数据保护技术
- 站点入云VPN是基于IKE/IPsec协议族,提供IP层安全的隧道技术,为IP数据包提供机密性和完整性,避免用户数据在不安全网络(如Internet)上被窃取、泄漏和篡改。
- 用户在创建站点入云VPN连接时,可以在策略配置中对数据进行加密和认证算法的配置。
站点入云VPN推荐使用的算法根据安全性从高到低排序如表 站点入云VPN策略配置参数说明所示。
表1 站点入云VPN策略配置参数说明 参数
说明
IKE策略
版本
- v2
- v1(版本安全性较低,如果用户设备支持v2版本,建议选择v2。国密型VPN连接,只支持“v1”。)
默认配置为:v2。
认证算法
认证哈希算法,支持的算法:
- SHA2-512
- SHA2-384
- SHA2-256
- MD5(此算法安全性较低,请慎用)
- SHA1(此算法安全性较低,请慎用)
默认配置为:SHA2-256。
加密算法
加密算法,支持的算法:
- AES-256-GCM-16(仅企业版VPN支持)
- AES-128-GCM-16(仅企业版VPN支持)
- AES-256(此算法安全性较低,请慎用)
- AES-192(此算法安全性较低,请慎用)
- AES-128(此算法安全性较低,请慎用)
- 3DES(此算法安全性较低,请慎用)
默认配置为:AES-128。
DH算法
支持的算法 :
- Group 21
- Group 20
- Group 19
- Group 16
- Group 15
- Group 14(此算法安全性较低,请慎用)
- Group 5(此算法安全性较低,请慎用)
- Group 2(此算法安全性较低,请慎用)
- Group 1(此算法安全性较低,请慎用)
默认配置为:Group 15。
IPsec策略
认证算法
认证哈希算法,支持的算法:
- SHA2-512
- SHA2-384
- SHA2-256
- MD5(此算法安全性较低,请慎用)
- SHA1(此算法安全性较低,请慎用)
默认配置为:SHA2-256。
加密算法
加密算法,支持的算法:
- AES-256-GCM-16
- AES-128-GCM-16
- AES-256(此算法安全性较低,请慎用)
- AES-192(此算法安全性较低,请慎用)
- AES-128(此算法安全性较低,请慎用)
- 3DES(此算法安全性较低,请慎用)
默认配置为:AES-128。
- 终端入云VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)协议加密的方式,保证了数据的机密性和完整性,避免用户数据在不安全网络(如Internet)上被窃取、泄漏和篡改。
完善的前向安全性PFS
PFS(Perfect Forward Secrecy)指一个IPsec隧道的密钥被破解,不会影响其他隧道的安全性,因为这些隧道的密钥之间没有相关性。站点入云VPN默认开启PFS功能。
每个IPsec VPN连接由至少一个IPsec隧道组成,每个IPsec隧道使用一套独立的密钥来保护用户流量。
站点入云VPN支持的算法如下:
- DH group 1(此算法安全性较低,请慎用)
- DH group 2(此算法安全性较低,请慎用)
- DH group 5(此算法安全性较低,请慎用)
- DH group 14
- DH group 15
- DH group 16
- DH group 19
- DH group 20
- DH group 21
抗重放
抗重放攻击是针对IPsec加密报文序列号保护的一种方式,防止恶意用户通过重复发送捕获到的数据包进行攻击。VPN服务默认开启抗重放功能。
资源隔离
VPN默认为每个用户创建独立的VPN网关,提供租户网关隔离防护能力,确保租户的数据安全。
该特性仅企业版VPN支持,经典版VPN不支持。
如上图示例中,用户A的VPN网关发生故障对用户B的VPN网关不会产生影响。