FortiGate VPN解决方案－－新一代VPN设计体系

    VPN技术当前已逐渐成为企业网络安全建设的必要选择，本文针对市场应用的发展需求介绍了VPN的主要技术、集成VPN的安全网关发展趋势以及应用方案。

一．VPN的主要技术

    随着Intranet 的发展，VPN技术以其简单管理、费用低廉的优点成为企业构建内部广域网络的首要选择。 据分析人员预测，到2003年，商业客户每年将在VPN设备和服务中支出超过140亿美元。

    虚拟专用网主要采用了两种技术：隧道技术与安全技术。  隧道技术当前主要有三种协议支持：PPTP，L2TP和IPsec。安全技术主要有MPPE、IPsec等加密算法。隧道技术主要是完成IP数据包的二次封装，以实现企业私有地址在公网上的传输。为了保证传输的安全，需要一定的安全加密手段保证数据的私密性和完整性，在隧道和加密的技术上，IPsec已成为IP安全的一个应用广泛、开放的VPN安全协议。

    IPsec适应向Ipv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPsec用密码技术提供以下安全服务：接入控制，无连接完整性，数据源认证，防重放，加密，防传输流分析。IPsec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种是传输(transport)模式。在隧道模式下，IPsec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。

    在1999年底，IETF安全工作组完成了IPsec的扩展，在IPsec协议中加上ISAKMP(Internet Security Association and Key Management Protocol)协议，密钥分配协议IKE、Oakley。ISAKMP/IKE/Oakley支持自动建立加密、认证信道，以及密钥的自动安全分发和更新。 IPsec 定义了一套用于保护私有性和完整性的标准协议。IPsec支持一系列加密算法如DES、3DES。它检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。IPsec可确保运行在TCP/IP协议上的VPN之间的互操作性。

二．集成VPN功能的安全网关的发展

    单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，没有很强的访问控制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN布署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。

三． FortiGate 内容级安全网关的VPN设计

    FortiGate是来自美国Fortinet公司的新一代内容级安全网关，集成了防火墙、VPN、病毒防御、内容过滤四大安全模块，以其高性能的ASIC芯片技术提供了完整的快速安全的防御体系，其产品在VPN的使用上，方便灵活，功能丰富，同时保证了可靠的网络性能。

    FortiGate 产品的VPN功能支持PPTP，L2TP和IPsec三种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000等系统自带的PPTP/L2TP拨号软件也可以使用FortiGate客户端IPsec软件和企业建立VPN的连接，应用PPTP、L2TP的好处是方便使用，不需要附加的软件。而用 FortiGate IPsec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPsec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。

    在FortiGate产品的设计中，充分利用了专用的FortiASIC芯片技术处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的除了时间，真正达到了线速的VPN处理速度。

    FortiASIC? 内容处理器以其独特的设计方式解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，MD5，SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设备处理速度的影响。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。

图：FortiASIC 芯片

四．企业Intranet网络VPN应用

    企业Intranet网络建设的VPN连接方案利用IPsec安全协议的VPN和加密能力，实现两个或多个企业之间跨越Internet的企业内部网络连接，实现了安全的企业内部的数据通信。通过 FortiGate内部策略控制体系对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管理性。 

图：企业Intranet解决方案

    如上图示，原始的数据经过加密封装在另外一个IP通道内，通道头部地址就是防火墙外部端口的IP地址，以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全，168位的3DES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。

五．企业移动办公VPN应用

    对于移动的办公室、出差用户、及采用ADSL上网的分支办公室， FortiGate都提供了完善的解决方案。特别支持PPTP/L2TP/IPsec多种协议体系，对于用户来讲，配置和使用都非常方便。

    分支办公室动态地址方式、移动办公用户、出差用户和总部中心的VPN连接解决方案，如下图示： 

图： 移动用户解决方案

六． NAT情况下的VPN应用

    FortiGate 同时还设计了一项简单易用的 VPN Passing-Through 功能，称为VPN透明通过技术。应用方式是FortiGate 在NAT情况下保证远程VPN管理数据的正常应用。 在很多的企业里，需要对分支企业或分部进行统一的远程安全管理。为了保证管理数据的安全和私密性，利用远程VPN管理是理想的方式。

    但如果管理中心主机是通过NAT转换后建立VPN的话，PPTP、IPsec协议不能成功建立。FortiGate产品如果作为企业的NAT设备，则能透明地转发PPTP/IPsec VPN数据包，保证企业远程管理的正常应用。 

图：VPN透明通过解决方案

    在FortiGate的VPN设计中，可以支持双向的NAT处理，使远程办公室的主机以本地IP地址的方式出现，增强了网络兼容性。VPN的策略控制设计，使管理员可以灵活控制使用VPN通道的IP地址、服务、时间等参数，增强了VPN安全控制。在即将推出的新版本中，支持NAT Traversal技术，在前面的特点中，介绍了FortiGate作为NAT设备可以透明通过VPN的连接，解决方式是在NAT设备的特性上，新的解决方案将利用FortiGate产品新的VPN特性，在两个 FortiGate设备建立VPN的时候，中间任何的NAT转换的发生都不会影响FortiGate VPN的建立，完全解决了NAT情况下的VPN连接问题，对VPN设备的应用具有深远的影响。

    作为新一代的安全网关设备，FortiGate 以其独特的硬件体系设计和贴近未来应用的设计理念将领导安全市场的新变革。

• ·IP VPN技术及其应用[组图]
• ·轻松实现移动安全办公——EETRUST SecureVPN
• ·医疗卫生行业异地互连VPN应用
• ·华为民航信息化网络解决方案[组图]
• ·华为小型机构VPN安全互联方案

• ·宽兆科技VPN/数据无线传输解决方案[图]
• ·NEC大客户城域网VPN的VoIP解决方案[图]
• ·中国联通虚拟专网VPN/VPDN专线系统[图]
• ·中联科技银行储蓄所GPRS联网解决方案[图]
• ·北京四达时代MPLS VPN的网络安全[组图]