VPN (Virtual Private Network)即虛擬專用網(wǎng),是一項(xiàng)迅速發(fā)展起來(lái)的新技術(shù),主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來(lái)連接分散在各地的本地網(wǎng)絡(luò),僅在效果上和真正的專用網(wǎng)一樣,故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。一個(gè)網(wǎng)絡(luò)連接通常由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三個(gè)部分組成。VPN同樣也由這三部分組成,不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報(bào)的發(fā)送接受過(guò)程中使用了加密解密技術(shù),使得傳送數(shù)據(jù)報(bào)的路由器均不知道數(shù)據(jù)報(bào)的內(nèi)容,就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。
VPN的主要特點(diǎn)
(1)網(wǎng)際互聯(lián)安全性高。VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù),并結(jié)合了下一代IPv6的安全特性,通過(guò)隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù),利用公網(wǎng)建立互聯(lián)的虛擬專用通道,實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。
(2)經(jīng)濟(jì)實(shí)用、管理簡(jiǎn)化。由于、VPN獨(dú)立于初始協(xié)議,用戶可以繼續(xù)使用傳統(tǒng)設(shè)備,保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理,并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制,因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開(kāi)銷(xiāo)和安全配置。
(3)可擴(kuò)展性好。如果想擴(kuò)大VPN的容量和覆蓋范圍,管理者只需與新加入的分館簽約,建立賬戶;或者與原有的下級(jí)組織重簽合約,擴(kuò)大服務(wù)范圍。在遠(yuǎn)程地點(diǎn)增加VPN能力也很簡(jiǎn)單,幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力,路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。
(4)支持多種應(yīng)用。由于VPN給我們提供了安全的通道,可以把目前在局域網(wǎng)上的應(yīng)用直接運(yùn)用在廣域網(wǎng)上。VPN則可以支持各種高級(jí)的應(yīng)用,如IP語(yǔ)音,IP傳真等。
(5)有效實(shí)現(xiàn)網(wǎng)絡(luò)資源共建共享。在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下,可以實(shí)現(xiàn)整個(gè)VPN體系中互聯(lián)單位的資源共建共享,避免資源重復(fù)開(kāi)發(fā)帶來(lái)的巨大浪費(fèi),甚至可以實(shí)現(xiàn)普通讀者在家用ADSL來(lái)訪問(wèn)公共圖書(shū)館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫(kù)。
VPN技術(shù)分析
VPN技術(shù)主要由三個(gè)部分組成:隧道技術(shù),數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式,并利用IP協(xié)議以安全方式在Internet上傳送;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜;用戶認(rèn)證則保證未獲認(rèn)證的用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸,因此安全問(wèn)題是VPN技術(shù)的核心問(wèn)題,目前,VPN的安全保證主要是通過(guò)防火墻和路由器,配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的,以此確保遠(yuǎn)程客戶端能夠安全地訪問(wèn)VPN服務(wù)器。
(1)隧道技術(shù)
1.隧道技術(shù)的實(shí)現(xiàn)
假設(shè)某公司在相距很遠(yuǎn)的兩地的部門(mén)A和B建立了虛擬專用網(wǎng),其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然,這兩個(gè)部門(mén)若利用因特網(wǎng)進(jìn)行通信,則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門(mén)A、B的路由器分別為R1、R2,且其全球IP地址分別為125.1.2.3和192.168.5.27,?現(xiàn)在設(shè)部門(mén)A的主機(jī)x向部門(mén)B的主機(jī)Y發(fā)送數(shù)據(jù)報(bào),源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報(bào)從主機(jī)x發(fā)送給路由器R1。路由器R1收到這個(gè)內(nèi)部數(shù)據(jù)報(bào)后進(jìn)行加密,然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào),這個(gè)外部數(shù)據(jù)報(bào)的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3,而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報(bào)后,對(duì)其進(jìn)行解密,恢復(fù)出原來(lái)的內(nèi)部數(shù)據(jù)報(bào),并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。
VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道,而隧道又是靠隧道協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)封裝的。在第二層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議,同樣在第三層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中,通過(guò)公網(wǎng)Intemet進(jìn)行傳輸。因此,VPN技術(shù)的復(fù)雜性首先建立在隧道協(xié)議復(fù)雜性的基礎(chǔ)之上。隧道協(xié)議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協(xié)議,L2TP、PPTP屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN系統(tǒng)使分散布局的專用網(wǎng)絡(luò)架構(gòu)在公共網(wǎng)絡(luò)上安全通信。它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔ⅲ姑舾械臄?shù)據(jù)不會(huì)被竊聽(tīng)
2.第二層隧道協(xié)議
L2TP是從Cisco主導(dǎo)的第二層向前傳送和Microsoft主導(dǎo)的點(diǎn)到點(diǎn)隧道協(xié)議的基礎(chǔ)上演變而來(lái)的,它定義了利用公網(wǎng)設(shè)施(如IP網(wǎng)絡(luò),ATM和幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層點(diǎn)到點(diǎn)協(xié)議幀的方法。目前,Internet中的撥號(hào)網(wǎng)絡(luò)只支持IP協(xié)議,而且必須注冊(cè)IP地址:而L2TP可以讓撥號(hào)用戶支持多種協(xié)議,并且可以保留網(wǎng)絡(luò)地址,包括保留IP地址。利用I2TP提供的撥號(hào)虛擬專用網(wǎng)服務(wù)對(duì)用戶和服務(wù)提供商都很有意義,它能夠讓更多的用戶共享?yè)芴?hào)接入和骨干IP網(wǎng)絡(luò)設(shè)施,為撥號(hào)用戶節(jié)省長(zhǎng)途通信費(fèi)用。同時(shí),由于L2TP支持多種網(wǎng)絡(luò)協(xié)議,用戶在非IP網(wǎng)絡(luò)和應(yīng)用上的投資不至于浪費(fèi)。
3.第三層隧道協(xié)議
IPSec是將幾種安全技術(shù)結(jié)合在一起形成的一個(gè)較完整的體系,它可以保證IP數(shù)據(jù)包的私有性、完整性和真實(shí)性。IPSee使用了Difie—Hellman密鑰交換技術(shù),用于數(shù)字簽名的非對(duì)稱加密算法、加密用戶數(shù)據(jù)的大數(shù)據(jù)量加密算法、用于保證數(shù)據(jù)包的真實(shí)性和完整性的帶密鑰的安全哈希算法、以及身份認(rèn)證和密鑰發(fā)放的認(rèn)證技術(shù)等安全手段。IP.Sec協(xié)議定義了如何在IP數(shù)據(jù)包中增加字段來(lái)保證其完整性、私有性和真實(shí)性,這些協(xié)議還規(guī)定了如何加密數(shù)據(jù)包:Internet密鑰交換協(xié)議用于在兩個(gè)通信實(shí)體之間建立安全聯(lián)盟和交換密鑰。IPSec定義了兩個(gè)新的數(shù)據(jù)包頭增加到IP包上,這些數(shù)據(jù)包頭用于保證IP數(shù)據(jù)包的安全性。這兩個(gè)數(shù)據(jù)包頭是認(rèn)證包頭和安全荷載封裝。其中IP數(shù)據(jù)包的完整性和認(rèn)證由IPSec認(rèn)證包頭協(xié)議來(lái)完成,數(shù)據(jù)的加密性則由安全荷載封裝協(xié)議來(lái)實(shí)現(xiàn)。
(2)用戶認(rèn)證技術(shù)
如果數(shù)據(jù)包不經(jīng)過(guò)加密就通過(guò)不安全的Internet,即使已經(jīng)建立了用戶認(rèn)證,VPN也不完全是安全的。為保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸上的安全性,需利用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息,使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法中強(qiáng)度比較高,可用于保護(hù)敏感的財(cái)務(wù)信息的是IPSee的DES和3DES。?
除加密和解密外,VPN需要核實(shí)信息來(lái)源的真實(shí)性,確認(rèn)信息發(fā)送方的身份,防止非授權(quán)用戶的非法竊聽(tīng)和惡意篡改信息。核實(shí)發(fā)送方身份的過(guò)程稱為“認(rèn)證”。認(rèn)證可通過(guò)用戶名和口令實(shí)現(xiàn),或者通過(guò)“電子證書(shū)”或“數(shù)字證書(shū)” 來(lái)完成,即證書(shū)和密鑰。它包含加密參數(shù),可唯一地用作驗(yàn)證用戶或系統(tǒng)身份的工具,提供高級(jí)別的網(wǎng)絡(luò)信息安全傳輸。
(3)加密技術(shù)
數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息,使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSee的DES和三次DESo?RC4雖然強(qiáng)度比較弱,但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強(qiáng)度比較高,可用于敏感的商業(yè)信息。
加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;
可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”:加密只在路由器中進(jìn)行,而終端與第一條路由之間不加密。這種方法不太安全,因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案,VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中, 目前還沒(méi)有統(tǒng)一的加密標(biāo)準(zhǔn),因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的,需要特別的加密硬件。
以上是對(duì)VPN技術(shù)的一些簡(jiǎn)單的探討,VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)為用戶提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù),VPN技術(shù)在資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值,在未來(lái)的信息化建設(shè)中具有廣闊的前景。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺談VPN技術(shù)