神州数码防火墙 1800 16-VPN部署.pdf

VPN部署 讲解人：朱建英 2010、07 章节目标 • 通过完成此章节课程，您将可以： - 理解VPN 的概念 - 配置基于策略的VPN - 配置基于路由的VPN - 配置Secure Connect VPN 议程：VPN部署 VPN介绍 • 1800系统多核墙IPSec VPN配置 - 基于策略VPN配置 - 基于路由VPN配置 • 1800系统多核墙SSL VPN配置 - SecureConnect VPN 传统专线接入 • 传统专线接入 –跨区域、多站点 –为了安全传输敏感信息 –部署简单、无需加密 –成本太高 –不适合中小企业推广 Virtural Private Network • VPN （Virtural Private Network ） – 在公网上建立的虚拟私有网络 – 节约成本 – 简化了企业联网和广域网操作 – VPN 网络有很好的兼容性和可扩展性 – 企业可以利用VPN迅速开展新的服务和链接全球的设施 – 通过隧道协议 – 需要加密、完整性校验、用户认证等安全措施 VPN类型 • PPTP-(Point to Point Tunneling Protocol) • L2TP-(Layer 2 Tunneling Protocol) • IPSec-(Internet Protocol Security) • SSL-(Secure Socket Layer) VPN 的三要素 VPN通过以下三要素保证数据通过互联网安全传输 • 机密性（Confidenttiality ） – 保证数据在公网上的隐藏性和安全性 • 完整性（Integrity） – 保证数据没有被改变 • 认证性（Authentication ） – 数据的来源是否可靠 议程：VPN部署 • VPN介绍 1800系列多核墙IPSec VPN配置 - 基于策略VPN配置 - 基于路由VPN配置 • 1800系列多核墙SSL VPN配置 - SecureConnect VPN Site-to-Site • 按照VPN数据驱动类型分为： –基于策略的（Policy-based） –基于路由的（Policy-based） Server LAN Internet Site2 Site1 配置过程 • IKE VPN为自动协议方式，配置包括： –第一步，配置IKE VPN • 配置P1提议（可选） • 配置ISAKMP网关 • 配置P2提议（可选） • 配置隧道 –第二步A （基于策略）：配置VPN安全策略，策 略行为选择隧道或者来自隧道 –第二步B （基于路由）：绑定Tunnel接口，添加 通过Tunnel接口到对端访问的路由，根据Tunnel 接口绑定安全域配置普通流量策略 配置IKE VPN-P1提议 ※ 配置P1提议 WebUI ：VPNIPSec VPNP1提议 配置IKE VPN-对端网关 ※