安全社区网络（SCN）简介

1.背景
------在IT基础设施和网络建设中，VPN网络应用越来越多，目前基于IPSec/IKE技术的VPN解决方案占有主导地位，得益于其内在的安全性、标准化、互通性好等优势。但同时也慢慢发现一些先天的不足，比如用户网络建立和维护上面比较复杂，通常需要专人进行管理和维护，人工成本相对较高；而客户端易用性上的不足，都可能成为用户望而却步的因素。
------随着网络技术和VPN应用的进一步发展，用户对VPN网络的功能和管理需求会越来越高，而同时对VPN网络建设的成本预算会越来越低，这就要求作为设备供应商必须逐步改变单一提供产品和解决方案的方式，过渡到提供VPN安全接入服务的方式。而SCN为此提供了一个技术平台。

2.架构
------SCN系统按照两个基本的出发点来设计和研制，其一是最终用户通过简单、易用的方式获得可信赖的安全接入服务（加入VPN网络），即用户只需要从中心服务器上面（自动）下载并安装客户端，输入自己的身份信息，即可获得安全网络接入服务；其二是整个系统的要易于集中地、统一地进行管理，实现逻辑隔离的虚拟安全管理域，高层安全策略能给易于分解、部署，以及能够及时更新。
------本系统分为安全客户端（NetShuttle）和管理服务器两个部分。NetShuttle安装在最终用户机器中，为用户提供安全服务，包括VPN接入、防火墙等功能。而中心管理服务器则提供账户管理、策略服务、域名寻址等基本服务，该服务器由专门管理员管理，通常对普通用户是不可见的。

---

2.1.功能描述
------SCN&NetShuttle系统是安达通对目前的传统VPN技术的研究和实际工程应用经验的基础之上，严格遵循IETF的IPSec、IKE规范，整合虚拟网卡技术、DNS/DDNS技术、名字路由技术（VNR）、NAT-T技术、Web-Based网络管理等技术手段，精心研制推出的VPN组网系统。
------主要功能描述如下：
------◆实现端到端（P2P）的安全连接，即隧道终点位于客户的主机，而不是安全网关，实现了完整路径的安全网络传输；
------◆基于虚拟安全管理域的管理，安全域间逻辑隔离；管理服务器位于公网为所有客户端提供策略服务和管理，这是实现VPN网络营运的基础；
------◆实现安全策略的统一集中管理；策略的集中管理易于实现策略的一致性检查，避免策略冲突；也有利于策略的统一更新，避免遗漏和错误；
------◆基于分布式加密计算服务，避免所有的加解密都在网关上进行，也充分利用了客户端的计算资源，从而消除了加解密计算的瓶颈问题；
------◆基于域名寻址（FQDN）服务提供VPN数据路由；
------◆客户端迅速、简便的建立、拆除、配置；
------◆客户的完全自由移动；灵活的网络覆盖，支持双向NAT穿透（NAT-T）；

2.2.特点
------◆易于管理——采用了基于WEB/APP扩展架构的管理体系，所有的域及其域内资源和属性都统一在一起进行管理。另外IPSec/IKE密钥的管理非常复杂，在本系统中，将密钥管理作为账户的属性之一，可以自动生成，也可以有管理员制定，但由域管理员统一管理，从而解决大规模网络的密钥管理问题；
------◆端到端安全——安全客户端（NetShuttle）通过提供到网络主机的隧道，从而实现端到端的传输安全保护，避免了不必要的内网安全问题。
------◆分布式计算，便于网络扩展——在SCN中，每个客户端作为网络节点独立加入安全网络，各自建立和维护自己的传输隧道，在增加了安全性的同时，也消除了网络的性能瓶颈，便于实现网络的扩展。
------◆自由移动——支持真正意义上的Two-way移动漫游用户（即：实现移动用户间的VPN安全通讯）。而Two-way对于很多应用的解决方案，如IP电话，网络会议等是必须的。

3.前景
------从虚拟局域网VPN的发展来看，小型化、人性化、终端安全以及高性能和维护、管理的便利性将是这种应用越来越广泛的联网技术的演变趋势。今后，安全社区网络SCN将通过运营、租赁等模式，为广大用户开展个性化服务，以满足中小企业安全组网的廉价和维护便利性需求，使VPN技术能更快地步入千家万户！

------安达通，VPN通信专家。