首页 > 文章中心 > vpn技术

vpn技术

vpn技术

vpn技术范文第1篇

VPN的英文VirtualPrivateNetwork的缩写,可文译为虚拟专用网。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点:

(1)降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的Intranet,用拔号访问时,花的是国际长途话费;而用VPN技术时,只需在纽约和北京分别连接到当地的Internet就实现了互联,双方花的都是市话费。

(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,VPN就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。

(3)完全控制主动权:VPN上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。

2VPN的工作原理

图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN可,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。

基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(DedicatedVPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。

拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。

提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器,访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接,当企业网关鉴别了用户之后,访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。

PPP协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。

拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。

专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务,但最常见的是在IP网上建立的IPVPN业务,如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。

虚拟专用网的体系结构有多种形式,分类示意图如图4。

模拟目前国内公众多媒体通信网的状况;在国内采用VPN组网一般分为三类:

(1)ATMPVC组建方式,即利用电信部分提供的ATMPVC来组建用户的专用网。这种专用网的通信速率快,安全性高,支持多媒体通信。

(2)IPTunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍及的地方均可提供。

(3)Dial-upAccess组网方式(VDPN)。这是一种拨号方式的专用网组建方式,可以利用已遍布全国的拨号公网来组建专用网,其接入地点在国内不限,上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的地理所在延伸到全国范围。

2.1拨号VPN(VDPN)

拨号VPN又可分为客户发起的(Client-Initiated)VPN和NAS发起的VPN。

2.1.1客户发起的VPN

在客户发起的VNP中,用户拨号到本地的POP远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行Ipsec软件,客户软件与公司内部网络防火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全性。这种形式的VPN优点是:

(1)远程用户能够同时与多个HomeGateway建立IPTunnel。

(2)远程用户不必重新拨号,就可以进入另一网络。

(3)VPN的建立和管理与ISP无关。

缺点是:因为这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件,而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此,大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式,如下面所讨论的那样。

2.1.2NAS发起的VPN

在NAS发起的VPN中,由服务提供商的POP中的NAS请求并创建到客户公司路由器(或者HomeGateway)的VPN隧道。NAS使用L2F(Layer2ForwardingProtocol)或者L2TP(Layer2TunnelingProtocol)协议来建立到客户HomeGateway的安全隧道。L2TP是不久前建立的标准,这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于HomeGateway来说,L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。

表现得似乎用户是直接拨号到公司内部网上。

在这种拨号VPN形式中,用户认证公两级处理。当用户拨入时,首先由服务提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司HomeGateway的隧道,由HomeGateway来执行用户级的认证功能。

这种VPN形式有若干优点:对拨号用户透明,用户PC上无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的拨号VPN服务,如通过预留Modem端口,优先的数据传送等手段保证拨号VPN用户得到所需的服务;NAS可以时支持Internet或其他公用网络和VPN服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署将更具有可扩充性和管理性。

这种VPN形式存在的缺点有:

(1)当远程用户进入其它网络时,需要重新拨号,并且只能以另一用户名登录。

(2)远程用户不能同时进入多个网络。

2.2专线VPN

2.2.1基于IPTunnel的专线VPN

VPN与常规的直接拨号网络不同,在VPN中,PPP数据包流不是通过专用线路,而是通过共享IP网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成VPN隧道呢?

隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。隧道协议一般封装在IP协议中,但也可以是ATM或FrameRelay。由于隧道搭载的是PPP数据包(第二层),所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中(3Com公司的VTP就是这种隧道协议),由于隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。

2.2.2基于VitualCircuit(虚拟电路)的VPN

服务提供商可以提供虚拟电路来建立IPVPN服务。用PVC在帧中继(FrameRelay)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IPVPN服务。

在前面叙述的专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道(tunnel)来提供服务的。与之不同,基于虚拟电路的VPN通过在公共的帧或信元交换网络上的路由来传送IP服务,是使用PVC而不是tunnel来建立隐私性。因此,加密是不需要的。

这种形式的VPN具有如下优点:受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法;可充分利用FRCIR(CommittedInformationRate)和ATMQoS来确保QoS能力;虚拟电路拓扑的弹性;连接无须加密。

它的缺点是:不能灵活选择路由;比IPTunnel的相对费用高;缺少IP的多业务能力(如VoiceOverIPVideoOverIP等)。

3VPN技术的应用领域及典型应用

3.1VPN应用的四个领域

企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN。另外,在很多涉及公司重要信息的传输及对数据完整性安全性要求比较高的场合,也大多选择VPN技术。

3.2VPN广域网建设新的解决方案(即典型应用)

目前各行业网、专用网的应用主要有两个方面:一是作为Internet或其他公用网络的一部分,组织本行业是信息资源上网;二是作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。

对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的中国公用计算机互联网(简称163网)或中国公众多媒体通信网(简称169网),完全省去了用于连接跨省的DDN专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的信息资源开发和深加工。

对地第三种应用或两者都有的应用,则各地就近接入当地的169网或163网,采用VPN技术,实现跨地区的数据通信,充分利用169网高速(155MATM)的跨省通信主干道,建设自己的内部网。其网络结构如图5所示。

图中的VPN表示内部专用网段。由于内部网的敏感数据在公网传输进是加密传,因此可以实现安全廉价的跨地域数据通信。

同样,本解决方案也适用于企业的跨地域数据通信,实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。

4VPN技术的市场前景分析

Internet的飞速发展、用户数的迅猛增长以及Web通信量和个人域名注册都加速了其发展势头。美国商业部预测到2010年加入互联网的企业将会超过500尤。这清楚地描述了下世纪Intenet产生以及将会产生的影响。一些研究表明在下世纪将会有70%~80%的商务使用VPN设备。它们还指出,仅拥有200个远程用户美国某跨国公司弃专线而选用VPN后,仅仅4~5的时间就节省了150多万美金。

公司希望花费不高的代价来传输商务信息。VPN在这方面起了很重要的作用,它提供了减少开支、提高服务、维护客户基础的方法。许多公司选用VPN传输商务信息的原因是:

(1)VPN以Internet做支撑;

(2)无论对商业客户来说还是对私人客户来说,使用Internet都是一种经济可行的方式。

(3)Internet覆盖全球;

(4)现在Internet传输效率极高,大多ISP能承受进行连接所带来的负荷;

(5)VPN是灵活的、动态的、可升级的;

vpn技术范文第2篇

近两年,SSL VPN的市场突飞猛进,SSL VPN产品与IPSecVPN产品在市场占有率已开始出现此消彼长的情况。

状态监测、应用智能、SmartDefense技术都是Check Point公司借助14年以来专业充实安全领域研究过程中所开发出来的安全防护技术,是贯穿公司所有安全防护产品,包括SSL VPN产品的安全特性。

状态监测技术

状态监测技术已经逐渐成为企业级网络安全解决方案的行业标准。状态监测能够满足上面指定的所有安全要求,而传统的防火墙技术在某些方面均存在一定的缺陷。借助状态检测技术,将在网络层截获数据包以达到最佳性能(与包过滤器相同),但随后将访问和分析来自于所有通信层的数据(与应用层网关的第 4~7层比较而言)来改进安全性。

然后,状态监测通过合并来自于通信以及应用程序的状态和上下文信息(这些信息是动态存储和更新的),来获得更高的安全性。这样将提供累积数据,据以评估以后的通信尝试。它还提供创建虚拟会话信息的功能,以便跟踪无连接协议(例如基于 RPC 和 UDP 的应用程序),这些是其他防火墙技术无法实现的。

应用智能技术

应用智能作为一组高级功能,能够检测和阻止应用级攻击。许多防火墙(特别是那些基于 Stateful Inspection 技术的防火墙)已经保存了成功抵御网络攻击的防护库。事实上,越来越多的攻击试图利用网络应用的弱点,而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point应用智能扩展了对这种网络安全解决方案的理解。

应用智能本身的形式与应用级防护相关联。然而实践中,许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如 DoS 攻击)。基于上述原因,应用智能和其他网络安全解决方案不仅必须要解决应用层问题,还可以解决网络及传输层安全问题。

防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多层安全解决方案必须保护网络层和应用层免受攻击,提供对 IT 资源的访问控制。Check Point应用智能具有一系列高级功能,与 Check Point FireWall-1 NGX 和 SmartDefense 集成,能够检测和防止应用层攻击。并且针对越来越多直接针对关键应用的攻击行为,公司在业界提供了领先的安全解决方案。

SmartDefense技术

vpn技术范文第3篇

论文摘要:重点分析了VPN的实现技术。

随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:

1 VPN简介

虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。

VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Re-mote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPNo

在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。

2 VPN的实现技术

VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。

2.1 VPN访问点模型

首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。

2.2隧道技术

隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo

(1)GRE

GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol , NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。

GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。

虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。

GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。

(2)L2TP和PPTP

L2TP是L2F( Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:

a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol, PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。

与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。

在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。

采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。

2.3加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。

2.4 QoS技术

vpn技术范文第4篇

摘要:重点分析了VPN的实现技术。

随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:

1VPN简介

虚拟专用网(VirtuaIPrivateNetwork,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。

VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranetVPN;

(2)企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN;

(3)企业与合作伙伴、客户、供应商之间的ExtranetVPNo;

在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPointTunnelingProtocol,PPTP)、第二层隧道协议(layer2TunnelingProtocol,I,2TP)等。

2VPN的实现技术

VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。

2.1VPN访问点模型

首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。

2.2隧道技术

隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation,GRE)I,2TP和PPTPo。

(1)GRE

GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。

GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。

虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。

GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。

(2)L2TP和PPTP

L2TP是L2F(Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccessServer)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:

a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol,PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。

与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。

在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。

采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。

2.3加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESoRC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。

2.4QoS技术

vpn技术范文第5篇

关键词:网络安全;IPSec协议;VPN

中图分类号:TN915.08文献标识码:A

1 VPN网络的基本原理[1]

VPN区别于一般网络互联的关键在于隧道的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性。一般在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP、L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec;另外,SOCKS v5协议则在TCP层实现数据安全。基于IPSec协议的VPN成为现在的发展方向,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSec支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSec使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSec使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。

2 VPN网络的功能及关键技术

一般的VPN网络都至少提供这几个功能:(1)加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。(2)信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。(3)提供访问控制,不同的用户有不同的访问权。(4)多种协议的传递。

为了高效地实现这些功能,一般采用以下的关键技术:

2.1遂道协议(Tunneling Protocol)

隧道技术是将分组封装(Capsule)的技术,它被VPN实现以内部地址与多协议通信的重要功能在PPTP、L2TP及IPSEC中被广泛地采用。

2.2认证技术PPP(Point to Point Protocol)

认证技术PPP(Point to Point Protocol)采用了PAP(Password Authentication Protocol)及CHAP(Challenge Handshake Authentication Protocol)等协议进行认证。PPTP及L2TP等隧道协议采用这种PPP的认证协议。利用RADIUS(Remote Authentication Dial In User Service)、LDAP(Lightweirht Directory Access Protocol)及TACACS(Terminal Access Controller Access System)等方式进行建立认证用的用户名和口令的认证数据库。

2.3加密技术

加密技术由IPSec的ESP来实现 。

3 IPSec协议体系

利用SSL可以保证WWW浏览器和WWW服务器间的安全通信,利用PGP及S/MIME可以实现邮件加密,但是这些安全技术都只能用于局部业务,并不能保证TCP/IP整体上的安全通信,因此开发了能够使企业和个人用户在开放的Internet上通用的安全协议――IPSec。IPSec[2]从多个方面保护IP数据包的安全:数据起源地验证、无连接数据的完整性验证、保证数据内容机密性、抗重播保护、保护有限数据流的机密性。IPSec除适用于目前的IPv4外,也适用于IPV6。IPSec提供了一种标准的、健壮的以及包容广泛的机制为运行于IP顶部的任何一种协议(如TCP、UDP、ICMP等)提供保护。IPSec确保端到端的数据安全。IPSec在网络内部实施时,即构成了虚拟专用网。IPSec运行在网络层上,所以属于第三层隧道协议。

ESP(Encapsulating Security Payload,封装安全载荷),ESP机制通过将整个IP分组或上层协议部分(即传输层协议数据,如TCP,UDP或ICMP协议数据)封装到一个ESP载荷之中,然后对此载荷进行相应的安全处理,如加密处理、别处理等,以实现对通信的机密性和保密性保护。

AH(Authentication Header,验证头),AH机制主要用于为通信提供完整,还能为通信提供抗重放攻击服务。

加密算法,描述各种加密算法如何应用于ESP中,默认的算法为DEC-CBC算法。

验证算法,描述各种身份验证算法如何应用于AH中和ESP身份验证选项,默认的有HMAC-MD5和HMAC-SHA1算法。

密钥管理,IKE(Internet密钥交换协议)是默认的密钥交换协议。

解释域,彼此相关各部分的标准符及运作参数,它实际是一个存放所有IPSec安全参数的数据库,这些参数可被与IPSec服务相应的系统参考并调用。

4 基于IPSec协议的实现方案

加密和认证是VPN的主要作用,我们可以通过网络技术在公网上采用VPN的技术来达到安全地传输信息,达到专用网络的效果。VPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能。相互信任的局域网间进行通信时,仍然使用互联网作为中间信道。但是,通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。这样,即便信息被截取,也无法偷窥或篡改其内容。保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。IPSec的实现方案是在IP层与链路层间插入IPSec处理模块,结构如图1所示,

对于接受包处理,当链路层数据到达网卡时,首先交给内核的标准IP处理程序。对于本地包,在进行完IP分片重组等IP层进入包处理后,准备传给传输层。此时调用IPSec进入处理模块。经过IPSec进入处理后,重新组装IP包,然后发送到内核的标准IP处理入口。再经过一次IP处理后,发送到传输层进行进一步处理。而对于外地包,则需要转发。转发时需要进行分片处理。在发送到网卡前,调用IPSec外出处理模块。经过IPSec外出处理后,重组外出包,并重新路由、分片处理。然后发送到物理接口(网卡)。

对于发送包处理,当传输层数据到达时,首先交给内核的标准IP处理程序。在进行完IP的分片等IP层外出包处理及路由后,准备发送到链路层。此时调用IPSec外出处理模块。经过IPSec外出处理后,重新发送到内核的标准IP层外出处理入口。然后重新进行IP分片及其它IP层外出处理,并重新路由。最后将包发送到到链路层,进入网卡

图1实现方案

5 总结

利用IPSec协议来实现VPN网络,可以利用一个公用网络(通常是不安全的网络)建立一个临时的、安全的连接,能够加强企业网络传递信息的安全性,减轻企业的信息化建设成本,是一个实用安全的技术。

参考文献:

[1]戴宗坤,唐三平.VPN与网络安全.第1版.北京:电子工业出版社,2002

相关期刊更多

直通VIP

省级期刊 审核时间1个月内

直通VIP联合商会

中国语言文学研究

CSSCI南大期刊 审核时间1-3个月

河北师范大学文学院

对外汉语研究

CSSCI南大期刊 审核时间1-3个月

上海师范大学《对外汉语研究》编委会