配置 Branch Office VPN 时,了解这些术语会很有用。 当您在 WatchGuard XTM 设备上设置和监视 Branch Office VPN 时,其中一些术语具有特定含义。
安全关联 (SA)
安全关联在 RFC 2408 中作为 ISAKMP(Internet 安全关联和密钥管理协议)标准的一部分进行了定义。 在 VPN 中,您可以将 SA 看作是包含两个对等方进行安全通信所需的全部信息(例如加密、认证和完整性检查)的环境。 两个对等方必须共享和一致同意此信息。 SA 是适用于不同协议的常规术语,而不同的 VPN 协议具有不同的 SA 结构。 SA 是单向的。
对于 IPSec VPN 隧道,有两种类型的 SA:
第 1 阶段 SA
第 1 阶段 SA 基于第 1 阶段设置进行协商,为第 2 阶段协商创建安全通道。 在 Fireware XTM 中,当您配置 Branch Office VPN 网关时配置第 1 阶段设置。
第 2 阶段 SA
第 2 阶段 SA 基于第 2 阶段设置进行协商,定义可通过 VPN 发送的流量,以及如何对流量进行加密和认证。 在 Fireware XTM 中,当您配置 Branch Office VPN 隧道时配置第 2 阶段设置。
网关
对于 Fireware XTM 设备,Branch Office VPN 网关 定义了一个或多个 VPN 网关端点对之间的连接的设置。 每个网关端点对包含一个本地网关和一个远程网关。 配置网关端点对时,指定两个网关端点的地址,以及两个网关端点用于交换密钥或协商所使用的加密方法的第 1 阶段设置。 如果一个或两个站点具有多个 WAN,则 Branch Office VPN 网关可以具有多个网关端点对,并且多个网关端点对可以彼此进行故障转移。
您可以配置多个隧道以使用同一个网关。 网关为使用它的 VPN 隧道创建安全连接。
隧道
对于 Fireware XTM 设备,Branch Office VPN 隧道 定义了第 2 阶段配置设置,并包括一个或多个隧道路由,用于定义可以通过该隧道交换流量的设备。
隧道路由
对于 Fireware XTM 设备,隧道路由 定义了哪些主机或网络可以通过隧道发送和接收流量。 当您添加隧道路由时,指定隧道两端的设备的本地和远程 IP 地址。 隧道路由中的每个 IP 地址可以针对主机或网络。 您可以为同一个隧道添加多个隧道路由。 每个隧道路由包含一对关联 SA:一个入站和一个出站。
在 Firebox System Manager 中,每个活动隧道路由显示为单独的隧道。 这使您可以轻松监视每个隧道路由的状态。 在功能密钥中,Branch Office VPN 隧道数目是指活动 Branch Office VPN 隧道路由的最大数目。
有关功能密钥和最大隧道路由数目的详细信息,请参阅 VPN 隧道容量和许可。