apngw产品技术白皮书

apngw产品技术白皮书内容摘要：

用 IPv4 保留的私有地址对主机进行地址分配，同时在 NAT 网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法 IP 地址（通常为 NAT 网关的外网口地址）。 目前 NAT 技术以其简单实用的特点在国内得到了非常广泛的应用，比如：企业局域网通过代理或防火墙共享上网，小区和智能大厦提供的宽带接入，宽带城域网接入业务等等；而且在很多地方用户访问因特网的数据往往通过了多层 NAT 网关的转换。 在多数情况下 NAT 的处理对用户使用是完全透明的，但是当希望使用 IPSec技术组建VPN 网络时， NAT 却带来了很大的麻烦。 由于 NAT 处理过程是需要修改 IP 数据报文的 IP头数据、传输层报文头数据甚至传输数据的内容（如 FTP 应用），而在 IPSec 协议中是对整个 IP 报文数 据进行了加密和完整性认证处理的，所以一旦经过 IPSec 处理的 IP 包穿过NAT 网关时，包内容被网关所改动，改数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是非法数据而被丢弃。 这就是组建 VPN 网关最常见的 “IPSec与 NAT 协调工作 ”的问题。 为了解决这个问题 IETF 专门为 IPSec 制定的 “NAT 穿越（ NATT） ”的协议草案，目前该草案的最新版本为 ，是 2020 年刚刚提出的。 协议中解决 NAT 穿越问题的基本思路是在 IPSec 封装好的数据包外再进行一次 UDP 的数据封装，这样当此数据包穿 过 NAT 网关时，被修改的只是最外层的 IP/UDP 数据，而对其内部真正的 IPSec 数据没有进行改动；在目的主机处再把外层的 IP/UDP 封装去掉，就可以获得完整的 IPSec 数据包。 由于 NATT 协议标准制定的时间还比较短，而且还没有最终形成 RFC的标准，所以目前国内 VPN厂商真正支持这个标准的产品几乎没有，国外的 VPN 厂商也只有象 NetScreen这样的大型的 VPN 设备供应商才支持 NATT 标准。 华盾 VPN 的全系列产品（从网关到移动客户端软件）都支持最新的 NATT 标准。 由于 NAT 技术在国内的广泛应用，所以用户在选 用 VPN 设备时应该将这一功能作为一个重要的考核指标。 第二章 APN GW 产品 介绍 APN GW是新一代的 VPN。 它最大的特点是形成网状连接、费用低，稳定可靠，无需专线，无需固定 IP 地址。 可以支持多种上网方式，如拨号、宽带、 ISDN、 ADSL。  产品特征  APN GW 是解决网络安全传输的最高效，最节省的组网技术。  APN GW 能使用动态 IP 接入 Inter 的 LAN 之间进行互联。  APN GW 能形成网状的网络连接，通讯无中心瓶颈，构建高效的即时通讯平台；  以最低成本接入， 最低通讯成本提供高性能高可靠性的企业专网的计算机网络技术。  APN GW支持 ADSL ISDN DDN Dialup方式，静态 /动态 IP 接入。 在相同的通讯带宽下，节省 80%通讯费用。  APN GW 能使普通企事业也能通过 Inter 组建自己的企业专网。 使企业所有于局域网上应用的网络应用以最低的成本应用至 Inter 所及的范围。  技术要点  协议： TCP/IP  基于 IPSec 国际标准  完善的路由功能  完善的宽带代理服务器。 NAT/PAT 地址转换技术保护内部网络。  DHCP 服务器  DNS 服务器  设 备是一个高性能的防火墙  内置 PPPoE  Tel or VT100 终端控制端口命令行  硬件接口  Console 接口：系统配置及系统监测，通过 RS232 (9600, 8N1)进行通讯  局域网接口： Ether Interface, 10/100BASET  广域网接口： Ether Interface 10/100BASET) / PPPoE 通讯口接口 ( 用于接 ADSL Cable Modem)  广域网接口： RS232, 外置 Dialup Modem / ISDN TA  Flash 扩展槽（ RSA硬件密钥接口）、硬件加密卡接口（部分型号）  物理规范  输入电压： 110V~230V  功率：最大约 40W (GW1000/2020) GW200 小于 2W  使用环境温度： 0~45 ℃  使用环境湿度： 5~95%  加密算法 数据传输可自由选择  AES/128 位加密算法  3DES/168 位加密算法  SERPENT/128 位加密算法  BLOWFISH/128 位加密算法  TWOFISH/128 位加密算法  国家密码委员会指定的硬件加密卡 、加密器 或第三方算法 保证数据完整可自由选择  MD596  SHA196  SHA2256  SHA2512 身份认证支持  RSA 2048  Preshare Key  符合标准  RFC2401 Security Architecture for the Inter Protocol  RFC2411 IP Security Document Roadmap  RFC2402 IP Authentication Header  RFC2406 IP Encapsulating Security Payload (ESP)  RFC2367 PF_KEY Key Management API, Version 2  RFC2407 The Inter IP Security Domain of Interpretation for ISAKMP  RFC2408 Inter Security Association and Key Management Protocol (ISAKMP)  RFC2409 The Inter Key Exchange (IKE)  RFC2412 The OAKLEY Key Determination Protocol  RFC2528 Inter Public Key Infrastructure  RFC2085 HMACMD5 IP Authentication with Replay Prevention  RFC2104 HMAC: KeyedHashing for Message Authentication  RFC2202 Test Cases for HMACMD5 and HMACSHA1  RFC2207 RSVP Extensions for IPSEC Data Flows  RFC2403 The Use of HMACMD596 within ESP and AH  RFC2404 The Use of HMACSHA196 within ESP and AH  RFC2405 The ESP DESCBC Cipher Algorithm With Explicit IV  RFC2410 The NULL Encryption Algorithm and Its Use With IPsec  RFC2451 The ESP CBCMode Cipher Algorithms  RFC2521 ICMP Security Failures Messages  APN GW 产品列表 APN GW ID Product Product Description GW200 Series GW00200 APN GW200 2 Eth 10/100 BaseT NIC,1 232Com接口（与 Console接口共用）； 8M Flash, MIPS CPU Based on IPSec Tunnels 适用于运用 VOIP 和视频会议，数据，简单防火墙功能 GW2020 Series GW20200 APN GW2020 2 Eth 10/100 Based NIC,1 232Com接口； 1Console接口； 8M Flash,243MHz CPU With AOS with Firewall /3DES/AES/BLOWFISH/TWOFISH MD5 /Preshare Key 基于 IPSec，多种加密算法可选，身份验证用 PRK GW20500 APN GW2500 3 Eth 10/100 Based NIC,1 232Com接口； 1Console接口； 32M Flash； 1 Flash Slot,C533MHzCPU, 1 Licenses Key,With AOS ,With Firewall MD5 /Preshare Key RSA 适用于数据流量大公司，或要求国家加密算法的行业用户 基于 IPSec，多种加密算法可选，身份验证用 PRK 和RSA，支持硬件加密卡 GW5000 Series GW50100 APN GW5000 3 Eth 10/100 Based NIC,1Console接口； 32M Flash；可扩展 1 Flash Slot,800MHzCPU, With AOS ,With Firewall MD5 /Preshare Key RSA 适用于集团公司 VDN 服务、 IPSEC 通讯。 PPTP Options for All version but 100 PT20200 PPTP Server PPTP Server For APN 可以在线 update PT20200 PPTP Client For Windows 2020/ PPTP APN GW Hardware Options Cable CB10100 Console cable APN Console Cable CB10101 Console cable VOIP Console Cable VOIP VO10100 APN GW VOIPO 4 路 VOIP， FXO 接口 VS10100 APN GW VOIPS 4 路 VOIP， FXS 接口 APN GW 2500 Hardware Options 硬件加密卡 SJ20200 2020 SJW － 1 Card 经 “国家密码管理委员会办公室 ”批准的加密算法的VPN 隧道加密卡 31M，签名 13 次 /秒 SJ20201 2020 SJW － 2 Card 经 “国家密码管理委员会办公室 ”批准的加密算法的VPN 隧道加密卡 50M，签名 13 次 /秒 SJ20202 2020 SJW － 3 Card 经 “国家密码管理委员会办公室 ”批准的加密算法的VPN 隧道加密卡 50M，签名 60 次 /秒 CF20200 2020CFK 2020 密钥存储器（标配已有） GW200 APNGW 2020 外观 GW2500 及其内部构造：支持硬件加密卡 GW2500在背部支持 RSA Key,可以用 RSA2048 位密码验证 GW5000  APN GW 系列产品性能 指标 产品名称 APNGW1000/2020/2500/5000 产品定位 需要最高性能和可靠性的大型组织机构企业 /大型网状的连接、从企业级、电信级用户 防火墙 紧密集成 /支持分组管理、 VPN通道中的用户管理和上网管理等多个模块，基于包过滤的状态检。