Fortinet安全解决方案VPN研讨.docxVIP

Fortinet公司 PAGE 15 Fortinet VPN解决方案 概述 Internet应用中，不可避免的要通过公用网络来传输信息，其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络，黑客很容易通过在网络设备上安装网络嗅包器(如Sniffer、NIDS等)中途窃取信息，造成泄密；黑客也可以伪装成内部用户登录到内网中进行破坏活动，因此我们需要在网络上配置一整套VPN体系，对通过Internet进行的远程访问进行严格的认证和加密，使Internet上的VPN成为经过加密和认证的安全链路，保证各节点之间远程访问的安全。 采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证内部信息在Internet上传输时的机密性和完整性，同时对Internet上传输的数据进行认证。 单独的VPN网关的主要功能是数据包的加密/解密处理和身份认证，没有很强的访问控制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。 FortiGate 的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows等系统自带的PPTP/L2TP拨号软件， 也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。 由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。 内容处理器以独特的设计方式， 解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，AES，MD5，SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。 IPSec VPN解决方案 企业Intranet网络建设的VPN连接方案， 利用IPSec安全协议的VPN和加密能力，实现两个或多个企业之间跨越Internet的企业内部网络连接，实现了安全的企业内部的数据通信。通过网关内部策略控制体系对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管理性。 如下图所示，IPSec VPN的部署都是成对进行的，既可以在设备与设备之间(例如总部的FortiGate与分支机构、合作伙伴、SOHO办公等节点的FortiGate)建立IPSec VPN隧道，又可以在设备与客户端软件(例如总部的FortiGate与移动办公用户PC上安装的FortiClient VPN客户端软件)间建立。 通过在广域网的各个节点上安装部署IPSec VPN设备或软件，并进行适当设置，便可建立全网的IPSec VPN隧道，使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet的数据传输均经过IPSec VPN的加密及认证保护，黑客无法在途中窃取、篡改或破坏数据。上图中总部与分支机构A、移动办公用户之间的IPSec VPN隧道用红色虚线表示，实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSec VPN通信。 FortiGate IPSec VPN有如下常见场景： LAN-LAN VPN LAN-LAN VPN是两个局域网之间的VPN，在两个局域网的Internet出口