企业Internet网络建设的VPN连接方案利用IPsec安全协议的VPN和加密能力,实现两个或多个企业之间跨越Internet的企业内部网络连接,实现了安全的企业内部的数据通信。通过 FortiGate内部策略控制体系对VPN的数据可以进行有效的控制和管理,使企业的内部网络通信具有良好的扩展性和管理性。
原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使企业的内部数据可以无忧地在公网上传输,以达到企业内部网络安全扩展的目的。
企业移动办公VPN应用
对于移动的办公室、出差用户、及采用ADSL上网的分支办公室, FortiGate都提供了完善的解决方案。特别支持PPTP/L2TP/IPsec多种协议体系,对于用户来讲,配置和使用都非常方便。
分支办公室动态地址方式、移动办公用户、出差用户和总部中心的VPN连接解决方案,如下图示:
NAT情况下的VPN应用
FortiGate 同时还设计了一项简单易用的 VPN Passing-Through 功能,称为VPN透明通过技术。应用方式是FortiGate 在NAT情况下保证远程VPN管理数据的正常应用。 在很多的企业里,需要对分支企业或分部进行统一的远程安全管理。为了保证管理数据的安全和私密性,利用远程VPN管理是理想的方式。
但如果管理中心主机是通过NAT转换后建立VPN的话,PPTP、IPsec协议不能成功建立。FortiGate产品如果作为企业的NAT设备,则能透明地转发PPTP/IPsec VPN数据包,保证企业远程管理的正常应用。
在FortiGate的VPN设计中,可以支持双向的NAT处理,使远程办公室的主机以本地IP地址的方式出现,增强了网络兼容性。VPN的策略控制设计,使管理员可以灵活控制使用VPN通道的IP地址、服务、时间等参数,增强了VPN安全控制。在即将推出的新版本中,支持NAT Traversal技术,在前面的特点中,介绍了FortiGate作为NAT设备可以透明通过VPN的连接,解决方式是在NAT设备的特性上,新的解决方案将利用FortiGate产品新的VPN特性,在两个 FortiGate设备建立VPN的时候,中间任何的NAT转换的发生都不会影响FortiGate VPN的建立,完全解决了NAT情况下的VPN连接问题,对VPN设备的应用具有深远的影响。
作为新一代的安全网关设备,FortiGate 以其独特的硬件体系设计和贴近未来应用的设计理念将领导安全市场的新变革。(