VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是:实现低成本的互通和安全。
企业网络互联的基本安全要素
企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
需要强调指出的是:网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。
VPN技术基础
实现一个完整的VPN的主要基础技术包括隧道技术、密码技术和网络访问控制技术。隧道技术使得各种内部数据包可以通过公网进行传输;密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等,网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
隧道技术
由于受到Internet网络中IP地址资源短缺的影响,各企业内部网络使用的多为私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的, 而必须代之以合法的IP地址。有多种方法可以完成这种地址转换,如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,对于VPN而言,数据包封装(隧道)是最常用的技术。数据包封装发生在VPN的发送节点,此时需将原数据包打包,添加合法的外层IP包头,这个包可通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术。
密码技术
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和 入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护。
数据加密过程是由各种加密算法来具体实施,按照收发双方密钥是否相同来分类,可以将这些加密算法分为对称密码算法和非对称密码算法(公钥算法)。
对称密钥密码算法的收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。最著名的对称密码算法为美国的DES算法及其各种变形。对称密码算法的优点是有很强的保密强度和较快的运算速度,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
非对称密钥(公钥)密码算法的收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥,这些特性使其成为实现数字签名的最佳选择。由于非对称密码算法加密速度慢,不适宜直接对实时的和大量的数据加密。在IPSec实现中,非对称算法(证书)用于自动协商隧道密钥(对称密钥),从而可大大简化密钥的管理工作。在IP最著名也是应用最为广泛的公钥密码算法是RSA算法。
网络访问控制技术
网络访问控制技术对出入广域网的数据包进行过滤,即传统的防火墙功能。由于防火墙和VPN均处于公网出口处,在网络中的位置基本相同,而其功能具有很强的互补性,因此一个完整的VPN产品应同时提供完善的网络访问控制功能,这可以在系统的安全性、性能及统一管理上带来一系列的好处。
原文链接:http://network.51cto.com/art/201105/263534.htm