vpn技術精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的vpn技術主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:vpn技術范文
【關鍵詞】SSL vpn;IPSEC VPN;網絡安全
【中圖分類號】TN711
【文獻標識碼】A
【文章編號】1672-5158(2012)12-0004-01
一、SSL VPN的基本學術概念
1.1 什么是SSL VPN
SSL(Secure Sockets Layer)是一種Intemet數據安全協議。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。VPN(Virtual Private Network虛擬專用網絡),可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。VPN的核心就是在利用公共網絡建立虛擬私有網,被定義為通過一個公用網絡(通常是Internet)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。
SSL VPN就是指應用層的vpn,它是基于https來訪問受保護的應用。目前常見的SSL VPN方案有兩種方式:直路方式和旁路方式。直路方式中,當客戶端需要訪問一臺應用服務器時:首先,客戶端和SSL VPN網關通過證書互相驗證雙方;其次,客戶端和SSL VPN網關之間建立ssl通道;然后,SSL VPN網關作為客戶端的和應用服務器之間建立tcp連接,在客戶端和應用服務器之間轉發數據。旁路方式和直路不同的是:為了減輕在進行ssl加解密時的運行負擔,也可以獨立出ssl加速設備,在SSL VPN server接收到https請求時,將ssl加密的過程交給ssl加速設備來處理,當ssl加速設備處理完之后再將數據轉發給SSL VPN server。
1.2 SSL VPN的特性
保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經授權的人。由于使用的是Ssl協議,該協議是介于http層及tcp層的平安協議,傳輸的內容是經過加密的。SSL VPN通過設置不同級別的用戶和不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、radius機制等不同的方式。ssl數據加密的平安性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網絡中的數據,就要能夠解開這些加密算法后的數據包。
完整性就是對抗對手主動攻擊,防止信息被未經授權的篡改。由于SSL VPN一般在gateway上或者在防火墻后面,把企業內部需要被授權外部訪問的內部應用注冊到SSL VPN上。這樣對于gateway來講,需要開通443這樣的端口到ssl vpn即可,而不需要開通所有內部的應用的端口。假如有黑客發起攻擊也只能到SSL VPN這里,攻擊不到內部的實際應用。
可用性就是保證信息及信息系統確實為授權使用者所用。前面已經提到,對于SSL VPN要保護的后臺應用,可以為其設置不同的級別,只有相應級別的用戶才可以訪問到其對應級別的資源,從而保證了信息的可用性。
可控性就是對信息及信息系統實施平安監控。SSL VPN作為一個平安的訪問連接建立工具,所有的訪問信息都要經過這個網關,所以記錄日志對于網關來說非常重要。不僅要記錄日志,還要提供完善的超強的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經發生的攻擊,從而對信息系統實施監控。
二、SSL VPN的優勢
2.1 零客戶端
客戶端的區別是SSL VPN最大的優勢。瀏覽器內嵌了ssl協議,所以預先安裝了web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供給商等。通過SSL VPN,客戶端可以在任何時間任何地點對應用資源進行訪問。也就是說是基于b/s結構的業務時,可以直接使用瀏覽器完成ssl的vpn建立;而IPSEC VPN只答應已經定義好的客戶端進行訪問,所以它更適用于企業內部。
2.2 平安性
SSL VPN的平安性前面已經討論過,和IPSEC VPN相比較,SSL VPN在防病毒和防火墻方面有它特有的優勢。
一般企業在Internet聯機入口,都是采取適當的防毒偵測辦法。不論是IPSEC VPN或SSL VPN聯機,對于人口的病毒偵測效果是相同的,但是比較從遠程客戶端入侵的可能性,就會有所差別。采用IPSEC VPN聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對于SSL VPN的聯機,病毒傳播會局限于這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。
2.3 訪問控制
用戶部署vpn是為了保護網絡中重要數據的平安。IPSEC VPN只是搭建虛擬傳輸網絡,SSL VPN重點在于保護具體的敏感數據,比如SSL VPN可以根據用戶的不同身份,給予不同的訪問權限。就是說,雖然都可以進入內部網絡,但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問,做的每筆交易、每個操作進行數字簽名,保證每筆數據的不可抵賴性和不可否認性,為事后追蹤提供了依據。
2.4 經濟性
使用SSL VPN具有很好的經濟性,因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程平安訪問接入。但是對于IPSEC VPN來說,每增加一個需要訪問的分支,就需要添加一個硬件設備。就使用成本而言,SSL VPN具有更大的優勢,由于這是一個即插即用設備,在部署實施以后,一個具有一定Internet知識的普通工作人員就可以完成日常的管理工作。
第2篇:vpn技術范文
關鍵詞:VPN;MPLS;多協議標記交換
中圖法分類號:TP309文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
隨著Internet的VPN連接蓬勃發展,人們對其連接質量提出了更高的要求。但常規的VPN連接方法缺乏高效的連接手段,網絡經常會發生阻塞,許多應用對于目前的IP技術(如語音和視頻等)顯得力不從心,并且實現成本也很高。而新興的多協議標記交換技術(MPLS:MultiProtocol Label Switching)有望解決這一問題。
1 VPN簡介
首先引入現實中的一個例子,經常在外地出差的公司用戶希望能從外地的網絡訪問公司的內網辦公,而訪問的結果就像在公司內網一樣,不會有對資源、權限的限制,就好像在內網里面一樣,我們可以利用VPN技術實現這個目的。
由以上來看,究竟什么是VPN呢?虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
2 常規VPN技術
以往常規的VPN連接技術是在PPTP或者L2TP協議的控制下進行隧道封裝加密傳輸,其中,PPTP協議將控制包與數據包分開,控制包采用TCP控制,用于嚴格的狀態查詢及信令信息;數據包部分先封裝在PPP協議中,然后封裝到GRE V2協議中。目前,PPTP協議基本已被淘汰。L2TP是國際標準隧道協議,它結合了PPTP協議以及第二層轉發L2F協議的優點,能以隧道方式使PPP包通過各種網絡協議,包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施,更多是和IPSec協議結合使用,提供隧道驗證。
但是,IPsec協議首要的和最明顯的缺點就是性能的下降,其次,在實現成本上非常不利,低端的設備通常用軟件實現所有的IPsec功能,因而其速度最慢。價格貴些的用硬件實現IPsec功能。一般來說,性能越好,其價格越貴。
3 基于MPLS的VPN的新技術
同傳統的VPN不同,MPLS VPN不依靠封裝和加密技術,MPLS VPN依靠轉發表和數據包的標記來創建一個安全的VPN,MPLS VPN的所有技術產生于InternetConnect網絡。
CPE被稱為客戶邊緣路由器(CE)。在InternetConnect網絡中,同CE相連的路由器稱為供應商邊緣路由器(PE)。一個VPN數據包括一組CE路由器,以及同其相連的InternetConnect網中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網絡。
CE可以感覺到同一個專用網相連。每個VPN對應一個VPN路由/轉發實例(VRF)。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數據包括IP路由表,一個派生的Cisco Express Forwarding (CEF)表,一套使用轉發表的接口,一套控制路由表中信息的規則和路由協議參數。一個站點可以且僅能同一個VRF相聯系。客戶站點的VRF中的數據包含了其所在的VPN中,所有的可能連到該站點的路由。
對于每個VRF,數據包轉發信息存儲在IP路由表和CEF表中。每個VRF維護一個單獨的路由表和CEF表。這些表各可以防止轉發信息被傳輸到VPN之外,同時也能阻止VPN之外的數據包轉發到VPN內不的路由器中。這個機制使得VPN具有安全性。
在每個VPN內部,可以建立任何連接:每個站點可以直接發送IP數據包到VPN中另外一個站點,無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網絡可以支持成千上萬個VPN。每個MPLS VPN網絡的內部是由供應商(P)設備組成。這些設備構成了MPLS核,且不直接同CE路由器相連。圍繞在P設備周圍的供應商邊緣路由器(PE)可以讓MPLS VPN網絡發揮VPN的作用。P和PE路由器稱為標記交換路由器(LSR)。LSR設備基于標記來交換數據包。
客戶站點可以通過不同的方式連接到PE路由器,例如幀中繼,ATM,DSL和T1方式等等。
三種不同的VPN,分別用Route Distinguishers 10,20和30來表示。
MPLS VPN中,客戶站點運行的是通常的IP協議。它們并不需要運行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由識別器對應同每個客戶站點的連接。這些連接可以是諸如T1,單一的幀中繼,ATM虛電路,DSL等這樣的物理連接。路由識別器在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在客戶設備上進行配置,對于客戶來說是透明的。
每個MPLS VPN具有自己的路由表,這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進行尋址的多種客戶來說,上述特點很有用處。例如,任何數量的客戶都可以在其MPLS VPN中,使用地址為10.1.1.X的網絡。MPLS VPN的一個最大的優點是CPE設備不需要智能化。因為所有的VPN功能是在InternetConnect的核心網絡中實現的,且對CPE是透明的。CPE并不需要理解VPN,同時也不需要支持IPSec。這意味著客戶可以使用價格便宜的CPE,或者甚至可以繼續使用已有的CPE。
4 基于MPLS VPN的優點
時延被降到最低,因為數據包不再經過封裝或者加密。加密之所以不再需要,是因為MPLS VPN可以創建一個專用網,它同幀中繼網絡具備的安全性很相似。因為不需要隧道,所以要創建一個全網狀的VPN網也將變得很容易。事實上,缺省的配置是全網狀布局。站點直接連到PE,之后可以到達VPN中的任何其他站點。如果不能連通到中心站點,遠程站點之間仍然能夠相互通信。
配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡,不需訪問CPE。一旦配置好一個站點,在配置其他站點時無需重新配置。因為添加新的站點時,僅需改變所連到的PE的配置。
在MPLS VPN中,安全性可以得到容易地實現。一個封閉的VPN具有內在的安全性,因為它不同Public Internet相連。如果需要訪問Internet,則可以建立一個通道,在該通道上,可放置一個防火墻,這樣就對整個VPN提供安全的連接。管理起來也很容易,因為對于整個VPN來說,只需要維護一種安全策略。
MPLS VPN的另外一個好處是對于一個遠程站點,僅需要一個連接即可。想象一下,帶有一個中心站點和10個遠程站點的傳統幀中繼網,每個遠程站點需要一個幀中繼PVC(永久性虛電路),這意味者需要10個PVC。而在MPLS VPN網中,僅需要在中心站點位置建立一個PVC,這就降低了網絡的成本。
5 總結
MPLS是一種結合了鏈路層和IP層優勢的新技術。在MPLS網絡上不僅僅能提供VPN業務,也能夠開展QoS、TE、組播等等的業務。隨著MPLS應用的不斷升溫,不論是產品還是網絡,對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網絡新技術,但卻已經顯示了其強大的生命力。在我國網絡基礎薄弱,政府和企業對IP虛擬專用網的需求不高,但相信隨著政府上網、特別是在電子商務的推動下,基本MPLS的IP虛擬專用網技術的解決方案必將有不可估量的市場前景。
參考文獻:
[1]王達.虛擬專用網(VPN)精解[J].清華大學出版社,2004,173-7.
第3篇:vpn技術范文
關鍵詞:IPsec;AH;EPS;VPN; SSL
中圖分類號:TP393.08 文獻標識碼:A
1 概述
IPSec的英文全名為“Internet Protocol Security”,中文名為“因特網安全協議”,這個安全協議是VPN的基本加密協議,它為數據通過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道,首先要采用一定的方式建立通信連接,因為IPSec協議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,包括加密運算法則和身份驗證方法類型等。在IPSec協議中,一旦IPSec通道建立,所有在網絡層之上的協議在通信雙方都經過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構建時所采用的安全和加密方法如何。
2IPsec原理
2.1安全特性[1]
IPSec的安全特性主要有:
2.1.1不可否認性
“不可否認性”可以證實消息發送方是唯一可能的發送者,發送者不能否認發送過消息。“不可否認性”是采用公鑰技術的一個特征,當使用公鑰技術時,發送方用私鑰產生一個數字簽名隨消息一起發送,接收方用發送者的公鑰來驗證數字簽名。由于在理論上只有發送者才唯一擁有私鑰,也只有發送者才可能產生該數字簽名,所以只要數字簽名通過驗證,發送者就不能否認曾發送過該消息。
2.1.2反重播性
“反重播”確保每個IP包的唯一性,保證信息萬一被截取復制后,不能再被重新利用、重新傳輸回目的地。
2.1.3數據完整性
防止傳輸過程中數據被篡改,確保發出數據和接收數據的一致性。IPSec利用Hash函數為每個數據包產生一個加密檢查和,接收方在打開包前先計算檢查和,若包遭篡改導致檢查和不相符,數據包即被丟棄。
2.1.4數據可靠性(加密)
在傳輸前,對數據進行加密,可以保證在傳輸過程中即使數據包遭截取,信息也無法被讀。該特性在IPSec中為可選項,與IPSec策略的具體設置相關。
2.2數據包結構[2]
2.2.1認證頭
認證頭(AH)被用來保證被傳輸分組的完整性和可靠性。此外,它還保護不受重放攻擊。
表1認證頭分組
01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一個頭載荷長度保留安全參數索引(SPI)序列號認證數據(可變長度)字段含義:
下一個頭:標識被傳送數據所屬的協議。
載荷長度:認證頭包的大小。
保留:為將來的應用保留(目前都置為0).
安全參數索引 : 與IP地址一同用來標識安全參數。
序列號:單調遞增的數值,用來防止重放攻
認證數據:包含了認證當前包所必須的數據。
2.2.2封裝安全載荷 (ESP)
封裝安全載荷(ESP)協議對分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是,IP分組頭部不被包括在內。
字段含義:
安全參數索引:與IP地址一同用來標識安全參數。
序列號:單調遞增的數值,用來防止重放攻擊。
載荷數據:實際要傳輸的數據。
填充:某些塊加密算法用此將數據填充至塊的長度。
填充長度:以位為單位的填充數據的長度。
下一個頭 : 標識被傳送數據所屬的協議。
認證數據:包含了認證當前包所必須的數據。
3VPN原理
3.1VPN的基本概念[3]
在VPN(Virtual Private Network,虛擬專用網絡)中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。 虛擬專用網對用戶端透明,用戶好像使用一條專用線路進行通信。
3.2VPN的關鍵技術[4]
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
3.2.1隧道技術
隧道是一種利用公網設施,在一個網絡之上的“網絡”傳輸數據的方法,被傳輸的數據可以是另一協議的幀。隧道協議用附加的報頭封裝幀,附加的報頭提供了路由信息,因此封裝后的包能夠通過中間的公網。封裝后的包所途經的公網的邏輯路徑稱為隧道。一旦封裝的幀到達了公網上的目的地,幀就會被解除封裝并被繼續送到最終目的地。
3.2.2加解密技術
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。用于VPN上的加密技術由IPSec的ESP (Encapsulationg Security Payload)實現。主要是發送者在發送數據之前對數據加密,當數據到達接收者時由接收者對數據進行解密的處理過程,算法主要種類包括:對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發明者Rivest、Shamir和Adleman名字的首字符)。
3.2.3密鑰管理技術
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。
SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
3.2.4使用者與設備身份認證技術
使用者與設備身份認證技術最常用的是用戶名/口令或智能卡認證等方式。
3.3VPN隧道協議
隧道協議分為第二、三層隧道協議。它們的本質區別再也用戶的數據包是被封裝在哪一層的數據包在隧道里傳輸。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
3.3.1PPTP(Point to Point Tunneling Protocol,點到點隧道協議)
PPTP是VPN的基礎。PPTP的封裝在數據鏈路層產生,PPTP協議采用擴展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報進行封裝。所謂擴展GRE頭,即在通常GRE頭中,細化并修改了密鑰字段的利用,并增加了確認、出現位和確認號字段,從而提供了PPTP的流量控制功能。
3.3.2L2F(Layer 2 forwording)
L2F可以在多種介質(如ATM、幀中繼、IP網)上建立多協議的安全虛擬專用網,將鏈路層的協議(如PPP,HDLC等)封裝起來傳送。因此,網絡的鏈路層完全獨立于用戶的鏈路層協議。
3.3.3L2TP(Layer 2 Tunneling Protocol)
是遠程訪問型VPN今后的標準協議。它結合了PPTP協議和L2F協議的優點,以便擴展功能。其格式基于L2F,信令基于PPTP。這種協議幾乎能實現PPTP和L2F協議能實現的所有服務,并且更加強大、靈活。它定義了利用公共網絡設施(如IP網絡、ATM、幀中繼網絡)封裝傳輸鏈路層PPP幀的方法。
3.3.4IPSec
是在IP層提供通信安全而提供的一套協議族,是一個開放性的標準框架。IPSec安全協議包括:封裝的安全負載ESP(Encapsulation Securiy Payload)和認證報頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它對所有鏈路層上的數據提供安全保護和透明服務。
AH用于通信雙方能夠驗證數據在傳輸過程中是否被更改并能驗證發方的身份,實現訪問控制、數據完整性、數據源的認證性和重放根據的保護的功能。
ISAKMP[5]主要用于通信雙方協商加密密鑰和加密算法,它是基于D-H的密鑰交換協議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產生的。
ESP 的基本思想是對整個IP包或更高層協議的數據進行封裝,有2種模式:隧道(Tunnel)模式和傳輸(Transport)模式。在隧道模式下,IPSec把IPv4的整個IP包加密后封裝在新的安全IP包的數據段中,并生成一個新的IP包,在傳輸模式下只是將原IP包中的數據進行加密后再發送出去。
通用路由封裝(GRE, Generic Routing Encapsulation):GRE規定了怎樣用一種網絡層協議去封裝另一種網絡層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數據包的封裝,它并沒有加密功能來防止網絡偵聽和攻擊。所有在實際環境中它常和IPSec一起使用,由IPSec提供用戶數據的加密,從而給用戶提供更好的安全性。
4SSL VPN與IPSec VPN 比較
4.1IPSec VPN 優缺點
4.1.1優點
(1)IPSec是與應用無關的技術,因此IPSec VPN的客戶端支持所有IP層協議;
(2)IPSec技術中,客戶端至站點(client-to-site)、站點對站點(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術是完全相同的;
(3)IPSec VPN網關一般整合了網絡防火墻的功能;
4.1.2不足
(1) IPSec VPN需要安裝客戶端軟件,但并非所有客戶端操作系統均支持IPSec VPN的客戶端程序;
(2)IPSec VPN的連接性會受到網絡地址轉換(NAT)的影響,或受網關設備(proxy)的影響;
(3)IPSec VPN需要先完成客戶端配置才能建立通信信道,并且配置復雜。
4.2SSL VPN[6] 優缺點
4.2.1優點
(1)它的HTTPS客戶端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端設備中,因此不需要再次安裝;
(2)像Microsoft Outlook與Eudora這類流行的郵件客戶端/服務器程序所支持的SSL HTTPS功能,同樣也與市場上主要的Web服務器捆綁銷售,或者通過專門的軟硬件供貨商(例如Web存取設備)獲得;
(3)SSL VPN可在NAT裝置上以透明模式工作;
(4)SSL VPN不會受到安裝在客戶端與服務器之間的防火墻的影響。
4.2.2不足
SSL VPN不適用做點對點的VPN,后者通常是使用IPSec/IKE技術;
SSL VPN需要開放網絡防火墻中的HTTPS連接端口,以使SSL VPN網關流量通過。5 結束語
IPsec協議的實現彌補TCP/IP參考模型設計之初的缺陷,但其本身也存在一些不足。通過SSL VPN與IPsec VPN比較,進一步明確了IPsec VPN的特點及其適用的工作場合。
參考文獻
[1] Panos Trimintzios. A management and control architecture for providing IP differentiated services in MPLS-based networks, IEEE Communications Magazine, 2001, 39(5): pp.80-88.
[2]Intergated service in the Internet architecture: an overview.RFC1633,1994.
[3]J iang Y, Tham C, Ko C.Providing quality of service monitoring: challenges and approaches . International Journal of Network Management, 2000, 10 (6):pp.323-334.
[4] RFC 2917-2001, Muthukrishnan and amalis, a core MPLS.
[5]Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構建虛擬專用網[M]. 北京:人民郵電出版社, 2001.
第4篇:vpn技術范文
關鍵詞:VPN技術;應用;研究
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)17-3996-03
虛擬專用網,用英文翻譯過來就是Virtual Private Network,簡稱為VPN。虛擬專用網是通過公共網絡中相關的基礎設施,采用先進的技術方式,對不同的兩臺計算機進行一種專用的連接,使相關的網絡數據信息在通過公共網絡進行上傳的過程中,保證網絡數據信息私密性的一項技術。如何有效的應用虛擬專用網技術,是企業在發展過程中必須解決的一個重要問題。
1 VPN技術的優點
1.1 節約成本
VPN技術對公共網絡進行了利用,建立并組成了虛擬的專用網絡,不需要在單獨依靠公共網絡中專用的線路來保障數據信心傳輸的安全,利用專用的網絡就能夠實現數據信心的安全性,這一種方式相對于其他通信方式而言,所需要使用的成本更為低廉,例如:長途電話、專線電話等。
1.2 使用便捷
VPN技術在公共網絡中的使用較為便捷,易于在公共網絡中進行擴展。當公共網絡內部中的節結點逐漸增多的時候,專線連接網絡的結構也會變得越來越復雜,而且所需要花費的成本也非常的高,而在使用虛擬專用網的過程中,只需要在公共網絡的節點位置構架相關的VPN設備,就能夠在對Internet進行利用時在計算機網絡中建立安全連接,若是公共網絡內部中有其他的網絡想要進入安全連接,只需要在使用使用一臺虛擬專用網設備,對相關的配置的配置進行調整就能夠使其他的網絡加入到安全連接之中。
1.3 確保安全性
確保公共網絡中的安全性,是VPN技術在計算機網絡中的基礎,為了確保相關的數據信息在通過公共網絡進行傳輸過程中的安全性,VPN技術對加密認證這一項技術進行利用,在公共網絡內部中對相關的安全隧道進行構建,重要的數據信息通過安全隧道進行傳輸,有效的保證了數據信息在傳輸時的安全性,避免數據信息被惡意的篡改、破壞。
2 VPN得以實現的主要技術
VPN不是一個實體,而是一種虛擬的網絡形態,是計算機網絡中的一個概念,是一個通過公共網絡中的基礎設施對虛擬專用網絡進行構建時,所運用連接技術綜合起來的名稱。VPN技術的實現,離不開隧道技術,隧道技術是VPN技術得以實現的前提,隧道技術是一種對公共網絡中的數據信息進行包裝,然后在公共網絡中構建一條網絡隧道,使公共網絡中的數據信心通過這一條網絡隧道進行傳輸,以下是VPN技術在運用過程中的主要隧道技術。
2.1 點到點隧道協議
點到點隧道協議簡稱為PPTP,即Point-to-Point Tunneling Protocol,PPTP將公共網絡中的PPP數據信息進行包裝之后,通過Internet對這些數據信息進行傳輸,PPTP協議提供了使多協議VPN構建于Internet中的一種通信方式,遠程的客戶端能夠通過PPTP對專用網絡進行訪問。
2.2 二層轉發協議
二層轉發協議簡稱L2F,即Layer Two Forwarding Protocol,二層轉發協議能夠對各種不同的傳輸協議提供支持,例如:幀中繼、ATM以及IP等,二層轉發協議可以讓遠程客戶端的客戶在接入公共IP網絡中時,在撥號方式上不會受到任何的限制,例如:遠程客戶端的客戶在運用常規的撥號方式對ISP中的NAS進行撥號時,對PPP連接進行構建,NAS則通過對遠程客戶端客戶的一些基本信息的了解,在網絡中進行第二重連接,向公司所在地的二層轉發協議中的網絡服務器進行傳輸,二層轉發協議中的網絡服務器在將接收到的數據信心傳輸到公司內部的網絡中。
2.3 IP安全協議
IP安全協議簡稱為IP Sec,IP安全協議包含了秘鑰協商與安全協議這兩個方面中的一部分,IP Sec安全協議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護作用的機制。鑒別頭用英文表示為Authentication Header,簡稱AH,它給計算機網絡通信中提供的是一種完全性的保護。封裝安全載荷用英文表示為Encapsulations Security Payload,簡稱ESP,它給計算機網絡通信中提供的不僅僅是完整性的保護,還有機密文件在通過網絡進行傳輸這一過程中的保護。鑒別頭與封裝安全載荷對計算機網絡通信的保護具有實效性,對于公司內部在使用網絡進行數據信息傳輸的安全性有著十分重要的意義。IP安全協議是虛擬專用網技術中一個非常重要的組成部分,它對于網絡的保護具有完整性,是虛擬專用網在計算機網絡的應用中,不可缺少的一個部分,不僅僅保護了數據信息在通過網絡進行傳輸中的安全,還在很大程度上保障了數據信息來源的安全性、可靠性。
3 VPN技術的應用
在對VPN技術進行應用的過程中,能夠有效的解決虛擬專用網絡在對公共網絡進行利用中存在的問題。
以下是VPN技術主要的幾種應用:
3.1 遠程訪問VPN
隨著我國科學技術的深入發展,人們對于遠程通信的需求逐漸的擴大,各個行業辦公方式由辦公室辦公轉變為在辦公室以外進行辦公,企業中的工作人員對于企業網絡中的遠程客戶端訪問的要求逐漸增高,在這一形勢下遠程訪問VPN的出現是必然的趨勢。
一些公司或企業在網絡中進行遠程訪問的過程中,為了保證遠程訪問的安全性,傳統的方法是公司或企業的內部網絡中對RAS進行構建,即遠程訪問服務器。遠程客戶端客戶利用電話這一形式進行網絡撥號,然后接入RAS,接著進行入到公司或企業的內部網絡中,在利用這種傳統的方法進行遠程訪問時,需要對相關的RAS設備進行購買,RAS設備的價格都非常的高,而且遠程客戶端客戶只能采取撥號這一種形式進行遠程訪問,遠程訪問的效率非常低,在遠程訪問時的安全性也得不到有效的保障,在進行撥號時所需要的花費的費用也非常的多。遠程訪問VPN,通過數字用戶線路、ISDN以及撥號等一系列方式,進入到公司或企業所在地的ISP中,再進入Internet中,然后對公司或企業中的VPN網關進行連接,在VPN與遠程客戶端的客戶之間構建一條安全隧道,遠程客戶端的客戶可以通過這一條安全隧道對公司或企業內部中的網絡進行訪問,這種方式不僅僅節約了遠程訪問過程中所需要花費的費用,還在很大程度上保障了遠程訪問中的安全性。
遠程訪問VPN的結構示意圖,如圖1所示。
3.2 站點到站點的內聯網
一般情況下,在對同一個企業中兩個不同的分支機構進行連接的過程中,專用私有線路是必不可少的連接工具,但是專用私有線路非常的難找,尋找一條專用私有線路需要花費很多的時間與精力,而且專用私有線路一般都以出租的方式進行利用,租金非常的高。企業在利用一條專用私有線路對內部中不同的分支機構進行連接時,如果專用私有線路對企業內部網絡造成了破壞,則會導致連接的失敗,而且在利用專用私有線路對企業內部網絡中的數據信息進行傳輸的時候,傳輸數據信息的網絡通道沒有進行相關的加密,這就造成了數據信息在傳輸過程中存在著不安全因素。
站點到站點的內聯網,能夠有效的解決企業內聯網結構、傳輸、連接在安全這一方面存在的問題,站點到站點的內聯網結構示意圖,如圖2所示。
VPN網關,處于公共網絡與企業專用網絡的交界處,站點到站點的內聯網對數據信息通信進行加密,通過Internet將數據信息傳輸到相關的VPN網關中。站點到站點的內聯網在接收到Internet所傳輸的數據信息已被加密,然后通過將數據信息傳輸到VPN網關對數據信息進行解密,接著傳輸到企業的內部網絡中。站點與站點的內聯網在傳輸數據信息時,不需要專用的私有線路,而且還能夠使VPN變得非常的靈活。
3.3 VPN技術應用的實例
VPN技術在宜春供水有限公司中的應用,圖3是宜春供水有限公司中VPN網絡結構圖。
VPN技術在宜春供水有限公司中的應用,取代了宜春供水有限公司內部中傳統的專線網絡,VPN技術的應用極大的增強了宜春供水有限公司在利用網絡進行數據信息傳遞時的安全性,有效的節約了宜春供水有限公司在網絡信息數據傳輸這一方面的資金成本,在總體上為公司節省了85%左右的信息數據通訊的資金成本,而且只需要普通寬帶就能夠實現。
4 結束語
虛擬專用網技術在企業應用計算機網絡的過程中有著重要的作用,企業采用VPN這一技術,能夠有效的保障計算機網絡的安全性、可靠性、經濟性,能夠確保企業中的一些重要的私密性文件在通過網絡進行傳輸時的安全。
參考文獻:
[1] 浦兜,陳依群,曾鴻文.虛擬專用網絡(VPN)信息加密技術研究[J].電訊技術,2010(17).
[2] 束坤,凳國新.基于計算機網絡的VPN技術[J].計算機應用,2008(11).
第5篇:vpn技術范文
關鍵詞:VPN技術;隧道;優化
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)06-0034-03
1概述
VPN(Virtual Private Network),即虛擬專用網,它是利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并能提供與專用網絡一樣的安全和功能保障。[1]由于通過VPN技術可以實現資源的傳輸和共享,并實現了網絡環境的穩定和安全。因此,它得到了積極的推廣和應用。但其在應用過程中,隨著分支機構辦公人員數量以及需求不斷增加,多帶寬使用率的要求也越來越高,導致分支用戶業務使用不便,同時專線vpn對于移動辦公人員和各辦事處人員訪問公司的系統不能更好的支持。因此,對其進行優化也顯得十分必要。
2 VPN的應用
2.1 VPN的實現原理
VPN技術并不依靠物理上的端到端的專用連接,即沒有固定的物理連接,它是利用Internet、ATM等公用網絡設施,在兩臺直接與公網連接的計算機之間建立一條專用通道,建立起虛擬的專用通路,并利用隧道技術對數據進行封裝,使數據在具有認證和加密機制的隧道中穿越,從而實現點到點或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個雙方協商好的協議進行,這樣在兩個私有網絡之間建立VPN通道將需要一個專門的過程,依賴于一系列不同的協議。這些設備和相關的設備及協議組成了一個VPN系統。一個完整的VPN系統一般包括3個單元:VPN服務器端、VPN客戶端機和VPN數據通道。
2.2 VPN 的實現
要實現VPN連接,企業內部網絡中必需配置一臺VPN內網接入設備,該設備有雙網卡,它一方面連接企業內部網絡,另一方面連接到Internet,即VPN服務器必須有一個公用的IP地址。VPN 使用三個方面的技術保證了通信的安全性:隧道協議、身份驗證和數據加密。遠程用戶使用時根本無需關心隧道的建立、數據加密、用戶認證等過程。[3]遠程用戶采用TCP/IP 協議,選擇建立虛擬隧道,并保持原有的網絡結構、網絡資源和應用模式不變,以便實現快捷、廉價、保密的通信。
2.3 VPN的應用場景
VPN的應用場景分可分為3種:
1)站點到站點或者網關到網關:在不同的地方分支,各使用一個網關相互建立VPN隧道,企業內網(若干PC)之間的數據則通過這些網關建立的IPSec隧道實現安全互聯。
2)端到端或者PC到PC:兩臺PC之間的通信由兩臺PC之間的IPSec進行會話保護,而并不是網關。
3)端到站點或者PC到網關:兩臺PC之間的通信由網關和異地PC之間的IPSec進行保護。VPN只是IPSec的一種應用方式,它的目的是為IP提供高安全性特性,VPN則是在實現這種安全特性的方式下產生的解決方案。[4]
3 VPN的優化
3.1 優化方案設計
本方案主要是在總部和分支各部署一臺深信服(SANGFOR)加速設備,對現有專線數據傳輸進行優化。SANGFOR VPN設備支持多種加密算法、硬件證書認證、移動客戶端專線功能,能保障用戶訪問安全和數據傳輸安全。
具體方案如下:
1)通過SANGFOR設備對專線線路重復冗余的數據進行刪減、壓縮,以減少數據傳輸量,提高分支機構和總部之間響應速度;
第6篇:vpn技術范文
關鍵詞:虛擬專用網SSLMPLSIPSec
Comparison and Analysis of Mainstream VPN Technologies
LI Hong-Jun
(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)
Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.
Keywords: Virtual Private Network; SSL; MPLS; IPSec
VPN(Virtual Private Network,虛擬專用網)是指將在物理上分布于不同區域的網絡通過公用骨干網絡連接成的邏輯上的虛擬子網, 它采用數據加密技術、身份認證技術、隧道技術和密鑰管理技術等關鍵技術實施通信保護,防止通信信息被泄露、篡改和復制。
當前,隨著VPN技術的日趨成熟,已經有越來越多的企業和機構采用VPN技術來構建自己的虛擬專用網絡以達到靈活擴展自身內部網絡、連接跨區域分支網絡等目的。與傳統的物理專用網絡相比,VPN具有組網成本低、通信安全、管理方便、擴展性強、可靠的服務質量(QoS)等特點。
按照實現技術的不同,VPN可分為 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與 SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術的VPN與基于IPSec協議及SSL協議的VPN是目前應用最為廣泛的三種VPN 解決方案。
下面分別對這三種技術進行比較與分析。
1 IPSec VPN與MPLS VPN及SSL VPN的工作原理
1.1 IPSec VPN
IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規范,它提供私有信息通過公用網的安全保障。IPSec組件包括安全協議認證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯盟( SA)及加密和驗證算法等。IPSec是在網絡層實現數據加密和驗證,提供端到端的網絡安全方案,可以提供訪問控制、數據源的驗證、無連接數據的完整性驗證、數據內容的機密性、抗重防保護以及有限的數據流機密性保證等服務[1 ]。
IPSec協議為IPv4與IPv6提供可互操作的、高質量的、基于加密體制的安全方案。它包括訪問控制、無連接的完整性、數據源認證、防止重播攻擊、信息加密與流量保密等安全服務。所有這些服務都建立在IP層,并保護上層的協議。這些服務通過使用兩個安全協議:認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過使用加密密鑰管理過程和協議來實現。
IPSec VPN是一項成熟的技術,目前有許多基于硬件的解決方案來保障它的高性能,是遠程辦公室點對點互聯的優選方案。
1.2 MPLS VPN
MPLS (Multi-Protocol Label Switching,多協議標簽交換)是由Cisco提出的新一代IP骨干網絡交換標準,介于第二層和第三層之間的交換技術,所以它既可以兼容多種鏈路層技術,又能支持多種網絡層的協議,實現了邊緣的路由和核心的交換[2 ]。
MPLS VPN是一種基于MPLS技術的VPN,在網絡路由與交換設備上使用MPLS技術,應用標簽交換,通過LSP將私有網絡的不同分支聯結起來,并結合傳統的路由技術,適用于多點到多點的連接。MPLS作為骨干網絡的一種路由轉發的新模式,必須由LSR(Label Switch Router,標簽交換路由器)構建,普通路由器無法完成。如果網絡規模比較大,則可能需要較多的LSR。
1.3 SSL VPN
SSL(Secure Socket Layer,安全套接層)協議是由網景(Netscape)公司提出的基于Web的安全協議,它是一種在Internet上保證發送信息安全的通用協議,處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了一種在應用程序協議(如 HTTP、Telnet、SMTP和FTP等)與TCP/IP協議之間進行數據交換的安全機制,為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證[3]。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機與服務器間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。盡管SSL 協議并非為實現VPN而設計,但SSL對VPN實現所需的數據加密、身份認證與密鑰管理等關鍵技術提供了良好的支持。
SSL VPN是工作在應用層(基于HTTP協議)與TCP層之間的,能夠提供安全的遠程接入[4]。SSL VPN利用瀏覽器內建的安全套接層(SSL)封包處理功能,通過瀏覽器連回公司內部的SSL VPN服務器,然后通過網絡封包轉向的方式,令客戶可以在遠程計算機執行應用程序,讀取公司內部服務器數據。SSL VPN采用標準的安全套接層(SSL)對傳輸中的數據包進行加密,從而在應用層保護了數據的安全性。通過 SSL VPN可以實現遠程訪問企業內部網絡的構架。
2 IPSec VPN、MPLS VPN與SSL VPN的比較及分析
2.1安全性比較與分析
IPSec VPN[5]采用了對稱式(Symmetric)與非對稱式(Asymmetric)的加密算法以及摘要算法等,通過身份認證、數據加密、數據完整性校驗等多種方式保證了接入的安全性、數據的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來抗攻擊與標記欺騙,但它并沒有解決所有管理型的共享網絡普遍存在的非法訪問受保護的網絡元、錯誤配置以及內部攻擊等安全問題。MPLS本身并未提供加密與驗證的安全功能,它可以集成IPSec協議以提供安全保護。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對稱式與非對稱式的加密算法執行加密作業,其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
2.2 認證方式與管理的比較及分析
IPSec[6]采用了因特網密鑰交換(Internet Key Exchange)方式,使用數字憑證(Digital Certificate)或者一組Secret Key做認證。對于IPSec VPN,由于一個新用戶節點的增加、刪除或修改均需要重新設置現有的所有節點,并在客戶端安裝復雜的軟件及配置。另外,IPSec VPN對客戶端采用的操作系統也具有較高的要求,不同的終端操作系統需要不同的客戶端軟件,其易管理性差。SSL僅能使用數字憑證,若都采用數字憑證來認證,SSL與IPSec在認證的安全等級上則沒有太大的差別。大多數廠商對SSL的認證均會建置硬件令牌(Token)以提升認證的安全性。在實際作業時,大多數人均在整個網段(Subset)上進行開發以避免太多的設定所帶來的麻煩。SSL可以設定不同的使用者以執行不同的應用系統,另外瀏覽器中也內置了SSL協議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設定上比IPSec 簡單方便得多,便于管理。對于MPLS VPN[7],由于在同一VPN的成員之間不需要建立與維護連接,若有新成員加入,ISP僅需要告知用戶端的設備如何與網絡連接,并配置PE來識別來自CE的VPN成員,BGP便會自動更新相關配置,用戶不需要手動升級或改變自己的邊緣設備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。
2.3 成本的比較
MPLS VPN對于用戶而言,其一次性投入的成本較低,但長期投入的資金比較高。對于IPSec VPN,在實施IPSec方案時不僅需要人工發放認證的材料,用戶還需要知道所使用的加密和認證算法,內網路由配置等諸多繁瑣事宜,還需要預裝客戶端軟件等。這些不便在大規模實施過程中給用戶帶來了難以負擔的工作量和費用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因為瀏覽器內置了SSL協議,其投入的成本最少。
3 結語
通過上述比較分析可看出,三種VPN技術各具特色,互有長短。IPSec VPN與SSL VPN這兩種VPN架構,從整體的安全等級來看,它們均能提供安全的遠程登入存取聯機。但SSL VPN在其易用性及安全層級上,均比IPSec VPN高。由于Internet的快速擴展,針對遠程安全登入的需求也日益增加。因此,在實際選擇VPN 時,應根據實際需求,可以某種VPN技術為主,結合其他技術,充分發揮它們各自的優勢,讓VPN網絡為企業和員工提供更好的服務。
參考文獻
[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁國忠譯.IPSec VPN設計[M].北京:人民郵電出版社,2006.
[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.盧澤新, 朱培棟,齊寧譯.MPLS和VPN體系結構(第二卷) [M].北京:人民郵電出版社,2004.
[3] 馬軍鋒.SSL VPN 技術原理及其應用[J].電信網技術,2005,(8):6~8.
[4] 伍轉華.三種基于不同協議的VPN技術研究與分析[J].科技咨詢,2007.
[5] 王春燕.VPN介紹及其安全性問題探討[J].中國新通信,2008.
[6] 易光華,傅光軒,周錦順.MPLS VPN、IPSec VPN和SSL VPN技術的研究與比較[J].貴州科學,2007,(2).
第7篇:vpn技術范文
關鍵詞:校園網IPv6VPN安全性
1 概述
目前,隨著我國信息網絡建設的飛速發展,高校也進行了較大規模的數字化建設,并形成了完善的校園網絡基礎平臺。我國一些重點高校更是構建了基于IPv6的校園網,用于組建下一代科研教育骨干網(CERNET 2),為未來IPv6網絡的應用打下基礎。但該技術的使用大多停留在實驗測試階段,其安全性問題凸顯的不夠明顯。隨著“云概念”的提出,IPv6的應用也是迫在眉睫。如何解決IPv6的安全問題成為了近年研究的熱點之一。
2 IPv6技術存在的問題
現在我國的IPv6技術仍處于發展階段,很多方面還不成熟,很多實踐過程中遇到的部署和應用問題還有待解決。如大多數高校原來使用基于IPv4的網絡,如果要把它全部換成即可運行IPv4又能運行IPV6的雙棧網絡,就要把原有的網絡設備全部更新換代。這個一方面投資太大,另一方面造成了資源浪費。
2.1 過渡時期的安全漏洞 網絡在由IPv4向IPv6的過渡時中出現了一些安全漏洞。如果攻擊者想要建立從IPv6到IPv4的隧道,只需要用安裝了雙棧的IPv6主機就可以繞過防火墻進行攻擊了。對于校園網用戶來講也面臨著這些問題,其中最重要的是在當前的校園網搭建上怎么樣來保證IPv6 孤島之間的通信安全。
2.2 IPv6網絡協議自身局限 IPv6網絡協議本身還有待于完善,其目前還很難來實現嚴格意義上的用戶限制功能。它與IPv4的防火墻、漏洞掃描、網絡過濾、VPN、IDS、防病毒網關等聯合的安全體系還存在著較大的差距。
2.3 實踐中的安全隱患 無狀態地址自動配置使得合法網絡用戶在使用IPv6 網絡時相當方便,但是它在同時也引入了安全隱患,因為協議自身就認為所有的可以自動配置的節點都是合法節點,并且能夠即插即用地接入到本地網絡中來。所以,攻擊者就可以利用這一特性對用戶信息進行監控甚至是篡改。
2.4 自身組成部分的不嚴密 ICMPv6是IPv6的重要組成部分,但是它能夠被利用來發動拒絕服務攻擊,利用ICMPv6能夠冒充其它節點來產生惡意消息(不可達目的、超時、參數替換等),從而來影響正常的通信交流。
2.5 協議的保密性差 攻擊者可以通過利用網絡鄰居發現協議,然后發送錯誤路由器宣告、錯誤重定向消息等,讓數據包通向不確定目的地,進而達到產生拒絕服務、攔截與修改數據包的目的。
3 IPv6校園網絡的安全性問題
3.1 校園網帶寬高和規模大 高校學生一般計較集中,因而用戶群比較密集。由于高帶寬和大用戶量的特點,網絡安全問題蔓延快,影響比較嚴重。
3.2 網絡環境的開放性 受教學和科研特點的影響使校園網絡環境應該是開放的、管理也是較為寬松的。如果實施過多的限制,一些新的應用很難在校園網內部實施。
3.3 管理的不足 在校園網管理方面,一般只有網絡中心的少數工作人員,他們負責維護網絡的正常運行,無暇顧及數千臺計算機的安全。
3.4 實施困難 IPv6最重要的安全性體現是將IPSec作為強制標準實施,保證了網際層數據的保密性和完整性。但是大規模部署IPSec所依賴的PKI在IPv6網絡上存在難度,因此IPSec的實施還有困難。
4 VPN技術的優勢
4.1 VPN的出現能夠讓校園網能夠通過Internet安全可靠、經濟有效地來傳輸機密信息,可以保證IP數據包在公網傳輸過程中不會受到來自其它用戶的網絡竊聽、修改等安全威脅。目前,在IPv6校園網環境中可以使用的VPN安全隧道協議有鏈路層的PPTP、L2TP協議,SSL協議和網絡層的IPSec協議。其中IPSec是VPN使用最多的安全協議,憑借其高水平的標準性、易用性以及高安全性等優點成為了目前VPN 安全隧道技術的主流。
4.2 在VPN 的實現中可以具有如下主要作用:
4.2.1 遠程用戶可以通過透明地撥號上網來訪問內網,IP隧道可以任意調整任何形式的有效負載。
4.2.2 隧道可以利用封裝技術,對多個用戶、多個不同形式的有效負載進行調整。
4.2.2 當使用隧道技術訪問內網時,內網不會將其IP 地址報告給公網。
4.2.3 隧道技術可以對是否濾掉接收者,或對個人隧道連接進行報告進行選擇,自主性較強。
5 VPN在IPv6校園網中的部署
目前,高校大多的校園網屬于那種典型的三層結構,即核心層、匯聚層與接入層。主要的應用有:部門之間的互連;信息服務;遠程訪問;內部信息的保密和安全等方面。
由于匯聚設備很大一部分是不支持IPv6協議的老舊設備,所以IPv6協議不能夠通過路由到達核心交換機。一些高校的部分新建樓棟采用的是支持IPv6協議的三層匯聚交換機,是通過光纖直接接入核心交換機的。結合高校校園網的具體情況,從而可以有以下幾種改善建設思路。
5.1 Access VPN實現異地訪問 Access VPN是遠程的方式,具體是首先通過配置VPN服務器,使之能接受客戶用戶的VPN 撥入,同時在服務器端配置VPN 用戶,給予用戶撥入的權限;其次是配置VPN 客戶端,在客戶端建立VPN 連接。在客戶機連入Internt 后,就可以進行VPN 連接撥入,在客戶機和遠端VPN 服務器之間建立點對點連接。
Access VPN的應用,使單機遠程移動用戶隨時隨地以各種方式接入Internet,安全地訪問校園網的資源。實質上是對校園網的延伸,教職工可以打破傳統的固定辦公模式,將辦公地點延伸到家庭或出差地,實現異地辦公。同時Access VPN 也能保證教職工用戶端和校園網VPN 服務器之間數據信息傳輸安全。
5.2 應用Intranet VPN實現多個校區局域網互聯 在眾多隧道技術中,IPSec VPN是使用最為廣泛的一種,其在實現通信的兩端提供安全的傳輸隧道。該方法定義了哪些數據包應受到保護,該被放在安全隧道中傳輸。通過標識隧道的安全屬性,可以定義用于保護這些敏感數據的安全參數。更精確地說,這些安全的數據傳輸隧道是建立在兩個IPSec對端的一系列SA上,這些SA參數定義了哪些協議和算法可以被應用到敏感數據、IPSec對端應用的密鑰等。IPSec的實現是靠兩個對端維持的,實際上是一種端到端的安全實現;從技術的角度上說,在端到端客戶的路由器上實現是最安全合理的方式,中間的路由器不需要做相應設置。因此IPSec實現的是一種與接入網絡無關的VPN技術。
6 結論
目前IPv6網絡已經進入到全面部署時期,在以IPv6協議為主的CERNET2上進行應用與科研是總的發展趨勢。在IPv6協議下構建基于VPN的校園網還需要考慮綜合的安全措施,如與入侵檢測、防火墻等設備的結合使用。從而形成一種混合技術,構建安全的校園網絡和完美的VPN。
參考文獻:
[1]王宇杰,楊志軍.《下一代校園網建設進入新階段(一)》.北京交通大學.中國教育和科研計算機網,2010.
[2]時晨,申普兵等.IPv6校園網環境下IPSecVPN的安全性研究[J]計算機技術與發展,2010,20(10):168-170.
第8篇:vpn技術范文
[關鍵詞]VPN技術;MPLS VPN技術;內部網絡;構建策略
中圖分類號:TP393.1 文獻標識碼:A 文章編號:1009-914X(2015)06-0089-02
引言
VPN技術又稱遠程訪問技術或虛擬專用網絡技術,主要是指利用公用網絡架設專用網絡,進行加密通訊的一種技術。VPN技術按照協議可分類為多種方式,并通過服務器、硬件、軟件等來實現。由于VPN技術具有的經濟性、實用性、簡單性等特點,使其在企業網絡中的應用十分廣泛。
1.VPN技術的概述
VPN技術被定義為通過一個公用網絡,建立起一個安全、臨時的連接,該技術是對企業內部網的擴展,其可以幫助異地用戶、商業伙伴、供應商、公司分支機構同公司的內部網建立起可信的安全連接,保證數據的安全傳輸。VPN技術主要的優點體現在三方面:一,VPN技術可以省去專線租用費用或長距離電話費用,進而有效地降低了成本;二,VPN技術可以充分地利用internet公網資源,快速地建立起公司的廣域連接;三,VPN技術可以對所有數據進行加密,以此確保數據信息的安全性與保密性,使沒有訪問權利的用戶無法看到企業的局域網絡。
2.VPN技術構建企業內部網絡的技術基礎與安全要素
2.1 VPN技術基礎
實現一個完整、系統的VPN技術,主要基礎技術包括密碼技術、隧道技術、網絡訪問控制技術等。⑴密碼技術。密碼技術作為VPN技術中的一項基本技術,也是所有通信數據安全的基石,是保證信息機密性的唯一方法。通過對網絡的加密,防止非授權用戶的搭線竊聽以及入網行為,有效對抗惡意軟件,最終起到以最小代價提供最強安全保護的效果。密碼技術又可根據算法分為非對稱密鑰密碼算法與對稱密鑰密碼算法兩種,在應用中根據實際情況選擇最適宜的一種。
⑵隧道技術。受到Internet網絡中IP地址資源短缺的影響,企業內部網絡使用多屬于私有IP地址,但是從這些地址發出的數據包卻不能直接通過Internet傳輸,必須代之合法的IP地址。而隧道技術便是將這種私有IP地址轉換成為合法IP地址的技術。隧道技術又稱之為數據包封裝技術,發生在VPN的發送節點,通過將原數據包打包,添加合法的外層IP包頭,然后這個包再通過公網被傳送到接收端的VPN節點,該節點在接收后通過拆包處理,還原出原報文中傳輸給目標主機。從現狀來看,幾乎所有的VPN技術采用了隧道技術[1]。
⑶網絡訪問控制技術。網絡訪問控制技術主要起到對出入廣域網的數據包進行過濾的作用,一個系統的VPN產品,應該同時提供完整的網絡訪問控制功能,才能保證系統的性能、安全性以及統一管理。
2.2 VPN技術的安全要素
采用VPN技術構建企業內部網絡時,應該具備如下幾點安全要素:一,使用偷聽者無法破解攔截的通道數據,提供有效的加密手段,保證系統通道的安全性與機密性;二,VPN技術要有抵抗不法分子篡改數據的功能,接收到的數據必須要與發送時的數據一致,必須保證數據的完整性與有效性;三,通信主機必須經過授權,要有抵抗地址假冒的功能,確保數據的真實性;四,可提供安全、有效的訪問控制與防護措施,可以對VPN通道進行訪問控制,同時也起到抵抗黑客通過VPN通道攻擊網絡的能力。
3.基于VPN技術的內部網絡構建
文章以西北空管局為例,分析在H3C路由器應用下,基于VPN技術的內部網絡構建對策。
3.1 VPN基本組網應用
就以某企業為例,基于VPN建立的企業內部網見圖1所示:
上述可見,企業內部資源享用者利用PSTN/ISDN網或局域網連入本地ISP的POP服務器,以此來訪問到公司內部資源。
3.2 L2TP協議配置
⑴VPDN指通過PSTN、ISDN等公共網絡的撥號功能及接入網,實現虛擬專用網,為企業提供接入服務。VPDN主要有兩種實現方式,包括:NAS通過隧道協議與VPDN網關建立通道的方式、客戶機與VPDN網關建立隧道的方式。而VPDN隧道協議又分為L2F、L2TP、PPTP三種,由于L2TP協義所具有的多協議傳輸、高度的安全性與可靠性、靈活的身份驗證、支持內部地址分配、網絡計費的靈活性等特點,使得該協議的應用最為普遍。L2TP隧道模式有兩種最為典型:1.由遠程撥號用戶發起。遠程系統和PSTN/ISDN撥入LAC,LAC通過Internet向LNS發起建立通道連接的請求;2.由LAC客戶發起。LAC客戶也可直接向LNS發起通道連接請求,由LNS來完成LAC客戶的分配[2]。
⑵PPP用戶通過接入認證后,EAD服務器便會對其進行安全認證,若是認證通過,用戶便可正常訪問網絡資源,但若認證不通過,用戶便只能訪問隔離區資源。L2TP配置分為LAC端配置與LNS端配置兩種,具體配置可根據詳細說明書參閱。值得注意的是,在實際配置中,一臺設備可以同時配置為LAC側與LNS側,但它們所使用的用戶名不能相同。
⑶L2TP的呼叫可以由NAS主動發起,也可通過客戶端來發起,現作舉例說明:其一,NAS-Initialized VPN。用戶先以普通上網方式進行撥號上網,在接入NAS處對此用戶進行驗證,發現是VPN用戶時由NAS向LNS發起隧道連接的請求;NAS與LNS隧道建立后,NAS將與VPN用戶協商的內容以報文形式傳給LNS,LNS根據預協商決定是否接受此連接,用戶與公司總部間的通信均通過NAS與LNA之間隧道傳輸。其二,Client-Initialized VPN。用戶連接Internet后直接向LNS發起Tunnel連接請求,LNS接受連接請求后,VPN用戶便與LNS間建立了一條虛擬Tunnel,用戶與公司總部間通信均可通過該通道進行傳輸。
3.3 DVPN
DVPN動態虛擬私有網絡技術通過動態獲取對端的信息建立VPN連接,在網絡中用以構建DVPN動態虛擬私用網絡的路由器設備,所有支持DVPN特性的路由器都可以作為DVPN接入設備。DVPN采用Client/Server模式,對于同一個DVPN域的N個接入設備,均要設置成一個Server工作方式,其他可設置為Client方式。當Client到Server注冊成功以后,Client與Server之間便可自動建立起Session隧道。網絡運行中,Server根據需要,向Client發送Redirect報文,Client接收到重定向報文后,從中得到其他Client信息,并在Client之間建立Session隧道,最終實現DVPN域中的全連接[3]。
4.MPLS VPN技術介紹
MPLS-VPN是指采用MPLS(多協議標記轉換)技術在骨干的寬帶IP網絡上構建企業IP專網,實現跨地域、安全、高速、可靠的數據、語音、圖像多業務通信,并結合差別服務、流量工程等相關技術,將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全 、靈活、高效結合在一起。
MPLS VPN的網絡采用標簽交換,一個標簽對應一個用戶數據流,非常易于用戶間數據的隔離,利用區分服務體系可以輕易地解決困擾傳統IP網絡的QoS/CoS問題,MPLS自身提供流量工程的能力,可以最大限度地優化配置網絡資源,自動快速修復網絡故障,提供高可用性和高可靠性。MPLS提供了電信、計算機、有線電視網絡三網融合的基礎,除了ATM,是目前唯一可以提供高質量的數據、語音和視頻相融合的多業務傳送、包交換的網絡平臺。因此基于MPLS技術的MPLS VPN,在靈活性、擴展性、安全性各個方面是當前技術最先進的VPN。此外,MPLS VPN提供靈活的策略控制,可以滿足不同用戶的特殊要求,快速實現增值服務(VAS),在帶寬價格比、性能價格比上,相比其他廣域VPN也具有較大的優勢。
MPLSVPN網絡主要由CE、PE和P等3部分組成:
CE(Customer Edge Router)用戶網絡邊緣路由器設備,直接與服務提供商網絡相連,它“感知”不到VPN的存在;
PE(Provider Edge Router)服務提供商邊緣路由器設備,與用戶的CE直接相連,負責VPN業務接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實現者;
P(Provider Router)服務提供商核心路由器設備,負責快速轉發數據,不與CE直接相連。如圖2
在整個MPLS VPN中,P、PE設備需要支持MPLS的基本功能,CE設備不必支持MPLS。
5.結束語
基于VPN技術建立的企業內部網絡,具有安全性高、成本造價低、擴展性佳、可支持動態分配IP等諸多特點,已成為各企業必不可少的網絡構建方式。而MPLS VPN技術是基于VPN技術上延伸出的一種更加適應各個企業的網絡技術,有VPN技術提供安全保障,又引申出了適應多種業務的傳輸交換協議。
參考文獻
[1] 李淑梅.中小企業基于IPSec VPN的網絡構建[J].現代計算機,2011,9(9):99-101.
第9篇:vpn技術范文
關鍵詞:校園網 VPN技術 虛擬專用網 隧道技術 公共網絡
隨著網絡技術和教學模式的日新月異,廣大師生要求隨時隨地訪問校園網上的內部資源,這就意味著校園內部網絡暴露在可被攻擊的環境下,所以需要提供一種安全接入機制來保障通信以及敏感信息的安全。虛擬專用網(VPN,Virtnal Private Network)的出現,為當今學校發展所需的網絡通信提供了一種經濟安全的實現途徑。
1.VPN的概述
VPN(Virtual Private Network,虛擬專用網),它不是一個真正的專用網絡,而是通過一個公用網絡建立一個臨時的、安全的、穩定的隧道,并且所有數據均經過加密后再在網上傳輸,通過使用這條隧道可以確保數據的機密性并且具有一定的訪問控制功能。它兼備了公網的便捷和專用網的安全,實現了利用公網通過加密等手段來實現單位組織的“專用網”,而成本卻遠遠低于傳統的專線接入。
2.VPN的安全保證技術
由于VPN連接的特點,私有網絡的數據要在公用網絡上傳輸,考慮到數據的安全性,一般要對傳輸的數據先進行加密操作。VPN主要采用的四項安全保證技術包括:隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術來保證數據的安全性。這些技術可應用在TCP/IP協議層的數據鏈路層、IP層、TCP層和應用層。
隧道技術(Tunneling)是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網絡。通過隧道的建立可實現:將數據流強制送到特定的地址;隱藏私有的網絡地址;在IP網上傳遞非IP數據包;提供數據安全支持。
加解密技術包括兩個元素:算法和密鑰。現在比較通用的是密鑰加密技術。密鑰加密技術對數據加密的技術又分為兩類,即對稱加密(私人密鑰加密)和非對稱加密。對稱加密的特點是文件加密和解密使用相同的密鑰。非對稱加密算法需要兩個密鑰:公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密鑰才能解密。
3.VPN的網絡協議
常用的VPN網絡協議:
PPTP:Point to Point Tunneling Protocol,點到點隧道協議。它只能在兩端點間建立單一隧道,不支持隧道驗證。
L2TP: dyer 2 Tunneling Protocol,第二層隧道協議。支持在兩端點間使用多隧道,可以提供隧道驗證。
GRE:VPN的第三層隧道協議。定義了在任意一種網絡層協議上封裝任意一個其它網絡層協議的協議。
IPSec:IP Security,網絡協議安全,屬于第三層隧道協議,它不是一個單獨的協議,而是一個協議族,即一系列相互關聯的協議,它給出了應用于IP層上網絡數據安全的一整套體系結構,是保護IP協議安全通信的標準,它主要對IP協議分組進行加密和認證。IPsec作為一個協議族,主要由保護分組流的協議和用來建立這些安全分組流的密鑰交換協議組成。
目前,市場上大部分VPN都采用將L2TP和IPSec結合起來這類技術,即用L2TP作為隧道協議,用IP-Sec協議保護數據。它的優點是定義了一套用于保護私有性和完整性的標準協議,可確保運行在TCPIIP協議上VPN之間的互操作性。缺點在于,除了包過濾外,它沒有指定其他訪問控制方法,對于采用NAT{網絡地址翻譯)方式訪問網絡的情況難以處理,為此最適合于可信LAN到LAN之間VPN的場合應用。
SSL:Secure Socket Layer,安全套接字層,是第四層隧道協議,屬于高層安全機制,廣泛應用于Web瀏覽器程序和Web服務器程序。在SSL中,身份認證是基于證書的,服務器方向請求的客戶方的認證是必須的,現在逐漸得到廣泛的應用。
4.VPN技術在數字化校園中的應用
VPN技術是采用隧道技術以及加密、身份認證等方法,在Internet上構建專用網絡的技術,數據信息通過安全的“加密管道”便能在Internet中傳播。VPN技術大致可以分三種模式組建網絡,遠程接入、網絡互聯和內部安全。
①遠程訪問
VPN的遠程訪問解決方案,充分利用了公共基礎設施和ISP(Internet Service Provider,互聯網服務提供商),遠程用戶通過ISP接入Internet,連接與Internet相連的校園網VPN服務器,來訪問位于VPN服務器后面的內部網絡。這樣,遠程客戶到校園內部網的通信就是本地網內通信,雖然Internet不夠安全,但是由于采用加密技術,遠程客戶到VPN服務器之間的連接是安全的。
②遠程網絡互聯
校園網與家庭、學校與學校之間的網絡互聯,采用這種專線連接方式實現網絡遠程互聯。這種專用隧道連接方式連接可靠,速度有保障,便于擴展,而且有較高的性價比。網絡互聯是最主要的VPN應用模式。
③網絡內部安全
隨著數字化校園的建設,內網的安全性越來越受到重視,對一些關鍵的應用系統之間要進行隔離,實現訪問控制。VPN可建立內部專用隧道,實現安全保密通信,從而組建更為專業的保密網絡。
5 結語
VPN是在公共網絡上構建專有網絡的技術,將VPN技術應用于校園網,可以突破校園網的地域性限制從而優化校園網的管理和應用。隨著VPN技術的成熟,因其具有廉價、安全、可靠的特點,而被廣泛的應用在遠程訪問和網絡互聯上。它能夠幫助遠程用戶、各級部門建立可靠的安全連接,并保證數據的安全傳輸。VPN網絡建成以后,大大降低了網絡復雜度,簡化了校園網的網絡管理,提高了整個校園網的互聯性。
參考文獻:
[1]魏廣科, VPN技術及其應用的研究[J], 計算機工程與設計,2005