基于IPSec的VPN設(shè)計(jì)與實(shí)現(xiàn)摘要：VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供給商同公司的內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)的平安傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)平安連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間平安通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的平安外聯(lián)網(wǎng)虛擬專用網(wǎng)。本文討論基于IPSec協(xié)議的VPN，并且能沉著地滿足中、小型企業(yè)的日常需求。經(jīng)過對(duì)中、小型企業(yè)特別是小型企業(yè)應(yīng)用VPN的實(shí)際需要的調(diào)查研究之后，決定以最經(jīng)濟(jì)而有效的方式實(shí)現(xiàn)中、小型企業(yè)VPN的配置。最終以某大型連鎖超市為例，進(jìn)行VPN組網(wǎng)實(shí)驗(yàn)。關(guān)鍵詞：虛擬專用網(wǎng)平安傳輸 DesignandImplementationofVPNBasedonIPSecAbstract:VPNistheexpansionofenterprisenetwork,itcanhelpbyremoteusers,thecompanybranches,commercialpartnersandsupplierswiththecompany'sinternalnetworklinkingtheestablishmentofcrediblesecurity,Andtoguaranteethesecurityofdatatransmission.VPNcanbeusedforthegrowingglobalmobileusersInternetaccess,inordertoachieveasecureconnection;corporateWebsitecanbeusedtoachievesecurecommunicationsbetweenthevirtualprivatelines,forcost-effectivetoconnectuserstobusinesspartnersandthesafetyoftheVirtualPrivateNetworkNet.Inthispaper,basedontheagreementIPSecVPN,andcaneasilymeetthemediumandsmallenterprisesofthedailydemand.Afterthemediumandsmallenterprises,especiallysmallbusinessesVPNapplicationoftheactualneedsoftheinvestigationandstudy,todeterminethemosteconomicandeffectivewaytoachievemediumandsmallenterprisesVPNconfiguration.KeyWord:VirtualPrivateNetworksecuritytransmission目錄第一章緒論 1網(wǎng)絡(luò)與信息平安 1本課題的研究背景 1論文主要內(nèi)容 3第二章虛擬專用網(wǎng)〔VPN〕技術(shù) 42.1VPN概念 42.1.1VPN的接入方式 4基于IP的VPN 52.2VPN關(guān)鍵技術(shù) 6隧道技術(shù) 6加解密技術(shù) 7密鑰管理技術(shù) 7使用者與設(shè)備身份認(rèn)證技術(shù) 8小結(jié) 8第三章IPSec協(xié)議 103.1IP平安性概要 103.2IPSec概述 103.2.1IPSec根本思想 103.2.2IPSec結(jié)構(gòu)體系 113.2.3IPSec工作模式 13平安關(guān)聯(lián)SA 15三個(gè)根本協(xié)議 153.5IPSec的工作原理 16小結(jié) 17第4章IPSECVPN實(shí)現(xiàn)模型的設(shè)計(jì) 184.1超市VPN設(shè)計(jì) 184.2VPN的功能 204.3VPN效勞器配置 214.4小結(jié) 24致謝 24第一章緒論因特網(wǎng)開展至今，它提供的浩瀚資源不斷給世界帶來驚喜，聚集全球各行業(yè)精英共同創(chuàng)新成為可能。然而，九九年春節(jié)期間YaHoo被黑，電子商務(wù)的熱門站點(diǎn)eBay，E-Trade，Amazon等的相繼掛彩，無疑給沉浸于無限網(wǎng)絡(luò)資源的人們敲響了警鐘網(wǎng)絡(luò)世界并非風(fēng)平浪靜！資源共享是支撐因特網(wǎng)風(fēng)行全球的應(yīng)用之一。公共網(wǎng)絡(luò)的無序性、不可控性卻決定了網(wǎng)絡(luò)資源在開放共享的同時(shí)有可能遭受更改、刪除等威脅。然而，徹底將所有資源保護(hù)起來不與人共享并不現(xiàn)實(shí)。因此有必要在共享與平安之間找到一個(gè)適宜解決方案，把所有不平安因素盡量排除于真正需要共享者之外，在不受威脅的前提下實(shí)現(xiàn)真正的資源共享。與公共網(wǎng)絡(luò)相比，傳統(tǒng)專用網(wǎng)在物理上獨(dú)立，可提供較好的平安保障。以往的專用網(wǎng)都是通過租用或?qū)Ｓ镁€路實(shí)現(xiàn)組網(wǎng)，通過在物理連接上的獨(dú)立性來確保平安。但傳統(tǒng)專用網(wǎng)的缺乏之處為造價(jià)較高，專用線路利用率低，對(duì)于不同的應(yīng)用還必須分別提供一套線路實(shí)現(xiàn)，同一用戶針對(duì)不同應(yīng)用必須連接到不同的專用網(wǎng)，造成不必要的浪費(fèi)。此外傳統(tǒng)專用網(wǎng)最大的缺陷在于與外界互連互通性差，自我閉塞的連接方式不適合現(xiàn)在信息交流日益增大的需求。VPN〔VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)〕技術(shù)將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接成為邏輯上的虛擬專用子網(wǎng)。為了保障信息在公用網(wǎng)絡(luò)上傳輸?shù)钠桨残?，VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施。由于利用公用網(wǎng)絡(luò)傳輸，費(fèi)用比租用專線要低得多，所以VPN的出現(xiàn)使企業(yè)通過公用網(wǎng)既平安又經(jīng)濟(jì)地傳輸私有的機(jī)密信息成為可能。Internet是一個(gè)開放性體系，它以不可思議的開展速度改變著傳統(tǒng)的通信方式，將越來越多的國家、地域、團(tuán)體和個(gè)人連接到了一個(gè)公用的網(wǎng)絡(luò)上，為他們提供了最經(jīng)濟(jì)方便和快捷的效勞。不同地域的局域網(wǎng)互連不再依賴于傳統(tǒng)的建設(shè)專網(wǎng)或者租用專線的方法，也不再需要自己進(jìn)行鋪設(shè)線路和維護(hù)管理工作，并且只需支付少量的費(fèi)用就可以利用Internet實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，防止了重復(fù)性建設(shè)造成的資源、人力、財(cái)力浪費(fèi)。但是，當(dāng)Internet以最大的包容性接受所有連接的時(shí)候，平安問題也日漸凸現(xiàn)出來。Internet設(shè)計(jì)的初衷是為了一些不同地方的科學(xué)家和研究者可以迅速方便的交流和共享研究成果和資源，并沒有考慮到平安問題，而且它的最初設(shè)計(jì)者們恐怕也沒有預(yù)計(jì)到Internet在今天有這么大的普及范圍和影響力。但也正隨著越來越多的任何團(tuán)體參加到Internet中，它也為一些別有意圖的人提供了一個(gè)更隱蔽的犯罪場(chǎng)合或炫耀技能的舞臺(tái)，而且有相當(dāng)一局部人的行為嚴(yán)重威脅了公眾的利益，也影響了Internet在某些領(lǐng)域的深入使用，因此迫切需要一種能夠很好地解決Internet平安性的技術(shù)或方法。虛擬專用網(wǎng)(VPN)正是提供這樣一種集專網(wǎng)的平安性和公網(wǎng)的經(jīng)濟(jì)、方便于一體的有效解決方案。無論是從市場(chǎng)的角度還是從研究的角度，研究VPN的系統(tǒng)構(gòu)建都是非常有意義的。以TCP／IP為根底的Internet具有很好的健壯性，可以在非常惡劣的環(huán)境下保持連通性，因此，只要解決了平安性問題，我們完全可以利用Internet提供的公用根底設(shè)施建設(shè)虛擬專網(wǎng)，或者是提供一條平安的后備通道。VPN實(shí)際上是利用公共網(wǎng)絡(luò)根底設(shè)施，在鏈路層或網(wǎng)絡(luò)層上基于配置或隧道技術(shù)的網(wǎng)絡(luò)虛擬連接技術(shù)的邏輯平安子網(wǎng)。從平安的角度上看，這種子網(wǎng)上的網(wǎng)絡(luò)信息資源和用戶資源受到眾多的平安威脅。首先，TCP/IP協(xié)議最初設(shè)計(jì)的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，是可信網(wǎng)絡(luò)，在設(shè)計(jì)TCP/IP通信協(xié)議時(shí)并未考慮平安要求，當(dāng)其推廣應(yīng)用到Internet時(shí)，基于TCP/IP協(xié)議的因特網(wǎng)體系就存在著致命的平安隱患；其次，網(wǎng)絡(luò)的物理暴露性使攻擊者可以通過傳輸介質(zhì)和集散點(diǎn)進(jìn)行信息截??；再次，網(wǎng)絡(luò)的虛擬性使非法用戶可能冒充合法者侵入子網(wǎng)訪問信息資源。從根本上說，這些威脅利用了在公共物理網(wǎng)絡(luò)根底設(shè)施上傳輸數(shù)據(jù)的公開性和傳輸信道的暴露性。所以，就平安子網(wǎng)本身而言并不平安，如果能找到一種實(shí)現(xiàn)VPN的方法，即能保證傳輸數(shù)據(jù)的不可理解性，又能保證傳輸通道的隱秘性，同時(shí)對(duì)傳輸?shù)臄?shù)據(jù)具有完整性校研機(jī)制，這樣的VPN才是平安的。大多數(shù)的VPN，當(dāng)作為網(wǎng)關(guān)(gateway)運(yùn)行時(shí)，亦能按照VPN的策略配置對(duì)IP包進(jìn)行過濾，或者將包傳遞給專門的防火墻設(shè)備或軟件處理，此時(shí)，VPN也能實(shí)現(xiàn)防火墻功能。VPN之間的數(shù)據(jù)交換是通過建立隧道來實(shí)現(xiàn)的，根據(jù)VPN的下層協(xié)議一IPSec的規(guī)定，當(dāng)兩臺(tái)VPN建立隧道時(shí)，會(huì)使用各自的證書、私鑰進(jìn)行密鑰交換(IKE)，以保障通訊平安。本論文主要由四局部?jī)?nèi)容組成。第一章是緒論，主要介紹了網(wǎng)絡(luò)與信息平安和該課題研究的背景。第二章，簡(jiǎn)要介紹了VPN技術(shù)，其中比擬了多種實(shí)現(xiàn)VPN的方式，VPN的關(guān)鍵技術(shù)。并對(duì)各種技術(shù)進(jìn)行了具體的解釋。第三章介紹了IPSec技術(shù)、概念、體系、工作模式、三大協(xié)議、工作原理。第四章主要是某超市的VPN組網(wǎng)方案。第二章虛擬專用網(wǎng)〔VPN〕技術(shù)2.1VPN概念V—Virtual；虛擬的，不用真正的鋪設(shè)線路；P—Private；私有的，平安的；N—Network；網(wǎng)絡(luò)的，互聯(lián)互通。顧名思義，VPN即虛擬專有網(wǎng)絡(luò)。它不是真正的物理線路，但能夠?qū)崿F(xiàn)專有網(wǎng)絡(luò)功能。這里說的虛擬專有網(wǎng)絡(luò)VPN技術(shù)，就是利用Internet技術(shù)來組建企業(yè)自己的專有網(wǎng)絡(luò)，實(shí)現(xiàn)異地組網(wǎng)，本地通信效果。VPN利用隧道加密技術(shù)，利用公用網(wǎng)絡(luò)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)，實(shí)現(xiàn)企事業(yè)單位任何兩個(gè)授權(quán)端點(diǎn)間的連接。虛擬專用網(wǎng)絡(luò)解決了傳統(tǒng)專網(wǎng)組建中需要的費(fèi)時(shí)、費(fèi)錢、端對(duì)端的物理鏈接，而是利用Internet公網(wǎng)的物理鏈路資源，動(dòng)態(tài)組成，使用戶實(shí)現(xiàn)“不花錢的專網(wǎng)〞效果。用戶只需購置VPN設(shè)備和軟件產(chǎn)品，向企業(yè)所在地的網(wǎng)絡(luò)效勞提供商支付一定Internet接入費(fèi)用，節(jié)約租用專線的費(fèi)用，即可實(shí)現(xiàn)不同地域的客戶聯(lián)系，還大大節(jié)省長途通信費(fèi)用。2.1.1VPN的接入方式典型VPN接入方式有兩種：撥號(hào)方式和局域網(wǎng)方式，如圖2-1所示。其中局域網(wǎng)方式主要利用公用Internet的物理網(wǎng)絡(luò)資源，此外也可利用與Internet互聯(lián)且由ISP〔因特網(wǎng)效勞提供者〕提供的具有非連接特征的網(wǎng)絡(luò)〔如IP網(wǎng)，X.25網(wǎng)等〕的物理資源；撥號(hào)方式那么常常利用公用網(wǎng)〔PSTN〕和窄帶綜合業(yè)務(wù)數(shù)字網(wǎng)〔N-ISDN〕的物理資源。 圖2.1VPN的兩種接入方式可用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等，VPN以這些公用開放的網(wǎng)絡(luò)作為根本傳輸媒介，通過上層協(xié)議附加多種技術(shù)，向最終用戶提供類似專用網(wǎng)絡(luò)性能的網(wǎng)絡(luò)效勞?；贏TM〔AsynchronousTransferMode〕或FR〔FrameRelay〕的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其缺乏之處在于互聯(lián)區(qū)域有較大局限性。另外，基于ATM的VPN主要用于構(gòu)建骨干網(wǎng)，基于FR的VPN多用于接入效勞，F(xiàn)R-VPN在歐洲國家應(yīng)用很廣，國內(nèi)由于不能提供一個(gè)足夠作為公共數(shù)據(jù)網(wǎng)使用的FR，因此少有使用。近來MPLS〔多協(xié)議標(biāo)記交換技術(shù)〕采用集成模型，將IP技術(shù)與下層技術(shù)結(jié)合起來，它是一種較為理想的骨干IP網(wǎng)絡(luò)技術(shù)。MPLSVPN是目前MPLS技術(shù)在ISP網(wǎng)絡(luò)中很流行的一種應(yīng)用。鑒于IP應(yīng)用的廣泛性和軍內(nèi)網(wǎng)絡(luò)實(shí)際情況，本論文主要圍繞基于IP的VPN展開研究。圖2-2為IP-VPN示意圖。圖2-2基于IP的VPN示意圖IETF草案對(duì)基于IP的VPN定義為“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)〞，是通過私有的“隧道〔Tunnel〕〞技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。現(xiàn)在大多數(shù)IP-VPN的解決方案均集中于建立IP隧道〔IPChanneling〕。用戶敏感數(shù)據(jù)包在進(jìn)入隧道之前被封裝加密，在隧道出口處被相應(yīng)設(shè)備解密拆裝并發(fā)往目的地址。IP隧道的建立，不但具有空間的特征，也具有時(shí)間的特征。從空間上說，隧道終止不再向前延伸是出于平安原因，一般終止于企業(yè)內(nèi)部網(wǎng)防火墻之外，或內(nèi)、外防火墻之間的非軍事區(qū)〔DMZ〕；從時(shí)間上說，其生成和終止具有“按需建立、用完取消〞的特征，而且IP隧道的路徑選擇從總體上說是隨機(jī)的，因此IP隧道的生成通常不需占用預(yù)定的通信信道，其網(wǎng)絡(luò)效勞費(fèi)用自然要比租用DDN專線的資費(fèi)低得多。因特網(wǎng)是開放的、公用的、不設(shè)防的。而在因特網(wǎng)上建立的IP-VPN卻是專用的，它按照一定的規(guī)那么規(guī)定用戶的訪問權(quán)限，對(duì)訪問者進(jìn)行鑒別和過濾，并通過多種協(xié)議提供用戶身份鑒定，保證數(shù)據(jù)完整性，以及公證、加密、授權(quán)等平安效勞。2.2VPN關(guān)鍵技術(shù)在公共IP網(wǎng)上建設(shè)虛擬專用網(wǎng)進(jìn)行數(shù)據(jù)通信，需要滿足通信平安的需要。這些平安需求主要有以下三類，認(rèn)證?！泊_認(rèn)信息源，即確認(rèn)和你正在通信的人的身份〕、信息保密性和數(shù)據(jù)完整性、提供訪問控制。不同的用戶對(duì)不同的企業(yè)內(nèi)部資源有不同的訪問權(quán)限。只有建立能滿足上述的三個(gè)平安需要的IP虛擬專用網(wǎng)，才是算是真正的平安虛擬專用網(wǎng)。正確配置的平安虛擬專用網(wǎng)使用了強(qiáng)大的加密技術(shù)，它對(duì)內(nèi)部用戶看來是一個(gè)獨(dú)立的、使用專用線路連接的LAN或WAN。平安虛擬專用網(wǎng)和傳統(tǒng)專用網(wǎng)絡(luò)之間的主要差異是真正的平安性(并不僅僅是專用)、靈活性、可伸縮性和低本錢。由于企業(yè)網(wǎng)絡(luò)中傳輸?shù)氖撬接行畔?，VPN虛擬專網(wǎng)中用戶對(duì)數(shù)據(jù)的平安性都比擬關(guān)心，平安問題是VPN技術(shù)的核心問題。目前組建VPN虛擬專網(wǎng)主要采用四項(xiàng)技術(shù)來保證平安，這四項(xiàng)技術(shù)分別是隧道技術(shù)〔Tunneling〕、加解密技術(shù)〔Encryption&Decryption〕、密鑰管理技術(shù)〔KeyManagement〕、使用者與設(shè)備身份認(rèn)證技術(shù)〔Authentication〕，保證企業(yè)員工平安訪問公司內(nèi)部網(wǎng)絡(luò)中資源。隧道技術(shù)是VPN實(shí)現(xiàn)采用的主要技術(shù)。隧道能實(shí)現(xiàn)多協(xié)議封裝，在無連接的IP網(wǎng)上提供點(diǎn)到點(diǎn)的邏輯通道，在平安性要求較高的場(chǎng)合，應(yīng)用加密隧道可以進(jìn)一步保護(hù)數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。隧道是由隧道協(xié)議形成的，這與流行的各種網(wǎng)絡(luò)是依靠相應(yīng)的網(wǎng)絡(luò)協(xié)議完成通信毫無二致。隧道協(xié)議分為第二層隧道和第三層隧道，由傳輸封裝形成的數(shù)據(jù)包的協(xié)議決定。第二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議〕，L2F〔Layer2Forwarding，第二層轉(zhuǎn)發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，第二層隧道協(xié)議〕。第三層隧道協(xié)議也并非一種新技術(shù)，早先的通用路由封裝協(xié)議〔GRE，GenericRoutingEncapsulation〕就是一個(gè)第三層隧道協(xié)議，此外還有IPSec〔IPSecurity〕和虛擬隧道協(xié)議〔VTP，VirtualTunnelingProtocol〕。數(shù)據(jù)加密的根本過程就是對(duì)原來的文件或數(shù)據(jù)，按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文〞，密文代碼只能在輸入相應(yīng)的密鑰之后才能顯示出來內(nèi)容。通過這樣的途徑來到達(dá)保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有的加密技術(shù)，如數(shù)據(jù)加密算法(DataEncryptionStandard，DES)，Triple-DES〔三重DES〕等。加密后的數(shù)據(jù)包即使在傳輸過程中被竊取，非法獲得者也只能看到一堆亂碼，必須擁有相應(yīng)的密鑰〔Encryptionkey〕才能破譯。而要破譯密鑰的話，其所需的設(shè)備和時(shí)間那么需視加密技術(shù)和密鑰長度而定。如使用56位加密的DES，現(xiàn)在的普通PC計(jì)算，需要幾十年才能破譯；而使用112位的Triple-DES加密技術(shù)目前那么被視為不可破譯。如果竊取數(shù)據(jù)包者不能獲得密鑰。那只能采用窮舉法破譯，這在目前加密技術(shù)嚴(yán)密情況下幾乎不可能。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上平安的傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種：SKIP技術(shù)由Sun公司開發(fā)，主要是利用Diffie-Hellmail演算法那么，在網(wǎng)絡(luò)上傳輸密鑰的一種技術(shù)。而在ISAKMP技術(shù)中，雙方都有兩把密鑰，分別用于公用、私用場(chǎng)合。目前ISAKMP/OAKLEY技術(shù)逐漸整合于IPv6協(xié)議中，成為IPv6的平安標(biāo)準(zhǔn)之一。在數(shù)據(jù)加密和密鑰管理方面，VPN采用微軟的點(diǎn)對(duì)點(diǎn)加密算法MPPE協(xié)議和網(wǎng)際平安協(xié)議IPSec機(jī)制，對(duì)數(shù)據(jù)進(jìn)行加密。并采用公、私密鑰對(duì)的方法，對(duì)密鑰進(jìn)行管理。其中MPPE算法是Windows95、98、XP和NT4.0終端，可以在全球任何地方進(jìn)行平安通信。MPPE加密確保了數(shù)據(jù)的平安傳輸，并具有最小的公共密鑰開銷。以上的身份驗(yàn)證和加密手段，由遠(yuǎn)程VPN效勞器強(qiáng)制執(zhí)行。對(duì)于采用撥號(hào)方式建立VPN的連接，VPN連接可以實(shí)現(xiàn)雙重?cái)?shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更平安。公用網(wǎng)絡(luò)上有眾多的使用者和設(shè)備，如何正確地識(shí)別合法的使用者與設(shè)備，使只有授權(quán)的本單位人員才能與設(shè)備互通，構(gòu)成一個(gè)平安的VPN，并讓未授權(quán)者無法進(jìn)入系統(tǒng)，這就是使用者與設(shè)備身份確認(rèn)技術(shù)要解決的問題。識(shí)別合法使用者方法很多，最常使用的是使用者名稱與密碼卡片式兩段認(rèn)證方式。設(shè)備認(rèn)證那么需依賴由電子證書核發(fā)單位〔CertificateAuthority〕頒發(fā)X.509電子證書。通信雙方將此證書比照后，如果正確，雙方才開始交換數(shù)據(jù)。在用戶身份驗(yàn)證平安技術(shù)方面，VPN通過使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法來進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括密碼身份驗(yàn)證協(xié)議〔PAP〕、質(zhì)詢握手身份驗(yàn)證協(xié)議〔CHAP〕、Shiva密碼身份驗(yàn)證協(xié)議〔SPAP〕、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議〔MS-CHAP〕和可選的可擴(kuò)展身份驗(yàn)證協(xié)議〔EAP〕。綜上所述，VPN技術(shù)為網(wǎng)絡(luò)的平安翻開一扇全新的窗口，利用其可以更好地解決網(wǎng)絡(luò)對(duì)平安的需求。VPN有多種實(shí)現(xiàn)方案，隧道方案是應(yīng)用最廣泛的。通過對(duì)各種隧道協(xié)議的比擬研究可以看出，實(shí)現(xiàn)VPN技術(shù)也對(duì)隧道協(xié)議提出了較高的要求，現(xiàn)有的任何一種隧道協(xié)議都不能完全解決其中的所有問題。由于網(wǎng)絡(luò)自身對(duì)平安的特別關(guān)注，相比擬而言，IPSec隧道技術(shù)強(qiáng)大的加密認(rèn)證算法更符合網(wǎng)絡(luò)需求。IPSec是因特網(wǎng)上唯一的VPN實(shí)施標(biāo)準(zhǔn)，它不僅適用于現(xiàn)有的IPv4，在IPv6中也可應(yīng)用。單純的加密并不能實(shí)現(xiàn)VPN，單純的訪問控制〔如防火墻、名錄效勞系統(tǒng)〕也不能構(gòu)成真正意義上的VPN。IPSec工作在IP棧的底層，從而使應(yīng)用程序和高層協(xié)議可以繼承IPSec提供的加密效勞。盡管IPSec在功能上還存在一些局限性，如只能支持IP數(shù)據(jù)流等。不過IPSec技術(shù)與PPTP技術(shù)的結(jié)合可以實(shí)現(xiàn)多協(xié)議支持，因此它仍不失為目前VPN的最正確解決方案之一。第三章IPSec協(xié)議3.1IP平安性概要IP協(xié)議是TCP/IP中最重要的協(xié)議之一，提供無連接的數(shù)據(jù)包傳輸機(jī)制，其主要功能有：尋址、路由選擇、分段和組裝。傳送層把報(bào)文分成假設(shè)干個(gè)數(shù)據(jù)報(bào)，每個(gè)數(shù)據(jù)包在網(wǎng)關(guān)中進(jìn)行路由選擇，穿越一個(gè)個(gè)物理網(wǎng)絡(luò)從源主機(jī)到達(dá)目標(biāo)主機(jī)。在傳輸過程中數(shù)據(jù)包可能被分成假設(shè)干小段，以滿足物理網(wǎng)絡(luò)中最大傳輸單元長度的要求，每一小段都當(dāng)作一個(gè)獨(dú)立的數(shù)據(jù)包被傳輸，其中只有第一個(gè)數(shù)據(jù)報(bào)含有TCP層的端口信息。在包過濾防火墻中根據(jù)數(shù)據(jù)包的端口號(hào)檢查是否合法，這樣后續(xù)數(shù)據(jù)包可以不經(jīng)檢查而直接通過。攻擊者假設(shè)發(fā)送一系列有意設(shè)置的數(shù)據(jù)包，以非法端口號(hào)為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有合法端口號(hào)的數(shù)據(jù)包，那么該路由器防火墻上的過濾規(guī)那么被旁路，從而攻擊者便到達(dá)了進(jìn)攻目的。IP級(jí)平安問題涉及到三個(gè)功能領(lǐng)域：認(rèn)證、保密和密鑰管理。IAB為了杜絕這些攻擊手段，將認(rèn)證和加密作為下一代IP〔即IPv6〕中必不可少的平安特征。幸運(yùn)的是，IPv4也可以實(shí)現(xiàn)這些平安特征。IPSec〔InternetProtocolSecurity〕細(xì)那么首先于1995年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中公布。迄今為止，IETF的IPSec工作組已經(jīng)為這一協(xié)議組定義了12個(gè)RFC〔注釋請(qǐng)求〕，。這些RFC文件對(duì)IPSec的方方面面都進(jìn)行了定義，其中包括體系結(jié)構(gòu)、密鑰管理、根本協(xié)議等。3.2IPSec概述3.2.1IPSec根本思想IPSec的根本思想就是在IP層提供平安功能〔包括認(rèn)證和加密〕。盡管在TCP/IP體系結(jié)構(gòu)的任何層次都可以實(shí)現(xiàn)認(rèn)證和加密，但至今許多平安協(xié)議都是在IP層之上實(shí)現(xiàn)的，如PGP〔PrettyGoodPrivacy〕加密和認(rèn)證郵件信息，SSH〔SecurityShare〕認(rèn)證遠(yuǎn)程登錄并且對(duì)會(huì)話過程進(jìn)行加密以及SSL〔SecuritySocketLayer〕在Socket層實(shí)現(xiàn)平安功能等等。另外還有一些平安技術(shù)工作在IP層以下，如通信鏈路層加密和在物理層對(duì)網(wǎng)絡(luò)中傳送的所有數(shù)據(jù)由指定硬件加密。然而，在IP層實(shí)現(xiàn)數(shù)據(jù)通信平安具有更多優(yōu)點(diǎn)。IPSec就是在IP層實(shí)現(xiàn)數(shù)據(jù)通信平安效勞的一種較新技術(shù)。高層的平安技術(shù)僅僅保護(hù)某一類或某一種高層應(yīng)用，如PGP保護(hù)郵件效勞；底層的平安技術(shù)那么不加區(qū)分地保護(hù)傳輸媒介中的所有信息，如傳輸媒介兩端的加密盒，它對(duì)許多有固定格式的控制信息，如路由報(bào)文、應(yīng)答確認(rèn)報(bào)文也一律加密。而IPSec僅保護(hù)IP層之上的任何高層協(xié)議中的用戶數(shù)據(jù)，它對(duì)IP層及IP層以下的控制報(bào)文不加保護(hù)，即保護(hù)了需要保護(hù)的私有信息，如圖3-1所示。此外，IPSec還能夠在不可信的網(wǎng)絡(luò)上創(chuàng)立平安隧道，通過隧道連接構(gòu)成虛擬專用網(wǎng)。OSI參考模型用戶加密表示層會(huì)話層運(yùn)輸層網(wǎng)絡(luò)層物理層實(shí)施加密策略于網(wǎng)絡(luò)層線路加密圖3-1IPSec在網(wǎng)絡(luò)層實(shí)現(xiàn)加密使用IPSec在IP層提供平安效勞使得系統(tǒng)可以靈活選擇所需要的平安協(xié)議，確定該效勞所用的算法，并提供平安效勞所需的密鑰管理。3.2.2IPSec結(jié)構(gòu)體系IPSec的結(jié)構(gòu)文檔〔或根本架構(gòu)文檔〕RFC2401，定義了IPSec的根本結(jié)構(gòu)，所有具體的實(shí)施方案均建立在它的根底之上。它定義了IPSec提供的平安效勞；它們?nèi)绾问褂靡约霸谀睦锸褂茫粩?shù)據(jù)包如何構(gòu)建及處理；如何根據(jù)需求選擇IPSec處理等等。IPSec的目標(biāo)就是使期望得到平安的用戶能夠使用基于密碼學(xué)的平安機(jī)制，這樣的機(jī)制能同時(shí)適用與IPv4和IPv6，算法獨(dú)立且有利于根據(jù)需求選擇實(shí)現(xiàn)不同平安策略。對(duì)上述特征的支持在IPv6中是強(qiáng)制的，在IPv4中是可選的。在這兩種情況下，都是采用在主IP報(bào)頭后面連續(xù)擴(kuò)展報(bào)頭的方法實(shí)現(xiàn)的。IPSec開展規(guī)劃定義IPSec各組件之間的交互關(guān)系，如圖3-2所示。IPSec體系結(jié)構(gòu)〔RFC2401〕IPSec體系結(jié)構(gòu)〔RFC2401〕封裝平安載荷ESP〔RFC2406〕鑒別首部AH〔RFC2402〕加密算法〔RFC2405，2451等〕鑒別算法〔RFC24032404等〕解釋域〔DOI〕〔RFC2407〕密鑰管理〔RFC24092408〕圖3-2：IPSec協(xié)議構(gòu)架圖在IPSec協(xié)議套中，除RFC2401外，還有RFC2402，RFC2405，RFC2409等。其中RFC2402定義了使用AH進(jìn)行認(rèn)證的報(bào)文包格式和一般性問題；RFC2405定義了使用ESP協(xié)議進(jìn)行包加密的報(bào)文包格式和一般性問題，以及提供可選的且細(xì)密度不同于AH的認(rèn)證；加密算法描述將各種不同加密算法用于ESP的文檔；認(rèn)證算法那么描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔。IPSec提供的各項(xiàng)效勞，如訪問控制、連接完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)包抗重播、保密性以及有限信息流保密性等等，都是通過AH和ESP來實(shí)現(xiàn)的。表3-1是通過AH和ESP實(shí)現(xiàn)以上各項(xiàng)效勞的一個(gè)比擬。此外，RFC2409描述了密鑰管理模式。密鑰既可手工生成，也可由IKE〔Internet密鑰交換〕生成。IKE并不僅僅限于IPSec的密鑰協(xié)商，Internet上有許許多多要求平安效勞〔比方保障數(shù)據(jù)完整性〕的協(xié)議，亦可用IKE來協(xié)商14密鑰，以便保護(hù)它們的數(shù)據(jù)。其中一個(gè)例子是OSPF〔OpenShortestPathFirst，開放最短路由優(yōu)先〕路由協(xié)議。IKE的載荷格式是通用的，它可為任何一種協(xié)議協(xié)商密鑰，這是通過將IKE協(xié)商的參數(shù)同協(xié)議本身分別實(shí)現(xiàn)的。協(xié)商的參數(shù)被歸于一個(gè)單獨(dú)的文檔內(nèi)，名為IPSec解釋域。表3-1AH與ESP比擬AHESP〔僅加密〕ESP〔加密+認(rèn)證〕訪問控制√√連接完整性√√數(shù)據(jù)源認(rèn)證√√抗重播√√√保密性√√有限保密性√√3.2.3IPSec工作模式1、傳輸模式:傳輸模式保護(hù)的是IP載荷。IPV4中，載荷指位于IP包頭之后的數(shù)據(jù)。IPV6中，載荷指IP包頭和任何存在的IPV6擴(kuò)展包頭(目的地址選項(xiàng)除外)之后的數(shù)據(jù)，而且地址選項(xiàng)是可以和載荷數(shù)據(jù)一起受到保護(hù)的。采用傳輸模式時(shí)，原IP數(shù)據(jù)包的包頭之后的數(shù)據(jù)會(huì)發(fā)生改變，通過增加AH或ESP字段來提供平安性，但原IP包頭不變。只提供主機(jī)間端到端的平安保障，不能提供路由級(jí)平安性。以傳輸模式工作的ESP協(xié)議可對(duì)IP載荷進(jìn)行加密并可選的鑒別，提供保密性和完整性效勞。以傳輸模式工作的AH協(xié)議可對(duì)IP載荷和IP包頭的一局部選項(xiàng)進(jìn)行鑒別，從而提供數(shù)據(jù)完整性和一局部信息源鑒別效勞。2、隧道模式:隧道模式保護(hù)的是整個(gè)IP包，將原數(shù)據(jù)包用一個(gè)新的數(shù)據(jù)包封裝，還要加上一個(gè)新的包頭。原數(shù)據(jù)包頭叫內(nèi)部包頭，新增加包頭叫外部包頭，內(nèi)部包頭由原主機(jī)創(chuàng)立，外部包頭由提供平安設(shè)備添加。一般數(shù)據(jù)包的始發(fā)點(diǎn)或目的點(diǎn)不是平安終點(diǎn)的情況下，需要在隧道模式下使用IPSec。隧道模式下的IPSec還支持嵌套方式，即可對(duì)隧道化的數(shù)據(jù)包再進(jìn)行隧道化處理，嵌套很難構(gòu)造。平安保護(hù)效勞以端到端的形式，那么傳輸模式比隧道模式要好，傳輸模式不會(huì)添加額外的IP包頭。由構(gòu)建方式所決定，對(duì)傳送模式所保護(hù)的數(shù)據(jù)包而言，其通信終點(diǎn)必個(gè)加密的終點(diǎn)，從某種角度來說，傳送模式提供的平安屬于端到端保護(hù)，兩個(gè)主機(jī)之間的通信，即終端本身必須具備IPSec處理能力。IPSec隧道持一個(gè)或多個(gè)“隧道〞，也就是隧道存在于兩個(gè)主機(jī)之間，在兩個(gè)平安設(shè)平安網(wǎng)關(guān)〕之間或是圖3-3：傳輸模式和隧道模式的比擬在一個(gè)平安網(wǎng)關(guān)與一個(gè)主機(jī)之間。IPSec在隧道模式構(gòu)建IPSec虛擬專用網(wǎng)，在平安網(wǎng)關(guān)處實(shí)現(xiàn)IPSec處理，到達(dá)通過不可靠網(wǎng)絡(luò)實(shí)現(xiàn)互連的目的。在這種情況下，通信終點(diǎn)便是由受保護(hù)的內(nèi)部IP頭指定即真實(shí)目的地址，而加密終點(diǎn)那么是那些由外部IP頭指定的地點(diǎn)，即平安址，它將真實(shí)目的地址隱藏起來。在IPSec處理結(jié)束的時(shí)候，平安網(wǎng)關(guān)剝離IP包，再將那個(gè)包轉(zhuǎn)發(fā)到最終目的地。參見圖3-4。圖3-4：IPSec隧道模式建立VPN平安關(guān)聯(lián)SA是指由IPSec提供平安效勞的數(shù)據(jù)流的發(fā)送者到接收者的一個(gè)單向邏輯關(guān)系，用來表示IPSec如何為SA所承載的數(shù)據(jù)通信提供平安效勞。其方式是使用AH或ESP之一，一個(gè)SA不能同時(shí)使用AH和ESP兩種保護(hù)措施。SA決定兩個(gè)主機(jī)間通信的平安特征。SA是單向定義的，即僅朝一個(gè)方向定義的平安效勞，所以一個(gè)通信實(shí)體間的雙向通信需要兩個(gè)SA，每個(gè)方向一個(gè)。一個(gè)SA是由三個(gè)參數(shù)來惟一標(biāo)識(shí)的：1〕平安參數(shù)索引SPI。分配給該SA的32位標(biāo)識(shí)符，其位置在AH和ESP的首部，作用是使接收實(shí)體在收到數(shù)據(jù)時(shí)能夠確定在哪個(gè)SA下進(jìn)行處理，只具有本地意義。2〕目的IP地址。即SA中接收實(shí)體的IP地址，該地址可以是終端用戶系統(tǒng)地址，也可以是防火墻或平安網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備的地址。它同時(shí)決定了方向。目前只允許單播地址。3〕平安協(xié)議標(biāo)識(shí)符。說明SA使用的協(xié)議是AH協(xié)議還是ESP協(xié)議。IPSec是一個(gè)協(xié)議套件，主要由三個(gè)根本協(xié)議組成。IPSec的處理正是由這三個(gè)協(xié)議同SA這個(gè)重要概念共同完成。而且，它們之間的相互作用組成了整個(gè)IPSec的實(shí)施。1〕ESP〔EncapsulatingSecurityPayload〕，叫做封裝平安有效負(fù)載。2〕AH(AuthenticationHeader，認(rèn)證頭)驗(yàn)證頭是另一種IPSec協(xié)議。3〕IKE(Internet密鑰交換協(xié)議)屬于ISAKMP框架的一種實(shí)例。3.5IPSec的工作原理IPSec的工作原理〔如圖3-8所示〕類似于包過濾防火墻，可以看作對(duì)包過濾防火墻的一種擴(kuò)展。IPSec通過查詢SPD來決定對(duì)接收到的IP數(shù)據(jù)包的處理，但不同于包過濾防火墻的是，IPSec對(duì)IP數(shù)據(jù)包的處理方法除了丟棄、直接傳送〔繞過IPSec〕外，還存在一種選擇，即進(jìn)行IPSec處理。正是這新增加的處理方法提供了比包過濾防火墻更強(qiáng)的網(wǎng)絡(luò)平安性。圖3-5：IPSec工作原理示意圖IPSec處理主要分為外出和進(jìn)入處理，AH和ESP處理是這兩對(duì)處理的變體。雖然不同組件的接口仍保持不變，但輸入和輸出之間的數(shù)據(jù)包處理是不同的。協(xié)議處理可分成SPD處理，SA處理，頭和轉(zhuǎn)碼處理。對(duì)AH和ESP兩者來說，SPD和SA處理過程都是一樣的。AH和ESP之間，轉(zhuǎn)碼和頭處理不相同。本章對(duì)IPSec進(jìn)行了全面的剖析，其中包括三個(gè)重要協(xié)議AH、ESP、IKE及SA等重要概念，同時(shí)還詳細(xì)地闡述了IPSec對(duì)IP數(shù)據(jù)包的進(jìn)入、外出處理過程。IPSec協(xié)議于TCP/IP的網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施加密，利用AH協(xié)議提供認(rèn)證，ESP協(xié)議提供加密和可選的、不用粒度的認(rèn)證來解決IP級(jí)平安問題。IPSec的傳輸方式和隧道方式使用戶可根據(jù)需求靈活應(yīng)用。隨著因特網(wǎng)和TCP/IP技術(shù)普及全球，利用IPSec的隧道協(xié)議成為構(gòu)建VPN較好解決方案之一。第4章IPSECVPN實(shí)現(xiàn)模型的設(shè)計(jì)不管是具體選擇什么實(shí)現(xiàn)方式，IPSec根本協(xié)議應(yīng)該具有如下能力：能夠在一個(gè)外出報(bào)文添加一個(gè)或多個(gè)IPSec頭，可以添加在IP層和上層數(shù)據(jù)之間〔傳送模式〕，也可以添加在IP層外并另外封裝一個(gè)新的IP頭。能夠處理隧道模式的IPSec包，并向IP轉(zhuǎn)發(fā)解封的IP包。能夠處理傳送模式的IPSec包，再根據(jù)IPSec包內(nèi)裝載的傳送載荷，把它們傳送到恰當(dāng)?shù)膫魉蛯印?.1超市VPN設(shè)計(jì)在新一代的市場(chǎng)環(huán)境下，超市、便利店的生命力也逐漸強(qiáng)大起來。作為一種新型的市場(chǎng)形態(tài)，在物流、采購等形態(tài)逐漸成熟的帶動(dòng)下，連鎖機(jī)構(gòu)經(jīng)營能力日漸顯現(xiàn)出來，連鎖網(wǎng)絡(luò)的便利性和集中經(jīng)營形成的價(jià)格優(yōu)勢(shì)，使連鎖機(jī)構(gòu)比傳統(tǒng)機(jī)構(gòu)更具吸引力。在連鎖超市、便利店這種流動(dòng)數(shù)據(jù)量極大的經(jīng)營方式下，要實(shí)現(xiàn)連銷的優(yōu)勢(shì)，就必須要做好總部與分店間信息數(shù)據(jù)的管理，但是，現(xiàn)在很多連鎖超市的分店眾多且都分布在不同的地區(qū)，要做到互動(dòng)的信息化，就要在其間建立一個(gè)強(qiáng)大的信息系統(tǒng)平臺(tái)，這就需要依靠網(wǎng)絡(luò)傳送來達(dá)成了。這時(shí)，總部與分店間更緊密的即時(shí)聯(lián)系及互動(dòng)顯得尤為重要。由于國內(nèi)網(wǎng)絡(luò)環(huán)境還不是很完善，網(wǎng)絡(luò)應(yīng)用也不是很成熟，以舊的撥號(hào)聯(lián)機(jī)方式進(jìn)行連接仍然會(huì)受到網(wǎng)絡(luò)平安、傳輸速度無法保證化、應(yīng)用實(shí)施難等問題的困擾。如果以增加專線的形式來解決問題，其投入與維護(hù)本錢相對(duì)較高，對(duì)分點(diǎn)極多的連鎖企業(yè)來說，著實(shí)難以負(fù)擔(dān)。我們可以看到，連鎖超市、便利店業(yè)態(tài)迫切需要一種新的聯(lián)機(jī)方式，來實(shí)現(xiàn)網(wǎng)點(diǎn)間的互聯(lián)互動(dòng)。作為大型連鎖超市，其經(jīng)營中所涉及的信息是多方面的，超市本身已安裝了超市信息管理系統(tǒng)，完整介入了連鎖超市的整個(gè)管理，不僅采集數(shù)據(jù)，而且分析數(shù)據(jù)，為管理大規(guī)模的連鎖超市提供了相當(dāng)好的信息系統(tǒng)平臺(tái)，可實(shí)現(xiàn)商品管理、賣場(chǎng)管理、供給商管理等操作。在這種龐大的信息系統(tǒng)的帶動(dòng)下，總部要及時(shí)掌握各分店公司的銷售情況和配送中心的庫存情況，子公司也要及時(shí)了解總部的調(diào)價(jià)信息、庫存和配送情況等，并需要上傳大量銷售、財(cái)務(wù)等方面的數(shù)據(jù)及報(bào)表。而舊有的撥號(hào)方式已不能滿足連鎖超市總部與分店間的傳輸需要了，但亦不希望要為此負(fù)上高昂的專線費(fèi)用，因此，超市提出了各分店和總公司能互相通信，具穩(wěn)定性、平安性，可保證時(shí)時(shí)聯(lián)機(jī)的網(wǎng)絡(luò)需求。超市VPN組網(wǎng)方案網(wǎng)絡(luò)拓?fù)鋱D如圖4－1所示。圖4-1超市VPN組網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D總部中心端：由于超市屬連鎖性質(zhì),分轄近20家分店，各自接入兩條電信ADSL線路的同時(shí)；還選擇了IPSecVPN協(xié)議與各分店建立互連網(wǎng)絡(luò)，實(shí)現(xiàn)實(shí)時(shí)通訊與同步的財(cái)務(wù)及物流數(shù)據(jù)統(tǒng)計(jì)。分點(diǎn)機(jī)構(gòu)：每個(gè)分點(diǎn)機(jī)構(gòu)分別接入ADSL線路，選擇IPSecVPN進(jìn)行平安、快速的連機(jī)，操作簡(jiǎn)便，方便網(wǎng)絡(luò)管理者的快速設(shè)定。移動(dòng)使用：對(duì)于外點(diǎn)的物流及出差在外的員工和管理層人士，在接入互聯(lián)網(wǎng)的前提下，可以另外IPSecVPN移動(dòng)密匙QnoKey，能夠在保證足夠平安的根底上，簡(jiǎn)單而快速的進(jìn)入企業(yè)專署的內(nèi)網(wǎng)，查看各種信息。4.2VPN的功能IPSec設(shè)定：考慮超市分點(diǎn)機(jī)構(gòu)眾多，即便是專業(yè)網(wǎng)管也會(huì)對(duì)IPSec多達(dá)20幾個(gè)步驟的設(shè)定往往感到太過繁雜，因此采用了SmartLink設(shè)定功能，將大部份的設(shè)定參數(shù)交由VPN網(wǎng)關(guān)自動(dòng)完成，只需要輸入效勞器IP、使用者名稱以及密碼三個(gè)參數(shù)，就能立刻建立IPSec連機(jī)設(shè)定。同時(shí)，本方案具備中央控管的功能，當(dāng)分點(diǎn)出現(xiàn)設(shè)定或其它技術(shù)的困難，可由中心端直接進(jìn)行分點(diǎn)各項(xiàng)功能控管，省去網(wǎng)管必須來回奔波的麻煩。此外，SmartLink還有兩個(gè)強(qiáng)大的功能，第一個(gè)是支持VPNHub功能，可以讓各分點(diǎn)之間，通過總部中心端實(shí)現(xiàn)互聯(lián)互通，不需建立單獨(dú)的聯(lián)機(jī)，有效降低本錢。另一個(gè)是VPN線路備援機(jī)制，為了防止一旦出現(xiàn)互聯(lián)網(wǎng)聯(lián)機(jī)掉線時(shí)，VPN隧道也隨之失去聯(lián)機(jī)穩(wěn)定性的風(fēng)險(xiǎn)，可先預(yù)設(shè)定另一個(gè)WAN端口為備援，一旦斷線可立刻通過備援WAN口重新建立VPN聯(lián)機(jī)，實(shí)現(xiàn)VPN效勞不斷線的目的。強(qiáng)大防火墻平安功能：多半網(wǎng)絡(luò)面對(duì)來自外網(wǎng)的諸多病毒、財(cái)務(wù)賬號(hào)意外泄露、計(jì)算機(jī)被非法使用、惡意的內(nèi)網(wǎng)攻擊等帶來平安隱患，都不容小覬。目前來說，最多的攻擊形式仍以ARP攻擊居多，VPN防火墻設(shè)備都具有內(nèi)建的防制ARP功能，搭配IP/MAC雙向綁定，在路由器端以內(nèi)網(wǎng)PC端進(jìn)行IP/MAC綁定，即可到達(dá)防堵ARP無漏洞的效果。因超市連鎖機(jī)制的特殊性，假設(shè)要綁定全部工作人員PC端的IP/MAC有一定的難度，系統(tǒng)提供的免費(fèi)“ARP自動(dòng)綁定軟件〞，能夠幫助工作人員有針對(duì)性的選擇套用綁定程序，到達(dá)雙向綁定的目的。QnoKeyIPSec客戶端密鑰：在移動(dòng)用戶上，假設(shè)要采用傳統(tǒng)的IPSecVPN連機(jī)，更加容易發(fā)生無法應(yīng)付設(shè)定繁復(fù)的弊病，對(duì)于分秒必爭(zhēng)的出差業(yè)務(wù)人員而言，可以說是非常不方便的?；诖?，只要插入一把U盤大小的QnoKey，輸入用戶名及密碼，即可自動(dòng)執(zhí)行相關(guān)設(shè)定，立即連機(jī)總部。同時(shí)，QnoKey具有遺失保護(hù)措施，當(dāng)出差外地的人員不小心遺失QnoKey時(shí)，可自動(dòng)去除相關(guān)數(shù)據(jù)與參數(shù)并阻擋連機(jī)總部，防止企業(yè)機(jī)密資料，遭受有心人士竊取。多WAN保證聯(lián)機(jī)質(zhì)量：超市在總部與分點(diǎn)機(jī)構(gòu)所采用的俠諾VPN設(shè)備，都是多WAN口