1、IPSEC VPN 基本原理IPSEC 是一套比较完整成体系的 VPN 技术,它规定了一系列的协议标准。如果不深入探究IPSEC 的过于详细的内容,我们对于 IPSEC 大致按照以下几个方面理解。 1. 为什么要导入 IPSEC 协议 导入 IPSEC 协议,原因有 2 个,一个是原来的 TCP/IP 体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC 引进了完整的安全机制,包括加密、认证和数据防篡改功能。 另外一个原因,是因为 Internet 迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。 IPSEC 协议
2、通过包封装技术,能够利用 Internet 可路由的地址,封装内部网络的 IP 地址,实现异地网络的互通。 2. 包封装协议 设想现实一种通讯方式。假定发信和收信需要有身份证(成年人才有) ,儿童没有身份证,不能发信收信。有 2 个儿童,小张和小李,他们的老爸是老张和老李。现在小张和小李要写信互通,怎么办? 一种合理的实现方式是:小张写好一封信,封皮写上 “小张小李“, 然后给他爸爸,老张写一个信封,写上“老张老李” , 把前面的那封信套在里面,发给老李,老李收到信以后,打开,发现这封信是给儿子的,就转给小李了。小李回信也一样,通过他父亲的名义发回给小张。 这种通讯实现方式要依赖以下几个因素:
3、 * 老李和老张可以收信发信 * 小张发信,把信件交给老张。 * 老张收到儿子的来信以后,能够正确的处理(写好另外一个信封) ,并且重新包装过的信封能够正确送出去。 * 另外一端,老李收到信拆开以后,能够正确地交割小李。 * 反过来的流程一样。 把信封的收发人改成 Internet 上的 IP 地址,把信件的内容改成 IP 的数据,这个模型就是IPsec 的包封装模型。小张小李就是内部私网的 IP 主机,他们的老爸就是 VPN 网关,本来不能通讯的两个异地的局域网,通过出口处的 IP 地址封装,就可以实现局域网对局域网的通讯。 引进这种包封装协议,实在是有点不得已。理想的组网方式,当然是全路由
4、方式。任意节点之间可达(就像理想的现实通讯方式是任何人之间都可以直接写信互通一样) 。 Internet 协议最初设计的时候,IP 地址是 32 位,当时是很足够了,没有人能够预料到将来Internet 能够发展到现在的规模(相同的例子发生在电信短消息上面,由于 160 字节的限制,很大地制约了短消息的发展) 。按照 2 的 32 次方计算,理论上最多能够容纳 40 亿个左右IP 地址。这些 IP 地址的利用是很不充分的,另外大约有 70左右的 IP 地址被美国分配掉了(谁让人家发明并且管理 Internet 呢?)所以对于中国来说,可供分配的 IP 地址资源非常有限。 既然 IP 地址有限,
5、又要实现异地 lan-lan 通讯,包封包,自然是最好的方式了。 3.安全协议(加密) 依然参照上述的通讯模型。 假定老张给老李的信件要通过邮政系统传递,而中间途径有很多好事之徒,很想偷看小张和小李(小张小李作生意,通的是买卖信息)通讯,或者破坏其好事。 解决这个问题,就要引进安全措施。安全可以让小李和小张自己来完成,文字用暗号来表示,也可以让他们的老爸代劳完成,写好信,交给老爸,告诉他传出去之前重新用暗号写一下。 IPSEC 协议的加密技术和这个方式是一样的,既然能够把数据封装,自然也可以把数据变换,只要到达目的地的时候,能够把数据恢复成原来的样子就可以了。这个加密工作在Internet 出
6、口的 VPN 网关上完成。 4.安全协议(数据认证) 还是以上述通讯模型为例,仅仅有加密是不够的。 把数据加密,对应这个模型中间,是把信件的文字用暗号表示。 好事之徒无法破解信件,但是可以伪造一封信,或者胡乱把信件改一通。这样,信件到达目的地以后,内容就面目全非了,而且收信一方不知道这封信是被修改过的。 为了防止这种结果,就要引入数据防篡改机制。万一数据被非法修改,能够很快识别出来。这在现实通讯中间可以采用类似这样的算法,计算信件特征(比如统计这封信件的笔划、有多少字) ,然后把这些特征用暗号标识在信件后面。收信人会检验这个信件特征,由于信件改变,特征也会变。所以,如果修改人没有暗号,改了以后
7、,数据特征值就不匹配了。收信人可以看出来。 实际的 IPSEC 通讯的数据认证也是这样的,使用 md5 算法计算包文特征,报文还原以后,就会检查这个特征码,看看是否匹配。证明数据传输过程是否被篡改。 5.安全协议(身份认证) 还是假定小张小李通讯模型。 由于老张和老李不在一个地方,他们互相不能见面,为了保证他们儿子通讯的安全。老张和老李必须要相互确认对方是否可信。这就是身份认证问题。 假定老李老张以前见过面,他们事先就约定了通讯暗号,比如 1234567890 对应abcdefghij, 那么写个 255,对应就是一个 bee。 常见的 VPN 身份认证可以包括预共享密钥,通讯双方实现约定加密
8、解密的密码,直接通讯就可以了。能够通讯就是朋友,不能通讯就是坏人,区分很简单。 其他复杂的身份认证机制包括证书(电子证书比如 x509 之类的) ,比较罗里罗嗦,这里就不具体展开了,怕有兄弟看了打瞌睡。如果需要,可以找我要更具体的技术白皮书以及相关的身份认证文档。 如果有身份认证机制,密钥的经常更换就成为了可能。 6.其他 解决了上述的几个问题,基本可以保证 VPN 通讯模型能够建立起来了。 但是并不完美,这是最简单的 VPN。即通过对端两个静态的 IP 地址,实现异地网络的互联。美国的很多 VPN 设备就作到这一级,因为美国 IP 地址充裕,分配静态 IP 地址没有问题。苦的是我等中国客户,
9、2 端都需要静态 IP 地址,相当于 2 根 Internet 专线接入。 VPN 要在中国用起来,还要解决一堆的相关问题。下一个节将给大家描述 IPSEC VPN 在中国应用会遇到的哪些问题。三.VPN 安全技术 由于传输的是私有信息,VPN 用户对数据的安全性都比较关心。 目前 VPN 主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling) 、加解密技术(Encryption & Decryption) 、密钥管理技术(Key Management) 、使用者与设备身份认证技术(Authentication) 。 1.隧道技术是 VPN 的基本技术,类似于点对点连接技术
10、,它在公用网建立一条数据通道(隧道) ,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP 等。L2TP 协议是目前 IETF 的标准,由 IETF 融合 PPTP 与 L2F 而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有 VTP、IPSec 等。IPSec (IP Security)是由一组 RFC 文档组成,定义了一个系统来提供安
11、全协议选择、安全算法,确定服务所使用密钥等服务,从而在 IP层提供安全保障。 2.加解密技术是数据通信中一项较成熟的技术,VPN 可直接利用现有技术。 3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。SKIP 主要是利用 Diffie-Hellman 的演算法则,在网络上传输密钥;在 ISAKMP 中,双方都有两把密钥,分别用于公用、私用。 4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。7.2.2 VPN 隧道协议VPN 的隧道协议包含: 点对点隧道协议 PPTP 是点对点协议 (P
12、PP) 的扩展,并协调使用 PPP 的身份验证、压缩和加密机制。PPTP 的客户端支持内置于 Windows XP 远程访问客户端。其是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道协议。PPTP 的 VPN 服务器支持内置于 Windows Server 2003 家族的成员。PPTP 与 TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择,PPTP 可以配置为 5 个或 128 个 PPTP 端口。PPTP 和 Microsoft“点对点加密 (MPPE)”提供了对专用数据封装和加密的主要 VPN 服务。第二层隧道协议 第二层隧
13、道协议 (L2TP) 是基于 RFC 的隧道协议,该协议是一种业内标准,首次是在 Windows 2000 客户端和服务器操作系统中所支持。与 PPTP 不同,运行 Windows Server 2003 的服务器上的 L2TP 不利用 Microsoft 点对点加密 (MPPE) 来加密点对点协议 (PPP) 数据报。L2TP 依赖于加密服务的 Internet 协议安全性 (IPSec)。L2TP 和 IPSec 的组合被称为 L2TP/IPSec。L2TP/IPSec 提供专用数据的封装和加密的主要虚拟专用网 (VPN) 服务。VPN 客户端和 VPN 服务器必须支持 L2TP 和 IP
14、Sec。L2TP 的客户端支持内置于 Windows XP 远程访问客户端,而 L2TP 的 VPN 服务器支持内置于 Windows Server 2003 家族的成员。SSL VPN 网关作为一种新兴的 VPN 技术,与传统的 IPSec VPN 技术各具特色,各有千秋。SSL VPN 比较适合用于移动用户的远程接入(Client-Site) ,而 IPSec VPN 则在网对网(Site-Site)的 VPN 连接中具备先天优势。这两种产品将在 VPN 市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异: 1、 IPsec VPN 多用于“网网”连接,SSL VPN 用于“
15、移动 客户网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过 SSL VPN 隧道接入内部网络;而 IPSec VPN 的移动用户需要安装专门的 IPSec 客户端软件。 2、SSL VPN 是基于应用层的 VPN,而 IPsec VPN 是基于网络层的 VPN。IPsec VPN 对所有的 IP 应用均透明;而 SSL VPN 保护基于 Web 的应用更有优势,当然好的产品也支持TCP/UDP 的 C/S 应用,例如文件共享、网络邻居、Ftp、 Telnet、Oracle 等。 3、SSL VPN 用户不受上网方式限制,SSL VPN 隧道可以穿透 Firewa
16、ll;而 IPSec 客户端需要支持“NAT 穿透”功能才能穿透 Firewall,而且需要 Firewall 打开 UDP500 端口。 4、SSL VPN 只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而 IPSec VPN 需要管理通讯的每个节点,网管专业性较强。 5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD 等)结合更加便捷。而 IPSec VPN 主要基于 IP 五元组对用户进行访问控制。工作原理:一边服务器的网络子网为 192.168.1.0/24 路由器为 100.
17、10.15.1 另一边的服务器为 192.168.10.0/24 路由器为 200.20.25.1.执行下列步骤: 1. 确定一个预先共享的密钥(保密密码) (以下例子保密密码假设为 noIP4u)2. 为 SA 协商过程配置 IKE.3. 配置 IPSec.配置 IKE:Shelby(config)#crypto isakmp policy 1注释:policy 1 表示策略 1,假如想多配几个 VPN,可以写成 policy 2、policy3Shelby(config-isakmp)#group 1注释:除非购买高端路由器,或是 VPN 通信比较少,否则最好使用 group 1 长度的密
18、钥,group 命令有两个参数值: 1 和 2.参数值 1 表示密钥使用 768 位密钥,参数值 2 表示密钥使用 1024 位密钥,显然后一种密钥安全性高,但消耗更多的 CPU 时间。Shelby(config-isakmp)#authentication pre-share注释:告诉路由器要使用预先共享的密码。Shelby(config-isakmp)#lifetime 3600注释:对生成新 SA 的周期进行调整。这个值以秒为单位,默认值为 86400,也就是一天。值得注意的是两端的路由器都要设置相同的 SA 周期,否则 VPN 在正常初始化之后,将会在较短的一个 SA 周期到达中断。S
19、helby(config)#crypto isakmp key noIP4u address 200.20.25.1注释:返回到全局设置模式确定要使用的预先共享密钥和指归 VPN 另一端路由器 IP地址,即目的路由器 IP 地址。相应地在另一端路由器配置也和以上命令类似,只不过把 IP地址改成 100.10.15.1.配置 IPSecShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识 VPN
20、规则。Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac注释:这里在两端路由器唯一不同的参数是 vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的 IPSec 参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义 DES 作为保密密码钥加密算法。Shelby(config)#crypto map shortsec 60 ipsec-isakmp注释
21、:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在 VPN 两端的路由器上必须匹配。参数 shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。Shelby(config-crypto-map)#set peer 200.20.25.1注释:这是标识对方路由器的合法 IP 地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是 100.10.15.1.Shelby(config-crypto-map)#set transf
22、orm-set vpn1Shelby(config-crypto-map)#match address 130注释:这两个命令分别标识用于这个连接的传输设置和访问列表。Shelby(config)#interface s0Shelby(config-if)#crypto map shortsec注释:将刚才定义的密码图应用到路由器的外部接口。现在剩下的部分是测试这个 VPN 的连接,并且确保通信是按照预期规划进行的。最后一步是不要忘记保存运行配置,否则所作的功劳白费了。VPN 组成无论从 VPN 技术发展历程和应用模式看 VPN 技术包含了多种当前新兴的网络技术,涉及到通信技术、密码技术、硬件
23、集成加速技术和认证技术,是多种技术的复杂结合体。这决定了用户在选择 VPN 时必须以应用为导向,以解决方案为实施依据,方可事倍功半地部署恰当的 VPN 产品。VPN 是一个建立在现有共用网络基础上的专网,它由各种网络节点、统一的运行机制和与物理网络的接口构成,一般至少包括以下几个关键组成部分: VPN 服务器:作为端点的计算机系统,可能是防火墙、路由器、专用网关,也可能是一台运行 VPN软件的联网计算机,或是一台联网手持设备 算法体系:VPN 的专用网络的形成的关键,常见的有:摘要算法 MD5 或 SHA1,对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH,公用密钥
24、加密 RSA、DSA。不同类型的 VPN根据应用特点在实现上使用对应的算法,有的还可以由用户根据使用现场临时更换 认证系统:VPN 是一个网络,要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则,当你通过一个网络去访问一个网络资源时,你自然希望对方是像你要求的那样是真实的,可以想象,对方也是这样要求你的,如何认证对方和认证自己,同时还要防止认证信息泄露,这就是认证系统所要解决的问题,是开始 VPN 连接的基础。一般使用的有口令、一次性密码、RSA SecurID、双因素令牌、LDAP、 Windows AD、Radius、证书,一个系统中往往包括一种以上的方式以增加灵活性 VPN
25、 协议:它规定了 VPN 产品的特征,主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法,由于 VPN 强调的是网络连接和传输,配套的密钥交换和密钥保护方法甚至比算法更重要,而接口决定了一个 VPN 产品的适用度。常见的有 PPTP 、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL .二层隧道协议 L2TP(Layer 2 Tunneling Protocol)是一种基于点对点协议 PPP 的二层隧道协议。在由 L2TP 构建的 VPN 中,有两种类型的服务器,一种是 L2TP 访问集中器LAC(L2TP Access Concentrator ) ,它是附属在网络
26、上的具有 PPP 端系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器,用于为用户提供网络接入服务;另一种是 L2TP 网络服务器 LNS(L2TP Network Server) ,是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。在 LNS 和 LAC 之间存在着两种类型的连接,一种是隧道(tunnel)连接,它定义了一个 LNS 和 LAC 对;另一种是会话(session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。 L2TP 连接的维护以及 PPP 数据的传送都是通过 L2TP 消息的交换来完成的,L2TP 消息可
27、以分为两种类型,一种是控制消息,另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护,数据消息用于承载用户的 PPP 会话数据包。这些消息都通过 UDP 的 1701 端口承载于 TCP/IP 之上。VPN 隧道协议有 4 种:点到点隧道协议 PPTP、第二层隧道协议 L2TP、网络层隧道协议 IPSec 以及 SOCKS v5。1。PPTP:PPTP 是在 PPP 的基础上开发的新的增强型安全协议,可以使远程用户通过拨入 ISP,通过直接连接 Internet 或其他网络安全地访问企业网。由于其性能不高,目前 PPTP 协议基本已被淘汰,不再使用在 VPN 产品中。2。L2TP:不同
28、于 PPTP,它只需要专用的 L2TP 隧道就可以进行点到点的连接。L2TP 结合了 PPTP 协议以及第二层转发 L2F 协议的优点,能以隧道方式使 PPP 包通过各种网络协议,包括 ATM、SONET 和 FR。但是 L2TP 没有任何加密措施,更多是和IPSec 协议结合使用,提供隧道验证。3。IPSec:是一个广泛、开放的安全协议。它工作在网络层,提供所有在网络层上的数据保护和透明的安全通信。IPSec 协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec 把 IPv4 数据包封装在安全的 IP 帧中。传输模式是为了保护端到端的安全性,不会隐藏路由信
29、息。该技术除了包过滤外,没有指定其他访问控制方法,对于采用 NAT 方式访问公共网络的情况难以处理。所以它目前最适合可信 LAN 到 LAN 之间的 VPN 搭建。4。SOCKS v5:工作在会话层,它可作为建立高度安全的 VPN 的基础。SOCKS v5 协议的优势在访问控制,因此适用于安全性较高的 VPN。其缺点是工作性能比低层次的 VPN 协议差,而且必须制定更复杂的安全管理策略。该协议最适合用于客户机到服务器的连接模式,适用于外部网 VPN 和远程访问 VPN网络安全技术概述今天要说的这个话题有点大,网络安全技术是一个很宽泛的概念,每天都有人在遭受来自各式各样的安全威胁,比如说密码被盗
30、了,被肉鸡了,被黑客了,等等。当然这些都是一些比较具体的实例。那么,本文将用一些做项目的经验来谈谈主流网络设备商采用的安全技术有那些。一般的网络设计都是采用低端交换机划分接入网,用中端交换机构建汇聚层,用防火墙IPSIDSVPN 等等设备进行企业内外网隔离,当然这个时候可能会用到一些 HA 及热备技术做高可用,高可靠性设计,然后用高端交换机或路由器作为核心网接入设备接入 ISP网络。我们从设计的角度其实也可以看到一些安全解决方案的实施,其实居多数的安全威胁并不来自外部攻击而是来自内部威胁,一些非法用户入侵,盗用账号,带病毒接入网络然后扩散到内网,威胁其他用户的安全,所以对接入层的控制是重中之重
31、,而这方面的安全技术主要来自接入层的用户认证,比如说较为流行的 802.1X,MAC 地址认证,端口安全 Port-security 等等二层接入技术或较为流行的 portal 三层认证技术等等的基于 AAA 的认证技术。总体来说呢,对于接入层来说,确保接入网络用户合法性是重点,当然这个过程之中还可以利用 AAA 在授权方面的优势,可以对用户划分相应的等级及分配不同的资源(比如 VLAN, ACL,User-profile(一种 qos 策略) ) ,可以根据不同的授权策略访问不同的网络资源。这方面典型的代表,比如说 WLAN 接入安全就是采取接入控制技术(当前较为火的 802.11i 及 W
32、API 都是一种典型的接入安全认证技术) 。其实接入层的认证只是用来确认用户合法性的的一种技术,他确保了用户身份的真实性,但是却无法监管用户的行为及对数据做机密性保护,为了对内网和外网做隔离,业界则采用了防火墙来作为内外网的隔离器,其实防火墙也只是一种较为笼统的概念,有时候也被称为安全网关等等,它往往是一台集成了包过滤防火墙技术,状态跟踪检测动态防火墙技术,NAT 地址转换技术,为了补充 NAT 无法处理三层以上载荷含地址的缺陷而设计的 ALG 技术等等。包过滤防火墙技术的核心在于 ACL,对报文分而治之,匹配则采取相应的 action,所以包过滤是一种静态防火墙因为 ACL 本身是需要静态指
33、定。状态防火墙则可以动态跟踪协议状态机的转换,记录状态为相关报文制定临时返回通道。NAT 地址转换则是为了解决 IPv4 地址的紧缺而提出的一种地址转换技术。由于 NAT 只关注三层信息,所以对于像 FTP,H323 等等这样的多通道协议在数据载荷中也可能携带地址信息,这些信息如果不被转换在则会带来通信的失败,所以 ALG(应用层网关)诞生了, ALG 一般作为一种 NAT 补充技术应用。除了上述的包过滤技术,状态防火墙技术,NAT 及 ALG 等等,还有比如说攻击防范技术,防病毒技术等等也可能被集成在一起。当然也可能被单独设计成一台设备,比如说用于流量清洗的 Guard 及 Detecter
34、,基于当前流行的 IDS,IPS 等等。所有这些技术根据需要可能被集成在一台设备之上,也可能独立在一台设备上,也可能仅仅是一块分布式的板卡等等。可能现实中有很多这样的情况,大企业机构往往是异地的,比如总部在美国,分布在北京,上海等地,这个时候的问题便来了,那么该公司需要统一管理,网络上需要统一部署,所以便出现了 VPN 技术。企业各分部及总部之间通过 VPN 隧道相连接,VPN 的优点在于屏蔽了中间网络,就像双方直连一样的工作。而当前较为流行的 VPN 技术有GRE,L2TP,PPTP,IPSEC 等等。所有的隧道技术其实都是一种封装技术,将乘客协议封装在传输协议之中。GRE 的优点在于可以屏
35、蔽异构网络协议,可以封装多播数据,缺点就在于没有相应的安全性。PPTP 及 L2TP 协议都使用 PPP 协议对数据进行封装,而 PPTP 要求传输网络必须为 IP 网络,而 L2TP 则只要求隧道媒介提供面向数据包的点对点连接,另外于 PPTP 只能在端点间建立单一隧道不同,L2TP 支持端点间多隧道连接且可以提供安全认证功能以及可以跟 IPSEC 配合使用。IPSEC 其实并不是单纯的隧道技术,他可以为用户提供数据的加密,完整性校验及抗重放等等的功能。而 IPSEC 的最为精妙之处却在于利用IKE 进行密钥的管理,永远不在不安全的网络上传输密钥。其实除了上述的常用的隧道技术外,还有很多的封
36、装技术,比如利用标签转发的 MPLS VPN,方面移动用户接入的 SSL VPN,4in4 ,DVPN(动态 VPN)等相应的 IPv4 VPN 技术,还有 IPv6 过渡技术中典型的4in6,6in4,6in6,isatap,6to4,ipv6 gre 等等,另外按照层次划分方面的二层的 BPDU Tunnel 及 QinQ 也属于隧道技术的范畴。不管如何 vpn 技术从网络结构上可以分为两种结构,一种是 hub-spoke 组网,另外一种是 mesh 全连接组网。这里不再赘述。那么一个成熟的安全解决方案必须要考虑到可靠性、高可用性,以及负载分担技术。另外还需要细致区分业务应用,对于音视频及
37、文件服务等各种应用需要做 QOS 的处理,其实从某种角度来考虑 Qos 也是一种广泛应用的安全技术。高可靠性一般采取了主备倒换及热插拔等 HA 技术,另外基于 VRRP 的双机或多机热备技术也是今年发展比较迅速的技术。那么在负载分担技术方面一般在技术上有三种,一种是基于 weight 的 NAT 服务器负载分担,一种是防火墙三明治组网,另外就是利用隐现路由等技术的负载分担技术。当前的负载分担可以集成在路由器,交换机,防火墙中,也可以是一台独立的负载均衡器。说到这里,我们也可以发现,其实所有以上的这些安全技术多关注 4 层以下的安全性,那么其实现实中来自 4 层以上的攻击威胁是最多的,互联网每天
38、都病毒泛滥,蠕虫,木马肆虐,那么在这些方面一些设备制造商则多采用合作策略,跟一些杀毒软件厂商合作共同开发用于防病毒的 ASM 模块等等,扩展病毒特征库,另一方面也跟其他的安全技术紧密结合,比如广为应用的 EAD(终端准入控制)解决方案,该方案采用了整合 +联动的核心思想,对于要接入网络(802.1x 等接入方式或 VPN 方式)的用户,EAD 解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD 对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD 可以对用户终端运行情况和网络使用情况进行审计和监控。那么这样一个综合的解决方案将所有的安全技术进行整合与联动。为用户提供了较为安全的高效的解决方案。
