天津网通 IPsec VPN交流.ppt

天津网通 VPN 技术及应用 交流 邵猛 产品部 合勤科技股份有限公司 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 什么是VPN? VPN --- Virtual Private Network 虚拟私有网络 VPN是企业网在因特网等公共网络上的延伸 VPN通过一个私有通道创建一个安全的专用连接，将远程用户、分支机构和公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网 提供高性能、低价位的因特网接入 什么是 VPN? 隧道的优点 端到端数据通路的典型构成 VPN应用 公司对公司 移动用户 SOHO用户 地址类型 Single: 只有一台主机可使用 VPN 地址类型 地址类型 (续) IPSec (续) 两种操作模式 传输模式 隧道模式 IPSec协议 互联网协议安全 - IPSec IPSec (续) IPSec的优点 机密性 完整性 源发性 防重放 密匙交换 IKE 阶段1 策略组协商 加密算法 验证方法 Diffie-Hellman组 狄菲海尔曼交换密匙（材料） 验证密匙 阶段2 IPSec SA 安全协议 (ESP/AH) 加密算法 认证方法 启用PFS，进行狄菲密匙交换 模式 (传输/隧道) 策略 本地和远端网络 安全关联 - SA 安全合约 数据是如何被保护的 互换安全参数 SA 拆除 SA 超过使用期限 Seconds/Bytes SA 超过流量限制 100M 自动拆除SA Connection Idle Time Out () Tunnel Disconnect Request Re-keying VPN技术解决方案 基于第三层的VPN解决方案 —IPSec 基于应用层的VPN解决方案 —SOCKS/SSL SSL VPN: 是什么? 为什么? 与客户端无关的远程接入访问 不需要预先安装客户端软件 不需要终端用户预先配置 利用标准的网页浏览器 “应用程序/用户”感应特性 精密的访问权限颗粒度, 可以针对特定的程序或用户管理 依靠终端安全检测功能，强制执行公司统一的安全策略 简化布署复杂度 动态下载代理 不受防火墙或NAT问题所困扰 布署1: NAT 网关 + SSL-VPN 如果客户没有任何的防火墙或NAT等防护设备 ZyWALL SSL 10 提供 NAT+SPI 防火墙保护 布署2: 在网关DMZ区 如果客户已经布署了ZyWALL或其他防火墙设备 SSL VPN vs. IPSec VPN 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 VPN典型应用 VPN典型用户需求 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 ZyWALL SSL 10 概要 价位适中, 简单易用, 面向少于50用户的小型公司, 用于实现安全的远程接入访问 并发用户 10 (默认) 25 (未来升级版) 以太网接口: 1个WAN端口 4个LAN端口 产品介绍 ZyWALL UTM八大功能 UTM合作厂商 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 天津汽车模具厂 天津建委财务集中申报系统 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 障碍排查 1、检查所使用计算机的IP地址，网关是否唯一 （唯一：下一步；不唯一：去掉或修改与VPN冲突的IP地址） 2、确认本地设备可以连接Internet （可以连接：下一步；不能连接：修改设备的Internet连接参数） 3、确认能否连接远端设备的广域网接口 （可以：下一步；不可以：检查对端设备的Internet和Firewall设置） 4、确认能否连接远端设备的局域网接口 （可以：第7步；不可以：下一步） 5、在本端设备的管理界面中检查SA是否建立 （建立：第7步；没有建立：下一步） 6、查看设备的Log中关于IKE的记录是否正常 （正常：第７步；不正常：检查双方的VPN设置的匹配性） 7、确认远端目标主机的IP和网关配置以及确定没有使用防火墙等安全工具进行通信限制 SA监控  Phase2 Log 提纲 VPN技术简介 VPN应用及典型方案 ZyXEL产品介绍 合作案例 障碍排查 总结 VPN应用总结 有分支机构的企事业需要VPN组网 有移动出差的笔记本电脑用户需要VPN组网 已经有或正在做 OA/ERP 等系统的用户需要VPN组网 VPN网络是基础网络，不分行业 VPN是现