论文部分内容阅读
摘要:随着计算机网络日益深入人们的日常生活和工作,人们已经不仅仅局限于独立地使用内部专用网络和公共互联网络,而是要利用Internet技术建立自己的内部网。本文介绍了VPN的分类,VPN的特性,涉及的隧道技术、加密、解密技术、认证系统和PPTP协议、L2TP协议、IPSec协议等技术,以及VPN在实际运用中的解决方案和优缺点。
关键词:虚拟;专用;隧道;协议;安全;方案
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)17-31254-01
Technology and Application of VPN
JIN Wu-gong
(Information Resource Management Center in Hefei,Hefei 230071,China)
Abstract:As computer has stepped into daily life in depth, people will not use special net and public net limitedly, but also take full advantage of Internet technology to build their own inner net.
The content of this thesis covers the category and speciality of VPN, tunnel technology, encryption & decode techniques, authentication system, PPTP protocol, L2TP protocol, IPSec protocol, resolve means, advantages & disadvantages when VPN is applied in reality.
Key words:virtual;special;tunnel;protocol;safety;plan
虚拟专用网(Virtual Private Network)不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
VPN不是一种单一的技术,而是具有若干特性的系统,IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络,如自主定义的IP地址空间。 本文讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,以IP为主要通讯协议的VPN,也可称之为IP-VPN。
1 VPN的安全性
VPN的主要目的是保护传输数据必须具备4个关键功能。
认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置;
访问控制:限制对网络未经授权的访问;
机密性:防止数据在通过网络时被察看;
数据完整性:防止传输中对数据的任何篡改。
VPN的目的是保护从信道的一个端点到另一端点传输的信息流,信道的端点之前和之后,VPN不提供任何的数据包保护。
2 为什么选择VPN
(1)成本低是最大的优势。传统方式是租用专线建设自己的网络系统,Internet能以很低的代价提供高带宽的链路,缺点是安全性不高。由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 如2M的专线,国内长途4000/月,对应的10M Internet链路一般2000/月。
(2)灵活性高。只要有Internet链路,随时可以建立VPN链路,对于单个用户,使用VPN可以在任何地方安全访问内部网
3 VPN的类型
每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同。用于移动工作者的远程访问Client-LAN VPN,也叫 Access VPN,替代早期的拨号远程访问网络。用于局域网间连接的有LAN-LAN型、IntranetVPN和ExtranetVPN。
4 VPN的特性
安全性:隧道、加密、密钥管理、数据包认证、用户认证、访问控制;
可靠性:硬件、软件、基础网络的可靠性;
可管理性:记帐、审核、日志的管理,支持集中的安全控制策略;
可用性:系统对应用尽量透明,对终端用户来说使用方便;
互操作性:尽量采用标准协议,与其他供应商的设备能互通
服务质量 QoS:通过Internet连接的VPN服务质量很大程度取决于Internet的状况;
多协议支持:支持IP,IPX,或NetBEUI等多种协议。
5 VPN涉及的技术
5.1隧道技术
第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输,L2TP、PPTP(集成在windows中,所以最常用)第三层隧道把网络数据包指直接在隧道中传输,IPsec利用隧道技术,理论上任何协议的数据都可以透过IP网络传输。
5.2加密/解密技术
(1)对称加密技术:速度快,常用的DES、3DES、IDEA等,缺点是密钥传递不方便,经常被用来对数据进行加/解密处理,提高保密性。
(2)公钥加密技术:速度慢,常用的RSA、Diffie-Hellman,用于签名和会话的密钥交换。
(3)哈希函数:速度快,产生的消息摘要用于信息的完整性检查。
6 认证系统
(1)VPN设备间的认证可通过密码、密钥、证书等认证,如果使用证书,可以考虑使用自己的CA或第三方的CA。
(2)对于Access VPN,对个人进行认证可采用简单密码、一次性密码S/KEY、基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡)、生理ID(指纹、声音、视网膜扫描)等。
7 安全协议
7.1安全IP(IPSec)隧道模式
三层协议,直接传输网络协议数据包,基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包,提供了强大的安全、加密、认证和密钥管理功能,适合大规模VPN使用。
7.2点对点隧道协议(PPTP)
二层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输,PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp 1723端口的控制连接,另一个通道是传输GRE PPP数据包的IP隧道。PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现。windows中集成了PPTP Server和Client,适合中小企业支持少量移动工作者,如果有防火墙的存在或使用了地址转换,PPTP可能无法工作。
7.3第2层隧道协议(L2TP)
允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,桢中继或ATM,它是在Cisco公司的L2F和PPTP的基础上开发,使用并不普遍。
8 VPN解决方案
一个VPN解决方案不仅仅是一个经过加密的隧道,它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为专用的VPN硬件、支持VPN的硬件或软件防火墙、VPN软件、VPN服务提供商4类。前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入。
8.1Access VPN案例
某大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源。
建设一个Access VPN系统。校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器,使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证。
PPTP协议的缺点:使用的GRE协议经常被ISP封锁或由于NAT设备不支持,导致用户无法正常连接VPN。最近流行的SSL方式的VPN就是解决这个问题。采用SSL协议,从外部看是UDP协议,不被ISP封锁,能穿透几乎所有NAT设备,如OpenVPN系统。
8.2 LAN-LAN VPN案例
企业内部各分支机构的互连,使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性和IPsec技术可以在Internet上组建世界范围内的LAN-LAN VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。
IPsec VPN优点:用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连。带宽高,VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽,如在某电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上。灵活性高,随时可以建立和取消VPN。
IPsec VPN缺点:安全性较差,由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsec VPN 上传输;稳定性不高,带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控。
9 结束语
目前VPN技术应用比较广泛,低成本、易维护,性能比较稳定,体现了它强大的生命力与吸引力。VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,相信随着IP技术的发展,VPN技术会日臻完善!
参考文献:
[1]常晓波.等.译.安全体系结构的设计部署与操作[M].清华大学出版社.
[2]Cisco Networkers 2003 SEC-2011: Deploying Site-to-Site IPSec VPNs.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:虚拟;专用;隧道;协议;安全;方案
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)17-31254-01
Technology and Application of VPN
JIN Wu-gong
(Information Resource Management Center in Hefei,Hefei 230071,China)
Abstract:As computer has stepped into daily life in depth, people will not use special net and public net limitedly, but also take full advantage of Internet technology to build their own inner net.
The content of this thesis covers the category and speciality of VPN, tunnel technology, encryption & decode techniques, authentication system, PPTP protocol, L2TP protocol, IPSec protocol, resolve means, advantages & disadvantages when VPN is applied in reality.
Key words:virtual;special;tunnel;protocol;safety;plan
虚拟专用网(Virtual Private Network)不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
VPN不是一种单一的技术,而是具有若干特性的系统,IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络,如自主定义的IP地址空间。 本文讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,以IP为主要通讯协议的VPN,也可称之为IP-VPN。
1 VPN的安全性
VPN的主要目的是保护传输数据必须具备4个关键功能。
认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置;
访问控制:限制对网络未经授权的访问;
机密性:防止数据在通过网络时被察看;
数据完整性:防止传输中对数据的任何篡改。
VPN的目的是保护从信道的一个端点到另一端点传输的信息流,信道的端点之前和之后,VPN不提供任何的数据包保护。
2 为什么选择VPN
(1)成本低是最大的优势。传统方式是租用专线建设自己的网络系统,Internet能以很低的代价提供高带宽的链路,缺点是安全性不高。由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 如2M的专线,国内长途4000/月,对应的10M Internet链路一般2000/月。
(2)灵活性高。只要有Internet链路,随时可以建立VPN链路,对于单个用户,使用VPN可以在任何地方安全访问内部网
3 VPN的类型
每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同。用于移动工作者的远程访问Client-LAN VPN,也叫 Access VPN,替代早期的拨号远程访问网络。用于局域网间连接的有LAN-LAN型、IntranetVPN和ExtranetVPN。
4 VPN的特性
安全性:隧道、加密、密钥管理、数据包认证、用户认证、访问控制;
可靠性:硬件、软件、基础网络的可靠性;
可管理性:记帐、审核、日志的管理,支持集中的安全控制策略;
可用性:系统对应用尽量透明,对终端用户来说使用方便;
互操作性:尽量采用标准协议,与其他供应商的设备能互通
服务质量 QoS:通过Internet连接的VPN服务质量很大程度取决于Internet的状况;
多协议支持:支持IP,IPX,或NetBEUI等多种协议。
5 VPN涉及的技术
5.1隧道技术
第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输,L2TP、PPTP(集成在windows中,所以最常用)第三层隧道把网络数据包指直接在隧道中传输,IPsec利用隧道技术,理论上任何协议的数据都可以透过IP网络传输。
5.2加密/解密技术
(1)对称加密技术:速度快,常用的DES、3DES、IDEA等,缺点是密钥传递不方便,经常被用来对数据进行加/解密处理,提高保密性。
(2)公钥加密技术:速度慢,常用的RSA、Diffie-Hellman,用于签名和会话的密钥交换。
(3)哈希函数:速度快,产生的消息摘要用于信息的完整性检查。
6 认证系统
(1)VPN设备间的认证可通过密码、密钥、证书等认证,如果使用证书,可以考虑使用自己的CA或第三方的CA。
(2)对于Access VPN,对个人进行认证可采用简单密码、一次性密码S/KEY、基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡)、生理ID(指纹、声音、视网膜扫描)等。
7 安全协议
7.1安全IP(IPSec)隧道模式
三层协议,直接传输网络协议数据包,基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包,提供了强大的安全、加密、认证和密钥管理功能,适合大规模VPN使用。
7.2点对点隧道协议(PPTP)
二层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输,PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp 1723端口的控制连接,另一个通道是传输GRE PPP数据包的IP隧道。PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现。windows中集成了PPTP Server和Client,适合中小企业支持少量移动工作者,如果有防火墙的存在或使用了地址转换,PPTP可能无法工作。
7.3第2层隧道协议(L2TP)
允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,桢中继或ATM,它是在Cisco公司的L2F和PPTP的基础上开发,使用并不普遍。
8 VPN解决方案
一个VPN解决方案不仅仅是一个经过加密的隧道,它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为专用的VPN硬件、支持VPN的硬件或软件防火墙、VPN软件、VPN服务提供商4类。前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入。
8.1Access VPN案例
某大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源。
建设一个Access VPN系统。校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器,使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证。
PPTP协议的缺点:使用的GRE协议经常被ISP封锁或由于NAT设备不支持,导致用户无法正常连接VPN。最近流行的SSL方式的VPN就是解决这个问题。采用SSL协议,从外部看是UDP协议,不被ISP封锁,能穿透几乎所有NAT设备,如OpenVPN系统。
8.2 LAN-LAN VPN案例
企业内部各分支机构的互连,使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性和IPsec技术可以在Internet上组建世界范围内的LAN-LAN VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。
IPsec VPN优点:用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连。带宽高,VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽,如在某电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上。灵活性高,随时可以建立和取消VPN。
IPsec VPN缺点:安全性较差,由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsec VPN 上传输;稳定性不高,带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控。
9 结束语
目前VPN技术应用比较广泛,低成本、易维护,性能比较稳定,体现了它强大的生命力与吸引力。VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,相信随着IP技术的发展,VPN技术会日臻完善!
参考文献:
[1]常晓波.等.译.安全体系结构的设计部署与操作[M].清华大学出版社.
[2]Cisco Networkers 2003 SEC-2011: Deploying Site-to-Site IPSec VPNs.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。