安全網(wǎng)關(guān)大規(guī)模互聯(lián)解決方案

1、1安全網(wǎng)關(guān)大規(guī)模互聯(lián)解決方案安全網(wǎng)關(guān)大規(guī)?；ヂ?lián)解決方案該方案特點：該方案特點：采用基于“數(shù)字證書”的IKE認證方式，構(gòu)建VPN網(wǎng)絡(luò)。特別適合大規(guī)模的安全網(wǎng)關(guān)設(shè)備互聯(lián)。方案概述：方案概述：1、密鑰管理體系通常VPN網(wǎng)關(guān)在小規(guī)模應(yīng)用時采用預(yù)共享密鑰方式進行身份認證，即每一對相互通信的網(wǎng)關(guān)之間配置一個預(yù)共享密鑰，但是隨著VPN規(guī)模的不斷擴大，接入方式不斷變得復(fù)雜（客戶端和網(wǎng)關(guān)并存），預(yù)共享方式的弊端也越來越明顯，密鑰個數(shù)隨著網(wǎng)關(guān)和客戶端個數(shù)的

2、增加成指數(shù)級的增長，給管理和安全性都帶來極大的不便和影響。因此在大規(guī)模應(yīng)用的條件下，將VPN體系構(gòu)建在PKI之上，采用證書認證是必然的趨勢。本公司安全網(wǎng)關(guān)和安全客戶端均支持預(yù)共享密鑰和證書兩種密鑰體系。對證書的支持完全符合X.509v2版本的標準，支持標準的第三方證書系統(tǒng)，此外本公司還具備整套企業(yè)級CA產(chǎn)品。在本方案中，網(wǎng)關(guān)和客戶端結(jié)點大約有幾千個，在這樣大規(guī)模的應(yīng)用下，建議采用證書認證的方式，在總部安裝一套SureCA系統(tǒng)，為內(nèi)外網(wǎng)的

3、網(wǎng)關(guān)和客戶端提供認證服務(wù)。SureCA產(chǎn)品的介紹見“本公司產(chǎn)品介紹”。2、整體解決方案如上所述，本解決方案中分公司和總部整體網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下。在公司總部布署了SureCAServer。SureCA對安全網(wǎng)關(guān)和移動客戶（SureID）發(fā)放VPN證書，安全網(wǎng)關(guān)之間、安全網(wǎng)關(guān)和安全客戶端之間均采用“數(shù)字證書”進行IKE協(xié)商，并進行VPN通訊。不需要象“預(yù)共享密鑰”方式下在網(wǎng)關(guān)內(nèi)部配置大量的和對等網(wǎng)關(guān)或客戶端通訊的預(yù)共享密鑰。不僅解決了安全隱