高效VPN解决方案-组网工程与技术

1.IPSec VPN解决方案

IPSec基于一组开放的网络安全协议，业务数据流通过IPSec加密，IPSec能够提供服务器及客户端的双向身份认证，并且为IP及其上层业务数据提供安全加密保护，能够支持数据加密（包括常见的DES\3DES\AES加密算法）、数据完整性验证、数据身份验证以及防重放等功能，充分保证业务数据的安全性。IPSec VPN利用Internet构建三层隧道VPN的方式，可以允许用户以任意方式接入VPN，并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接入Internet即可。IPSec VPN不仅适用于SOHO用户或移动办公用户接入，而且适用于企业分支机构之间的互连互通。正因为IPSec VPN具有其他VPN不可替代的业务优势，在VPN业务较为普及的一些国家得到了比较普遍的应用。

本节以杭州华三通信（H3C）公司推出的IPSec VPN典型解决方案为例，描述实际使用的IPSec VPN的组网方案。H3C公司提供了一种单链路网关VPN组网方案，组网主要是面向部分小型的分支机构，分支用户对于网络的链路要求不高，普通的ADSL线路就可以满足基本使用要求；用户也可以通过局域网接入；对于服务器部分，可以只考虑使用单台的设备来进行连接。VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。根据其业务的需求，对可靠性的要求不高，数据的传输不讲究实时传输。有必要的话，可以在分支节点用设备进行冷备份，其部署方式如图7-16所示。

图7-16 IPSecVPN组网方式

它的部署方式及特点如下。

1）VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关；在分支机构Internet边界防火墙后面配置一台专用VPN网关，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输。

2）VPN管理子系统部署：在总部局域网数据中心部署H3C QuidView VPN Manager组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界部署H3C Quid-View BIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署。

3）强大的VPN处理性能，高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbit/s以上的加密吞吐量，百兆VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbit/s以上的加密吞吐量。

4）提供图形化界面的VPN管理工具VPN Manager以及自动部署系统BIMS分支智能管理系统，实现VPN可视化的部署管理以及大规模的自动部署能力。

5）VPN客户端设备相对来说比较简单。

6）VPN客户端可以使用动态地址接入服务器，但为了防止客户端IPSec配置泄露造成的安全隐患，建议VPN客户端口采用静态地址。同时，这样也便于使用VPN Manager的配置管理功能。

7）由于IPSec不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。

8）单纯的IPSec封装，对于带宽资源消耗较小。

2.SSL VPN解决方案

在IPSec VPN之后，有一种VPN技术逐渐成为了主流，即基于应用层的SSL VPN技术。

近年来，移动办公已成为趋势，移动用户接入公司内部专网的需求不断增加，使得IP-Sec VPN的使用也逐渐增加。但由于IPSec VPN存在维护和扩展的困难，造成企业后期IT成本过高；另一方面，企业对于内网资源的保护的要求也不断提高，IPSec VPN由于开放了整网的资源给接入用户，企业内网安全方面的问题逐渐暴露。(www.xing528.com)

鉴于IPSec VPN应用中存在的不足，基于应用层的SSLVPN开始迅速兴起。SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。是一种基于应用层的虚拟专网技术，它利用SSL技术和代理技术，向终端用户提供安全访问HTTP资源、C/S资源以及文件共享资源等的功能，同时可以实现不同方式的用户认证，以及细粒度的访问控制。通过该技术的应用可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。

SSL VPN技术应用具有以下特点。

●适合点对网的连接。

●无需手动安装任何VPN客户端软件。

●兼容性好，支持各种操作系统和终端、不会与终端防火墙、杀毒软件冲突。

●细致的访问权限控制。

下面以深信服科技推出的SSLVPN典型解决方案为例，描述SSLVPN的组网方案。

某企业总部需要对各省市分支机构进行业务管理，应用都是基于互联网的Web应用软件。企业总部的领导、业务人员需要经常出差，移动办公需求急剧增加。总部员工不仅需要在单位局域网内访问OA、邮件系统、业务系统等网络资源，在外出差期间他们同样需要安全便捷地接入总部局域网访问相关办公系统。为更进一步提高工作人员的工作效率，有效地解决数据传输中的通道安全、数据安全、接入安全等问题，实现现有邮件系统的安全访问，总部网络管理者考虑通过VPN接入的方式来实现工作人员对内网邮件系统的安全访问和操作，要求对访问、邮件接收都达到高级别的安全性和稳定性。

深信服SSLVPN身份认证的安全性、数据传输的快速性、接入操作的易用性较好。企业选择部署两台深信服千兆级SSLVPN设备，为远程接入构建了安全高效的接入平台；同时考虑到线路稳定性、设备稳定性等因素，企业总部以双机热备的方式实现系统连接，保障即使一条线路出现故障也能实现远程移动办公接入；并且还引入了深信服独有的多因素身份认证方式，实现了静态认证和动态认证的混合模式身份认证体系，这样保证了所有员工接入总部内网时，可以做到完备的身份安全认证。其组网方式如图7-17所示。

图7-17 某企业总部部署SSLVPN组网方案

该方案具有如下特点。

1）通过SS LVPN，远程办公和移动用户可以随时访问内部办公平台，获取、提交信息非常便捷。

2）SSL VPN提供目前最丰富的认证，包括USB Key、短信口令、软键盘、动态令牌、CA、硬件特征码等，最大程度上确保接入用户身份的合法性。

3）SSL VPN能够对内网的访问权限进行细致地设定，对不同的用户分配不同的权限规则，避免内部出现安全隐患。

4）操作简易，支持多种部署模式，不会对现有网络造成任何影响，各种服务及应用均可正常使用，与各种IT办公系统结合良好。