现在很多连接都被称作VPN(Virtual PrivateNtwork),让很多人分不清楚。那么,一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但是它却能够实现专用网 络的功能。
认识VPN
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商), 在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接,并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资 源动态组成的。
对于VPN的定义有很多说法,但是都基于这样一种思想:VPN利用公共网络基础设施,通过一定的技术手段,达到类似私 有专网的数据安全传输。从定义上看,VPN首先是虚拟的,也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但 是,VPN同时又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。
VPN在类型与应用方式上有访 问虚拟专网(AccessVPN)、企业内部虚拟专网(IntranetVPN)和扩展的企业内部虚拟专网(ExtranetVPN)之分。
VPN 技术比较
从总体来说,VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,VPN主要包含隧道技术与安全 技术。
隧道技术 隧道技术对于构建 VPN来说,是一个关键性技术。它的基本过程是在源局域网与公网的接口处,将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的 接口处将数据解封装,取出负载。这样,被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。目前VPN隧道协议有四种。
点对点隧道协议PPTP PPTP(Point to Point TunnelingProtocol)协议将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议 中,然后封装到GRE(通用路由协议封装)V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
第二层隧道协议 L2TP L2TP(Layer 2 TunnelingProtocol)协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F(Layer2Forwarding,二层转发 协议)协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是,L2TP没有任何加密措施,更多的是和IPSec协 议结合使用,提供隧道验证。
IPSec协议IPSec(网络协议安全)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全 的一整套体系结构。它包括网络安全协议AH(Authentication Header)协议和ESP (Encapsulating SecurityPayload)协议、密钥管理协议IKE (Internet KeyExchange)协议和用于网络验证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访 问控制、数据源验证、数据加密等网络安全服务。
现在一种发展趋势,是将L2TP和IPSec结合起来,即用L2TP作为隧道协议,用 IPSec协议保护数据。目前,市场上大部分VPN都采用这类技术。它的优点是定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协 议上VPN之间的互操作性;不足之处在于,除了包过滤外,它没有指定其他访问控制方法,对于采用NAT(网络地址翻译)方式访问公共网络的情况难以处理, 为此最适合于可信LAN到LAN之间VPN的场合应用。
SOCKS v5协议 SOCKS v5工作在OSI(OpenSystemInternet)模型中的第五层——会话层,可作为建立高度安全的VPN基础。SOCKSv5协议的优势在于访 问控制,因此适用于安全性较高的VPN。SOCKSv5现在被IETF(互联网工程任务组),建议作为建立VPN的标准。它的优点是能够非常详细地进行访 问控制,即在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、 PPTP、L2TP一起使用;用SOCKSv5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技 术;SOCKSv5可根据规则过滤数据流,包括JavaApplet和Actives控制。但是,它也有不少令人遗憾之处:性能比低层次协议差,必须制定 更复杂的安全管理策略。这样,它最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
安全技术 VPN常常需要在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥 交换与管理技术组成。
认证技术认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将 一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中 有验证数据的完整性和用户认证两种用途。
加密技术 IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES(DataEncryptionStamdard)、 3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
密钥交换与管理VPN中密钥的分发与管理非常 重要。密钥的分发有两种方法:一种是通过手工配置;另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况;密钥交换 协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE(互联网密钥 交换)、SKIP(互联网简单密钥管理)和Oakley。