今天是   本站已创建

记录宝宝成长、关注育儿知识、石油科技、电脑技术!!!!

现在的位置: 首页 博客电脑 >正文
 
2007年5月23日 ⁄ 暗潮 博客电脑 ⁄ 评论数 0+ ⁄ 被围观 +

一、VPN概念
VPN即虚拟专用网(Virtual Private Network),VPN定义为“采用加密技术和认证技术,在公共网络上建立安全的专用隧道的网络”。 虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构建立可信的安全连接,并保证数据的安全传输。VPN可用于越来越多的移动用户的全球因特网接入,以实现安全连接。
二、VPN工作原理
目前,用于企业内部自建VPN的主要有两种技术——IPSec(Internet Portocol Security—网际安全协议) VPN和SSL(Security Socket Layer—加密套接字协议层)VPN。
(一)IPSec VPN技术
IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF(Internet Engineering Task Force—互联网工程任务专家组)正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。
IPSec提供三种不同的形式来保护通过IP网络来传送的用户数据。
  认证——作用是可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
  数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
  机密性——作用是使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
  在IPSec由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
    IPSec的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。
  IPSec Packet 可以在压缩原始IP地址和数据的隧道模式中使用
  传送模式通常当ESP在一台主机(客户机或服务勤)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。
  隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前 VPN主要包含两种技术:隧道技术与安全技术。
1、隧道技术
  隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。  
  要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
(1) 点到点隧道协议—PPTP
  PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
(2) 第二层隧道协议—L2TP
  L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
(3) IPSec协议
  IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,不会隐藏路由信息。1999年底,IETF(Internet Engineering Task Force   Internet工程任务组)安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。
  一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
  各种隧道协议在OSI七层模型中的位置
  
  优点:它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
  缺点:除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
  适用场合:最适合可信LAN到LAN之间的VPN。  
2、安全技术   
  VPN 是在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。  
(1) 认证技术
认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH 函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途:验证数据的完整性、用户认证。
(2) 加密技术
  IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
(3) 密钥交换和管理
   VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。
(二) SSL VPN技术
  IPSec VPN和SSL VPN是两种不同的VPN架构,IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,而SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的,从整体的安全等级来看,两者都能够提供安全的远程接入。但是,IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,而SSL VPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。
(1) 客户端支撑维护简单
  对于大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件,只需通过标准的Web浏览器连接因特网,即可以通过网页访问到企业内部的网络资源。而IPSec VPN需要在远程终端用户一方安装特定软件以建立安全隧道。
(2) 提供增强的远程安全接入功能
  IPSec VPN通过在两站点间创建安全隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,这会带来很多安全风险,尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接。通常SSL VPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将连接映射到不同的应用服务器上。
(3) 提供更细粒度的访问控制
  SSL VPN能对加密隧道进行细分,使终端用户能够同时接入Internet和访问内部企业网资源。另外,SSL VPN还能细化接入控制功能,提供用户级别的鉴权,依据安全策略确保只有授权的用户才能够访问特定的内部网络资源,这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
(4) 能够穿越NAT和防火墙设备
  SSL VPN工作在传输层之上,因而能够遍历所有NAT设备和防火墙设备,这使得用户能够从任何地方远程接入到公司的内部网络。而IPSec VPN工作在网络层上,它很难实现防火墙和NAT设备的遍历,并且无力解决IP地址冲突。
(5) 能够较好地抵御外部系统和病毒攻击
  SSL是一个安全协议,数据是全程加密传输的。另外,由于SSL网关隔离了内网服务器和客户端,只留下一个Web浏览接口,客户端的大多数木马病毒感染不到内网服务器。而传统的IPSec VPN由于实现的是IP级别的访问,一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,内部网络所连接的应用系统都是可以侦测得到,这就为黑客攻击提供了机会,并且使得局域网能够传播的病毒,通过VPN一样能够传播。
(6) 网络部署灵活方便
  IPSec VPN在部署时一般放置在网络网关处,因而需要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构。而SSL VPN却有所不同,它一般部署在内网中防火墙之后,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
  然而SSL VPN技术也存在一些不足,如认证方式比较单一,只能够采用证书,而且一般是单向认证,而IPSec VPN可以采取IKE(Internet Key Exchange)方式,使用数字凭证或是一组加密密钥来做认证;SSL VPN用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括B/S,C/S模式的应用;SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密;SSL VPN是应用层加密,性能相对来说可能会受到较大影响。此外,SSL VPN主要适用于点到点的信息加密传输,如果要实现网络到网络的安全互联,只能考虑采用IPSec VPN。
(7) SSL VPN的实际应用
  SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。通常企业内部的资源服务器向外网用户提供一个虚拟的URL地址,当用户从外网访问企业内网资源时,发起的连接被SSL VPN网关取得,通过认证后映射到不同的应用服务器,采用这种方式能够屏蔽内部网络的结构,不易遭受来自外部的攻击。对于SSL VPN的网关设备应当从三个基本层面来满足不同的应用需求:
  (1)支持Web方式的应用。例如通过SSL VPN建立的安全通道访问基于Web的电子邮件系统收发邮件。
  (2)支持非Web方式的应用。例如终端用户想要实现非Web页面的文件共享,那么SSL VPN网关必须将与内网FTP服务器的通信内容转化为HTTPS协议和HTML格式发往客户端,使终端用户感觉这些应用就是一些基于Web的应用。
  (3)支持基于客户/服务器应用的代理。这种应用需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传到SSL VPN网关中,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。
三、VPN的发展趋势
 对于一个企业来说不仅提供基于Web的应用,也同时提供大量不基于Web的应用,如OA、财务、销售管理、ERP等应用。在现阶段,SSL VPN只能访问基于Web的应用,而IPSec VPN却几乎可以为所有的应用提供访问,不过,IPSec不容易穿越防火墙和NAT设备,所以当用户需要从外网接入企业内部网络时就难以实现。对于用户来说,理想的方式是将SSL VPN和IPSec VPN结合起来使用。一方面为数量有限的用户提供IPSec VPN连接,使其能够访问企业内网的所有资源;另一方面为多数用户提供SSL VPN连接,使其可以访问基于Web的企业应用。
    从目前的市场情况看,IPSec仍占据最大的市场份额,但是它的种种弊端已经暴露出来。一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL VPN,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL VPN凭借其简单易用、部署及维护成本低,会受到企业用户的青睐,将会有更大的发展空间。
   VPN作为网关产品、用户(尤其是中小企业用户)也希望该网关不仅仅具备单一的VPN功能,而是能把防火墙、网关杀毒、垃圾邮件过滤等实用功能集成于一体。网关数量较多的VPN网络,更是对整网的可管理性提出了进一步的要求。

 
【版权声明】本站部分文章来自网络,欢迎转载本人原创文章、图片,请提供本博客中相应文章的链接。
请勿将原创图片、文章用于商业用途!对于给您带来的不便表示抱歉!!
本站所分享的影视作品均转自网络,仅供测试和学习交流。请在下载后24小时内删除,请购买/支持正版。
若有侵权,请即时留言告知,万分感谢!
 
 
 
 
目前有 81+ 人访问,有 0+ 条评论! 感谢支持!
 

 
日历
网站分类
搜索
最新留言
站点统计
Tags列表
 
Copyright ©2007-2018 暗潮天空 BlueSky wu2007.Cn京ICP备08005769

Powered By Zblog Theme By 流年岁月