论文部分内容阅读
摘要:主要介绍了VPN的各种发展技术。重点介绍了目前VPN应用中使用比较广泛的两种方式:由站点到站点IPSec VPN和面向web及应用的SSL VPN构建的远程网络安全访问方式。同时针对广泛使用两种VPN方式,就两者之间的优劣分五个方面进行详细的剖析。适当穿插介绍了具体的IPsec VPN和SSL VPN在各种范围内的适用性。
关键词:IPSec VPN;SSL VPN;VPN;虚拟专用网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)21-5088-04
1虚拟专用网络
1.1虚拟专用网络(VPN:Virtual Private Network)
VPN是通过公用网络(如Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。因此,虚拟专用网赢得了越来越多的企业的青睐,通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。如下图可以清楚的看到目前流行的,应用比较广泛两种VPN的连接方式——IPsec VPN和SSL VPN。
图1
1.2 VPN有多种,每种都能满足特定的需求
下面是二种主要的VPN:
1)内部网接入VPN:接入VPN让移动办公者和小型办公室/家庭办公室SOHO能通过基础的共享设施远程接入总部的内部网和外联网。该方式使用专用连接通过共享基础设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于,前者只允许企业的雇员访问。
2)外联网VPN:(“外联网(Extranet)”是不同单位间为了频繁交换业务信息,而基于互联网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网,所以不仅要确保信息在传输过程中的安全性,更要确保对方单位不能超越权限,通过外联网连入本单位的内网。)外联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起来。外联网VPN与内部网VPN的区别在于,前者允许企业以外的用户访问。
1.3 IPSec VPN
IPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性前提下,被选用来在网络第三层建立IP-VPN的方法,特別是对于无法负担Frame Relay或ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL VPN以其设置简单无需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准,相对于SSL VPN而言应用较早的一种VPN技术。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
1)IPsec协议
IP_SECURITY协议(IPSec),通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
2)IPSec VPN接入
通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec无可比拟。然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求。但SSL VPN也有其缺点:业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言,SSL VPN是很好;但对需要较高安全级别(SSL VPN的加密级别通常不如IPSec VPN高)、较为复杂的应用而言,就需要IPSec VPN。
3)IPSec VPN的应用
是提供站点到站点连接的首要工具,通过这种连接,你可以在广域网(WAN)上实现基础设施到基础设施的通信。而SSL VPN不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。但是,SSL的局限性在于,只能访问通过网络浏览器连接的资源。所以,这要求某些应用要有小应用程序,这样才能够有效地访问。如果企业资产或应用没有小应用程序,要想连接到它们就比较困难。因而,你无法在没有客户软件的环境下运行,因为这需要某种客户软件丰富(Client-Rich)的交互系统。 1.4 SSL VPN
1)SSL VPN协议
SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。
2)SSL VPN的接入
SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用于VPN不同于IPsec-vpn的关键点。
3)SSL VPN的应用
典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑;而OpenVPN主要是针对企业异地或两地总分公司之间的VPN不间断按需连接,例如ERP在企业中的应用。
OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。
2 IPSec VPN和SSL VPN的优劣
2.1部署方案
IPSEC VPN是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。由于工作在第三层,对上层的应用是透明的,几乎可以为所有的应用提供服务,包括客户端/服务器模式和某些传统的应用及网络共享等。以IPSec VPN作为点对点连结方案,可以提供网与网之间的连接。
SSL VPN工作在网络层和应用层之间,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
大多数SSL的VPN都是基Web浏览器工作的,基于Web访问的开放体系和一些特定的系统如邮件,ftp等,主要用于单机对服务器的访问。
浏览器/服务器(Browser/Server)结构,简称B/S结构,与C/S结构不同,其客户端不需要安装专门的软件,只需要浏览器即可,浏览器通过Web服务器与数据库进行交互,可以方便的在不同平台下工作。
客户机/服务器(Client/Server)结构,简称C/S结构。服务器通常采用高性能的PC、工作站或小型机,并采用大型数据库系统,如ORACLE、SYBASE、SQL Server。客户端需要安装专用的客户端软件来实现与服务器端进行交互。
SSL这种方案可以解决OS客户软件问题、客户软件维护问题,但肯定不能完全替代IPSec VPN,因为他们各自所要解决的是几乎没多少重叠的两种不同问题:
1)SSL优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但如果客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件;
2)目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的用户95%以上都有基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的;
3)基于B/S结构的安全性劣于基于C/S结构;
4)基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便,但在业务应用基于C/S方面却存在很大优势。
2.2安全性
1)安全测试-IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。
2)认证和权限控管-IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate)或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持「Selectors」,让网络封包过滤阻隔某些特定的主机应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等,因此SSL VPN在访问控制方面比IPSec VPN具有更细粒度 3)应用系统的攻击-远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL-VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
4)病毒入侵——一般企业在Internet联机入口,都是采取适当的防毒侦测措施。IPSec VPN的安全性一直是一个弱点,由于IP Sec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题,目前好多厂家也正积极改进从而解决这个问题。若是采取SSL VPN来联机,因为是直接开启应用系统,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
5)防火墙上的通讯端口-在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯端口,就多一个黑客攻击机会。而SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。同时可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。
2.3可扩展性安全性
IPSec VPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。而SSL VPN就有所不同,可以随时根据需要,添加需要VPN保护的服务器。
2.4经济效益
对于IPSec VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。
另外,就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec VPN,那么就需要购买1000个客户端许可,而如果购买SSL VPN,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。
因此以IPSec VPN作为点对点连结方案,而以SSL VPN作为远程访问方案,将是一种不错的选择。
3 SSL VPN和IPSEC VPN的适应性
由于目前在VPN领域存在着IPSec VPN和SSL VPN之争。厂商也划分了两大阵营。年初,Gartner就出台了一份报告,称未来全球SSL VPN的市场增长速度将达到170%以上,但是直到8月,才有诺基亚的SSL VPN,以及彩虹天地基于SSL的VPN ---IPW(In? stant Private Web,快速专用网)出台。但是现在就给IPSec、SSL下结论分出谁优谁劣有点为时过早,Gartner调查的SSL VPN170%的年增长,也与其标准出台晚,市场基数不大有关。
厂商也开始研究怎样让IPSec VPN兼容SSL VPN,增强易用性。如果真能做到这点,IPSec VPN的扩展性将大大加强,市场生命力也将更长久。
虽然SSL VPN有许多相对IPSec VPN的优点,但对于应用VPN的大、中型企业来说这些优点显得不是很重要。一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到。所以目前的SSL VPN应用还仅适用于基于Web的应用,范围有限。只能说未来基于Web的便捷性会吸引很多用户转向SSL VPN
在VPN的领域里面,一直以来都是软件和硬件的争夺战。硬件防火墙的支持者批评软件产品在安全性方面存在问题;而软件防火墙的支持者认为硬件产品在使用上和升级上都很不方便。
实施软件VPN方案的优势和特点:纯软件VPN产品,保护原有投资,无需增加任何硬件设施;无需改动原有应用系统和网络结构,保证企业正常的运作方式不受影响;支持各种上网方式(采用ADSL、宽带上网方式效果更佳),不需要再拉DDN专线或申请固定IP、支持两端动态IP寻址,为企业节省大量的通讯费用;网络平台的适应性强,扩展性好,支持任何C/S、B/S结构软件;经济实效、使用简单方便,无须专业人员维护;采用先进加密算法防止数据被窃听和篡改。采用密码接入鉴权认证和硬件捆绑接入认证,除了密码正确外,还必须是总部授权的硬件设备才能接入。防止非法用户或知道密码的辞职员工接入公司网络。
实施硬件VPN方案的优势和特点:由于VPN的加密传输机制需要消耗系统资源,影响网络性能,而硬件VPN将加密和解密功能交由专门的高速硬件处理,提供了较好的性能,并且可以提供强大的物理和逻辑安全,更好地防止非法入侵,同时配置和操作也更为简单。一般情况下,硬件方案的性价比较高。但是,如果网络规模不大,选择面向中小企业或小型办公室的VPN产品还是非常划算的。此类VPN产品多为集成防火墙、VPN路由器,性价比非常高,且支持多种宽带接入方式,还提供方便的管理工具,支持主流的VPN协议,如NETGEAR FVL328、NetScreen-50、Vigor 2300等。许多VPN产品还支持动态IP地址接入方式,对于采用ADSL连接的许多中小型企业来说,非常有用。
参考文献:
[1]倪波,黄柯佳.采用MPLS VPN和IP Sec VPN混合组网模式构建某集团财务系统[J].通信与信息技术,2011(5).
[2]孙丹东.基于SSL VPN的远程网络互联实验室的应用研究[J].无线互联科技,2011(12).
[3]王春海.VPN网络组建案例实录[M].2版.北京:科学出版社,2011.
[4] Carlton R Davis.IPSec:VPN的安全实施[M].周永彬,译.北京:清华大学出版社,2002.
关键词:IPSec VPN;SSL VPN;VPN;虚拟专用网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)21-5088-04
1虚拟专用网络
1.1虚拟专用网络(VPN:Virtual Private Network)
VPN是通过公用网络(如Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。因此,虚拟专用网赢得了越来越多的企业的青睐,通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。如下图可以清楚的看到目前流行的,应用比较广泛两种VPN的连接方式——IPsec VPN和SSL VPN。
图1
1.2 VPN有多种,每种都能满足特定的需求
下面是二种主要的VPN:
1)内部网接入VPN:接入VPN让移动办公者和小型办公室/家庭办公室SOHO能通过基础的共享设施远程接入总部的内部网和外联网。该方式使用专用连接通过共享基础设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于,前者只允许企业的雇员访问。
2)外联网VPN:(“外联网(Extranet)”是不同单位间为了频繁交换业务信息,而基于互联网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网,所以不仅要确保信息在传输过程中的安全性,更要确保对方单位不能超越权限,通过外联网连入本单位的内网。)外联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起来。外联网VPN与内部网VPN的区别在于,前者允许企业以外的用户访问。
1.3 IPSec VPN
IPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性前提下,被选用来在网络第三层建立IP-VPN的方法,特別是对于无法负担Frame Relay或ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL VPN以其设置简单无需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准,相对于SSL VPN而言应用较早的一种VPN技术。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
1)IPsec协议
IP_SECURITY协议(IPSec),通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
2)IPSec VPN接入
通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec无可比拟。然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求。但SSL VPN也有其缺点:业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言,SSL VPN是很好;但对需要较高安全级别(SSL VPN的加密级别通常不如IPSec VPN高)、较为复杂的应用而言,就需要IPSec VPN。
3)IPSec VPN的应用
是提供站点到站点连接的首要工具,通过这种连接,你可以在广域网(WAN)上实现基础设施到基础设施的通信。而SSL VPN不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。但是,SSL的局限性在于,只能访问通过网络浏览器连接的资源。所以,这要求某些应用要有小应用程序,这样才能够有效地访问。如果企业资产或应用没有小应用程序,要想连接到它们就比较困难。因而,你无法在没有客户软件的环境下运行,因为这需要某种客户软件丰富(Client-Rich)的交互系统。 1.4 SSL VPN
1)SSL VPN协议
SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。
2)SSL VPN的接入
SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用于VPN不同于IPsec-vpn的关键点。
3)SSL VPN的应用
典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑;而OpenVPN主要是针对企业异地或两地总分公司之间的VPN不间断按需连接,例如ERP在企业中的应用。
OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。
2 IPSec VPN和SSL VPN的优劣
2.1部署方案
IPSEC VPN是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。由于工作在第三层,对上层的应用是透明的,几乎可以为所有的应用提供服务,包括客户端/服务器模式和某些传统的应用及网络共享等。以IPSec VPN作为点对点连结方案,可以提供网与网之间的连接。
SSL VPN工作在网络层和应用层之间,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
大多数SSL的VPN都是基Web浏览器工作的,基于Web访问的开放体系和一些特定的系统如邮件,ftp等,主要用于单机对服务器的访问。
浏览器/服务器(Browser/Server)结构,简称B/S结构,与C/S结构不同,其客户端不需要安装专门的软件,只需要浏览器即可,浏览器通过Web服务器与数据库进行交互,可以方便的在不同平台下工作。
客户机/服务器(Client/Server)结构,简称C/S结构。服务器通常采用高性能的PC、工作站或小型机,并采用大型数据库系统,如ORACLE、SYBASE、SQL Server。客户端需要安装专用的客户端软件来实现与服务器端进行交互。
SSL这种方案可以解决OS客户软件问题、客户软件维护问题,但肯定不能完全替代IPSec VPN,因为他们各自所要解决的是几乎没多少重叠的两种不同问题:
1)SSL优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但如果客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件;
2)目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的用户95%以上都有基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的;
3)基于B/S结构的安全性劣于基于C/S结构;
4)基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便,但在业务应用基于C/S方面却存在很大优势。
2.2安全性
1)安全测试-IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。
2)认证和权限控管-IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate)或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持「Selectors」,让网络封包过滤阻隔某些特定的主机应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等,因此SSL VPN在访问控制方面比IPSec VPN具有更细粒度 3)应用系统的攻击-远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL-VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
4)病毒入侵——一般企业在Internet联机入口,都是采取适当的防毒侦测措施。IPSec VPN的安全性一直是一个弱点,由于IP Sec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题,目前好多厂家也正积极改进从而解决这个问题。若是采取SSL VPN来联机,因为是直接开启应用系统,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
5)防火墙上的通讯端口-在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯端口,就多一个黑客攻击机会。而SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。同时可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。
2.3可扩展性安全性
IPSec VPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。而SSL VPN就有所不同,可以随时根据需要,添加需要VPN保护的服务器。
2.4经济效益
对于IPSec VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。
另外,就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec VPN,那么就需要购买1000个客户端许可,而如果购买SSL VPN,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。
因此以IPSec VPN作为点对点连结方案,而以SSL VPN作为远程访问方案,将是一种不错的选择。
3 SSL VPN和IPSEC VPN的适应性
由于目前在VPN领域存在着IPSec VPN和SSL VPN之争。厂商也划分了两大阵营。年初,Gartner就出台了一份报告,称未来全球SSL VPN的市场增长速度将达到170%以上,但是直到8月,才有诺基亚的SSL VPN,以及彩虹天地基于SSL的VPN ---IPW(In? stant Private Web,快速专用网)出台。但是现在就给IPSec、SSL下结论分出谁优谁劣有点为时过早,Gartner调查的SSL VPN170%的年增长,也与其标准出台晚,市场基数不大有关。
厂商也开始研究怎样让IPSec VPN兼容SSL VPN,增强易用性。如果真能做到这点,IPSec VPN的扩展性将大大加强,市场生命力也将更长久。
虽然SSL VPN有许多相对IPSec VPN的优点,但对于应用VPN的大、中型企业来说这些优点显得不是很重要。一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到。所以目前的SSL VPN应用还仅适用于基于Web的应用,范围有限。只能说未来基于Web的便捷性会吸引很多用户转向SSL VPN
在VPN的领域里面,一直以来都是软件和硬件的争夺战。硬件防火墙的支持者批评软件产品在安全性方面存在问题;而软件防火墙的支持者认为硬件产品在使用上和升级上都很不方便。
实施软件VPN方案的优势和特点:纯软件VPN产品,保护原有投资,无需增加任何硬件设施;无需改动原有应用系统和网络结构,保证企业正常的运作方式不受影响;支持各种上网方式(采用ADSL、宽带上网方式效果更佳),不需要再拉DDN专线或申请固定IP、支持两端动态IP寻址,为企业节省大量的通讯费用;网络平台的适应性强,扩展性好,支持任何C/S、B/S结构软件;经济实效、使用简单方便,无须专业人员维护;采用先进加密算法防止数据被窃听和篡改。采用密码接入鉴权认证和硬件捆绑接入认证,除了密码正确外,还必须是总部授权的硬件设备才能接入。防止非法用户或知道密码的辞职员工接入公司网络。
实施硬件VPN方案的优势和特点:由于VPN的加密传输机制需要消耗系统资源,影响网络性能,而硬件VPN将加密和解密功能交由专门的高速硬件处理,提供了较好的性能,并且可以提供强大的物理和逻辑安全,更好地防止非法入侵,同时配置和操作也更为简单。一般情况下,硬件方案的性价比较高。但是,如果网络规模不大,选择面向中小企业或小型办公室的VPN产品还是非常划算的。此类VPN产品多为集成防火墙、VPN路由器,性价比非常高,且支持多种宽带接入方式,还提供方便的管理工具,支持主流的VPN协议,如NETGEAR FVL328、NetScreen-50、Vigor 2300等。许多VPN产品还支持动态IP地址接入方式,对于采用ADSL连接的许多中小型企业来说,非常有用。
参考文献:
[1]倪波,黄柯佳.采用MPLS VPN和IP Sec VPN混合组网模式构建某集团财务系统[J].通信与信息技术,2011(5).
[2]孙丹东.基于SSL VPN的远程网络互联实验室的应用研究[J].无线互联科技,2011(12).
[3]王春海.VPN网络组建案例实录[M].2版.北京:科学出版社,2011.
[4] Carlton R Davis.IPSec:VPN的安全实施[M].周永彬,译.北京:清华大学出版社,2002.