一 引言
虛擬專用網(wǎng)(Virtual Private Network,VPN)是在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的一種安全的專用網(wǎng)絡(luò)。它可以提供多樣化的數(shù)據(jù)服務(wù)和快速、安全的網(wǎng)絡(luò)環(huán)境,是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。
VPN將加密技術(shù)、認(rèn)證技術(shù)、隧道協(xié)議進(jìn)行無縫結(jié)合,集靈活性、安全性、經(jīng)濟性以及擴展性于一身,可充分滿足分支機構(gòu)、移動辦公安全通信的需求。VPN結(jié)合了因特網(wǎng)和專用網(wǎng)的優(yōu)點,同時彌補了兩者的缺點。
二 什么是VPN
VPN是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù),即通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸,在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù),形成一種邏輯上的專用網(wǎng)絡(luò)。它向用戶提供一般專用網(wǎng)絡(luò)所具有的功能,但本身卻不是一個獨立的物理網(wǎng)絡(luò)。
所謂“虛擬(Virtual)”,說明它是一種仿真物理連接的邏輯網(wǎng)絡(luò)連接,沒有固定的物理連接,利用的是公共網(wǎng)絡(luò)資源。在VPN中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路,而是利用公用網(wǎng)絡(luò)資源(如Internet、ATM網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)等)動態(tài)組成的。所謂“專用(Private)”,說明它在功能上等同于傳統(tǒng)的專用網(wǎng)絡(luò),具有與內(nèi)部網(wǎng)絡(luò)相同的安全性、易管理性和穩(wěn)定性,可被當(dāng)作專用網(wǎng)絡(luò)使用。
VPN至少應(yīng)能提供如下功能:加密數(shù)據(jù),以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露;信息認(rèn)證和身份認(rèn)證,保證信息的完整性、合法性,并能鑒別用戶的身份;提供訪問控制,不同的用戶有不同的訪問權(quán)限。
三 VPN協(xié)議的分類
要建立遠(yuǎn)程連接,客戶端和服務(wù)器必須使用相同的VPN協(xié)議。
3.1 PPTP隧道協(xié)議
點對點隧道協(xié)議(Point to Point Tunneling Protocol)是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層,由微軟和其他遠(yuǎn)程接入設(shè)備供應(yīng)商組成的PPTP論壇開發(fā)。
3.2 Layer Two Tunneling Protocol(L2TP)
L2TP是PPTP和第二層轉(zhuǎn)發(fā)(L2F)的結(jié)合,具有這兩個協(xié)議的優(yōu)點,由IETF開發(fā),現(xiàn)已成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。
3.3 Internet Protocol Security(IPSec)
IPSec是IETF的開放標(biāo)準(zhǔn)框架,目標(biāo)是確保網(wǎng)絡(luò)層上的流量安全。
3.4 安全套接字層(SSL)
SSL(Secure Sockets Layer)是一種高層的安全協(xié)議,由Netscape開發(fā)。SSL是最常用的進(jìn)行安全的Web瀏覽的協(xié)議,稱為HTTPS。
3.5 多協(xié)議標(biāo)簽交換(MPLS)
MPLS的標(biāo)簽是一個基于分組交換技術(shù),是從如Cisco的“標(biāo)簽切換”和IBM的“ARIS業(yè)務(wù)”等許多先前的技術(shù)發(fā)展而來的。
四 VPN分類
4.1 按接入方式劃分
4.1.1 專線VPN
專線VPN是為已經(jīng)通過專線接入ISP(Internet Service Provider)路由器的用戶提供的VPN實現(xiàn)方案。這是一種“永遠(yuǎn)在線”的VPN,可以節(jié)省傳統(tǒng)的長途專線費用。
4.1.2 撥號VPN
撥號VPN是為通過PSTN或ISDN撥號接入ISP的用戶提供的VPN實現(xiàn)方案。這種VPN方式是目前最主要的VPN解決方案。
4.2 按隧道協(xié)議所屬的層次劃分
4.2.1 第二層隧道協(xié)議
第二層隧道建立在鏈路層,此協(xié)議先要把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝入隧道協(xié)議中,這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有PPTP、L2F、L2TP等。
4.2.2 第三層隧道協(xié)議
第三層隧道協(xié)議即網(wǎng)絡(luò)層隧道協(xié)議,此協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成數(shù)據(jù)包來傳輸。現(xiàn)有的第三層隧道協(xié)議主要是:通用路由封裝協(xié)議GRE、IP安全協(xié)議IPSec。
MPLS跨越第2層和第3層。VPN的實現(xiàn)往往將第2層和第3層協(xié)議配合使用,如L2TP/IPSec;當(dāng)然,還可根據(jù)具體的協(xié)議來進(jìn)一步劃分VPN類型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。
4.3 按VPN的發(fā)起主體不同來劃分
這是客戶和ISP(Internet Service Provider)最為關(guān)心的VPN分類。VPN業(yè)務(wù)可以是客戶獨立自主實現(xiàn)的,也可以是由ISP提供的。
(1)客戶發(fā)起(也稱基于客戶的):VPN服務(wù)提供的其始點和終止點是面向客戶的,其內(nèi)部技術(shù)構(gòu)成、實施和管理對VPN客戶可見。需要客戶和隧道服務(wù)器(或網(wǎng)關(guān))方安裝隧道軟件?蛻舴降能浖l(fā)起隧道,在公司隧道服務(wù)器處終止隧道。此時ISP不需要做支持建立隧道的任何工作。經(jīng)過對用戶身份(ID)和口令的驗證,客戶方和隧道服務(wù)器極易建立隧道。雙方也可以用加密的方式通信。隧道一經(jīng)建立,用戶就會感覺到ISP不再參與通信。
(2)服務(wù)器發(fā)起(也稱客戶透明方式或基于網(wǎng)絡(luò)的):在公司中心部門或ISP處安裝VPN軟件,客戶無須安裝任何特殊軟件,主要為ISP提供全面管理的VPN服務(wù),服務(wù)提供的起始點和終止點是ISP的POP,其內(nèi)部構(gòu)成、實施和管理對VPN客戶完全透明。
在上面介紹的隧道協(xié)議中,目前MPLS只能用于服務(wù)器發(fā)起的VPN方式。
4.4 按VPN的業(yè)務(wù)類型劃分
按服務(wù)器類型劃分,VPN業(yè)務(wù)可以大致分為三類:接入網(wǎng)VPN、企業(yè)內(nèi)部網(wǎng)VPN、企業(yè)外部網(wǎng)VPN。
4.4.1 接入網(wǎng)VPN
是一種撥號方式的VPN,是企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的VPN網(wǎng)絡(luò)。
4.4.2 企業(yè)內(nèi)部網(wǎng)VPN
企業(yè)的總部與分支機構(gòu)之間通過公網(wǎng)構(gòu)筑的VPN網(wǎng)絡(luò)。
4.4.3 企業(yè)外部網(wǎng)VPN
這是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)問通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對等的方式連接起來所組成的VPN(主要在安全策略上有所不同)。通常把企業(yè)內(nèi)部網(wǎng)和企業(yè)外部網(wǎng)VPN都?xì)w為專線VPN。
4.5 按VPN的應(yīng)用平臺劃分
VPN的應(yīng)用平臺分為:軟件平臺和專用硬件平臺。
4.5.1 軟件平臺
當(dāng)對數(shù)據(jù)傳輸速率要求不高,對性能和安全性需求不強時,可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實現(xiàn)簡單的VPN功能。
4.5.2 專用硬件平臺
專用硬件平臺的VPN設(shè)備可以滿足企業(yè)和個人用戶對高數(shù)據(jù)安全及通信性能的需求,尤其是加密及數(shù)據(jù)亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬件廠商比較多,比較有名的有國外的Nortel、Cisco、3Com等,國內(nèi)的華為、聯(lián)想、深信服等。
4.6 按路由管理方式劃分
按路由管理方式劃分,VPN分為兩種模式。
4.6.1 疊加模式(Overlay Model)
也譯為“覆蓋模式”。目前大多數(shù)VPN技術(shù),如IPSec、GRE都基于疊加模式。采用疊加模式,各站點都有一個路由器通過點到點連接(IPSec、GRE等)到其他站點的路由器上,不妨將這個由點到點的連接以及相關(guān)的路由器組成的網(wǎng)絡(luò)稱為“虛擬骨干網(wǎng)”。疊加模式難以支持大規(guī)模的VPN,可擴展性差。如果一個VPN用戶有許多站點,而且站點間需要全交叉網(wǎng)狀連接,則一個站點上的骨干路由器必須與其他所有站點建立點對點的路由關(guān)系。站點數(shù)的增加受到單個路由器處理能力的限制。另外,增加新站點時,網(wǎng)絡(luò)配置變化也會很大,網(wǎng)狀連接上的每一個站點都必須對路由器重新配置。
4.6.2 對等模式(Peer Model)
對等模式是針對疊加模式固有的缺點推出的,它通過限制路由信息的傳播來實現(xiàn)VPN。這種模式能夠支持大規(guī)模的VPN業(yè)務(wù),如一個VPN服務(wù)提供商可支持成百上千個VPN。采用這種模式,相關(guān)的路由設(shè)備很復(fù)雜,但實際配置卻非常簡單,容易實現(xiàn)QoS服務(wù),擴展也更加方便,因為新增一個站點,不需與其他站點建立連接,這對于網(wǎng)狀結(jié)構(gòu)的大型復(fù)雜網(wǎng)絡(luò)非常有用。MPLS技術(shù)是當(dāng)前主流的對等模式VPN技術(shù)。
五 VPN安全技術(shù)
目前VPN保證安全的主要技術(shù)是:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。
5.1 隧道技術(shù)是VPN的基本技術(shù)
類似于點對點連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸,第二層隧道協(xié)議有L2F、PPTP、L2TP等,L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP于L2F而形成。
第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障。
5.2 加解密技術(shù)
加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。
5.3 密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取,F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種:
SKIP主要是利用Diffie-Hellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用和私用。
5.4 身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。
六 各種企業(yè)的需求及VPN解決方案
不同規(guī)模的企業(yè)對遠(yuǎn)程傳輸數(shù)據(jù)信息的安全性要求不同,下面將按企業(yè)的規(guī)模來分析企業(yè)的需求和VPN解決方案。
6.1 小型企業(yè)
6.1.1 需求分析
小型企業(yè)對信息安全的需求是存在的,要求見效快,產(chǎn)品使用維護(hù)方便,但是企業(yè)所能投入信息化的資金有限,因此,用于信息安全方面的投資會有所限制。由于小型企業(yè)受到客觀條件的制約,因此,遠(yuǎn)程數(shù)據(jù)通信需要選擇價格便宜、簡單易用、性能穩(wěn)定和維護(hù)方便的產(chǎn)品及技術(shù)。
6.1.2 解決方案
基于現(xiàn)有的公網(wǎng)采用撥號VPN方式,使用軟件平臺。VPN服務(wù)提供商控制了整個VPN設(shè)施,最大優(yōu)點是他們不需要做任何實現(xiàn)VPN的工作,客戶不需要增加任何設(shè)備或軟件投資,整個網(wǎng)絡(luò)都由VPN服務(wù)提供商維護(hù)。最大的不足就是用戶對其控制權(quán)不足,存在一定的不安全因素。
6.2 中型企業(yè)
6.2.1 需求分析
中型企業(yè)對信息安全的需求是迫切的,要求VPN產(chǎn)品性能可靠穩(wěn)定,使用簡便,便于維護(hù),且企業(yè)能投人一定的信息化資金,但是仍然無法承受巨額的專線建設(shè)資金投資,因此,用于信息安全方面的仍然會有一定的限制。
6.2.2 解決方案
中型企業(yè)對數(shù)據(jù)傳輸速率及安全性方面有一定要求,連接用戶不多,可以采用的VPN解決方案:在總部與分部之間租用服務(wù)提供商的虛擬專線,客戶不需要購買專門的隧道設(shè)備、軟件,由VPN服務(wù)提供商提供設(shè)備來建立通道并驗證。企業(yè)仍然可以通過加密數(shù)據(jù)實現(xiàn)端到端的全面安全性。
對于企業(yè)員工出差或者在家辦公,則采用撥號VPN方式訪問公司內(nèi)部網(wǎng),既允許遠(yuǎn)程撥號連接,又能防止未授權(quán)訪問和數(shù)據(jù)被截獲。對于遠(yuǎn)程VPN接人的方式可以根據(jù)用戶采用的加密算法的強度、隧道流量等屬性選擇靈活的計費策略。
6.3 大型企業(yè)
大型企業(yè)規(guī)模較大,有多個分部或分公司,資金雄厚,企業(yè)員工眾多,有很強的抵抗風(fēng)險能力。大型企業(yè)為追求更大利潤,穩(wěn)定和擴大市場,保持和客戶的關(guān)系,繼續(xù)保持行業(yè)內(nèi)的競爭力,并逐步涉足其他行業(yè),在財務(wù)、客戶、人力資源、產(chǎn)品產(chǎn)銷等方面都需要信息化的管理,以減少企業(yè)的管理成本,提高企業(yè)運行與管理的效率,對企業(yè)信息化的需求非常迫切。
6.3.1 需求分析
大型企業(yè)要求VPN產(chǎn)品性能可靠穩(wěn)定,安全性高,傳輸效率高,可管理,且企業(yè)能夠進(jìn)行專項資金的投人,有足夠的技術(shù)人員對網(wǎng)絡(luò)進(jìn)行維護(hù)和管理。
6.3.2 解決方案
使用專用的硬件平臺,購買成套昂貴的VPN設(shè)備和防火墻,配備專業(yè)技術(shù)人員,整個網(wǎng)絡(luò)都是在加密的隧道中完成通信的,非常安全。這是最為徹底的VPN網(wǎng)絡(luò),在這種方案中企業(yè)具有完全的自主控制權(quán)。但是新建VPN網(wǎng)絡(luò)需要企業(yè)自身具備足夠的資金和人才實力,這種模式在總體投資上是最多的。對于企業(yè)員工出差或者在家辦公,同樣可以采用撥號VPN方式訪問公司內(nèi)部網(wǎng)。
七 VPN在集成電路企業(yè)中的應(yīng)用
隨著集成電路產(chǎn)業(yè)在中國的逐漸成熟以及眾多國際大企業(yè)的進(jìn)入,中國的許多集成電路企業(yè)不斷的壯大,企業(yè)信息化程度越來越廣泛,工藝水平在不斷提高,制造能力不斷提升,工廠的數(shù)量也在不斷增加。分支機構(gòu)、遠(yuǎn)程用戶、出差用戶、商業(yè)合作機構(gòu)等與企業(yè)總部的信息交流不斷加強,這就需要VPN來提供強有力的支持。
迅速發(fā)展的廣域網(wǎng)技術(shù),為企業(yè)VPN應(yīng)用提供了廣闊的發(fā)展空間。VPN技術(shù)已逐漸成為企業(yè)網(wǎng)安全建設(shè)的必要選擇。
八 結(jié)束語
現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計算機互聯(lián)網(wǎng)絡(luò),在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中,VPN技術(shù)為信息集成與優(yōu)化提供了一個很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò),從而為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù),是企業(yè)內(nèi)部網(wǎng)的擴展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價值,在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。各種企業(yè)可以靈活的選擇適合的VPN方案,實現(xiàn)企業(yè)內(nèi)部的OA系統(tǒng)、郵件系統(tǒng)、財務(wù)管理系統(tǒng)、ERP系統(tǒng)等,方便分支機構(gòu)、企業(yè)出差員工的安全移動辦公,能夠加快企業(yè)的信息化進(jìn)程,提高公司的管理水平,極大地提高企業(yè)的生產(chǎn)效率和增加企業(yè)的綜合競爭力。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)VPN技術(shù)應(yīng)用實施淺析
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112155136.html