發佈時間:2002-11-06 10:11來源:作者:賽迪顧問
虛擬專用網絡(VPN:Virtual Private Net)可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,並提供與專用網絡一樣的安全和功能保障。
企業通常可以采用以下兩種方式使用VPN連接遠程局域網絡。1.使用專線連接分支機構和企業局域網,不需要使用價格昂貴的長距離專用電路;2.使用撥號線路連接分支機構和企業局域網,分支機構端的路由器可以通過撥號方式連接本地ISP。
縱觀VPN技術的發展,我們可以看到,安全與服務質量是VPN的技術保障,企業用戶的需求推動IPSec VPN的廣泛應用,運營商則大力建設MPLS VPN,使得未來中國的VPN技術發展更加具多樣性、靈活性,技術服務與需求趨向緊密結合。
一、安全台灣商標申請協議構築VPN的首要特性
隨著因特網的快速發展,近幾年不斷出現瞭一些新的網絡協議,包括點對點隧道協議(PPTP)、第2層隧道協議(L2TP)、安全IP(IPSec)協議等。其中PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然後封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送;L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然後通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,幀中繼或ATM;IPSec協議允許對IP負載數據進行加密,然後封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
VPN利用各種安全協議,在公眾網絡中建立安全隧道,提供專用網絡的功能和作用。VPN隧道技術分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應OSI模型中的數據鏈路層,使用幀作為數據交換單位。PPTP,L2TP和L2F都屬於第2層隧道協議,都是將數據封裝在點對點協議(PPP)幀中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層,使用包作為數據交換單位。IPoverIP以及IPSec隧道模式都屬於第3層隧道協議,都是將IP包封裝在附加的IP包頭中通過IP網絡傳送。
一個安全的VPN方案必須能夠驗證用戶身份並嚴格控制隻有授權用戶才能訪問VPN;必須能夠提供審計和記費功能,顯示何人在何時訪問瞭何種信息;VPN方案必須能夠為用戶分配專用網絡上的地址並確保地址的安全性;對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息;VPN方案必須能夠生成並更新客戶端和服務器的加密密鑰;VPN方案必須支持公共互聯網絡上普遍使用的基本協議,包括IP,IPX等。在保證服務質量的同時,安全是VPN的首要特性。
二、IPSec VPN方興未艾
IPSec VPN是基於IPSec協議的VPN產品,由IPSec協議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基於IP通訊的數據安全性的機制。IPSEC支持對數據加密,同時確保數據的完整性。按照IETF的規定,不采用數據加密時,IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication),確保數據的完整性;IPSec使用封裝安全負載(ESP)與加密一道提供來源驗證,確保數據完整性。在IPSec協議下,隻有發送方和接受方知道秘密密鑰。如果驗證數據有效,接受方就可以知道數據來自發送方,並且在傳輸過程中沒有受到破壞。
IPSec位於TCP/IP協議棧的下層。該層由每臺機器上的安全策略和發送、接受方協商的安全關如何申請註冊商標台中聯(security association)進行控制。安全策略由一套過濾機制和關聯的安全行為組成。如果一個數據包的IP地址,協議,和端口號滿足一個過濾機制,那麼這個數據包將要遵守關聯的安全行為。
通過一個位於IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號,共同用來驗證發送方身份,確保數據在傳輸過程中沒有被改動,防止受到第三方的攻擊。IPSEC驗證包頭不提供數據加密;信息將以明文方式發送。為瞭保證數據的保密性並防止數據被第3方竊取,封裝安全負載(ESP)提供瞭一種對IP負載進行加密的機制。另外,ESP還可以提供數據驗證和數據完整性服務;因此在IPSec包中可以用ESP包頭替代AH包頭。
為實現在專用或公共IP網絡上的安全傳輸,IPSec隧道模式使用的安全方式封裝和加密整個IP包。然後對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理,在去除明文IP包頭,對內容進行解密之後,獲的最初的負載IP包。負載IP包在經過正常處理之後被路由到位於目標網絡的目的地。
IPSec隧道模式具有以下特點:隻能支持IP數據流;工作在IP棧(IPstack)的底層,因此,應用程序和高層協議可以繼承IPSEC的行為;由一個安全策略(一整套過濾機制)進行控制。安全策略按照優先級的先後順序創建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時,雙方機器執行相互驗證,然後協商使用何種加密方式。此後的所有數據流都將使用雙方協商的加密機制進行加密,然後封裝在隧道包頭內。
目前防火墻產品中集成的VPN多為使用IPSec 協議,在中國其發展處於蓬勃狀態。
三、MPLS VPN發展強勁
MPLS VPN是一種基於MPLS(Multiprotocol Label Switching,多協議標記交換 )技術的IP-VPN,是在網絡路由和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN),可用來構造寬帶的Intranet、Extranet,滿足靈活的業務需求。
MPLS是一個網絡層包轉發的新興標準,它主要基於IETF提交的一系列信令協議。在這些協議裡,最主要的有標記分配協議(LDP)、資源預留協議(RSVP)以及限制路由的標簽分配協議(CR_LDP)三種。這些協議都應用在分配標簽和轉發MPLS數據流上。
MPLS技術是一個可以在多種第二層協議上進行標簽交換的網絡技術,並且不用改變現有的路由協議。目前第二層的協議有ATM、FR(幀中繼)、Ethernet以及PPP。這一技術綜合瞭第二層的交換和第三層路由的功能,將第二層的快速交換和第三層的路由有機地結合起來,第三層的路由在網絡的邊緣實施,而在MPLS的網絡核心采用第二層交換。這樣各層協議可以互相補充,充分發揮第二層良好的流量設計管理以及第三層"Hop-By-Hop"路由的靈活性,實現端到端的QoS保證。
MPLS VPN運行在IP+ATM或者IP環境下,對應用完全透明;服務激活隻需要一次性地在用戶邊(CE)和服務供應商邊(PE)設備進行配置準備就可以讓站點成為某個MPLS VPN組的成員;VPN成員資格由服務供應商決定;對VPN組未經過認證的訪問被設備配置所拒絕。MPLS VPN的安全性通過對不同用戶間、用戶與公網間的路由信息進行隔離實現的。
MPLS VPN能夠利用公用骨幹網絡的廣泛而強大的傳輸能力,降低企業內部網絡的建設成本,極大地提高用戶網絡運營和管理的靈活性,同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶、方便性的需要。
中國電信和中國網通在各自的寬帶互聯網上推出瞭基於多協議標記交換(MPLS)技術的IP-VPN業務,使得MPLS VPN的發展勢頭愈加強勁。
四、VPN管理有待加強
企業在選擇VPN技術時,一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備中(目錄服務)便於管理人員和應用程序對信息進行添加,修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫,存儲每一名用戶的信息,包括用戶名,口令,以及撥號接入的屬性等。但是,這種由多臺服務器維護多個用戶帳號的作法難以實現及時的更新,給管理帶來很大的困難。
為有效的管理VPN系統,網絡管理人員應當能夠隨時跟蹤和掌握以下情況:系統的使用者,連接數目,異常活動,出錯情況,以及其它可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對記費,審計和報警或其它錯誤提示具有很大幫助。例如,網絡管理人員為瞭編制帳單數據需要知道何人在使用系統以及使用瞭多長時間。異常活動可能預示著存在對系統的不正確使用或系統資源出現不足。對設備進行實時的監測可以在系統出現問題時及時向管理員發出警告。一臺隧道服務器應當能夠提供以上所有信息以及對數據進行正確處理所需要的事件日志,報告和數據存儲設備。
隨著市場應用的擴大,VPN的管理有待進一步加強。
五、結論
VPN的發展代表瞭互聯網絡今後的發展趨勢,它綜合瞭傳統數據網絡的安全和服務質量,以及共享數據網絡結構的簡單和低成本,建立安全的數據通道。VPN在降低成本的同時滿足瞭用戶對網絡帶寬、接入和服務不斷增加的需求,因此,VPN必將成為未來網絡發展的主要方向。
VPN技術的發展將促進業務市場的繁榮。VPN上傳輸的數據流是經過加密處理的,這條安全通道的協議必須保證數據的真實性、數據的完整性、通道的機密性,提供動態密匙交換功能,提供安全防護措施和訪問控制,抵抗黑客通過VPN通道攻擊企業網絡的能力,並且可以對VPN通道進行訪問控制。
隨著市場的擴大,用戶需求將成為VPN技術發展的動力,多形式、多用途、靈活易用、功能強大、服務優異的VPN產品將適用於不同的用戶群,部署在寬帶、窄帶、撥號或者移動通信網絡上。
(責任編輯 鄒文標)
加載更多
台中商標註冊流程
文章標籤
全站熱搜
留言列表
