DPtech 防火墙IPSec VPN技术白皮书

IPSec VPN技术白皮书

1、IPSec VPN技术概述

VPN（Virtual Private Network），即虚拟专用网，是利用开放的公众网络资源建立私

有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。

IPSec（Internet Protocol Security）即Internet安全协议，是IETF提供Internet安全

通信的一系列规范，它提供私有信息通过公用网的安全保障。由于IPSec在TCP/IP协议的核心层——IP层实现，因此可以有效地保护各种上层协议，并为各种安全服务提供一个统一的平台。IPSec 也是被下一代Internet 所采用的网络安全协议。IPSec协议是现在VPN开发中使用的最广泛的一种协议，它有可能在将来成为IPVPN的标准。

在IPSec VPN网络中，业务数据流通过IPSec加密，IPSec能够提供服务器及客户端的双向身份认证，并且为IP及其上层业务数据提供安全加密保护，能够支持数据加密（包括常见的DES、3DES、AES等加密算法）、数据完整性验证、数据身份验证以及防重放等功能，充分保证业务数据的安全性。IPSec VPN利用Internet构建三层隧道VPN的方式，可以允许用户以任意方式接入VPN，并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接入Internet即可。IPSec VPN不仅适用于移动办公用户接入, 而且适用于企业分支机构之间的互连互通。正因为IPSec VPN具有其它VPN不可替代的业务优势，目前已在各行业得到了比较普遍的应用。

总之，不同类型的IP VPN业务实现的技术不同，面向的用户也不同。下面主要对目前应用比较广泛的IPSec VPN的几种用户典型组网进行描述。

2、DPtech IPSec VPN典型组网典型组网方案组网方案

2.1、单链路单网关

本方案主要面向有小型的分支机构，分支用户对于网络的链路要求不高： 󰀁 󰀁 󰀁

对于服务器部分，可以只考虑使用单台的设备来进行汇接。

VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。

根据其业务的需求，对可靠性的要求不高，数据的传输不讲究实时传输。有必要的话，可以在分支节点用设备进行冷备份。

󰀁 VPN接入网关子系统部署：在总部局域网Internet边界部署一台的防火墙/VPN网

关，在分支机构Internet边界一台防火墙/VPN网关，两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输；

杭州迪普科技有限公司

该方案支持IPSec over GRE VPN、GRE over IPSec VPN 、L2TP over IPSec VPN

等方式。具有组网简单、易于部署、多协议承载等优点。 2.2、VPN网关备份的解决方案

在实际的组网中，为了增强链路可靠性，也可以在Internet网关节点部署双防火墙/VPN网关，利用该防火墙/VPN双网关可以有效的提高系统的可靠性，同时，对于业务分支节点较大的企业，可以通过有效配置实现业务的负载分担，将不同的分支节点按照一定的原则配置不同的主备网关。具体的组网如下：

和单链路单网关方案相比，本方案的最大区别在于对于VPN网关之间进行了双机备份

和负载分担。目前DPtech可以提供L2TP备份、VRRP备份、OSPF备份等3种可靠性的备份方法。

3、总结

杭州迪普科技有限公司

DPtech通过IPSec VPN技术，为用户在不可信信道上构建安全可靠的虚拟专用网络。

不仅能够向用户数据提供机密性和完整性保护、数据源认证、抗重放攻击、抗流量分析等安全保障，并且通过状态检测防火墙和入侵防御技术的应用，为用户的内部网络建立安全屏障。