日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

用3Com防火墻實現(xiàn)VPN功能

云知道


VPN技術是指在公共的網絡平臺上傳輸用戶私有的數(shù)據 , 實現(xiàn)方式是在公網如Internet上搭建隧道 , 從而使得在不安全的互聯(lián)網上傳輸私有數(shù)據得到保證 。這種技術的效果類似于傳統(tǒng)的租用專線聯(lián)網方式 , 但其費用遠比采用專線方式聯(lián)網要便宜 。
目前與企業(yè)相關的VPN隧道協(xié)議分三種:點到點隧道協(xié)議PPTP , 第二層隧道協(xié)議L2TP , 網絡層隧道協(xié)議IPSec 。而VPN在企業(yè)中的組網方式分四種:遠程訪問(客戶端到網關) , 分支機構互連(網關到網關) , Extranet VPN(網關到網關 , 用于合作伙伴/客戶等) , Intranet VPN 。在各種組網方式下要仔細選用不同的隧道協(xié)議 。
支持VPN的產品種類很多 , 包括路由器 , 主機網關 , 撥號接入設備 , 隧道加密機 , 隧道交換機等等 。但利用防火墻支持VPN越來越流行 , 因為它既能提供VPN實現(xiàn)網絡互連 , 又能保護企業(yè)內部的資源免受外部網絡的攻擊 。因此 , 帶VPN功能的防火墻可以提供更全面的安全解決方案 。
3Com公司防火墻VPN產品
目前 , 3Com公司的防火墻產品包括兩種型號:
SuperStack 3防火墻
OfficeConnect DMZ防火墻
SuperStack 3防火墻主要用于企業(yè)中心以及大型分支辦公室 , OfficeConnect DMZ防火墻只要用于小型分支辦公室 。
這兩種VPN防火墻都采用實時操作系統(tǒng) , 并經過修剪 , 專門用于網絡安全功能 , 徹底避免了傳統(tǒng)軟件防火墻由于依靠UNIX和Windows NT操作系統(tǒng)而帶來的潛在漏洞 。同時 , 采用高性能安全防火墻引擎 , 提供狀態(tài)包檢測保護 , 屬于專用硬件防火墻 , 能夠為大中小企業(yè)提供高性能價格比的解決方案 。
為了提供高性能 , 高安全性的VPN , 3Com公司防火墻采用專用硬件加速引擎 , 并采用標準的網絡層IPsec 協(xié)議 。下面介紹IPsec VPN與其它兩種VPN協(xié)議的比較 。
點到點隧道協(xié)議-PPTP
PPTP協(xié)議在一個已存在的IP連接上封裝PPP會話 , 只要網絡層是連通的 , 就可以運行PPTP協(xié)議 。PPTP協(xié)議將控制包與數(shù)據包分開 , 控制包采用TCP控制 , 用于嚴格的狀態(tài)查詢以及信令信息;數(shù)據包部分先封裝在PPP協(xié)議中 , 然后封裝到GRE V2協(xié)議中.GRE是通用路由封裝協(xié)議 , 用于在標準IP包中封裝任何形式的數(shù)據包 , 因此PPTP可以支持所有的協(xié)議 , 包括IP , IPX , NetBEUI等等 。除了搭建隧道 , PPTP本身沒有定義加密機制 , 但它繼續(xù)了PPP的認證和加密機制 , 包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE 。
第二層隧道協(xié)議-L2TP
L2TP是一個國際標準隧道協(xié)議 , 它結合了PPTP協(xié)議以及第二層轉發(fā)L2F協(xié)議的優(yōu)點 。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據包合二為一 , 并運行在UDP上 , 而不是TCP上 。UDP省去了TCP中同步、檢錯、重傳等機制 , 因此L2TP速度很快 。與PPTP類似 , L2TP也可支持多種協(xié)議 。L2TP協(xié)議本身并沒有提供任何加密功能 。
IPsec協(xié)議
IPsec是標準的第三層安全協(xié)議 , 用于保護IP數(shù)據包或上層數(shù)據 , 它可以定義哪些數(shù)據流需要保護 , 怎樣保護以及應該將這些受保護的數(shù)據流轉發(fā)給誰 。由于它工作在網絡層 , 因此可以用于兩臺主機之間 , 網絡安全網關之間(如防火墻 , 路由器) , 或主機與網關之間 。
IPsec協(xié)議分兩種:ESP和AH , 這兩種協(xié)議都可以提供網絡安全 , 如數(shù)據源認證(確保接收到的數(shù)據是來自發(fā)送方) , 數(shù)據完整性(確保數(shù)據沒有被更改)以及防中繼保護(確保數(shù)據到達次序的完整性) 。除此之外 , ESP協(xié)議還支持數(shù)據的保密性 , 能夠確保其它人無法讀取傳送的數(shù)據 , 這實際上是采用加密算法來實現(xiàn)的 。
IPsec的安全服務要求支持共享鑰匙完成認證和/或保密 。在IPsec協(xié)議中引入了一個鑰匙治理協(xié)議 , 稱Internet鑰匙交換協(xié)議-IKE , 該協(xié)議可以動態(tài)認證IPsec對等體 , 協(xié)商安全服務 , 并自動生成共享鑰匙 。

推薦閱讀