联想网御VPN产品白皮书V20-XXXX0928.docx

联想网御VPN系统产品白皮书联想网御科技（北京）有限公司版权信息©版权所有 20012008，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息联想，网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL)：010-82166999传真(FAX)：010-82166998技术热线(Customer Hotline)：400-810-7766，010-82167766电子信箱(E-mail)：infosec公司网址：目 录引言5第一章 VPN技术概述61.1 企业网络互联的基本安全要素61.2 VPN技术基础61.2.1隧道技术71.2.2密码技术71.2.3网络访问控制技术81.3 IPSec VPN网络安全体系81.3.1IPSec的优势81.3.2IPSec的原理91.3.3IPSec的实现方式101.3.4IPSec与NAT协同工作11第二章 联想网御VPN产品特点122.1 完备的VPN系统122.2 全面支持IPSec协议标准122.3 支持最新的NAT穿越（NATT）协议122.4 集成SSL VPN接入功能122.5 集成完善的防火墙功能132.6 支持双动态IP地址间建立VPN隧道132.7 支持动态域名解析（DDNS）142.8 完善的VPN网络集中管理功能142.9 支持动态带宽管理功能152.10 提供丰富的冗余备份方案152.11 提供功能强大的VPN软件包162.12 提供易用的管理配置界面162.13 提供丰富的VPN网关附加功能172.14 快速便捷的VPN客户端172.15 完善的集中管理平台182.16 基于应用的内容识别控制192.17 精确细致的WEB分类过滤20第三章 联想网御VPN解决方案213.1 企业总部与分支机构之间构建VPN的解决方案223.2 移动用户远程访问企业内部网络解决方案233.3 对企业内部关键主机进行特殊安全保护的解决方案25第四章 联想网御VPN产品的应用案例274.1 大型连锁企业应用网御VPN建立集团跨地域内联网络274.2 设备制造厂商连接厂部、分支机构和流动业务员274.3 行业性集团企业利用联想网御VPN构建内部办公自动化系统28引言随着我国社会主义市场经济环境的不断完善，经济领域的竞争日趋激烈，建立跨地域、跨行业、能沟通供应链上下游环节的企业级战略性信息系统已成为企业在市场中获取竞争优势的重要手段。目前，国内企业内部的信息化程度越来越高，很多企业都建有自己的局域网、财务系统、ERP系统等等，但建设和维护一个远程基础通讯设施所需的昂贵费用却使绝大多数企业望而却步，它们只能通过远程拨号访问、简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求，严重制约了信息系统整体效能的发挥。在这样的背景下，企业迫切需要一种低成本的网络互联解决方案，以实现异地分支机构、合作伙伴或移动用户与企业总部之间畅通、安全地交换或共享业务数据。Internet技术的不断发展和日趋成熟为这种需求的实现提供了现实的可能性。Internet所具备的高带宽、低费用以及无限的连接特性对企业具有极大的诱惑性，但与此同时，Internet的高度开放性和松散管理结构也使得企业面临的网络安全问题益发尖锐，成了Internet作为商务网络必须跨越的重大障碍。为此，各种网络安全技术和产品应运而生，其中虚拟专用网（VPN）及其相关技术经过多年的实践、发展和完善，以其方便性、安全性、标准化等优势脱颖而出，逐步成为实现企业网络跨地域安全互联的主要技术手段，是目前和今后一段时间内企业构建广域网络的发展趋势。企业实际构建虚拟专用网络需要对一系列与互通和安全相关的问题作出决策，如VPN技术和产品的选用、安全策略的制定、用户认证、私有IP地址的分配和传送、NAT、流量控制、以及和其它安全产品的配合等等。联想作为一个专业化的VPN产品研制、生产和服务提供商，对VPN的技术内涵和国内企业的需求特点有着深刻的理解，并具有丰富的VPN工程实施经验。网御VPN就是我公司在总结国内外各种VPN产品的特点和国内用户实际需求的基础上，推出的拥有完全知识产权的系列VPN产品，能满足各种不同类型企业的构网要求。第一章 VPN技术概述虚拟专用网（VPN）是一种以公用网络，尤其是Internet为基础，综合运用隧道封装、认证、加密、访问控制等多种网络安全技术，为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术，包括和该技术相关的多种安全管理机制。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途专线连接和远程拨号连接，但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是：实现低成本的互通和安全。1.1 企业网络互联的基本安全要素企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此虚拟专用网的重点在于建立安全的数据通道，该通道应具备以下的基本安全要素：l 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。l 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。l 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。l 提供动态密钥交换功能和集中安全管理服务。l 提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。需要强调指出的是：网络信息系统是由人参与的信息系统环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。1.2 VPN技术基础实现一个完整的VPN的主要基础技术包括隧道技术、密码技术和网络访问控制技术。隧道技术使得各种内部数据包可以通过公网进行传输；密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等，网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。1.2.1 隧道技术由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接通过Internet传输的，而必须代之以合法的IP地址。有多种方法可以完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，对于VPN而言，数据包封装（隧道）是最常用的技术。数据包封装发生在VPN的发送节点，此时需将原数据包打包，添加合法的外层IP包头，这个包可通过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术，下图为IPSec VPN隧道模式下对数据包的封装过程：1.2.2 密码技术密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护。数据加密过程是由各种加密算法来具体实施，按照收发双方密钥是否相同来分类，可以将这些加密算法分为对称密码算法和非对称密码算法（公钥算法）。 对称密钥密码算法的收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。最著名的对称密码算法为美国的DES算法及其各种变形。对称密码算法的优点是有很强的保密强度和较快的运算速度，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。非对称密钥（公钥）密码算法的收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥，这些特性使其成为实现数字签名的最佳选择。由于非对称密码算法加密速度慢，不适宜直接对实时的和大量的数据加密。在IPSec实现中，非对称算法（证书）用于自动协商隧道密钥（对称密钥），从而可大大简化密钥的管理工作。在IP最著名也是应用最为广泛的公钥密码算法是RSA算法。1.2.3 网络访问控制技术网络访问控制技术对出入广域网的数据包进行过滤，即传统的防火墙功能。由于防火墙和VPN均处于公网出口处，在网络中的位置基本相同，而其功能具有很强的互补性，因此一个完整的VPN产品应同时提供完善的网络访问控制功能，这可以在系统的安全性、性能及统一管理上带来一系列的好处。1.3 IPSec VPN网络安全体系目前建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。各种标准的侧重点有所不同，其中IPSec是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础。实际上，IPV6版本就将IPSec作为其组成部分，而L2TP协议草案中也规定它（L2TP标准）必须以IPSec为安全基础。目前，采用IPSec标准的VPN技术已经基本成熟，得到国际上几乎所有主流网络和安全供应商的鼎力支持，并且正在不断丰富完善。可以断定，IPSec将成为未来相当一段时间内企业构筑VPN的主流标准，因此企业在构造VPN基础设施时应该首先考虑IPSec标准。1.3.1 IPSec的优势IPSec(IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准，IPSec的结构文档RFC2401定义了IPSec的基本结构，所有具体的实施方案均建立在它的基础之上。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。尽管现在发行的许多Internet应用软件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议（SSL），还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议（SET）。然而，VPN需要的是网络级的安全功能，这也正是IPSec所提供的。下面为IPSec的一些优点：l IPSec在传输层之下，对于应用程序来说是透明的。当在广域网出口处安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。 l IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。 l 如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。 1.3.2 IPSec的原理IPSec包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的各种保护方式；密钥协商部分则定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了很多个RFC文档，对IPSec的方方面面都进行了定义，但其核心由其中的三个最基本的协议组成。即：认证协议头（AH）、安全载荷封装（ESP）和互联网密钥管理协议（IKMP）。认证协议头（AH）协议提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。安全载荷封装（ESP）协议通过对数据包的全部数据和加载内容进行全加密，来提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。和AH不同的是，ESP认证功能不对IP数据报头中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。在IPSec中，AH和ESP是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。大部分的应用实例中都采用了ESP或同时使用ESP和AH，但对于某些仅需要保证完整性的应用（如股市行情的发送），也可仅使用AH。IPSec支持手工密钥设置和自动协商两种密钥管理方式。手工密钥管理方式是指管理员使用自己的密钥手工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商管理方式则能满足其它所有的应用要求。使用自动协商管理方式，通讯双方在建立安全连接（SA）时可以动态地协商本次会话所需的加密密钥和其它各种安全参数，无须用户的介入。IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商，可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式（传输或隧道模式）、密钥的生存期等，这些安全参数的总体称之为安全关联（SA）。IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商。IKE通过两个阶段的协商来完成安全关联（SA）的建立，第一阶段，由IKE交换的发起方发起一个主模式交换或野蛮模式交换，交换的结果是建立一个名为ISAKMP SA的安全关联；第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列，完成用于保护通信数据的IPSec SA的协商。设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。因此，IPSec协议中涉及各种密码算法，具体的加密和认证算法的选择因IPSec的实现不同而不同，但为了保证互操作性，IPSec中规定了每个IPSec实现要强制实现的算法。IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法，而认证算法是HMAC-MD5、HMAC-SHA-1和NULL认证算法。必须强调指出的是，高强度的密码算法是国家专控商品，至今美国仍实行对加密长度超过128位的加密算法的出口限制。我国颁布的中华人民共和国商用密码管理条例中规定，“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”，“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”，因此在选择VPN产品时，应采用经过国家密码管理机构认可的产品。1.3.3 IPSec的实现方式IPSec的一个最基本的优势是它可以在各种网络设备、主机服务器或工作站上完全实现，从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端，可以在路由器、防火墙、代理网关等设备中实现VPN网关；在客户端，IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性：传输模式和隧道模式。传送模式通常当通讯发生在主机（客户机或服务器）之间时使用。传输模式使用原始明文IP头，AH或ESP被插在IP头之后但在所有的传输层协议之前。由于没有对原始IP头进行加密，因此传输模式不能抗数据流量分析。隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。在隧道模式下，AH或ESP被插在原始IP头之前，同时生成一个新的IP头，并用自己的地址作为源地址加入到新的IP头。当隧道模式用于用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。1.3.4 IPSec与NAT协同工作网络地址转换（NAT）是IETF为了解决IPv4协议定义的IP地址不足问题而提出的一种解决方案。它的主要工作原理是：在内部网络中使用IPv4保留的私有地址对主机进行地址分配，同时在NAT网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP地址（通常为NAT网关的外网口地址）。在多数情况下NAT的处理对用户使用是完全透明的，但是当希望使用IPSec技术组建VPN网络时，NAT却带来了很大的麻烦。由于NAT处理过程是需要修改IP数据报文的IP头数据、传输层报文头数据甚至传输数据的内容（如FTP应用），而在IPSec协议中是对整个IP报文数据进行了加密和完整性认证处理的，所以一旦经过IPSec处理的IP包穿过NAT网关时，包内容被网关所改动，改数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是非法数据而被丢弃。这就是组建VPN网关最常见的“IPSec与NAT协调工作”的问题。为了解决这个问题IETF专门为IPSec制定的“NAT穿越（NATT）”的协议草案，是2002年刚刚提出的。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装，这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动；在目的主机处再把外层的IP/UDP封装去掉，就可以获得完整的IPSec数据包。由于NATT协议标准制定的时间还比较短，而且还没有最终形成RFC的标准，所以目前国内VPN厂商真正支持这个标准的产品几乎没有，国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准。网御VPN的全系列产品（从网关到移动客户端软件）都支持最新的NATT标准。由于NAT技术在国内的广泛应用，所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。第二章 联想网御VPN产品特点在总结国内外各种VPN产品的特点和国内用户实际需求的基础上，联想网御公司推出了面向企业用户并具有完全知识产权的VPN系列产品。联想网御VPN产品要达到的目标是：采用联想网御VPN，企业的所有分支机构、合作伙伴和移动用户只要连接上因特网（无论采取什么样的接入方式），就能够像是用专线互联一样方便安全地交换和共享数据。2.1 完备的VPN系统联想网御VPN产品由VPN安全网关、VPN客户端以及集中管理平台组成。VPN安全网关可以实现用户网络到网络安全访问，VPN客户端帮助用户实现远程接入用户的安全访问。集中管理平台可以帮助用户轻松管理多层次多节点的大型VPN系统。2.2 全面支持IPSec协议标准IPSec作为一个全球性的安全标准，要求所有IPSec的实现必须严格遵循其各种协议规范，以便实现不同产品之间的互通。联想网御VPN产品经过严格的互通性测试，和CISCO、NetScreen等著名厂家的VPN产品可以实现互通（采用标准算法）。2.3 支持最新的NAT穿越（NATT）协议NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术；NAT与IPSec协议存在着原理上的矛盾（具体参考上一章的相关描述）；所以在应用IPSec技术组建VPN网络时，一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。网御VPN的全系列产品均支持最新的NATT协议标准，具有非常好的网络适应性。2.4 集成SSL VPN接入功能联想网御VPN网关中集成开发了功能强大的SSLVPN功能，移动办公用户不需要安装客户端就可以通过SSLVPN安全的访问内部网络。移动用户只需要通过浏览器打开联想网御VPN网关的SSLVPN入口网页，就可以建立隧道。隧道建立后，可以透明的访问内部网络。SSLVPN支持所有的动态协议。联想网御VPN网关中SSL VPN功能特点：l 无客户端，部署方便l 终端用户无需配置，使用方便l 支持B/S、C/S各种应用l 支持隧道内包过滤l 支持代理和NAT接入方式l 支持3DES、DES、AES等加密算法以及SHA1、MD5 摘要算法l 支持基于USBKey的证书认证l 支持IP地址动态分配l 支持多个保护网络l 支持资源管理、方便用户使用2.5 集成完善的防火墙功能联想网御VPN网关中集成开发了功能强大的防火墙，并进行了友好易用的用户界面封装，提供专用防火墙产品绝大部分的功能：l 完备的动态包过滤功能；l 双向NAT功能；l MAC地址绑定功能；l ARP代理功能；l 透明应用代理功能；l 防止半连接、拒绝服务、IP碎片等常见攻击功能；2.6 支持双动态IP地址间建立VPN隧道目前国内常用的因特网接入方案（包括电话拨号、ISDN拨号、ADSL宽带接入等等）都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网，那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整，这一过程对目前市场大部分的VPN产品（包括国内产品和国外产品）都无法自动完成，这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。联想网御VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略服务器（SPS）”进行注册和身份认证，然后从SPS下载自己的VPN策略；同时SPS负责当策略参数发生改变时，实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况。2.7 支持动态域名解析（DDNS）联想网御VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址动态IP地址以及全动态IP地址的方式接入因特网。对于企业内部全动态IP地址接入的情况，部署在企业总部的网御VPN网关（内置安全策略服务器）可以启动内置的动态域名解析功能（DDNS），从而使各个分支网关能够通过中心网关的域名来下载安全策略。对于国内大量没有条件申请专线和静态IP地址的企业用户，联想网御VPN产品无疑是一个最佳的选择。2.8 完善的VPN网络集中管理功能企业内部网络上一般都会运行OA和业务数据传输系统，系统中的数据直接关系到企业的商业秘密和经济利益，具有较高的安全性要求，因此对接入企业VPN网络的部门及个人必须进行集中严格的身份认证，控制非授权人员进入企业内部网络，对业务系统的安全运行造成威胁；其次，多数大型企业的业务数据具有比较强的实时性要求，一旦某个分公司或者营业网点的VPN网络发生故障，业务数据不能及时上传，就可能对企业用户造成时间或经济上的损失，从而直接影响公司的声誉形象和经济利益，所以需要对整个VPN网络的运行情况进行集中监控和远程管理，及时发现网络故障并排除，保证业务系统的顺利运行；同时，对于分支机构、营业网点遍布全国的大型企业来讲，其业务网络系统具有分布地域广泛、接入网点较多、网络结构复杂等特点，如果全部的管理工作都集中在公司总部完成，必然会给总部的网络管理人员带来繁重的日常维护管理工作，降低对接入、连通需求的反映速度，因此对VPN网络的管理在统一认证、集中监控的前提下，还应该充分发挥各个分公司网络管理人员的作用，将日常的管理维护工作分级化，提高整个网络的运行效率。综合以上分析的企业VPN网络管理需求，联想网御VPN系列产品采用了“统一认证、集中监控、分级管理”的VPN网络管理方案：l 统一认证：联想网御VPN全系列产品（包括网关和软件包）均支持目前最安全的身份认证方式数字电子证书认证，采用1024bits密钥的RSA算法进行数字证书签名，数字证书的发放、认证过程由“网御安全管理中心（SMC）”软件完成；在企业的总部部署“网御安全管理中心”，负责对全国VPN网络的入网设备发放数字证书，只有拥有合法数字证书并通过中心SMC认证的网关或安全包才能接入企业的VPN网络。l 集中监控：通过“联想网御安全管理中心（SMC）”软件，可以对整个VPN网络中部署的网御VPN产品（包括网关和软件包）完成实时在线状态监控，可以及时、清楚的获取当前在线VPN设备的各种状态参数；同时网御VPN网关产品均具有安全的远程管理的功能，无论该设备以何种方式接入企业虚拟网，都可以对其进行远程配置，因此当通过状态查看发现某个网关设备工作不正常时，中心管理员可以及时远程修改该设备的各种配置参数，以保证整个VPN系统的运转正常。l 分级管理：通过“证书托管中心（CMC）”和“安全管理控制台”等软件，分公司的网络管理员可以在总部中心授权的前提下，负责对其所管辖的企业部门进行VPN隧道信息配置；在这种管理模式下，大大减轻了总部网络管理人员的工作强度，提高整个VPN网络的可伸缩性。2.9 支持动态带宽管理功能VPN网关设备作为企业内部网络与因特网的互联设备，通常需要完成两个主要功能：l 代理内部网络用户访问因特网；l 隧道封装内部网络用户访问远端企业内部网主机的数据流。因此合理分配有限的因特网接入带宽资源，确保企业内部的业务数据流快速实时地进行传输是VPN网关设备必不可少的一项功能。联想网御VPN网关系列产品均提供精确的动态带宽管理功能。其可根据因特网接入的总带宽，定量的控制因特网浏览和企业VPN数据流所占用的带宽比例；而且可以对上述两种类型的数据流进行更为细致的划分，例如：可以控制VPN数据流中流向总部与流向下属分公司的数据所占用的带宽比例；另外网御VPN网关对带宽控制采用了自适应的动态管理策略，例如：当VPN数据流不大时，因特网浏览数据可以自动借用剩余的VPN数据带宽，动VPN数据流加大时，因特网浏览数据又会自动让出占用的VPN数据带宽，从而即可以确保VPN数据的通讯质量，又不会造成不必要的带宽资源浪费。2.10 提供丰富的冗余备份方案联想网御VPN网关提供两种冗余备份解决方案，为保证企业VPN网络的稳定性提供了强有力的工具。具体方案如下：a、 双机单线路主从备份双机单线路主从备份在这种方案中，正常情况下仅有工作机进行工作，备份机处于热等待状态，并使用心跳信号实时侦听工作机的运转状态；当工作机出现故障时，备份机自动接替工作机的工作，完成VPN隧道的加解密和数据隧道封装工作；当工作机恢复正常后，备份重新进入热等待状态。b、 双机双线路镜像备份双机双线路镜像备份在这种方案中两台VPN设备均为工作状态，而且各种配置信息完全自动镜像，数据流选择主线路还是备份线路是由路由器的HSRP备份协议自动协商完成的。2.11 提供功能强大的VPN软件包作为完整的企业VPN解决方案，提供支持移动办公用户远程访问VPN系统的客户端软件包是必不可少的。联想网御VPN软件包不但提供完整的IPSec协议实现，支持移动用户的VPN接入需求，而且内置完善的软件防火墙功能、支持PPPoE拨号协议、支持动态VPN策略下载、支持开机自动建立隧道、支持同时激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大的安全功能，所以其可以作为软件VPN网关安装在企业局域网的代理服务器上，作为硬件网关的备份或补充。2.12 提供易用的管理配置界面联想网御VPN网关提供基于串口超级终端和远程telnet两种登录管理方式，管理员可以使用命令行的方式对设备进行配置；同时提供基于windows的GUI管理控制界面，管理员可以不用记忆复杂的配置命令，而仅通过点击鼠标就可完成全部配置工作。另外，由于联想网御VPN设备支持从安全策略服务器自动进行策略下载的集中管理配置工作模式，所以对于分支网关的安装人员来讲只需要配置网关的网络地址信息和中心策略服务器的地址信息，就完成了全部配置工作。如果在分支网关安装之前，由中心的管理人员将这两项信息预先配置完成，则分支网关的安装过程可以做到真正的“零配置”。2.13 提供丰富的VPN网关附加功能联想网御VPN网关不仅能够提供组建企业VPN网络的基本功能，而且作为网关设备具有许多对用户十分实用的附加功能，真正做到一机多能，节省用户投资。具体功能包括：l 内置DHCP服务器和客户端；l 内置远程拨号服务器功能；l 支持静态路由协议；l 支持RIP、OSPF动态路由协议；l 支持内部多子网划分；l 支持远程网络邻居互访（与WINS服务器配合）。2.14 快速便捷的VPN客户端联想网御VPN客户端是联想完全自主版权的IPSec VPN软件产品。它既可以完成移动用户远程接入企业VPN的客户端软件功能，也可以安装在企业内部局域网的代理服务器上，作为软件网关完成和联想网御VPN安全网关基本相同的功能，同时还可以安装在企业内部高安全级别的服务器主机上，完成对服务器的高级访问控制。联想网御VPN客户端既可以与联想网御VPN安全网关配套使用，也可以在多个VPN客户端之间建立安全隧道，构成虚拟专网，从而实现客户端客户端、客户端网关（硬件/软件）、网关（硬件/软件）网关（硬件/软件）之间的信息安全传输。联想网御VPN客户端的运行对用户表现为全透明，即：用户的应用系统无需作任何适应性调整，其网络配置也不必作任何改动。软件支持平台： Microsoft Windows 2000/XP/Vista主要功能性能指标：l 支持10个并发VPN隧道；l 支持IPSec ESP、AH的隧道模式封装和传输模式封装；l 支持主模式、野蛮模式认证方式；l 支持DES、3DES、AES等加密算法和MD5和SHA1摘要算法；l 支持DH1、DH2、DH5；l 支持RSA1024非对称加密算法；l 支持预共享密钥、数字证书的身份认证；l 支持IKE自动密钥协商协议；l 支持NAT穿越；l 支持国密办专用算法（通过选配加密卡支持）；l 支持完美向前保护（PFS）；l 支持数据通信中的压缩；l 支持扩展认证；l 支持DHCP over IPSec；l 支持电子钥匙（USBkey），能够保存认证数据与策略；l 支持开机自动建立隧道，便于无人值守业务的数据传输。2.15 完善的集中管理平台联想网御集中管理平台Leadsec-DM(SA)-X是一套用于对整个企业VPN网络进行集中统一管理的软件系统。它由两个相对独立的子系统组成：安全策略服务器（SPS）和中心管理器（SMC Manager），子系统可分别安装在不同的主机上，它们之间通过安全的网络通讯机制进行数据交换；SPS是一个基于数据库的后台服务程序，可运行在Windows 2000、Linux系统平台上，主要完成：l 存储并同步整个企业VPN网络中所部署的联想网御VPN设备状态信息；l 存储并下发预先制定的全局VPN安全策略；SMC管理器是基于Windows的图形界面程序，它主要完成浏览、配置SPS所维护的VPN设备信息和VPN安全策略信息。对任何一个网御VPN产品节点，必须导入一个合法的数字证书，才能和其它VPN节点进行基于电子证书的双向身份认证，进而协商建立安全加密隧道。采用网御VPN安全管理中心来自行生成、发放和管理企业自身的证书库。软件支持平台： Microsoft Windows 2000/2003GUI界面示例：2.16 基于应用的内容识别控制联想网御VPN拥有目前最完善的应用识别特征库，通过智能分析技术，将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过VPN网关时，VPN网关启动过滤引擎，对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时，VPN网关即可应用智能识别技术进行细粒度控制或一键封锁。如何快速而准确地识别各种上网行为，是决定VPN网关性能的关键因素。联想网御VPN网关从如下几个方面保障内容识别的高速与准确。u 智能匹配技术在特征库上的设置上，VPN网关按照所有上网行为的特点进行了分类，并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。当数据包到达VPN网关时，VPN网关首先根据用户定制策略将其分配到其对应的特征库管道，如P2P下载行为的流量被输送到P2P特征库管道，即时通讯的流量则被输送到IM特征库管道。流量被分发到相应的特征库管道以后，再由相应的搜索引擎对流量进行扫描。这样既大大减少了搜索引擎检索的时间，又提高了过滤引擎的性能。u 多线程扫描技术联想网御VPN网关采用多线程扫描技术，提高了引擎扫描的效率。比如当BT数据流和MSN数据流同时进入VPN网关时，VPN网关内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流，而是可以同时启动BT搜索引擎和MSN搜索引擎。两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过VPN网关的情况，快速提升了搜索引擎的工作效率。2.17 精确细致的WEB分类过滤联想网御VPN网关系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时。通过采用网站全智能搜索引擎技术收集互联网站点，并进行智能分类、人工核验的处理手段对网站进行分类。目前联想网御VPN网关支持50多种完善的URL类别，分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类，这50多个URL类别库总共包含1000万以上特征网站，具有分类全，覆盖面广的特点。另外，由于在互联网上每天都有大量新网站出现，联想网御通过在线升级的方式，使URL库中的网站处于持续的更新状态。2.18 可信架构主动云防御技术联想网御防火墙通过与已部署的防病毒网关、IPS、UTM等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征，汇集至云防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有联想网御安全网关设备中，使其他设备具有防病毒、IPS、防挂马等功能，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。第三章 联想网御VPN解决方案联想网御VPN系列产品向用户提供了通过完整的企业级网络安全解决方案，联想网御VPN解决方案具有如下鲜明的特点：广泛的适用性联系网御VPN解决方案能够解决企业构建VPN网络所提出的各种应用需求，包括企业机构内部之间的数据通信、与合作伙伴之间的数据通信、企业分支机构与企业总部之间的数据通信、远程移动办公人员与企业内部安全通信以及移动人员之间的安全通信等等。同时，联想网御VPN解决方案能够应用于目前国内所有的因特网接入技术，包括高速专线接入、ADSL接入、城域网宽带接入、有线电视网宽带接入、小区宽带接入和普通电话拨号接入等等；而且在因特网接入IP地址方式上，也为用户提供了最大的选择空间，无论用户是否拥有静态的IP地址，都能够成功组建自己的VPN网络，真正实现了“只要能够接入因特网，就能够构建企业VPN”的服务承诺。灵活的伸缩性联想网御VPN产品拥有完善的产品系列和多种产品形态，这使得我们可以根据用户的企业规模、资金投入和应用系统需求，为用户量体裁衣，制定切实可行的VPN解决方案。无