公務(wù)員期刊網(wǎng) 精選范文 vpn技術(shù)范文

vpn技術(shù)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的vpn技術(shù)主題范文,僅供參考,歡迎閱讀并收藏。

vpn技術(shù)

第1篇:vpn技術(shù)范文

【關(guān)鍵詞】SSL vpn;IPSEC VPN;網(wǎng)絡(luò)安全

【中圖分類(lèi)號(hào)】TN711

【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】1672-5158(2012)12-0004-01

一、SSL VPN的基本學(xué)術(shù)概念

1.1 什么是SSL VPN

SSL(Secure Sockets Layer)是一種Intemet數(shù)據(jù)安全協(xié)議。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。VPN(Virtual Private Network虛擬專(zhuān)用網(wǎng)絡(luò)),可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專(zhuān)線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通訊線路,就好比是架設(shè)了一條專(zhuān)線一樣,但是它并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線路。VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng),被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是Internet)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

SSL VPN就是指應(yīng)用層的vpn,它是基于https來(lái)訪問(wèn)受保護(hù)的應(yīng)用。目前常見(jiàn)的SSL VPN方案有兩種方式:直路方式和旁路方式。直路方式中,當(dāng)客戶端需要訪問(wèn)一臺(tái)應(yīng)用服務(wù)器時(shí):首先,客戶端和SSL VPN網(wǎng)關(guān)通過(guò)證書(shū)互相驗(yàn)證雙方;其次,客戶端和SSL VPN網(wǎng)關(guān)之間建立ssl通道;然后,SSL VPN網(wǎng)關(guān)作為客戶端的和應(yīng)用服務(wù)器之間建立tcp連接,在客戶端和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式和直路不同的是:為了減輕在進(jìn)行ssl加解密時(shí)的運(yùn)行負(fù)擔(dān),也可以獨(dú)立出ssl加速設(shè)備,在SSL VPN server接收到https請(qǐng)求時(shí),將ssl加密的過(guò)程交給ssl加速設(shè)備來(lái)處理,當(dāng)ssl加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSL VPN server。

1.2 SSL VPN的特性

保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。由于使用的是Ssl協(xié)議,該協(xié)議是介于http層及tcp層的平安協(xié)議,傳輸?shù)膬?nèi)容是經(jīng)過(guò)加密的。SSL VPN通過(guò)設(shè)置不同級(jí)別的用戶和不同級(jí)別的權(quán)限來(lái)屏蔽非授權(quán)用戶的訪問(wèn)。用戶的設(shè)置可以有設(shè)置帳戶、使用證書(shū)、radius機(jī)制等不同的方式。ssl數(shù)據(jù)加密的平安性由加密算法來(lái)保證,各家公司的算法可能都不一樣。黑客想要竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù),就要能夠解開(kāi)這些加密算法后的數(shù)據(jù)包。

完整性就是對(duì)抗對(duì)手主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的篡改。由于SSL VPN一般在gateway上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權(quán)外部訪問(wèn)的內(nèi)部應(yīng)用注冊(cè)到SSL VPN上。這樣對(duì)于gateway來(lái)講,需要開(kāi)通443這樣的端口到ssl vpn即可,而不需要開(kāi)通所有內(nèi)部的應(yīng)用的端口。假如有黑客發(fā)起攻擊也只能到SSL VPN這里,攻擊不到內(nèi)部的實(shí)際應(yīng)用。

可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。前面已經(jīng)提到,對(duì)于SSL VPN要保護(hù)的后臺(tái)應(yīng)用,可以為其設(shè)置不同的級(jí)別,只有相應(yīng)級(jí)別的用戶才可以訪問(wèn)到其對(duì)應(yīng)級(jí)別的資源,從而保證了信息的可用性。

可控性就是對(duì)信息及信息系統(tǒng)實(shí)施平安監(jiān)控。SSL VPN作為一個(gè)平安的訪問(wèn)連接建立工具,所有的訪問(wèn)信息都要經(jīng)過(guò)這個(gè)網(wǎng)關(guān),所以記錄日志對(duì)于網(wǎng)關(guān)來(lái)說(shuō)非常重要。不僅要記錄日志,還要提供完善的超強(qiáng)的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對(duì)信息系統(tǒng)實(shí)施監(jiān)控。

二、SSL VPN的優(yōu)勢(shì)

2.1 零客戶端

客戶端的區(qū)別是SSL VPN最大的優(yōu)勢(shì)。瀏覽器內(nèi)嵌了ssl協(xié)議,所以預(yù)先安裝了web瀏覽器的客戶機(jī)可以隨時(shí)作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠(yuǎn)程訪問(wèn)的用戶可以為遠(yuǎn)程員工、客戶、合作伙伴及供給商等。通過(guò)SSL VPN,客戶端可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問(wèn)。也就是說(shuō)是基于b/s結(jié)構(gòu)的業(yè)務(wù)時(shí),可以直接使用瀏覽器完成ssl的vpn建立;而IPSEC VPN只答應(yīng)已經(jīng)定義好的客戶端進(jìn)行訪問(wèn),所以它更適用于企業(yè)內(nèi)部。

2.2 平安性

SSL VPN的平安性前面已經(jīng)討論過(guò),和IPSEC VPN相比較,SSL VPN在防病毒和防火墻方面有它特有的優(yōu)勢(shì)。

一般企業(yè)在Internet聯(lián)機(jī)入口,都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)辦法。不論是IPSEC VPN或SSL VPN聯(lián)機(jī),對(duì)于人口的病毒偵測(cè)效果是相同的,但是比較從遠(yuǎn)程客戶端入侵的可能性,就會(huì)有所差別。采用IPSEC VPN聯(lián)機(jī),若是客戶端電腦遭到病毒感染,這個(gè)病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。而對(duì)于SSL VPN的聯(lián)機(jī),病毒傳播會(huì)局限于這臺(tái)主機(jī),而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類(lèi)型,不同類(lèi)型的病毒是不會(huì)感染到這臺(tái)主機(jī)的。因此通過(guò)SSL VPN連接,受外界病毒感染的可能性大大減小。

2.3 訪問(wèn)控制

用戶部署vpn是為了保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)的平安。IPSEC VPN只是搭建虛擬傳輸網(wǎng)絡(luò),SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù),比如SSL VPN可以根據(jù)用戶的不同身份,給予不同的訪問(wèn)權(quán)限。就是說(shuō),雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò),但是不同人員可以訪問(wèn)的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上,不僅可以控制訪問(wèn)人員的權(quán)限,還可以對(duì)訪問(wèn)人員的每個(gè)訪問(wèn),做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名,保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性,為事后追蹤提供了依據(jù)。

2.4 經(jīng)濟(jì)性

使用SSL VPN具有很好的經(jīng)濟(jì)性,因?yàn)橹恍枰诳偛糠胖靡慌_(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程平安訪問(wèn)接入。但是對(duì)于IPSEC VPN來(lái)說(shuō),每增加一個(gè)需要訪問(wèn)的分支,就需要添加一個(gè)硬件設(shè)備。就使用成本而言,SSL VPN具有更大的優(yōu)勢(shì),由于這是一個(gè)即插即用設(shè)備,在部署實(shí)施以后,一個(gè)具有一定Internet知識(shí)的普通工作人員就可以完成日常的管理工作。

第2篇:vpn技術(shù)范文

關(guān)鍵詞:VPN;MPLS;多協(xié)議標(biāo)記交換

中圖法分類(lèi)號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發(fā)展,人們對(duì)其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段,網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生阻塞,許多應(yīng)用對(duì)于目前的IP技術(shù)(如語(yǔ)音和視頻等)顯得力不從心,并且實(shí)現(xiàn)成本也很高。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問(wèn)題。

1 VPN簡(jiǎn)介

首先引入現(xiàn)實(shí)中的一個(gè)例子,經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡(luò)訪問(wèn)公司的內(nèi)網(wǎng)辦公,而訪問(wèn)的結(jié)果就像在公司內(nèi)網(wǎng)一樣,不會(huì)有對(duì)資源、權(quán)限的限制,就好像在內(nèi)網(wǎng)里面一樣,我們可以利用VPN技術(shù)實(shí)現(xiàn)這個(gè)目的。

由以上來(lái)看,究竟什么是VPN呢?虛擬專(zhuān)用網(wǎng)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專(zhuān)用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。

2 常規(guī)VPN技術(shù)

以往常規(guī)的VPN連接技術(shù)是在PPTP或者L2TP協(xié)議的控制下進(jìn)行隧道封裝加密傳輸,其中,PPTP協(xié)議將控制包與數(shù)據(jù)包分開(kāi),控制包采用TCP控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。目前,PPTP協(xié)議基本已被淘汰。L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn),能以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議,包括ATM、SONET和幀中繼。但是L2TP沒(méi)有任何加密措施,更多是和IPSec協(xié)議結(jié)合使用,提供隧道驗(yàn)證。

但是,IPsec協(xié)議首要的和最明顯的缺點(diǎn)就是性能的下降,其次,在實(shí)現(xiàn)成本上非常不利,低端的設(shè)備通常用軟件實(shí)現(xiàn)所有的IPsec功能,因而其速度最慢。價(jià)格貴些的用硬件實(shí)現(xiàn)IPsec功能。一般來(lái)說(shuō),性能越好,其價(jià)格越貴。

3 基于MPLS的VPN的新技術(shù)

同傳統(tǒng)的VPN不同,MPLS VPN不依靠封裝和加密技術(shù),MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。

CPE被稱(chēng)為客戶邊緣路由器(CE)。在InternetConnect網(wǎng)絡(luò)中,同CE相連的路由器稱(chēng)為供應(yīng)商邊緣路由器(PE)。一個(gè)VPN數(shù)據(jù)包括一組CE路由器,以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。

CE可以感覺(jué)到同一個(gè)專(zhuān)用網(wǎng)相連。每個(gè)VPN對(duì)應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例(VRF)。一個(gè)VRF定義了同PE路由器相連的客戶站點(diǎn)的VPN成員資格。一個(gè)VRF數(shù)據(jù)包括IP路由表,一個(gè)派生的Cisco Express Forwarding (CEF)表,一套使用轉(zhuǎn)發(fā)表的接口,一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個(gè)站點(diǎn)可以且僅能同一個(gè)VRF相聯(lián)系。客戶站點(diǎn)的VRF中的數(shù)據(jù)包含了其所在的VPN中,所有的可能連到該站點(diǎn)的路由。

對(duì)于每個(gè)VRF,數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲(chǔ)在IP路由表和CEF表中。每個(gè)VRF維護(hù)一個(gè)單獨(dú)的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外,同時(shí)也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個(gè)機(jī)制使得VPN具有安全性。

在每個(gè)VPN內(nèi)部,可以建立任何連接:每個(gè)站點(diǎn)可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個(gè)站點(diǎn),無(wú)需穿越中心站點(diǎn)。一個(gè)路由識(shí)別器(RD)可以識(shí)別每一個(gè)單獨(dú)的VPN。一個(gè)MPLS網(wǎng)絡(luò)可以支持成千上萬(wàn)個(gè)VPN。每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核,且不直接同CE路由器相連。圍繞在P設(shè)備周?chē)墓?yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱(chēng)為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來(lái)交換數(shù)據(jù)包。

客戶站點(diǎn)可以通過(guò)不同的方式連接到PE路由器,例如幀中繼,ATM,DSL和T1方式等等。

三種不同的VPN,分別用Route Distinguishers 10,20和30來(lái)表示。

MPLS VPN中,客戶站點(diǎn)運(yùn)行的是通常的IP協(xié)議。它們并不需要運(yùn)行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由識(shí)別器對(duì)應(yīng)同每個(gè)客戶站點(diǎn)的連接。這些連接可以是諸如T1,單一的幀中繼,ATM虛電路,DSL等這樣的物理連接。路由識(shí)別器在PE路由器中被配置,是設(shè)置VPN站點(diǎn)工作的一部分,它并不在客戶設(shè)備上進(jìn)行配置,對(duì)于客戶來(lái)說(shuō)是透明的。

每個(gè)MPLS VPN具有自己的路由表,這樣客戶可以重疊使用地址且互不影響。對(duì)用RFC 1918建議進(jìn)行尋址的多種客戶來(lái)說(shuō),上述特點(diǎn)很有用處。例如,任何數(shù)量的客戶都可以在其MPLS VPN中,使用地址為10.1.1.X的網(wǎng)絡(luò)。MPLS VPN的一個(gè)最大的優(yōu)點(diǎn)是CPE設(shè)備不需要智能化。因?yàn)樗械腣PN功能是在InternetConnect的核心網(wǎng)絡(luò)中實(shí)現(xiàn)的,且對(duì)CPE是透明的。CPE并不需要理解VPN,同時(shí)也不需要支持IPSec。這意味著客戶可以使用價(jià)格便宜的CPE,或者甚至可以繼續(xù)使用已有的CPE。

4 基于MPLS VPN的優(yōu)點(diǎn)

時(shí)延被降到最低,因?yàn)閿?shù)據(jù)包不再經(jīng)過(guò)封裝或者加密。加密之所以不再需要,是因?yàn)镸PLS VPN可以創(chuàng)建一個(gè)專(zhuān)用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似。因?yàn)椴恍枰淼溃砸獎(jiǎng)?chuàng)建一個(gè)全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實(shí)上,缺省的配置是全網(wǎng)狀布局。站點(diǎn)直接連到PE,之后可以到達(dá)VPN中的任何其他站點(diǎn)。如果不能連通到中心站點(diǎn),遠(yuǎn)程站點(diǎn)之間仍然能夠相互通信。

配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò),不需訪問(wèn)CPE。一旦配置好一個(gè)站點(diǎn),在配置其他站點(diǎn)時(shí)無(wú)需重新配置。因?yàn)樘砑有碌恼军c(diǎn)時(shí),僅需改變所連到的PE的配置。

在MPLS VPN中,安全性可以得到容易地實(shí)現(xiàn)。一個(gè)封閉的VPN具有內(nèi)在的安全性,因?yàn)樗煌琍ublic Internet相連。如果需要訪問(wèn)Internet,則可以建立一個(gè)通道,在該通道上,可放置一個(gè)防火墻,這樣就對(duì)整個(gè)VPN提供安全的連接。管理起來(lái)也很容易,因?yàn)閷?duì)于整個(gè)VPN來(lái)說(shuō),只需要維護(hù)一種安全策略。

MPLS VPN的另外一個(gè)好處是對(duì)于一個(gè)遠(yuǎn)程站點(diǎn),僅需要一個(gè)連接即可。想象一下,帶有一個(gè)中心站點(diǎn)和10個(gè)遠(yuǎn)程站點(diǎn)的傳統(tǒng)幀中繼網(wǎng),每個(gè)遠(yuǎn)程站點(diǎn)需要一個(gè)幀中繼PVC(永久性虛電路),這意味者需要10個(gè)PVC。而在MPLS VPN網(wǎng)中,僅需要在中心站點(diǎn)位置建立一個(gè)PVC,這就降低了網(wǎng)絡(luò)的成本。

5 總結(jié)

MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢(shì)的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù),也能夠開(kāi)展QoS、TE、組播等等的業(yè)務(wù)。隨著MPLS應(yīng)用的不斷升溫,不論是產(chǎn)品還是網(wǎng)絡(luò),對(duì)MPLS的支持已不再是額外的要求。VPN雖然是一項(xiàng)剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù),但卻已經(jīng)顯示了其強(qiáng)大的生命力。在我國(guó)網(wǎng)絡(luò)基礎(chǔ)薄弱,政府和企業(yè)對(duì)IP虛擬專(zhuān)用網(wǎng)的需求不高,但相信隨著政府上網(wǎng)、特別是在電子商務(wù)的推動(dòng)下,基本MPLS的IP虛擬專(zhuān)用網(wǎng)技術(shù)的解決方案必將有不可估量的市場(chǎng)前景。

參考文獻(xiàn):

[1]王達(dá).虛擬專(zhuān)用網(wǎng)(VPN)精解[J].清華大學(xué)出版社,2004,173-7.

第3篇:vpn技術(shù)范文

關(guān)鍵詞:IPsec;AH;EPS;VPN; SSL

中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A

1 概述

IPSec的英文全名為“Internet Protocol Security”,中文名為“因特網(wǎng)安全協(xié)議”,這個(gè)安全協(xié)議是VPN的基本加密協(xié)議,它為數(shù)據(jù)通過(guò)公用網(wǎng)絡(luò)(如因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道,首先要采用一定的方式建立通信連接,因?yàn)镮PSec協(xié)議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,包括加密運(yùn)算法則和身份驗(yàn)證方法類(lèi)型等。在IPSec協(xié)議中,一旦IPSec通道建立,所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過(guò)加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。

2IPsec原理

2.1安全特性[1]

IPSec的安全特性主要有:

2.1.1不可否認(rèn)性

“不可否認(rèn)性”可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過(guò)消息?!安豢煞裾J(rèn)性”是采用公鑰技術(shù)的一個(gè)特征,當(dāng)使用公鑰技術(shù)時(shí),發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來(lái)驗(yàn)證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰,也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名,所以只要數(shù)字簽名通過(guò)驗(yàn)證,發(fā)送者就不能否認(rèn)曾發(fā)送過(guò)該消息。

2.1.2反重播性

“反重播”確保每個(gè)IP包的唯一性,保證信息萬(wàn)一被截取復(fù)制后,不能再被重新利用、重新傳輸回目的地。

2.1.3數(shù)據(jù)完整性

防止傳輸過(guò)程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個(gè)數(shù)據(jù)包產(chǎn)生一個(gè)加密檢查和,接收方在打開(kāi)包前先計(jì)算檢查和,若包遭篡改導(dǎo)致檢查和不相符,數(shù)據(jù)包即被丟棄。

2.1.4數(shù)據(jù)可靠性(加密)

在傳輸前,對(duì)數(shù)據(jù)進(jìn)行加密,可以保證在傳輸過(guò)程中即使數(shù)據(jù)包遭截取,信息也無(wú)法被讀。該特性在IPSec中為可選項(xiàng),與IPSec策略的具體設(shè)置相關(guān)。

2.2數(shù)據(jù)包結(jié)構(gòu)[2]

2.2.1認(rèn)證頭

認(rèn)證頭(AH)被用來(lái)保證被傳輸分組的完整性和可靠性。此外,它還保護(hù)不受重放攻擊。

表1認(rèn)證頭分組

01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一個(gè)頭載荷長(zhǎng)度保留安全參數(shù)索引(SPI)序列號(hào)認(rèn)證數(shù)據(jù)(可變長(zhǎng)度)字段含義:

下一個(gè)頭:標(biāo)識(shí)被傳送數(shù)據(jù)所屬的協(xié)議。

載荷長(zhǎng)度:認(rèn)證頭包的大小。

保留:為將來(lái)的應(yīng)用保留(目前都置為0).

安全參數(shù)索引 : 與IP地址一同用來(lái)標(biāo)識(shí)安全參數(shù)。

序列號(hào):?jiǎn)握{(diào)遞增的數(shù)值,用來(lái)防止重放攻

認(rèn)證數(shù)據(jù):包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。

2.2.2封裝安全載荷 (ESP)

封裝安全載荷(ESP)協(xié)議對(duì)分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是,IP分組頭部不被包括在內(nèi)。

字段含義:

安全參數(shù)索引:與IP地址一同用來(lái)標(biāo)識(shí)安全參數(shù)。

序列號(hào):?jiǎn)握{(diào)遞增的數(shù)值,用來(lái)防止重放攻擊。

載荷數(shù)據(jù):實(shí)際要傳輸?shù)臄?shù)據(jù)。

填充:某些塊加密算法用此將數(shù)據(jù)填充至塊的長(zhǎng)度。

填充長(zhǎng)度:以位為單位的填充數(shù)據(jù)的長(zhǎng)度。

下一個(gè)頭 : 標(biāo)識(shí)被傳送數(shù)據(jù)所屬的協(xié)議。

認(rèn)證數(shù)據(jù):包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。

3VPN原理

3.1VPN的基本概念[3]

在VPN(Virtual Private Network,虛擬專(zhuān)用網(wǎng)絡(luò))中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。 虛擬專(zhuān)用網(wǎng)對(duì)用戶端透明,用戶好像使用一條專(zhuān)用線路進(jìn)行通信。

3.2VPN的關(guān)鍵技術(shù)[4]

目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。

3.2.1隧道技術(shù)

隧道是一種利用公網(wǎng)設(shè)施,在一個(gè)網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報(bào)頭封裝幀,附加的報(bào)頭提供了路由信息,因此封裝后的包能夠通過(guò)中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱(chēng)為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地。

3.2.2加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP (Encapsulationg Security Payload)實(shí)現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對(duì)數(shù)據(jù)加密,當(dāng)數(shù)據(jù)到達(dá)接收者時(shí)由接收者對(duì)數(shù)據(jù)進(jìn)行解密的處理過(guò)程,算法主要種類(lèi)包括:對(duì)稱(chēng)加密(單鑰加密)算法、不對(duì)稱(chēng)加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者Rivest、Shamir和Adleman名字的首字符)。

3.2.3密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?,F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

SKIP主要是利用Diffie-Hellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。

3.2.4使用者與設(shè)備身份認(rèn)證技術(shù)

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是用戶名/口令或智能卡認(rèn)證等方式。

3.3VPN隧道協(xié)議

隧道協(xié)議分為第二、三層隧道協(xié)議。它們的本質(zhì)區(qū)別再也用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP與L2F而形成。

3.3.1PPTP(Point to Point Tunneling Protocol,點(diǎn)到點(diǎn)隧道協(xié)議)

PPTP是VPN的基礎(chǔ)。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生,PPTP協(xié)議采用擴(kuò)展GRE(Generic Routing Encapsulation)頭對(duì)PPP/SLIP報(bào)進(jìn)行封裝。所謂擴(kuò)展GRE頭,即在通常GRE頭中,細(xì)化并修改了密鑰字段的利用,并增加了確認(rèn)、出現(xiàn)位和確認(rèn)號(hào)字段,從而提供了PPTP的流量控制功能。

3.3.2L2F(Layer 2 forwording)

L2F可以在多種介質(zhì)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專(zhuān)用網(wǎng),將鏈路層的協(xié)議(如PPP,HDLC等)封裝起來(lái)傳送。因此,網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。

3.3.3L2TP(Layer 2 Tunneling Protocol)

是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。它結(jié)合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn),以便擴(kuò)展功能。其格式基于L2F,信令基于PPTP。這種協(xié)議幾乎能實(shí)現(xiàn)PPTP和L2F協(xié)議能實(shí)現(xiàn)的所有服務(wù),并且更加強(qiáng)大、靈活。它定義了利用公共網(wǎng)絡(luò)設(shè)施(如IP網(wǎng)絡(luò)、ATM、幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層PPP幀的方法。

3.3.4IPSec

是在IP層提供通信安全而提供的一套協(xié)議族,是一個(gè)開(kāi)放性的標(biāo)準(zhǔn)框架。IPSec安全協(xié)議包括:封裝的安全負(fù)載ESP(Encapsulation Securiy Payload)和認(rèn)證報(bào)頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它對(duì)所有鏈路層上的數(shù)據(jù)提供安全保護(hù)和透明服務(wù)。

AH用于通信雙方能夠驗(yàn)證數(shù)據(jù)在傳輸過(guò)程中是否被更改并能驗(yàn)證發(fā)方的身份,實(shí)現(xiàn)訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認(rèn)證性和重放根據(jù)的保護(hù)的功能。

ISAKMP[5]主要用于通信雙方協(xié)商加密密鑰和加密算法,它是基于D-H的密鑰交換協(xié)議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產(chǎn)生的。

ESP 的基本思想是對(duì)整個(gè)IP包或更高層協(xié)議的數(shù)據(jù)進(jìn)行封裝,有2種模式:隧道(Tunnel)模式和傳輸(Transport)模式。在隧道模式下,IPSec把IPv4的整個(gè)IP包加密后封裝在新的安全I(xiàn)P包的數(shù)據(jù)段中,并生成一個(gè)新的IP包,在傳輸模式下只是將原IP包中的數(shù)據(jù)進(jìn)行加密后再發(fā)送出去。

通用路由封裝(GRE, Generic Routing Encapsulation):GRE規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義。GRE只提供了數(shù)據(jù)包的封裝,它并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊。所有在實(shí)際環(huán)境中它常和IPSec一起使用,由IPSec提供用戶數(shù)據(jù)的加密,從而給用戶提供更好的安全性。

4SSL VPN與IPSec VPN 比較

4.1IPSec VPN 優(yōu)缺點(diǎn)

4.1.1優(yōu)點(diǎn)

(1)IPSec是與應(yīng)用無(wú)關(guān)的技術(shù),因此IPSec VPN的客戶端支持所有IP層協(xié)議;

(2)IPSec技術(shù)中,客戶端至站點(diǎn)(client-to-site)、站點(diǎn)對(duì)站點(diǎn)(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術(shù)是完全相同的;

(3)IPSec VPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;

4.1.2不足

(1) IPSec VPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序;

(2)IPSec VPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的影響,或受網(wǎng)關(guān)設(shè)備(proxy)的影響;

(3)IPSec VPN需要先完成客戶端配置才能建立通信信道,并且配置復(fù)雜。

4.2SSL VPN[6] 優(yōu)缺點(diǎn)

4.2.1優(yōu)點(diǎn)

(1)它的HTTPS客戶端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中,因此不需要再次安裝;

(2)像Microsoft Outlook與Eudora這類(lèi)流行的郵件客戶端/服務(wù)器程序所支持的SSL HTTPS功能,同樣也與市場(chǎng)上主要的Web服務(wù)器捆綁銷(xiāo)售,或者通過(guò)專(zhuān)門(mén)的軟硬件供貨商(例如Web存取設(shè)備)獲得;

(3)SSL VPN可在NAT裝置上以透明模式工作;

(4)SSL VPN不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻的影響。

4.2.2不足

SSL VPN不適用做點(diǎn)對(duì)點(diǎn)的VPN,后者通常是使用IPSec/IKE技術(shù);

SSL VPN需要開(kāi)放網(wǎng)絡(luò)防火墻中的HTTPS連接端口,以使SSL VPN網(wǎng)關(guān)流量通過(guò)。5 結(jié)束語(yǔ)

IPsec協(xié)議的實(shí)現(xiàn)彌補(bǔ)TCP/IP參考模型設(shè)計(jì)之初的缺陷,但其本身也存在一些不足。通過(guò)SSL VPN與IPsec VPN比較,進(jìn)一步明確了IPsec VPN的特點(diǎn)及其適用的工作場(chǎng)合。

參考文獻(xiàn)

[1] Panos Trimintzios. A management and control architecture for providing IP differentiated services in MPLS-based networks, IEEE Communications Magazine, 2001, 39(5): pp.80-88.

[2]Intergated service in the Internet architecture: an overview.RFC1633,1994.

[3]J iang Y, Tham C, Ko C.Providing quality of service monitoring: challenges and approaches . International Journal of Network Management, 2000, 10 (6):pp.323-334.

[4] RFC 2917-2001, Muthukrishnan and amalis, a core MPLS.

[5]Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構(gòu)建虛擬專(zhuān)用網(wǎng)[M]. 北京:人民郵電出版社, 2001.

第4篇:vpn技術(shù)范文

關(guān)鍵詞:VPN技術(shù);應(yīng)用;研究

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)17-3996-03

虛擬專(zhuān)用網(wǎng),用英文翻譯過(guò)來(lái)就是Virtual Private Network,簡(jiǎn)稱(chēng)為VPN。虛擬專(zhuān)用網(wǎng)是通過(guò)公共網(wǎng)絡(luò)中相關(guān)的基礎(chǔ)設(shè)施,采用先進(jìn)的技術(shù)方式,對(duì)不同的兩臺(tái)計(jì)算機(jī)進(jìn)行一種專(zhuān)用的連接,使相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)信息在通過(guò)公共網(wǎng)絡(luò)進(jìn)行上傳的過(guò)程中,保證網(wǎng)絡(luò)數(shù)據(jù)信息私密性的一項(xiàng)技術(shù)。如何有效的應(yīng)用虛擬專(zhuān)用網(wǎng)技術(shù),是企業(yè)在發(fā)展過(guò)程中必須解決的一個(gè)重要問(wèn)題。

1 VPN技術(shù)的優(yōu)點(diǎn)

1.1 節(jié)約成本

VPN技術(shù)對(duì)公共網(wǎng)絡(luò)進(jìn)行了利用,建立并組成了虛擬的專(zhuān)用網(wǎng)絡(luò),不需要在單獨(dú)依靠公共網(wǎng)絡(luò)中專(zhuān)用的線路來(lái)保障數(shù)據(jù)信心傳輸?shù)陌踩?,利用?zhuān)用的網(wǎng)絡(luò)就能夠?qū)崿F(xiàn)數(shù)據(jù)信心的安全性,這一種方式相對(duì)于其他通信方式而言,所需要使用的成本更為低廉,例如:長(zhǎng)途電話、專(zhuān)線電話等。

1.2 使用便捷

VPN技術(shù)在公共網(wǎng)絡(luò)中的使用較為便捷,易于在公共網(wǎng)絡(luò)中進(jìn)行擴(kuò)展。當(dāng)公共網(wǎng)絡(luò)內(nèi)部中的節(jié)結(jié)點(diǎn)逐漸增多的時(shí)候,專(zhuān)線連接網(wǎng)絡(luò)的結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜,而且所需要花費(fèi)的成本也非常的高,而在使用虛擬專(zhuān)用網(wǎng)的過(guò)程中,只需要在公共網(wǎng)絡(luò)的節(jié)點(diǎn)位置構(gòu)架相關(guān)的VPN設(shè)備,就能夠在對(duì)Internet進(jìn)行利用時(shí)在計(jì)算機(jī)網(wǎng)絡(luò)中建立安全連接,若是公共網(wǎng)絡(luò)內(nèi)部中有其他的網(wǎng)絡(luò)想要進(jìn)入安全連接,只需要在使用使用一臺(tái)虛擬專(zhuān)用網(wǎng)設(shè)備,對(duì)相關(guān)的配置的配置進(jìn)行調(diào)整就能夠使其他的網(wǎng)絡(luò)加入到安全連接之中。

1.3 確保安全性

確保公共網(wǎng)絡(luò)中的安全性,是VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的基礎(chǔ),為了確保相關(guān)的數(shù)據(jù)信息在通過(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸過(guò)程中的安全性,VPN技術(shù)對(duì)加密認(rèn)證這一項(xiàng)技術(shù)進(jìn)行利用,在公共網(wǎng)絡(luò)內(nèi)部中對(duì)相關(guān)的安全隧道進(jìn)行構(gòu)建,重要的數(shù)據(jù)信息通過(guò)安全隧道進(jìn)行傳輸,有效的保證了數(shù)據(jù)信息在傳輸時(shí)的安全性,避免數(shù)據(jù)信息被惡意的篡改、破壞。

2 VPN得以實(shí)現(xiàn)的主要技術(shù)

VPN不是一個(gè)實(shí)體,而是一種虛擬的網(wǎng)絡(luò)形態(tài),是計(jì)算機(jī)網(wǎng)絡(luò)中的一個(gè)概念,是一個(gè)通過(guò)公共網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施對(duì)虛擬專(zhuān)用網(wǎng)絡(luò)進(jìn)行構(gòu)建時(shí),所運(yùn)用連接技術(shù)綜合起來(lái)的名稱(chēng)。VPN技術(shù)的實(shí)現(xiàn),離不開(kāi)隧道技術(shù),隧道技術(shù)是VPN技術(shù)得以實(shí)現(xiàn)的前提,隧道技術(shù)是一種對(duì)公共網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行包裝,然后在公共網(wǎng)絡(luò)中構(gòu)建一條網(wǎng)絡(luò)隧道,使公共網(wǎng)絡(luò)中的數(shù)據(jù)信心通過(guò)這一條網(wǎng)絡(luò)隧道進(jìn)行傳輸,以下是VPN技術(shù)在運(yùn)用過(guò)程中的主要隧道技術(shù)。

2.1 點(diǎn)到點(diǎn)隧道協(xié)議

點(diǎn)到點(diǎn)隧道協(xié)議簡(jiǎn)稱(chēng)為PPTP,即Point-to-Point Tunneling Protocol,PPTP將公共網(wǎng)絡(luò)中的PPP數(shù)據(jù)信息進(jìn)行包裝之后,通過(guò)Internet對(duì)這些數(shù)據(jù)信息進(jìn)行傳輸,PPTP協(xié)議提供了使多協(xié)議VPN構(gòu)建于Internet中的一種通信方式,遠(yuǎn)程的客戶端能夠通過(guò)PPTP對(duì)專(zhuān)用網(wǎng)絡(luò)進(jìn)行訪問(wèn)。

2.2 二層轉(zhuǎn)發(fā)協(xié)議

二層轉(zhuǎn)發(fā)協(xié)議簡(jiǎn)稱(chēng)L2F,即Layer Two Forwarding Protocol,二層轉(zhuǎn)發(fā)協(xié)議能夠?qū)Ω鞣N不同的傳輸協(xié)議提供支持,例如:幀中繼、ATM以及IP等,二層轉(zhuǎn)發(fā)協(xié)議可以讓遠(yuǎn)程客戶端的客戶在接入公共IP網(wǎng)絡(luò)中時(shí),在撥號(hào)方式上不會(huì)受到任何的限制,例如:遠(yuǎn)程客戶端的客戶在運(yùn)用常規(guī)的撥號(hào)方式對(duì)ISP中的NAS進(jìn)行撥號(hào)時(shí),對(duì)PPP連接進(jìn)行構(gòu)建,NAS則通過(guò)對(duì)遠(yuǎn)程客戶端客戶的一些基本信息的了解,在網(wǎng)絡(luò)中進(jìn)行第二重連接,向公司所在地的二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器進(jìn)行傳輸,二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器在將接收到的數(shù)據(jù)信心傳輸?shù)焦緝?nèi)部的網(wǎng)絡(luò)中。

2.3 IP安全協(xié)議

IP安全協(xié)議簡(jiǎn)稱(chēng)為IP Sec,IP安全協(xié)議包含了秘鑰協(xié)商與安全協(xié)議這兩個(gè)方面中的一部分,IP Sec安全協(xié)議提供了鑒別頭與封裝安全載荷這兩種在通信過(guò)程中起到保護(hù)作用的機(jī)制。鑒別頭用英文表示為Authentication Header,簡(jiǎn)稱(chēng)AH,它給計(jì)算機(jī)網(wǎng)絡(luò)通信中提供的是一種完全性的保護(hù)。封裝安全載荷用英文表示為Encapsulations Security Payload,簡(jiǎn)稱(chēng)ESP,它給計(jì)算機(jī)網(wǎng)絡(luò)通信中提供的不僅僅是完整性的保護(hù),還有機(jī)密文件在通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸這一過(guò)程中的保護(hù)。鑒別頭與封裝安全載荷對(duì)計(jì)算機(jī)網(wǎng)絡(luò)通信的保護(hù)具有實(shí)效性,對(duì)于公司內(nèi)部在使用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳輸?shù)陌踩杂兄种匾囊饬x。IP安全協(xié)議是虛擬專(zhuān)用網(wǎng)技術(shù)中一個(gè)非常重要的組成部分,它對(duì)于網(wǎng)絡(luò)的保護(hù)具有完整性,是虛擬專(zhuān)用網(wǎng)在計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用中,不可缺少的一個(gè)部分,不僅僅保護(hù)了數(shù)據(jù)信息在通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸中的安全,還在很大程度上保障了數(shù)據(jù)信息來(lái)源的安全性、可靠性。

3 VPN技術(shù)的應(yīng)用

在對(duì)VPN技術(shù)進(jìn)行應(yīng)用的過(guò)程中,能夠有效的解決虛擬專(zhuān)用網(wǎng)絡(luò)在對(duì)公共網(wǎng)絡(luò)進(jìn)行利用中存在的問(wèn)題。

以下是VPN技術(shù)主要的幾種應(yīng)用:

3.1 遠(yuǎn)程訪問(wèn)VPN

隨著我國(guó)科學(xué)技術(shù)的深入發(fā)展,人們對(duì)于遠(yuǎn)程通信的需求逐漸的擴(kuò)大,各個(gè)行業(yè)辦公方式由辦公室辦公轉(zhuǎn)變?yōu)樵谵k公室以外進(jìn)行辦公,企業(yè)中的工作人員對(duì)于企業(yè)網(wǎng)絡(luò)中的遠(yuǎn)程客戶端訪問(wèn)的要求逐漸增高,在這一形勢(shì)下遠(yuǎn)程訪問(wèn)VPN的出現(xiàn)是必然的趨勢(shì)。

一些公司或企業(yè)在網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程訪問(wèn)的過(guò)程中,為了保證遠(yuǎn)程訪問(wèn)的安全性,傳統(tǒng)的方法是公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中對(duì)RAS進(jìn)行構(gòu)建,即遠(yuǎn)程訪問(wèn)服務(wù)器。遠(yuǎn)程客戶端客戶利用電話這一形式進(jìn)行網(wǎng)絡(luò)撥號(hào),然后接入RAS,接著進(jìn)行入到公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中,在利用這種傳統(tǒng)的方法進(jìn)行遠(yuǎn)程訪問(wèn)時(shí),需要對(duì)相關(guān)的RAS設(shè)備進(jìn)行購(gòu)買(mǎi),RAS設(shè)備的價(jià)格都非常的高,而且遠(yuǎn)程客戶端客戶只能采取撥號(hào)這一種形式進(jìn)行遠(yuǎn)程訪問(wèn),遠(yuǎn)程訪問(wèn)的效率非常低,在遠(yuǎn)程訪問(wèn)時(shí)的安全性也得不到有效的保障,在進(jìn)行撥號(hào)時(shí)所需要的花費(fèi)的費(fèi)用也非常的多。遠(yuǎn)程訪問(wèn)VPN,通過(guò)數(shù)字用戶線路、ISDN以及撥號(hào)等一系列方式,進(jìn)入到公司或企業(yè)所在地的ISP中,再進(jìn)入Internet中,然后對(duì)公司或企業(yè)中的VPN網(wǎng)關(guān)進(jìn)行連接,在VPN與遠(yuǎn)程客戶端的客戶之間構(gòu)建一條安全隧道,遠(yuǎn)程客戶端的客戶可以通過(guò)這一條安全隧道對(duì)公司或企業(yè)內(nèi)部中的網(wǎng)絡(luò)進(jìn)行訪問(wèn),這種方式不僅僅節(jié)約了遠(yuǎn)程訪問(wèn)過(guò)程中所需要花費(fèi)的費(fèi)用,還在很大程度上保障了遠(yuǎn)程訪問(wèn)中的安全性。

遠(yuǎn)程訪問(wèn)VPN的結(jié)構(gòu)示意圖,如圖1所示。

3.2 站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)

一般情況下,在對(duì)同一個(gè)企業(yè)中兩個(gè)不同的分支機(jī)構(gòu)進(jìn)行連接的過(guò)程中,專(zhuān)用私有線路是必不可少的連接工具,但是專(zhuān)用私有線路非常的難找,尋找一條專(zhuān)用私有線路需要花費(fèi)很多的時(shí)間與精力,而且專(zhuān)用私有線路一般都以出租的方式進(jìn)行利用,租金非常的高。企業(yè)在利用一條專(zhuān)用私有線路對(duì)內(nèi)部中不同的分支機(jī)構(gòu)進(jìn)行連接時(shí),如果專(zhuān)用私有線路對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)造成了破壞,則會(huì)導(dǎo)致連接的失敗,而且在利用專(zhuān)用私有線路對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行傳輸?shù)臅r(shí)候,傳輸數(shù)據(jù)信息的網(wǎng)絡(luò)通道沒(méi)有進(jìn)行相關(guān)的加密,這就造成了數(shù)據(jù)信息在傳輸過(guò)程中存在著不安全因素。

站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng),能夠有效的解決企業(yè)內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)、傳輸、連接在安全這一方面存在的問(wèn)題,站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)示意圖,如圖2所示。

VPN網(wǎng)關(guān),處于公共網(wǎng)絡(luò)與企業(yè)專(zhuān)用網(wǎng)絡(luò)的交界處,站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)對(duì)數(shù)據(jù)信息通信進(jìn)行加密,通過(guò)Internet將數(shù)據(jù)信息傳輸?shù)较嚓P(guān)的VPN網(wǎng)關(guān)中。站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)在接收到Internet所傳輸?shù)臄?shù)據(jù)信息已被加密,然后通過(guò)將數(shù)據(jù)信息傳輸?shù)絍PN網(wǎng)關(guān)對(duì)數(shù)據(jù)信息進(jìn)行解密,接著傳輸?shù)狡髽I(yè)的內(nèi)部網(wǎng)絡(luò)中。站點(diǎn)與站點(diǎn)的內(nèi)聯(lián)網(wǎng)在傳輸數(shù)據(jù)信息時(shí),不需要專(zhuān)用的私有線路,而且還能夠使VPN變得非常的靈活。

3.3 VPN技術(shù)應(yīng)用的實(shí)例

VPN技術(shù)在宜春供水有限公司中的應(yīng)用,圖3是宜春供水有限公司中VPN網(wǎng)絡(luò)結(jié)構(gòu)圖。

VPN技術(shù)在宜春供水有限公司中的應(yīng)用,取代了宜春供水有限公司內(nèi)部中傳統(tǒng)的專(zhuān)線網(wǎng)絡(luò),VPN技術(shù)的應(yīng)用極大的增強(qiáng)了宜春供水有限公司在利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳遞時(shí)的安全性,有效的節(jié)約了宜春供水有限公司在網(wǎng)絡(luò)信息數(shù)據(jù)傳輸這一方面的資金成本,在總體上為公司節(jié)省了85%左右的信息數(shù)據(jù)通訊的資金成本,而且只需要普通寬帶就能夠?qū)崿F(xiàn)。

4 結(jié)束語(yǔ)

虛擬專(zhuān)用網(wǎng)技術(shù)在企業(yè)應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的過(guò)程中有著重要的作用,企業(yè)采用VPN這一技術(shù),能夠有效的保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性、可靠性、經(jīng)濟(jì)性,能夠確保企業(yè)中的一些重要的私密性文件在通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸時(shí)的安全。

參考文獻(xiàn):

[1] 浦兜,陳依群,曾鴻文.虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)信息加密技術(shù)研究[J].電訊技術(shù),2010(17).

[2] 束坤,凳國(guó)新.基于計(jì)算機(jī)網(wǎng)絡(luò)的VPN技術(shù)[J].計(jì)算機(jī)應(yīng)用,2008(11).

第5篇:vpn技術(shù)范文

關(guān)鍵詞:VPN技術(shù);隧道;優(yōu)化

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2015)06-0034-03

1概述

VPN(Virtual Private Network),即虛擬專(zhuān)用網(wǎng),它是利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道,并能提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。[1]由于通過(guò)VPN技術(shù)可以實(shí)現(xiàn)資源的傳輸和共享,并實(shí)現(xiàn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和安全。因此,它得到了積極的推廣和應(yīng)用。但其在應(yīng)用過(guò)程中,隨著分支機(jī)構(gòu)辦公人員數(shù)量以及需求不斷增加,多帶寬使用率的要求也越來(lái)越高,導(dǎo)致分支用戶業(yè)務(wù)使用不便,同時(shí)專(zhuān)線vpn對(duì)于移動(dòng)辦公人員和各辦事處人員訪問(wèn)公司的系統(tǒng)不能更好的支持。因此,對(duì)其進(jìn)行優(yōu)化也顯得十分必要。

2 VPN的應(yīng)用

2.1 VPN的實(shí)現(xiàn)原理

VPN技術(shù)并不依靠物理上的端到端的專(zhuān)用連接,即沒(méi)有固定的物理連接,它是利用Internet、ATM等公用網(wǎng)絡(luò)設(shè)施,在兩臺(tái)直接與公網(wǎng)連接的計(jì)算機(jī)之間建立一條專(zhuān)用通道,建立起虛擬的專(zhuān)用通路,并利用隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝,使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越,從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的安全連接。[2]通信過(guò)程的打包和解包工作則必須通過(guò)一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行,這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道將需要一個(gè)專(zhuān)門(mén)的過(guò)程,依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備及協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括3個(gè)單元:VPN服務(wù)器端、VPN客戶端機(jī)和VPN數(shù)據(jù)通道。

2.2 VPN 的實(shí)現(xiàn)

要實(shí)現(xiàn)VPN連接,企業(yè)內(nèi)部網(wǎng)絡(luò)中必需配置一臺(tái)VPN內(nèi)網(wǎng)接入設(shè)備,該設(shè)備有雙網(wǎng)卡,它一方面連接企業(yè)內(nèi)部網(wǎng)絡(luò),另一方面連接到Internet,即VPN服務(wù)器必須有一個(gè)公用的IP地址。VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程用戶使用時(shí)根本無(wú)需關(guān)心隧道的建立、數(shù)據(jù)加密、用戶認(rèn)證等過(guò)程。[3]遠(yuǎn)程用戶采用TCP/IP 協(xié)議,選擇建立虛擬隧道,并保持原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和應(yīng)用模式不變,以便實(shí)現(xiàn)快捷、廉價(jià)、保密的通信。

2.3 VPN的應(yīng)用場(chǎng)景

VPN的應(yīng)用場(chǎng)景分可分為3種:

1)站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān):在不同的地方分支,各使用一個(gè)網(wǎng)關(guān)相互建立VPN隧道,企業(yè)內(nèi)網(wǎng)(若干PC)之間的數(shù)據(jù)則通過(guò)這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。

2)端到端或者PC到PC:兩臺(tái)PC之間的通信由兩臺(tái)PC之間的IPSec進(jìn)行會(huì)話保護(hù),而并不是網(wǎng)關(guān)。

3)端到站點(diǎn)或者PC到網(wǎng)關(guān):兩臺(tái)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。VPN只是IPSec的一種應(yīng)用方式,它的目的是為IP提供高安全性特性,VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設(shè)計(jì)

本方案主要是在總部和分支各部署一臺(tái)深信服(SANGFOR)加速設(shè)備,對(duì)現(xiàn)有專(zhuān)線數(shù)據(jù)傳輸進(jìn)行優(yōu)化。SANGFOR VPN設(shè)備支持多種加密算法、硬件證書(shū)認(rèn)證、移動(dòng)客戶端專(zhuān)線功能,能保障用戶訪問(wèn)安全和數(shù)據(jù)傳輸安全。

具體方案如下:

1)通過(guò)SANGFOR設(shè)備對(duì)專(zhuān)線線路重復(fù)冗余的數(shù)據(jù)進(jìn)行刪減、壓縮,以減少數(shù)據(jù)傳輸量,提高分支機(jī)構(gòu)和總部之間響應(yīng)速度;

第6篇:vpn技術(shù)范文

關(guān)鍵詞:虛擬專(zhuān)用網(wǎng)SSLMPLSIPSec

Comparison and Analysis of Mainstream VPN Technologies

LI Hong-Jun

(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)

Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.

Keywords: Virtual Private Network; SSL; MPLS; IPSec

VPN(Virtual Private Network,虛擬專(zhuān)用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)絡(luò)連接成的邏輯上的虛擬子網(wǎng), 它采用數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、隧道技術(shù)和密鑰管理技術(shù)等關(guān)鍵技術(shù)實(shí)施通信保護(hù),防止通信信息被泄露、篡改和復(fù)制。

當(dāng)前,隨著VPN技術(shù)的日趨成熟,已經(jīng)有越來(lái)越多的企業(yè)和機(jī)構(gòu)采用VPN技術(shù)來(lái)構(gòu)建自己的虛擬專(zhuān)用網(wǎng)絡(luò)以達(dá)到靈活擴(kuò)展自身內(nèi)部網(wǎng)絡(luò)、連接跨區(qū)域分支網(wǎng)絡(luò)等目的。與傳統(tǒng)的物理專(zhuān)用網(wǎng)絡(luò)相比,VPN具有組網(wǎng)成本低、通信安全、管理方便、擴(kuò)展性強(qiáng)、可靠的服務(wù)質(zhì)量(QoS)等特點(diǎn)。

按照實(shí)現(xiàn)技術(shù)的不同,VPN可分為 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與 SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術(shù)的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應(yīng)用最為廣泛的三種VPN 解決方案。

下面分別對(duì)這三種技術(shù)進(jìn)行比較與分析。

1 IPSec VPN與MPLS VPN及SSL VPN的工作原理

1.1 IPSec VPN

IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過(guò)公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認(rèn)證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟( SA)及加密和驗(yàn)證算法等。IPSec是在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)加密和驗(yàn)證,提供端到端的網(wǎng)絡(luò)安全方案,可以提供訪問(wèn)控制、數(shù)據(jù)源的驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性、抗重防保護(hù)以及有限的數(shù)據(jù)流機(jī)密性保證等服務(wù)[1 ]。

IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、防止重播攻擊、信息加密與流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層,并保護(hù)上層的協(xié)議。這些服務(wù)通過(guò)使用兩個(gè)安全協(xié)議:認(rèn)證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過(guò)使用加密密鑰管理過(guò)程和協(xié)議來(lái)實(shí)現(xiàn)。

IPSec VPN是一項(xiàng)成熟的技術(shù),目前有許多基于硬件的解決方案來(lái)保障它的高性能,是遠(yuǎn)程辦公室點(diǎn)對(duì)點(diǎn)互聯(lián)的優(yōu)選方案。

1.2 MPLS VPN

MPLS (Multi-Protocol Label Switching,多協(xié)議標(biāo)簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn),介于第二層和第三層之間的交換技術(shù),所以它既可以兼容多種鏈路層技術(shù),又能支持多種網(wǎng)絡(luò)層的協(xié)議,實(shí)現(xiàn)了邊緣的路由和核心的交換[2 ]。

MPLS VPN是一種基于MPLS技術(shù)的VPN,在網(wǎng)絡(luò)路由與交換設(shè)備上使用MPLS技術(shù),應(yīng)用標(biāo)簽交換,通過(guò)LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來(lái),并結(jié)合傳統(tǒng)的路由技術(shù),適用于多點(diǎn)到多點(diǎn)的連接。MPLS作為骨干網(wǎng)絡(luò)的一種路由轉(zhuǎn)發(fā)的新模式,必須由LSR(Label Switch Router,標(biāo)簽交換路由器)構(gòu)建,普通路由器無(wú)法完成。如果網(wǎng)絡(luò)規(guī)模比較大,則可能需要較多的LSR。

1.3 SSL VPN

SSL(Secure Socket Layer,安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議,它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議,處于應(yīng)用層。SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如 HTTP、Telnet、SMTP和FTP等)與TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制,為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證[3]。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)與服務(wù)器間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。盡管SSL 協(xié)議并非為實(shí)現(xiàn)VPN而設(shè)計(jì),但SSL對(duì)VPN實(shí)現(xiàn)所需的數(shù)據(jù)加密、身份認(rèn)證與密鑰管理等關(guān)鍵技術(shù)提供了良好的支持。

SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)與TCP層之間的,能夠提供安全的遠(yuǎn)程接入[4]。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能,通過(guò)瀏覽器連回公司內(nèi)部的SSL VPN服務(wù)器,然后通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,令客戶可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。SSL VPN采用標(biāo)準(zhǔn)的安全套接層(SSL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。通過(guò) SSL VPN可以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架。

2 IPSec VPN、MPLS VPN與SSL VPN的比較及分析

2.1安全性比較與分析

IPSec VPN[5]采用了對(duì)稱(chēng)式(Symmetric)與非對(duì)稱(chēng)式(Asymmetric)的加密算法以及摘要算法等,通過(guò)身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等多種方式保證了接入的安全性、數(shù)據(jù)的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來(lái)抗攻擊與標(biāo)記欺騙,但它并沒(méi)有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問(wèn)受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部攻擊等安全問(wèn)題。MPLS本身并未提供加密與驗(yàn)證的安全功能,它可以集成IPSec協(xié)議以提供安全保護(hù)。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對(duì)稱(chēng)式與非對(duì)稱(chēng)式的加密算法執(zhí)行加密作業(yè),其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

2.2 認(rèn)證方式與管理的比較及分析

IPSec[6]采用了因特網(wǎng)密鑰交換(Internet Key Exchange)方式,使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認(rèn)證。對(duì)于IPSec VPN,由于一個(gè)新用戶節(jié)點(diǎn)的增加、刪除或修改均需要重新設(shè)置現(xiàn)有的所有節(jié)點(diǎn),并在客戶端安裝復(fù)雜的軟件及配置。另外,IPSec VPN對(duì)客戶端采用的操作系統(tǒng)也具有較高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,其易管理性差。SSL僅能使用數(shù)字憑證,若都采用數(shù)字憑證來(lái)認(rèn)證,SSL與IPSec在認(rèn)證的安全等級(jí)上則沒(méi)有太大的差別。大多數(shù)廠商對(duì)SSL的認(rèn)證均會(huì)建置硬件令牌(Token)以提升認(rèn)證的安全性。在實(shí)際作業(yè)時(shí),大多數(shù)人均在整個(gè)網(wǎng)段(Subset)上進(jìn)行開(kāi)發(fā)以避免太多的設(shè)定所帶來(lái)的麻煩。SSL可以設(shè)定不同的使用者以執(zhí)行不同的應(yīng)用系統(tǒng),另外瀏覽器中也內(nèi)置了SSL協(xié)議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設(shè)定上比IPSec 簡(jiǎn)單方便得多,便于管理。對(duì)于MPLS VPN[7],由于在同一VPN的成員之間不需要建立與維護(hù)連接,若有新成員加入,ISP僅需要告知用戶端的設(shè)備如何與網(wǎng)絡(luò)連接,并配置PE來(lái)識(shí)別來(lái)自CE的VPN成員,BGP便會(huì)自動(dòng)更新相關(guān)配置,用戶不需要手動(dòng)升級(jí)或改變自己的邊緣設(shè)備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。

2.3 成本的比較

MPLS VPN對(duì)于用戶而言,其一次性投入的成本較低,但長(zhǎng)期投入的資金比較高。對(duì)于IPSec VPN,在實(shí)施IPSec方案時(shí)不僅需要人工發(fā)放認(rèn)證的材料,用戶還需要知道所使用的加密和認(rèn)證算法,內(nèi)網(wǎng)路由配置等諸多繁瑣事宜,還需要預(yù)裝客戶端軟件等。這些不便在大規(guī)模實(shí)施過(guò)程中給用戶帶來(lái)了難以負(fù)擔(dān)的工作量和費(fèi)用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因?yàn)闉g覽器內(nèi)置了SSL協(xié)議,其投入的成本最少。

3 結(jié)語(yǔ)

通過(guò)上述比較分析可看出,三種VPN技術(shù)各具特色,互有長(zhǎng)短。IPSec VPN與SSL VPN這兩種VPN架構(gòu),從整體的安全等級(jí)來(lái)看,它們均能提供安全的遠(yuǎn)程登入存取聯(lián)機(jī)。但SSL VPN在其易用性及安全層級(jí)上,均比IPSec VPN高。由于Internet的快速擴(kuò)展,針對(duì)遠(yuǎn)程安全登入的需求也日益增加。因此,在實(shí)際選擇VPN 時(shí),應(yīng)根據(jù)實(shí)際需求,可以某種VPN技術(shù)為主,結(jié)合其他技術(shù),充分發(fā)揮它們各自的優(yōu)勢(shì),讓VPN網(wǎng)絡(luò)為企業(yè)和員工提供更好的服務(wù)。

參考文獻(xiàn)

[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁國(guó)忠譯.IPSec VPN設(shè)計(jì)[M].北京:人民郵電出版社,2006.

[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.盧澤新, 朱培棟,齊寧譯.MPLS和VPN體系結(jié)構(gòu)(第二卷) [M].北京:人民郵電出版社,2004.

[3] 馬軍鋒.SSL VPN 技術(shù)原理及其應(yīng)用[J].電信網(wǎng)技術(shù),2005,(8):6~8.

[4] 伍轉(zhuǎn)華.三種基于不同協(xié)議的VPN技術(shù)研究與分析[J].科技咨詢,2007.

[5] 王春燕.VPN介紹及其安全性問(wèn)題探討[J].中國(guó)新通信,2008.

[6] 易光華,傅光軒,周錦順.MPLS VPN、IPSec VPN和SSL VPN技術(shù)的研究與比較[J].貴州科學(xué),2007,(2).

第7篇:vpn技術(shù)范文

關(guān)鍵詞:校園網(wǎng)IPv6VPN安全性

1 概述

目前,隨著我國(guó)信息網(wǎng)絡(luò)建設(shè)的飛速發(fā)展,高校也進(jìn)行了較大規(guī)模的數(shù)字化建設(shè),并形成了完善的校園網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。我國(guó)一些重點(diǎn)高校更是構(gòu)建了基于IPv6的校園網(wǎng),用于組建下一代科研教育骨干網(wǎng)(CERNET 2),為未來(lái)IPv6網(wǎng)絡(luò)的應(yīng)用打下基礎(chǔ)。但該技術(shù)的使用大多停留在實(shí)驗(yàn)測(cè)試階段,其安全性問(wèn)題凸顯的不夠明顯。隨著“云概念”的提出,IPv6的應(yīng)用也是迫在眉睫。如何解決IPv6的安全問(wèn)題成為了近年研究的熱點(diǎn)之一。

2 IPv6技術(shù)存在的問(wèn)題

現(xiàn)在我國(guó)的IPv6技術(shù)仍處于發(fā)展階段,很多方面還不成熟,很多實(shí)踐過(guò)程中遇到的部署和應(yīng)用問(wèn)題還有待解決。如大多數(shù)高校原來(lái)使用基于IPv4的網(wǎng)絡(luò),如果要把它全部換成即可運(yùn)行IPv4又能運(yùn)行IPV6的雙棧網(wǎng)絡(luò),就要把原有的網(wǎng)絡(luò)設(shè)備全部更新?lián)Q代。這個(gè)一方面投資太大,另一方面造成了資源浪費(fèi)。

2.1 過(guò)渡時(shí)期的安全漏洞 網(wǎng)絡(luò)在由IPv4向IPv6的過(guò)渡時(shí)中出現(xiàn)了一些安全漏洞。如果攻擊者想要建立從IPv6到IPv4的隧道,只需要用安裝了雙棧的IPv6主機(jī)就可以繞過(guò)防火墻進(jìn)行攻擊了。對(duì)于校園網(wǎng)用戶來(lái)講也面臨著這些問(wèn)題,其中最重要的是在當(dāng)前的校園網(wǎng)搭建上怎么樣來(lái)保證IPv6 孤島之間的通信安全。

2.2 IPv6網(wǎng)絡(luò)協(xié)議自身局限 IPv6網(wǎng)絡(luò)協(xié)議本身還有待于完善,其目前還很難來(lái)實(shí)現(xiàn)嚴(yán)格意義上的用戶限制功能。它與IPv4的防火墻、漏洞掃描、網(wǎng)絡(luò)過(guò)濾、VPN、IDS、防病毒網(wǎng)關(guān)等聯(lián)合的安全體系還存在著較大的差距。

2.3 實(shí)踐中的安全隱患 無(wú)狀態(tài)地址自動(dòng)配置使得合法網(wǎng)絡(luò)用戶在使用IPv6 網(wǎng)絡(luò)時(shí)相當(dāng)方便,但是它在同時(shí)也引入了安全隱患,因?yàn)閰f(xié)議自身就認(rèn)為所有的可以自動(dòng)配置的節(jié)點(diǎn)都是合法節(jié)點(diǎn),并且能夠即插即用地接入到本地網(wǎng)絡(luò)中來(lái)。所以,攻擊者就可以利用這一特性對(duì)用戶信息進(jìn)行監(jiān)控甚至是篡改。

2.4 自身組成部分的不嚴(yán)密 ICMPv6是IPv6的重要組成部分,但是它能夠被利用來(lái)發(fā)動(dòng)拒絕服務(wù)攻擊,利用ICMPv6能夠冒充其它節(jié)點(diǎn)來(lái)產(chǎn)生惡意消息(不可達(dá)目的、超時(shí)、參數(shù)替換等),從而來(lái)影響正常的通信交流。

2.5 協(xié)議的保密性差 攻擊者可以通過(guò)利用網(wǎng)絡(luò)鄰居發(fā)現(xiàn)協(xié)議,然后發(fā)送錯(cuò)誤路由器宣告、錯(cuò)誤重定向消息等,讓數(shù)據(jù)包通向不確定目的地,進(jìn)而達(dá)到產(chǎn)生拒絕服務(wù)、攔截與修改數(shù)據(jù)包的目的。

3 IPv6校園網(wǎng)絡(luò)的安全性問(wèn)題

3.1 校園網(wǎng)帶寬高和規(guī)模大 高校學(xué)生一般計(jì)較集中,因而用戶群比較密集。由于高帶寬和大用戶量的特點(diǎn),網(wǎng)絡(luò)安全問(wèn)題蔓延快,影響比較嚴(yán)重。

3.2 網(wǎng)絡(luò)環(huán)境的開(kāi)放性 受教學(xué)和科研特點(diǎn)的影響使校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開(kāi)放的、管理也是較為寬松的。如果實(shí)施過(guò)多的限制,一些新的應(yīng)用很難在校園網(wǎng)內(nèi)部實(shí)施。

3.3 管理的不足 在校園網(wǎng)管理方面,一般只有網(wǎng)絡(luò)中心的少數(shù)工作人員,他們負(fù)責(zé)維護(hù)網(wǎng)絡(luò)的正常運(yùn)行,無(wú)暇顧及數(shù)千臺(tái)計(jì)算機(jī)的安全。

3.4 實(shí)施困難 IPv6最重要的安全性體現(xiàn)是將IPSec作為強(qiáng)制標(biāo)準(zhǔn)實(shí)施,保證了網(wǎng)際層數(shù)據(jù)的保密性和完整性。但是大規(guī)模部署IPSec所依賴的PKI在IPv6網(wǎng)絡(luò)上存在難度,因此IPSec的實(shí)施還有困難。

4 VPN技術(shù)的優(yōu)勢(shì)

4.1 VPN的出現(xiàn)能夠讓校園網(wǎng)能夠通過(guò)Internet安全可靠、經(jīng)濟(jì)有效地來(lái)傳輸機(jī)密信息,可以保證IP數(shù)據(jù)包在公網(wǎng)傳輸過(guò)程中不會(huì)受到來(lái)自其它用戶的網(wǎng)絡(luò)竊聽(tīng)、修改等安全威脅。目前,在IPv6校園網(wǎng)環(huán)境中可以使用的VPN安全隧道協(xié)議有鏈路層的PPTP、L2TP協(xié)議,SSL協(xié)議和網(wǎng)絡(luò)層的IPSec協(xié)議。其中IPSec是VPN使用最多的安全協(xié)議,憑借其高水平的標(biāo)準(zhǔn)性、易用性以及高安全性等優(yōu)點(diǎn)成為了目前VPN 安全隧道技術(shù)的主流。

4.2 在VPN 的實(shí)現(xiàn)中可以具有如下主要作用:

4.2.1 遠(yuǎn)程用戶可以通過(guò)透明地?fù)芴?hào)上網(wǎng)來(lái)訪問(wèn)內(nèi)網(wǎng),IP隧道可以任意調(diào)整任何形式的有效負(fù)載。

4.2.2 隧道可以利用封裝技術(shù),對(duì)多個(gè)用戶、多個(gè)不同形式的有效負(fù)載進(jìn)行調(diào)整。

4.2.2 當(dāng)使用隧道技術(shù)訪問(wèn)內(nèi)網(wǎng)時(shí),內(nèi)網(wǎng)不會(huì)將其IP 地址報(bào)告給公網(wǎng)。

4.2.3 隧道技術(shù)可以對(duì)是否濾掉接收者,或?qū)€(gè)人隧道連接進(jìn)行報(bào)告進(jìn)行選擇,自主性較強(qiáng)。

5 VPN在IPv6校園網(wǎng)中的部署

目前,高校大多的校園網(wǎng)屬于那種典型的三層結(jié)構(gòu),即核心層、匯聚層與接入層。主要的應(yīng)用有:部門(mén)之間的互連;信息服務(wù);遠(yuǎn)程訪問(wèn);內(nèi)部信息的保密和安全等方面。

由于匯聚設(shè)備很大一部分是不支持IPv6協(xié)議的老舊設(shè)備,所以IPv6協(xié)議不能夠通過(guò)路由到達(dá)核心交換機(jī)。一些高校的部分新建樓棟采用的是支持IPv6協(xié)議的三層匯聚交換機(jī),是通過(guò)光纖直接接入核心交換機(jī)的。結(jié)合高校校園網(wǎng)的具體情況,從而可以有以下幾種改善建設(shè)思路。

5.1 Access VPN實(shí)現(xiàn)異地訪問(wèn) Access VPN是遠(yuǎn)程的方式,具體是首先通過(guò)配置VPN服務(wù)器,使之能接受客戶用戶的VPN 撥入,同時(shí)在服務(wù)器端配置VPN 用戶,給予用戶撥入的權(quán)限;其次是配置VPN 客戶端,在客戶端建立VPN 連接。在客戶機(jī)連入Internt 后,就可以進(jìn)行VPN 連接撥入,在客戶機(jī)和遠(yuǎn)端VPN 服務(wù)器之間建立點(diǎn)對(duì)點(diǎn)連接。

Access VPN的應(yīng)用,使單機(jī)遠(yuǎn)程移動(dòng)用戶隨時(shí)隨地以各種方式接入Internet,安全地訪問(wèn)校園網(wǎng)的資源。實(shí)質(zhì)上是對(duì)校園網(wǎng)的延伸,教職工可以打破傳統(tǒng)的固定辦公模式,將辦公地點(diǎn)延伸到家庭或出差地,實(shí)現(xiàn)異地辦公。同時(shí)Access VPN 也能保證教職工用戶端和校園網(wǎng)VPN 服務(wù)器之間數(shù)據(jù)信息傳輸安全。

5.2 應(yīng)用Intranet VPN實(shí)現(xiàn)多個(gè)校區(qū)局域網(wǎng)互聯(lián) 在眾多隧道技術(shù)中,IPSec VPN是使用最為廣泛的一種,其在實(shí)現(xiàn)通信的兩端提供安全的傳輸隧道。該方法定義了哪些數(shù)據(jù)包應(yīng)受到保護(hù),該被放在安全隧道中傳輸。通過(guò)標(biāo)識(shí)隧道的安全屬性,可以定義用于保護(hù)這些敏感數(shù)據(jù)的安全參數(shù)。更精確地說(shuō),這些安全的數(shù)據(jù)傳輸隧道是建立在兩個(gè)IPSec對(duì)端的一系列SA上,這些SA參數(shù)定義了哪些協(xié)議和算法可以被應(yīng)用到敏感數(shù)據(jù)、IPSec對(duì)端應(yīng)用的密鑰等。IPSec的實(shí)現(xiàn)是靠?jī)蓚€(gè)對(duì)端維持的,實(shí)際上是一種端到端的安全實(shí)現(xiàn);從技術(shù)的角度上說(shuō),在端到端客戶的路由器上實(shí)現(xiàn)是最安全合理的方式,中間的路由器不需要做相應(yīng)設(shè)置。因此IPSec實(shí)現(xiàn)的是一種與接入網(wǎng)絡(luò)無(wú)關(guān)的VPN技術(shù)。

6 結(jié)論

目前IPv6網(wǎng)絡(luò)已經(jīng)進(jìn)入到全面部署時(shí)期,在以IPv6協(xié)議為主的CERNET2上進(jìn)行應(yīng)用與科研是總的發(fā)展趨勢(shì)。在IPv6協(xié)議下構(gòu)建基于VPN的校園網(wǎng)還需要考慮綜合的安全措施,如與入侵檢測(cè)、防火墻等設(shè)備的結(jié)合使用。從而形成一種混合技術(shù),構(gòu)建安全的校園網(wǎng)絡(luò)和完美的VPN。

參考文獻(xiàn):

[1]王宇杰,楊志軍.《下一代校園網(wǎng)建設(shè)進(jìn)入新階段(一)》.北京交通大學(xué).中國(guó)教育和科研計(jì)算機(jī)網(wǎng),2010.

[2]時(shí)晨,申普兵等.IPv6校園網(wǎng)環(huán)境下IPSecVPN的安全性研究[J]計(jì)算機(jī)技術(shù)與發(fā)展,2010,20(10):168-170.

第8篇:vpn技術(shù)范文

[關(guān)鍵詞]VPN技術(shù);MPLS VPN技術(shù);內(nèi)部網(wǎng)絡(luò);構(gòu)建策略

中圖分類(lèi)號(hào):TP393.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2015)06-0089-02

引言

VPN技術(shù)又稱(chēng)遠(yuǎn)程訪問(wèn)技術(shù)或虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù),主要是指利用公用網(wǎng)絡(luò)架設(shè)專(zhuān)用網(wǎng)絡(luò),進(jìn)行加密通訊的一種技術(shù)。VPN技術(shù)按照協(xié)議可分類(lèi)為多種方式,并通過(guò)服務(wù)器、硬件、軟件等來(lái)實(shí)現(xiàn)。由于VPN技術(shù)具有的經(jīng)濟(jì)性、實(shí)用性、簡(jiǎn)單性等特點(diǎn),使其在企業(yè)網(wǎng)絡(luò)中的應(yīng)用十分廣泛。

1.VPN技術(shù)的概述

VPN技術(shù)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò),建立起一個(gè)安全、臨時(shí)的連接,該技術(shù)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,其可以幫助異地用戶、商業(yè)伙伴、供應(yīng)商、公司分支機(jī)構(gòu)同公司的內(nèi)部網(wǎng)建立起可信的安全連接,保證數(shù)據(jù)的安全傳輸。VPN技術(shù)主要的優(yōu)點(diǎn)體現(xiàn)在三方面:一,VPN技術(shù)可以省去專(zhuān)線租用費(fèi)用或長(zhǎng)距離電話費(fèi)用,進(jìn)而有效地降低了成本;二,VPN技術(shù)可以充分地利用internet公網(wǎng)資源,快速地建立起公司的廣域連接;三,VPN技術(shù)可以對(duì)所有數(shù)據(jù)進(jìn)行加密,以此確保數(shù)據(jù)信息的安全性與保密性,使沒(méi)有訪問(wèn)權(quán)利的用戶無(wú)法看到企業(yè)的局域網(wǎng)絡(luò)。

2.VPN技術(shù)構(gòu)建企業(yè)內(nèi)部網(wǎng)絡(luò)的技術(shù)基礎(chǔ)與安全要素

2.1 VPN技術(shù)基礎(chǔ)

實(shí)現(xiàn)一個(gè)完整、系統(tǒng)的VPN技術(shù),主要基礎(chǔ)技術(shù)包括密碼技術(shù)、隧道技術(shù)、網(wǎng)絡(luò)訪問(wèn)控制技術(shù)等。⑴密碼技術(shù)。密碼技術(shù)作為VPN技術(shù)中的一項(xiàng)基本技術(shù),也是所有通信數(shù)據(jù)安全的基石,是保證信息機(jī)密性的唯一方法。通過(guò)對(duì)網(wǎng)絡(luò)的加密,防止非授權(quán)用戶的搭線竊聽(tīng)以及入網(wǎng)行為,有效對(duì)抗惡意軟件,最終起到以最小代價(jià)提供最強(qiáng)安全保護(hù)的效果。密碼技術(shù)又可根據(jù)算法分為非對(duì)稱(chēng)密鑰密碼算法與對(duì)稱(chēng)密鑰密碼算法兩種,在應(yīng)用中根據(jù)實(shí)際情況選擇最適宜的一種。

⑵隧道技術(shù)。受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響,企業(yè)內(nèi)部網(wǎng)絡(luò)使用多屬于私有IP地址,但是從這些地址發(fā)出的數(shù)據(jù)包卻不能直接通過(guò)Internet傳輸,必須代之合法的IP地址。而隧道技術(shù)便是將這種私有IP地址轉(zhuǎn)換成為合法IP地址的技術(shù)。隧道技術(shù)又稱(chēng)之為數(shù)據(jù)包封裝技術(shù),發(fā)生在VPN的發(fā)送節(jié)點(diǎn),通過(guò)將原數(shù)據(jù)包打包,添加合法的外層IP包頭,然后這個(gè)包再通過(guò)公網(wǎng)被傳送到接收端的VPN節(jié)點(diǎn),該節(jié)點(diǎn)在接收后通過(guò)拆包處理,還原出原報(bào)文中傳輸給目標(biāo)主機(jī)。從現(xiàn)狀來(lái)看,幾乎所有的VPN技術(shù)采用了隧道技術(shù)[1]。

⑶網(wǎng)絡(luò)訪問(wèn)控制技術(shù)。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)主要起到對(duì)出入廣域網(wǎng)的數(shù)據(jù)包進(jìn)行過(guò)濾的作用,一個(gè)系統(tǒng)的VPN產(chǎn)品,應(yīng)該同時(shí)提供完整的網(wǎng)絡(luò)訪問(wèn)控制功能,才能保證系統(tǒng)的性能、安全性以及統(tǒng)一管理。

2.2 VPN技術(shù)的安全要素

采用VPN技術(shù)構(gòu)建企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí),應(yīng)該具備如下幾點(diǎn)安全要素:一,使用偷聽(tīng)者無(wú)法破解攔截的通道數(shù)據(jù),提供有效的加密手段,保證系統(tǒng)通道的安全性與機(jī)密性;二,VPN技術(shù)要有抵抗不法分子篡改數(shù)據(jù)的功能,接收到的數(shù)據(jù)必須要與發(fā)送時(shí)的數(shù)據(jù)一致,必須保證數(shù)據(jù)的完整性與有效性;三,通信主機(jī)必須經(jīng)過(guò)授權(quán),要有抵抗地址假冒的功能,確保數(shù)據(jù)的真實(shí)性;四,可提供安全、有效的訪問(wèn)控制與防護(hù)措施,可以對(duì)VPN通道進(jìn)行訪問(wèn)控制,同時(shí)也起到抵抗黑客通過(guò)VPN通道攻擊網(wǎng)絡(luò)的能力。

3.基于VPN技術(shù)的內(nèi)部網(wǎng)絡(luò)構(gòu)建

文章以西北空管局為例,分析在H3C路由器應(yīng)用下,基于VPN技術(shù)的內(nèi)部網(wǎng)絡(luò)構(gòu)建對(duì)策。

3.1 VPN基本組網(wǎng)應(yīng)用

就以某企業(yè)為例,基于VPN建立的企業(yè)內(nèi)部網(wǎng)見(jiàn)圖1所示:

上述可見(jiàn),企業(yè)內(nèi)部資源享用者利用PSTN/ISDN網(wǎng)或局域網(wǎng)連入本地ISP的POP服務(wù)器,以此來(lái)訪問(wèn)到公司內(nèi)部資源。

3.2 L2TP協(xié)議配置

⑴VPDN指通過(guò)PSTN、ISDN等公共網(wǎng)絡(luò)的撥號(hào)功能及接入網(wǎng),實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng),為企業(yè)提供接入服務(wù)。VPDN主要有兩種實(shí)現(xiàn)方式,包括:NAS通過(guò)隧道協(xié)議與VPDN網(wǎng)關(guān)建立通道的方式、客戶機(jī)與VPDN網(wǎng)關(guān)建立隧道的方式。而VPDN隧道協(xié)議又分為L(zhǎng)2F、L2TP、PPTP三種,由于L2TP協(xié)義所具有的多協(xié)議傳輸、高度的安全性與可靠性、靈活的身份驗(yàn)證、支持內(nèi)部地址分配、網(wǎng)絡(luò)計(jì)費(fèi)的靈活性等特點(diǎn),使得該協(xié)議的應(yīng)用最為普遍。L2TP隧道模式有兩種最為典型:1.由遠(yuǎn)程撥號(hào)用戶發(fā)起。遠(yuǎn)程系統(tǒng)和PSTN/ISDN撥入LAC,LAC通過(guò)Internet向LNS發(fā)起建立通道連接的請(qǐng)求;2.由LAC客戶發(fā)起。LAC客戶也可直接向LNS發(fā)起通道連接請(qǐng)求,由LNS來(lái)完成LAC客戶的分配[2]。

⑵PPP用戶通過(guò)接入認(rèn)證后,EAD服務(wù)器便會(huì)對(duì)其進(jìn)行安全認(rèn)證,若是認(rèn)證通過(guò),用戶便可正常訪問(wèn)網(wǎng)絡(luò)資源,但若認(rèn)證不通過(guò),用戶便只能訪問(wèn)隔離區(qū)資源。L2TP配置分為L(zhǎng)AC端配置與LNS端配置兩種,具體配置可根據(jù)詳細(xì)說(shuō)明書(shū)參閱。值得注意的是,在實(shí)際配置中,一臺(tái)設(shè)備可以同時(shí)配置為L(zhǎng)AC側(cè)與LNS側(cè),但它們所使用的用戶名不能相同。

⑶L2TP的呼叫可以由NAS主動(dòng)發(fā)起,也可通過(guò)客戶端來(lái)發(fā)起,現(xiàn)作舉例說(shuō)明:其一,NAS-Initialized VPN。用戶先以普通上網(wǎng)方式進(jìn)行撥號(hào)上網(wǎng),在接入NAS處對(duì)此用戶進(jìn)行驗(yàn)證,發(fā)現(xiàn)是VPN用戶時(shí)由NAS向LNS發(fā)起隧道連接的請(qǐng)求;NAS與LNS隧道建立后,NAS將與VPN用戶協(xié)商的內(nèi)容以報(bào)文形式傳給LNS,LNS根據(jù)預(yù)協(xié)商決定是否接受此連接,用戶與公司總部間的通信均通過(guò)NAS與LNA之間隧道傳輸。其二,Client-Initialized VPN。用戶連接Internet后直接向LNS發(fā)起Tunnel連接請(qǐng)求,LNS接受連接請(qǐng)求后,VPN用戶便與LNS間建立了一條虛擬Tunnel,用戶與公司總部間通信均可通過(guò)該通道進(jìn)行傳輸。

3.3 DVPN

DVPN動(dòng)態(tài)虛擬私有網(wǎng)絡(luò)技術(shù)通過(guò)動(dòng)態(tài)獲取對(duì)端的信息建立VPN連接,在網(wǎng)絡(luò)中用以構(gòu)建DVPN動(dòng)態(tài)虛擬私用網(wǎng)絡(luò)的路由器設(shè)備,所有支持DVPN特性的路由器都可以作為DVPN接入設(shè)備。DVPN采用Client/Server模式,對(duì)于同一個(gè)DVPN域的N個(gè)接入設(shè)備,均要設(shè)置成一個(gè)Server工作方式,其他可設(shè)置為Client方式。當(dāng)Client到Server注冊(cè)成功以后,Client與Server之間便可自動(dòng)建立起Session隧道。網(wǎng)絡(luò)運(yùn)行中,Server根據(jù)需要,向Client發(fā)送Redirect報(bào)文,Client接收到重定向報(bào)文后,從中得到其他Client信息,并在Client之間建立Session隧道,最終實(shí)現(xiàn)DVPN域中的全連接[3]。

4.MPLS VPN技術(shù)介紹

MPLS-VPN是指采用MPLS(多協(xié)議標(biāo)記轉(zhuǎn)換)技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專(zhuān)網(wǎng),實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)通信,并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù),將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專(zhuān)用網(wǎng)的安全 、靈活、高效結(jié)合在一起。

MPLS VPN的網(wǎng)絡(luò)采用標(biāo)簽交換,一個(gè)標(biāo)簽對(duì)應(yīng)一個(gè)用戶數(shù)據(jù)流,非常易于用戶間數(shù)據(jù)的隔離,利用區(qū)分服務(wù)體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡(luò)的QoS/CoS問(wèn)題,MPLS自身提供流量工程的能力,可以最大限度地優(yōu)化配置網(wǎng)絡(luò)資源,自動(dòng)快速修復(fù)網(wǎng)絡(luò)故障,提供高可用性和高可靠性。MPLS提供了電信、計(jì)算機(jī)、有線電視網(wǎng)絡(luò)三網(wǎng)融合的基礎(chǔ),除了ATM,是目前唯一可以提供高質(zhì)量的數(shù)據(jù)、語(yǔ)音和視頻相融合的多業(yè)務(wù)傳送、包交換的網(wǎng)絡(luò)平臺(tái)。因此基于MPLS技術(shù)的MPLS VPN,在靈活性、擴(kuò)展性、安全性各個(gè)方面是當(dāng)前技術(shù)最先進(jìn)的VPN。此外,MPLS VPN提供靈活的策略控制,可以滿足不同用戶的特殊要求,快速實(shí)現(xiàn)增值服務(wù)(VAS),在帶寬價(jià)格比、性能價(jià)格比上,相比其他廣域VPN也具有較大的優(yōu)勢(shì)。

MPLSVPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成:

CE(Customer Edge Router)用戶網(wǎng)絡(luò)邊緣路由器設(shè)備,直接與服務(wù)提供商網(wǎng)絡(luò)相連,它“感知”不到VPN的存在;

PE(Provider Edge Router)服務(wù)提供商邊緣路由器設(shè)備,與用戶的CE直接相連,負(fù)責(zé)VPN業(yè)務(wù)接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實(shí)現(xiàn)者;

P(Provider Router)服務(wù)提供商核心路由器設(shè)備,負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù),不與CE直接相連。如圖2

在整個(gè)MPLS VPN中,P、PE設(shè)備需要支持MPLS的基本功能,CE設(shè)備不必支持MPLS。

5.結(jié)束語(yǔ)

基于VPN技術(shù)建立的企業(yè)內(nèi)部網(wǎng)絡(luò),具有安全性高、成本造價(jià)低、擴(kuò)展性佳、可支持動(dòng)態(tài)分配IP等諸多特點(diǎn),已成為各企業(yè)必不可少的網(wǎng)絡(luò)構(gòu)建方式。而MPLS VPN技術(shù)是基于VPN技術(shù)上延伸出的一種更加適應(yīng)各個(gè)企業(yè)的網(wǎng)絡(luò)技術(shù),有VPN技術(shù)提供安全保障,又引申出了適應(yīng)多種業(yè)務(wù)的傳輸交換協(xié)議。

參考文獻(xiàn)

[1] 李淑梅.中小企業(yè)基于IPSec VPN的網(wǎng)絡(luò)構(gòu)建[J].現(xiàn)代計(jì)算機(jī),2011,9(9):99-101.

第9篇:vpn技術(shù)范文

關(guān)鍵詞:校園網(wǎng) VPN技術(shù) 虛擬專(zhuān)用網(wǎng) 隧道技術(shù) 公共網(wǎng)絡(luò)

隨著網(wǎng)絡(luò)技術(shù)和教學(xué)模式的日新月異,廣大師生要求隨時(shí)隨地訪問(wèn)校園網(wǎng)上的內(nèi)部資源,這就意味著校園內(nèi)部網(wǎng)絡(luò)暴露在可被攻擊的環(huán)境下,所以需要提供一種安全接入機(jī)制來(lái)保障通信以及敏感信息的安全。虛擬專(zhuān)用網(wǎng)(VPN,Virtnal Private Network)的出現(xiàn),為當(dāng)今學(xué)校發(fā)展所需的網(wǎng)絡(luò)通信提供了一種經(jīng)濟(jì)安全的實(shí)現(xiàn)途徑。

1.VPN的概述

VPN(Virtual Private Network,虛擬專(zhuān)用網(wǎng)),它不是一個(gè)真正的專(zhuān)用網(wǎng)絡(luò),而是通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的、穩(wěn)定的隧道,并且所有數(shù)據(jù)均經(jīng)過(guò)加密后再在網(wǎng)上傳輸,通過(guò)使用這條隧道可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問(wèn)控制功能。它兼?zhèn)淞斯W(wǎng)的便捷和專(zhuān)用網(wǎng)的安全,實(shí)現(xiàn)了利用公網(wǎng)通過(guò)加密等手段來(lái)實(shí)現(xiàn)單位組織的“專(zhuān)用網(wǎng)”,而成本卻遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專(zhuān)線接入。

2.VPN的安全保證技術(shù)

由于VPN連接的特點(diǎn),私有網(wǎng)絡(luò)的數(shù)據(jù)要在公用網(wǎng)絡(luò)上傳輸,考慮到數(shù)據(jù)的安全性,一般要對(duì)傳輸?shù)臄?shù)據(jù)先進(jìn)行加密操作。VPN主要采用的四項(xiàng)安全保證技術(shù)包括:隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)來(lái)保證數(shù)據(jù)的安全性。這些技術(shù)可應(yīng)用在TCP/IP協(xié)議層的數(shù)據(jù)鏈路層、IP層、TCP層和應(yīng)用層。

隧道技術(shù)(Tunneling)是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。隧道技術(shù)允許授權(quán)移動(dòng)用戶或已授權(quán)的用戶在任何時(shí)間、任何地點(diǎn)訪問(wèn)企業(yè)網(wǎng)絡(luò)。通過(guò)隧道的建立可實(shí)現(xiàn):將數(shù)據(jù)流強(qiáng)制送到特定的地址;隱藏私有的網(wǎng)絡(luò)地址;在IP網(wǎng)上傳遞非IP數(shù)據(jù)包;提供數(shù)據(jù)安全支持。

加解密技術(shù)包括兩個(gè)元素:算法和密鑰。現(xiàn)在比較通用的是密鑰加密技術(shù)。密鑰加密技術(shù)對(duì)數(shù)據(jù)加密的技術(shù)又分為兩類(lèi),即對(duì)稱(chēng)加密(私人密鑰加密)和非對(duì)稱(chēng)加密。對(duì)稱(chēng)加密的特點(diǎn)是文件加密和解密使用相同的密鑰。非對(duì)稱(chēng)加密算法需要兩個(gè)密鑰:公開(kāi)密鑰和私有密鑰。公開(kāi)密鑰與私有密鑰是一對(duì),如果用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密,只有用對(duì)應(yīng)的私有密鑰才能解密;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的公開(kāi)密鑰才能解密。

3.VPN的網(wǎng)絡(luò)協(xié)議

常用的VPN網(wǎng)絡(luò)協(xié)議:

PPTP:Point to Point Tunneling Protocol,點(diǎn)到點(diǎn)隧道協(xié)議。它只能在兩端點(diǎn)間建立單一隧道,不支持隧道驗(yàn)證。

L2TP: dyer 2 Tunneling Protocol,第二層隧道協(xié)議。支持在兩端點(diǎn)間使用多隧道,可以提供隧道驗(yàn)證。

GRE:VPN的第三層隧道協(xié)議。定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個(gè)其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。

IPSec:IP Security,網(wǎng)絡(luò)協(xié)議安全,屬于第三層隧道協(xié)議,它不是一個(gè)單獨(dú)的協(xié)議,而是一個(gè)協(xié)議族,即一系列相互關(guān)聯(lián)的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn),它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。IPsec作為一個(gè)協(xié)議族,主要由保護(hù)分組流的協(xié)議和用來(lái)建立這些安全分組流的密鑰交換協(xié)議組成。

目前,市場(chǎng)上大部分VPN都采用將L2TP和IPSec結(jié)合起來(lái)這類(lèi)技術(shù),即用L2TP作為隧道協(xié)議,用IP-Sec協(xié)議保護(hù)數(shù)據(jù)。它的優(yōu)點(diǎn)是定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議,可確保運(yùn)行在TCPIIP協(xié)議上VPN之間的互操作性。缺點(diǎn)在于,除了包過(guò)濾外,它沒(méi)有指定其他訪問(wèn)控制方法,對(duì)于采用NAT{網(wǎng)絡(luò)地址翻譯)方式訪問(wèn)網(wǎng)絡(luò)的情況難以處理,為此最適合于可信LAN到LAN之間VPN的場(chǎng)合應(yīng)用。

SSL:Secure Socket Layer,安全套接字層,是第四層隧道協(xié)議,屬于高層安全機(jī)制,廣泛應(yīng)用于Web瀏覽器程序和Web服務(wù)器程序。在SSL中,身份認(rèn)證是基于證書(shū)的,服務(wù)器方向請(qǐng)求的客戶方的認(rèn)證是必須的,現(xiàn)在逐漸得到廣泛的應(yīng)用。

4.VPN技術(shù)在數(shù)字化校園中的應(yīng)用

VPN技術(shù)是采用隧道技術(shù)以及加密、身份認(rèn)證等方法,在Internet上構(gòu)建專(zhuān)用網(wǎng)絡(luò)的技術(shù),數(shù)據(jù)信息通過(guò)安全的“加密管道”便能在Internet中傳播。VPN技術(shù)大致可以分三種模式組建網(wǎng)絡(luò),遠(yuǎn)程接入、網(wǎng)絡(luò)互聯(lián)和內(nèi)部安全。

①遠(yuǎn)程訪問(wèn)

VPN的遠(yuǎn)程訪問(wèn)解決方案,充分利用了公共基礎(chǔ)設(shè)施和ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商),遠(yuǎn)程用戶通過(guò)ISP接入Internet,連接與Internet相連的校園網(wǎng)VPN服務(wù)器,來(lái)訪問(wèn)位于VPN服務(wù)器后面的內(nèi)部網(wǎng)絡(luò)。這樣,遠(yuǎn)程客戶到校園內(nèi)部網(wǎng)的通信就是本地網(wǎng)內(nèi)通信,雖然Internet不夠安全,但是由于采用加密技術(shù),遠(yuǎn)程客戶到VPN服務(wù)器之間的連接是安全的。

②遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)

校園網(wǎng)與家庭、學(xué)校與學(xué)校之間的網(wǎng)絡(luò)互聯(lián),采用這種專(zhuān)線連接方式實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程互聯(lián)。這種專(zhuān)用隧道連接方式連接可靠,速度有保障,便于擴(kuò)展,而且有較高的性價(jià)比。網(wǎng)絡(luò)互聯(lián)是最主要的VPN應(yīng)用模式。

③網(wǎng)絡(luò)內(nèi)部安全

隨著數(shù)字化校園的建設(shè),內(nèi)網(wǎng)的安全性越來(lái)越受到重視,對(duì)一些關(guān)鍵的應(yīng)用系統(tǒng)之間要進(jìn)行隔離,實(shí)現(xiàn)訪問(wèn)控制。VPN可建立內(nèi)部專(zhuān)用隧道,實(shí)現(xiàn)安全保密通信,從而組建更為專(zhuān)業(yè)的保密網(wǎng)絡(luò)。

5 結(jié)語(yǔ)

VPN是在公共網(wǎng)絡(luò)上構(gòu)建專(zhuān)有網(wǎng)絡(luò)的技術(shù),將VPN技術(shù)應(yīng)用于校園網(wǎng),可以突破校園網(wǎng)的地域性限制從而優(yōu)化校園網(wǎng)的管理和應(yīng)用。隨著VPN技術(shù)的成熟,因其具有廉價(jià)、安全、可靠的特點(diǎn),而被廣泛的應(yīng)用在遠(yuǎn)程訪問(wèn)和網(wǎng)絡(luò)互聯(lián)上。它能夠幫助遠(yuǎn)程用戶、各級(jí)部門(mén)建立可靠的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN網(wǎng)絡(luò)建成以后,大大降低了網(wǎng)絡(luò)復(fù)雜度,簡(jiǎn)化了校園網(wǎng)的網(wǎng)絡(luò)管理,提高了整個(gè)校園網(wǎng)的互聯(lián)性。

參考文獻(xiàn):

[1]魏廣科, VPN技術(shù)及其應(yīng)用的研究[J], 計(jì)算機(jī)工程與設(shè)計(jì),2005

精選范文推薦