的入侵檢測(cè)和防御功能。各個(gè)安全組件能夠根據(jù)用戶(hù)的需求靈活配置，全方位的打造網(wǎng)絡(luò)安全整體解決方案。具體如下：安全集成網(wǎng)關(guān)技術(shù)VPN防火墻入侵防御系統(tǒng)IPS病毒檢測(cè)內(nèi)容過(guò)濾VPN

有效阻止非法傳輸信息

檢測(cè)病毒保護(hù)內(nèi)部主機(jī)

檢測(cè)防御網(wǎng)絡(luò)攻擊

訪問(wèn)控制、防止網(wǎng)絡(luò)攻擊

保護(hù)數(shù)據(jù)傳輸?shù)臋C(jī)密性

驗(yàn)證數(shù)據(jù)的合法性、完整性病毒檢測(cè)內(nèi)容過(guò)濾解密防火墻IPS非法訪問(wèn)惡意攻擊非法信息多種安全功能帶寬管理認(rèn)證模塊包過(guò)濾模塊防火墻模塊VPN模塊IDS入侵檢測(cè)……完備的安全認(rèn)證支持多種認(rèn)證方式，確保用戶(hù)的合法身份OTP認(rèn)證PAP認(rèn)證Radius認(rèn)證X.509證書(shū)認(rèn)證LDAP認(rèn)證報(bào)文過(guò)濾完備的動(dòng)態(tài)包過(guò)濾包過(guò)濾可以對(duì)多種網(wǎng)絡(luò)協(xié)議報(bào)文進(jìn)行安全過(guò)濾；管理界面上提供禁止、放行的選項(xiàng)，系統(tǒng)根據(jù)用戶(hù)的選擇處理數(shù)據(jù)包。強(qiáng)大的防火墻狀態(tài)核監(jiān)測(cè)防火墻防火墻模塊可以處理常見(jiàn)的TCP、UDP、ICMP協(xié)議的數(shù)據(jù)包防火墻規(guī)則是通過(guò)多種對(duì)象來(lái)組合的，可以實(shí)現(xiàn)地址、用戶(hù)、服務(wù)、時(shí)間、接口和區(qū)域、URL的綜合控制。支持IDS入侵檢測(cè)能夠防止Smurf、Land、TearDrop等非法報(bào)文的攻擊能夠防止DDOS、SYNFLOOD、UDPFLOOD、ICMPFLOOD等洪泛攻擊能夠抵抗各種系統(tǒng)掃描能夠提供對(duì)關(guān)鍵服務(wù)器的特殊保護(hù)能夠提供攻擊審計(jì)和記錄全方位的VPN互聯(lián)銳捷VPN可以同時(shí)支持目前所有主流的VPN技術(shù)，包括IPSecVPN—適合所有網(wǎng)絡(luò)到網(wǎng)絡(luò)以及移動(dòng)用戶(hù)到網(wǎng)絡(luò)的安全互聯(lián)SSLVPN—適合遠(yuǎn)程用戶(hù)安全訪問(wèn)企業(yè)內(nèi)部WEB、郵件等資源，客戶(hù)端免安裝L2TPVPN—適合對(duì)企業(yè)已有的第三方路由器進(jìn)行L2TP隧道的互聯(lián)IPSec-VPN支持標(biāo)準(zhǔn)的IPSec網(wǎng)絡(luò)安全傳輸協(xié)議支持最新的NAT穿越協(xié)議支持NAT自動(dòng)發(fā)現(xiàn)機(jī)制支持隧道探測(cè)，以及設(shè)備探測(cè)支持X.509證書(shū)體系支持隧道模式支持標(biāo)準(zhǔn)Internet秘鑰協(xié)商協(xié)議IKEVPN支持的算法認(rèn)證算法（AH）加密算法（ESP）國(guó)密辦批準(zhǔn)加密卡國(guó)密辦批準(zhǔn)加密卡VPN隧道管理隧道列表設(shè)備列表VPN狀態(tài)查詢(xún)－IKE狀態(tài)VPN狀態(tài)查詢(xún)－IPSec狀態(tài)SSLVPN銳捷SSLVPN為網(wǎng)絡(luò)客戶(hù)端方式。安全網(wǎng)關(guān)支持對(duì)WWW、FTP、MAIL等應(yīng)用的SSL加密訪問(wèn)?？梢詫?shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的管理和分配。用戶(hù)只需訪問(wèn)安全網(wǎng)關(guān)主頁(yè)，就可以通過(guò)該主頁(yè)訪問(wèn)內(nèi)部網(wǎng)的資源。L2TP隧道銳捷VPN-多種冗余備份技術(shù)為了全面提高系統(tǒng)的可靠性，銳捷VPN采用了多種先進(jìn)的技術(shù)。雙機(jī)熱備技術(shù)和VRRP技術(shù)能夠有效的防止設(shè)備出現(xiàn)單點(diǎn)故障；鏈路捆綁備份技術(shù)能夠提高上網(wǎng)帶寬的利用率，同時(shí)避免單條鏈路出現(xiàn)故障；雙核備份技術(shù)能夠提高系統(tǒng)升級(jí)維護(hù)的可靠性，一旦出現(xiàn)故障能夠自動(dòng)恢復(fù)到備份系統(tǒng)，避免返廠維修。支持HA-雙機(jī)熱備設(shè)備的自動(dòng)切換鏈路的自動(dòng)切換故障故障鏈路捆綁和備份鏈路的自動(dòng)切換101001010100101010010專(zhuān)線ADSL銳捷VPN-性能保障為了全面提高VPN的處理性能，銳捷VPN一方面通過(guò)支持多鏈路疊加，來(lái)提高網(wǎng)絡(luò)傳輸帶寬，同時(shí)也使用隧道壓縮功能來(lái)加快VPN的處理。并在此基礎(chǔ)上提供對(duì)用戶(hù)關(guān)鍵應(yīng)用的帶寬保障。多鏈路疊加Internet數(shù)據(jù)QoS帶寬管理網(wǎng)管根據(jù)網(wǎng)絡(luò)資源的利用情況，對(duì)網(wǎng)關(guān)保護(hù)的不同局域網(wǎng)網(wǎng)段的網(wǎng)絡(luò)資源進(jìn)行上行、下行傳輸控制，實(shí)現(xiàn)宏觀上的調(diào)配和管理。采用CBQ、WFQ等技術(shù)可以有效地對(duì)BT、電驢等P2P應(yīng)用進(jìn)行限制。銳捷VPN-網(wǎng)絡(luò)部署銳捷VPN系統(tǒng)能夠滿足目前絕大多數(shù)企業(yè)網(wǎng)絡(luò)的聯(lián)網(wǎng)需求。對(duì)于全動(dòng)態(tài)網(wǎng)絡(luò)、雙邊NAT網(wǎng)絡(luò)、子網(wǎng)沖突的網(wǎng)絡(luò)等常規(guī)VPN設(shè)備無(wú)法接入的網(wǎng)絡(luò)，銳捷VPN都能夠提供支持。同時(shí)對(duì)于多個(gè)外出鏈路的網(wǎng)絡(luò)，銳捷VPN也能夠?qū)崿F(xiàn)鏈路均衡和隧道均衡。多種網(wǎng)絡(luò)配置工作模式：路由、透明、混合支持IP和MAC綁定支持靜態(tài)、策略和動(dòng)態(tài)路由支持內(nèi)部DNS提供內(nèi)部主機(jī)名字和IP地址之間的轉(zhuǎn)換及有關(guān)內(nèi)部電子郵件等服務(wù)的選路信息。支持DDNS動(dòng)態(tài)域名解析支持以域名方式建立隧道，無(wú)需綁定固定IP。在網(wǎng)關(guān)或端用戶(hù)是以ADSL、MODEN撥號(hào)上網(wǎng)時(shí)候，只要注冊(cè)擁有固定的域名就可以和網(wǎng)絡(luò)密碼機(jī)建立隧道。采用虛擬IP技術(shù)，網(wǎng)址沖突也能互訪/24/24網(wǎng)址沖突，無(wú)法互訪/24虛擬為/24/24虛擬為/24網(wǎng)址沖突，照樣互訪銳捷VPN-鏈路適應(yīng)能力當(dāng)前網(wǎng)絡(luò)鏈路參差不齊，在某些較差的鏈路上，例如存在防火墻、低檔路由器等，常規(guī)的VPN通信會(huì)出現(xiàn)報(bào)文丟失、網(wǎng)絡(luò)不通等故障。而銳捷VPN采取了多種鏈路適應(yīng)技術(shù)，能夠很好的解決鏈路通信問(wèn)題。自適應(yīng)鏈路通信技術(shù)-適應(yīng)中小企業(yè)上網(wǎng)環(huán)境支持DHCP自動(dòng)分配上網(wǎng)地址支持ADSL動(dòng)態(tài)撥號(hào)鏈路支持DDNS全動(dòng)態(tài)網(wǎng)絡(luò)支持MTU調(diào)整支持MSSHACK支持碎包機(jī)制采用獨(dú)創(chuàng)專(zhuān)利技術(shù)TTG隧道保障技術(shù)真正實(shí)現(xiàn)“IE上網(wǎng)，VPN聯(lián)網(wǎng)”銳捷VPN-用戶(hù)管理對(duì)于在家辦公用戶(hù)和出差用戶(hù)，銳捷VPN除了提供了良好的用戶(hù)認(rèn)證手段來(lái)方便用戶(hù)的接入外，還提供了多種靈活的手段，包括用戶(hù)地址分配、內(nèi)部DNS服務(wù)器分配、內(nèi)部WINS服務(wù)器分配來(lái)方便用戶(hù)對(duì)內(nèi)部資源的訪問(wèn)。使用戶(hù)就像在單位一樣輕松的進(jìn)行網(wǎng)絡(luò)辦公，同時(shí)用戶(hù)與用戶(hù)之間還可以互相訪問(wèn)。支持對(duì)遠(yuǎn)程客戶(hù)端的訪問(wèn)控制支持為遠(yuǎn)程用戶(hù)自動(dòng)分配IP查看登錄成功的遠(yuǎn)程客戶(hù)端用戶(hù)銳捷VPN-管理和操作銳捷VPN提供方便的遠(yuǎn)程管理和升級(jí)，并對(duì)移動(dòng)用戶(hù)提供快速部署功能。對(duì)于普通用戶(hù)來(lái)說(shuō)，只需要直接點(diǎn)擊桌面的快捷方式就可以輕松訪問(wèn)企業(yè)的內(nèi)部網(wǎng)絡(luò)，真正實(shí)現(xiàn)了“輕松點(diǎn)擊、一鍵聯(lián)網(wǎng)”的功能。審計(jì)監(jiān)控完善的日志審計(jì)、支持TA圖形化的狀態(tài)顯示支持GUI、SSH、SNMP管理銳捷VPN-支持標(biāo)準(zhǔn)化，保護(hù)用戶(hù)投資目前銳捷VPN產(chǎn)品已經(jīng)全面支持國(guó)際標(biāo)準(zhǔn)IPSec協(xié)議和IKE協(xié)議，可以和其他支持標(biāo)準(zhǔn)的VPN廠家實(shí)現(xiàn)互通。IPSec協(xié)議是網(wǎng)絡(luò)安全協(xié)議，規(guī)定了報(bào)文處理的格式和方法。IKE協(xié)議是Internet密鑰協(xié)商協(xié)議，規(guī)定了安全的密鑰協(xié)商的步驟。以上兩種協(xié)議是VPN產(chǎn)品必須遵循的標(biāo)準(zhǔn)和規(guī)范。此外銳捷VPN還支持標(biāo)準(zhǔn)PKI協(xié)議，能夠和第三方CA系統(tǒng)進(jìn)行無(wú)縫的連接。從而很好的保證用戶(hù)已有的投資和今后的升級(jí)。兼容的第三方設(shè)備CISCO路由器（2600系列IOS:12.1）Juniper設(shè)備（防火墻帶VPN5.0.0r8.0）VIGOR路由器（2200EV2.5

）ARLOTTO路由器（SG315WS-MF13Vv1.2）Windows系列（2000、XP系列）Cabletron路由器全面支持PKI支持手動(dòng)離線方式支持的在線證書(shū)協(xié)議SCEP協(xié)議（Cisco標(biāo)準(zhǔn)）LDAP協(xié)議支持的應(yīng)用類(lèi)型證書(shū)的自動(dòng)申請(qǐng)、下載CRL（證書(shū)作廢列表）的自動(dòng)更新證書(shū)的自動(dòng)更新支持第三方的CA微軟WindowsCA、LinuxopenCA、信安世紀(jì)CA、上海格爾CA等。遠(yuǎn)程訪問(wèn)客戶(hù)端RG-SRARG-SRA登陸網(wǎng)關(guān)進(jìn)行身份認(rèn)證；

身份認(rèn)證通過(guò)后，認(rèn)證服務(wù)器通知VPN網(wǎng)關(guān)，VPN網(wǎng)關(guān)下發(fā)安全信息（包括，為RG-SRA用戶(hù)分配虛擬IP，下發(fā)隧道安全策略等）；

RG-SRA獲得安全信息后，隧道自動(dòng)啟動(dòng)。安全策略隧道建立RG-SRA-C安全網(wǎng)關(guān)Radius服務(wù)器認(rèn)證通過(guò)內(nèi)網(wǎng)RG-SRA特點(diǎn)多種認(rèn)證方式VPN網(wǎng)關(guān)自動(dòng)下發(fā)隧道配置信息自動(dòng)、動(dòng)態(tài)協(xié)商隧道所需安全參數(shù)完全免用戶(hù)配置，支持“一鍵聯(lián)網(wǎng)”功能輸入用戶(hù)名和口令RG-KEY的口令PAP認(rèn)證、