close
現在很多連接都被稱作VPN(Virtual Private Ntwork),讓很多人分不清楚。那麼,一般所說的VPN到底是什麼呢?顧名思義,虛擬專用網不是真的專用網絡,但是它卻能夠實現專用網絡的功能。
認識VPN
虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接,並沒有傳統專用網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。
對於VPN的定義有很多說法,但是都基於這樣一種思想:VPN利用公共網絡基礎設施,通過一定的技術手段,達到類似私有專網的數據安全傳輸。從定義上看,VPN首先是虛擬的,也就是說VPN並不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路。但是,VPN同時又具有專線的數據傳輸功能,因為VPN 能夠像專線一樣在公共網絡上處理自己公司的信息。
VPN在類型與應用方式上有訪問虛擬專網(Access VPN)、企業內部虛擬專網(Intranet VPN)和擴展的企業內部虛擬專網(Extranet VPN)之分。
VPN技術比較
從總體來說,VPN技術非常復雜,它涉及到通信技術、密碼技術和現代認證技術,是一項交叉科學。目前,VPN主要包含隧道技術與安全技術。
隧道技台中申請商標費用術
隧道技術對於構建 VPN 來說,是一個關鍵性技術。它的基本過程是在源局域網與公網的接口處,將數據作為負載封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,取出負載。這樣,被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。 目前VPN隧道協議有四種。
點對點隧道協議PPTP PPTP(Point to Point Tunneling Protocol)協議將控制包與數據包分開。控制包采用TCP控制,用於嚴格的狀態查詢及信令信息;數據包部分先封裝在PPP協議中,然後封裝到GRE(通用路由協議封裝) V2協議中。目前,PPTP協議基本已被淘汰,不再使用在VPN產品中。
第二層隧道協議L2TP L2TP(Layer 2 Tunneling Protocol)協議是國際標準隧道協議。它結合瞭PPTP協議以及第二層轉發L2F(Layer 2 Forwarding,二層轉發協議)協議的優點,能以隧道方式使PPP包通過各種網絡協議,包括ATM、SONET和幀中繼。但是,L2TP沒有任何加密措施,更多的是和IPSec協議結合使用,提供隧道驗證。
IPSec協議 IPSec(網絡協議安全)協議不是一個單獨的協議,它給出瞭應用於IP層上網絡數據安全的一整套體系結構。它包括網絡安全協議AH (Authentication Header)協議和ESP (Encapsulating Security Payload)協議、密鑰管理協議IKE (Internet Key Exchange)協議和用於網絡驗證及加密的一些算法等。IPSec 規定瞭如何在對等層之間選擇安全協議、確定安全算法和密鑰交換,向上提供瞭訪問控制、數據源驗證、數據加密等網絡安全服務。
現在一種發展趨勢,是將L2TP和IPSec結合起來,即用L2TP作為隧道協議,用IPSec協議保護數據。目前,市場上大部分VPN都采用這類技術。 它的優點是定義瞭一套用於保護私有性和完整性的標準協議,可確保運行在TCP/IP協議上VPN之間的互操作性;不足之處在於,除瞭包過濾外,它沒有指定其他訪問控制方法,對於采用NAT(網絡地址翻譯)方式訪問公共網絡的情況難以處理,為此最適合於可信LAN到LAN之間VPN的場合應用。
SOCKS v5協議 SOCKS v5工作在OSI(Open System Internet)模型中的第五層――會話層,可作為建立高度安全的VPN基礎。SOCKS v5協議的優勢在於訪問控制,因此適用於安全性較高的VPN。 SOCKS v5現在被IETF(互聯網工程任務組),建議作為建立VPN的標準。 它的優點是能夠非常詳細地進行訪問控制,即在網絡層隻能根據源目的的IP地址允許或拒絕被通過,在會話層控制手段更多一些;由於工作在會話層,能同低層協議如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服務器可隱藏網絡地址結構;能為認證、加密和密鑰管理提供“插件”模塊,讓用戶自由地采用所需要的技術;SOCKS v5可根據規則過濾數據流,包括Java Applet和Actives控制。但是,它也有不少令人遺憾之處:性能比低層次協議差,必須制定更復雜的安全管理策略。這樣,它最適合用於客戶機到服務器的連接模式,適用於外部網VPN和遠程訪問VPN。
安全技術 VPN常常需要在不安全的Internet 中通信,通信的內容可能涉及企業的機密數據,因此其安全性非常重要。VPN中的安全技術通常由加密、認證和密鑰交換與管理技術組成。
認證技術 認證技術防止數據的偽造和被篡改。它采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH函數將一段長的報文通過函數變換,映射為一段短的報文即摘要。由於HASH函數的特性,兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN中有驗證數據的完整性和用戶認證兩種用途。
加密技術 IPSec通過ISAKMP/IKE/Oakley 協商確定幾種可選的數據加密算法,如DES(Data Encryption Stamdard)、3DES等。DES密鑰長度為56位,容易被破譯,3DES使用三重加密增加瞭安全性。
密鑰交換與管理 VPN中密鑰的分發與管理非常重要。密鑰的分發有兩種方法:一種是通過手工配置;另一種采用密鑰交換協議動態分發。手工配置的方法由於密鑰更新困難,隻適合於簡單網絡的情況;密鑰交換協議采用軟件方式動態生成密鑰,適合於復雜網絡的情況且密鑰可快速更新,可以顯著提高VPN的安全性。目前主要的密鑰交換與管理標準有IKE(互聯網密鑰交換)、SKIP(互聯網簡單密鑰管理)和Oakley。
VPN應用實例
北京有一傢電力建設公司共有30多傢分公司,700多臺計算機。公司原有的網絡系統比較復雜,總公司與分支機構、甲方、監理之間是通過撥號方式連接,每月費用在2萬元以上;而受上網速度的限制,公司內部的文件處理速度特別慢,導致公司的辦公業務也受到影響,同時還會造成公司數據不能共享。另外,網絡安全也得不到有效地保證。為此,該公司決定對原有網絡進行改造,選擇瞭一套基於ADSL的VPN解決方案。由此,該公司實現瞭各個節點之間的VPN互聯;同時,實現瞭總部與10個分支機構,共500多臺計算機的互聯。試運行結果表明,每月費用從原來的2萬多元下降至3500元。與此同時,公司辦公可以做到及時發佈信息,實現數據共享,還可以方便地進行網絡維護。
【返回首頁】台中申請商標代辦
台中商標申請查詢
文章標籤
全站熱搜
留言列表
