淺談VPN技術(shù)
一、什么是VPN技術(shù)?
VPN的全稱是Virtual Private Network,翻譯過(guò)來(lái)稱為虛擬專用網(wǎng)絡(luò)。其主要作用就是利用公用網(wǎng)絡(luò)(主要是互聯(lián)網(wǎng))將多個(gè)私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)。通過(guò)公用網(wǎng)絡(luò)進(jìn)行連接可以大大降低通信的成本。
二、VPN技術(shù)的特點(diǎn)
1)安全保障
雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)路平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接,稱之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送這和接受者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全方面,由于VPN直接構(gòu)建在公用網(wǎng)上使操作變的簡(jiǎn)單、方便與靈活,但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對(duì)安全性提出了更高的要求。
2)服務(wù)質(zhì)量保證(Qos)
VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證,不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶,提供廣泛地連接和服該行時(shí)保證VPN服務(wù)一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對(duì)于其它應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等,所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量,在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞,產(chǎn)生網(wǎng)絡(luò)瓶頸,使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。Qos通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。
3)可擴(kuò)充性和靈活性
VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
4)可管理性
從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù),所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)危險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、Qos管理等內(nèi)容。
三、VPN安全技術(shù)
由于傳輸?shù)氖撬接行畔ⅲ琕PN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。
目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。
1、隧道技術(shù)是VPN的基本技術(shù)
類似于點(diǎn)對(duì)點(diǎn)連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸,第二層隧道協(xié)議有L2F、PPTP、L2TP等,L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP于L2F而形成。
第三層隧道協(xié)議是吧各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障。
2、加解密技術(shù)
加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。
3、密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種:
ØSKIP主要是利用DiffieHellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰; Ø在SAKMP中,雙方都有兩把密鑰,分別用于公用、私用
4、身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。
四、堵住安全漏洞
安全問(wèn)題是VPN的核心問(wèn)題。目前,VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的,可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。但是,如果一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問(wèn)時(shí),就要注意,這些對(duì)公司網(wǎng)直接或始終在線的連接將會(huì)是黑客攻擊的主要目標(biāo),因?yàn)椋h(yuǎn)程工作員工通過(guò)防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略技術(shù)以及工程項(xiàng)目等核心內(nèi)容,這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。雖然,員工可以雙倍地提高工作效率,并減少在交通上所花費(fèi)的時(shí)間,但同時(shí)也為黑客、競(jìng)爭(zhēng)對(duì)手以及商業(yè)間諜提供了無(wú)數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機(jī)會(huì)
VPN的全稱是Virtual Private Network,翻譯過(guò)來(lái)稱為虛擬專用網(wǎng)絡(luò)。其主要作用就是利用公用網(wǎng)絡(luò)(主要是互聯(lián)網(wǎng))將多個(gè)私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)。通過(guò)公用網(wǎng)絡(luò)進(jìn)行連接可以大大降低通信的成本。
二、VPN技術(shù)的特點(diǎn)
1)安全保障
雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)路平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接,稱之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送這和接受者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全方面,由于VPN直接構(gòu)建在公用網(wǎng)上使操作變的簡(jiǎn)單、方便與靈活,但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對(duì)安全性提出了更高的要求。
2)服務(wù)質(zhì)量保證(Qos)
VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證,不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶,提供廣泛地連接和服該行時(shí)保證VPN服務(wù)一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對(duì)于其它應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等,所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量,在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞,產(chǎn)生網(wǎng)絡(luò)瓶頸,使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。Qos通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。
3)可擴(kuò)充性和靈活性
VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
4)可管理性
從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù),所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)危險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、Qos管理等內(nèi)容。
三、VPN安全技術(shù)
由于傳輸?shù)氖撬接行畔ⅲ琕PN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。
目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。
1、隧道技術(shù)是VPN的基本技術(shù)
類似于點(diǎn)對(duì)點(diǎn)連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸,第二層隧道協(xié)議有L2F、PPTP、L2TP等,L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP于L2F而形成。
第三層隧道協(xié)議是吧各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障。
2、加解密技術(shù)
加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。
3、密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種:
ØSKIP主要是利用DiffieHellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰; Ø在SAKMP中,雙方都有兩把密鑰,分別用于公用、私用
4、身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。
四、堵住安全漏洞
安全問(wèn)題是VPN的核心問(wèn)題。目前,VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的,可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。但是,如果一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問(wèn)時(shí),就要注意,這些對(duì)公司網(wǎng)直接或始終在線的連接將會(huì)是黑客攻擊的主要目標(biāo),因?yàn)椋h(yuǎn)程工作員工通過(guò)防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略技術(shù)以及工程項(xiàng)目等核心內(nèi)容,這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。雖然,員工可以雙倍地提高工作效率,并減少在交通上所花費(fèi)的時(shí)間,但同時(shí)也為黑客、競(jìng)爭(zhēng)對(duì)手以及商業(yè)間諜提供了無(wú)數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機(jī)會(huì)
文章版權(quán)歸西部工控xbgk所有,未經(jīng)許可不得轉(zhuǎn)載。
服務(wù)咨詢