SecPath系列安全网关之——SecPoint打造安全VPN

• 关 键 词：
• ipsec
• ip地址

1.概述

    Huawei-3Com SecPoint（以下简称SecPoint）是华为3Com公司自行设计开发的应用在PC上的VPN客户端软件。通过安装本软件，可以使PC机能够通过多种方式与我司的网络设备（如路由器及Secpath系列网关设备等）进行VPN互联，并最终实现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的。

典型组网如下所示：

2.SecPoint的产品特点

1）操作方便

一个成熟的VPN客户端软件，首先必须操作简单，界面友好。SecPoint软件采用流行的软件风格，使用起来极为方便。具备简单的PC操作技能的人，就可以完成软件配置，登录并访问VPN资源。

SecPoint软件配置方便，灵活，支持多个配置，并且支持配置文件的导入。配置文件的导入能够极大的减轻维护工作量。系统管理员配置VPN网关的时候，为了实现较高的安全性，需要配置复杂的安全策略。相应的，为了能够访问VPN，每个访问此VPN的人员都需要对客户端软件进行相应的配置。而SecPoint软件无需如此麻烦，只需系统管理员配置一次SecPoint软件，然后将配置文件分发给相应人员。需要访问VPN的时候，只需要输入个人专用用户名和密码，就可以轻松访问VPN资源。

2）安全保密

SecPoint软件具有高保密性，高安全性。

首先，SecPoint软件支持使用PPP，L2TP协议和公司本部建立VPN隧道，在链路层建立隧道，更安全。同时，SecPoint软件可以通过PPP协商向VPN申请IP地址。由于此IP地址的分配是由VPN隧道对端分配的，其保密性更高，被攻击的可能性也更小。

第二，SecPoint软件支持IPSEC/IKE加密。IPSec为IP协议栈提供在IP层实施的一系列安全服务,为IP及其上层提供保护。SecPoint软件通过支持IPSec提供数据加密，数据完整性验证，数据身份验证，以及防重放功能。SecPoint软件支持IPSEC隧道模式和传输模式，从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密；此外，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。为了更加安全，鼓励用户都使用隧道模式。

第三、SecPoint软件和RSA SecuID动态密钥配合使用，可以更安全的验证用户的身份。VPN隧道的一个重要目的是为了保护资源不被泄漏。为了实现这个目的，VPN隧道的两端不惜使用对性能有较大影响的IPSEC协议进行加密，防止报文数据被窃听，被修改。这样做在大部分情况下是可以的，但在对于安全性要求更高的应用上，就需要引入RSA SecuID动态密钥。

RSA SecuID动态密钥的特点是每分钟更换一次密码，并且此密码和VPN隧道的网关侧设备的密码能够保持一致。当用户需要使用SecPoint软件和网关侧设备建立VPN隧道时，在验证码一栏输入RSA SecuID动态密钥，SecPoint软件和对端网关侧设备将就此密码进行协商，可以防止非授权用户使用此VPN网络，为VPN隧道的安全又增加了一道屏障。附图为SecPoint软件的登录对话框，其中验证码一栏即输入RSA SecuID动态密钥所在。

SecPoint软件支持与网关侧设备的握手机制。当VPN隧道建立之后，SecPoint软件会根据用户配置，定时向网关侧设备发送握手。如果一定时间收不到握手，网关侧设备认为对端已经离线，自动将状态设置为断开。如果用户需要再使用VPN隧道资源，需要重新认证。握手机制能够增加安全性，防止身份冒充。

3）支持广泛

SecPoint软件支持主流的个人计算机操作系统，对于Windows98/2000/XP，SecPoint软件都能够提供很好的支持。

SecPoint软件支持局域网用户，同时也支持拨号用户。相对于局域网用户，特别的，SecPoint软件能够让拨号用户使用IPSEC/IKE加密。为保证数据安全，建立VPN隧道时使用IKE协商为IPSEC提供密钥供IPSEC加密使用。但是在一般使用IKE协商时，要求两端设备配置对端IP地址信息。但是，由于使用VPN`客户端软件的用户经常处于拨号上网的状态，而每次上网时其IP地址是不固定的，如果要求VPN隧道的网关侧设备每次都修改对端IP地址，其维护量就可想而知了。SecPoint软件通过支持IKE的Aggressive模式（野蛮模式）成功地解决这个问题，在这种模式下，IKE协商时允许协商的两端不使用IP地址信息，而代之以使用双方的name。这样当拨号用户使用动态IP地址，只要正确的配置对端name，而网关侧设备也接受次name，就可以进行IKE协商。从而实现IPSEC加密。注意：网关侧设备也需要支持IKE协商Aggressive模式。

SecPoint软件支持对VPN隧道对端多个网段的访问。在实际应用中，VPN隧道对端即公司本部组网中包含很多网段，例如，公司所有的服务器的IP为172.20.*.*，研发部门的IP为10.153.*.*，财务部门的IP为10.150.*.*。当用户通过SecPoint软件和网关建立VPN隧道之后，通过协议从公司本部分配了一个IP地址10.151.*.*，掩码为255.255.255.0。如果用户需要访问公司的内部DNS服务器，IP为172.20.1.120，由于用户计算机上没有针对DNS服务器的路由，所以用户无法访问DNS服务器。而SecPoint软件成功地解决了这个问题，只需要用户在使用登录之前，将公司本部需要访问的网段配置近来即可。配置的界面如下图：

SecPoint软件建立VPN隧道之后不影响用户原有的网络功能。使用SecPoint软件必须是在internet网络上，能够正常的访问internet资源。当建立VPN隧道之后，用户可以继续访问internet资源，而不会因为建立隧道之后，丧失原有的功能。如图所示，用户在访问VPN隧道内部资源的同时，可以访问internet资源。

SecPoint软件支持NAT穿越。在使用IPSEC加密的VPN隧道，用户数据包不能被篡改。包括从IP地址，IP数据头，协议端口号，VPN隧道两端都有加密和防篡改, 否则对端接收后不能正确解密。但是，很多时候使用SecPoint软件的时候其所在位于NAT设备之后，通过NAT地址转换进入Internet。NAT的基本原理在与修改报文的IP地址和端口信息，这样，一旦报文经过NAT设备，VPN隧道两端就不可能建立IPSEC隧道连接。SecPoint软件成功地记解决了此问题。软件通过在IPSEC报文前增加一层UDP报文头的方式，使NAT设备不需要修改报文内容，从而解决了IPSEC支持NAT穿越的问题，NAT设备只修改封装的UDP头，但是没有影响IPSEC数据报文的内容，即使经过NAT转换，仍然可以正常建立IPSEC隧道连接。在使用SecPoint软件的NAT穿越功能时，需要网管侧设备也支持NAT穿越。

SecPoint软件支持备份LNS服务器。当主LNS服务器因故障不能使用，SecPoint软件自动向备份LNS服务器发起协商。这样降低故障对于整体网络资源的影响。使用备份LNS功能，只需要用户在配置LNS服务器IP时，指定备份LNS服务器的IP，如图：

随着科技的进步，软件的发展，SecPoint软件将配合网关设备为用户提供方便，安全的VPN隧道，让用户随时随地都能够访问VPN资源。