PIX Firewall使用手册(10)

　　什么是VPN？（What is a VPN?）

　　借助VPN，您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起。与基于传统广域网的帧中继或拨号连接相比，VPN不但能降低成本，提高可靠性，还能简化管理。VPN的安全性和管理政策与专用网络相同。借助VPN，客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问企业的计算资源。

　　IPSec是一种标准，它规定了建立VPN的独立于厂商方法。作为安全功能的一部分，PIX Firewall提供基于IPSec标准的VPN功能。借助IPSec，当数据在公共网上传输时，用户无需担心数据会被查看、篡改或欺诈。

　　站点到站点VPN和远程接入VPN是VPN的两个类型，PIX Firewall同时支持这两种VPN。

　　IPSec

　　借助IPSec，用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作，能保护和鉴别所涉及的IPSec设备（对等物）之间的IP包，例如PIX Firewall单元。

　　IPSec提供的网络安全服务如下：

　　数据保密性——在通过网络传输之前，IPSec发送者可以对包进行加密；

　　数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别，以保证数据在传输过程中未被篡改；

　　数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源，这种服务与数据完整性服务相关；

　　反重播——IPSec接收者可以删除和拒绝重播的包。

　　注意数据认证主要是指数据完整性和数据来源鉴别。在本章中，如果没有其它规定，它还包括反重播服务。

　　IPSec提供了两台对等设备之间的安全通道，例如两个PIX Firewall单元之间的安全通道。用户可以自己确定哪些包属于敏感信息，应该通过这些安全通道发送。通过确定这些通道的特性，用户还可以确定应该使用哪些参数保护这些敏感包。当IPSec对等设备看到敏感包时，它将建立相应的安全通道，并通过通道将包发送给远程用户。用于传输信息的安全通道基于加密密钥以及安全协会（SA）规定的其它安全参数。

　　互联网密钥交换（互联网 Key Exchange ，IKE）

　　IPSec自动建立安全通道的过程分为两个阶段：

　　第一阶段：这个阶段通过互联网密钥交换（IKE）协议实施，能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA，以便实际传输应用数据。