1、 海关信息系统 VPN 及加密解决方案 客户需求 安全可靠的网络互联和加密数据传输设计方案要点 安全可靠的网络互联和基于 VPN 隧道的加密数据传输华为 Quidway 系列多协议路由器,支持 PPP、FR、 X25、SLIP 、HDLC 等网络协议,用户可通过各种广域网线路接入 Internet 及互联互访。路由器内置安全防火墙、NAT、RADIUS 安全认证,以及 CALL BACK 等多项互联安全防护功能;并通过 CA 认证协议的验证和 IPSec 隧道协议,在 Internet 上构建安全可靠的网络通道,基于硬件的数据加密,将保密数据加密后在隧道上传输,加密数据有可靠的保密性但牺牲了效
2、率;非保密数据可以通过一般 11 性安全处理在隧道上传输,保证较高的转发速率。硬件加密的算法采用专门的芯片(经过国家相关部门批准)进行加密,密钥长度大于 128 位,并提供高强度的一次一密功能。配合完全自主知识产权的软硬件平台,提供网络的安全互联和数据的安全传输的安全解决方案。而 “备份中心“的可靠性备份解决方案,实现多种线路之间的任意备份和业务分担,为网络提供业界最坚固的保护屏障,保证网络的可靠运行。主要设备 Quidway R1603/1604 路由器 Quidway R2501 路由器 Quidway R2509/2511 路由器 Quidway R3640/4508 模块化路由器Qui
3、dway S2403 以太网交换机虚拟私有网(VPN)技术及其应用 深圳华为技术有限公司 北京研究所 王盛 摘要:本文通过对 VPN 技术的介绍,阐述了 VPN 技术在应用方面的优势,同时结合华为公司的接入服务器,对 VPN 的功能进行了说明。VPN 概要和技术: VPN 概述: 虚拟私有网(Virtual Private Network ,VPN) ,又称虚拟私有拨号网(Virtual Private Dialup Network ,VPDN) ,是近年来随着 Internet 的发展而迅速发展起来的一种技术。现代企业越来越多地利用 Internet 资源来进行促销、销售、售后服务,乃至培训
4、、合作等活动。许多企业趋向于利用 Internet 来替代它们私有数据网络。这种利用 Internet 来传输私有信息而形成的逻辑网络就称为虚拟私有网。虚拟私有网实际上就是将 Internet 看作一种公有数据网(Public Data Network) ,这种公有网和 PSTN 网在数据传输上没有本质的区别。因为从用户观点来看,数据都被正确传送到了目的地。相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。至于“虚拟” ,则主要是相对现存企业 Intranet 的组建方式而言的。通常企业 Intranet 相距较远的各局域网都是用 PSTN 物理线路相连的,而虚拟私有
5、网提供的是 Internet 上的虚拟链路。这种利用 Internet 来组建私有网的方式对 Internet 服务提供商( ISP)和 VPN 用户都是有益的。无庸置疑,ISP 的利润大量来自于企业用户。通过向企业提供 VPN 服务,ISP 可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN 用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN 用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。ISP 对外提供两种服务,资源利用率和业务量都会大大增加。而对于 VPN 用户而言,利用 Internet 组建私有网,将
6、大笔的专线费用缩减为少量的市话费用和 Internet 费用,无疑是非常有吸引力的。如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的 ISP 来完成。正由于其强大的吸引力,VPN 在全球发展得异常红火,在北美和欧洲,VPN 已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。著名的网络提供商 Global One在香港地区的 VPN 服务已经大规模开通。而在中国大陆,网络服务提供商也开始设立VPN 服务。2、VPN 的基本技术 以某企业为例,通过 VPN 建立的企业内部网图示如下:图中可以看到,企业内部资源享用者通过 PSTN 网连入本地 ISP 的
7、POP(Point of Presence)服务器,即可相互通信,而利用传统的 WAN 组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户甚至不必拥有本地 ISP 的上网权限就可以访问企业内部资源。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设 VPN 服务所需的设备很少,只需在资源共享处放置一台 VPN 的服务器(如一台 Windows NT 或支持 VPN 的路由器)就可以了。资源享用者通过 PSTN 连入本地 POP服务器后,直接呼叫企业的远程服务器(VPN 服务器) 。呼叫的方式和拥有 PSTN 连接的呼叫方式完全是一样的,剩下的
8、工作就完全由 ISP 的接入服务器(Access Server )来完成。下面简要说说 ISP 是如何完成这个任务的。Figure 2NAS (Network Access Server, 网络接入服务器)主要使用了一种称之为 tunneling 的技术。这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。上图中,用户通过 PSTN 网拨入 ISP 的 NAS 服务器,NAS 服务器通过用户名或接入号码识别出该用户为 VPN 用户后,就和用户的目的 VPN 服务器建立一条连接,称为隧道,然后将用户数据包封装成 IP 报文后从该隧道传送给 VPN 服务器,VPN 服务器收到数
9、据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理,使 Internet 上的其他用户无法读取,因而是安全可靠的。对用户来说,隧道是其 PSTN 链路的逻辑延伸,操作起来和存在物理链路相同。支持这种 tunneling 技术的 NAS-VPN Server 间协议主要有三种。一种是微软、Ascend、 3COM 等公司支持的 PPIP(Point to Point Tunneling Protocol,点对点通道协议) ,在 Windows NT 4.0 以上版本中即有支持。另一种是 Cisco 北方电信等公司支持的L2F(Layer 2 Forward
10、ing,二层转发协议) ,在 Cisco 路由器中有支持。而由 IETF 起草,微软 Ascend 、Cisco、 3COM 等公司参予的 L2TP(Layer 2 Tunneling Protocol,二层通道协议)结合上述两个协议的优点,为众多公司所接受,相信各公司的新产品都会对它进行支持。由于传输的是私有信息,VPN 用户对数据安全性比较关心,下面就这个问题略加说明。在数据传输过程中,用户和他的 VPN 服务器之间可以协商数据加密传输。加密之后,即便是 ISP 的 NAS,也无法看到数据包的内容。而且即使是用户不对其数据加密,NAS 和VPN 服务器建立的隧道两侧也可以协商加密传输,使得
11、 Internet 上的其他用户无法看到隧道中传输的数据信息。因此 VPN 服务的安全性是完全可以放心的。A8010 的 VPN 功能 深圳市华为技术有限公司新研制的接入服务器 A8010 是一种高性能、大容量的接入服务器。A8010 的 VPN 功能也是非常丰富的,具体表现在它的多协议,多接入方式,业务开设和使用简单,支持多种新业务以及安全可靠等方面。1、多协议: A8010 的 VPN 支持全部 PPTP、L2F 和 L2TP 三种协议。 PPTP 的 VPN 服务器对象主要是 Windows NT。小型企业利用 Windows NT 作为 VPN 服务器,不用另购支持 VPN 的路由器。
12、操作也很简单,用户管理直接在 Windows NT 上完成。L2F 的 VPN 服务器对象则主要是 Cisco 路由器。Windows NT 作为 VPN 服务器对于大型企业而言,接入带宽不够,用户管理也不够安全,而用路由器配备 Radius 服务器来作 VPN 服务器,则能满足要求。而 L2TP 作为更优更新的标准,必为更多的设备所支持,将是使用最广泛的 VPN 协议。Figure 3多种 VPN 协议提供给用户足够的选择余地,而且协议的选择也非常的简单,只需在开设 VPN 业务时说明其 VPN 服务器类型及选择的协议。企业可以有多台 VPN 服务器,也可以选择多种协议,并且由用户选择服务器
13、和协议的优先选择顺序。2、多接入方式: 从连接链路的性质上分,A8010 支持的接入方式包括模拟拨号用户,数字拨号用户和专线用户,这三种方式都提供有 VPN 的支持。而就 VPN 用户和普通用户的区分方式来说,A8010 提供的 VPN 接入方式包括被叫号码接入,用户名接入和出租端口三种方式。Figure 4被叫号码接入方式中,企业在开设 VPN 业务时,ISP 分给该企业一个特殊的被叫号码。该企业的 VPN 用户在使用该项服务时,通过该号码连入 A8010,A8010 根据用户信息找到对应的 VPN 服务器,通信就可以开始了。用户名接入方式中,用户仍和普通上网用户一样使用普通被叫号码呼叫 I
14、SP,呼通之后输入特定的用户名(通常是用户名域名) 。A8010 根据域名连接 VPN 服务器,余下的过程和被叫号接入方式完全相同。还有一类用户,由于其 VPN 业务量大,需要保留若干条链路,以保证呼叫通畅。这种情况下,A8010 可以提供线路预留或出租中继的端口的业务。3、支持的新业务: 1) 漫游: A8010 支持漫游。企业只需在一个地方申请 VPN 业务,就可以在全国各地使用VPN 服务。用户拨入当地的 ISP 时,甚至可以不必在该 ISP 上拥有帐户,这对出差职员或客户支持是非常有用的。2) 保留带宽:A8010 可以为接入用户保留一定数量的链路,以保证用户呼叫时不至于更阻。是否保留
15、带宽和保留多少条链路则是在开设 VPN 业务时由企业自己决定的。3) 代理验证: A8010 可以为企业代理验证 VPN 用户。通常 VPN 用户是由企业的 VPN 服务器来进行验证和计费的,而对一些业务量大而又缺乏维护人力物力的企业来说,可以将验证、安全性检查和计费等任务交给 A8010 来完成。4) 拨出业务:A8010 提供拨出业务。在通讯的两端都有 VPN 服务器或者需要支持回呼的情况下,A8010 可以为用户提供拨出功能。Figure 5 如图,可以由一台 VPN 服务器呼叫另一台 VPN 服务器,或者由 VPN 服务器呼叫普通用户。4、安全性 对于 VPN 业务,企业比较关心的一个
16、问题能是传输的安全性。在这个问题上,A8010提供全面的安全性保证。首先,A8010 可以应企业的要求,在 VPN 用户拨入时对他的身份进行验证,然后才建立隧道,将用户交由 VPN 服务器进行再次验证。其次,A8010 对用户数据包进行完整转发,并不读取数据包的内容。因此,用户可以对它的数据进行加密,而不会影响 A8010 的工作,而且此时即使是 A8010 也无法读取用户数据。第三, A8010 支持A8010 到 VPN 服务器间隧道的数据加密。这样,即使拨入用户不对其数据加密,由于A8010 的工作,Internet 上的其他用户也无法读取 VPN 用户的私有数据。公安信息系统解决方案
17、客户需求 分局派出所的接入与互联互通 简单、方便、低价的派出所组网方案 低成本、低维护量、使用放心、服务可靠的网络方案 安全可靠的网络互联和数据传输设计方案要点 分局派出所的接入与互联互通 华为 Quidway 系列多协议路由器,支持 PPP、FR、 X.25、SLIP 、HDLC 等网络协议,可为用户提供同步专线、异步专线、电话拨号线等多种线路方式的接入。华为 Quidway R2509/ 2511 接入路由器可作为地市公安网络中心的接入设备,为分局、派出所等提供 X.25、FR 、异步专线、电话线拨入等方式的接入;Quidway R4001 企业级中心路由器,具有一个高速多协议同异步串口和
18、一个 CE1/PRI 接口,作为地市中心接入设备,可同时接入 30 路的 ISDN Bri 用户或 30 路 64K DDN 用户。华为 Quidway R3640/4508 模块化中心路由器,具有丰富的网络业务接口模块,可作为省局网络核心路由设备,为各地市分局网络提供 FR、DDN、X.25 、ISDN 、PSTN 等多种接入互联服务及强大的路由处理能力。Quidway A8010 refiner 企业级接入服务器,具有强大的 PSTN 和 ISDN 接入能力,其可扩展的结构,能为公安系统提供充分的 PSTN/ISDN 用户接入端口。简单、方便、低价的派出所组网方案 华为 Quidway R
19、1600 系列路由器,具有造型美观、功能强大、价格低廉、使用方便的特点,特别适合组网简单、投资有限的网络。在较发达的地区,可以使用可靠性、速率较高的 ISDN 网络,不发达地区可以使用覆盖广泛,价格低廉的电话线,几台 PC,一个 Hub,加上一台 Quidway R1603 即可组建一个派出所网络,随时随地接入 Internet。按需拨号、自动备份、动态路由、IP 地址自动协商、VPN 隧道以及内部强大的防火墙,一旦设置完成,无须再操心,它会忠实可靠地默默为您服务。低成本、低维护量、使用放心、可靠服务的网络方案 1、提供远程维护功能。在网络通畅可达的情况下,可以通过网管或 Telnet 进行远
20、程维护。在网络出故障的情况下,为方便用户维护,华为 Quidway 系列路由器所有串行接口均设计支持远程拨号接入配置功能。通过设置接口交互模式,此接口就变成配置口,只要有电话线的地方,就可通过 Modem 拨号接入进行维护,分级口令保护,确保设备安全。2、可靠的质量保证。华为的系列路由器产品通过 ISO9001 质量体系认证,每种原器件进货都通过严格的 IQC 把关,设备出厂前都要通过高温、潮热、颠簸、EMC、老化等例行测试和工序,保证到用户手中的设备 100% 质量可靠,使用放心。3、华为遍布全国的备件中心,为用户提供可靠的备件保障。4、位于北京的华为数据通信技术支援中心,提供 800 热线
21、电话、用户网上注册、最新程序下载、email 信箱、用户远程维护、现场调式等多项服务,华为每年 2 次以上的代理商/分销商培训考核制度,确保华为的渠道掌握最新的技术。而代理商/ 分销商以及“ 华为网络工程师“的认证 /考核体系,确保培养最懂华为网络技术的资深网络专家,为最终用户提供华为网络产品的优质服务。安全可靠的网络互联和数据传输 华为 Quidway 系列路由器及接入服务器,内置安全防火墙、NAT、RADIUS 安全认证,以及 CALL BACK 等多项安全防护功能,通过 VPN 协议的验证和隧道加密协议及多种数据加密方式,提供公安系统网络的安全链接和数据的安全传输; “备份中心“ 的可靠
22、性备份解决方案,实现多种线路之间的任意备份和业务分担,为网络提供业界最坚固的保护屏障,保证网络的可靠运行。华为公司的研发、生产、服务体系通过 ISO9001 国内国际的双重认证,产品通过国家信息安全认证、CE 电磁兼容性测试等国内外多项检测,并积极参与国内国外的专业权威检测,保证网络系统的安全和可靠。主要设备 Quidway TA128 ISDN 适配器 Quidway R1603/1604 路由器 Quidway R2501 路由器 Quidway R2509/2511 路由器 Quidway R3640/4508 模块化路由器 Quidway A8010 Refiner 接入服务器Quidway S2403 以太网交换机
