Fortinet FortiGate 300, Installation & Configuration Manual

Page: 189 / 282

FortiGate-300 安装和配置指南 2.50 版
FortiGate-300 安装和配置指南
175
IPSec VPN
虚拟专用网络 （ VPN ） 是 一个 拓 展 的 私 有网络，它由 穿 过 共享 或公 共 网络，例如 互
联 网，的连接 组成 。例如， 某 公司有 两 个 办 公 室 分 别 在 两 个不 同 的 城市 ， 每 个 都 有它
自 己 的专用网络。 这两 个 办 公 室 可以 通 过 VPN 在 彼 此 之 间创建 一个安全的 通道 。 类似
地 ，一个电 话拨 号用户可以使用他的 VPN 客户 端 获得 对 他的专用 办 公网络的 远 程访问
权。在 这两种情况 下 ，在用户 看 来 安全连接如 同 一个专用的网络 通讯 ， 即 使 这 个 通讯
是通 过一个公 共 网络 来 传 输 的。
可以将 通道 、 数 据 加密 和认证 结 合 起 来 以 实 现安全的 VPN 连接。 通道 封 装 数 据，以
使得它可以 通 过公 共 网络传播。 数 据 帧 并 不 是 以它 原 始的 格 式发送的， 而是 用一个 附
加 的 头 部 进 行 封 装 并 在 通道 的 两 个 端 点之 间 路由。在到 达 目的 端 点之 后 ， 数 据 被解 封
并转 发到它在专用网络中的目的 地址 。
加密 将 数 据 流 从明文 （一 些 人 类 或程序能 看 懂 的 东 西 ） 转 换 成密 文 （ 看 不 懂 的 东
西 ）。 这些 信息根据 已知 的 密钥 使用 数 学 算法 加密 和 解密 。
认证能 够 校验数 据包的 来 源 和它内容的 完整 性。认证使用 带 有 密钥 的 hash 功 能 算
法 计 算 校验 和。
本 章 提 供了 关于如何配置 FortiGate IPSec VPN 的 概 述 。关于 FortiGate VPN 的 详
细 信息，请 见
FortiGate VPN 指南。
· 密钥 管理
· 手工 密钥 IPSec VPN
· 自动 IKE IPSec VPN
· 管理 数 字证 书
· 配置 加密策略
· IPSec VPN 集 中 器
· 冗余 IPSec VPN
· VPN 监视 和问 题解答
密钥 管理
任何 加密 系统 都 有 三 个基本的 元素 ：
· 一个将信息 变 成编码 的 算法 ，
· 一个 作为 这 个 算法 的 秘 密 起 点的 密钥 ，
· 一个 控制 这 个 密钥 的管理系统。