| Q1. |
什麼是VPN? |
| A1. |
VPN是以網際公共網路(如網際網路)為基礎,讓此網路(例如網際網路)變成像是內部專線專用的網路連接傳遞模式。VPN實質上是許多功能聚集的綜合體,它包含:隧道(Tunneling)、加密(Encryption)、身份辨識(Authentication)、存取控制(Access Control)等方面的內容。傳統廣域網(WAN)要求公司采購和維護多種專線,包括設備和人員的投資。以傳統WAN模式延伸與擴展網路,對您的公司而言是極高的成本。相對的,VPN是建置在一個公共網路之上,您可以選擇不同的接入技術,不需要租用昂貴的專線,從而減少企業用戶在網路上的通訊費用以及網路維護費用。 |
| Q2. |
建立VPN後可以有什麼應用? |
| A2. |
VPN使企業能在價格低廉的共用基礎設施上以與專用網路提供的相同策略建立一種安全的WAN (廣域網) 業務。VPN實現與移動工作人員、分公司、合作夥伴、產品供應商、客戶間的連接,提高與分公司、客戶、供應商和合作夥伴開展業務的能力。 VPN使公司所有網路在網際網路上組成一個安全虛擬的大局域網,企業建立VPN之後可以實施多種應用,包括异地ERP、財務軟體、遠端教育、異地OA、客戶關係管理、IP電話、視頻會議,以及遠端視頻監控。 |
| Q3. |
VPN為您帶來哪些效益? |
| A3. |
- 降低日常成本--根據Strategic Network的統計結果,VPN和專線網路相比可以提供高達60%的成本節省,並且顯著減少家庭辦公和移動辦公人員的撥號費用,VPN允許家庭辦公和移動辦公人員通過當地電信進入網路,免除通過長話撥入中央調制解調器的話費用。網際網路VPN不再需要架設專線,而服務供應商可以把省下的線路費用反饋給您。
- 降低設備成本--存取服務器、大型幹網路路由器和交換器由服務供應商管理,可免除設備支出。您不需要采購、配置或管理複雜的調制解調器。用戶端設備通常有服務供應商或增殖分銷商提供低價的租賃,以享有更大的升級彈性。
- 降低管理和支援成本--經濟規模讓服務供應商能夠幫您節省可觀的內部管理和支援成本,外包服務可減少或免除內部人員需求。再者,您將享有24小時全年無休的服務與支援,由技術經驗豐富的人員快速解決您的問題。
- 擴展連接方案--遠端存取、VPN可以到達網際網路所能及的任何地方。網際網路本質上是一種具備備份能力的網路,任一節點都可以經由多種途徑到達。這些特性加上VPN方案,滿足您any-to-any連接性的頻寬需求,並提供無中斷的服務支援無法預測傳輸流量的網頁應用程序。
- 無時間限制的存取 -- VPN用戶擁有相同的中央服務存取和邏輯觀,包括電子郵件、目錄、內部和外部網頁網站、安全性和商業關鍵性應用程序,並且可以透過多重媒介存取(LAN、調制解調器、xDSL或cable modem),而完全不需要觸及複雜的網路技術。
|
| Q4. |
何謂NSD ? 其作用為何? |
| A4. |
NSD為Network Service Detection,其解釋為網路服務偵測機制,也就是讓FVR9208/s去判斷每條WAN線路是否正常,當啟用 NSD機制後,FVR9208/s會每隔一段時間就會去發偵測封包,去確認每一條WAN的連線是否正常,當發現某條WAN不通時,FVR9208/s會自動將此條線路切斷,將所有流量導入到另一條正常的WAN,此時FVR9208/s還是會繼續偵測剛才斷掉的WAN是否已經恢復正常,若偵測到已經回復,FVR9208/s會再將此WAN連回來使用。實際設定請參考NSD設定文件。 |
| Q5. |
什麼是負載平衡(Load Balance)? |
| A5. |
負載平衡路由器設備放置在兩條以上的廣域網路線路後,以公平、策略性的方式將所有來自網路上的請求傳遞給後方的一台服務器,以降低單條線路負擔。負載平衡設備可以將網路的數據請求有效的轉達到兩條以上的廣域網路線路上,即使該線路中其中有一條故障中斷而無法服務,負載平衡服務將讓服務不中斷(Non-stop),商機不遺漏。使用負載平衡路由器(Load Balance Router)的好處為改善路由、網路頻寬的使用效率,以及線路的可靠度與安全性。 |
| Q6. |
什麼是通訊協議綁定模式? |
| A6. |
通訊協議綁定模式共有三種:
- 智慧型負載平衡:此一模式大部份會應用在社區或企業,即是依照連線數(Session)為基礎平均分配每個廣域網的頻寬流量,基本上保持不同WAN端頻寬利用率相近或相同。
- IP群組(依使用者):此一模式大部份會應用在網咖,為了整合網通和電信的最佳方式,此一模式即可以做到特定IP特定服務及特定目的地,走設定的廣域連接埠,其它未做綁定的,皆會走其它廣域網。
- IP負載平衡:此一模式大部分也會運用在網咖,此種方式為線路皆為同一家ISP即可利用此方式。因為某些游戲只接受一個IP認證,此方式會依照計算機上線取得IP順序輪流分派上網廣域網連接埠。
|
| Q7. |
在VPN中的數據是如何加密的? |
| A7. |
數據通過軟體或專門的硬體加密輔助CPU運算器進行加密,如FVR9208 /FVR9416即採用Intel IXP425系列硬體加密輔助運算器進行高速的數據加密。 |
| Q8. |
什麼是DES和3DES? |
| A8. |
DES亦稱為數位加密標準,是在數據傳輸中或是發送方與接收方都必須相互瞭解並知道一個相同的密碼,用來加密與和解密以及產生和驗證授權密碼。Qno VPN路由器DES應用56Bit的密鑰來加密。另外3DES是由DES演變而來,應用168位的密鑰並提供較DES更安全的數據傳輸。一些安全專家提出認為3DES實質上不太可能被破解。當然由於反映時間長而且路由器吞吐量會因為加解密而下降,所以需要設備有更高的處理能力,才可擔當此重任。 |
| Q9. |
什麼是PPTP? |
| A9. |
點對點隧道協議(Point To Point Tunnel Protocol-PPTP)建立在點對點協議(PPP)功能之上,它通過英特網建立到目的地址或主機的隧道(Tunnel),進而提供遠端的用戶接入。PPTP透過GRE(generic routing encapsulation)協議封裝PPP包,從而PPTP可以靈活處理IP之外的協議。不同於PPTP,IPSec只為IP協定服務,而對其他協定不提供安全保證。PPTP支援多種協定,但不如IPSec安全。 |
| Q10. |
什麼是IKE? |
| A10. |
網際網路密鑰交換機制是由IETF協會所制定的密鑰交換通訊協議。一個IKE安全關聯(IKE SA)自動協商加密與認證演算法。通過IKE,最初的交換識別VPN連接的會話並自動協商用於網路傳輸中的密鑰。 |
| Q11. |
靜態包檢測(SPI)是什麼? |
| A11. |
靜態包檢測多數應用於防火牆設備上,不僅將IP位址從英特網上隱藏起來,還檢查每ㄧ個獨立封包中的詳細信息,比如來源位址和目的地址以及它應用的協定,從此根據默認的判別準則作出相對應的反應。通過靜態包檢測可以知道封包的內容,從而用來防止類似如DoS攻擊。 |
| Q12. |
什麼是DoS拒絕服務攻擊? |
| A12. |
DoS攻擊就是一台或多台計算機對特定的IP端點發出大量的服務請求而引起目標主機或服務器的功能癱瘓。發起DoS攻擊的其中一種常見的方式如不停地ping目的主機,要求目的主機回應。如果請求服務的封包量大的時候,那這台不幸的服務器或是對外的路由器將不能對請求包快速反應回答,同時也不能執行其他應有的功能。DoS的結果就是導致機器對於回應做所謂的 ”拒絕服務”。 |
| Q13. |
DoS攻擊有哪些型態? |
| A13. |
利用TCP/IP中的漏洞進行DoS攻擊譬,如“Ping of Death”:應用TCP/IP標準中的缺陷漏洞的攻擊,如SYN Flood 和LANAttacks。以無用的大量數據流充斥網路進行攻擊,比如Smurf attack,應用假的IP地址。 |
| Q14. |
內容過濾功能為何? |
| A14. |
路由器能夠根據預先設定的規則拒絕用戶訪問符合條件的網站,內容過濾則可以應用於很多方式。比較常應用的方法包括通過頁面URL過濾,URL關鍵字以及一周中的某天和一天中的某個時段。 |
| Q15. |
SPI如何保護以及拒絕“Ping of Death”或是SYNDos攻擊? |
| A15. |
具備SPI功能的路由器將檢測每一個封包,如果在一定時間內發現許多特定的來自相同位址的封包如- Ping ,那這些封包將會被路由器的SPI功能檢測後拋棄。舉另一個例子,路由器會知道發送請求的來源位址屬於內部網還是外部網。如果攻擊是外部的廣域埠網發起,而攻擊封包應用的是內部的來源位址,一般的路由器速度將會變的相當慢,因為不能分辨出回應哪里。基於狀態封包檢測的路由器能夠將封包的狀態和之前的封包進行比對,決定哪個來源位址是錯誤的,以及攻擊包將被丟棄,從而避免網路效能以及速度的降低。 |
