谎伴

  • 虚拟专用网概述
  • VPN的需求
  • VPN的分类
  • VPN的工作原理
  • VPN的技术原理
  • VPN使用的安全协议
  • VPN技术实现
  • VPN的安全保障
  • 虚拟专用网的技术特点
  • 虚拟专用网的优点和局限性
  • 虚拟专用网的优点
  • 虚拟专用网的局限性
  • 首页
  • 关于作者
  • 文章归档
  • 友情链接
  • 留言反馈
  • RSS Feed
  • GitHub
  • WordPress

赞赏/打赏

站点监测

站点服务

虚拟专用网技术

  • 谎言相伴
  • 2022-12-14
  • 0

虚拟专用网概述

虚拟专用网(Virtual Private Network,VPN)通常是通过一个公用的网络(如Internet)建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的安全信息隧道,信息可以通过这条隧道在公用网络中安全地传输。

虚拟专用网是依靠Internet服务提供商(Internet Service Provider,ISP)和其他网络服务提供商(Net Service Provider,NSP),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络如因特网Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络是指,用户可以为自己制定一个最符合自己需求的网络

VPN的需求

很多时候需要在异地连接网络。例如企业员工在外出差或在家里需要连接公司服务器;或者有第三方需要接入公司服务器(如电子商务);或者企业数据需要进行异地灾备;还有的企业分支机构需要连接总公司等。

在传统的企业网络配置中,要进行远程访问,方法是租用DDN(数字数据网)专线或帧中继,这样的通信方案必然导致高昂的网络通信和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。

这时候最便捷的方式就是使用VPN进行连接。

可以形象地称VPN为“网络中的网络”。而保证数据安全传输的关键就在于VPN使用了隧道协议,适用范围比较广泛,如企业原有专线网络的带宽升级企业远程用户需要实现远程访问的情况;对通信线路的保密性和可用性要求较高的用户(如证券、保险公司)等。

VPN的分类

  1. 按VPN的协议分类 VPN的隧道协议主要有三种,即PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。

还有一种基于SSL的VPN技术。SSL协议位于TCP/IP协议与各种应用层协议之间,是目前最常用的VPN形式。

  1. 按VPN的应用分类 根据VPN网络的应用可以将VPN分为三类:Client-LAN类型、LAN-LAN类型、ExtranetVPN类型。

(1)Client-LAN类型的VPN也称为Access VPN(远程接入VPN),即远程访问方式的VPN。

它提供了一种安全的远程访问手段,使用公网作为骨干网在设备之间传输VPN数据流量。例如,出差在外的员工,有远程办公需要的分支机构,都可以利用这种类型的VPN,实现对企业内部网络资源进行安全的远程访问。

Client-LAN类型VPN

(2)LAN-LAN类型的VPN,也称为Intranet VPN(内联网VPN),网关到网关,通过公司的网络架构连接来自同公司的资源。

为了在不同局域网之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,可以采用LAN-LAN类型的VPN。而采用LAN-LAN类型的VPN,可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接,再利用VPN的隧道协议实现安全保密需要,就可以满足公司总部与分支机构以及合作企业间的安全网络连接。

LAN-LAN类型的VPN

(3)Extranet VPN(外联网VPN)即与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接,这和第一种VPN类似。

  1. 按所用的设备类型进行分类 网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙。

(1)交换机式VPN:主要应用于连接用户较少的VPN网络。

(2)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可。

(3)防火墙式VPN:这是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。

VPN的工作原理

VPN的工作流程如图所示。

通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。VPN的基本工作原理步骤如下。

(1)网络1(假定为公网Internet)的终端A访问网络2(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。

(2)网络1的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络2的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络2的VPN网关的外部地址。

(3)网络1的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络2的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络2的VPN网关。

(4)网络2的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络1的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。

(5)网络2的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

(6)从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通信了。

通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通信十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。由于网络通信是双向的,在进行VPN通信时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

VPN的技术原理

VPN使用的安全协议

VPN的实现都是通过安全协议完成的,它所使用的主要安全协议如下。

  1. PPTP-Point to Point Tunnel Protocol(点对点隧道协议) 通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。
  2. L2TP-Layer2 Tunneling Protocol(第二层隧道协议) PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都允许客户通过其间的网络建立隧道,L2TP还支持信道认证。
  3. IPSec—Internet Protocol Security(因特网协议安全) 它用于确保网络层之间的安全通信。关于IPSec VPN在IPV6的安全机制里有详细描述。
  4. SSL—Secure Socket Layer 它是Netscape公司所研发,用以保障在Internet上数据传输的安全,利用数据加密技术,可确保数据在网络上的传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。

VPN技术实现

VPN在技术实现上主要有三种方式:MPLS VPN、IP Sec VPN和SSL VPN。

MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multi-Protocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。

IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通信的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSLVPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。

SSL VPN的优点如下。

(1)方便。与其他VPN相比,SSL VPN最大的优点在于它直接使用浏览器完成操作,无需安装独立的客户端,这就极大地方便了用户使用。实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短。如果网络条件具备,连安装带调试,1~2天即可投入运营。

(2)容易维护。SSL VPN维护起来简单,出现问题时维护网关即可;实在不行,也可以换一台网关如果有双机备份的话,启动备份机器就可以了。

(3)安全。SSL VPN是一个安全协议,数据全程加密传输。另外,由于SSL VPN网关隔离了内部服务器和客户端,只留下一个Web浏览接口,客户端的大多数病毒木马感染不到内部服务器。而IPSec VPN就不一样,实现的是IP级别的访问,远程网络和本地网络几乎没有区别,局域网能够传播的病毒,通过它一样能够传播。

VPN的安全保障

由于传输的是私有信息,VPN用户对数据的安全性要求比较高。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryptionand Decryption)、密钥管理技术(Key Management)和用户与设备身份认证技术(Authentication)。

  1. 隧道技术 隧道技术是VPN的基本技术。类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。

第二层隧道协议是先把各种网络协议装到PPP中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP L2T等。

第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

  1. 加解密技术 加解密技术(对称加密、公钥加密等)是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
  2. 密钥管理技术 密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被偷听、窃取。
  3. 用户与设备身份认证技术 用户与设备身份认证技术最常用的是用户名与密码或卡片式认证等方式。

除了以上几种技术,还有一种比较常用的VPN方式:SSL VPN,即SSL协议被使用于VPN中。这种方式经常用于访问银行、金融及机密系统。通过计算机使用银行的网银系统时使用的就是SSL VPN。它是将HTTP协议和SSL协议相结合形成的HTTPS(Hyper Text TransferProtocol over Secure Socket Layer)协议。

SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL置身于网络结构体系的传输层和应用层之间,本身就被几乎所有的Web浏览器支持,不需要为了支持SSL连接安装额外的软件。连接成功后,基于Java的客户端就会被下载到计算机的Web浏览器,会在客户的计算机和VPN集线器或防火墙服务器之间创建一个虚拟连接。

SSL协议的工作层次

虚拟专用网的技术特点

VPN的技术特点包括:安全保障、服务质量保证、可扩充性和灵活性、可管理性。

  1. 安全保障 虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
  2. 服务质量保证 VPN应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。

QoS通过流量预测与流量控制策略,可以按照优先级实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

  1. 可扩充性和灵活性 VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
  2. 可管理性 从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标:减小网络风险,具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

虚拟专用网的优点和局限性

虚拟专用网的优点

企业使用VPN有许多优点。

(1)使用VPN可降低成本。通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。通常租用电信的专用网络是很贵的。使用VPN可以降低企业使用网络的成本。这是VPN最大的优点。

(2)传输数据安全可靠。虚拟专用网产品都是采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。

(3)连接方便灵活。用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。

(4)完全控制。虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,而其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

虚拟专用网的局限性

(1)VPN用户不能直接控制基于互联网的VPN的可靠性和性能。用户必须依靠提供VPN的互联网服务提供商保证服务的运行。这个因素使用户与互联网服务提供商签署一个服务级协议非常重要,要签署一个保证各种性能指标的协议。

(2)用户创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真地规划和配置。因此,最好选择互联网服务提供商负责运行VPN。

(3)不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。另一方面,使用一家供应商的设备可能会提高成本。

(4)当使用无线设备时,VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都有可能被攻破。

© 2024 谎伴
Theme by Wing
  • {{ item.name }}
  • {{ item.name }}