网络通信 频道

侠诺科技–QVM 1000技术突出说明

    自从1999年宽带标准的确立, 拉开全球宽带互联网的时代序幕。 如何接入互联网变成一种时尚, ㄧ个大家乐于参与的网络世界。宽带互联网刚开始时, 由于运营商的网络建设带宽有限, 能进行的网络活动与应用, 相对的有很大的限制。但随着网络建设的普及, 网络带宽更加便宜与普及, 所带来的网络应用也越来越多。所以新ㄧ代的宽带互联网不在只是着重在能够接入而已, 而是要具有网络服务质量的接入与接入后的网络安全。

    侠诺科技之 QVM 系列产品, 其 QVM 是 QoS VPN Management 的缩写, 涵盖新一代宽带互联网所需的二大元素, 网络服务质量 (QoS – Quality of Service) 与 网络安全技术。我们先就 QVM 1000 的先进的网络安全技术为各位作介绍。

    本产品是专为因应互联网真正成为企业及一般组织基础建设的新一代宽带接入产品,它的功能是专为一般中小型企业或组织建立VPN安全网络所设计。首先,由于一般企业或组织,不像大型机构有熟悉网络专业的网管,而往往是身兼数职的多功能网管,所以本产品将VPN的复杂技术的配置经过有系统的简化,以减轻企业在人员及维护方面的投入。但是,在简化的前提下,本产品又结合国际标准的SSL 及IPSec VPN,以自动化的程序,建立VPN 安全联机,达到真正安全的境界。再者,建立VPN联机的目的往往为支持企业的ERP、资材系统、财务系统或重要应用,不能受到联机不稳或断线影响,所以本产品内建市场上唯一的VPN备援机制,可于总部或分支机构断线时,重新建立另外一条VPN联机,保护企业系统的运作并降低停线时间。对于QVM1000产品,由于发现许多网管在判别各外点联机时,需时常一一登入各外点路由器,耗费时间又没有效率,因此该产品中具有市场上唯一的中央控管功能。以下分别介绍以上功能的技术运作及特点:

    1.通过全球知名的VPN 认证机构 – VPNC 的严格认证

    VPNC是由VPN市场相关产品制造商组成的一个国际性组织。这个协会成立于1999年,旨在帮助协会成员厂商进行产品推展,促进成员厂商产品之间的互操作性与兼容性,并为全球各地的VPN产品制造商和服务商提供交流协作的相关机制。 目前已经获得VPNC认证的公司均为国际知名大厂,例如Cisco、Nokia、Juniper公司等。

    目前侠诺科技为VPNC认证的会员之ㄧ,这意味着侠诺科技的VPN路由器产品具有高质量与高安全性的保证。 嵌入式市场预测研究机构Embedded Market Forecasters的副总裁Jerry Krasner博士指出︰“由于VPN市场迅速变化,相关技术应用越来越普遍,对于网络基础设备市场来说,在多个层次上实现安全机制是极为关键的。如果没有一个真正的安全环境,特别是在IP相关层次上的安全性如果得不到保证,整个项目的最终效果将会大打折扣。”
    因此,透过VPNC认证之后,侠诺科技便可以进一步证明,Qno的VPN路由器产品在安全性上已经通过了全球最严苛的验证。

    2.隐藏最复杂的VPN安全技术 提供终端使用者最简单的配置: IPSec 是目前公认的最安全的网络安全机制, 但也是最复杂的网络安全机制。MicroSoft Windows XP & 2000 都具有 IPSec 的基本功能, 但我们很少听到有使用者可以轻松的透过 Windows 使用者接口建立起安全的网络联机通道。 所以当侠诺科技通过最严格的 VPNC 认证之后, 接下来研发团队挑战的目标是如何将如此最复杂的网络安全技术与配置深藏于设备之中, 而形于外的使用者配置, 需要做到最精简, 所以需化千万招式于一招, 让终端使用者能在几秒钟之内完全无误的配置成功, 这是ㄧ个非常大的挑战。 本产品将复杂的IPSec VPN配置的近三十个参数设定,简化为3-4个参数即可完成的SmartLink VPN配置。

    Qno侠诺科技提供的SmartLink配置,实际上就是国际标准的IPSec VPN协议,加上由Qno侠诺开发的自动设定机置组合而成。这样的作法,可以确保VPN联机的安全性得到国际级的保护,另一方面又能以极简化的程序完成VPN设定。一般的用户,没有太多的网络知识,也能轻易完成VPN配置。IPSec标准为国际公认最安全的VPN标准,一般的认识是即使使用最强大的超级计算机来运算IPSec加密的数据,也需要十年才能算的出来。但是IPSec的配置内容繁复,网管需要具备清楚的VPN知识,才能进行相关的配置。这个特性,无疑地影响一般企业建立VPN的意愿。我们看到很多企业评估建立VPN已多年,但仍未建立,就是因为配置太困难,将大幅增加建置及维护的投入。

    以下为一般的IPSec配置参数:
    中心服务器端:分为三个部份Local Group Setup, Remote Group Setup,及IPSec Group Setup,
    其具体内容分别为:Local Security Gateway Type, Remote Security Gateway Type, Key Management

    外点分支端:分为二个部份Remote Group Setup,及IPSec Group Setup,其具体内容分别为:Remote Security, Gateway Type, Key Management

    为了因应一般企业网管的能力,及降低VPN建置及维运的成本,所以QVM1000及QVM330能以简化的SmartLink配置,只要填入简单的参数,路由器就可自动完成VPN建置。中心服务器端SmartLink配置只需填入用户名称、密码、IP地址、子网掩码,并为各点配置用户名及密码即可,而外点分支端只需填入用户名称、密码、及服务器端IP地址即可。这样的配置,用户只要会进行MSN或QQ软件的配置,即可轻易上手,可大幅减轻企业管理VPN的投入。也只有简化的管理,才能让VPN普及,深入一般的企业及组织。

    3.市场上唯一VPN 联机备援功能,断线可自动重建:VPN网络虽然有各种协议的加密保护,但是如果一旦遇到维修、线路中断而产生的网络中断,VPN往往随之中断,影响企业运作甚大。QVM1000及QVM330提供市场上唯一的VPN备援功能,让VPN安全性更高。

    QVM1000及QVM330经由SmartLink建立VPN联机时,当遇上VPN因线路中断而VPN断线时,QVM330可自动判断原因,采取不同手段,以重建VPN联机。以下为VPN备援功能的运作流程及技术内容:

    首先,当中断事件发生时,QVM会侦测WAN端联机是否仍在。如果WAN端联机仍在,表示可能是中心服务器端的问题;若是WAN端联机不在,可能是该条线路的问题。
    若WAN端联机仍在,QVM330即会从预设的服务器备份IP及WAN端口,从中心服务器的另一个WAN端口重新建立VPN。
    若是WAN端联机不在,代表可能在QVM330端的线路有问题,QVM330即可从另一个WAN端口拨出到中心服务器的同一个WAN端口重新建立VPN。
QVM330的WAN2可以申请拨接式的ADSL,有联机才需付费。也可申请和WAN1不同ISP的线路,以防止因为ISP机房问题,而产生的大规模断网影响。

    4.安全及自动化的VPN配置过程:简化的配置,如果没有严密的保护,等于将VPN建立在松动的地基上。SmartLink配置虽然极为简易,但是其过程却结合SSL VPN及IPSec VPN技术,确保VPN的安全性。QVM1000与330在使用SmartLink配置VPN时,同时使用SSL VPN及IPSec VPN加密机制,以确保联机的可靠性。

    以下说明操作机制及使用的技术内容:

    首先,当用户将用户名称, 密码及Sever IP输入便完成VPN的设定。此时QVM330可手动或自动向QVM1000作出联机的要求。
    为了要建立VPN联机,双方必须交换联机所需的参数。但由于参数透过一般的HTTP协议传送,很容易在网络上被截取,保密性不高。因此QVM330在入出联机要求时,会先和QVM1000以SSL机制,建立联机,所有要交换的参数,都会在SSL加密机制保密下传送。
    接下来,传统IPSec要填写的Local Group及Remote Group配置,都会由路由器间自动读出进行交换,省去人工填写的功夫及错误。另外即使是动态IP也能依该时IP,自动交换。而IPSec Group相关配置则会由特别算法,以使用者名及密码,动态算出并实时填入对应的位置,以建立真正的IPSec VPN联机。
    最后,当IPSec VPN联机完成后,即将之前建立的SSL VPN中断,双方改以IPSec VPN联机,并为路由器后计算机提供服务。
    由以上说明,我们可发现SmartLink配置虽然简易,但其中却包含了不同的技术,可保证VPN联机的安全。Qno侠诺认为唯有透过复杂技术简单化的方式,才能将VPN普及,不致因为迁就用户的网络知识不足,而在安全性方面有所缺陷。

    5.独特的中央监控功能:Qno侠诺经由与网管接触的经验发现,网管最困扰的事为每天上班时,都必须一一登入外点路由器,观看工作情况。因此,QVM1000设计了特有的中央监控功能,网管可于一个画面,看到所有外点的联机情况,并可直接登入各外点路由器,节省管理时间。本功能的好处在于可协助公司有效地简化网管人员的配置、管理网络,并且节省了公司营运及网络维护的成本费用。然而相较于其它品牌的产品,亦仍兼顾网络的稳定性、安全性与扩展性。

0
相关文章