一、隧道技術(shù)
隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。
要使數(shù)據(jù)順利地被封裝、傳送及解封裝,通信協(xié)議是保證的核心。目前VPN隧道協(xié)議有4種:點到點隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、網(wǎng)絡(luò)層隧道協(xié)議IPSec以及SOCKS v5,它們在OSI 七層模型中的位置如表所示。各協(xié)議工作在不同層次,無所謂誰更有優(yōu)勢。但我們應(yīng)該注意,不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議,在選擇VPN產(chǎn)品時,應(yīng)該注意選擇。
1.點到點隧道協(xié)議—PPTP
PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。目前,PPTP協(xié)議基本已被淘汰,不再使用在VPN產(chǎn)品中。
2.第二層隧道協(xié)議—L2TP
L2TP是國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點,能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議,包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施,更多是和IPSec協(xié)議結(jié)合使用,提供隧道驗證。
3.IPSec協(xié)議
IPSec協(xié)議是一個范圍廣泛、開放的VPN安全協(xié)議,工作在OSI模型中的第三層——網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。IPSec協(xié)議可以設(shè)置成在兩種模式下運行:一種是隧道模式,一種是傳輸模式。在隧道模式下,IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。傳輸模式是為了保護(hù)端到端的安全性,不會隱藏路由信息。1999年底,IETF安全工作組完成了IPSec的擴(kuò)展,在IPSec協(xié)議中加上了ISAKMP協(xié)議,其中還包括密鑰分配協(xié)議IKE和Oakley。
一種趨勢是將L2TP和IPSec結(jié)合起來: 用L2TP作為隧道協(xié)議,用IPSec協(xié)議保護(hù)數(shù)據(jù)。目前,市場上大部分VPN采用這類技術(shù)。
表 4種隧道協(xié)議在OSI七層模型中的位置
優(yōu)點:它定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議,可確保運行在TCP/IP協(xié)議上的VPN之間的互操作性。
缺點:除了包過濾外,它沒有指定其他訪問控制方法,對于采用NAT方式訪問公共網(wǎng)絡(luò)的情況難以處理。
適用場合:最適合可信LAN到LAN之間的VPN。
4.SOCKS v5協(xié)議
SOCKS v5工作在OSI模型中的第五層——會話層,可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢在訪問控制,因此適用于安全性較高的VPN。 SOCKS v5現(xiàn)在被IETF建議作為建立VPN的標(biāo)準(zhǔn)。
優(yōu)點:非常詳細(xì)的訪問控制。在網(wǎng)絡(luò)層只能根據(jù)源目的的IP地址允許或拒絕被通過,在會話層控制手段更多一些;由于工作在會話層,能同低層協(xié)議如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu);能為認(rèn)證、加密和密鑰管理提供“插件”模塊,讓用戶自由地采用所需要的技術(shù)。SOCKS v5可根據(jù)規(guī)則過濾數(shù)據(jù)流,包括Java Applet和Actives控制。
缺點:其性能比低層次協(xié)議差,必須制定更復(fù)雜的安全管理策略。
適用場合:最適合用于客戶機(jī)到服務(wù)器的連接模式,適用于外部網(wǎng)VPN和遠(yuǎn)程訪問VPN。
二、安全技術(shù)
VPN 是在不安全的Internet 中通信,通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù),因此其安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。
1.認(rèn)證技術(shù)
認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改,它采用一種稱為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH 函數(shù)將一段長的報文通過函數(shù)變換,映射為一段短的報文即摘要。由于HASH 函數(shù)的特性,兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術(shù)在VPN 中有兩個用途:驗證數(shù)據(jù)的完整性、用戶認(rèn)證。
2.加密技術(shù)
IPSec通過ISAKMP/IKE/Oakley 協(xié)商確定幾種可選的數(shù)據(jù)加密算法,如DES 、3DES等。DES密鑰長度為56位,容易被破譯,3DES使用三重加密增加了安全性。當(dāng)然國外還有更好的加密算法,但國外禁止出口高位加密算法。基于同樣理由,國內(nèi)也禁止重要部門使用國外算法。國內(nèi)算法不對外公開,被破解的可能性極小。
3.密鑰交換和管理
VPN 中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法:一種是通過手工配置的方式,另一種采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法由于密鑰更新困難,只適合于簡單網(wǎng)絡(luò)的情況。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰,適合于復(fù)雜網(wǎng)絡(luò)的情況且密鑰可快速更新,可以顯著提高VPN 的安全性。目前主要的密鑰交換與管理標(biāo)準(zhǔn)有IKE (互聯(lián)網(wǎng)密鑰交換)、SKIP (互聯(lián)網(wǎng)簡單密鑰管理)和Oakley。(胡英)
VPN組網(wǎng)方式
VPN在企業(yè)中的組網(wǎng)方式分以下3種。在各種組網(wǎng)方式下采用的隧道協(xié)議有所不同,要仔細(xì)選擇。
1. Access VPN (遠(yuǎn)程訪問VPN):客戶端到網(wǎng)關(guān)
遠(yuǎn)程用戶撥號接入到本地的ISP,它適用于流動人員遠(yuǎn)程辦公,可大大降低電話費。SOCKS v5協(xié)議適合這類連接。
2. Intranet VPN (企業(yè)內(nèi)部VPN):網(wǎng)關(guān)到網(wǎng)關(guān)
它適用于公司兩個異地機(jī)構(gòu)的局域網(wǎng)互連,在Internet 上組建世界范圍內(nèi)的企業(yè)網(wǎng)。利用Internet 的線路保證網(wǎng)絡(luò)的互聯(lián)性,而利用隧道、加密等VPN 特性可以保證信息在整個Intranet VPN 上安全傳輸。IPSec隧道協(xié)議可滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接,因此,在這類組網(wǎng)方式中用得最多。
3.Extranet VPN (擴(kuò)展的企業(yè)內(nèi)部VPN):與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet
由于不同公司的網(wǎng)絡(luò)相互通信,所以要更多考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題。它也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接,選擇IPSec協(xié)議是明智之舉。
