更新时间:2024-07-22 GMT+08:00

数据保护技术

  • 站点入云VPN是基于IKE/IPsec协议族,提供IP层安全的隧道技术,为IP数据包提供机密性和完整性,避免用户数据在不安全网络(如Internet)上被窃取、泄漏和篡改。
  • 用户在创建站点入云VPN连接时,可以在策略配置中对数据进行加密和认证算法的配置。

    站点入云VPN推荐使用的算法根据安全性从高到低排序如表 站点入云VPN策略配置参数说明所示。

    表1 站点入云VPN策略配置参数说明

    参数

    说明

    IKE策略

    版本

    • v2
    • v1(版本安全性较低,如果用户设备支持v2版本,建议选择v2。国密型VPN连接,只支持“v1”。)

    默认配置为:v2。

    认证算法

    认证哈希算法,支持的算法:

    • SHA2-512
    • SHA2-384
    • SHA2-256
    • MD5(此算法安全性较低,请慎用)
    • SHA1(此算法安全性较低,请慎用)

    默认配置为:SHA2-256。

    加密算法

    加密算法,支持的算法:

    • AES-256-GCM-16(仅企业版VPN支持)
    • AES-128-GCM-16(仅企业版VPN支持)
    • AES-256(此算法安全性较低,请慎用)
    • AES-192(此算法安全性较低,请慎用)
    • AES-128(此算法安全性较低,请慎用)
    • 3DES(此算法安全性较低,请慎用)

    默认配置为:AES-128

    DH算法

    支持的算法 :

    • Group 21
    • Group 20
    • Group 19
    • Group 16
    • Group 15
    • Group 14(此算法安全性较低,请慎用)
    • Group 5(此算法安全性较低,请慎用)
    • Group 2(此算法安全性较低,请慎用)
    • Group 1(此算法安全性较低,请慎用)

    默认配置为:Group 15。

    IPsec策略

    认证算法

    认证哈希算法,支持的算法:

    • SHA2-512
    • SHA2-384
    • SHA2-256
    • MD5(此算法安全性较低,请慎用)
    • SHA1(此算法安全性较低,请慎用)

    默认配置为:SHA2-256。

    加密算法

    加密算法,支持的算法:

    • AES-256-GCM-16
    • AES-128-GCM-16
    • AES-256(此算法安全性较低,请慎用)
    • AES-192(此算法安全性较低,请慎用)
    • AES-128(此算法安全性较低,请慎用)
    • 3DES(此算法安全性较低,请慎用)

    默认配置为:AES-128

  • 终端入云VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)协议加密的方式,保证了数据的机密性和完整性,避免用户数据再不安全网络(如Internet)上被窃取、泄漏和篡改。
    终端入云VPN支持的商用密码算法如表 终端入云VPN算法配置参数说明所示。
    表2 终端入云VPN算法配置参数说明

    参数

    说明

    认证算法

    • SHA2-384

    加密算法

    • AES-256-GCM-16
    • AES-128-GCM-16

完善的前向安全性PFS

PFS(Perfect Forward Secrecy)指一个IPsec隧道的密钥被破解,不会影响其他隧道的安全性,因为这些隧道的密钥之间没有相关性。站点入云VPN默认开启PFS功能。

每个IPsec VPN连接由至少一个IPsec隧道组成,每个IPsec隧道使用一套独立的密钥来保护用户流量。

站点入云VPN支持的算法如下:

  • DH group 1(此算法安全性较低,请慎用)
  • DH group 2(此算法安全性较低,请慎用)
  • DH group 5(此算法安全性较低,请慎用)
  • DH group 14
  • DH group 15
  • DH group 16
  • DH group 19
  • DH group 20
  • DH group 21
图1 PFS

抗重放

抗重放攻击是针对IPsec加密报文序列号保护的一种方式,防止恶意用户通过重复发送捕获到的数据包进行攻击。VPN服务默认开启抗重放功能。

图2 重放攻击原理

资源隔离

VPN默认为每个用户创建独立的VPN网关,提供租户网关隔离防护能力,确保租户的数据安全。

该特性仅企业版VPN支持,经典版VPN不支持。

图3 数据隔离

如上图示例中,用户A的VPN网关发生故障对用户B的VPN网关不会产生影响。