虚拟专用网技术(vpn,virtual private network)是指在公共网络
中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业
只需要租用本地的数据线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用vpn有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。而在internet上,vpn使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。
目前vpn主要采用四项技术来保证安全,这四项技术分别是隧道技术(tunneling)、加解密技术(encryption & decryption)、密钥管理技术(key management)、使用者与设备身份认证技术(authentication)。
方正fg 3000系列的虚拟专用网(vpn)中这几种技术都使用了,包括软件加密和硬件加密,例如:使用ipsec技术进行隧道通讯,使用3des技术等进行加解密,使用ike进行密钥管理,使用x.509进行身份认证等。
如果企业的内部人员有移动或远程办公的需要,或者商家要提供b2c的安全访问服务,就可以考虑使用远程访问虚拟网,方正fg 3000系列的远程访问模式使用ipsec技术进行隧道通讯,为远程访问用户提供了安全证书管理,用户在异地安装安全证书后,通过internet公众网可对公司内部网络进行访问。
对于在内部网中使用nat的用户,方正fg 3000系列还率先突破了vpn不能和nat同时使用的传统限制,支持nat模式下的vpn应用。
方正fg 3000系列防火墙对私有ip的vpn支持
随着adsl、城域网的发展,越来越多的用户通过这种方式接入到internet,但是adsl、城域网的ip 地址大多数为动态的,也就是说:利用adsl设备接入时,每一次接入时的ip 地址都不一样,在接入设备之后的防火墙必然要使用私网地址。这给vpn 建设提出了新的挑战,因为要建立vpn 的时候必须知道对方的ip 地址,而此时防火墙的地址是私有的。因此需要vpn 设备支持私有ip的vpn 隧道建立。
方正fg 3000系列防火墙支持一端为私有ip,另一端为固定ip 的vpn 自动组网方式。私有端通过加密的数据传输,把私有ip的信息通知固定端,固定端对此信息进行身份认证后,根据传来的信息自动调整vpn 隧道策略,重新与动态端完成vpn 的组建。对于用户来讲,根本不必关心私有ip 地址问题,整个过程不需要任何的人工参与,完全由防火墙自动完成,私有端在接入后,自动完成与固定端vpn 通道的建立。
