技术白皮书.docx
《技术白皮书.docx》由会员分享,可在线阅读,更多相关《技术白皮书.docx(19页珍藏版)》请在冰豆网上搜索。
技术白皮书
ICEFLOWVPN解决方案
技术白皮书
上海冰峰计算机网络技术有限公司
IceflowComputernetworkTechnologyCo.,Ltd
2002年3月
前言
第一章VPN基础技术简介
1.VPN的概念
2.VPN的类型与标准
3.VPN技术
3.1隧道技术
3.1.1隧道技术简介
3.1.2IPsec中的隧道协议IPIP
3.2VPN的安全机制
3.2.1认证技术简介
3.2.2IPsec中的认证协议AH
3.2.3加密技术简介
3.2.4IPsec中的加密协议ESP
3.2.5密钥交换和管理
第二章VPN解决方案的组成
1.系统简介
2.ICEFLOWVPNRouter中IPsec体系的实现
3.ICEFLOWVPN系统特点
4.ICEFLOWVPN系统性能指标
5.ICEFLOWVPN系统安全机制
第三章ICEFLOWVPN解决方案
1.ICEFLOWVPN解决方案的特点
2.ICEFLOWVPN解决方案的典型应用
前言
上海冰峰计算机网络技术有限公司是一家实力雄厚的高科技企业,公司主要产品是自主开发的高性价比的ICEFLOW企业动态VPN解决方案,该方案提供了企业通过ADSL在异地构建VPN网络的可能,同时免除了企业在专线上的高额费用。
VPN使公司所有网络在INTERNET上组成一个安全虚拟的大局域网,异地ERP,远程教育,异地OA均可以轻松的实施。
第一章VPN基础技术简介
1.VPN的概念
在经济全球化的今天,越来越多的公司、企业开始在各地建立分支机构开展业务,移动办公人员也随之剧增。
在这样的背景下,这些在家办公或下班后继续工作的人员和移动办公人员,远程办公室,公司各分支机构,公司与合作伙伴、供应商,公司与客户之间都可能建立连接通道以进行信息传送。
传统的企业网组网方案中,要进行远地LAN到LAN互连,除了租用DDN专线或帧中继之外,并无更好的解决方法。
对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网。
随着全球化的步伐加快,移动办公人员越来越多,公司客户关系越来越庞大,这样的方案必然导致高昂的长途线路租用费及长途电话费。
于是,虚拟专用网VPN(VirtualPrivateNetwork)的概念与市场随之出现。
其实虚拟专用网VPN技术早在1993年,欧洲虚拟专用网联盟(EVUA)就成立了,力图在全欧洲范围内推广VPN。
然而却是由于
Internet的迅猛发展为VPN提供了技术基础,全球化的企业为VPN提供了市场,使得VPN开始遍布全世界。
虚拟专用网是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。
虚拟专用网通过安全的数据通道将远程用户,公司分支机构,公司业务伙伴等跟公司的企业网连接起来,构成一个扩展的公司企业网。
在该网中的主机将不会觉察到公共网络的存在,仿佛所有的主机都处于一个网络之中。
公共网络仿佛是只由本网络在独占使用,而事实上并非如此,所以称之虚拟专用。
之所以采用虚拟专用网是因为VPN
有以下几方面优点:
.
.
●降低成本
通过公用网来建立VPN与建立DDN、PSTN等专线方式相比,可以节省大量的费用开支。
●容易扩展
如果用户想扩大VPN的容量和覆盖范围,只需改变一些配置,或增加几台设备、扩大服务范围。
在远程办公室增加VPN也很简单,只需通过作适当的设备配置即可。
●伸缩性高
用户如果想与合作伙伴联网,如果没有VPN,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了VPN之后,只需双方配置安全连接信息即可。
当不再需要联网时,也很容易拆除连接。
●完全控制主动权
企业可以利用公网或在网络内部自己组建管理VPN。
由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
●全方位的安全保护
VPN不仅能在网络与网络之间建立专用通道,保护网关与网关之间信息传输的安全,而且能在企业内部的用户与网关之间、移动办公用户和网关之间、用户与用户之间建立安全通道,建立全方位的安全保护,保证网络的安全。
●高的性价比
VPN致力于为网络提供整体的安全性,是性能价格比比较高的安全方式。
使用和管理方便VPN产品可以在网络连接中透明地配置,而不需要修改网络或客户端的配置,非常方便使用。
VPN产品可以实现集中管理,也就是在同一个地方实现对不同地方VPN的配置、监控和维护等。
●投资保护
VPN基于IPSEC实现,IPSec标准逐渐被大家接受,用户网络的改造和扩展有很好的保护。
2.VPN的类型与标准
可以根据网络连接方式的不同把VPN分为以下几种类型:
●AccessVPN(远程访问虚拟专网)与传统的远程访问网络相对应。
在该方式下远端用户不再是如传统的远程网络访问那样,通过长途电话拨号到公司远程接入端口,而是拨号接入到用户本地的ISP,利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。
示例如图1-1:
图1-1
这种方式最适用于公司内部经常有流动人员远程办公的情况。
出差员工拨号接入到用户本地的ISP,就可以和公司的VPN网关建立私有的隧道连接,不但保证连接的安全,同时负担的电话费用大大降低。
●IntranetVPN(企业内部虚拟专网)与企业内部的Intranet相对应。
在VPN技术出现以前,公司两个异地机构的局网想要互连一般会采用租用专线的方式,虽然该方式也采用如隧道等技术,在一端将数据封装后通过专线传输到目的方解封装,然后发往最终目的地。
该方式也能提供传输的透明性,但是它与VPN技术在安全性上有根本的差异。
而且在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。
IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
示例如图1-2:
●ExtranetVPN(扩展的企业内部虚拟专网)与企业网和相关合作伙伴的企业网所构成的Extranet相对应。
此种类型与上一种类型没有本质的区别,但由于是不同公司的网络相互通信,所以要更多的考虑设备的互连,地址的协调,安全策略的协商等问题。
利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
示例如图1-3:
在下表中根据ISO七层模型给出了VPN的主要协议标准。
OSI七层模型
安全技术
安全协议
应用层
表示层
应用代理
会话层
传输层
会话层代理
SOCKSv5/SSL
网络层
数据链路层
物理层
包过滤
IPSec
PPTP/L2F/L2TP
表1-1
IPSec协议
IPSec协议是一个应用广泛,开放的VPN安全协议。
IPSec适应向Ipv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。
IPSec用密码技术提供以下安全服务:
接入控制,无连接完整性,数据源认证,防重放,加密,防传输流分析。
IPSec协议可以设置成在两种模式下运行:
一种是隧道(tunnel)模式,一种是传输(transport)模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。
传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
在1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议,密钥分配协议IKE、Oakley。
ISAKMP/IKE/Oakley支持自动建立加密、认证信道,以及密钥的自动安全分发和更新。
IPSEC它定义了一套用于保护私有性和完整性的标准协议。
IPSec支持一系列加密算法如DES、3DES、IDEA。
它检查传输的数据包的完整性,以确保数据没有被修改,具有数据源认证功能。
IPSec可确保运行在TCP/IP协议上的VPN之间的互操作性。
3.VPN技术
虚拟专用网主要采用了两种技术:
隧道技术与安全技术。
下面结合IPsec协议族作介绍。
3.1隧道技术
3.1.1隧道技术简介
要能够使得企业网内一个局网的数据透明的穿过公用网到达另一个局网,虚拟专用网采用了一种称之为隧道的技术。
隧道技术的基本过程是在源局网与公用网的接口处将局网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的局网与公用网的接口处将公用网的数据解封装后,取出负载即源局网发送的数据在目的局网传输。
由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局网中的其他设备将不会觉察到这一过程。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
下图1-4是该过程的示意.
3.1.2IPsec中的隧道协议IPIP
IPIP数据报格式如下图1-5:
Media
外部IP协议头
内部IP协议头
用户数据
图1-5IPIP数据报格式
从图中可以看出,IPIP协议是将一个IP包作为另一个IP的负载来处理。
举个简单的例
从图中可以看出,IPIP协议是将一个IP包作为另一个IP的负载来处理。
举个简单的例
天融信安全技术高品质的保证第8页TOPSECVPNSolutionWhiteBook
子来说明IPIP协议的工作过程。
一个IP包源为A,A所在的局网与Internet的接口为B,目的地为远地的D,D所在的局网与Internet的接口为C,IP包要穿过Internet到达D,可在B作如下图1-6的封装,数据包在Internet上可以按照路由到达C,在C处解封装去掉外
Media
外部目的C
外部源B
内部目的D
内部源A
用户数据
图1-6IPIP封装
部IP协议头,将内部IP包在局网上发送。
数据包将按照局网的路由到达D。
IPIP协议在具体的使用中要考虑如何建立外部IP协议头的内容,要考虑内部IP协议头中的某些内容如服务质量参数,是否要拷贝到外部协议头中。
实际上图1-6的示意并不准确,在两个IP协议头之间可以插入其它的协议内容。
IPSec协议族在使用IPIP隧道时就可能插入另外两个协议头:
AH、ESP。
IPSec协议族建立隧道可能采用如下的方式:
外部IP
AH
内部IP
方式1
外部IP
ESP
内部IP
方式2
外部IP
AH
ESP内
部IP
方式3
图1-7IPIP在IPSec中的使用
3.2VPN的安全机制
由于VPN是在不安全的Internet中进行通信,而通信的内容可能涉及到企业的机密数据,因此其安全性就显得非常重要,必须采取一系列的安全机制来保证VPN的安全。
通常由加密、认证及密钥交换与管理组成了VPN的安全机制。
3.2.1认证技术简介
认证技术可以区分真实数据与伪造、被篡改过的数据。
这对于网络数据传输,特别是电子商务是极其重要的。
认证协议一般都要采用一种称为摘要的技术。
摘要技术主要是采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。
由于HASH函数的特性,使得要找到两个不同的报文具有相同的摘要是困难的。
该特性使得摘要技术在VPN中有两个用途:
A.验证数据的完整性。
发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。
由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算,不知道秘密信息将很难伪造一个匹配的摘要,从而保证了接收方可以辨认出伪造或篡改过的报文。
B.用户认证。
该功能实际上是上一种功能的延伸。
当一方希望验证对方,但又不希望验证秘密在网络上传送,这时一方可以发送一段随机报文,要求对方将秘密信息连接上该报文作摘要后发回,接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息,从而达到验证对方的目的。
常用的HASH函数有MD5,SHA-1等。
3.2.2IPsec中的认证协议AH
1)NextHeader:
下一个头部的协议类型。
2)PayloadLen:
认证头部长度(32bit单位)-2,IPv4是32位对齐,IPv6是64bit位齐。
3)RESERVED:
全0。
4)SecurityParametersIndex(SPI):
由接收方在创建安全连接时指定,SPI,目的IP地址,AH协议唯一确定一个使用AH的安全连接。
5)SequenceNumberField:
用于防止重放攻击,采用类似于TCP协议中的窗口机制。
初值为0,安全连接发送,每发一包计数加1。
6)AuthenticationData:
对指定的数据的认证码,如HMAC-MD5-96。
认证的过程如下:
发送方采用哈希算法计算认证码,添入AH头部中的认证码域发往目的地。
认证码计算方法为HASH(认证密钥,认证数据)。
其中,认证密钥是双方共享的。
可以是手工分发的,也可以是后面将介绍的密钥管理协议动态分发。
接收方采用同样的方法计算出认证码后与AH头部中的认证码域内的值比较,如果相同则认证成功,否则认证失败。
HASH算法可以保证如果不知道认证密钥,要伪造与认证数据匹配的认证码是困难的,又由于认证数据中包含有IP协议头部的源IP地址,所以只要保证认证密钥的秘密性就可以有效的区别伪装IP地址的欺骗数据包。
同时AH还能检查出被认证的数据段是否被篡改。
3.2.3加密技术简介
在VPN中为了保证重要的数据在公共网上传输时不被他人窃取,采用了加密机制。
IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。
在现代密码学中,加密算法被分为对称加密算法和非对称加密算法。
对称加密算法采用同一把密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。
使用不对称加密加密时,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥d,另一个则是对应的公用密钥e,任何人都可以获得公用密钥e。
专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。
由于不对称加密运算量大,一般用于加密对称加密算法中使用的密钥。
不对称加密还有一个重要用途即数字签名。
目前,常用的数据加密算法有:
对称加密算法:
.....
国际数据加密算法(IDEA:
InternationalDataEncryptionAlgorithm):
128位长密钥,把64位的明文块加密成64位的密文块。
DES和3DES加密算法(TheDataEncryptionStandard):
DES有64位长密钥,实际上只使用56位密钥。
AES:
Rijndial加密算法
不对称加密算法:
RSA
椭圆曲线制算法
3.2.4IPsec中的加密协议ESP
下图是ESP的头部格式。
1)SPI:
意义同AH协议
2)SequenceNumber:
意义同AH协议
3)PayloadData:
是算法的初始数据(IV)与上层协议的数据。
上层协议的数据将被加密,算法的初始数据(IV)不参与加密,有些算法的初始数据在PayloadData的开始位置,有些算法的初始数据由算法隐式指定。
4)Padding:
填充内容
5)PadLength:
填充数据长度
6)NextHeader:
指定PayloadData中数据的协议类型如TCP,UDP..
7)AuthenticationData:
是对1-6数据的认证。
加密过程:
1)封装数据。
将上层协议数据或整个IP源包添入到PayloadData。
2)加入填充数据。
3)加密明文PayloadData,Padding,Padlen,NextHeader后,密文重新添入对应明文位置。
加密算法可能是DES-CBC,3DES-CBC。
4)如果算法要求显示IV则要将IV添入PayloadData指定位置。
5)ESP还有一个认证尾部,功能类似于AH。
解密过程:
解密过程相对简单,对于需要IV的加密算法,首先从PayloadData指定位置取出IV,然后解密PayloadData,Padding,Padlen,NextHeader等域即可。
3.2.5密钥交换和管理
VPN中无论是认证还是加密都需要秘密信息,因而密钥的分发与管理显得非常重要。
密钥的分发有两种方法:
一种是通过手工配置的方式,另一种是采用密钥交换协议动态分发。
手工配置的方法由于密钥更新困难,只适合于简单网络的情况。
密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。
目前主要的密钥交换与管理标准有IKE(InternetKeyExchange)、SKIP(SimpleKey-ManagementforInternetProtocol)和OAKLEYKeyDeterminationProtocol。
Diffie_Hellman算法是当前使用最广泛的密钥交换体制。
现举IPSec中的密钥交换协议IKE的一种情况作简单介绍。
第二章VPN解决方案的组成
1.系统简介
ICEFLOWVPN系列硬件路由器是我公司自主研发,拥有全部知识产权。
使用ICEFLOWVPN路由器基于ADSL组建VPN网,解决了动态IP的问题。
为客户大大节约了使用VPN的成本。
ICEFLOWVPNROUTER是专用软、硬件设备,可具有多个网络接口,可安装于内联网各局域网出口处或安装于内联网与公共网络接口处,在我们的设备上同时也集成了防火墙,对客户的内部网做全面的保护。
2.ICEFLOWVPNRouter中IPsec体系的实现
3.ICEFLOWVPN系统特点
●高安全性
加密强度高。
采用128位IDEA加密。
采用专用的操作系统、协议及安全软件,运行于专用硬件平台,抗攻击能力强;且自身具有抵抗攻击能力、自带防火墙功能;
支持IPSec,提供传输方式和隧道方式安全;
采用国际标准安全协议,遵循IPSec(IPSecurity)安全协议,对用户数据提供加密、完整性验证以及身份认证的功能,最大限度的对上层应用提供安全保护;
提供防火墙功能,可以对明文数据进行访问控制,增强网络通信的安全性;
提供安全的远程WWW管理SSL,和安全的远程终端管理SSH,以提供远程管理的安全性。
●高可用性
灵活可变的工作模式,可支持透明模式和路由器模式;
多样化的工作方式,可以实现网关-网关、网关-客户端、网关-客户端-网关的工作方式;
透明支持各种应用服务,无需做任何修改即可实现安全保护;
支持固定IP和动态IP;
支持NAT和防火墙访问控制模式下的加密传输;
支持带宽管理功能,可以有效的实现对明文和秘文的流量控制能力,以提供隧道通信的带宽保障。
●高扩展性
可根据用户需求扩展接口,每个接口可绑定多个IP地址,以发挥对多个内部子网的安全保护;
模块化设计,更大限度的保障网络信息的安全性;
功能可选,增强了使用的灵活性。
●高易用性
基于对象模式的全中文WWW管理界面,简单、友好、直观,方便快捷,易于管理;
完整的系统日志管理,详细记录系统的运行状态和操作过程;
对安全域中所有安全网关进行集中式网络化安全管理;由一个管理中心管理所有的VPN设备。
●高效性
采用先进的数据压缩技术,对数据进行大比例压缩后再进行加密处理,大大提高了加密效率。
4.ICEFLOWVPN系统性能指标
系统平均无故障时间MTBF:
≥40000小时;
网络接口:
标准配置为2个10M/100M自适应以太网接口(10/100MbaseT)
加密速度:
AH>80M,ESP>70M,AH+ESP>60M;
密钥长度:
对称:
128位,
加密隧道设计指标:
无限;
应用支持的协议:
FTP、TELNET、HTTP、SMTP、POP3、DNS等;
入侵检测的类型:
扫描探测、DoS、WEB攻击、木马攻击等;
支持的协议:
TCP/IP、UDP、ICMP、IPSECESP/AH/IPCOMP、IKE、PUTP等。
5.ICEFLOWVPN系统基本功能
●带宽管理
ICEFLOWVPN能够针对具体的规则(包括源地址、目的地址、协议及端口范围)对网络带宽进行分配,能够提供对带宽分配的可扩展性,能够对当前带宽管理进行监视,提供所有可查询的数据。
保证在任何时刻网络带宽都能够被尽量使用。
当接口上的某一规则的预留带宽没有使用时,其它规则可以共享使用剩余带宽。
对于共享带宽的接口,当其中一个接口不能完全使用预留的带宽时,其它接口还可以使用剩下的带宽。
总之,带宽管理可以为用户不同的通信提供充分的服务质量QoS(QualityofSecurity)保证。
●隧道管理
ICEFLOWVPN能依据系统要求自动建立隧道,根据管理员在管理界面上面输入的隧道建立规则,在系统启动时自动建立隧道连接。
但对于隧道的停止或删除仍须通过人工的方式进行。
●集中管理
iceflowvpn对所有相关的信息设置全部通过统一的WEB管理界面进行,客户的VPN网络无论有多么大,只需要一名管理员。
VPN网络所有的设置,操作都通过这个界面进行。
●访问控制功能
ICEFLOWVPN利用其自身的包过滤模块实现简单的内部网络和外部网络的隔离,根据相应的访问规则允许或禁止外部网络到内部网络的访问,从而可以控制外部网络对内部子网的通信访问。
并且可以通过将隧道报文设置为禁止状态,来防止本应该通过隧道传输的报文却没有通过隧道而被接收进来的情况。
●支持防火墙NAT
客户可能需要通过内部网络访问公共网络,我们提供防火墙以及NAT地址映射功能,保证客户在访问公网的,内部网络的安全。
●支持SSH远程安全登录
为了提供管理员远程进行串口管理的操作,ICEFLOWVPN支持SSH安全登录协议,远程管理员可以使用SSH客户端软件,与ICEFLOWRouter的SSH服务进行连接,从而可以安全的登录到IceflowRouter上。
管理员可以像是直接连在串口终端上一样,
升级会员 