隨著Internet和信息化技術的發(fā)展,企業(yè)和個人在Internet上的交易日益頻繁,隨之而來的安全問題也日益突出。虛擬專用網(wǎng)就是利用不可靠的公用互聯(lián)網(wǎng)絡作為信息傳輸媒介,通過附加的安全隧道、用戶認證和訪問控制等技術,實現(xiàn)與專用網(wǎng)絡相類似的安全性能的一種專用網(wǎng)絡。
近年來,寬帶接入的蓬勃發(fā)展帶動了VPN在寬帶網(wǎng)絡平臺上的各種應用飛速發(fā)展,反過來,VPN的應用又促進寬帶內(nèi)容的不斷豐富。
在國外網(wǎng)絡通信發(fā)達的圍家,VPN應用已經(jīng)非常普及。國外的VPN技術發(fā)展較快,基于標準的虛擬專用網(wǎng)技術近年來己成為網(wǎng)絡界的新熱點,這是因為它有著無可比擬的優(yōu)勢:通過整合幾種數(shù)據(jù)保護的方式,使用戶可以在開放的Internet上輕松地交換私有數(shù)據(jù),而無需高昂的專用網(wǎng)絡及設備。它帶來的好處不僅是成本的降低,更重要的是將服務質(zhì)量也帶給了用戶。
我國的IP網(wǎng)絡安全研究起步晚、投入少、研究力量分散,與技術先進國家有較大的差距,特別是在系統(tǒng)安全和安全協(xié)議方面。目前,國內(nèi)市場對信息安全的需求日益強烈,尤其是頗具規(guī)模的客戶對網(wǎng)絡安全的需求越來越緊迫,因此,需要加大力度,研發(fā)方便、安全和適合自己的VPN解決方案。近兩年來,一些大中型企業(yè)已建立VPN網(wǎng)絡,一些學校的校園網(wǎng)也正在嘗試使用VPN技術提供遠程連接服務。一些高校和公司也正在研究VPN技術,開發(fā)實用的VPN軟件產(chǎn)品,提高全方位的VPN技術服務。
1 VPN技術簡介
1.1 IPSec VPN IPSec是由IETF(因特網(wǎng)工程任務組)于1998年11月公布的開放性IP安全標準,用于保護lP數(shù)據(jù)包或上層數(shù)據(jù)。IPSec在IP層上對數(shù)據(jù)包進行高強度的安全處理,提供訪問控制、數(shù)據(jù)源驗證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機密性、抗重播和有限的通信流機密性等安全服務,具有較好的安全一致性、共享性及應用范圍。這是因為,口層可為上層協(xié)議無縫地提供安全保障,各種應用程序可以享用IP層提供的安全服務和密鑰管理,而不必設計和實現(xiàn)自己的安全機制,因此減少了密鑰協(xié)商的開銷,也降低了產(chǎn)生安全漏洞的可能性。
1.1.1 IPSec VPN的優(yōu)點
①通用性好。IPSec是與應用無關的技術,因此IPSec VPN的客戶端支持所有IP層協(xié)議,并且IPSec定義了一套用于認證、保護私有性和完整性的標準協(xié)議,這使得客戶端至站點(client—to—site)、站點對站點(site—to—site)、客戶端至客戶端(client—to—client)連接所使用的技術是完全相同的。
而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它檢查傳輸?shù)臄?shù)據(jù)包的完整性,以確保數(shù)據(jù)沒有被篡改;
②整合性好。IPSec VPN網(wǎng)關整合了網(wǎng)絡防火墻的功能,還可與個人防火墻等其他安全功能一起銷售。因此,可保證配置、預防病毒,并進行入侵檢測。并且IPSec可在多個防火墻和服務器之間提供安全性,確保運行在TCP/IP協(xié)議上的VPN之間的互操作性:
③透明性。IPSec在傳輸層之下,對于應用程序來說是透明的。當在路由器或防火墻上安裝IPSec時,無需更改用戶或服務器系統(tǒng)中的軟件設置,即使在終端系統(tǒng)中執(zhí)行IPSec,應用程序一類的上層軟件也不會受到影響。
1.1.2 IPSec VPN的缺點
①IPSec VPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序:
②IPSec VPN的連接性會受到網(wǎng)絡地址轉換的影響,或受網(wǎng)關代理設備的影響;
③IPSec VPN需要先完成客戶端配置才能建立通信信道,并且配置比較復雜。
1.2 SSL VPN SSL協(xié)議的英文全稱是“Secure Sockets Layer”,中文名為“安全套接層協(xié)議層”。SSL協(xié)議是網(wǎng)景公司設計的基于Web應用的安全協(xié)議,它指定了在應用程序協(xié)議(如HTTP,Telnet和FIP等)和TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制,為TCP/IP連
接提供數(shù)據(jù)加密、服務器認證以及可選的客戶機認證。作為應用層之下的協(xié)議,SSL使用公開密鑰體制和數(shù)宇證書技術保護信息傳輸?shù)臋C密性和完整性,但它不能保證信息的不可抵賴性。
SSL VPN作為一種新的VPN技術,相對于傳統(tǒng)的IPSec VPN等有其自身的技術特點。
1.2.1 SSL VPN的主要優(yōu)點:①客戶端支撐維護簡單;②良好的安全性;③提供更細粒度的訪問控制;④能夠穿越NAT和防火墻設備;⑤能夠較好地抵御外部系統(tǒng)和病毒攻擊;⑥網(wǎng)絡部署靈活方便i⑦適用大多數(shù)設備。
1.2.2 SSLVPN的主要缺點:①安全認證方式比較單一,只能夠使用證書方式,而且一般是單向認證;②SSL VPN應用受到限制。一般都用于B/S模式,用戶只能訪問基于Web服務器的應用:③SSL VPN是應用層加密,性能相對來說可能會受到較大影響。
1.3 MPLS VPN MPLS(multiprotocollabelswitch)是Internet核心多層交換計算的最新發(fā)展。MPLS將轉發(fā)部分的標記交換和控制部分的IP路由組合在一起,加快了轉發(fā)速度,而且,MPLS可以運行在任何鏈接層技術之上。
MPLS VPN網(wǎng)絡主要由CE(CustomEdgeRouter,用戶網(wǎng)絡邊緣路由器)、PE(Provider Edge Router,骨干網(wǎng)邊緣路由器)和P(Provider Router,骨干網(wǎng)核心路由器)等3部分組成:CE設備直接與服務提供商網(wǎng)絡相連,它“感知”不到VPN的存在;PE設備與用戶的CE直接相連,負責VPN業(yè)務接入,處理VPN—Ipv6路由,是MPLS三層VPN的主要實現(xiàn)者;P負責快速轉發(fā)數(shù)據(jù),不與CE直接相連。在整個MPLS VPN中,P、PE設備需要支持MPLS的基本功能,CE設備不必支持MPLS。
MPLS VPN構建在專用網(wǎng)絡上,能夠保證很好的服務質(zhì)量,而且價格與傳統(tǒng)專線在同一水平。IPSec/SSL VPN承載在公眾互聯(lián)網(wǎng)上,成本相對比較低,但服務質(zhì)量基本無法保證。服務供應商當然可以部署一種或者同時部署多種VPN架構來支持其新型增值服務,但是,如果能夠把各類VPN融合起來更可以獲得優(yōu)勢互補所帶來的巨大利益。提供設計優(yōu)良、運行正常和綜合性的VPN服務可以同時提升IPsec和MPLS的應用層次。
1.4內(nèi)部網(wǎng)VPN構建方案,VPN系統(tǒng)的首要職責是保障安全,保障互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的基本機制包括:身份認證、信息保密和信息完整。
內(nèi)部網(wǎng)VPN的設計須遵循以下原則:①保障安全;②參保證多平臺兼容;③提供有效的訪問控制;④有效的管理平臺。
MPLS VPN主要解決的是固定站點間的互聯(lián)問題,一般不借助Internet來實現(xiàn),服務質(zhì)量和安全性的保障比較方便,適用于中大型客戶的組網(wǎng):而IPSecVPN和SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠程接入和互聯(lián),雖然在技術上來說,它們也可以部署在其它的網(wǎng)絡上(如專線),但那樣就失去了其應用的靈活性,它們更適用于商業(yè)客戶等對價格特別敏感的客戶。比較前面的幾種VPN技術,我們發(fā)現(xiàn),作為SSL VPN產(chǎn)品的一個重要指標就是要能夠作到在任何時間及任何地點進行訪問,使得移動辦公用戶能夠隨時隨地地保持聯(lián)網(wǎng)以及保證安全的網(wǎng)絡連接。內(nèi)部網(wǎng)VPN系統(tǒng)為多種應用服務提供保護,因此應該提供一定的訪問控制策略,讓不同的用戶有不同的訪問權限。而SSL VPN較之于IPSec VPN的一個優(yōu)勢就在于,SSL VPN能夠提供更細粒度的訪問控制管理,即針對具體應用程序實施訪問控制策略。SSL VPN服務器同時可以提供客戶方和服務器方友好而有效的管理配置界面,方便用戶的使用。
雖然目前企業(yè)應用最廣泛的是IPsec VPN,然而研究表明,在未來的幾年中IPSec的市場份額將下降,而SSL VPN將逐漸上升。由于技術進步,用戶更愿將應用外包給運營商來提供,或是自己選擇部署成本低且應用方便的VPN。
綜上所述,內(nèi)部網(wǎng)的構建方案如下:
①對于那些需要較高認證和私密性、而對服務質(zhì)量要求不高的數(shù)據(jù)流采用IPSec解決方案,而對網(wǎng)絡的帶寬和服務質(zhì)量(QoS)要求較高的需求則采用MPLS解決方案。
②對于內(nèi)部網(wǎng)絡中,安全要求較高的局域網(wǎng)選擇部署MPLSVPN來支持Sites to Sites間且具有Qos等級的VPN連接:而對于內(nèi)部網(wǎng)絡中涉密級別較低的可以選擇SSL這類部署簡單、維護成本低、使用方便的VPN。
③對于語音業(yè)務,可以利用VoIP技術使企業(yè)利用IP VPN來傳送語音業(yè)務,允許語音傳送就像一種數(shù)據(jù)業(yè)務一樣通過IP網(wǎng)絡。基于VPN路由器,通過使用服務類型宇段對語音和視頻流量作標記,將其顯示為IPSec報頭的一部分發(fā)向網(wǎng)絡,使其享有更高的優(yōu)先級,這樣企業(yè)可利用IP電話建立起自己的遠程家庭辦公網(wǎng)絡系統(tǒng)。VoIP VPN使企業(yè)不必為語音和數(shù)據(jù)分別建立網(wǎng)絡,大大節(jié)省了開銷。
④為更好得實現(xiàn)與IPSec協(xié)議的兼容,可以采用基于VPN的安全多播技術。它由安全多播網(wǎng)關和安全多播主機組成,充分利用現(xiàn)有的基于IPsec協(xié)議的VPN系統(tǒng)的體系結構,來實現(xiàn)多播數(shù)據(jù)的安全傳輸,實現(xiàn)簡單,結構靈活。
基于VPN安全多播系統(tǒng)的安全多播網(wǎng)關中有一個網(wǎng)關充當多播組的控制器,一個網(wǎng)關充當多播組的備份控制器。組控制器對整個多播組的安全策略進行管理,備份控制器在主控制器失效時充當多播組的主控制器。多播報文在安全多播網(wǎng)關之間采用隧道進行傳輸。在多播安全網(wǎng)關和多播安全主機之間采用多播傳輸;赩PN的安全多播系統(tǒng)提高了多播數(shù)據(jù)傳輸時的安全性和可靠性。
2小結
本文討論了IPSec VPN、SSL VPN以及MPLS VPN三者的優(yōu)缺點,并設計了一種內(nèi)部VPN網(wǎng)絡的構建方案,既保證服務質(zhì)量,又提高了性價比。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:基于VPN技術的內(nèi)部網(wǎng)絡構建
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083945350.html