VPN 技術概述
虛擬專用網(VPN )被定義為通過一個公用網絡(通常是網際網路)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
VPN 所起的作用,可以將VPN 分為三類:VPDN 、Intranet VPN 和Extranet
VPN 。 Virtual Private Dial Network ) VPN ,稱為VPDN 。實現過程如下:用戶撥號NSP (網路服務提供商)的網路訪問伺服器NAS (Network Access Server ),發出PPP 連接請求,NAS 收到呼叫後,在用戶和NAS 之間建立PPP 鏈路,然後,NAS 對用戶進行身份驗證,確定是合法用戶,就啟動 VPDN 功能,與公司總部內部連接,訪問其內部資源。 LAN 和公司總部LAN 之間的VPN 。通過Internet 這一公共網路將公司在各地分支機搆的LAN 連到公司總部的LAN ,以便公司內部的資源分享、文件傳遞等,可節省DDN 等專線所帶來的高額費用。 LAN 和公司的LAN 之間的VPN 。由於不同公司網路環境的差異性,該產品必須能相容不同的操作平臺和協定。由於用戶的多樣性, 公司的網路管理員還應該設置特定的訪問控制表ACL (Access Control List ),根據訪問者的身份、網路位址等參數來確定他所相應的訪問許可權,開放部分資源而非全部資源給外聯網的用戶。
PPTP 、L2TP 等;在網路層實現資料封裝的協定叫第三層隧道協定,如IPSec ;另外,SOCKS v5 協定則在TCP 層實現資料安全。 Point-to-Point Tunneling Protocol )/ L2TP (Layer 2 Tunneling Protocol ) Microsoft 和Ascend 等在PPP 協議的基礎上開發了PPTP ,它集成於Windows NT Server4.0 中,Windows NT Workstation 和Windows 9.X 也提供相應的用戶端軟體。PPP 支援多種網路協定,可把IP 、IPX 、AppleTalk 或NetBEUI 的數據包封裝在PPP 包中,再將整個報文 封裝在PPTP 隧道協議包中,最後,再嵌入IP 報文或幀中繼或ATM 中進行傳輸。PPTP 提供流量控制,減少擁塞的可能性,避免由包丟棄而引發包重傳的數
量。PPTP 的加密方法採用Microsoft 點對點加密(MPPE:Microsoft Point-to-Point Encryption )演算法,可以選用較弱的40 位密鑰或強度較大的128 位密鑰。 Cisco 提出L2F (Layer 2 Forwarding )隧道協議,它也支援多協定,但其主要用於Cisco 的路由器和撥號訪問伺服器。1997 年底,Micorosoft 和Cisco 公
司把PPTP 協定和L2F 協定的優點結合在一起,形成了L2TP 協議。L2TP 支援多協定,利用公共網路封裝PPP 幀,可以實現和企業原有非IP 網的兼 容。還繼承了PPTP 的流量控制,支援MP (Multilink
Protocol ),把多個物理通道捆綁為單一邏輯通道。L2TP 使用PPP 可靠性發送(RFC1663 )實現資料包的可靠發送。L2TP 隧道在兩端的 VPN 伺服器之間採用口令握手協議CHAP 來驗證對方的身份。L2TP 受到了許多大公司的支持。 PPTP/L2TP 對用微軟作業系統的用戶來說很方便,因為微軟已把它作為路由軟體的一部分。PPTP/L2TP 支援其他網路協定,如 Novell 的IPX ,NetBEUI 和Apple
Talk 協定,還支援流量控制。它通過減少丟棄包來改善網路性能,這樣可減少重傳。 PPTP 和L2TP 將不安全的IP 包封裝在安全的IP 包內,它們用IP 幀在兩台電腦之間創建和打開資料通道,一旦通道打開,源和目的用戶身份就
不再需要,這樣可能帶來問題。它不對兩個節點間的資訊傳輸進行監視或控制。PPTP 和L2TP 限制同時最多只能連接255 個用戶。端點用戶需要在連接前手 工建立加密通道。認證和加密受到限制,沒有強加密和認證支持。
L2TP 最適合用於遠端存取虛擬專用網。 Internet Protocol Security ) IETF (Internet Engineer
Task Force )正在完善的安全標準,它把幾種安全技術結合在一起形成一個較為完整的體系,受到了眾多廠商的關注和支持。通過對資料加密、認證、完整性檢查來
保證資料傳輸的可靠性、私有性和保密性。IPSec 由IP 認證頭AH (Authentication Header )、IP 安全載荷封載ESP (Encapsulated
Security Payload )和密鑰管理協議組成。 IPSec 適應向IP v6 遷移,它提供所有在網路層上的資料保護,提供透明的安全通信。IPSec 用密碼技術從三個方面來保證資料的安全。即:
IP 位址和資料以保證私有性。 IPSec 把IP v4 資料包封裝在安全的IP 幀中,這樣保護從一個防火牆到另一個防火牆時的安全性。在隧道模式下,資訊封裝是為了保護端到端的安全性,即在這種模式下不會
隱藏路由資訊。隧道模式是最安全的,但會帶來較大的系統開銷。IPSec 現在還不完全成熟,但它得到了一些路由器廠商和硬體廠商的大力支持。預計它今後將
成為虛擬專用網的主要標準。IPSec 有擴展能力以適應未來商業的需要。在1997 年底,IETF 安全工作組完成了IPSec 的擴展,在IPSec 協議中 加上ISAKMP (Internet
Security Association and Key Management Protocol )協議,其中還包括一個密鑰分配協議Oakley 。ISAKMP/Oakley 支援自動建立加密通道,密鑰的自動安全分發和更新。 IPSec 也可用於連接其他層已存在的通信協定,如支援安全電子交易(SET :Secure Electronic Transaction )協定和SSL (Secure Socket layer )協議。即使不用SET 或SSL ,IPSec 都能提供認證和加密手段以保證資訊的傳輸。 IPSec 支援一系列加密演算法如DES 、三重DES 、IDEA 。它檢查傳輸的資料包的完整性,以確保資料沒有被修改。IPSec 用來在多個防火牆和伺服器 之間提供安全性。IPSec 可確保運行在TCP/IP 協議上的VPNs 之間的互操作性。 IPSec 在客戶機/ 伺服器模式下實現有一些問題,在實際應用中,需要公鑰來完成。IPSec 需要已知範圍的IP 位址或固定範圍的IP 位址,因此 在動態分配IP 位址時不太適合於IPSec 。除了TCP/IP 協定外,IPSec 不支援其他協定。除了包過濾之外,它沒有指定其他訪問控制方法。可能它的
最大缺點是微軟公司對IPSec 的支持不夠。 LAN 到LAN 之間的虛擬專用網,即內部網虛擬專用網。
NEC 公司開發,是建立在TCP 層上安全協議,更容易為與特定TCP 埠相連的應用建立特定的隧道,可協同IPSec 、L2TP 、PPTP 等一起使用。SOCKs
v5 能對連接請求進行認證和授權。 SOCKS 同SSL 協議配合使用時,可作為建立高度安全的虛擬專用網的基礎。SOCKS 協議的優勢在訪問控制,因此適 合用於安全性較高的虛擬專用網。SOCKS 現在被IETF 建議作為建立虛擬專用網的標準,儘管還有一些其他協定,但SOCKS 協定得到了一些著名的公司如 Microsoft ,Netscape ,IBM 的支持。 SOCKS v5 在OSI 模型的會話層控制資料流程,它定義了非常詳細的訪問控制。在網路層只能根據源和目的IP 位址允許或拒絕資料包通過,在會話層控制手段要更多一 些。SOCKS v5 在客戶機和主機之間建立了一條虛電路,可根據對用戶的認證進行監視和訪問控制。SOCKS v5 和SSL 工作在會話層,因此能向低層協議如IP v4 ,IPSec ,PPTP ,L2TP 一起使用。它能提供非常複雜的方法來保證資訊安全傳輸。用SOCKS v5 的代理伺服器可隱藏網路位址結構。如果SOCKS V5 同防火牆結合起來使用,資料包經一個唯一的防火牆埠(缺省的是1080 )到代理伺服器,再經代理伺服器過濾發往目的電腦的資料,這樣可以防止防火
牆上存在的漏洞。SOCKS v5 能為認證、加密和密鑰管理提供“ 插件” 模組,可讓用戶很自由地採用他們所需要的技術。SOCKS v5 可根據規則過濾資料流程,包括Java Applet 和ActiveX 控制項。 SOCKS v5 通過代理伺服器來增加一層安全性,因此其性能往往比低層協定差。儘管比網路層和傳輸層的方案要更安全,但要制定比低層協議更為複雜的安全管理策略。
SOCKSv5 的虛擬專用網最適合用於客戶機到伺服器的連接模式,適合用於外聯網虛擬專用網。
Bluelove1968 發表在 痞客邦 留言 (0) 人氣(
留言列表
留言列表