一、引言
在当今数字化时代,企业的业务拓展与运营越来越依赖于安全可靠的网络连接。随着远程办公、分布式办公模式的普及,以及企业分支机构与总部之间数据交互需求的不断增长,保障数据在网络传输过程中的安全性成为了企业面临的重要挑战。虚拟专用网络(VPN)作为一种在公用网络上构建专用网络的技术,为企业提供了安全、私密的数据传输通道。其中,IPsec VPN 凭借其在 IP 层实现的加密、认证等安全功能,成为了企业构建安全网络连接的首选方案之一。
而在 IPsec VPN 的众多安全机制中,认证环节至关重要。传统的认证方式如预共享密钥等存在一定的局限性,例如密钥管理复杂、安全性相对较低等问题。基于证书认证的方式,借助公钥基础设施(PKI)技术,能够提供更为大、安全且易于管理的认证解决方案。天翼云作为云计算领域的重要参与者,其 IPsec VPN 服务集成 PKI 技术,为用户提供了基于证书认证的高效、安全实现方案,极大地增了网络通信的安全性与可靠性,满足了企业在复杂网络环境下对数据安全传输的严格要求。
二、IPsec VPN 基础概述
2.1 IPsec VPN 的基本概念
IPsec(Internet Protocol Security)是一套开放的网络安全协议,它为 IP 网络通信提供了保密性、完整性、数据源认证以及抗重播保护等安全服务。IPsec 并非单一协议,而是由多个协议和组件共同构成的安全体系,主要包括认证头(AH)协议、封装安全荷(ESP)协议以及互联网密钥交换(IKE)协议等。
AH 协议主要用于为 IP 数据包提供无连接的数据完整性验证、数据源认证以及抗重播保护。它通过在 IP 数据包中添加 AH 头,对数据包的部分或全部内容进行哈希计算,并使用共享密钥或数字证书进行签名,以确保数据包在传输过程中未被篡改,且来源可靠。
ESP 协议不仅具备 AH 协议的部分功能,还提供了数据加密功能,能够对 IP 数据包的内容进行加密,保证数据的机密性。ESP 在 IP 数据包中添加 ESP 头和 ESP 尾,将需要保护的数据部分进行加密处理,只有拥有正确解密密钥的接收方才能还原原始数据。
IKE 协议则负责在通信双方之间协商和建立安全关联(SA)。SA 是 IPsec 中的关键概念,它定义了通信双方在进行安全通信时所使用的安全参数,如加密算法、认证算法、密钥等。IKE 协议通过一系列的消息交换,在不安全的网络环境中安全地协商出双方一致的 SA 参数,为后续的数据加密传输奠定基础。
IPsec VPN 就是利用 IPsec 协议在公用网络(如 Internet)上建立虚拟专用网络的技术。它通过在不同网络节点(如企业总部与分支机构的网关、远程办公用户与企业网络之间)之间建立安全隧道,将原本在不安全网络中传输的 IP 数据包进行加密封装,使其在隧道内安全传输,从而实现不同网络之间或用户与网络之间的安全通信。
2.2 IPsec VPN 的工作模式
IPsec VPN 存在两种主要的工作模式:传输模式和隧道模式。
传输模式主要应用于同一局域网内主机之间的安全通信场景。在传输模式下,AH 或 ESP 头被插入到原始 IP 头和上层协议(如 TCP、UDP)头之间。此时,IPsec 主要对上层协议数据进行保护,原始 IP 头保持不变。对于 AH 协议,它会对包括 AH 头、上层协议数据以及 IP 头中某些不变字段在内的部分进行完整性校验;对于 ESP 协议,它会对 ESP 头、上层协议数据以及 ESP 尾进行加密和完整性校验。这种模式适用于需要保护主机之间数据安全传输,且对网络性能影响较小的场景,因为它不需要对原始 IP 头进行额外的封装处理,减少了网络传输的开销。
隧道模式则常用于不同网络之间的连接,如企业分支机构与总部网络之间、远程办公用户与企业网络之间等场景。在隧道模式下,整个原始 IP 数据包被封装在一个新的 IP 数据包内,AH 或 ESP 头被添加在新的 IP 头和原始 IP 数据包之间。新的 IP 头通常包含隧道两端的公网 IP ,而原始 IP 头则包含通信双方的内部网络 IP 。通过这种方式,不仅可以对原始 IP 数据包的内容进行加密和完整性保护,还可以隐藏内部网络的 IP 信息,增了网络的安全性。隧道模式能够在不同网络之间建立起安全的通信隧道,实现跨网络的安全数据传输,适用于网络边界之间的安全通信需求。
三、PKI 技术基础
3.1 PKI 的基本概念
公钥基础设施(PKI)是一种遵循既定标准的密钥管理台,它通过使用数字证书来管理公钥,为网络通信提供身份认证、数据加密和完整性验证等安全服务。PKI 的核心目的是在不安全的网络环境中建立起信任关系,确保通信双方能够确认对方的身份,并安全地交换加密密钥。
PKI 主要由认证机构(CA)、注册机构(RA)、证书库、密钥管理中心以及终端实体等部分组成。
认证机构(CA)是 PKI 的核心组件,它负责生成、颁发和管理数字证书。CA 具有高度的权威性和可信度,其自身的私钥被严格保护。当终端实体(如用户、设备、服务器等)申请数字证书时,CA 会对其身份进行严格审核,确认无误后,使用自身私钥对终端实体的公钥以及相关身份信息进行数字签名,生成数字证书。这个数字证书就如同现实生活中的身份证,包含了终端实体的身份标识以及经过 CA 签名的公钥信息,其他实体可以通过验证 CA 的签名来确认证书的真实性和有效性,进而信任证书持有者的身份和公钥。
注册机构(RA)辅助 CA 完成证书申请的审核工作。它负责接收终端实体的证书申请,对申请信息进行初步审核,如验证申请人的身份信息、确认其是否符合证书申请条件等。RA 将审核通过的申请信息转发给 CA,由 CA 最终完成证书的颁发。RA 的存在减轻了 CA 的工作负担,提高了证书申请审核的效率,同时也增加了证书申请过程的安全性和可管理性。
证书库是存储数字证书和证书撤销列表(CRL)的数据库。数字证书在颁发后会存储在证书库中,供其他实体查询和获取。证书撤销列表(CRL)则用于记录已被撤销的数字证书信息。当某个数字证书由于各种原因(如证书持有者私钥泄露、证书过期等)不再有效时,CA 会将该证书的序列号等信息添加到 CRL 中,并定期更新和发布 CRL。其他实体在验证数字证书时,不仅会验证证书的签名和有效期,还会查询 CRL,以确保该证书未被撤销,从而保证通信的安全性。
密钥管理中心负责密钥的生成、存储、分发和更新等管理工作。在 PKI 体系中,密钥的安全管理至关重要。密钥管理中心采用安全可靠的技术手段,为终端实体生成高度的密钥对(公钥和私钥),并确保私钥的安全存储和传输。同时,它还负责在适当的时候为终端实体更新密钥,以提高密钥的安全性,降低密钥被破解的风险。
终端实体是 PKI 的最终使用者,包括用户、设备、服务器等。它们通过向 CA 申请数字证书,并在通信过程中使用证书进行身份认证和密钥交换,从而实现安全的网络通信。
3.2 数字证书在 PKI 中的作用
数字证书是 PKI 的核心元素,它在网络通信中扮演着至关重要的角,主要用于实现身份认证和密钥交换等功能。
在身份认证方面,数字证书如同网络世界中的电子身份证。当通信双方进行连接时,一方会将自己的数字证书发送给对方。对方收到证书后,首先会验证证书的合法性。通过验证证书上 CA 的数字签名,确认该证书是由可信的 CA 颁发的。然后,检查证书的有效期、证书持有者的身份信息等内容是否正确。如果证书验证通过,接收方就可以信任证书持有者的身份,确认与之通信的对方就是证书所标识的实体。这种基于数字证书的身份认证方式比传统的用户名 / 密码等认证方式更加安全可靠,因为数字证书难以伪造,且其私钥由证书持有者严格保管,只有合法的证书持有者才能使用私钥进行签名等操作,从而有效防止了身份冒充和欺诈行为。
在密钥交换过程中,数字证书也发挥着重要作用。例如,在 IPsec VPN 中,通信双方需要协商出用于加密数据的密钥。借助数字证书,双方可以安全地交换公钥。发送方使用接收方数字证书中的公钥对自己生成的临时密钥进行加密,然后将加密后的密钥发送给接收方。接收方使用自己的私钥对加密的密钥进行解密,从而获取到发送方生成的临时密钥。由于只有接收方拥有对应的私钥,所以能够保证密钥在传输过程中的安全性。通过这种基于数字证书的密钥交换方式,通信双方可以在不安全的网络环境中安全地协商出相同的加密密钥,为后续的数据加密通信提供保障。
四、基于证书认证的天翼云 IPsec VPN 实现方案详解
4.1 方案架构概述
基于证书认证的天翼云 IPsec VPN 实现方案主要由以下几个关键部分组成:天翼云 IPsec VPN 网关、认证机构(CA)、企业内部网络以及远程接入用户或分支机构网络。
天翼云 IPsec VPN 网关作为方案的核心组件,部署在企业网络与天翼云之间的边界处。它负责与远程接入用户或分支机构的 VPN 设备建立安全连接,对进出网络的数据进行加密和解密处理,同时依据 PKI 体系进行证书认证,确保通信双方的身份合法性。VPN 网关支持多种加密算法和认证方式,能够根据企业的安全需求进行灵活配置。
认证机构(CA)可以是企业内部自建的私有 CA,也可以是外部专业的第三方 CA。CA 负责为企业网络中的设备(如 VPN 网关)、用户以及远程接入的分支机构设备颁发数字证书。这些数字证书包含了设备或用户的身份信息以及经过 CA 签名的公钥。在证书颁发过程中,CA 会对申请证书的实体进行严格的身份审核,确保证书与实际身份的对应关系真实可靠。
企业内部网络包含了企业的各种业务服务器、办公终端等设备。这些设备通过企业内部网络与 IPsec VPN 网关相连。当远程接入用户或分支机构需要访问企业内部网络资源时,首先会与 IPsec VPN 网关进行通信,经过网关的证书认证和安全策略检查后,建立起安全的 VPN 连接,从而实现对内部网络资源的安全访问。
远程接入用户或分支机构网络通过各自的 VPN 设备(如路由器、防火墙等支持 IPsec VPN 功能的设备)与天翼云 IPsec VPN 网关建立连接。这些 VPN 设备同样持有由 CA 颁发的数字证书,用于在连接过程中进行身份认证。分支机构网络内部的设备可以通过 VPN 设备与企业总部网络进行安全的数据交互,远程接入用户则可以通过安装在个人设备(如笔记本电脑、智能手机等)上的 VPN 客户端软件,利用互联网与企业网络建立安全连接,访问企业内部的资源。
4.2 证书申请与颁发流程
企业内部设备证书申请
企业内部的设备(如 IPsec VPN 网关、业务服务器等)向企业内部的 RA 或直接向 CA 发起数字证书申请。在申请过程中,设备会生成一对密钥对(公钥和私钥),私钥由设备自行安全存储,公钥则连同设备的身份信息(如设备名称、所属部门、IP 等)一起作为申请信息提交给 RA 或 CA。
RA 收到申请后,对设备的身份信息进行审核。审核方式可以包括与企业内部的资产管理系统进行比对,确认设备的合法性和所属关系;检查设备是否符合企业制定的证书申请策略,如设备是否经过安全配置检查等。
如果审核通过,RA 将申请信息转发给 CA。CA 对申请信息进行再次确认后,使用自身的私钥对设备的公钥以及相关身份信息进行数字签名,生成数字证书。然后,CA 将数字证书返回给 RA,RA 再将证书颁发给申请设备。设备收到证书后,将其存储在本地的证书存储区中,以备后续使用。
远程接入用户证书申请
远程接入用户向企业的 RA 或 CA 发起数字证书申请。用户可以通过企业提供的证书申请台或 VPN 客户端软件中的证书申请功能进行申请操作。在申请时,用户需要提供个人身份信息(如姓名、员工编号、所属部门等)以及生成的公钥。
RA 对用户的身份信息进行审核。审核方式可以包括与企业的人力资源系统进行数据比对,确认用户的身份真实性;检查用户的账号状态是否正常,是否具有远程接入的权限等。
审核通过后,CA 生成用户的数字证书,并通过安全的方式(如加密邮件、VPN 客户端软件的安全通道等)将证书颁发给用户。用户收到证书后,将其安装在用于远程接入的设备(如笔记本电脑、智能手机)的 VPN 客户端软件中,以便在连接企业网络时进行身份认证。
分支机构设备证书申请
分支机构的 VPN 设备向企业内部的 CA 或分支机构本地的 RA 发起数字证书申请。申请过程与企业内部设备证书申请类似,VPN 设备生成密钥对,将公钥和设备身份信息(如设备型号、所在分支机构名称、公网 IP 等)提交给 RA 或 CA。
如果是向分支机构本地的 RA 申请,本地 RA 对设备身份信息进行初步审核后,将申请信息转发给企业内部的 CA。CA 对申请信息进行最终审核和证书生成。
CA 将生成的数字证书颁发给分支机构的 VPN 设备。设备收到证书后,将其配置到 VPN 设备的证书管理模块中,用于与企业总部的 IPsec VPN 网关建立安全连接时的身份认证。
4.3 基于证书的认证过程
远程接入用户与 VPN 网关的认证
远程接入用户通过 VPN 客户端软件发起与天翼云 IPsec VPN 网关的连接请求。在连接请求中,用户的 VPN 客户端会将用户的数字证书发送给 VPN 网关。
VPN 网关收到用户的证书后,首先验证证书的合法性。它会检查证书是否由可信的 CA 颁发,通过验证证书上 CA 的数字签名来确认这一点。然后,检查证书的有效期,确保证书未过期。同时,查询证书撤销列表(CRL),查看该证书是否已被撤销。
如果证书验证通过,VPN 网关会从证书中获取用户的身份信息,如用户名、所属部门等。然后,根据企业预先配置的访问控制策略,检查该用户是否具有访问企业内部网络资源的权限。例如,企业可能规定只有特定部门的用户才能访问某些敏感的业务服务器,VPN 网关会根据用户的部门信息和访问策略进行权限检查。
如果用户权限验证通过,VPN 网关会与用户的 VPN 客户端进行密钥交换。双方通过 IKE 协议,利用证书中的公钥进行加密,协商出用于后续数据加密传输的会话密钥。一旦密钥交换成功,双方就建立起了安全的 VPN 连接,用户可以通过该连接安全地访问企业内部网络资源。
分支机构与企业总部的认证
分支机构的 VPN 设备向企业总部的天翼云 IPsec VPN 网关发起连接请求,并在请求中发送分支机构 VPN 设备的数字证书。
企业总部的 VPN 网关对分支机构 VPN 设备的证书进行验证,包括验证证书的颁发机构是否可信、证书有效期以及是否在 CRL 中被撤销等。
验证证书通过后,VPN 网关从证书中获取分支机构 VPN 设备的身份信息,如分支机构名称、设备标识等。然后,依据企业制定的针对分支机构的网络访问策略,检查该分支机构是否具有访问企业总部网络资源的权限,以及可以访问哪些特定的资源。例如,企业可能允许某些分支机构访问总部的财务数据服务器,而限制其他分支机构的访问。
在权限验证通过后,双方通过 IKE 协议进行密钥交换,协商出用于加密数据传输的会话密钥。完成密钥交换后,分支机构与企业总部之间建立起安全的 IPsec VPN 隧道,分支机构内部的设备可以通过该隧道安全地与企业总部网络进行数据交互,实现资源共享和协同工作。
4.4 数据加密与传输
加密算法选择
在基于证书认证的天翼云 IPsec VPN 方案中,支持多种加密算法,企业可以根据自身的安全需求和性能要求选择合适的加密算法。常见的加密算法有高级加密标准(AES)、三重数据加密算法(3DES)等。
AES 算法具有较高的安全性和加密效率,被广泛应用于各种加密场景。它提供了不同的密钥长度选项,如 128 位、192 位和 256 位,密钥长度越长,安全性越高。企业对于安全性要求较高的数据传输场景,可以选择 256 位密钥长度的 AES 算法。
3DES 算法是对 DES 算法的改进,通过使用三个不同的密钥对数据进行三次加密,提高了加密的安全性。虽然 3DES 算法的安全性较高,但由于其计算复杂度相对较高,加密和解密的速度相对较慢。在一些对性能要求不是特别高,但对兼容性有一定要求的场景中,可以选择 3DES 算法。
数据加密过程
当远程接入用户或分支机构的设备需要向企业内部网络传输数据时,首先会根据协商好的加密算法和会话密钥对数据进行加密处理。例如,如果选择了 AES 加密算法,发送方会使用协商好的 AES 会话密钥,按照 AES 算法的加密流程对数据进行加密,将明文数据转换为密文数据。
加密后的密文数据被封装在 IP 数据包中,然后通过 IPsec VPN隧道进行传输。在封装过程中,会添加相应的 IPsec 头部信息(如 ESP 头部),这些头部信息包含了加密算法标识、初始向量等必要参数,以便接收方能够正确解密数据。
数据解密过程
企业总部的 IPsec VPN 网关接收到通过 VPN 隧道传输的加密数据包后,首先解析 IPsec 头部信息,获取加密算法标识、初始向量等参数。
然后,使用之前协商好的会话密钥,按照对应的加密算法(如 AES)的解密流程对密文数据进行解密,将密文数据还原为明文数据。
解密完成后,VPN 网关会对数据的完整性进行验证。通过检查数据包中的消息认证码(MAC),确认数据在传输过程中未被篡改。如果完整性验证通过,VPN 网关将明文数据转发到企业内部网络的目标设备;如果验证失败,则丢弃该数据包,以防止恶意数据进入企业内部网络。
五、基于证书认证的天翼云 IPsec VPN 方案优势
5.1 更高的安全性
基于证书认证的方式相比预共享密钥等传统认证方式,具有更高的安全性。预共享密钥需要在通信双方之间预先共享,一旦密钥泄露,所有使用该密钥进行认证的通信都会面临安全风险,且密钥的分发和管理难度较大,尤其是在企业网络规模较大、设备数量较多的情况下,密钥的更新和维护成本极高。
而基于证书认证的方式,通信双方不需要预先共享密钥,而是通过数字证书来交换公钥。数字证书由可信的 CA 颁发,具有不可伪造性,且每个设备或用户都拥有唯一的密钥对,私钥由自身严格保管,大大降低了密钥泄露的风险。即使某个设备的私钥不慎泄露,也只会影响该设备的通信安全,不会对整个网络的安全造成大规模影响,安全性更有保障。
5.2 便于大规模部署和管理
在企业网络规模不断扩大,分支机构和远程接入用户数量日益增多的情况下,基于证书认证的天翼云 IPsec VPN 方案更便于大规模部署和管理。
采用预共享密钥认证方式时,每增加一个新的接入设备或用户,都需要在 VPN 网关和新设备之间预先配置相同的密钥,随着设备和用户数量的增加,密钥管理的工作量会呈指数级增长,容易出现密钥配置错误、遗漏等问题,给网络安全带来隐患。
而基于证书认证的方式,通过 PKI 体系进行证书的集中管理。新设备或用户只需向 CA 申请数字证书,在获得证书后,即可通过证书与 VPN 网关进行认证和通信。CA 可以对证书进行统一的颁发、更新、撤销等管理操作,管理员可以通过 CA 的管理台实时监控证书的状态,大大简化了大规模网络环境下的认证管理工作,提高了网络管理的效率和准确性。
5.3 更好的扩展性和灵活性
基于证书认证的天翼云 IPsec VPN 方案具有更好的扩展性和灵活性,能够满足企业业务不断发展的需求。
当企业新增分支机构或远程接入用户时,只需为新增的设备或用户申请数字证书,即可快速接入到企业的 IPsec VPN 网络中,无需对现有的 VPN 网关配置进行大规模修改。同时,PKI 体系支持多型的数字证书,如设备证书、用户证书等,可以根据不同的应用场景和安全需求,为不同的实体颁发相应的证书,满足企业多样化的认证需求。
此外,该方案支持与企业现有的身份认证系统(如 LDAP、Active Directory 等)进行集成,实现用户身份的统一管理和认证。用户可以使用现有的账号和密码通过身份认证系统获取数字证书,进一步提高了系统的灵活性和用户体验。
六、基于证书认证的天翼云 IPsec VPN 方案实施要点
6.1 合理规划 PKI 体系
在实施基于证书认证的天翼云 IPsec VPN 方案时,首先需要合理规划 PKI 体系。企业需要根据自身的网络规模、安全需求和管理模式,选择合适的 CA 部署方式,是采用企业内部自建私有 CA,还是使用外部第三方 CA。
如果企业对安全性要求极高,且拥有专业的安全管理团队,自建私有 CA 可以更好地控制证书的颁发和管理流程,提高证书管理的安全性和灵活性。但自建 CA 需要投入一定的硬件设备和人力资源,用于 CA 服务器的部署、维护和安全防护。
如果企业网络规模较小,或缺乏专业的安全管理团队,使用外部第三方 CA 可以降低 PKI 体系的建设和管理成本。第三方 CA 具有专业的安全技术和管理经验,能够提供可靠的证书服务,但企业需要支付相应的服务费用,且对证书的管理权限相对较低。
同时,需要规划证书的类型、有效期、密钥长度等参数。证书的有效期应根据企业的安全策略和业务需求进行设置,过长的有效期可能增加证书被滥用的风险,过短的有效期则会增加证书更新的频率和管理成本。密钥长度的选择应考虑安全性和性能的衡,一般来说,密钥长度越长,安全性越高,但加密和解密的计算开销也越大。
6.2 确保证书的安全存储和管理
证书和私钥的安全存储和管理是方案实施的关键环节。对于 VPN 网关、服务器等设备,应将证书和私钥存储在安全的存储介质中,如硬件安全模块(HSM)。HSM 是一种专门用于保护密钥和执行加密运算的硬件设备,具有防篡改、抗攻击等特性,能够有效防止证书和私钥被非法获取。
对于远程接入用户的证书和私钥,应指导用户将其存储在安全的位置,如加密的 U 盘、智能卡等,并设置密码进行保护。同时,企业应制定严格的证书管理规章制度,规范证书的申请、颁发、更新、撤销等操作流程,明确管理员和用户的职责和权限。定期对证书的状态进行检查,及时发现和处理过期、吊销的证书,确保证书的有效性和安全性。
6.3 配置合适的 IPsec VPN 参数
在配置天翼云 IPsec VPN 时,需要选择合适的加密算法、认证算法、密钥交换参数等,以确保 VPN 连接的安全性和性能。
加密算法应选择安全性高、性能好的算法,如 AES 算法。认证算法可以选择 SHA 系列算法(如 SHA-256),用于验证数据的完整性和数据源的真实性。在密钥交换过程中,应选择合适的 DH 密钥组,DH 密钥组的度应与加密算法的密钥长度相匹配,以保证密钥交换的安全性。
同时,需要合理设置 SA(安全关联)的生存周期。SA 的生存周期包括时间周期和流量周期,当达到设定的时间或传输的流量达到设定值时,SA 将自动更新。合理设置 SA 的生存周期可以定期更换加密密钥,降低密钥被破解的风险。
6.4 加网络设备的安全防护
除了证书认证和 IPsec 加密外,还应加网络设备的安全防护,提高整个网络的安全性。对 VPN 网关、路由器、防火墙等网络设备进行安全加固,如关闭不必要的服务和端口,设置密码,定期更新设备的操作系统和固件,修补安全漏洞等。
配置完善的访问控制策略,限制未经授权的设备和用户访问 VPN 网关和企业内部网络。通过防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备,对网络流量进行监控和分析,及时发现和阻止恶意攻击行为,保障网络的安全运行。
七、未来展望
随着企业数字化转型的不断深入,网络安全的重要性将更加凸显,基于证书认证的 IPsec VPN 技术也将不断发展和完善。
未来,天翼云可能会进一步整合人工智能、大数据等技术,实现 IPsec VPN 的智能化管理和运维。通过人工智能算法对 VPN 连接的状态、证书的使用情况等数据进行分析和预测,提前发现潜在的安全风险和故障隐患,并自动采取相应的措施进行处理,提高 VPN 服务的可靠性和安全性。
同时,随着量子计算技术的发展,传统的加密算法可能面临被量子计算机破解的风险。为此,天翼云可能会研究和应用抗量子计算的加密算法,如基于格的加密算法、基于哈希的签名算法等,将其集成到 IPsec VPN 方案中,确保在量子计算时代,基于证书认证的天翼云 IPsec VPN 仍然能够提供可靠的安全保障。
此外,将进一步简化基于证书认证的 IPsec VPN 的部署和配置流程,提供更加友好的用户界面和自动化的配置工具,降低企业的使用门槛,使更多的企业能够便捷地享受到基于证书认证的 IPsec VPN 带来的安全服务,助力企业在数字化时代安全、高效地开展业务。
