产品名称:SJW84 VPN系统
- 产品概述
- 功能介绍
- 技术优势
- 应用部署
- 案例与资源
SJW84 VPN系统为用户提供了在不可信的公共网络中信息传输的机密性、完整性、数据源认证及部分抗重放功能。采用国际标准IPSEC协议族,所有安全保护算法都通过了国家主管部门的审批。
SJW84 VPN系统遵循国家密码管理局《IPSEC VPN技术规范》,采用国密局规定的SM1加密算法,为各行各业提供稳定、可靠、安全的服务。SJW84 VPN系统集专用操作系统、信息加/解密、身份认证、防火墙、安全规则管理、丰富完整的日志审计等功能为一体,提供了可靠、高速、安全的网络安全功能。它利用其系统中的关键设备—VPN在网络拓扑中位于路由器和内部局域网之间的必经位置,对所有进出网络的信息进行基于策略的访问控制和完成对通信数据的加密/解密。确保了网络的安全,能有效防止非法分子的攻击。
SJW84 VPN系统是在TCP/IP协议的IP层对网络通信实施安全保护,与用户实际业务无关,具有优异的通用性。可应用于采用TCP/IP协议组网、通过公共网络组建虚拟专用网络的各行各业。
SJW84 VPN系统由VPN管理中心、VPN、VPN客户端三部分组成。VPN实施保护网络通信;VPN管理中心管理整个VPN系统;而VPN客户端保护移动用户的远程接入。典型的系统配置如图1所示。
SJW84 VPN系统严格按照国家密码管理局规定的《IPSEC VPN技术规范》开发,系统采用国密局规定的SM1加密算法,提供了丰富的安全功能。
数据的机密性保护利用加密算法加密用户数据,即使非授权的用户得到数据也不能知道其中的内容。SJW84 VPN系统支持符合国际标准的加密算法以及由国家主管部门审批的加密算法。同时,卫士通公司利用自己多年从事安全设备制造的经验,高效实现了各种加密算法,既保证了数据的安全性,又保障了系统的高效处理。
数据完整性保护利用HMAC使数据在传输过程中不被非法用户修改。如果网络中传输的数据包被非法用户修改,数据的接收方能通过完整性校验发现这是个被非法修改的数据包而予以丢弃或其他安全处理。
检查数据的发送者,如果数据包的发送者不是VPN网络中的用户,数据包将被丢弃,防止非法用户对用户网络的非法进入。
数据的不可否认性用来防止有人发送数据包后因某种原因反悔,否认自己曾发过此数据。SJW84 VPN系统通过IKE协议进行双向的身份认证和鉴别。在协议的握手过程中实施消息摘要,并且用自己的私钥对摘要进行加密。等数据到达对方后,再用相应的公钥对摘要进行解密,然后重新对数据做消息摘要,两者进行对比。两者相同,则可认定此数据包肯定是对方发出的。因为加密的私钥只有相应的人员知道,所以通过此种方式可以保证数据的不可否认性。
SJW84 VPN系统基于标准IPSEC协议开发,并严格遵循国家密码管理局制定的《IPSEC VPN技术规范》,因此与其它使用标准IPSEC协议和遵循《IPSEC VPN技术规范》的VPN能够互联互通,具有良好的兼容性。
IPSEC隧道技术是一种通过使用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据帧或包。IPSEC隧道协议将这些其它协议的数据帧或包重新封装IP头和协议头后发送。
SJW84 VPN系统支持两种IPSEC隧道构建方式:
静态隧道:在用户完成安全策略配置后,系统自动根据安全策略建立安全隧道,而不是在用户实际网络通信开始时才建立安全隧道,保证了用户安全网络通信的及时性;
动态隧道:用户实际网络通信开始时,采用标准IKE协议动态地协商出安全关联(SA),进而为用户构建一条动态的IPSEC隧道。
X.509是由国际电信联盟(ITU-T)制定的数字证书标准。为了提供公用网络用户目录信息服务,ITU于1988年制定了X.500系列标准。其中X.500和X.509是安全认证系统的核心,X.500定义了一种区别命名规则,以命名树来确保用户名称的唯一性;X.509则为X.500用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口,X.509称之为证书。
X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两个密钥:一个是用户的私有密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对常规密钥进行加密并将之附于信息之上,这样接收者可用对应的私有密钥解出常规密钥,再对信息解密。该鉴别框架允许用户将其公开密钥存放在目录服务器中。一个用户如果想与另一个用户交换秘密信息,就可以直接从目录服务器中获得相应的公开密钥,用于各种安全服务。
SJW84 VPN系统支持标准的X.509证书,能够为用户提供方便的密钥管理。
SJW84 VPN系统采用自主研发的专用硬件设备产生随机数,保证密钥的质量,为系统中各个子模块提供强度非常高的随机数。随机数的强弱直接影响到安全算法(加密、认证)的强度。并且,密钥在使用一定时间或处理一定量的数据后将自动刷新,避免密钥被破解、重置以及恶意的破坏。
密钥是VPN系统的一个重要的组成部分,长期使用固定的密钥将面临密钥泄漏的危险,因此,密钥必须在使用一定时间后自动更换。如果采用手动换密钥的方式,将增加用户的管理负担,也容易出现忘记更换密钥的错误。
SJW84 VPN系统采用自动密钥协商机制。密钥协商在系统启动或者在用户指定的特定条件下,由通信的双方自动完成。密钥协商完成后,网络通信双方的安全用新协商的密钥保护。用户可以通过密钥使用时间的长短、加密网络通信的包数或者字节数来控制密钥更换周期。同一密钥使用的时间越短,加密的包数或者字节数越少,密钥被泄漏的风险就越小。但是同时`系统用于密钥协商的开销就越大。
SJW84 VPN系统采用集中管理的方式。管理任务在VPN管理中心完成。VPN管理中心对全网设备进行集中统一的管理和监控。对全网VPN和VPN客户端进行密钥生成、管理、分发、更新及授权管理;针对客户端,管理中心提供密钥挂失、黑名单、生命周期等安全管理功能,从而确保整个网络的安全。
11、硬件加密
SJW84 VPN系统采用硬件加密,硬件加密可以获得更好的安全性。某些安全敏感数据可以保存在硬件中,除非攻击者能获得硬件,否则,不能访问这些安全敏感数据。而且,即使得到了硬件加密卡,SJW84 VPN系统也能够提供附加的安全措施保证安全敏感信息不泄漏。另外,硬件加密有更高的安全处理效率,通常,安全处理都是计算密集型运算,需要非常多的计算资源。SJW84 VPN系统采用硬件加密的方式,保证系统的高效、稳定运行。
SJW84 VPN系统既支持基于数字证书的非对称密钥管理方式,也支持三层预共享密钥管理体系。在三层预共享密钥体系中,上层密钥保护下一层密钥的分发,最底层密钥用于数据加密。三层密钥包括主密钥SMK、密钥加密密钥KEK以及数据加密密钥DEK。
主密钥SMK:VPN和安全管理中心共享的密钥,用于保护KEK的分发,VPN不同主密钥也是不同的。密钥加密密钥KEK:在SMK保护下分发,也是VPN和安全管理中心之间共享,不同的VPN和安全管理中心共享不同的KEK,用于保护DEK的分发。数据加密密钥DEK:在KEK的保护下获得,用于数据的加密。数据加密密钥分为两种,一种是VPN之间加密受保护网络之间IP数据报的密钥,另一种是VPN和安全管理中心之间加密保护管理信息的密钥。
VPN管理中心作为整个系统的枢纽和核心,在其中保存有整个系统中所有VPN的密钥信息、网络参数(IP地址、路由表、网关信息、网管信息)、安全规则设置(根据IP数据报的源地址、目的地址、源端口、目的端口、TCP头的信息等参数来决定对数据报采取以下方式的处理:加密、允许、拒绝)等信息。这些信息的安全与否直接影响到VPN和管理中心自身的安全以及被保护网络的安全。因此它们的存放不能采用明文的方式,必须进行加密存放。同时在各地的VPN也都有密钥数据、访问控制规则、网络参数等关键数据,对它们也需要实现加密安全的存放。
最底层的密钥均放置在硬件加密卡中,不以明文形式出现在设备以外。最顶层的密钥用Pin口令和智能IC卡或USBkey保护。之后逐层保护,且加密时明文形式的密钥只有在硬件加密卡内部才存在。
SJW84 VPN客户端支持分布式密钥管理,具备良好的扩展性,提供双机备份、身份鉴别、策略下载、实时监控、远程控制、日志管理等功能,可以用于构建大型网络系统。
SJW84 VPN系统提供了包过滤、状态检测等访问控制功能,为用户网络提供完备的访问控制保护。
SJW84 VPN系统的包过滤可以对进出网络的数据流进行有效的控制与操作。系统管理员可以设定一系列规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截。SJW84 VPN系统不仅支持这种传统的包过滤,同时还支持状态检测包过滤,对任何网络连接和会话的当前状态进行分析和监控,将属于同一连接的所有包作为一个整体的数据流看待,大大的提高了系统的性能和安全性。
SJW84 VPN系统的安全规则支持对通过的IP数据报的协议类型、协议选项、源/目的地址、源/目的端口等过滤条件判断,并做相应的处理。处理种类包括对数据包的允许、丢弃、加/解密、审计等。
SJW84 VPN系统实现了常见的入侵防御功能,系统自身能够处理常见的一些攻击及恶意探测,保护了用户网络的安全以及设备本身的安全性。
SJW84 VPN系统采用基于授权智能卡(USB-KEY)和授权口令的“双因子”身份认证管理,对所有设备均采用以上两者混合的双重身份鉴别管理,以控制对VPN系统的使用和设备之间的相互认证。
SJW84 VPN系统提供实时监控功能,能够实时监控出入整个系统的数据流,包括明文流和密文流,并能够进行详细的统计,生成统计报表,自动向管理中心上报汇总。
VPN用来保障用户网络数据的安全传输,因此,VPN本身的安全和稳定性非常重要,如果VPN不能正常工作,用户网络的数据通信就没有安全保障。SJW84 VPN系统中配备有完善的设备自检和状态指示功能,实时监控整个VPN中的状态,如果发现系统有异常情况,则实时报警并采取相应的措施(如软、硬件看门狗等)保障系统的安全、稳定工作。
网络管理员通过系统日志了解系统的运行情况,可以更好地控制系统的行为,优化系统运行参数。
SJW84 VPN系统具有完善的日志系统,记录完备的日志,所有功能子模块都有相应的日志消息。系统自动记录内部网络的运行状态,同时也记录系统的网络流量,方便管理员及用户了解系统。
SJW84 VPN系统可以在系统正常工作时,备份VPN管理中心和安全设备中的关键管理信息,在系统故障或用户需求的情况下恢复这些管理信息。数据备份和恢复可以减少用户的管理开销,增加整个系统的冗余度和可靠性。
SJW84 VPN系统支持桥模式。在透明模式下,直接将用户网络的边界路由器/交换机和VPN连接,配置好安全策略,VPN就能正常工作,对用户完全透明,无须用户干预。而在桥模式下,VPN与网桥的工作方式一样,只是传输的通信已经被安全保护了。在网关模式下,也把VPN与边界路由器/交换机相连,在工作时,用户网络中的主机和路由器/交换机的网关必须设置为VPN,然后配置安全策略,系统就能正常工作了。这种方式用户需要修改用户主机或网关的默认网关设置。
SJW84 VPN客户端支持PSTN、ISDN、ADSL、DDN、LAN、CDMA、GPRS、无线局域网等线路的安全接入,和VPN协调工作,保证远程接入用户能接入VPN系统,同时防止非法用户接入VPN系统。
SJW84 VPN客户端提供可扩展的远程接入系统网间互联的漫游功能,如果用户拥有VPN系统的身份证明(如用户有由VPN管理中心发的USB-KEY),就可以在不同地方接入VPN,和用户网络通信。系统提供多重漫游的设置和取消,漫游的接入日志等信息能返回宿主管理中心,可以在管理中心查询远程接入的使用情况。
SJW84 VPN系统不仅支持VPN之间的网间互连互通,而且能够实现多个VPN客户端之间(点到点)建立安全连接通道,实现安全数据通信。
SJW84 VPN系统支持双机热备工作方式(此功能要求密钥中心为单独设备)。当系统运行时,主机和备份机都在运行,备份机周期性地检测主机的状态,而主机也周期性检测自己的状态,当发现主机不能正常运行时,备份机切换为主机,主机切换为备份机,同时给用户发告警消息。这样就可以保证网络不间断地运行,不会因意外事故和系统错误影响用户对网络的使用。状态的周期性检测时间是用户可配置的,满足不同用户的需要。
SJW84 VPN系统采用标准协议,能够绕过网络环境中的NAT设备,适应实际用户网络环境。
SJW84 VPN系统支持VLAN协议,能够部署在trunk链路上。
- 标准IPsec
- 硬件安全
- 即插即用
- 快速恢复
- 集中管理
- 基于硬件特征的移动接入认证
一、基于业务的典型应用
1、应用于视频会议系统
下图是SJW84 VPN系统应用于视频会议系统的典型应用。
SJW84 VPN系统在视频会议业务中的典型应用
在整个系统中,通过VPN系统实现了在公/私网系统上组建安全虚拟局域网进行视频数据的安全传输,该系统是一个中心,多个分中心的典型应用系统。在该系统中,使用了Polycom公司的视频设备组建整个系统视频业务应用网。
2、应用于综合业务系统
下图是SJW84 VPN系统应用于综合业务系统的典型应用。
SJW84 VPN系统在综合业务应用中的典型应用
在整个综合业务应用系统中,通过VPN系统实现了在公/私网系统上组建安全虚拟局域网进行综合业务的安全传输。在该系统中,应用了WEB、DB、HTTP、MAIL及其他各种应用服务。
3、应用于远程接入系统
下图是SJW84 VPN系统应用于远程接入系统的典型应用。
SJW84 VPN系统在远程接入系统中的典型应用
二、基于不同网络系统的典型应用
1、基于公网的网络典型应用(拨号方式)
基于公网的应用是SJW84 VPN系统的最典型的网络应用环境。在基于公网的应用中,各个路由器之间采用拨号方式或DDN专线连接。
2、基于专网的网络典型应用
基于专网的应用是SJW84 VPN系统应用最广泛的网络应用环境。在基于专网的应用中,各个路由器之间以多种方式连接。