VPN异地互联解决方案
一、XPO-VPN产品简介
思捷XPO-VPN(以下简称XPO-VPN) eLAN是一款高性能的VPN网关软件产品,可以帮助企业、机关、以及行业用户轻松架设自己的远程专网,在功能上实现DDN/FR专线的效果,同时,eLAN客户端软件还支持移动用户通过GPRS/PSTN/ADSL等实现对远程企业内部网的存取;在实现技术上,eLAN支持国际标准IPSEC协议,支持多种加密算法和认证策略,采用独特的寻址和认证技术,可以轻松实现各种复杂的组网结构,如星型结构、网状结构以及混合结构等。
除了支持通用的VPN安全体系结构标准,XPO-VPN在稳定性、安全性、速度以及可扩展性方面更加适合复杂的网络结构与应用,同时,XPO-VPN具有丰富的产品系列,适合于企业、行业以及ISP/IDC等不同用户群体的需求。
下面我们以某企业用户VPN应用需求为例,介绍XPO-VPN的应用方案,同时介绍XPO-VPN的产品功能、规格特点及安全策略。
二、XPO-VPN企业用户应用方案
1、企业远程联网需求
企业总部在深圳,另有杭州、北京、山东、江苏、福建、南海、潮阳六个分部,分管各地区的销售。公司有一套进销存系统,以前总部与分部之间,主要通过E-mail,电话、传真进行信息的传递,传统的信息传递方式不是很及时,另外也经常出错,电子邮件经常会收不到也容易被别人截取! 随着公司的规模不断扩大、市场竞争的日益激烈,企业提出了更高的管理要求,把公司现有的这套进销存软件拓展到各个分部,来解决数据传输的问题,并且在业务较集中的分部与总部之间解决长途电话费的问题。
1) 具体要求为:
企业深圳总部与下面7个分部之间的局域网能够互联(LAN TO LAN),同时可以进行访问控制;
公司进销存软件的数据库放于深圳总部,各个分部可以查看公司的生产及库存情况,总部可以查看每个分部的销售情况和回款情况,以此来分析市场的销售和进行决策,并能对每个不同的分部设置不同的访问权限;
对于与总部联系较多的分部,由于电话的费用太高,考虑采用VOIP实现免费电话、传真;
2) 目前的联网情况
2、企业用户远程联网解决方案
上述远程联网需求,如果使用传统的远程联网解决方案,如DDN/FR/VPN硬件等,所需投资比较大,后期维护成本也比较高,因此我们建议采用XPO-VPN系列产品进行远程联网。其中总部和分部安装XPO-VPN eLAN网关软件,公司的领导或出差人员根据需要安装eLAN客户端软件。
方案实施步骤如下:
1)进行网络接入方式规划,决定总部和各分部的接入互联网方式及带宽需求,因为总部要与下面7个分部相连,所以总部采用两条ADSL带宽迭加接入互联网,下面各分部根据访问总部的实际,采用普通ADSL,或采用多条ADSL带宽迭加上网。
2)进行网络IP地址规划,因为属于广域网(WAN)互联,要确保总部和各分部的IP地址在不同网段,同时确定具体的IP网段。
3)安装eLAN网关软件、移动客户端软件,根据需要进行路由设置、访问策略控制,VPN网络连接测试。
4)VPN网络连接成功后,运行业务及管理软件,VPN网络投入应用。
5)在需要解决语音电话的分部与总部各配置一个语音网关,分别接入网络交换机中,这样就可以使免费电话、传真了。
下面是XPO-VPN远程联网示图:
这样总部和分部的局域网用户都可以同时访问放置在总部的数据库服务器,所有的单据和资料存储在同一个数据库中,由于总部采用了带宽迭加技术,网络操作运行更流畅、更稳定。总部和分部局域网用户读取数据库服务器的资料都是一致的,达到了数据的实时共享。同时总部和分部之间可以通过语音网关使用免费电话和传真,所以采用XPO-VPN(eLAN)构建远程专网,加速数据流、信息流、资金流、物流的循环,便于领导决策,及时调整公司的管理和营销策略,降低经营成本,开拓全新的市场机会!
3、XPO-VPN解决方案特点
电信级的安全性及稳定性:
安装XPO-VPN的总部,可以自由定义授权接入的用户,除了常见的用户名、密码及加密密钥等用户账号管理外,还支持硬件数字证书认证方式,即便用户名、密码等信息泄露也不会造成非法用户的接入;同时,使用XPO-iNAS认证服务器,可以进行各分支的访问策略、认证方式进行管理,支持多线路备份功能,使XPO-VPN具有电信级的稳定性和安全性,从而可以建立全网状的、安全的企业远程专网。
使用方便、可扩展性强:
XPO-VPN配置简单,配置完成后无需人工干预,开机后即可和远程网络互联。同时该VPN网络可扩展性强,网络结构可通过简单设置进行调整,可组成星型、网状和混合型网络结构,VPN网络的构建和拆除非常方便,可迅速实现分支机构和移动用户的增加和删除;分支机构和移动用户可利用VPN接入与总部相连的远端网络,实现应用扩展。
传输高效、成本低廉
XPO-VPN采用内核驱动技术及数据流实时压缩算法,可以使带宽利用率高达90%以上,特别适合于数据库、文件传输等应用,采用XPO-VPN网关软件与客户端软件相结合的解决方案,比传统的VPN解决方案更加节省成本。而且不用增加专门的服务器(电脑),可以直接利用现有的服务器(电脑)!
三、XPO-VPN功能、规格及产品特点
1、XPO-VPN功能及规格
XPO-VPN功能及规格列表如下:
2、XPO-VPN的产品特点
同众多的VPN产品比较,XPO-VPN是一款高性价比的VPN解决方案,除了具有必备的VPN功能(高强度加密、局域网互联、全动态IP寻址、支持ADSL/GPRS/IP宽带等多种接入方式)外,XPO-VPN还有如下主要特点:
以低成本实现全网络结构组网(真正的企业专网)
通过使用XPO-VPN,各分支机构不仅可以和总部的网络实现互联,还可以和其它分支之间进行互相联,实现全网状结构组网,从而架设企业真正的远程专网。相对于其它VPN产品实现网状结构的高成本,XPO-VPN具有很高的性价比和易管理性。
稳定、安全的寻址和认证策略
XPO-VPN支持全动态IP地址组网,同时支持各种接入方式,如ADSL/PSTN/IP/GPRS/WLAN等,因此用户接入的合法性、IP寻址的合法性就显的特别重要,目前大多数VPN产品采用类似DDNS(动态域名服务)的寻址技术实现用户接入,如DDNS、WEB AGENT等,这些寻址和认证技术往往采用虚拟主机服务,采用脚本技术,服务的稳定性不可能得到保证,同时认证技术受脚本功能限制,很难实现高强度的信息加密。对此,XPO-公司开发了iNAS(智能网络认证服务)技术,采用UNIX服务器实现和硬件证书技术,可以保证用户接入的合法性、VPN寻址的稳定性,真正实现专有(private)的内部网络。
建立在标准的IT平台之上,采用内核驱动技术,稳定、易扩展、易维护
XPO-VPN采用内核驱动技术,使产品更加稳定和快捷,同时支持WIN2000/XP等操作平台,使产品具有良好的可维护性、可操作性及可扩充性。
电信级的VPN体系结构
XPO-VPN分为不同版本系列,面向企业、行业及ISP等不同层次的用户,在体系结构上采用多层结构实现VPN网络的远程互联,适应于建立大型的VPN网络,采用UNIX/WIN2000等开放平台,使XPO-VPN的产品架构更具开放性和可伸缩性。
四、XPO-VPN的安全策略
(一)简介
作为高性能的VPN网关产品,XPO-VPN提供了建立企业远程内部专网的功能,包括:不同网段的数据包转发功能(路由功能),以及公网和私网之间的数据桥接功能(网关功能)。同时,XPO-VPN还是一款数据安全产品,提供了企业数据在公共互联网上进行安全传输的可靠机制。要实现数据在互联网上安全传输,通常需要两类技术:数据加密技术以及接入认证技术。本文围绕这两方面介绍XPO-VPN的安全策略。
作为一种通用的VPN网关产品,XPO-VPN安全策略符合通用的产品标准,在下面的具体介绍中,首先介绍通用的安全策略,然后介绍XPO-VPN在这些方面的解决方案。
(二)加密技术
具体的加密技术非常复杂,作为一门学科,加密和解密是矛和盾的关系,加密技术也在矛盾的体系下不断演化;在这里,我们只介绍基本的加密应用知识,包括数据加密的层次性、常用的加密方法与算法、加密强度与加密专利技术等等。
1、 加密的层次性
根据网络协议的层次模型(OSI 7层模型),也可以分为不同的加密层次,例如在网络层(IP层)加密、传输层(TCP层)加密、应用层(如邮件)层加密等。在不同网络层次进行数据加密,对上层软件的影响也就不同,一般来说,在越低的层次进行加密,对上层软件的影响也就越小,相反,加密层次越高,上层应用软件的范围也就越窄。例如在TCP层次加密,常用的有SSL技术,在电子商务中广泛应用,我们常用的网上银行业务,就是使用SSL技术和数字证书技术,但是,这种加密技术仅限于TCP层次的应用软件,并且对应用软件有着相应的限制。
作为VPN软件来说,必须在IP层次进行加密,否则就难以保证在该虚拟私有网络上运行应用软件的安全性,只有在IP层进行加密,才会支持最大范围的安全性。这是判断一款数据安全产品安全性的重要标准之一。
2、 对称性加密和非对称性加密
根据密钥技术的不同,可分为对称加密和非对称加密两种方法;对称加密是指用单一的密钥对明文进行加密,同时必须用该密钥对密文进行解密,加密和解密双方必须知道该密钥。非对称加密技术又称公共密钥技术,密钥成对存在,分别称为私有密钥(private key)和公共密钥(public key);在加密过程采用公共密钥,在解密过程采用私有密钥。
由此可以看出,非对称性加密技术使密钥更加安全,一般用于对密钥进行管理;但是非对称加密技术速度很慢,在数据传输过程中的加密一般采用对称加密算法。
对于VPN网关产品来说,因为非对称加密算法太慢,所以一般采用对称加密算法进行数据传输加密。
3、 数据加密强度和加密算法
为了衡量数据加密的安全程度,通常使用数据加密强度来说明数据的安全程度,例如,加密强度为56bit位、加密强度为128bit位等等。常用的加密算法有DES(Data Encryption Standard)、3DES、Blowfish、Idea(International Data Encryption Algorithm)等,其中DES是56BIT加密算法,3DES是168位加密算法,Blowfish和Idea是128位加密算法。
其中,DES是历史最悠久的标准加密算法,但随着解密技术的发展,事实证明56位DES已不是安全的解密算法,在互联网上曾经用上万台机器、几周的时间对DES成功破解,所以现在一个安全的加密算法至少是128位的。
4、 专利技术、出口管制
因为涉及国家和军事安全,大多数国家对数据加密技术进行出口管制,同时很多加密算法具有专利技术,市面上很多产品使用的加密算法往往并没有专利许可,或者因为出口管制,并没有真正实现高强度的机密方式,例如Idea的商业应用必须经过专利许可, 3DES加密技术则经常受出口管制。
因此,一个VPN产品的加密技术受很多因素制约,必须考虑该产品所涉及技术的专利权问题。
5、 XPO-VPN的加密技术
XPO-VPN支持3DES/AES/BLOWFISH等加密算法,在IP层进行数据加密,可以保证任何应用软件在远程应用中的安全性。
(三)认证技术
加密技术是为了保证数据传输过程中的隐蔽性及保密性,要实现数据的安全传输,同时还要保证数据传输双方的合法性,在某些应用中还涉及不可篡改性、不可否认性(如电子商务);对VPN网关软件来说,除了要在数据传输过程中进行加密,保证接入虚拟私有网中各方的合法性也是非常重要的的。实现用户安全和合法的接入,通常使用数字证书技术和硬件特征认证技术,它们各有优缺点,具有各自合适的应用领域。
1、 数字证书技术
数字证书技术广泛应用于电子商务领域,同时应用于大型的VPN网络中(例如ACCESS VPN,涉及成千上万个接入);数字证书具有很强的安全性,但配置和管理复杂,数字证书的合法性认证需要其它权威的机构参与,不适合一般的VPN应用。
2、 硬件特性认证
和用户、密码认证方式外相比,硬件特性认证技术具有很强的接入安全性,例如,在设置了硬件认证后,只有某台机器才能接入企业的VPN网络,在这种情况下,即使用户名和密码泄露,也能保证非法用户难以存取企业内部数据。
3、 XPO-VPN的认证技术
为了便于维护和管理,XPO-VPN一方面采用特有的群组名称+分支名称认证方式外,还采用硬件数字证书认证技术;在使用XPO-VPN的过程中除了群组名称、分支名称及密钥配置正确外,还可以指定某台机器才能接入公司VPN网络中,在这种情况下,即使人员流动和岗位变换,也无需担心非法接入情况发生。
此外,对一些政府机关及行业用户来说,XPO-VPN采用iNAS认证及策略服务器作为认证网关,了对所有接入到VPN网络中的机器和网络进行管理;同时,VPN客户端软件内置防火墙功能,通过这些安全手段,可以确保用户在一个最高安全级别的网络环境中。
五、XPO-VPN应用及组网结构
应用领域
XPO-VPN广泛应用于企业、机关及ISP等客户中,适应于气象、卫生、电力以及航空、商业贸易等多个领域,其中典型的应用有:
企业远程联网平台
多移动用户接入
全网状结构组网
DDN/FR线路备份
以及在企业中与硬件VPN、DDN/FR专线实现混合组网。
思捷XPO-VPN(以下简称XPO-VPN) eLAN是一款高性能的VPN网关软件产品,可以帮助企业、机关、以及行业用户轻松架设自己的远程专网,在功能上实现DDN/FR专线的效果,同时,eLAN客户端软件还支持移动用户通过GPRS/PSTN/ADSL等实现对远程企业内部网的存取;在实现技术上,eLAN支持国际标准IPSEC协议,支持多种加密算法和认证策略,采用独特的寻址和认证技术,可以轻松实现各种复杂的组网结构,如星型结构、网状结构以及混合结构等。
除了支持通用的VPN安全体系结构标准,XPO-VPN在稳定性、安全性、速度以及可扩展性方面更加适合复杂的网络结构与应用,同时,XPO-VPN具有丰富的产品系列,适合于企业、行业以及ISP/IDC等不同用户群体的需求。
下面我们以某企业用户VPN应用需求为例,介绍XPO-VPN的应用方案,同时介绍XPO-VPN的产品功能、规格特点及安全策略。
二、XPO-VPN企业用户应用方案
1、企业远程联网需求
企业总部在深圳,另有杭州、北京、山东、江苏、福建、南海、潮阳六个分部,分管各地区的销售。公司有一套进销存系统,以前总部与分部之间,主要通过E-mail,电话、传真进行信息的传递,传统的信息传递方式不是很及时,另外也经常出错,电子邮件经常会收不到也容易被别人截取! 随着公司的规模不断扩大、市场竞争的日益激烈,企业提出了更高的管理要求,把公司现有的这套进销存软件拓展到各个分部,来解决数据传输的问题,并且在业务较集中的分部与总部之间解决长途电话费的问题。
1) 具体要求为:
企业深圳总部与下面7个分部之间的局域网能够互联(LAN TO LAN),同时可以进行访问控制;
公司进销存软件的数据库放于深圳总部,各个分部可以查看公司的生产及库存情况,总部可以查看每个分部的销售情况和回款情况,以此来分析市场的销售和进行决策,并能对每个不同的分部设置不同的访问权限;
对于与总部联系较多的分部,由于电话的费用太高,考虑采用VOIP实现免费电话、传真;
2) 目前的联网情况
2、企业用户远程联网解决方案
上述远程联网需求,如果使用传统的远程联网解决方案,如DDN/FR/VPN硬件等,所需投资比较大,后期维护成本也比较高,因此我们建议采用XPO-VPN系列产品进行远程联网。其中总部和分部安装XPO-VPN eLAN网关软件,公司的领导或出差人员根据需要安装eLAN客户端软件。
方案实施步骤如下:
1)进行网络接入方式规划,决定总部和各分部的接入互联网方式及带宽需求,因为总部要与下面7个分部相连,所以总部采用两条ADSL带宽迭加接入互联网,下面各分部根据访问总部的实际,采用普通ADSL,或采用多条ADSL带宽迭加上网。
2)进行网络IP地址规划,因为属于广域网(WAN)互联,要确保总部和各分部的IP地址在不同网段,同时确定具体的IP网段。
3)安装eLAN网关软件、移动客户端软件,根据需要进行路由设置、访问策略控制,VPN网络连接测试。
4)VPN网络连接成功后,运行业务及管理软件,VPN网络投入应用。
5)在需要解决语音电话的分部与总部各配置一个语音网关,分别接入网络交换机中,这样就可以使免费电话、传真了。
下面是XPO-VPN远程联网示图:
这样总部和分部的局域网用户都可以同时访问放置在总部的数据库服务器,所有的单据和资料存储在同一个数据库中,由于总部采用了带宽迭加技术,网络操作运行更流畅、更稳定。总部和分部局域网用户读取数据库服务器的资料都是一致的,达到了数据的实时共享。同时总部和分部之间可以通过语音网关使用免费电话和传真,所以采用XPO-VPN(eLAN)构建远程专网,加速数据流、信息流、资金流、物流的循环,便于领导决策,及时调整公司的管理和营销策略,降低经营成本,开拓全新的市场机会!
3、XPO-VPN解决方案特点
电信级的安全性及稳定性:
安装XPO-VPN的总部,可以自由定义授权接入的用户,除了常见的用户名、密码及加密密钥等用户账号管理外,还支持硬件数字证书认证方式,即便用户名、密码等信息泄露也不会造成非法用户的接入;同时,使用XPO-iNAS认证服务器,可以进行各分支的访问策略、认证方式进行管理,支持多线路备份功能,使XPO-VPN具有电信级的稳定性和安全性,从而可以建立全网状的、安全的企业远程专网。
使用方便、可扩展性强:
XPO-VPN配置简单,配置完成后无需人工干预,开机后即可和远程网络互联。同时该VPN网络可扩展性强,网络结构可通过简单设置进行调整,可组成星型、网状和混合型网络结构,VPN网络的构建和拆除非常方便,可迅速实现分支机构和移动用户的增加和删除;分支机构和移动用户可利用VPN接入与总部相连的远端网络,实现应用扩展。
传输高效、成本低廉
XPO-VPN采用内核驱动技术及数据流实时压缩算法,可以使带宽利用率高达90%以上,特别适合于数据库、文件传输等应用,采用XPO-VPN网关软件与客户端软件相结合的解决方案,比传统的VPN解决方案更加节省成本。而且不用增加专门的服务器(电脑),可以直接利用现有的服务器(电脑)!
三、XPO-VPN功能、规格及产品特点
1、XPO-VPN功能及规格
XPO-VPN功能及规格列表如下:
2、XPO-VPN的产品特点
同众多的VPN产品比较,XPO-VPN是一款高性价比的VPN解决方案,除了具有必备的VPN功能(高强度加密、局域网互联、全动态IP寻址、支持ADSL/GPRS/IP宽带等多种接入方式)外,XPO-VPN还有如下主要特点:
以低成本实现全网络结构组网(真正的企业专网)
通过使用XPO-VPN,各分支机构不仅可以和总部的网络实现互联,还可以和其它分支之间进行互相联,实现全网状结构组网,从而架设企业真正的远程专网。相对于其它VPN产品实现网状结构的高成本,XPO-VPN具有很高的性价比和易管理性。
稳定、安全的寻址和认证策略
XPO-VPN支持全动态IP地址组网,同时支持各种接入方式,如ADSL/PSTN/IP/GPRS/WLAN等,因此用户接入的合法性、IP寻址的合法性就显的特别重要,目前大多数VPN产品采用类似DDNS(动态域名服务)的寻址技术实现用户接入,如DDNS、WEB AGENT等,这些寻址和认证技术往往采用虚拟主机服务,采用脚本技术,服务的稳定性不可能得到保证,同时认证技术受脚本功能限制,很难实现高强度的信息加密。对此,XPO-公司开发了iNAS(智能网络认证服务)技术,采用UNIX服务器实现和硬件证书技术,可以保证用户接入的合法性、VPN寻址的稳定性,真正实现专有(private)的内部网络。
建立在标准的IT平台之上,采用内核驱动技术,稳定、易扩展、易维护
XPO-VPN采用内核驱动技术,使产品更加稳定和快捷,同时支持WIN2000/XP等操作平台,使产品具有良好的可维护性、可操作性及可扩充性。
电信级的VPN体系结构
XPO-VPN分为不同版本系列,面向企业、行业及ISP等不同层次的用户,在体系结构上采用多层结构实现VPN网络的远程互联,适应于建立大型的VPN网络,采用UNIX/WIN2000等开放平台,使XPO-VPN的产品架构更具开放性和可伸缩性。
四、XPO-VPN的安全策略
(一)简介
作为高性能的VPN网关产品,XPO-VPN提供了建立企业远程内部专网的功能,包括:不同网段的数据包转发功能(路由功能),以及公网和私网之间的数据桥接功能(网关功能)。同时,XPO-VPN还是一款数据安全产品,提供了企业数据在公共互联网上进行安全传输的可靠机制。要实现数据在互联网上安全传输,通常需要两类技术:数据加密技术以及接入认证技术。本文围绕这两方面介绍XPO-VPN的安全策略。
作为一种通用的VPN网关产品,XPO-VPN安全策略符合通用的产品标准,在下面的具体介绍中,首先介绍通用的安全策略,然后介绍XPO-VPN在这些方面的解决方案。
(二)加密技术
具体的加密技术非常复杂,作为一门学科,加密和解密是矛和盾的关系,加密技术也在矛盾的体系下不断演化;在这里,我们只介绍基本的加密应用知识,包括数据加密的层次性、常用的加密方法与算法、加密强度与加密专利技术等等。
1、 加密的层次性
根据网络协议的层次模型(OSI 7层模型),也可以分为不同的加密层次,例如在网络层(IP层)加密、传输层(TCP层)加密、应用层(如邮件)层加密等。在不同网络层次进行数据加密,对上层软件的影响也就不同,一般来说,在越低的层次进行加密,对上层软件的影响也就越小,相反,加密层次越高,上层应用软件的范围也就越窄。例如在TCP层次加密,常用的有SSL技术,在电子商务中广泛应用,我们常用的网上银行业务,就是使用SSL技术和数字证书技术,但是,这种加密技术仅限于TCP层次的应用软件,并且对应用软件有着相应的限制。
作为VPN软件来说,必须在IP层次进行加密,否则就难以保证在该虚拟私有网络上运行应用软件的安全性,只有在IP层进行加密,才会支持最大范围的安全性。这是判断一款数据安全产品安全性的重要标准之一。
2、 对称性加密和非对称性加密
根据密钥技术的不同,可分为对称加密和非对称加密两种方法;对称加密是指用单一的密钥对明文进行加密,同时必须用该密钥对密文进行解密,加密和解密双方必须知道该密钥。非对称加密技术又称公共密钥技术,密钥成对存在,分别称为私有密钥(private key)和公共密钥(public key);在加密过程采用公共密钥,在解密过程采用私有密钥。
由此可以看出,非对称性加密技术使密钥更加安全,一般用于对密钥进行管理;但是非对称加密技术速度很慢,在数据传输过程中的加密一般采用对称加密算法。
对于VPN网关产品来说,因为非对称加密算法太慢,所以一般采用对称加密算法进行数据传输加密。
3、 数据加密强度和加密算法
为了衡量数据加密的安全程度,通常使用数据加密强度来说明数据的安全程度,例如,加密强度为56bit位、加密强度为128bit位等等。常用的加密算法有DES(Data Encryption Standard)、3DES、Blowfish、Idea(International Data Encryption Algorithm)等,其中DES是56BIT加密算法,3DES是168位加密算法,Blowfish和Idea是128位加密算法。
其中,DES是历史最悠久的标准加密算法,但随着解密技术的发展,事实证明56位DES已不是安全的解密算法,在互联网上曾经用上万台机器、几周的时间对DES成功破解,所以现在一个安全的加密算法至少是128位的。
4、 专利技术、出口管制
因为涉及国家和军事安全,大多数国家对数据加密技术进行出口管制,同时很多加密算法具有专利技术,市面上很多产品使用的加密算法往往并没有专利许可,或者因为出口管制,并没有真正实现高强度的机密方式,例如Idea的商业应用必须经过专利许可, 3DES加密技术则经常受出口管制。
因此,一个VPN产品的加密技术受很多因素制约,必须考虑该产品所涉及技术的专利权问题。
5、 XPO-VPN的加密技术
XPO-VPN支持3DES/AES/BLOWFISH等加密算法,在IP层进行数据加密,可以保证任何应用软件在远程应用中的安全性。
(三)认证技术
加密技术是为了保证数据传输过程中的隐蔽性及保密性,要实现数据的安全传输,同时还要保证数据传输双方的合法性,在某些应用中还涉及不可篡改性、不可否认性(如电子商务);对VPN网关软件来说,除了要在数据传输过程中进行加密,保证接入虚拟私有网中各方的合法性也是非常重要的的。实现用户安全和合法的接入,通常使用数字证书技术和硬件特征认证技术,它们各有优缺点,具有各自合适的应用领域。
1、 数字证书技术
数字证书技术广泛应用于电子商务领域,同时应用于大型的VPN网络中(例如ACCESS VPN,涉及成千上万个接入);数字证书具有很强的安全性,但配置和管理复杂,数字证书的合法性认证需要其它权威的机构参与,不适合一般的VPN应用。
2、 硬件特性认证
和用户、密码认证方式外相比,硬件特性认证技术具有很强的接入安全性,例如,在设置了硬件认证后,只有某台机器才能接入企业的VPN网络,在这种情况下,即使用户名和密码泄露,也能保证非法用户难以存取企业内部数据。
3、 XPO-VPN的认证技术
为了便于维护和管理,XPO-VPN一方面采用特有的群组名称+分支名称认证方式外,还采用硬件数字证书认证技术;在使用XPO-VPN的过程中除了群组名称、分支名称及密钥配置正确外,还可以指定某台机器才能接入公司VPN网络中,在这种情况下,即使人员流动和岗位变换,也无需担心非法接入情况发生。
此外,对一些政府机关及行业用户来说,XPO-VPN采用iNAS认证及策略服务器作为认证网关,了对所有接入到VPN网络中的机器和网络进行管理;同时,VPN客户端软件内置防火墙功能,通过这些安全手段,可以确保用户在一个最高安全级别的网络环境中。
五、XPO-VPN应用及组网结构
应用领域
XPO-VPN广泛应用于企业、机关及ISP等客户中,适应于气象、卫生、电力以及航空、商业贸易等多个领域,其中典型的应用有:
企业远程联网平台
多移动用户接入
全网状结构组网
DDN/FR线路备份
以及在企业中与硬件VPN、DDN/FR专线实现混合组网。
