《APNGW产品技术白皮书》由会员分享,可在线阅读,更多相关《APNGW产品技术白皮书(31页珍藏版)》请在金锄头文库上搜索。
1、APN GW Technology White PaperAPN GW技术白皮书Powered by APN GWTM Architecture 深圳市奥联科技有限公司声 明本公司对本手册的内容保留在不通知用户的情况下更改的权利。其版权归深圳市奥联科技有限公司所有。未经本公司书面许可,本手册的任何部分不得以任何形式手段复制或传播。NOTICESShenzhen Olym-tech Company Limited reserves the right to make any changes in specifications and other information contained in
2、this publication without prior notice and without obligation to notify any person or entity of such revisions or changes.Copyright 2002-2003 by Olym-tech. Co., Ltd. All Right Reserved.No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical.
3、Including photocopying, recording, or information storage and retrieval systems, for any purpose other than the purchasers personal use, without express written permission of Olym Co. Ltd.(APN GW TM是深圳市奥联科技有限公司注册商标。所有其它商标及注册商标均属有关公司所有。)版本 OLYMWP 第一章 VPN技术简介4nVPN概念4nVPN协议简介4nIPSec的安全性描述5IPSec基本工作原理5I
4、PSec中的三个主要协议7nIPSec 的优势8nIPSec的实现方式8nIPSec与NAT协同工作9第二章 APN GW产品介绍10n产品特征10n技术要点10n硬件接口10n物理规范11n加密算法11n符合标准11nAPN GW产品列表12nAPN GW系列产品性能指标14第三章 APNGW产品的十大特点18n安全高效:18n自由扩展:18n动态IP形成网状连接19n简单易用19n节点可定义20n再生功能20n隧道自动愈合20n稳定可靠:20n良好兼容20n集中管理21n易于维护21第四章 应用介绍与成功案例22n基于APN GW的物流解决方案22n数据共享、VOIP和视频会议方案24nO
5、A系统、财务软件远程实时运行方案26n现有专线线路的备份线路和融合27n与Citrix结合的一体化解决方案30第一章 VPN技术简介n VPN概念虚拟专用网(Virtual Private Network)被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效
6、地连接到商业伙伴和用户的安全外联网虚拟专用网。n VPN协议简介要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。 1点到点隧道协议PPTP PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本
7、已被淘汰,不再使用在VPN产品中。 2第二层隧道协议L2TP L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。 3IPSec协议 IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端
8、到端的安全性,不会隐藏路由信息。1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。 隧道协议在OSI七层模型中的位置n IPSec的安全性描述IPSec(1P Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCPIP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定,但由于其中
9、存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。IPSec基本工作原理IPSec的工作原理(如下图所示)类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。IPSec通过查询SPD(Security P01icy D
10、atabase安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证
11、后,才能保证在外部网络传输的数据包的机密性,真实性,完整性,通过Internet进新安全的通信才成为可能。IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是与其前一节提到的协议工作方式类似的隧道模式,另一种是传输模式。传输模式,如图2所示,只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式,如下图所示,对整个IP数据色进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部
12、和以前的IP数据包之间,从而组成一个新的IP头部。IPSec中的三个主要协议前面已经提到IPSec主要功能为加密和认证,为了进行加密和认证IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语棗SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。通信双方如果要用IPSec建立
13、一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。1ESP(Encapsulating Secuity Fayload)ESP协议主要用来处理对IP数据包的加密,此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的,几乎可以支持各种对称密钥加密算法,例如DES,Tripl
14、eDES,RC5等。为了保证各种IPSec实现间的互操作性,目前ESP必须提供对56位DES算法的支持。ESP协议数据单元格式三个部分组成,除了头部、加密数据部分外,在实施认证时还包含一个可选尾部。头部有两个域:安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前,通信双方需要先协商好一组将要采用的加密策略,包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的,当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据
15、包的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议,可能是传输层协议(TCP或UDP),也可能还是IPSec协议(ESP或AH)。通常,ESP可以作为IP的有效负载进行传输,这JFIP的头UKB指出下广个协议是ESP,而非TCP和UDP。由于采用了这种封装形式,所以ESP可以使用旧有的网络进行传输。前面已经提到用IPSec进行加密是可以有两种工作模式,意味着ESP协议有两种工作模式:传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时,采用当前的IP头部。而在隧道模式时,侍整个IP数据包进行加密作为ESP的有效负载,并在ESP头部前增添以网关地址为源地址的新的IP头部,此时可以起到NAT的作用。2AH(
