基于USG的企业分支机构VPN接入技术设计与实现.pdfVIP

开发案伪 ／ 基于USG的企业分支机构 VPN接入技术设计与实现 ★ 徐书良 ． 莫永华z (1．广西智网电子科技有限公司，南宁 530028；2．桂林 电子科技大学信息科技学院，桂林 541004) 摘 要 ：随着企业发展的全球化 ，现代企业的管理也趋于信息化 ，信息和 网络的安全显得尤为重要 ． 企业分支机构远程访 问企业信息资源的安全性需求更加迫切。通过分析 VPN技术 ．根据企 业分支机构的特点提 出VPN解 决方案 ，并基于USG硬件平 台实现安全访 问。 关键词 ：虚拟专用 网络 ；IPSec协议 ；统一安全网关；企业 网 0 引 言 ternet公网．需要通过 IPSec包封装技术．利用 Internet 公网IP地址 ．封装 内部私有的IP地址．实现异地网络 随着社会经济的发展．越来越多的企业需要在全 的互通 。如果企业总部私有 IP发信息给企业分支机构 国乃至世界范围内建立各种办事机构、分公司、研究所 私有IP地址，企业总部局域网IP数据经私有IP地址 等．企业分支机构远程访问企业信息资源的需求 日益 传至出口处 IPSecVPN网关进行加密封装 ．通过 Inter_ 增多．传统企业联网专线方式成本高、实施和维护复 net公网传送至企业分支机构 IPSecVPN网关进行解 杂．而VPN技术在 Intemet联网的情况下却可方便安 密拆封装后 ．交给企业分支机构局域网私有 IP地址 全快速地进行部署 相反企业分支机构私有 IP地址 回复信息给企业总部 1 企业分支机构VPN接入技术 私有 IP也是一样过程 ．这样就实现异地局域网对局域 网的安全通信 企业分支机构远程访问企业信息资源 常采用 IPSecVPN技术 ．IPSecVPN是基于 IPSec(IntemetPro． 企业分支机构远程联网常采用的网络安全设备包 括防火墙、统一威胁管N(UTM)~I统一安全网关 (USG) tocolSecuritv)规范的VPN技术或网络的统称 。IPSec 等。统一安全网关(USG)在专用的安全操作系统上融 在 TCP／IP协议的核心网络层实现 ．可 以有效地保护各 合了防火墙 、VPN、防病毒网关、入侵防御系统 、防止拒 种上层协议 IPSec是一组协议套件 ．包括 AHf验证 头)，ESP(封装安全载荷)、IKEantemet密钥交换1、ISAKMP／ 绝服务攻击 、P2P／IM控制等功能，这些功能通过一体化 设计的架构．协同工作 ．满足用户全方位的安全防护需 Oaklev以及转码 AH协议是用来增加 IP数据包的安 全性 ．它提供无连接的完整性、数据源认证和抗重播保 求。 护服务 ESP协议的 目的和AH一样 。是用于提高 IP 2 统一安全网关 (USG)的VPN设计 的安全性 ，它提供数据保密 、数据源认证、无连接完整