安全网关大规模互联解决方案 - 开祥科技.doc

安全网关大规模互联解决方案 该方案特点： 采用基于“数字证书”的IKE认证方式，构建VPN网络。特别适合大规模的安全网关设备互联。 方案概述： 1、密钥管理体系 通常VPN网关在小规模应用时采用预共享密钥方式进行身份认证，即每一对相互通信的网关之间配置一个预共享密钥，但是随着VPN规模的不断扩大，接入方式不断变得复杂（客户端和网关并存），预共享方式的弊端也越来越明显，密钥个数随着网关和客户端个数的增加成指数级的增长，给管理和安全性都带来极大的不便和影响。因此在大规模应用的条件下，将VPN体系构建在PKI之上，采用证书认证是必然的趋势。 本公司安全网关和安全客户端均支持预共享密钥和证书两种密钥体系。对证书的支持完全符合X.509v2版本的标准，支持标准的第三方证书系统，此外本公司还具备整套企业级CA产品。在本方案中，网关和客户端结点大约有几千个，在这样大规模的应用下，建议采用证书认证的方式，在总部安装一套SureCA系统，为内外网的网关和客户端提供认证服务。 SureCA产品的介绍见“本公司产品介绍”。 整体解决方案 如上所述，本解决方案中分公司和总部整体网络结构示意图如下。在公司总部布署了SureCA Server。SureCA对安全网关和移动客户（SureID）发放VPN证书，安全网关之间、安全网关和安全客户端之间均采用“数字证书”进行IKE协商，并进行VPN通讯。不需要象“预共享密钥”方式下在网关内部配置大量的和对等网关或客户端通讯的预共享密钥。不仅解决了安全隐患问题，更加便于管理。 解决方案整体示意图 在上图中红色箭头即表示建立的安全隧道。 2