短短两三年时间,VPN已从初出茅庐的业界新人迅速窜升为当红小生,除其自然状态下的茁壮成长外,市场的需求以及技术和产品的定向刺激,都使得如今的IT市场上VPN产品真可谓各有来头、琳琅满目。
VPN实现的是一块更为广袤的“私密空间”和一条更为隐秘的“安全通道”。
随着网络应用的遍地开花,安全技术逐渐成为VPN产品的一个拳头支撑,基于IPSec和SSL协议的不同VPN产品也正表现着VPN的不同安全特色……
在如今的网络时代,信息共享正在被赋予越来越丰富的外延,诸如本地信息的远程化、远程资源的本地化等,但凡能通过网络方式实现的,人们都乐此不疲地琢磨并尝试着。
VPN(虚拟专用网络)作为一种虚拟通道技术,其最初的设想只是为了满足远程访问的专用接入需求,并且能够避开IP地址资源有限的尴尬,而最终大量产品的市场需求以及后续VPN技术的不断延伸发展,也足以说明网络信息化对这一专用通道技术的强烈呼唤。
伴随着社会本身的进步以及信息化进程的大副进展,各种网络应用随即接踵而至,越来越多的安全需求成为VPN技术的关键。
总览VPN的安全实现
在原先维持网络更多虚拟空间的前提下,如何保证接入用户的合法性、保证网络访问的安全性以及系统本身的安全可靠性等等,都成为VPN需要面对的问题。
首先,VPN能保障哪些安全呢?很容易想象,VPN的实现技术和方式有很多,但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道,利用加密技术对经过隧道传输的数据进行加密,以保证数据的私有性和安全性。此外,还需要防止非法用户对网络资源或私有信息的访问。
其次,VPN还应当为不同网络的数据提供不同等级的服务质量保证(QoS)。如对移动办公的用户,随意自主的连接性和信号的覆盖性就是VPN服务质量保证的一个主要因素;而当分支机构某用户通过VPN专有网对总部系统网络进行访问的话,整个总部系统的网络需要保持良好的稳定性。
此外,对于带宽和流量的控制,则是对网络优化的一个重要方面。充分有效地利用有限的广域网资源,保证重要数据的有效且可靠的带宽,将是关系网络整体稳定性的一个重要指标。通过流量预测与流量控制策略,可以按照优先级实现带宽资源的合理配置和管理,从而净化所处的网络。
IPSec VPN:端对端的安全
隧道技术是最典型、也是应用最为广泛的VPN技术,通过匹配四层网络模型中的不同层协议,可以生成不同的VPN技术及产品,如IPSec VPN就是第三层隧道协议匹配IP层(第三层)的IPSec协议生成的,而SSL VPN则是第四层隧道协议匹配应用层(第四层)的SSL协议生成的,这两种VPN也是当前业内最为流行的VPN技术及产品。
IPSec工作于网络层,是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是(transport)模式。隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。IPSec几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用,但是由于基于网络层,不能穿越通常的NAT、防火墙。
IPSec为Internet业务提供最强的安全功能,与其他隧道和安全技术相比,其优越性在于它的安全性和互操作性,但是管理相对复杂。IPSec得到各厂商广泛支持,非常适合于组建远程网络互联VPN。如果需要相对安全、保密的通道、网络流量有限、对业务实时性要求不高,应首选IPSec建立VPN。
IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSec隧道模式具有以下特点:只能支持IP数据流;工作在IP栈的底层,因此,应用程序和高层协议可以继承IPSEC的行为;由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。
目前防火墙产品中集成的VPN使用较多的是IPSec 协议,在中国其发展处于蓬勃状态。