Spiga

经典实用技术详解-VPN

原文:http://comm.ccidnet.com/art/1522/20050318/225133_1.html

 

在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。

对国内的用户来说,VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方 式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。

为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。

认识VPN

现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么 呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络 服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种 公众网的资源动态组成的。IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点 到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以 为自己制定一个最符合自己需求的网络。

用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新 的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像 Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联 系,同时支持拨号的用户。

所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。

由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。

越来越多的用户认识到,随着Internet和电子商务的 蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局 域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络 的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。

用户的需求正是虚拟专用网技术诞生的直接原因。

用户需要的VPN

一.VPN的特点

在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:

1.安全保障

虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据 的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以 保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其 安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将 企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。

2.服务质量保证(QoS)

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求 差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则 要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同 等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽 的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量 预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企 业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多 网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

二.自建还是外包

由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事处或分 支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基本目 标:在提供与现有专用网络基础设施相当或更高的可管

理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。

1.大型企业自建VPN

大型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在 其总部和分支机构中,将各个机构低成本且安全地连接在一起。企业建立自己的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部 VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。

企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。

虽然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要 为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外 包VPN供应商。因此,自建VPN是大型企业的最好选择。

2.中小型企业外包VPN

虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企 业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现 有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短 缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包VPN是较好的选择。

* 外包VPN比企业自己动手建立VPN要快得多,也更为容易。

* 外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。

* 企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。

* 对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。

三.VPN安全技术

由于传输的是私有信息,VPN用户对数据的安全性都比较关心。

目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术 (Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数 据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整 个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前 IETF的标准,由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协 议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密 钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在 ISAKMP中,双方都有两把密钥,分别用于公用、私用。

4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

四.堵住安全漏洞

安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。

但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始 终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了 公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网 络核心的机会。

但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网 络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供 VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大 多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以 将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全 的,连接也是正确的,但这并不意味着家庭计算机是安全的。

黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的 IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵 更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的 VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个 人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:

* 所有远程工作人员必须被批准使用VPN;

* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;

* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;

* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;

* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;

* 外出工作人员应对敏感文件进行加密;

* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;

* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。

0 评论: