VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,CPE-based VPN主要包含两种技术:隧道技术与安全技术。
一、隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
1.点到点隧道协议—PPTP
PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
2.第二层隧道协议—L2TP
L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
3.IPSec协议
IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,不会隐藏路由信息。1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。
一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
表 4种隧道协议在OSI七层模型中的位置
优点:它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
缺点:除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
适用场合:最适合可信LAN到LAN之间的VPN。
4.SOCKS v5协议
SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。
优点:非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives控制。
缺点:其性能比低层次协议差,必须制定更复杂的安全管理策略。
适用场合:最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
二、安全技术
VPN 是在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术
认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH 函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途:验证数据的完整性、用户认证。
2.加密技术
IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样理由,国内也禁止重要部门使用国外算法。国内算法不对外公开,被破解的可能性极小。
3.密钥交换和管理
VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。
VPN组网方式
VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
1. Access VPN (远程访问VPN):客户端到网关
远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKS v5协议适合这类连接。
2. Intranet VPN (企业内部VPN):网关到网关
它适用于公司两个异地机构的局域网互连,在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性,而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
3.Extranet VPN (扩展的企业内部VPN):与合作伙伴企业网构成Extranet
由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。
摘自《计算机世界报》
|