发布时间:2020-02-18 17:11:28
迈普公司的系列SOHO网络安全产品(MPSec FW505,MPSec VPN3005以及MP800系列安全路由器),解决了采用ADSL等使用动态IP地址的网络环境下组建VPN的问题。
第一部分:中心结点
在方案中,网络中心放置一台MPSec-FW520(带VPN模块,或者MPSec VPN3020)做为中心结点,提供VPN接入功能,作为整个VPN网络中的VPN集中器。该设备的IP地址采用固定的外网IP地址,以便下端采用动态IP地址的结点访问。所有下端分支办分室相互之间的通信需要通过MPSec-
FW520来转发完成。
MPSec-FW520/MPSec VPN3020与两个分支办公室分别建立VPN隧道,并将报文在两个隧道内转发。MPSec-FW520/MPSec VPN3020实现了IPsec建安全隧道并通过IKE实现密钥协商和用户认证。MPSec VPN3020支持迈普公司独创的安全域技
2003·1信息安全与通信保密53
Select Solution
术,可以将不同的分支结构划分为不同的安全域,同一个安全域中的不同结点之间可以进行通信,不同安全域之间不能进行通信。在一个安全域中所有的结点网络的IP地址采用统一规划,不同安全域各自采用的IP地址可以是重复的。
中心结点可采用双机热备份功能,以增强系统可靠性,备份机与主机共用一个IP地址。备份机同主机之间采用心跳协议进行自动的备份探测,在两台相互备份的设备之间会自动对设备的配置文件进行备份。
MPSec-FW520/MPSec VPN3020可以工作在路由方式或透明方式下,它在提供VPN的同时,还支持防火墙功能,可对访问的数据流进行过滤选择。同时,也实现了防火墙过滤和流量控制、计费等功能。
第二部分:边沿结点
分支用户使用MPSec VPN3005或MP800安全路由器,作为接入网络的设备。该设备在实现网络接入的同时也实现了网络的安全。MPSec VPN3005或MP800系列安全路由器分支接入设备支持ADSL、以太网络的网络接入方式。这两款设备都采用标准IPSec实现VPN,均支持IKE进行密钥自动协商和身份认证,支持迈普设备证书管理系统的在线证书管理,并且支持第三方的证书。
在网络中,边沿网络设备可以采用固定IP地址或者接受ISP分配的临时动态IP地址。采用固定IP地址时,在设备上需要指定中心结点的IP地址,在中心结点上也需要设置分支结构的IP地址,这样双方可以知道建立VPN隧道的对端地址;当采用动态IP地址时,只需要在分支结构的设备上设置中心结点的IP地址,然后在中心结点给每一个分支机构分
配一个用户名、口令即可。
MPSec VPN3005支持DHCP SERVER/Client,在需要时可以为接在信任端口的内网主机分配IP地址,这样实现了多台PC同时上网。
MPSec VPN3005在提供VPN的同时,还支持防火墙功能,可对外出或进入系统的数据流进行控制。对于接在分支网络中的用户,他们可以选择上Internet或者上VPN进入公司内部网络,当需要进入公司内部网络时,网络中的PC需要通过认证程序,通过MPSec VPN3005/MP800的用户认证。
第三部分:移动用户的接入
54信息安全与通信保密2003·1
移动用户运行专用客户端软件MPSec VRC,其它连接方式与其它分支用户相同。
方案优势
基于动态IP地址虚拟专用网解决方案的优势主要有以下几点:
1.解决了分支机构在采用动态IP地址接入网络环境下实现VPN的问题,使得用户既可以采用便宜的ADSL等宽带接入方式保障网络带宽,同时也可以采用硬件加密技术实现网络通信保密,真正做到通信、安全两不误。
2.采用IPSec来进行报文的隧道封装,提供数据完整性保护和机密性保护,保证报文在公网上传输时不能被非法修改和偷窥。对数据的加密采用国密办批准的SSP02A加密算法实现,保障数据的加密安全性。
3.进行隧道封装时,提供多种强度隧道的选择,可选择只进行完整性保护、机密性保护或同时进行两种保护,并提供多种算法供选择。还可根据用户要求嵌入用户自已的算法。对于不同的用户也可以采用不同的加密强度。
4.投资少,用户只需在中心结点选择一台高性能的设备,边沿结点只需要选择迈普公司的SOHO网络安全设备即可。在这种应用下,边沿结点的用户只需与中心结点建立一个隧道即可完成与所有用户的通信,因此对于边沿结点的VPN设备性能要求不高。
5.可扩充性好。该方案由于每个结点都与中心结点建连,不存在相互建连的过程。因此添加设备时,不会对网络造成结构上的影响,只须改变新加结点和中心结点的部分配置即可实现网络的扩充。
6.中心结点支持流量管理和计费功能,可以以用户方式对下端进行控制。
支持多种IP地址分配方式和多种类型的线路接入,适用于固定IP和动态IP。解决了动态IP接入的问题。
