Quidway 系列路由器的安全解决方案

Quidway 系列路由器提供了各种有效的安全解决方案，以适应事业单位不同层次的应用需求，其中包括：

*Intranet 回呼与备份；

*安全Internet 接入需求：实现本单位的信息发布与网上信息的获取；

*安全Intranet 互联需求：在DDN专线上实现数据安全性保护；

*安全VPN构建需求：一方面利用Internet 构建本单位的私有网络，另一方面还可保证数据在公用网络上的安全。

*高级的电子商务需求：实现企事业单位的网上在线服务，以及资金等信息流的交互。

Internet 回呼与备份
针对企事业内部的Intranet ，实现回呼与备份功能：

*通过DDN专线，总部与分支机构1实现Intranet 互联；

*同时，总部与分支机构1通过ISDN实现备份功能；

*总部与分支机构2通过ISDN实现ISDN主叫号码的识别回呼；

*总部的入口路由器既具备备份中心的功能为分支机构的互联备份，又作为CallBack Server与分支机构2实现回呼

Internet 安全接入方案
针对企事业接入Internet 的应用，Quidway 系列路由器主要通过包过滤与地址转换功能，提供如下的安全措施：

*基于接口的包过滤，并可以在进、出方向上分别设置；

*可以为特殊的时间段定义特殊的包过滤规则，实现与时间相关的访问要求；

*内部网络的用户可以通过地址转换访问Internet，内部地址对外屏蔽；

*外部不能直接访问内部网络

*可以通过地址转换向外提供WWW、FTP等服务，避免内部服务器直接受到攻击；

*日志主机可以记录网络运行情况，便于用户的安全分析和管理。

安全Intranet互联方案
针对企事业单位在各地的分机构，Quidway系列路由器提供了构建安全Intranet的互联方案。通过DDN专线互联是各分支机构传统的Intranet方案。但是随着企业的发展，分支机构遍布各地，各局域网间远程数据传输的安全问题日益受到关注。而Quidway系列路由器的IPSec 提供了数据的保护功能，利用这一点，可以在分支机构的远程互联中保证数据的私有性、完整性与真实性，实现安全Intranet。同样地，还可以进一步应用包过滤、地址转换等功能，实现各局域网的内部安全，这一点对于银行等机构来说具有重要的意义，比如说，银行总行只在特定的时间段内与分行进行结算，这通过时间段内与分行进行结算，这通过时间段包过滤就可以实现。

安全VPN解决方案
通过DDN专线互联分支机构价格昂贵，难以满足大型企事业单位的需求，并且满足不了出差员工访问内部网络的需求。Quidway系列路由器支持GRE、L2TP等隧道技术，利用公用网建立VPN可以弥补上述不足。但是，从技术角度讲，这些隧道协议不能提供相应的数据安全保障，主要原因在于它们不提供加密保护。如 L2TP，在通道协商时可以采用MD5等验证算法，但传输数据时并不对数据进行加密和验证，数据容易被窃听。如果进一步与IPSec相配合，则可以对数据进行加密，实现安全VPN。当然，IPSec也可以独立实现安全VPN。

Quidway系列路由器的安全实现如下：

*出差员工可以通过当地的Internet 接入到公司总部；

*办事处及分支机构通过GRE或IPSec实现与总部间的互联，数据采用加密传输；

*通过地址转换，在分支机构互联的同时，还可以互联Internet。

电子商务解决方案
Quidway系列路由器在电子商务应用中起着重要作用。

电子商务的参与各方包括：企业、银行、CA中心、供应商、客户等。因各方通过Internet等不安全的公用网络进行交易，所以电子商务的应用应强调身份的认证和安全电子支付。这要求参与各方都实现安全连接。交换敏感数据。其特点如下：

*支持CA中心，并能够与CA中心交互，实现身份认证；

*可通过参与各方的出口路由器建立VPN隧道并应用加密技术实现安全VPN，从而实现安全电子支付；

*对于典型的B-C电子商务，客户基本上是通过PSTN/ISDN等网络接入，这时可以结合接入服务器，在接入服务器与路由器之间建立安全的VPN隧道；

易于扩展，根据需要可实现多方电子商务。

　

结语：

Quidway系列路由器系列基本实现了各种先进的安全技术，包括AAA、包过滤、地址转换、VPN 、IPSec与IKE，提供了全面的安全功能。能够满足构建VPN、电子商务等多种应用情况的组网需求。

另外，Quidway正在实现对智能防火墙、CA中心，策略分析与管理等新一代安全技术的支持。在安全方面，Quidway系列路由器将会越来越具有自己的特色，也将为用户提供越来越实用而安全的服务。