IPSECVPN基本原理.doc

1、IPSEC VPN基本原理 IPSEC是一套比较完整成体系的VPN技术，它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容，我们对于IPSEC大致按照以下几个方面理解。 1. 为什么要导入IPSEC协议 导入IPSEC协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。 另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。 IPSEC协议通过包

2、封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。 2. 包封装协议 设想现实一种通讯方式。假定发信和收信需要有身份证（成年人才有），儿童没有身份证，不能发信收信。有2个儿童，小张和小李，他们的老爸是老张和老李。现在小张和小李要写信互通，怎么办？ 一种合理的实现方式是：小张写好一封信，封皮写上 "小张-->小李", 然后给他爸爸，老张写一个信封，写上“老张-->老李”， 把前面的那封信套在里面，发给老李，老李收到信以后，打开，发现这封信是给儿子的，就转给小李了。小李回信也一样，通过他父亲的名义发回给小张。 这种通讯实现方式要依赖

3、以下几个因素： * 老李和老张可以收信发信 * 小张发信，把信件交给老张。 * 老张收到儿子的来信以后，能够正确的处理（写好另外一个信封），并且重新包装过的信封能够正确送出去。 * 另外一端，老李收到信拆开以后，能够正确地交割小李。 * 反过来的流程一样。 把信封的收发人改成Internet上的IP地址，把信件的内容改成IP的数据，这个模型就是IPsec的包封装模型。小张小李就是内部私网的IP主机，他们的老爸就是VPN网关，本来不能通讯的两个异地的局域网，通过出口处的IP地址封装，就可以实现局域网对局域网的通讯。 引进这种包封装协议，实在是有点不得已。理想的组网

4、方式，当然是全路由方式。任意节点之间可达（就像理想的现实通讯方式是任何人之间都可以直接写信互通一样）。 Internet协议最初设计的时候，IP地址是32位，当时是很足够了，没有人能够预料到将来Internet能够发展到现在的规模（相同的例子发生在电信短消息上面，由于160字节的限制，很大地制约了短消息的发展）。按照2的32次方计算，理论上最多能够容纳40亿个左右IP地址。这些IP地址的利用是很不充分的，另外大约有70％左右的IP地址被美国分配掉了（谁让人家发明并且管理Internet呢？）所以对于中国来说，可供分配的IP地址资源非常有限。 既然IP地址有限，又要实现异地lan

5、lan通讯，包封包，自然是最好的方式了。 3.安全协议（加密） 依然参照上述的通讯模型。 假定老张给老李的信件要通过邮政系统传递，而中间途径有很多好事之徒，很想偷看小张和小李（小张小李作生意，通的是买卖信息）通讯，或者破坏其好事。 解决这个问题，就要引进安全措施。安全可以让小李和小张自己来完成，文字用暗号来表示，也可以让他们的老爸代劳完成，写好信，交给老爸，告诉他传出去之前重新用暗号写一下。 IPSEC协议的加密技术和这个方式是一样的，既然能够把数据封装，自然也可以把数据变换，只要到达目的地的时候，能够把数据恢复成原来的样子就可以了。这个加密工作在Internet

6、出口的VPN网关上完成。 4.安全协议（数据认证） 还是以上述通讯模型为例，仅仅有加密是不够的。 把数据加密，对应这个模型中间，是把信件的文字用暗号表示。 好事之徒无法破解信件，但是可以伪造一封信，或者胡乱把信件改一通。这样，信件到达目的地以后，内容就面目全非了，而且收信一方不知道这封信是被修改过的。 为了防止这种结果，就要引入数据防篡改机制。万一数据被非法修改，能够很快识别出来。这在现实通讯中间可以采用类似这样的算法，计算信件特征（比如统计这封信件的笔划、有多少字），然后把这些特征用暗号标识在信件后面。收信人会检验这个信件特征，由于信件改变，特征也会变。所以，

7、如果修改人没有暗号，改了以后，数据特征值就不匹配了。收信人可以看出来。 实际的IPSEC通讯的数据认证也是这样的，使用md5算法计算包文特征，报文还原以后，就会检查这个特征码，看看是否匹配。证明数据传输过程是否被篡改。 5.安全协议（身份认证） 还是假定小张小李通讯模型。 由于老张和老李不在一个地方，他们互相不能见面，为了保证他们儿子通讯的安全。老张和老李必须要相互确认对方是否可信。这就是身份认证问题。 假定老李老张以前见过面，他们事先就约定了通讯暗号，比如1234567890对应abcdefghij， 那么写个255，对应就是一个bee。 常见的VPN

8、身份认证可以包括预共享密钥，通讯双方实现约定加密解密的密码，直接通讯就可以了。能够通讯就是朋友，不能通讯就是坏人，区分很简单。 其他复杂的身份认证机制包括证书（电子证书比如x509之类的），比较罗里罗嗦，这里就不具体展开了，怕有兄弟看了打瞌睡。如果需要，可以找我要更具体的技术白皮书以及相关的身份认证文档。 如果有身份认证机制，密钥的经常更换就成为了可能。 6.其他 解决了上述的几个问题，基本可以保证VPN通讯模型能够建立起来了。 但是并不完美，这是最简单的VPN。即通过对端两个静态的IP地址，实现异地网络的互联。美国的很多VPN设备就作到这一级，因为美国IP地址

9、充裕，分配静态IP地址没有问题。苦的是我等中国客户，2端都需要静态IP地址，相当于2根Internet专线接入。 VPN要在中国用起来，还要解决一堆的相关问题。下一个节将给大家描述IPSEC VPN在中国应用会遇到的哪些问题。 三.VPN安全技术 由于传输的是私有信息，VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。 1.

10、隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义

11、了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 2.加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 7.2.2 VPN隧道协议 VPN的隧道协议包含： 点对点隧道协议 PPTP

12、 是点对点协议 (PPP) 的扩展，并协调使用 PPP 的身份验证、压缩和加密机制。PPTP 的客户端支持内置于 Windows XP 远程访问客户端。其是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道协议。 PPTP 的 VPN 服务器支持内置于 Windows Server 2003 家族的成员。PPTP 与 TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，PPTP 可以配置为 5 个或 128 个 PPTP 端口。 PPTP 和 Microsoft“点对点加密 (MPPE)”提供了对专用数据封装和加密的主要 VPN 服

13、务。 第二层隧道协议 第二层隧道协议 (L2TP) 是基于 RFC 的隧道协议，该协议是一种业内标准，首次是在 Windows 2000 客户端和服务器操作系统中所支持。与 PPTP 不同，运行 Windows Server 2003 的服务器上的 L2TP 不利用 Microsoft 点对点加密 (MPPE) 来加密点对点协议 (PPP) 数据报。L2TP 依赖于加密服务的 Internet 协议安全性 (IPSec)。L2TP 和 IPSec 的组合被称为 L2TP/IPSec。L2TP/IPSec 提供专用数据的封装和加密的主要虚拟专用网 (VPN) 服务。 VPN 客户端和 VPN

14、 服务器必须支持 L2TP 和 IPSec。L2TP 的客户端支持内置于 Windows XP 远程访问客户端，而 L2TP 的 VPN 服务器支持内置于 Windows Server 2003 家族的成员。 SSL VPN网关作为一种新兴的VPN技术，与传统的IPSec VPN技术各具特色，各有千秋。SSL VPN比较适合用于移动用户的远程接入（Client-Site），而IPSec VPN则在网对网（Site-Site）的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存，优势互补。在产品的表现形式上，两者有以下几大差异： 1、 IPsec VPN多用于“网—网”连接，

15、SSL VPN用于“移动 客户—网”连接。SSL VPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSL VPN隧道接入内部网络；而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。 2、SSL VPN是基于应用层的VPN，而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明；而SSL VPN保护基于Web的应用更有优势，当然好的产品也支持TCP/UDP的C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle等。 3、SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客户

16、端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。 4、SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点，网管专业性较强。 5、SSL VPN 更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：radius、AD等）结合更加便捷。而IPSec VPN主要基于IP五元组对用户进行访问控制。 工作原理：一边服务器的网络子网为192.168.1.0/24路由器为100.10.15.1另一边的服务器为192.1

17、68.10.0/24路由器为200.20.25.1.执行下列步骤： 　　1. 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u） 　　2. 为SA协商过程配置IKE. 　　3. 配置IPSec. 　　配置IKE： 　　Shelby（config）#crypto isakmp policy 1 　　注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅ 　　Shelby（config-isakmp）#group 1 　　注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，grou

18、p命令有两个参数值：1和2.参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。 　　Shelby（config-isakmp）#authentication pre-share 　　注释：告诉路由器要使用预先共享的密码。 　　Shelby（config-isakmp）#lifetime 3600 　　注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。 　　Shelby（con

19、fig）#crypto isakmp key noIP4u address 200.20.25.1 　　注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1. 配置IPSec 　　Shelby（config）#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 　　注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。

20、 　　Shelby（config）#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac 　　注释：这里在两端路由器唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。 　　Shelby（config）#crypto map shortsec 60 ipsec-isak

21、mp 　　注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。 　　Shelby（config-crypto-map）#set peer 200.20.25.1 　　注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1. 　　Shelby（config-crypto-m

22、ap）#set transform-set vpn1 　　Shelby（config-crypto-map）#match address 130 　　注释：这两个命令分别标识用于这个连接的传输设置和访问列表。 　　Shelby（config）#interface s0 　　Shelby（config-if）#crypto map shortsec 　　注释：将刚才定义的密码图应用到路由器的外部接口。 　　现在剩下的部分是测试这个VPN的连接，并且确保通信是按照预期规划进行的。 最后一步是不要忘记保存运行配置，否则所作的功劳白费了。 VPN组成 　　无论从VPN

23、技术发展历程和应用模式看VPN技术包含了多种当前新兴的网络技术，涉及到通信技术、密码技术、硬件集成加速技术和认证技术，是多种技术的复杂结合体。这决定了用户在选择VPN时必须以应用为导向，以解决方案为实施依据，方可事倍功半地部署恰当的VPN产品。 　　VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理网络的接口构成，一般至少包括以下几个关键组成部分： ■　VPN服务器：作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN软件的联网计算机，或是一台联网手持设备 ■　算法体系：VPN的专用网络的形成的关键，常见的有：摘要算法

24、MD5或SHA1，对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA。不同类型的VPN根据应用特点在实现上使用对应的算法，有的还可以由用户根据使用现场临时更换 ■　认证系统：VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA SecurID、双因素令牌、L

25、DAP、Windows AD、Radius、证书，一个系统中往往包括一种以上的方式以增加灵活性 ■　VPN协议：它规定了VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VPN产品的适用度。常见的有PPTP 、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL . 二层隧道协议L2TP（Layer 2 Tunneling Protocol）是一种基于点对点协议PPP的二层隧道协议。在由L2TP构建的VPN中，有两种类型的服务器，一种

26、是L2TP 访问集中器LAC（L2TP Access Concentrator ），它是附属在网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP 网络服务器LNS（L2TP Network Server），是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。 　　在LNS 和 LAC 之间存在着两种类型的连接，一种是隧道（tunnel）连接，它定义了一个 LNS 和 LAC 对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个

27、PPP 会话过程。 L2TP 连接的维护以及 PPP 数据的传送都是通过 L2TP 消息的交换来完成的，L2TP 消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护，数据消息用于承载用户的 PPP 会话数据包。这些消息都通过 UDP 的 1701 端口承载于 TCP/IP 之上。 VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5。 1。PPTP：PPTP是在PPP的基础上开发的新的增强型安全协议，可以使远程用户通过拨入ISP，通过直接连接Inte

28、rnet或其他网络安全地访问企业网。由于其性能不高，目前PPTP协议基本已被淘汰，不再使用在VPN产品中。 2。L2TP：不同于PPTP，它只需要专用的L2TP隧道就可以进行点到点的连接。L2TP结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和FR。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。 3。IPSec：是一个广泛、开放的安全协议。它工作在网络层，提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行：一种是隧道模式

29、一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。该技术除了包过滤外，没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理。所以它目前最适合可信LAN到LAN之间的VPN搭建。 4。SOCKS v5：工作在会话层，它可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的VPN。其缺点是工作性能比低层次的VPN协议差，而且必须制定更复杂的安全管理策略。该协议最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN

30、 网络安全技术概述 今天要说的这个话题有点大，网络安全技术是一个很宽泛的概念，每天都有人在遭受来自各式各样的安全威胁，比如说密码被盗了，被肉鸡了，被黑客了，等等。当然这些都是一些比较具体的实例。那么，本文将用一些做项目的经验来谈谈主流网络设备商采用的安全技术有那些。 一般的网络设计都是采用低端交换机划分接入网，用中端交换机构建汇聚层，用防火墙\IPS\IDS\VPN等等设备进行企业内外网隔离，当然这个时候可能会用到一些HA及热备技术做高可用，高可靠性设计，然后用高端交换机或路由器作为核心网接入设备接入ISP网络。我们从设计的角

31、度其实也可以看到一些安全解决方案的实施，其实居多数的安全威胁并不来自外部攻击而是来自内部威胁，一些非法用户入侵，盗用账号，带病毒接入网络然后扩散到内网，威胁其他用户的安全，所以对接入层的控制是重中之重，而这方面的安全技术主要来自接入层的用户认证，比如说较为流行的802.1X，MAC地址认证，端口安全Port-security等等二层接入技术或较为流行的portal三层认证技术等等的基于AAA的认证技术。总体来说呢，对于接入层来说，确保接入网络用户合法性是重点，当然这个过程之中还可以利用AAA在授权方面的优势，可以对用户划分相应的等级及分配不同的资源（比如VLAN，ACL，User-profil

32、e(一种qos策略)），可以根据不同的授权策略访问不同的网络资源。这方面典型的代表，比如说WLAN接入安全就是采取接入控制技术（当前较为火的802.11i及WAPI都是一种典型的接入安全认证技术）。 其实接入层的认证只是用来确认用户合法性的的一种技术，他确保了用户身份的真实性，但是却无法监管用户的行为及对数据做机密性保护，为了对内网和外网做隔离，业界则采用了防火墙来作为内外网的隔离器，其实防火墙也只是一种较为笼统的概念，有时候也被称为安全网关等等，它往往是一台集成了包过滤防火墙技术，状态跟踪检测动态防火墙技术，NAT地址转换技术，为了补充NAT无法处理三层以上载荷含地址的缺陷而设计的ALG技

33、术等等。包过滤防火墙技术的核心在于ACL，对报文分而治之，匹配则采取相应的action，所以包过滤是一种静态防火墙因为ACL本身是需要静态指定。状态防火墙则可以动态跟踪协议状态机的转换，记录状态为相关报文制定临时返回通道。NAT地址转换则是为了解决IPv4地址的紧缺而提出的一种地址转换技术。由于NAT只关注三层信息，所以对于像FTP，H323等等这样的多通道协议在数据载荷中也可能携带地址信息，这些信息如果不被转换在则会带来通信的失败，所以ALG（应用层网关）诞生了，ALG一般作为一种NAT补充技术应用。除了上述的包过滤技术，状态防火墙技术，NAT及ALG等等，还有比如说攻击防范技术，防病毒技术

34、等等也可能被集成在一起。当然也可能被单独设计成一台设备，比如说用于流量清洗的Guard及Detecter，基于当前流行的IDS，IPS等等。所有这些技术根据需要可能被集成在一台设备之上，也可能独立在一台设备上，也可能仅仅是一块分布式的板卡等等。 可能现实中有很多这样的情况，大企业机构往往是异地的，比如总部在美国，分布在北京，上海等地，这个时候的问题便来了，那么该公司需要统一管理，网络上需要统一部署，所以便出现了VPN技术。企业各分部及总部之间通过VPN隧道相连接，VPN的优点在于屏蔽了中间网络，就像双方直连一样的工作。而当前较为流行的VPN技术有GRE，L2TP，PPTP，IPSEC等等。所

35、有的隧道技术其实都是一种封装技术，将乘客协议封装在传输协议之中。GRE的优点在于可以屏蔽异构网络协议，可以封装多播数据，缺点就在于没有相应的安全性。PPTP及L2TP协议都使用PPP协议对数据进行封装，而PPTP要求传输网络必须为IP网络，而L2TP则只要求隧道媒介提供面向数据包的点对点连接，另外于PPTP只能在端点间建立单一隧道不同，L2TP支持端点间多隧道连接且可以提供安全认证功能以及可以跟IPSEC配合使用。IPSEC其实并不是单纯的隧道技术，他可以为用户提供数据的加密，完整性校验及抗重放等等的功能。而IPSEC的最为精妙之处却在于利用IKE进行密钥的管理，永远不在不安全的网络上传输密钥

36、其实除了上述的常用的隧道技术外，还有很多的封装技术，比如利用标签转发的MPLS VPN，方面移动用户接入的SSL VPN，4in4，DVPN（动态VPN）等相应的IPv4 VPN技术，还有IPv6过渡技术中典型的4in6，6in4，6in6，isatap，6to4，ipv6 gre等等，另外按照层次划分方面的二层的BPDU Tunnel及QinQ也属于隧道技术的范畴。不管如何vpn技术从网络结构上可以分为两种结构，一种是hub-spoke组网，另外一种是mesh全连接组网。这里不再赘述。 那么一个成熟的安全解决方案必须要考虑到可靠性、高可用性，以及负载分担技术。另外还需要细致区分业务应用，

37、对于音视频及文件服务等各种应用需要做QOS的处理，其实从某种角度来考虑Qos也是一种广泛应用的安全技术。高可靠性一般采取了主备倒换及热插拔等HA技术，另外基于VRRP的双机或多机热备技术也是今年发展比较迅速的技术。那么在负载分担技术方面一般在技术上有三种，一种是基于weight的NAT 服务器负载分担，一种是防火墙三明治组网，另外就是利用隐现路由等技术的负载分担技术。当前的负载分担可以集成在路由器，交换机，防火墙中，也可以是一台独立的负载均衡器。 说到这里，我们也可以发现，其实所有以上的这些安全技术多关注4层以下的安全性，那么其实现实中来自4层以上的攻击威胁是最多的，互联网每天都病毒泛滥，蠕

38、虫，木马肆虐，那么在这些方面一些设备制造商则多采用合作策略，跟一些杀毒软件厂商合作共同开发用于防病毒的ASM模块等等，扩展病毒特征库，另一方面也跟其他的安全技术紧密结合，比如广为应用的EAD（终端准入控制）解决方案，该方案采用了整合+联动的核心思想，对于要接入网络（802.1x等接入方式或VPN方式）的用户，EAD 解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD 对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。那么这样一个综合的解决方案将所有的安全技术进行整合与联动。为用户提供了较为安全的高效的解决方案。