虛擬專用網絡(VPN:Virtual Private Net)可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。
企業通常可以采用以下兩種方式使用VPN連接遠程局域網絡。1.使用專線連接分支機構和企業局域網,不需要使用價格昂貴的長距離專用電路;2.使用撥號線路連接分支機構和企業局域網,分支機構端的路由器可以通過撥號方式連接本地ISP。
縱觀VPN技術的發展,我們可以看到,安全與服務質量是VPN的技術保障,企業用戶的需求推動IPSec VPN的廣泛應用,運營商則大力建設MPLS VPN,使得未來中國的VPN技術發展更加具多樣性、靈活性,技術服務與需求趨向緊密結合。
一、安全協議構筑VPN的首要特性
隨著因特網的快速發展,近幾年不斷出現了一些新的網絡協議,包括點對點隧道協議(PPTP)、第2層隧道協議(L2TP)、安全IP(IPSec)協議等。其中PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送;L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然后通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,幀中繼或ATM;IPSec協議允許對IP負載數據進行加密,然后封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
VPN利用各種安全協議,在公眾網絡中建立安全隧道,提供專用網絡的功能和作用。VPN隧道技術分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應OSI模型中的數據鏈路層,使用幀作為數據交換單位。PPTP,L2TP和L2F都屬于第2層隧道協議,都是將數據封裝在點對點協議(PPP)幀中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層,使用包作為數據交換單位。IPoverIP以及IPSec隧道模式都屬于第3層隧道協議,都是將IP包封裝在附加的IP包頭中通過IP網絡傳送。
一個安全的VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN;必須能夠提供審計和記費功能,顯示何人在何時訪問了何種信息;VPN方案必須能夠為用戶分配專用網絡上的地址并確保地址的安全性;對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息;VPN方案必須能夠生成并更新客戶端和服務器的加密密鑰;VPN方案必須支持公共互聯網絡上普遍使用的基本協議,包括IP,IPX等。在保證服務質量的同時,安全是VPN的首要特性。
二、IPSec VPN方興未艾
IPSec VPN是基于IPSec協議的VPN產品,由IPSec協議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基于IP通訊的數據安全性的機制。IPSEC支持對數據加密,同時確保數據的完整性。按照IETF的規定,不采用數據加密時,IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication),確保數據的完整性;IPSec使用封裝安全負載(ESP)與加密一道提供來源驗證,確保數據完整性。在IPSec協議下,只有發送方和接受方知道秘密密鑰。如果驗證數據有效,接受方就可以知道數據來自發送方,并且在傳輸過程中沒有受到破壞。
IPSec位于TCP/IP協議棧的下層。該層由每臺機器上的安全策略和發送、接受方協商的安全關聯(security association)進行控制。安全策略由一套過濾機制和關聯的安全行為組成。如果一個數據包的IP地址,協議,和端口號滿足一個過濾機制,那么這個數據包將要遵守關聯的安全行為。
通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號,共同用來驗證發送方身份,確保數據在傳輸過程中沒有被改動,防止受到第三方的攻擊。IPSEC驗證包頭不提供數據加密;信息將以明文方式發送。為了保證數據的保密性并防止數據被第3方竊取,封裝安全負載(ESP)提供了一種對IP負載進行加密的機制。另外,ESP還可以提供數據驗證和數據完整性服務;因此在IPSec包中可以用ESP包頭替代AH包頭。
為實現在專用或公共IP網絡上的安全傳輸,IPSec隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理,在去除明文IP包頭,對內容進行解密之后,獲的最初的負載IP包。負載IP包在經過正常處理之后被路由到位于目標網絡的目的地。
IPSec隧道模式具有以下特點:只能支持IP數據流;工作在IP棧(IPstack)的底層,因此,應用程序和高層協議可以繼承IPSEC的行為;由一個安全策略(一整套過濾機制)進行控制。安全策略按照優先級的先后順序創建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時,雙方機器執行相互驗證,然后協商使用何種加密方式。此后的所有數據流都將使用雙方協商的加密機制進行加密,然后封裝在隧道包頭內。
目前防火墻產品中集成的VPN多為使用IPSec 協議,在中國其發展處于蓬勃狀態。
