摘 要:北電網(wǎng)絡(luò)提供的contivity解決方案不僅可以使用戶建立各種類型的VPN,而且還可以把這些VPN集成到未來(lái)的融合話音和數(shù)據(jù)的網(wǎng)絡(luò)中。該方案已實(shí)現(xiàn)了安全路由選擇;可通過(guò)多種技術(shù)支持鑒權(quán)功能,從而實(shí)現(xiàn)安全接入;允許用戶使用其各自的安全性配置文件設(shè)置;其設(shè)計(jì)中沒(méi)有“后門”。重點(diǎn)介紹了contivity2700網(wǎng)關(guān)的主要特征及其優(yōu)勢(shì)。
目前,通過(guò)調(diào)制解調(diào)器或?qū)S镁€路連接互聯(lián)網(wǎng)用戶的方式正逐漸被虛擬專用網(wǎng)(VPN)所代替,VPN使用戶可以通過(guò)互聯(lián)網(wǎng)安全通信。北電網(wǎng)絡(luò)提供的contivity解決方案不僅可以使客戶建立各種類型的VPN,而且還可以把這些VPN集成到未來(lái)的融合話音和數(shù)據(jù)的網(wǎng)絡(luò)中。在北電網(wǎng)絡(luò)看來(lái),明天的VPN將發(fā)展成為高速、安全的網(wǎng)絡(luò),將在公共互聯(lián)網(wǎng)上安全融合所有業(yè)務(wù),包括數(shù)據(jù)、話音和視頻。
IPSec VPN是保證重要信息在公共互聯(lián)網(wǎng)上傳輸時(shí)不會(huì)被泄露的最好選擇。IPSec 有效地保證了數(shù)據(jù)的私密性、完整性、鑒權(quán)和可查性。IPSec 分兩種工作模式:隧道模式、傳輸模式。當(dāng)許多主機(jī)通過(guò)IPSec VPN網(wǎng)關(guān)建立隧道安全通信時(shí),則采用隧道模式。北電網(wǎng)絡(luò)已解決了在IPSec隧道上實(shí)現(xiàn)安全路由的問(wèn)題,為IPSec VPN 的普及打下了堅(jiān)實(shí)的基礎(chǔ)。
安全路由技術(shù)
所謂的安全路由技術(shù)即如何在IPSec VPN隧道上實(shí)現(xiàn)動(dòng)態(tài)路由選擇技術(shù)。
1.安全路由技術(shù)的實(shí)現(xiàn)
要在IPSec隧道上實(shí)現(xiàn)動(dòng)態(tài)路由技術(shù),必需找到兩個(gè)通信端點(diǎn)的SA(Security Association?,如果該SA不存在,則啟動(dòng)IKE(Internet Key Exchange?來(lái)為該通信端點(diǎn)建立SA。一旦該SA建立,就只允許這兩個(gè)通信端點(diǎn)相互交流,其余數(shù)據(jù)均被禁止(除非通過(guò)IKE建立新的SA)。
假設(shè)IPSec VPN隧道已建立,并且由IKE為動(dòng)態(tài)路由協(xié)議(OSPF, RIP, Etc.?建立了允許動(dòng)態(tài)路由協(xié)議包通過(guò)的SA,VPN兩端的路由信息通過(guò)該SA互相學(xué)取,建立了動(dòng)態(tài)路由表,那么當(dāng)兩端的用戶根據(jù)該路由信息通信時(shí),又需要通過(guò)IKE為各自通信的端點(diǎn)重新建立SA,而如果網(wǎng)絡(luò)狀態(tài)有變導(dǎo)致某網(wǎng)段消失,則又需要通過(guò)IKE刪除相關(guān)的SA,工作過(guò)程非常復(fù)雜,開(kāi)銷太大,不能接受,并且目前IPSec規(guī)范中沒(méi)有該標(biāo)準(zhǔn)。有的廠家為了解決該問(wèn)題,只好把數(shù)據(jù)額外封裝到GRE(General Routing Encapsulation?隧道上。由于數(shù)據(jù)封裝次數(shù)太多,導(dǎo)致數(shù)據(jù)開(kāi)銷過(guò)大,因此沒(méi)有被市場(chǎng)接受。
可見(jiàn)要實(shí)現(xiàn)安全路由技術(shù),關(guān)鍵在于建立一種特定的SA。北電網(wǎng)絡(luò)的contivity已實(shí)現(xiàn)了安全路由選擇(SRT?。
北電網(wǎng)絡(luò)的contivity操作組件具有以下優(yōu)勢(shì)
(1)安全路由選擇
SRT支持IPSec隧道上的動(dòng)態(tài)路由。contivity符合IPSec標(biāo)準(zhǔn),能夠?qū)⑻摂MIP接口映射到IPSec隧道。當(dāng)通過(guò)隧道傳輸IP業(yè)務(wù)時(shí),contivity的動(dòng)態(tài)路徑避免了額外的狀態(tài)處理和數(shù)據(jù)包開(kāi)銷(每個(gè)數(shù)據(jù)包多達(dá)24 B)。
(2)安全接入
所有與contivity的連接或通過(guò)contivity的連接,不管是隧道化或非隧道化連接,都可被安全化。用戶、用戶組和遠(yuǎn)端站點(diǎn)均擁有唯一的一個(gè)過(guò)濾配置文件。配置文件被存儲(chǔ)在一個(gè)LDAP數(shù)據(jù)庫(kù)中,以便在單一設(shè)備或多個(gè)contivity設(shè)備中實(shí)現(xiàn)公共策略設(shè)置。contivity通過(guò)多種技術(shù)支持鑒權(quán)功能,這些技術(shù)包括RADIUS、數(shù)字證書、智能卡和令牌卡等。
(3)安全策略
SRT允許每個(gè)用戶、用戶組或分支辦公室分別使用各自的安全性配置文件設(shè)置。該配置文件保存?zhèn)€人信息,不管他是在家中還是在辦公室,而且,不管是運(yùn)行在隧道化還是非隧道化連接上,都以同樣的方式應(yīng)用鑒權(quán)和接入權(quán)限。
(4)安全管理
contivity的設(shè)計(jì)中沒(méi)有“后門”。通過(guò)安全加密隧道進(jìn)行配置是contivity因特網(wǎng)(或公共)接口支持的唯一模式,在該接口中內(nèi)置了拒絕服務(wù)(DoS)保護(hù)。contivity還記錄所有的安全性/鑒權(quán)事務(wù)處理和事件,它們可存儲(chǔ)在contivity的本地硬盤驅(qū)動(dòng)器中或存儲(chǔ)在設(shè)備以外的介質(zhì)中,依賴于企業(yè)的安全性實(shí)踐。
單一硬件設(shè)備以一種高度集成的方式提供IP路由、VPN、狀態(tài)防火墻、加密、鑒權(quán)、策略服務(wù)、QoS和帶寬管理業(yè)務(wù)。利用其全面的IP服務(wù),單一contivity設(shè)備可以解決處理通常需要多個(gè)專用IP和安全性設(shè)備來(lái)解決的問(wèn)題。此外,靈活的軟件許可系統(tǒng)允許企業(yè)在需要時(shí)增加多種IP業(yè)務(wù)。
contivity構(gòu)建于北電網(wǎng)絡(luò)安全路由技術(shù)(SRT)框架之上,SRT集成了contivity的主要功能組件(如管理、接入、路由、和策略),在這些設(shè)備上編織了一個(gè)堅(jiān)固的安全架構(gòu)。即使是在同一個(gè)設(shè)備上運(yùn)行多種IP業(yè)務(wù),它也可提供擴(kuò)展性和較高的性能。
SRT同時(shí)還能實(shí)現(xiàn)密鑰功能,如安全IPSec隧道上的動(dòng)態(tài)路由(RIP/OSPF)、VPN、防火墻和路由業(yè)務(wù)的公共用戶安全策略,以及在需要時(shí)增加新的IP設(shè)備而不影響總體性能。
北電網(wǎng)絡(luò)安全路由技術(shù)能將VPN集成到現(xiàn)有路由器中,升級(jí)軟件以便通過(guò)安全協(xié)議來(lái)處理話務(wù);為每個(gè)設(shè)備添加加密卡?支持和實(shí)施上述網(wǎng)絡(luò)升級(jí)。
2.安全路由技術(shù)的發(fā)展
要實(shí)現(xiàn)IPSec VPN及安全路由技術(shù)大面積的推廣,還需確保IPSec VPN實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換的功能,遠(yuǎn)端節(jié)點(diǎn)極有可能處于保留地址段,該遠(yuǎn)端節(jié)點(diǎn)若要采用IPSec VPN連接中心節(jié)點(diǎn),必須實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的功能。
由于 IPSec VPN協(xié)議架構(gòu)本身的原因以及缺乏支持IPSec 的NAT設(shè)備,當(dāng)IPSec和NAT在一起運(yùn)行時(shí)就會(huì)出現(xiàn)很多問(wèn)題。
NAT 有靜態(tài)NAT和動(dòng)態(tài)NAT兩種類型。其中靜態(tài)NAT允許數(shù)據(jù)主動(dòng)進(jìn)出網(wǎng)絡(luò),而動(dòng)態(tài)NAT只允許數(shù)據(jù)主動(dòng)流出網(wǎng)絡(luò),出網(wǎng)時(shí)把源地址轉(zhuǎn)換為合法地址,進(jìn)網(wǎng)時(shí)則把目標(biāo)地址轉(zhuǎn)換為原來(lái)的內(nèi)部地址,以達(dá)到與公網(wǎng)互通的目的。
IPSec 的許多特性阻止了NAT的運(yùn)行,如IKE 必需保證源UDP端口=目的UDP端口=500,此特性阻止了PAT?多對(duì)一?的運(yùn)行,IPSec AH 方式不允許改變?nèi)魏危桑?地址,以滿足認(rèn)證功能與完整性功能,因此阻止了任何類型NAT的運(yùn)行。在ESP 傳輸模式下,NAT設(shè)備無(wú)法修改TCP CHECKSUM,因此也無(wú)法運(yùn)行NAT。這些限制嚴(yán)重阻礙了IPSec VPN的普及,無(wú)法把IPSec推向網(wǎng)絡(luò)邊緣。而北電網(wǎng)絡(luò)contivity解決方案成功解決了該問(wèn)題,讓IPSec VPN 走向網(wǎng)絡(luò)邊緣成為可能。保證了建網(wǎng)的靈活性。
北電網(wǎng)絡(luò)推出五種contivity安全IP業(yè)務(wù)網(wǎng)關(guān),其中contivity 1010,1050和1100可為要求站點(diǎn)間或遠(yuǎn)程接入VPN應(yīng)用及簡(jiǎn)單因特網(wǎng)連接的小型分支機(jī)構(gòu)、家庭辦公室及小型企業(yè)提供經(jīng)濟(jì)高效、安全的一體化解決方案;contivity 1700和2700則適用于大中型分支機(jī)構(gòu)。
contivity 2700簡(jiǎn)介
contivity 2700的主要特征及優(yōu)勢(shì)見(jiàn)表1。 
1.為因特網(wǎng)提供安全保障
contivity安全IP服務(wù)網(wǎng)關(guān)屬于下一代產(chǎn)品系列,旨在通過(guò)單一集成的平臺(tái)來(lái)提供安全性和IP服務(wù)。專門為企業(yè)邊緣(企業(yè)專用網(wǎng)絡(luò)和公共IP網(wǎng)絡(luò)之間的交點(diǎn))而設(shè)計(jì),通過(guò)一套基于軟件的全面IP服務(wù),contivity使企業(yè)能夠在今天方便地部署所需的服務(wù),并可以在將來(lái)靈活地增加新業(yè)務(wù),所有服務(wù)都無(wú)需成本高昂的硬件升級(jí)。服務(wù)供應(yīng)商同樣可以提供新的增值IP服務(wù)和安全性服務(wù),無(wú)須中斷現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
contivity 2700在單一集成平臺(tái)上提供IP路由、VPN、狀態(tài)防火墻、加密、鑒權(quán)、目錄和策略服務(wù)、QoS以及帶寬管理服務(wù),可服務(wù)于企業(yè)安全IP服務(wù)市場(chǎng)。當(dāng)用作總部解決方案時(shí),它可以為需要安全因特網(wǎng)(如VPN網(wǎng)關(guān)、防火墻)或安全IP路由設(shè)備的大中型企業(yè)的數(shù)據(jù)中心提供服務(wù)。該產(chǎn)品還可以部署在要求安全性和/或安全IP路由服務(wù)并需要連接總部數(shù)據(jù)中心的企業(yè)大型分支機(jī)構(gòu)中,通過(guò)全面的WAN服務(wù)(包括T1/E1,V.35/X.21,V.90 和ISDN以及幀中繼), contivity 2700可以作為企業(yè)的全能型IP邊緣解決方案,實(shí)現(xiàn)到因特網(wǎng)或IP網(wǎng)絡(luò)的安全連接。
由于contivity 2700具有1.33 GHz處理器、集成LAN/WAN接口以及多種安全IP服務(wù)等功能,成為適用于大中型企業(yè)站點(diǎn)的經(jīng)濟(jì)解決方案。
2.保證安全性
contivity 2700采用了contivity產(chǎn)品系列中相同的SRT框架,可以在單一contivity設(shè)備中,實(shí)現(xiàn)一致的安全性結(jié)構(gòu)。即使在同一設(shè)備中運(yùn)行多種IP服務(wù),它也可以提供擴(kuò)展性和較高的性能。SRT還提供一些關(guān)鍵特性(如IPSec VPN隧道上的動(dòng)態(tài)路由、VPN中的公共安全性策略、路由和防火墻服務(wù)),靈活的許可證使企業(yè)能夠在需要時(shí)啟動(dòng)新的IP服務(wù)。
