VPN(Virtual Private Network)即虚拟专用网络,它是企业网在因特网等公共网络上的延伸,通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来,构成一个扩展的公司企业网。
目前,VPN产品应用越来越广泛,VPN产品和解决方案提供商的队伍也越来越庞大。以往评价一款专用的VPN产品,主要是依据加密卡的加解密速度、综合性能等参数。在网络安全一步步走向"融合"的今天,联动能力、安全性和易管理性也成为选择VPN的重要指标。
VPN产品的设计思想是加密传输,主要策略通常是在发送和接收方建立密文通道,因此,存在着一个集中控制和策略分发的问题。天融信VPN解决方案主要包括以下组成部分:
集中的控制台--SCM
SCM(Security Central Manager)VPN安全集中管理系统是我国第一套自行研制开发的VPN设备集中管理系统,是天融信VPN解决方案的核心和控制部分,更是与 VRC配套使用的全面的管理系统。它全部采用国际标准:IPSec安全协议,遵循IKE密钥协商和管理协议,是一个提供安全管理的服务体系。它能够对VPN网络进行集中管理和控制,并且为每个VPN设备提供必要的安全服务。它基于Windows 操作平台,界面友好,使用简便。SCM能够实现对企业内部VPN网络的全面监管, SCM管理员可以在隧道级别上操纵各个VPN设备, 根据企业的实际需求制定全局安全策略,从而避免企业内部VPN设备之间建立联接的随意性。SCM可以支持虚拟的分级策略, 从而实现企业内部不同级别,不同隶属关系的部门VPN设备之间的联接策略。SCM采用服务器和管理器分离的方案,管理员可以在异地对SCM服务进行配置操作,提高了SCM的机动性和灵活性。SCM还可以支持VPN设备的各种灵活接入方式,如拨号接入因特网、通过NAT和MAP接入因特网等。
SCM的功能
* 支持远程管理,管理员可以在远程对服务器进行管理:根据企业的需要修改安全策略并使之及时生效;
* 对整个系统的运作、管理员以前所做的操作进行审计,加密通信
* 建立了严格的认证机制的基础上,还采用了对称/非对称相结合的数据加密方式,以确保SCM系统本身的安全通信。
* 双机热备份
* 支持VPN之间的多种密钥交换方式
* 对于Windows端用户VPN支持Preshared Key方式、对于网关式VPN支持原有的IKE方式;保证了数据通信的私密性,提高了加/解密速度,优化了系统的性能。
* VPN设备可以自行启动/停止隧道
* 具有容错功能,对于重要的参数被错误的更改时系统会自动恢复到原来正确的设置。
* 支持CA
* 支持WindowsVPN和网关式VPN互联
* 支持SCM的分级管理结构
在不断推陈出新的天融信VPN解决方案中,越来越强调与其他安全设备的联动。SCM的策略将与防火墙策略、入侵监测策略、审计策略联动起来,尽量让策略智能化,降低管理成本。
作为新的TOPSEC安全解决方案的一部分,天融信VPN解决方案通过SCM与其他安全系统组成一个有机的整体,动态全面地维护网络存储和传输的安全。
无缝的边界啮合--网关VPN
网关VPN是天融信VPN解决方案的主体组成部分,包括安全卫士SJW11网络密码机以及带VPN功能的防火墙系列产品,主要用于网络边界处,可以提供边界与边界之间,边界与客户端之间传输的加密、认证功能。
天融信的SJW11网络密码机是专用的IP VPN产品,是一个基于安全的操作系统平台的自主版权的高级通信保密性、完整性保护的控制系统。
天融信VPN产品的加密算法和硬件拥有全部自主权,加密强度高。采用通过国家鉴定的硬件加密卡所提供的128位对称加密算法和128位密钥散列算法。身份认证采用1024位的非对称算法。遵循国际标准安全协议IPSec协议、ISAKMP/OAKLEY密钥协商和管理协议、设备之间采用基于X.509标准的数字证书进行认证、支持CA认证。
作为天融信VPN解决方案的主体组成部分,网关VPN整体纳入SCM管理,通过与VPN客户端协调工作,可以实现对部分子网与远端特定子网构建安全遂道过行安全通讯,还可以制定指定的子网与相应的子网之间的通讯采用明文传输。同时SJW-11密码机可以实现保护数据在传输过程中的机密性、完整性、源身份认证等功能。
灵活的客户端--VRC
VRC(VPN Remote Client)是天融信VPN解决方案的客户端产品,可以提供桌面与桌面、桌面与边界之间传输的加密、认证功能。
天融信VRC设计从用户实际需求出发,不影响原有的网络应用,同时支持拔号用户连接,支持动态IP,适用于各种Windows操作系统,如Windows9X、WindowsNT、Windows2000 Professional,即将支持Windows XP。
天融信VRC具有强大的功能,提供NAT、包过滤以及端口映射的各种功能,使之可以适用于各种复杂的网络环境;支持CA认证;支持端到端和端到网关的隧道建立,隧道数目没有限制。
与网关VPN互为对应,VRC也可纳入SCM统一管理。保障用户低成本高保障,较小的投资即可获取极高的安全保证。
VRC系统功能
* 加密强度高,提供长度高达192位加密算法,抗攻击性强,破解难度高。
* 支持多种加密算法。除了支持国际流行的DES和3DES加密算法之外,还支持公司自行研制的高强度加密算法。
* 支持拔号用户。客户端VPN支持动态IP。因此可以支持移动用户通过电话等拨号上网。
* 支持CA认证。
* 支持多种工作方式。即可以支持端到端的方式、端到网关的方式,还可以将端和网关嵌套组合,如端到网关到端的方式。
* 支持外部防火墙NAT功能。
* 支持外部防火墙包过滤功能。
* 适用于各种操作系统,如Windows9x、Windows NT、Windows2000Professional以及Server。及将支持Windows XP。
* 界面简洁,操作方便,简单易用。
* 可以通过客户端图形界面实现管理,也可以通过SCM集中进行管理。
便利的本地安全--数码文件保险柜
数码文件保险是一套加密存储系统,主要用于客户端的信息存储加密。
传统的VPN解决方案强调传输过程中的安全,而忽视了本地存储的安全。但新的联动5技术理念认为,网络安全是一个动态的整体,如果本地安全不能得到保障,整个网络安全同样会受到威胁。
数码文件保险柜原理十分简单,就是针对文件系统加密,但通过高密级处理后,本地文件系统就成为一个难以破译的"保险柜",达到了本地不泄露的安全效果。
数码文件保险柜可以和VPN网关和VRC配合使用,成为天融信VPN整体解决方案的重要一环。
在实际应用中,VPN最大的问题就是管理和维护不易,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,为了减少企业用户的维护量和工作难度,成熟易用的VPN管理系统是必不可少的。
天融信的VPN解决方案就是这样的集中管理系统。通过在管理中心设一套安全管理系统SCM,在边界处设置网关VPN,在客户端安装VRC并安装文件保险柜,可以方便灵活地实现集中管理。
在新的联动5技术理念的指导之下,天融信VPN解决方案可以实现与其他安全设备加密策略进行统一协调,简单易用,功能强大,突破了传统VPN的管理理念和技术瓶颈,使得企业网络管理更方便,维护更简易!
