公務(wù)員期刊網(wǎng) 精選范文 vpn技術(shù)范文

vpn技術(shù)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的vpn技術(shù)主題范文,僅供參考,歡迎閱讀并收藏。

vpn技術(shù)

第1篇:vpn技術(shù)范文

【關(guān)鍵詞】SSL vpn;IPSEC VPN;網(wǎng)絡(luò)安全

【中圖分類號】TN711

【文獻(xiàn)標(biāo)識碼】A

【文章編號】1672-5158(2012)12-0004-01

一、SSL VPN的基本學(xué)術(shù)概念

1.1 什么是SSL VPN

SSL(Secure Sockets Layer)是一種Intemet數(shù)據(jù)安全協(xié)議。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。VPN(Virtual Private Network虛擬專用網(wǎng)絡(luò)),可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng),被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是Internet)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

SSL VPN就是指應(yīng)用層的vpn,它是基于https來訪問受保護(hù)的應(yīng)用。目前常見的SSL VPN方案有兩種方式:直路方式和旁路方式。直路方式中,當(dāng)客戶端需要訪問一臺應(yīng)用服務(wù)器時(shí):首先,客戶端和SSL VPN網(wǎng)關(guān)通過證書互相驗(yàn)證雙方;其次,客戶端和SSL VPN網(wǎng)關(guān)之間建立ssl通道;然后,SSL VPN網(wǎng)關(guān)作為客戶端的和應(yīng)用服務(wù)器之間建立tcp連接,在客戶端和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式和直路不同的是:為了減輕在進(jìn)行ssl加解密時(shí)的運(yùn)行負(fù)擔(dān),也可以獨(dú)立出ssl加速設(shè)備,在SSL VPN server接收到https請求時(shí),將ssl加密的過程交給ssl加速設(shè)備來處理,當(dāng)ssl加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSL VPN server。

1.2 SSL VPN的特性

保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。由于使用的是Ssl協(xié)議,該協(xié)議是介于http層及tcp層的平安協(xié)議,傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSL VPN通過設(shè)置不同級別的用戶和不同級別的權(quán)限來屏蔽非授權(quán)用戶的訪問。用戶的設(shè)置可以有設(shè)置帳戶、使用證書、radius機(jī)制等不同的方式。ssl數(shù)據(jù)加密的平安性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡(luò)中的數(shù)據(jù),就要能夠解開這些加密算法后的數(shù)據(jù)包。

完整性就是對抗對手主動攻擊,防止信息被未經(jīng)授權(quán)的篡改。由于SSL VPN一般在gateway上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權(quán)外部訪問的內(nèi)部應(yīng)用注冊到SSL VPN上。這樣對于gateway來講,需要開通443這樣的端口到ssl vpn即可,而不需要開通所有內(nèi)部的應(yīng)用的端口。假如有黑客發(fā)起攻擊也只能到SSL VPN這里,攻擊不到內(nèi)部的實(shí)際應(yīng)用。

可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。前面已經(jīng)提到,對于SSL VPN要保護(hù)的后臺應(yīng)用,可以為其設(shè)置不同的級別,只有相應(yīng)級別的用戶才可以訪問到其對應(yīng)級別的資源,從而保證了信息的可用性。

可控性就是對信息及信息系統(tǒng)實(shí)施平安監(jiān)控。SSL VPN作為一個(gè)平安的訪問連接建立工具,所有的訪問信息都要經(jīng)過這個(gè)網(wǎng)關(guān),所以記錄日志對于網(wǎng)關(guān)來說非常重要。不僅要記錄日志,還要提供完善的超強(qiáng)的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對信息系統(tǒng)實(shí)施監(jiān)控。

二、SSL VPN的優(yōu)勢

2.1 零客戶端

客戶端的區(qū)別是SSL VPN最大的優(yōu)勢。瀏覽器內(nèi)嵌了ssl協(xié)議,所以預(yù)先安裝了web瀏覽器的客戶機(jī)可以隨時(shí)作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠(yuǎn)程訪問的用戶可以為遠(yuǎn)程員工、客戶、合作伙伴及供給商等。通過SSL VPN,客戶端可以在任何時(shí)間任何地點(diǎn)對應(yīng)用資源進(jìn)行訪問。也就是說是基于b/s結(jié)構(gòu)的業(yè)務(wù)時(shí),可以直接使用瀏覽器完成ssl的vpn建立;而IPSEC VPN只答應(yīng)已經(jīng)定義好的客戶端進(jìn)行訪問,所以它更適用于企業(yè)內(nèi)部。

2.2 平安性

SSL VPN的平安性前面已經(jīng)討論過,和IPSEC VPN相比較,SSL VPN在防病毒和防火墻方面有它特有的優(yōu)勢。

一般企業(yè)在Internet聯(lián)機(jī)入口,都是采取適當(dāng)?shù)姆蓝緜蓽y辦法。不論是IPSEC VPN或SSL VPN聯(lián)機(jī),對于人口的病毒偵測效果是相同的,但是比較從遠(yuǎn)程客戶端入侵的可能性,就會有所差別。采用IPSEC VPN聯(lián)機(jī),若是客戶端電腦遭到病毒感染,這個(gè)病毒就有機(jī)會感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺電腦。而對于SSL VPN的聯(lián)機(jī),病毒傳播會局限于這臺主機(jī),而且這個(gè)病毒必須是針對應(yīng)用系統(tǒng)的類型,不同類型的病毒是不會感染到這臺主機(jī)的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。

2.3 訪問控制

用戶部署vpn是為了保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)的平安。IPSEC VPN只是搭建虛擬傳輸網(wǎng)絡(luò),SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù),比如SSL VPN可以根據(jù)用戶的不同身份,給予不同的訪問權(quán)限。就是說,雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò),但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上,不僅可以控制訪問人員的權(quán)限,還可以對訪問人員的每個(gè)訪問,做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名,保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性,為事后追蹤提供了依據(jù)。

2.4 經(jīng)濟(jì)性

使用SSL VPN具有很好的經(jīng)濟(jì)性,因?yàn)橹恍枰诳偛糠胖靡慌_硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程平安訪問接入。但是對于IPSEC VPN來說,每增加一個(gè)需要訪問的分支,就需要添加一個(gè)硬件設(shè)備。就使用成本而言,SSL VPN具有更大的優(yōu)勢,由于這是一個(gè)即插即用設(shè)備,在部署實(shí)施以后,一個(gè)具有一定Internet知識的普通工作人員就可以完成日常的管理工作。

第2篇:vpn技術(shù)范文

關(guān)鍵詞:VPN;MPLS;多協(xié)議標(biāo)記交換

中圖法分類號:TP309文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發(fā)展,人們對其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段,網(wǎng)絡(luò)經(jīng)常會發(fā)生阻塞,許多應(yīng)用對于目前的IP技術(shù)(如語音和視頻等)顯得力不從心,并且實(shí)現(xiàn)成本也很高。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

首先引入現(xiàn)實(shí)中的一個(gè)例子,經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡(luò)訪問公司的內(nèi)網(wǎng)辦公,而訪問的結(jié)果就像在公司內(nèi)網(wǎng)一樣,不會有對資源、權(quán)限的限制,就好像在內(nèi)網(wǎng)里面一樣,我們可以利用VPN技術(shù)實(shí)現(xiàn)這個(gè)目的。

由以上來看,究竟什么是VPN呢?虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

2 常規(guī)VPN技術(shù)

以往常規(guī)的VPN連接技術(shù)是在PPTP或者L2TP協(xié)議的控制下進(jìn)行隧道封裝加密傳輸,其中,PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。目前,PPTP協(xié)議基本已被淘汰。L2TP是國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn),能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議,包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施,更多是和IPSec協(xié)議結(jié)合使用,提供隧道驗(yàn)證。

但是,IPsec協(xié)議首要的和最明顯的缺點(diǎn)就是性能的下降,其次,在實(shí)現(xiàn)成本上非常不利,低端的設(shè)備通常用軟件實(shí)現(xiàn)所有的IPsec功能,因而其速度最慢。價(jià)格貴些的用硬件實(shí)現(xiàn)IPsec功能。一般來說,性能越好,其價(jià)格越貴。

3 基于MPLS的VPN的新技術(shù)

同傳統(tǒng)的VPN不同,MPLS VPN不依靠封裝和加密技術(shù),MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個(gè)安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。

CPE被稱為客戶邊緣路由器(CE)。在InternetConnect網(wǎng)絡(luò)中,同CE相連的路由器稱為供應(yīng)商邊緣路由器(PE)。一個(gè)VPN數(shù)據(jù)包括一組CE路由器,以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。

CE可以感覺到同一個(gè)專用網(wǎng)相連。每個(gè)VPN對應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例(VRF)。一個(gè)VRF定義了同PE路由器相連的客戶站點(diǎn)的VPN成員資格。一個(gè)VRF數(shù)據(jù)包括IP路由表,一個(gè)派生的Cisco Express Forwarding (CEF)表,一套使用轉(zhuǎn)發(fā)表的接口,一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個(gè)站點(diǎn)可以且僅能同一個(gè)VRF相聯(lián)系??蛻粽军c(diǎn)的VRF中的數(shù)據(jù)包含了其所在的VPN中,所有的可能連到該站點(diǎn)的路由。

對于每個(gè)VRF,數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲在IP路由表和CEF表中。每個(gè)VRF維護(hù)一個(gè)單獨(dú)的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外,同時(shí)也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個(gè)機(jī)制使得VPN具有安全性。

在每個(gè)VPN內(nèi)部,可以建立任何連接:每個(gè)站點(diǎn)可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個(gè)站點(diǎn),無需穿越中心站點(diǎn)。一個(gè)路由識別器(RD)可以識別每一個(gè)單獨(dú)的VPN。一個(gè)MPLS網(wǎng)絡(luò)可以支持成千上萬個(gè)VPN。每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核,且不直接同CE路由器相連。圍繞在P設(shè)備周圍的供應(yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來交換數(shù)據(jù)包。

客戶站點(diǎn)可以通過不同的方式連接到PE路由器,例如幀中繼,ATM,DSL和T1方式等等。

三種不同的VPN,分別用Route Distinguishers 10,20和30來表示。

MPLS VPN中,客戶站點(diǎn)運(yùn)行的是通常的IP協(xié)議。它們并不需要運(yùn)行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由識別器對應(yīng)同每個(gè)客戶站點(diǎn)的連接。這些連接可以是諸如T1,單一的幀中繼,ATM虛電路,DSL等這樣的物理連接。路由識別器在PE路由器中被配置,是設(shè)置VPN站點(diǎn)工作的一部分,它并不在客戶設(shè)備上進(jìn)行配置,對于客戶來說是透明的。

每個(gè)MPLS VPN具有自己的路由表,這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進(jìn)行尋址的多種客戶來說,上述特點(diǎn)很有用處。例如,任何數(shù)量的客戶都可以在其MPLS VPN中,使用地址為10.1.1.X的網(wǎng)絡(luò)。MPLS VPN的一個(gè)最大的優(yōu)點(diǎn)是CPE設(shè)備不需要智能化。因?yàn)樗械腣PN功能是在InternetConnect的核心網(wǎng)絡(luò)中實(shí)現(xiàn)的,且對CPE是透明的。CPE并不需要理解VPN,同時(shí)也不需要支持IPSec。這意味著客戶可以使用價(jià)格便宜的CPE,或者甚至可以繼續(xù)使用已有的CPE。

4 基于MPLS VPN的優(yōu)點(diǎn)

時(shí)延被降到最低,因?yàn)閿?shù)據(jù)包不再經(jīng)過封裝或者加密。加密之所以不再需要,是因?yàn)镸PLS VPN可以創(chuàng)建一個(gè)專用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似。因?yàn)椴恍枰淼溃砸獎?chuàng)建一個(gè)全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實(shí)上,缺省的配置是全網(wǎng)狀布局。站點(diǎn)直接連到PE,之后可以到達(dá)VPN中的任何其他站點(diǎn)。如果不能連通到中心站點(diǎn),遠(yuǎn)程站點(diǎn)之間仍然能夠相互通信。

配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò),不需訪問CPE。一旦配置好一個(gè)站點(diǎn),在配置其他站點(diǎn)時(shí)無需重新配置。因?yàn)樘砑有碌恼军c(diǎn)時(shí),僅需改變所連到的PE的配置。

在MPLS VPN中,安全性可以得到容易地實(shí)現(xiàn)。一個(gè)封閉的VPN具有內(nèi)在的安全性,因?yàn)樗煌琍ublic Internet相連。如果需要訪問Internet,則可以建立一個(gè)通道,在該通道上,可放置一個(gè)防火墻,這樣就對整個(gè)VPN提供安全的連接。管理起來也很容易,因?yàn)閷τ谡麄€(gè)VPN來說,只需要維護(hù)一種安全策略。

MPLS VPN的另外一個(gè)好處是對于一個(gè)遠(yuǎn)程站點(diǎn),僅需要一個(gè)連接即可。想象一下,帶有一個(gè)中心站點(diǎn)和10個(gè)遠(yuǎn)程站點(diǎn)的傳統(tǒng)幀中繼網(wǎng),每個(gè)遠(yuǎn)程站點(diǎn)需要一個(gè)幀中繼PVC(永久性虛電路),這意味者需要10個(gè)PVC。而在MPLS VPN網(wǎng)中,僅需要在中心站點(diǎn)位置建立一個(gè)PVC,這就降低了網(wǎng)絡(luò)的成本。

5 總結(jié)

MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù),也能夠開展QoS、TE、組播等等的業(yè)務(wù)。隨著MPLS應(yīng)用的不斷升溫,不論是產(chǎn)品還是網(wǎng)絡(luò),對MPLS的支持已不再是額外的要求。VPN雖然是一項(xiàng)剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù),但卻已經(jīng)顯示了其強(qiáng)大的生命力。在我國網(wǎng)絡(luò)基礎(chǔ)薄弱,政府和企業(yè)對IP虛擬專用網(wǎng)的需求不高,但相信隨著政府上網(wǎng)、特別是在電子商務(wù)的推動下,基本MPLS的IP虛擬專用網(wǎng)技術(shù)的解決方案必將有不可估量的市場前景。

參考文獻(xiàn):

[1]王達(dá).虛擬專用網(wǎng)(VPN)精解[J].清華大學(xué)出版社,2004,173-7.

第3篇:vpn技術(shù)范文

關(guān)鍵詞:IPsec;AH;EPS;VPN; SSL

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A

1 概述

IPSec的英文全名為“Internet Protocol Security”,中文名為“因特網(wǎng)安全協(xié)議”,這個(gè)安全協(xié)議是VPN的基本加密協(xié)議,它為數(shù)據(jù)通過公用網(wǎng)絡(luò)(如因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道,首先要采用一定的方式建立通信連接,因?yàn)镮PSec協(xié)議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,包括加密運(yùn)算法則和身份驗(yàn)證方法類型等。在IPSec協(xié)議中,一旦IPSec通道建立,所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。

2IPsec原理

2.1安全特性[1]

IPSec的安全特性主要有:

2.1.1不可否認(rèn)性

“不可否認(rèn)性”可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過消息?!安豢煞裾J(rèn)性”是采用公鑰技術(shù)的一個(gè)特征,當(dāng)使用公鑰技術(shù)時(shí),發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來驗(yàn)證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰,也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名,所以只要數(shù)字簽名通過驗(yàn)證,發(fā)送者就不能否認(rèn)曾發(fā)送過該消息。

2.1.2反重播性

“反重播”確保每個(gè)IP包的唯一性,保證信息萬一被截取復(fù)制后,不能再被重新利用、重新傳輸回目的地。

2.1.3數(shù)據(jù)完整性

防止傳輸過程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個(gè)數(shù)據(jù)包產(chǎn)生一個(gè)加密檢查和,接收方在打開包前先計(jì)算檢查和,若包遭篡改導(dǎo)致檢查和不相符,數(shù)據(jù)包即被丟棄。

2.1.4數(shù)據(jù)可靠性(加密)

在傳輸前,對數(shù)據(jù)進(jìn)行加密,可以保證在傳輸過程中即使數(shù)據(jù)包遭截取,信息也無法被讀。該特性在IPSec中為可選項(xiàng),與IPSec策略的具體設(shè)置相關(guān)。

2.2數(shù)據(jù)包結(jié)構(gòu)[2]

2.2.1認(rèn)證頭

認(rèn)證頭(AH)被用來保證被傳輸分組的完整性和可靠性。此外,它還保護(hù)不受重放攻擊。

表1認(rèn)證頭分組

01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一個(gè)頭載荷長度保留安全參數(shù)索引(SPI)序列號認(rèn)證數(shù)據(jù)(可變長度)字段含義:

下一個(gè)頭:標(biāo)識被傳送數(shù)據(jù)所屬的協(xié)議。

載荷長度:認(rèn)證頭包的大小。

保留:為將來的應(yīng)用保留(目前都置為0).

安全參數(shù)索引 : 與IP地址一同用來標(biāo)識安全參數(shù)。

序列號:單調(diào)遞增的數(shù)值,用來防止重放攻

認(rèn)證數(shù)據(jù):包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。

2.2.2封裝安全載荷 (ESP)

封裝安全載荷(ESP)協(xié)議對分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是,IP分組頭部不被包括在內(nèi)。

字段含義:

安全參數(shù)索引:與IP地址一同用來標(biāo)識安全參數(shù)。

序列號:單調(diào)遞增的數(shù)值,用來防止重放攻擊。

載荷數(shù)據(jù):實(shí)際要傳輸?shù)臄?shù)據(jù)。

填充:某些塊加密算法用此將數(shù)據(jù)填充至塊的長度。

填充長度:以位為單位的填充數(shù)據(jù)的長度。

下一個(gè)頭 : 標(biāo)識被傳送數(shù)據(jù)所屬的協(xié)議。

認(rèn)證數(shù)據(jù):包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。

3VPN原理

3.1VPN的基本概念[3]

在VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 虛擬專用網(wǎng)對用戶端透明,用戶好像使用一條專用線路進(jìn)行通信。

3.2VPN的關(guān)鍵技術(shù)[4]

目前VPN主要采用四項(xiàng)技術(shù)來保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。

3.2.1隧道技術(shù)

隧道是一種利用公網(wǎng)設(shè)施,在一個(gè)網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報(bào)頭封裝幀,附加的報(bào)頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。

3.2.2加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP (Encapsulationg Security Payload)實(shí)現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密,當(dāng)數(shù)據(jù)到達(dá)接收者時(shí)由接收者對數(shù)據(jù)進(jìn)行解密的處理過程,算法主要種類包括:對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者Rivest、Shamir和Adleman名字的首字符)。

3.2.3密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

SKIP主要是利用Diffie-Hellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。

3.2.4使用者與設(shè)備身份認(rèn)證技術(shù)

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是用戶名/口令或智能卡認(rèn)證等方式。

3.3VPN隧道協(xié)議

隧道協(xié)議分為第二、三層隧道協(xié)議。它們的本質(zhì)區(qū)別再也用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP與L2F而形成。

3.3.1PPTP(Point to Point Tunneling Protocol,點(diǎn)到點(diǎn)隧道協(xié)議)

PPTP是VPN的基礎(chǔ)。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生,PPTP協(xié)議采用擴(kuò)展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報(bào)進(jìn)行封裝。所謂擴(kuò)展GRE頭,即在通常GRE頭中,細(xì)化并修改了密鑰字段的利用,并增加了確認(rèn)、出現(xiàn)位和確認(rèn)號字段,從而提供了PPTP的流量控制功能。

3.3.2L2F(Layer 2 forwording)

L2F可以在多種介質(zhì)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng),將鏈路層的協(xié)議(如PPP,HDLC等)封裝起來傳送。因此,網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。

3.3.3L2TP(Layer 2 Tunneling Protocol)

是遠(yuǎn)程訪問型VPN今后的標(biāo)準(zhǔn)協(xié)議。它結(jié)合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn),以便擴(kuò)展功能。其格式基于L2F,信令基于PPTP。這種協(xié)議幾乎能實(shí)現(xiàn)PPTP和L2F協(xié)議能實(shí)現(xiàn)的所有服務(wù),并且更加強(qiáng)大、靈活。它定義了利用公共網(wǎng)絡(luò)設(shè)施(如IP網(wǎng)絡(luò)、ATM、幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層PPP幀的方法。

3.3.4IPSec

是在IP層提供通信安全而提供的一套協(xié)議族,是一個(gè)開放性的標(biāo)準(zhǔn)框架。IPSec安全協(xié)議包括:封裝的安全負(fù)載ESP(Encapsulation Securiy Payload)和認(rèn)證報(bào)頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它對所有鏈路層上的數(shù)據(jù)提供安全保護(hù)和透明服務(wù)。

AH用于通信雙方能夠驗(yàn)證數(shù)據(jù)在傳輸過程中是否被更改并能驗(yàn)證發(fā)方的身份,實(shí)現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認(rèn)證性和重放根據(jù)的保護(hù)的功能。

ISAKMP[5]主要用于通信雙方協(xié)商加密密鑰和加密算法,它是基于D-H的密鑰交換協(xié)議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產(chǎn)生的。

ESP 的基本思想是對整個(gè)IP包或更高層協(xié)議的數(shù)據(jù)進(jìn)行封裝,有2種模式:隧道(Tunnel)模式和傳輸(Transport)模式。在隧道模式下,IPSec把IPv4的整個(gè)IP包加密后封裝在新的安全I(xiàn)P包的數(shù)據(jù)段中,并生成一個(gè)新的IP包,在傳輸模式下只是將原IP包中的數(shù)據(jù)進(jìn)行加密后再發(fā)送出去。

通用路由封裝(GRE, Generic Routing Encapsulation):GRE規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數(shù)據(jù)包的封裝,它并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊。所有在實(shí)際環(huán)境中它常和IPSec一起使用,由IPSec提供用戶數(shù)據(jù)的加密,從而給用戶提供更好的安全性。

4SSL VPN與IPSec VPN 比較

4.1IPSec VPN 優(yōu)缺點(diǎn)

4.1.1優(yōu)點(diǎn)

(1)IPSec是與應(yīng)用無關(guān)的技術(shù),因此IPSec VPN的客戶端支持所有IP層協(xié)議;

(2)IPSec技術(shù)中,客戶端至站點(diǎn)(client-to-site)、站點(diǎn)對站點(diǎn)(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術(shù)是完全相同的;

(3)IPSec VPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;

4.1.2不足

(1) IPSec VPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序;

(2)IPSec VPN的連接性會受到網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的影響,或受網(wǎng)關(guān)設(shè)備(proxy)的影響;

(3)IPSec VPN需要先完成客戶端配置才能建立通信信道,并且配置復(fù)雜。

4.2SSL VPN[6] 優(yōu)缺點(diǎn)

4.2.1優(yōu)點(diǎn)

(1)它的HTTPS客戶端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中,因此不需要再次安裝;

(2)像Microsoft Outlook與Eudora這類流行的郵件客戶端/服務(wù)器程序所支持的SSL HTTPS功能,同樣也與市場上主要的Web服務(wù)器捆綁銷售,或者通過專門的軟硬件供貨商(例如Web存取設(shè)備)獲得;

(3)SSL VPN可在NAT裝置上以透明模式工作;

(4)SSL VPN不會受到安裝在客戶端與服務(wù)器之間的防火墻的影響。

4.2.2不足

SSL VPN不適用做點(diǎn)對點(diǎn)的VPN,后者通常是使用IPSec/IKE技術(shù);

SSL VPN需要開放網(wǎng)絡(luò)防火墻中的HTTPS連接端口,以使SSL VPN網(wǎng)關(guān)流量通過。5 結(jié)束語

IPsec協(xié)議的實(shí)現(xiàn)彌補(bǔ)TCP/IP參考模型設(shè)計(jì)之初的缺陷,但其本身也存在一些不足。通過SSL VPN與IPsec VPN比較,進(jìn)一步明確了IPsec VPN的特點(diǎn)及其適用的工作場合。

參考文獻(xiàn)

[1] Panos Trimintzios. A management and control architecture for providing IP differentiated services in MPLS-based networks, IEEE Communications Magazine, 2001, 39(5): pp.80-88.

[2]Intergated service in the Internet architecture: an overview.RFC1633,1994.

[3]J iang Y, Tham C, Ko C.Providing quality of service monitoring: challenges and approaches . International Journal of Network Management, 2000, 10 (6):pp.323-334.

[4] RFC 2917-2001, Muthukrishnan and amalis, a core MPLS.

[5]Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構(gòu)建虛擬專用網(wǎng)[M]. 北京:人民郵電出版社, 2001.

第4篇:vpn技術(shù)范文

關(guān)鍵詞:VPN技術(shù);應(yīng)用;研究

中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2013)17-3996-03

虛擬專用網(wǎng),用英文翻譯過來就是Virtual Private Network,簡稱為VPN。虛擬專用網(wǎng)是通過公共網(wǎng)絡(luò)中相關(guān)的基礎(chǔ)設(shè)施,采用先進(jìn)的技術(shù)方式,對不同的兩臺計(jì)算機(jī)進(jìn)行一種專用的連接,使相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)信息在通過公共網(wǎng)絡(luò)進(jìn)行上傳的過程中,保證網(wǎng)絡(luò)數(shù)據(jù)信息私密性的一項(xiàng)技術(shù)。如何有效的應(yīng)用虛擬專用網(wǎng)技術(shù),是企業(yè)在發(fā)展過程中必須解決的一個(gè)重要問題。

1 VPN技術(shù)的優(yōu)點(diǎn)

1.1 節(jié)約成本

VPN技術(shù)對公共網(wǎng)絡(luò)進(jìn)行了利用,建立并組成了虛擬的專用網(wǎng)絡(luò),不需要在單獨(dú)依靠公共網(wǎng)絡(luò)中專用的線路來保障數(shù)據(jù)信心傳輸?shù)陌踩?,利用專用的網(wǎng)絡(luò)就能夠?qū)崿F(xiàn)數(shù)據(jù)信心的安全性,這一種方式相對于其他通信方式而言,所需要使用的成本更為低廉,例如:長途電話、專線電話等。

1.2 使用便捷

VPN技術(shù)在公共網(wǎng)絡(luò)中的使用較為便捷,易于在公共網(wǎng)絡(luò)中進(jìn)行擴(kuò)展。當(dāng)公共網(wǎng)絡(luò)內(nèi)部中的節(jié)結(jié)點(diǎn)逐漸增多的時(shí)候,專線連接網(wǎng)絡(luò)的結(jié)構(gòu)也會變得越來越復(fù)雜,而且所需要花費(fèi)的成本也非常的高,而在使用虛擬專用網(wǎng)的過程中,只需要在公共網(wǎng)絡(luò)的節(jié)點(diǎn)位置構(gòu)架相關(guān)的VPN設(shè)備,就能夠在對Internet進(jìn)行利用時(shí)在計(jì)算機(jī)網(wǎng)絡(luò)中建立安全連接,若是公共網(wǎng)絡(luò)內(nèi)部中有其他的網(wǎng)絡(luò)想要進(jìn)入安全連接,只需要在使用使用一臺虛擬專用網(wǎng)設(shè)備,對相關(guān)的配置的配置進(jìn)行調(diào)整就能夠使其他的網(wǎng)絡(luò)加入到安全連接之中。

1.3 確保安全性

確保公共網(wǎng)絡(luò)中的安全性,是VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的基礎(chǔ),為了確保相關(guān)的數(shù)據(jù)信息在通過公共網(wǎng)絡(luò)進(jìn)行傳輸過程中的安全性,VPN技術(shù)對加密認(rèn)證這一項(xiàng)技術(shù)進(jìn)行利用,在公共網(wǎng)絡(luò)內(nèi)部中對相關(guān)的安全隧道進(jìn)行構(gòu)建,重要的數(shù)據(jù)信息通過安全隧道進(jìn)行傳輸,有效的保證了數(shù)據(jù)信息在傳輸時(shí)的安全性,避免數(shù)據(jù)信息被惡意的篡改、破壞。

2 VPN得以實(shí)現(xiàn)的主要技術(shù)

VPN不是一個(gè)實(shí)體,而是一種虛擬的網(wǎng)絡(luò)形態(tài),是計(jì)算機(jī)網(wǎng)絡(luò)中的一個(gè)概念,是一個(gè)通過公共網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施對虛擬專用網(wǎng)絡(luò)進(jìn)行構(gòu)建時(shí),所運(yùn)用連接技術(shù)綜合起來的名稱。VPN技術(shù)的實(shí)現(xiàn),離不開隧道技術(shù),隧道技術(shù)是VPN技術(shù)得以實(shí)現(xiàn)的前提,隧道技術(shù)是一種對公共網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行包裝,然后在公共網(wǎng)絡(luò)中構(gòu)建一條網(wǎng)絡(luò)隧道,使公共網(wǎng)絡(luò)中的數(shù)據(jù)信心通過這一條網(wǎng)絡(luò)隧道進(jìn)行傳輸,以下是VPN技術(shù)在運(yùn)用過程中的主要隧道技術(shù)。

2.1 點(diǎn)到點(diǎn)隧道協(xié)議

點(diǎn)到點(diǎn)隧道協(xié)議簡稱為PPTP,即Point-to-Point Tunneling Protocol,PPTP將公共網(wǎng)絡(luò)中的PPP數(shù)據(jù)信息進(jìn)行包裝之后,通過Internet對這些數(shù)據(jù)信息進(jìn)行傳輸,PPTP協(xié)議提供了使多協(xié)議VPN構(gòu)建于Internet中的一種通信方式,遠(yuǎn)程的客戶端能夠通過PPTP對專用網(wǎng)絡(luò)進(jìn)行訪問。

2.2 二層轉(zhuǎn)發(fā)協(xié)議

二層轉(zhuǎn)發(fā)協(xié)議簡稱L2F,即Layer Two Forwarding Protocol,二層轉(zhuǎn)發(fā)協(xié)議能夠?qū)Ω鞣N不同的傳輸協(xié)議提供支持,例如:幀中繼、ATM以及IP等,二層轉(zhuǎn)發(fā)協(xié)議可以讓遠(yuǎn)程客戶端的客戶在接入公共IP網(wǎng)絡(luò)中時(shí),在撥號方式上不會受到任何的限制,例如:遠(yuǎn)程客戶端的客戶在運(yùn)用常規(guī)的撥號方式對ISP中的NAS進(jìn)行撥號時(shí),對PPP連接進(jìn)行構(gòu)建,NAS則通過對遠(yuǎn)程客戶端客戶的一些基本信息的了解,在網(wǎng)絡(luò)中進(jìn)行第二重連接,向公司所在地的二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器進(jìn)行傳輸,二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器在將接收到的數(shù)據(jù)信心傳輸?shù)焦緝?nèi)部的網(wǎng)絡(luò)中。

2.3 IP安全協(xié)議

IP安全協(xié)議簡稱為IP Sec,IP安全協(xié)議包含了秘鑰協(xié)商與安全協(xié)議這兩個(gè)方面中的一部分,IP Sec安全協(xié)議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護(hù)作用的機(jī)制。鑒別頭用英文表示為Authentication Header,簡稱AH,它給計(jì)算機(jī)網(wǎng)絡(luò)通信中提供的是一種完全性的保護(hù)。封裝安全載荷用英文表示為Encapsulations Security Payload,簡稱ESP,它給計(jì)算機(jī)網(wǎng)絡(luò)通信中提供的不僅僅是完整性的保護(hù),還有機(jī)密文件在通過網(wǎng)絡(luò)進(jìn)行傳輸這一過程中的保護(hù)。鑒別頭與封裝安全載荷對計(jì)算機(jī)網(wǎng)絡(luò)通信的保護(hù)具有實(shí)效性,對于公司內(nèi)部在使用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳輸?shù)陌踩杂兄种匾囊饬x。IP安全協(xié)議是虛擬專用網(wǎng)技術(shù)中一個(gè)非常重要的組成部分,它對于網(wǎng)絡(luò)的保護(hù)具有完整性,是虛擬專用網(wǎng)在計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用中,不可缺少的一個(gè)部分,不僅僅保護(hù)了數(shù)據(jù)信息在通過網(wǎng)絡(luò)進(jìn)行傳輸中的安全,還在很大程度上保障了數(shù)據(jù)信息來源的安全性、可靠性。

3 VPN技術(shù)的應(yīng)用

在對VPN技術(shù)進(jìn)行應(yīng)用的過程中,能夠有效的解決虛擬專用網(wǎng)絡(luò)在對公共網(wǎng)絡(luò)進(jìn)行利用中存在的問題。

以下是VPN技術(shù)主要的幾種應(yīng)用:

3.1 遠(yuǎn)程訪問VPN

隨著我國科學(xué)技術(shù)的深入發(fā)展,人們對于遠(yuǎn)程通信的需求逐漸的擴(kuò)大,各個(gè)行業(yè)辦公方式由辦公室辦公轉(zhuǎn)變?yōu)樵谵k公室以外進(jìn)行辦公,企業(yè)中的工作人員對于企業(yè)網(wǎng)絡(luò)中的遠(yuǎn)程客戶端訪問的要求逐漸增高,在這一形勢下遠(yuǎn)程訪問VPN的出現(xiàn)是必然的趨勢。

一些公司或企業(yè)在網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程訪問的過程中,為了保證遠(yuǎn)程訪問的安全性,傳統(tǒng)的方法是公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中對RAS進(jìn)行構(gòu)建,即遠(yuǎn)程訪問服務(wù)器。遠(yuǎn)程客戶端客戶利用電話這一形式進(jìn)行網(wǎng)絡(luò)撥號,然后接入RAS,接著進(jìn)行入到公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中,在利用這種傳統(tǒng)的方法進(jìn)行遠(yuǎn)程訪問時(shí),需要對相關(guān)的RAS設(shè)備進(jìn)行購買,RAS設(shè)備的價(jià)格都非常的高,而且遠(yuǎn)程客戶端客戶只能采取撥號這一種形式進(jìn)行遠(yuǎn)程訪問,遠(yuǎn)程訪問的效率非常低,在遠(yuǎn)程訪問時(shí)的安全性也得不到有效的保障,在進(jìn)行撥號時(shí)所需要的花費(fèi)的費(fèi)用也非常的多。遠(yuǎn)程訪問VPN,通過數(shù)字用戶線路、ISDN以及撥號等一系列方式,進(jìn)入到公司或企業(yè)所在地的ISP中,再進(jìn)入Internet中,然后對公司或企業(yè)中的VPN網(wǎng)關(guān)進(jìn)行連接,在VPN與遠(yuǎn)程客戶端的客戶之間構(gòu)建一條安全隧道,遠(yuǎn)程客戶端的客戶可以通過這一條安全隧道對公司或企業(yè)內(nèi)部中的網(wǎng)絡(luò)進(jìn)行訪問,這種方式不僅僅節(jié)約了遠(yuǎn)程訪問過程中所需要花費(fèi)的費(fèi)用,還在很大程度上保障了遠(yuǎn)程訪問中的安全性。

遠(yuǎn)程訪問VPN的結(jié)構(gòu)示意圖,如圖1所示。

3.2 站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)

一般情況下,在對同一個(gè)企業(yè)中兩個(gè)不同的分支機(jī)構(gòu)進(jìn)行連接的過程中,專用私有線路是必不可少的連接工具,但是專用私有線路非常的難找,尋找一條專用私有線路需要花費(fèi)很多的時(shí)間與精力,而且專用私有線路一般都以出租的方式進(jìn)行利用,租金非常的高。企業(yè)在利用一條專用私有線路對內(nèi)部中不同的分支機(jī)構(gòu)進(jìn)行連接時(shí),如果專用私有線路對企業(yè)內(nèi)部網(wǎng)絡(luò)造成了破壞,則會導(dǎo)致連接的失敗,而且在利用專用私有線路對企業(yè)內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行傳輸?shù)臅r(shí)候,傳輸數(shù)據(jù)信息的網(wǎng)絡(luò)通道沒有進(jìn)行相關(guān)的加密,這就造成了數(shù)據(jù)信息在傳輸過程中存在著不安全因素。

站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng),能夠有效的解決企業(yè)內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)、傳輸、連接在安全這一方面存在的問題,站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)示意圖,如圖2所示。

VPN網(wǎng)關(guān),處于公共網(wǎng)絡(luò)與企業(yè)專用網(wǎng)絡(luò)的交界處,站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)對數(shù)據(jù)信息通信進(jìn)行加密,通過Internet將數(shù)據(jù)信息傳輸?shù)较嚓P(guān)的VPN網(wǎng)關(guān)中。站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)在接收到Internet所傳輸?shù)臄?shù)據(jù)信息已被加密,然后通過將數(shù)據(jù)信息傳輸?shù)絍PN網(wǎng)關(guān)對數(shù)據(jù)信息進(jìn)行解密,接著傳輸?shù)狡髽I(yè)的內(nèi)部網(wǎng)絡(luò)中。站點(diǎn)與站點(diǎn)的內(nèi)聯(lián)網(wǎng)在傳輸數(shù)據(jù)信息時(shí),不需要專用的私有線路,而且還能夠使VPN變得非常的靈活。

3.3 VPN技術(shù)應(yīng)用的實(shí)例

VPN技術(shù)在宜春供水有限公司中的應(yīng)用,圖3是宜春供水有限公司中VPN網(wǎng)絡(luò)結(jié)構(gòu)圖。

VPN技術(shù)在宜春供水有限公司中的應(yīng)用,取代了宜春供水有限公司內(nèi)部中傳統(tǒng)的專線網(wǎng)絡(luò),VPN技術(shù)的應(yīng)用極大的增強(qiáng)了宜春供水有限公司在利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳遞時(shí)的安全性,有效的節(jié)約了宜春供水有限公司在網(wǎng)絡(luò)信息數(shù)據(jù)傳輸這一方面的資金成本,在總體上為公司節(jié)省了85%左右的信息數(shù)據(jù)通訊的資金成本,而且只需要普通寬帶就能夠?qū)崿F(xiàn)。

4 結(jié)束語

虛擬專用網(wǎng)技術(shù)在企業(yè)應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的過程中有著重要的作用,企業(yè)采用VPN這一技術(shù),能夠有效的保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性、可靠性、經(jīng)濟(jì)性,能夠確保企業(yè)中的一些重要的私密性文件在通過網(wǎng)絡(luò)進(jìn)行傳輸時(shí)的安全。

參考文獻(xiàn):

[1] 浦兜,陳依群,曾鴻文.虛擬專用網(wǎng)絡(luò)(VPN)信息加密技術(shù)研究[J].電訊技術(shù),2010(17).

[2] 束坤,凳國新.基于計(jì)算機(jī)網(wǎng)絡(luò)的VPN技術(shù)[J].計(jì)算機(jī)應(yīng)用,2008(11).

第5篇:vpn技術(shù)范文

關(guān)鍵詞:VPN技術(shù);隧道;優(yōu)化

中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2015)06-0034-03

1概述

VPN(Virtual Private Network),即虛擬專用網(wǎng),它是利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道,并能提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。[1]由于通過VPN技術(shù)可以實(shí)現(xiàn)資源的傳輸和共享,并實(shí)現(xiàn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和安全。因此,它得到了積極的推廣和應(yīng)用。但其在應(yīng)用過程中,隨著分支機(jī)構(gòu)辦公人員數(shù)量以及需求不斷增加,多帶寬使用率的要求也越來越高,導(dǎo)致分支用戶業(yè)務(wù)使用不便,同時(shí)專線vpn對于移動辦公人員和各辦事處人員訪問公司的系統(tǒng)不能更好的支持。因此,對其進(jìn)行優(yōu)化也顯得十分必要。

2 VPN的應(yīng)用

2.1 VPN的實(shí)現(xiàn)原理

VPN技術(shù)并不依靠物理上的端到端的專用連接,即沒有固定的物理連接,它是利用Internet、ATM等公用網(wǎng)絡(luò)設(shè)施,在兩臺直接與公網(wǎng)連接的計(jì)算機(jī)之間建立一條專用通道,建立起虛擬的專用通路,并利用隧道技術(shù)對數(shù)據(jù)進(jìn)行封裝,使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越,從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行,這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道將需要一個(gè)專門的過程,依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備及協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括3個(gè)單元:VPN服務(wù)器端、VPN客戶端機(jī)和VPN數(shù)據(jù)通道。

2.2 VPN 的實(shí)現(xiàn)

要實(shí)現(xiàn)VPN連接,企業(yè)內(nèi)部網(wǎng)絡(luò)中必需配置一臺VPN內(nèi)網(wǎng)接入設(shè)備,該設(shè)備有雙網(wǎng)卡,它一方面連接企業(yè)內(nèi)部網(wǎng)絡(luò),另一方面連接到Internet,即VPN服務(wù)器必須有一個(gè)公用的IP地址。VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程用戶使用時(shí)根本無需關(guān)心隧道的建立、數(shù)據(jù)加密、用戶認(rèn)證等過程。[3]遠(yuǎn)程用戶采用TCP/IP 協(xié)議,選擇建立虛擬隧道,并保持原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和應(yīng)用模式不變,以便實(shí)現(xiàn)快捷、廉價(jià)、保密的通信。

2.3 VPN的應(yīng)用場景

VPN的應(yīng)用場景分可分為3種:

1)站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān):在不同的地方分支,各使用一個(gè)網(wǎng)關(guān)相互建立VPN隧道,企業(yè)內(nèi)網(wǎng)(若干PC)之間的數(shù)據(jù)則通過這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。

2)端到端或者PC到PC:兩臺PC之間的通信由兩臺PC之間的IPSec進(jìn)行會話保護(hù),而并不是網(wǎng)關(guān)。

3)端到站點(diǎn)或者PC到網(wǎng)關(guān):兩臺PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。VPN只是IPSec的一種應(yīng)用方式,它的目的是為IP提供高安全性特性,VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設(shè)計(jì)

本方案主要是在總部和分支各部署一臺深信服(SANGFOR)加速設(shè)備,對現(xiàn)有專線數(shù)據(jù)傳輸進(jìn)行優(yōu)化。SANGFOR VPN設(shè)備支持多種加密算法、硬件證書認(rèn)證、移動客戶端專線功能,能保障用戶訪問安全和數(shù)據(jù)傳輸安全。

具體方案如下:

1)通過SANGFOR設(shè)備對專線線路重復(fù)冗余的數(shù)據(jù)進(jìn)行刪減、壓縮,以減少數(shù)據(jù)傳輸量,提高分支機(jī)構(gòu)和總部之間響應(yīng)速度;

第6篇:vpn技術(shù)范文

關(guān)鍵詞:虛擬專用網(wǎng)SSLMPLSIPSec

Comparison and Analysis of Mainstream VPN Technologies

LI Hong-Jun

(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)

Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.

Keywords: Virtual Private Network; SSL; MPLS; IPSec

VPN(Virtual Private Network,虛擬專用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡(luò)通過公用骨干網(wǎng)絡(luò)連接成的邏輯上的虛擬子網(wǎng), 它采用數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、隧道技術(shù)和密鑰管理技術(shù)等關(guān)鍵技術(shù)實(shí)施通信保護(hù),防止通信信息被泄露、篡改和復(fù)制。

當(dāng)前,隨著VPN技術(shù)的日趨成熟,已經(jīng)有越來越多的企業(yè)和機(jī)構(gòu)采用VPN技術(shù)來構(gòu)建自己的虛擬專用網(wǎng)絡(luò)以達(dá)到靈活擴(kuò)展自身內(nèi)部網(wǎng)絡(luò)、連接跨區(qū)域分支網(wǎng)絡(luò)等目的。與傳統(tǒng)的物理專用網(wǎng)絡(luò)相比,VPN具有組網(wǎng)成本低、通信安全、管理方便、擴(kuò)展性強(qiáng)、可靠的服務(wù)質(zhì)量(QoS)等特點(diǎn)。

按照實(shí)現(xiàn)技術(shù)的不同,VPN可分為 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與 SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術(shù)的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應(yīng)用最為廣泛的三種VPN 解決方案。

下面分別對這三種技術(shù)進(jìn)行比較與分析。

1 IPSec VPN與MPLS VPN及SSL VPN的工作原理

1.1 IPSec VPN

IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認(rèn)證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟( SA)及加密和驗(yàn)證算法等。IPSec是在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)加密和驗(yàn)證,提供端到端的網(wǎng)絡(luò)安全方案,可以提供訪問控制、數(shù)據(jù)源的驗(yàn)證、無連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性、抗重防保護(hù)以及有限的數(shù)據(jù)流機(jī)密性保證等服務(wù)[1 ]。

IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、防止重播攻擊、信息加密與流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層,并保護(hù)上層的協(xié)議。這些服務(wù)通過使用兩個(gè)安全協(xié)議:認(rèn)證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過使用加密密鑰管理過程和協(xié)議來實(shí)現(xiàn)。

IPSec VPN是一項(xiàng)成熟的技術(shù),目前有許多基于硬件的解決方案來保障它的高性能,是遠(yuǎn)程辦公室點(diǎn)對點(diǎn)互聯(lián)的優(yōu)選方案。

1.2 MPLS VPN

MPLS (Multi-Protocol Label Switching,多協(xié)議標(biāo)簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn),介于第二層和第三層之間的交換技術(shù),所以它既可以兼容多種鏈路層技術(shù),又能支持多種網(wǎng)絡(luò)層的協(xié)議,實(shí)現(xiàn)了邊緣的路由和核心的交換[2 ]。

MPLS VPN是一種基于MPLS技術(shù)的VPN,在網(wǎng)絡(luò)路由與交換設(shè)備上使用MPLS技術(shù),應(yīng)用標(biāo)簽交換,通過LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來,并結(jié)合傳統(tǒng)的路由技術(shù),適用于多點(diǎn)到多點(diǎn)的連接。MPLS作為骨干網(wǎng)絡(luò)的一種路由轉(zhuǎn)發(fā)的新模式,必須由LSR(Label Switch Router,標(biāo)簽交換路由器)構(gòu)建,普通路由器無法完成。如果網(wǎng)絡(luò)規(guī)模比較大,則可能需要較多的LSR。

1.3 SSL VPN

SSL(Secure Socket Layer,安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議,它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議,處于應(yīng)用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如 HTTP、Telnet、SMTP和FTP等)與TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制,為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證[3]。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)與服務(wù)器間的會話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時(shí)終止兩個(gè)主機(jī)之間的會話。盡管SSL 協(xié)議并非為實(shí)現(xiàn)VPN而設(shè)計(jì),但SSL對VPN實(shí)現(xiàn)所需的數(shù)據(jù)加密、身份認(rèn)證與密鑰管理等關(guān)鍵技術(shù)提供了良好的支持。

SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)與TCP層之間的,能夠提供安全的遠(yuǎn)程接入[4]。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能,通過瀏覽器連回公司內(nèi)部的SSL VPN服務(wù)器,然后通過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,令客戶可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。SSL VPN采用標(biāo)準(zhǔn)的安全套接層(SSL)對傳輸中的數(shù)據(jù)包進(jìn)行加密,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。通過 SSL VPN可以實(shí)現(xiàn)遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架。

2 IPSec VPN、MPLS VPN與SSL VPN的比較及分析

2.1安全性比較與分析

IPSec VPN[5]采用了對稱式(Symmetric)與非對稱式(Asymmetric)的加密算法以及摘要算法等,通過身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等多種方式保證了接入的安全性、數(shù)據(jù)的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來抗攻擊與標(biāo)記欺騙,但它并沒有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問受保護(hù)的網(wǎng)絡(luò)元、錯誤配置以及內(nèi)部攻擊等安全問題。MPLS本身并未提供加密與驗(yàn)證的安全功能,它可以集成IPSec協(xié)議以提供安全保護(hù)。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對稱式與非對稱式的加密算法執(zhí)行加密作業(yè),其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

2.2 認(rèn)證方式與管理的比較及分析

IPSec[6]采用了因特網(wǎng)密鑰交換(Internet Key Exchange)方式,使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認(rèn)證。對于IPSec VPN,由于一個(gè)新用戶節(jié)點(diǎn)的增加、刪除或修改均需要重新設(shè)置現(xiàn)有的所有節(jié)點(diǎn),并在客戶端安裝復(fù)雜的軟件及配置。另外,IPSec VPN對客戶端采用的操作系統(tǒng)也具有較高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,其易管理性差。SSL僅能使用數(shù)字憑證,若都采用數(shù)字憑證來認(rèn)證,SSL與IPSec在認(rèn)證的安全等級上則沒有太大的差別。大多數(shù)廠商對SSL的認(rèn)證均會建置硬件令牌(Token)以提升認(rèn)證的安全性。在實(shí)際作業(yè)時(shí),大多數(shù)人均在整個(gè)網(wǎng)段(Subset)上進(jìn)行開發(fā)以避免太多的設(shè)定所帶來的麻煩。SSL可以設(shè)定不同的使用者以執(zhí)行不同的應(yīng)用系統(tǒng),另外瀏覽器中也內(nèi)置了SSL協(xié)議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設(shè)定上比IPSec 簡單方便得多,便于管理。對于MPLS VPN[7],由于在同一VPN的成員之間不需要建立與維護(hù)連接,若有新成員加入,ISP僅需要告知用戶端的設(shè)備如何與網(wǎng)絡(luò)連接,并配置PE來識別來自CE的VPN成員,BGP便會自動更新相關(guān)配置,用戶不需要手動升級或改變自己的邊緣設(shè)備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。

2.3 成本的比較

MPLS VPN對于用戶而言,其一次性投入的成本較低,但長期投入的資金比較高。對于IPSec VPN,在實(shí)施IPSec方案時(shí)不僅需要人工發(fā)放認(rèn)證的材料,用戶還需要知道所使用的加密和認(rèn)證算法,內(nèi)網(wǎng)路由配置等諸多繁瑣事宜,還需要預(yù)裝客戶端軟件等。這些不便在大規(guī)模實(shí)施過程中給用戶帶來了難以負(fù)擔(dān)的工作量和費(fèi)用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因?yàn)闉g覽器內(nèi)置了SSL協(xié)議,其投入的成本最少。

3 結(jié)語

通過上述比較分析可看出,三種VPN技術(shù)各具特色,互有長短。IPSec VPN與SSL VPN這兩種VPN架構(gòu),從整體的安全等級來看,它們均能提供安全的遠(yuǎn)程登入存取聯(lián)機(jī)。但SSL VPN在其易用性及安全層級上,均比IPSec VPN高。由于Internet的快速擴(kuò)展,針對遠(yuǎn)程安全登入的需求也日益增加。因此,在實(shí)際選擇VPN 時(shí),應(yīng)根據(jù)實(shí)際需求,可以某種VPN技術(shù)為主,結(jié)合其他技術(shù),充分發(fā)揮它們各自的優(yōu)勢,讓VPN網(wǎng)絡(luò)為企業(yè)和員工提供更好的服務(wù)。

參考文獻(xiàn)

[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁國忠譯.IPSec VPN設(shè)計(jì)[M].北京:人民郵電出版社,2006.

[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.盧澤新, 朱培棟,齊寧譯.MPLS和VPN體系結(jié)構(gòu)(第二卷) [M].北京:人民郵電出版社,2004.

[3] 馬軍鋒.SSL VPN 技術(shù)原理及其應(yīng)用[J].電信網(wǎng)技術(shù),2005,(8):6~8.

[4] 伍轉(zhuǎn)華.三種基于不同協(xié)議的VPN技術(shù)研究與分析[J].科技咨詢,2007.

[5] 王春燕.VPN介紹及其安全性問題探討[J].中國新通信,2008.

[6] 易光華,傅光軒,周錦順.MPLS VPN、IPSec VPN和SSL VPN技術(shù)的研究與比較[J].貴州科學(xué),2007,(2).

第7篇:vpn技術(shù)范文

關(guān)鍵詞:校園網(wǎng)IPv6VPN安全性

1 概述

目前,隨著我國信息網(wǎng)絡(luò)建設(shè)的飛速發(fā)展,高校也進(jìn)行了較大規(guī)模的數(shù)字化建設(shè),并形成了完善的校園網(wǎng)絡(luò)基礎(chǔ)平臺。我國一些重點(diǎn)高校更是構(gòu)建了基于IPv6的校園網(wǎng),用于組建下一代科研教育骨干網(wǎng)(CERNET 2),為未來IPv6網(wǎng)絡(luò)的應(yīng)用打下基礎(chǔ)。但該技術(shù)的使用大多停留在實(shí)驗(yàn)測試階段,其安全性問題凸顯的不夠明顯。隨著“云概念”的提出,IPv6的應(yīng)用也是迫在眉睫。如何解決IPv6的安全問題成為了近年研究的熱點(diǎn)之一。

2 IPv6技術(shù)存在的問題

現(xiàn)在我國的IPv6技術(shù)仍處于發(fā)展階段,很多方面還不成熟,很多實(shí)踐過程中遇到的部署和應(yīng)用問題還有待解決。如大多數(shù)高校原來使用基于IPv4的網(wǎng)絡(luò),如果要把它全部換成即可運(yùn)行IPv4又能運(yùn)行IPV6的雙棧網(wǎng)絡(luò),就要把原有的網(wǎng)絡(luò)設(shè)備全部更新?lián)Q代。這個(gè)一方面投資太大,另一方面造成了資源浪費(fèi)。

2.1 過渡時(shí)期的安全漏洞 網(wǎng)絡(luò)在由IPv4向IPv6的過渡時(shí)中出現(xiàn)了一些安全漏洞。如果攻擊者想要建立從IPv6到IPv4的隧道,只需要用安裝了雙棧的IPv6主機(jī)就可以繞過防火墻進(jìn)行攻擊了。對于校園網(wǎng)用戶來講也面臨著這些問題,其中最重要的是在當(dāng)前的校園網(wǎng)搭建上怎么樣來保證IPv6 孤島之間的通信安全。

2.2 IPv6網(wǎng)絡(luò)協(xié)議自身局限 IPv6網(wǎng)絡(luò)協(xié)議本身還有待于完善,其目前還很難來實(shí)現(xiàn)嚴(yán)格意義上的用戶限制功能。它與IPv4的防火墻、漏洞掃描、網(wǎng)絡(luò)過濾、VPN、IDS、防病毒網(wǎng)關(guān)等聯(lián)合的安全體系還存在著較大的差距。

2.3 實(shí)踐中的安全隱患 無狀態(tài)地址自動配置使得合法網(wǎng)絡(luò)用戶在使用IPv6 網(wǎng)絡(luò)時(shí)相當(dāng)方便,但是它在同時(shí)也引入了安全隱患,因?yàn)閰f(xié)議自身就認(rèn)為所有的可以自動配置的節(jié)點(diǎn)都是合法節(jié)點(diǎn),并且能夠即插即用地接入到本地網(wǎng)絡(luò)中來。所以,攻擊者就可以利用這一特性對用戶信息進(jìn)行監(jiān)控甚至是篡改。

2.4 自身組成部分的不嚴(yán)密 ICMPv6是IPv6的重要組成部分,但是它能夠被利用來發(fā)動拒絕服務(wù)攻擊,利用ICMPv6能夠冒充其它節(jié)點(diǎn)來產(chǎn)生惡意消息(不可達(dá)目的、超時(shí)、參數(shù)替換等),從而來影響正常的通信交流。

2.5 協(xié)議的保密性差 攻擊者可以通過利用網(wǎng)絡(luò)鄰居發(fā)現(xiàn)協(xié)議,然后發(fā)送錯誤路由器宣告、錯誤重定向消息等,讓數(shù)據(jù)包通向不確定目的地,進(jìn)而達(dá)到產(chǎn)生拒絕服務(wù)、攔截與修改數(shù)據(jù)包的目的。

3 IPv6校園網(wǎng)絡(luò)的安全性問題

3.1 校園網(wǎng)帶寬高和規(guī)模大 高校學(xué)生一般計(jì)較集中,因而用戶群比較密集。由于高帶寬和大用戶量的特點(diǎn),網(wǎng)絡(luò)安全問題蔓延快,影響比較嚴(yán)重。

3.2 網(wǎng)絡(luò)環(huán)境的開放性 受教學(xué)和科研特點(diǎn)的影響使校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的、管理也是較為寬松的。如果實(shí)施過多的限制,一些新的應(yīng)用很難在校園網(wǎng)內(nèi)部實(shí)施。

3.3 管理的不足 在校園網(wǎng)管理方面,一般只有網(wǎng)絡(luò)中心的少數(shù)工作人員,他們負(fù)責(zé)維護(hù)網(wǎng)絡(luò)的正常運(yùn)行,無暇顧及數(shù)千臺計(jì)算機(jī)的安全。

3.4 實(shí)施困難 IPv6最重要的安全性體現(xiàn)是將IPSec作為強(qiáng)制標(biāo)準(zhǔn)實(shí)施,保證了網(wǎng)際層數(shù)據(jù)的保密性和完整性。但是大規(guī)模部署IPSec所依賴的PKI在IPv6網(wǎng)絡(luò)上存在難度,因此IPSec的實(shí)施還有困難。

4 VPN技術(shù)的優(yōu)勢

4.1 VPN的出現(xiàn)能夠讓校園網(wǎng)能夠通過Internet安全可靠、經(jīng)濟(jì)有效地來傳輸機(jī)密信息,可以保證IP數(shù)據(jù)包在公網(wǎng)傳輸過程中不會受到來自其它用戶的網(wǎng)絡(luò)竊聽、修改等安全威脅。目前,在IPv6校園網(wǎng)環(huán)境中可以使用的VPN安全隧道協(xié)議有鏈路層的PPTP、L2TP協(xié)議,SSL協(xié)議和網(wǎng)絡(luò)層的IPSec協(xié)議。其中IPSec是VPN使用最多的安全協(xié)議,憑借其高水平的標(biāo)準(zhǔn)性、易用性以及高安全性等優(yōu)點(diǎn)成為了目前VPN 安全隧道技術(shù)的主流。

4.2 在VPN 的實(shí)現(xiàn)中可以具有如下主要作用:

4.2.1 遠(yuǎn)程用戶可以通過透明地?fù)芴柹暇W(wǎng)來訪問內(nèi)網(wǎng),IP隧道可以任意調(diào)整任何形式的有效負(fù)載。

4.2.2 隧道可以利用封裝技術(shù),對多個(gè)用戶、多個(gè)不同形式的有效負(fù)載進(jìn)行調(diào)整。

4.2.2 當(dāng)使用隧道技術(shù)訪問內(nèi)網(wǎng)時(shí),內(nèi)網(wǎng)不會將其IP 地址報(bào)告給公網(wǎng)。

4.2.3 隧道技術(shù)可以對是否濾掉接收者,或?qū)€(gè)人隧道連接進(jìn)行報(bào)告進(jìn)行選擇,自主性較強(qiáng)。

5 VPN在IPv6校園網(wǎng)中的部署

目前,高校大多的校園網(wǎng)屬于那種典型的三層結(jié)構(gòu),即核心層、匯聚層與接入層。主要的應(yīng)用有:部門之間的互連;信息服務(wù);遠(yuǎn)程訪問;內(nèi)部信息的保密和安全等方面。

由于匯聚設(shè)備很大一部分是不支持IPv6協(xié)議的老舊設(shè)備,所以IPv6協(xié)議不能夠通過路由到達(dá)核心交換機(jī)。一些高校的部分新建樓棟采用的是支持IPv6協(xié)議的三層匯聚交換機(jī),是通過光纖直接接入核心交換機(jī)的。結(jié)合高校校園網(wǎng)的具體情況,從而可以有以下幾種改善建設(shè)思路。

5.1 Access VPN實(shí)現(xiàn)異地訪問 Access VPN是遠(yuǎn)程的方式,具體是首先通過配置VPN服務(wù)器,使之能接受客戶用戶的VPN 撥入,同時(shí)在服務(wù)器端配置VPN 用戶,給予用戶撥入的權(quán)限;其次是配置VPN 客戶端,在客戶端建立VPN 連接。在客戶機(jī)連入Internt 后,就可以進(jìn)行VPN 連接撥入,在客戶機(jī)和遠(yuǎn)端VPN 服務(wù)器之間建立點(diǎn)對點(diǎn)連接。

Access VPN的應(yīng)用,使單機(jī)遠(yuǎn)程移動用戶隨時(shí)隨地以各種方式接入Internet,安全地訪問校園網(wǎng)的資源。實(shí)質(zhì)上是對校園網(wǎng)的延伸,教職工可以打破傳統(tǒng)的固定辦公模式,將辦公地點(diǎn)延伸到家庭或出差地,實(shí)現(xiàn)異地辦公。同時(shí)Access VPN 也能保證教職工用戶端和校園網(wǎng)VPN 服務(wù)器之間數(shù)據(jù)信息傳輸安全。

5.2 應(yīng)用Intranet VPN實(shí)現(xiàn)多個(gè)校區(qū)局域網(wǎng)互聯(lián) 在眾多隧道技術(shù)中,IPSec VPN是使用最為廣泛的一種,其在實(shí)現(xiàn)通信的兩端提供安全的傳輸隧道。該方法定義了哪些數(shù)據(jù)包應(yīng)受到保護(hù),該被放在安全隧道中傳輸。通過標(biāo)識隧道的安全屬性,可以定義用于保護(hù)這些敏感數(shù)據(jù)的安全參數(shù)。更精確地說,這些安全的數(shù)據(jù)傳輸隧道是建立在兩個(gè)IPSec對端的一系列SA上,這些SA參數(shù)定義了哪些協(xié)議和算法可以被應(yīng)用到敏感數(shù)據(jù)、IPSec對端應(yīng)用的密鑰等。IPSec的實(shí)現(xiàn)是靠兩個(gè)對端維持的,實(shí)際上是一種端到端的安全實(shí)現(xiàn);從技術(shù)的角度上說,在端到端客戶的路由器上實(shí)現(xiàn)是最安全合理的方式,中間的路由器不需要做相應(yīng)設(shè)置。因此IPSec實(shí)現(xiàn)的是一種與接入網(wǎng)絡(luò)無關(guān)的VPN技術(shù)。

6 結(jié)論

目前IPv6網(wǎng)絡(luò)已經(jīng)進(jìn)入到全面部署時(shí)期,在以IPv6協(xié)議為主的CERNET2上進(jìn)行應(yīng)用與科研是總的發(fā)展趨勢。在IPv6協(xié)議下構(gòu)建基于VPN的校園網(wǎng)還需要考慮綜合的安全措施,如與入侵檢測、防火墻等設(shè)備的結(jié)合使用。從而形成一種混合技術(shù),構(gòu)建安全的校園網(wǎng)絡(luò)和完美的VPN。

參考文獻(xiàn):

[1]王宇杰,楊志軍.《下一代校園網(wǎng)建設(shè)進(jìn)入新階段(一)》.北京交通大學(xué).中國教育和科研計(jì)算機(jī)網(wǎng),2010.

[2]時(shí)晨,申普兵等.IPv6校園網(wǎng)環(huán)境下IPSecVPN的安全性研究[J]計(jì)算機(jī)技術(shù)與發(fā)展,2010,20(10):168-170.

第8篇:vpn技術(shù)范文

[關(guān)鍵詞]VPN技術(shù);MPLS VPN技術(shù);內(nèi)部網(wǎng)絡(luò);構(gòu)建策略

中圖分類號:TP393.1 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2015)06-0089-02

引言

VPN技術(shù)又稱遠(yuǎn)程訪問技術(shù)或虛擬專用網(wǎng)絡(luò)技術(shù),主要是指利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò),進(jìn)行加密通訊的一種技術(shù)。VPN技術(shù)按照協(xié)議可分類為多種方式,并通過服務(wù)器、硬件、軟件等來實(shí)現(xiàn)。由于VPN技術(shù)具有的經(jīng)濟(jì)性、實(shí)用性、簡單性等特點(diǎn),使其在企業(yè)網(wǎng)絡(luò)中的應(yīng)用十分廣泛。

1.VPN技術(shù)的概述

VPN技術(shù)被定義為通過一個(gè)公用網(wǎng)絡(luò),建立起一個(gè)安全、臨時(shí)的連接,該技術(shù)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,其可以幫助異地用戶、商業(yè)伙伴、供應(yīng)商、公司分支機(jī)構(gòu)同公司的內(nèi)部網(wǎng)建立起可信的安全連接,保證數(shù)據(jù)的安全傳輸。VPN技術(shù)主要的優(yōu)點(diǎn)體現(xiàn)在三方面:一,VPN技術(shù)可以省去專線租用費(fèi)用或長距離電話費(fèi)用,進(jìn)而有效地降低了成本;二,VPN技術(shù)可以充分地利用internet公網(wǎng)資源,快速地建立起公司的廣域連接;三,VPN技術(shù)可以對所有數(shù)據(jù)進(jìn)行加密,以此確保數(shù)據(jù)信息的安全性與保密性,使沒有訪問權(quán)利的用戶無法看到企業(yè)的局域網(wǎng)絡(luò)。

2.VPN技術(shù)構(gòu)建企業(yè)內(nèi)部網(wǎng)絡(luò)的技術(shù)基礎(chǔ)與安全要素

2.1 VPN技術(shù)基礎(chǔ)

實(shí)現(xiàn)一個(gè)完整、系統(tǒng)的VPN技術(shù),主要基礎(chǔ)技術(shù)包括密碼技術(shù)、隧道技術(shù)、網(wǎng)絡(luò)訪問控制技術(shù)等。⑴密碼技術(shù)。密碼技術(shù)作為VPN技術(shù)中的一項(xiàng)基本技術(shù),也是所有通信數(shù)據(jù)安全的基石,是保證信息機(jī)密性的唯一方法。通過對網(wǎng)絡(luò)的加密,防止非授權(quán)用戶的搭線竊聽以及入網(wǎng)行為,有效對抗惡意軟件,最終起到以最小代價(jià)提供最強(qiáng)安全保護(hù)的效果。密碼技術(shù)又可根據(jù)算法分為非對稱密鑰密碼算法與對稱密鑰密碼算法兩種,在應(yīng)用中根據(jù)實(shí)際情況選擇最適宜的一種。

⑵隧道技術(shù)。受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響,企業(yè)內(nèi)部網(wǎng)絡(luò)使用多屬于私有IP地址,但是從這些地址發(fā)出的數(shù)據(jù)包卻不能直接通過Internet傳輸,必須代之合法的IP地址。而隧道技術(shù)便是將這種私有IP地址轉(zhuǎn)換成為合法IP地址的技術(shù)。隧道技術(shù)又稱之為數(shù)據(jù)包封裝技術(shù),發(fā)生在VPN的發(fā)送節(jié)點(diǎn),通過將原數(shù)據(jù)包打包,添加合法的外層IP包頭,然后這個(gè)包再通過公網(wǎng)被傳送到接收端的VPN節(jié)點(diǎn),該節(jié)點(diǎn)在接收后通過拆包處理,還原出原報(bào)文中傳輸給目標(biāo)主機(jī)。從現(xiàn)狀來看,幾乎所有的VPN技術(shù)采用了隧道技術(shù)[1]。

⑶網(wǎng)絡(luò)訪問控制技術(shù)。網(wǎng)絡(luò)訪問控制技術(shù)主要起到對出入廣域網(wǎng)的數(shù)據(jù)包進(jìn)行過濾的作用,一個(gè)系統(tǒng)的VPN產(chǎn)品,應(yīng)該同時(shí)提供完整的網(wǎng)絡(luò)訪問控制功能,才能保證系統(tǒng)的性能、安全性以及統(tǒng)一管理。

2.2 VPN技術(shù)的安全要素

采用VPN技術(shù)構(gòu)建企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí),應(yīng)該具備如下幾點(diǎn)安全要素:一,使用偷聽者無法破解攔截的通道數(shù)據(jù),提供有效的加密手段,保證系統(tǒng)通道的安全性與機(jī)密性;二,VPN技術(shù)要有抵抗不法分子篡改數(shù)據(jù)的功能,接收到的數(shù)據(jù)必須要與發(fā)送時(shí)的數(shù)據(jù)一致,必須保證數(shù)據(jù)的完整性與有效性;三,通信主機(jī)必須經(jīng)過授權(quán),要有抵抗地址假冒的功能,確保數(shù)據(jù)的真實(shí)性;四,可提供安全、有效的訪問控制與防護(hù)措施,可以對VPN通道進(jìn)行訪問控制,同時(shí)也起到抵抗黑客通過VPN通道攻擊網(wǎng)絡(luò)的能力。

3.基于VPN技術(shù)的內(nèi)部網(wǎng)絡(luò)構(gòu)建

文章以西北空管局為例,分析在H3C路由器應(yīng)用下,基于VPN技術(shù)的內(nèi)部網(wǎng)絡(luò)構(gòu)建對策。

3.1 VPN基本組網(wǎng)應(yīng)用

就以某企業(yè)為例,基于VPN建立的企業(yè)內(nèi)部網(wǎng)見圖1所示:

上述可見,企業(yè)內(nèi)部資源享用者利用PSTN/ISDN網(wǎng)或局域網(wǎng)連入本地ISP的POP服務(wù)器,以此來訪問到公司內(nèi)部資源。

3.2 L2TP協(xié)議配置

⑴VPDN指通過PSTN、ISDN等公共網(wǎng)絡(luò)的撥號功能及接入網(wǎng),實(shí)現(xiàn)虛擬專用網(wǎng),為企業(yè)提供接入服務(wù)。VPDN主要有兩種實(shí)現(xiàn)方式,包括:NAS通過隧道協(xié)議與VPDN網(wǎng)關(guān)建立通道的方式、客戶機(jī)與VPDN網(wǎng)關(guān)建立隧道的方式。而VPDN隧道協(xié)議又分為L2F、L2TP、PPTP三種,由于L2TP協(xié)義所具有的多協(xié)議傳輸、高度的安全性與可靠性、靈活的身份驗(yàn)證、支持內(nèi)部地址分配、網(wǎng)絡(luò)計(jì)費(fèi)的靈活性等特點(diǎn),使得該協(xié)議的應(yīng)用最為普遍。L2TP隧道模式有兩種最為典型:1.由遠(yuǎn)程撥號用戶發(fā)起。遠(yuǎn)程系統(tǒng)和PSTN/ISDN撥入LAC,LAC通過Internet向LNS發(fā)起建立通道連接的請求;2.由LAC客戶發(fā)起。LAC客戶也可直接向LNS發(fā)起通道連接請求,由LNS來完成LAC客戶的分配[2]。

⑵PPP用戶通過接入認(rèn)證后,EAD服務(wù)器便會對其進(jìn)行安全認(rèn)證,若是認(rèn)證通過,用戶便可正常訪問網(wǎng)絡(luò)資源,但若認(rèn)證不通過,用戶便只能訪問隔離區(qū)資源。L2TP配置分為LAC端配置與LNS端配置兩種,具體配置可根據(jù)詳細(xì)說明書參閱。值得注意的是,在實(shí)際配置中,一臺設(shè)備可以同時(shí)配置為LAC側(cè)與LNS側(cè),但它們所使用的用戶名不能相同。

⑶L2TP的呼叫可以由NAS主動發(fā)起,也可通過客戶端來發(fā)起,現(xiàn)作舉例說明:其一,NAS-Initialized VPN。用戶先以普通上網(wǎng)方式進(jìn)行撥號上網(wǎng),在接入NAS處對此用戶進(jìn)行驗(yàn)證,發(fā)現(xiàn)是VPN用戶時(shí)由NAS向LNS發(fā)起隧道連接的請求;NAS與LNS隧道建立后,NAS將與VPN用戶協(xié)商的內(nèi)容以報(bào)文形式傳給LNS,LNS根據(jù)預(yù)協(xié)商決定是否接受此連接,用戶與公司總部間的通信均通過NAS與LNA之間隧道傳輸。其二,Client-Initialized VPN。用戶連接Internet后直接向LNS發(fā)起Tunnel連接請求,LNS接受連接請求后,VPN用戶便與LNS間建立了一條虛擬Tunnel,用戶與公司總部間通信均可通過該通道進(jìn)行傳輸。

3.3 DVPN

DVPN動態(tài)虛擬私有網(wǎng)絡(luò)技術(shù)通過動態(tài)獲取對端的信息建立VPN連接,在網(wǎng)絡(luò)中用以構(gòu)建DVPN動態(tài)虛擬私用網(wǎng)絡(luò)的路由器設(shè)備,所有支持DVPN特性的路由器都可以作為DVPN接入設(shè)備。DVPN采用Client/Server模式,對于同一個(gè)DVPN域的N個(gè)接入設(shè)備,均要設(shè)置成一個(gè)Server工作方式,其他可設(shè)置為Client方式。當(dāng)Client到Server注冊成功以后,Client與Server之間便可自動建立起Session隧道。網(wǎng)絡(luò)運(yùn)行中,Server根據(jù)需要,向Client發(fā)送Redirect報(bào)文,Client接收到重定向報(bào)文后,從中得到其他Client信息,并在Client之間建立Session隧道,最終實(shí)現(xiàn)DVPN域中的全連接[3]。

4.MPLS VPN技術(shù)介紹

MPLS-VPN是指采用MPLS(多協(xié)議標(biāo)記轉(zhuǎn)換)技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng),實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信,并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù),將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全 、靈活、高效結(jié)合在一起。

MPLS VPN的網(wǎng)絡(luò)采用標(biāo)簽交換,一個(gè)標(biāo)簽對應(yīng)一個(gè)用戶數(shù)據(jù)流,非常易于用戶間數(shù)據(jù)的隔離,利用區(qū)分服務(wù)體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡(luò)的QoS/CoS問題,MPLS自身提供流量工程的能力,可以最大限度地優(yōu)化配置網(wǎng)絡(luò)資源,自動快速修復(fù)網(wǎng)絡(luò)故障,提供高可用性和高可靠性。MPLS提供了電信、計(jì)算機(jī)、有線電視網(wǎng)絡(luò)三網(wǎng)融合的基礎(chǔ),除了ATM,是目前唯一可以提供高質(zhì)量的數(shù)據(jù)、語音和視頻相融合的多業(yè)務(wù)傳送、包交換的網(wǎng)絡(luò)平臺。因此基于MPLS技術(shù)的MPLS VPN,在靈活性、擴(kuò)展性、安全性各個(gè)方面是當(dāng)前技術(shù)最先進(jìn)的VPN。此外,MPLS VPN提供靈活的策略控制,可以滿足不同用戶的特殊要求,快速實(shí)現(xiàn)增值服務(wù)(VAS),在帶寬價(jià)格比、性能價(jià)格比上,相比其他廣域VPN也具有較大的優(yōu)勢。

MPLSVPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成:

CE(Customer Edge Router)用戶網(wǎng)絡(luò)邊緣路由器設(shè)備,直接與服務(wù)提供商網(wǎng)絡(luò)相連,它“感知”不到VPN的存在;

PE(Provider Edge Router)服務(wù)提供商邊緣路由器設(shè)備,與用戶的CE直接相連,負(fù)責(zé)VPN業(yè)務(wù)接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實(shí)現(xiàn)者;

P(Provider Router)服務(wù)提供商核心路由器設(shè)備,負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù),不與CE直接相連。如圖2

在整個(gè)MPLS VPN中,P、PE設(shè)備需要支持MPLS的基本功能,CE設(shè)備不必支持MPLS。

5.結(jié)束語

基于VPN技術(shù)建立的企業(yè)內(nèi)部網(wǎng)絡(luò),具有安全性高、成本造價(jià)低、擴(kuò)展性佳、可支持動態(tài)分配IP等諸多特點(diǎn),已成為各企業(yè)必不可少的網(wǎng)絡(luò)構(gòu)建方式。而MPLS VPN技術(shù)是基于VPN技術(shù)上延伸出的一種更加適應(yīng)各個(gè)企業(yè)的網(wǎng)絡(luò)技術(shù),有VPN技術(shù)提供安全保障,又引申出了適應(yīng)多種業(yè)務(wù)的傳輸交換協(xié)議。

參考文獻(xiàn)

[1] 李淑梅.中小企業(yè)基于IPSec VPN的網(wǎng)絡(luò)構(gòu)建[J].現(xiàn)代計(jì)算機(jī),2011,9(9):99-101.

第9篇:vpn技術(shù)范文

關(guān)鍵詞:校園網(wǎng) VPN技術(shù) 虛擬專用網(wǎng) 隧道技術(shù) 公共網(wǎng)絡(luò)

隨著網(wǎng)絡(luò)技術(shù)和教學(xué)模式的日新月異,廣大師生要求隨時(shí)隨地訪問校園網(wǎng)上的內(nèi)部資源,這就意味著校園內(nèi)部網(wǎng)絡(luò)暴露在可被攻擊的環(huán)境下,所以需要提供一種安全接入機(jī)制來保障通信以及敏感信息的安全。虛擬專用網(wǎng)(VPN,Virtnal Private Network)的出現(xiàn),為當(dāng)今學(xué)校發(fā)展所需的網(wǎng)絡(luò)通信提供了一種經(jīng)濟(jì)安全的實(shí)現(xiàn)途徑。

1.VPN的概述

VPN(Virtual Private Network,虛擬專用網(wǎng)),它不是一個(gè)真正的專用網(wǎng)絡(luò),而是通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的、穩(wěn)定的隧道,并且所有數(shù)據(jù)均經(jīng)過加密后再在網(wǎng)上傳輸,通過使用這條隧道可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能。它兼?zhèn)淞斯W(wǎng)的便捷和專用網(wǎng)的安全,實(shí)現(xiàn)了利用公網(wǎng)通過加密等手段來實(shí)現(xiàn)單位組織的“專用網(wǎng)”,而成本卻遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專線接入。

2.VPN的安全保證技術(shù)

由于VPN連接的特點(diǎn),私有網(wǎng)絡(luò)的數(shù)據(jù)要在公用網(wǎng)絡(luò)上傳輸,考慮到數(shù)據(jù)的安全性,一般要對傳輸?shù)臄?shù)據(jù)先進(jìn)行加密操作。VPN主要采用的四項(xiàng)安全保證技術(shù)包括:隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)來保證數(shù)據(jù)的安全性。這些技術(shù)可應(yīng)用在TCP/IP協(xié)議層的數(shù)據(jù)鏈路層、IP層、TCP層和應(yīng)用層。

隧道技術(shù)(Tunneling)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶在任何時(shí)間、任何地點(diǎn)訪問企業(yè)網(wǎng)絡(luò)。通過隧道的建立可實(shí)現(xiàn):將數(shù)據(jù)流強(qiáng)制送到特定的地址;隱藏私有的網(wǎng)絡(luò)地址;在IP網(wǎng)上傳遞非IP數(shù)據(jù)包;提供數(shù)據(jù)安全支持。

加解密技術(shù)包括兩個(gè)元素:算法和密鑰。現(xiàn)在比較通用的是密鑰加密技術(shù)。密鑰加密技術(shù)對數(shù)據(jù)加密的技術(shù)又分為兩類,即對稱加密(私人密鑰加密)和非對稱加密。對稱加密的特點(diǎn)是文件加密和解密使用相同的密鑰。非對稱加密算法需要兩個(gè)密鑰:公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對,如果用公開密鑰對數(shù)據(jù)進(jìn)行加密,只有用對應(yīng)的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進(jìn)行加密,那么只有用對應(yīng)的公開密鑰才能解密。

3.VPN的網(wǎng)絡(luò)協(xié)議

常用的VPN網(wǎng)絡(luò)協(xié)議:

PPTP:Point to Point Tunneling Protocol,點(diǎn)到點(diǎn)隧道協(xié)議。它只能在兩端點(diǎn)間建立單一隧道,不支持隧道驗(yàn)證。

L2TP: dyer 2 Tunneling Protocol,第二層隧道協(xié)議。支持在兩端點(diǎn)間使用多隧道,可以提供隧道驗(yàn)證。

GRE:VPN的第三層隧道協(xié)議。定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個(gè)其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。

IPSec:IP Security,網(wǎng)絡(luò)協(xié)議安全,屬于第三層隧道協(xié)議,它不是一個(gè)單獨(dú)的協(xié)議,而是一個(gè)協(xié)議族,即一系列相互關(guān)聯(lián)的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn),它主要對IP協(xié)議分組進(jìn)行加密和認(rèn)證。IPsec作為一個(gè)協(xié)議族,主要由保護(hù)分組流的協(xié)議和用來建立這些安全分組流的密鑰交換協(xié)議組成。

目前,市場上大部分VPN都采用將L2TP和IPSec結(jié)合起來這類技術(shù),即用L2TP作為隧道協(xié)議,用IP-Sec協(xié)議保護(hù)數(shù)據(jù)。它的優(yōu)點(diǎn)是定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議,可確保運(yùn)行在TCPIIP協(xié)議上VPN之間的互操作性。缺點(diǎn)在于,除了包過濾外,它沒有指定其他訪問控制方法,對于采用NAT{網(wǎng)絡(luò)地址翻譯)方式訪問網(wǎng)絡(luò)的情況難以處理,為此最適合于可信LAN到LAN之間VPN的場合應(yīng)用。

SSL:Secure Socket Layer,安全套接字層,是第四層隧道協(xié)議,屬于高層安全機(jī)制,廣泛應(yīng)用于Web瀏覽器程序和Web服務(wù)器程序。在SSL中,身份認(rèn)證是基于證書的,服務(wù)器方向請求的客戶方的認(rèn)證是必須的,現(xiàn)在逐漸得到廣泛的應(yīng)用。

4.VPN技術(shù)在數(shù)字化校園中的應(yīng)用

VPN技術(shù)是采用隧道技術(shù)以及加密、身份認(rèn)證等方法,在Internet上構(gòu)建專用網(wǎng)絡(luò)的技術(shù),數(shù)據(jù)信息通過安全的“加密管道”便能在Internet中傳播。VPN技術(shù)大致可以分三種模式組建網(wǎng)絡(luò),遠(yuǎn)程接入、網(wǎng)絡(luò)互聯(lián)和內(nèi)部安全。

①遠(yuǎn)程訪問

VPN的遠(yuǎn)程訪問解決方案,充分利用了公共基礎(chǔ)設(shè)施和ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商),遠(yuǎn)程用戶通過ISP接入Internet,連接與Internet相連的校園網(wǎng)VPN服務(wù)器,來訪問位于VPN服務(wù)器后面的內(nèi)部網(wǎng)絡(luò)。這樣,遠(yuǎn)程客戶到校園內(nèi)部網(wǎng)的通信就是本地網(wǎng)內(nèi)通信,雖然Internet不夠安全,但是由于采用加密技術(shù),遠(yuǎn)程客戶到VPN服務(wù)器之間的連接是安全的。

②遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)

校園網(wǎng)與家庭、學(xué)校與學(xué)校之間的網(wǎng)絡(luò)互聯(lián),采用這種專線連接方式實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程互聯(lián)。這種專用隧道連接方式連接可靠,速度有保障,便于擴(kuò)展,而且有較高的性價(jià)比。網(wǎng)絡(luò)互聯(lián)是最主要的VPN應(yīng)用模式。

③網(wǎng)絡(luò)內(nèi)部安全

隨著數(shù)字化校園的建設(shè),內(nèi)網(wǎng)的安全性越來越受到重視,對一些關(guān)鍵的應(yīng)用系統(tǒng)之間要進(jìn)行隔離,實(shí)現(xiàn)訪問控制。VPN可建立內(nèi)部專用隧道,實(shí)現(xiàn)安全保密通信,從而組建更為專業(yè)的保密網(wǎng)絡(luò)。

5 結(jié)語

VPN是在公共網(wǎng)絡(luò)上構(gòu)建專有網(wǎng)絡(luò)的技術(shù),將VPN技術(shù)應(yīng)用于校園網(wǎng),可以突破校園網(wǎng)的地域性限制從而優(yōu)化校園網(wǎng)的管理和應(yīng)用。隨著VPN技術(shù)的成熟,因其具有廉價(jià)、安全、可靠的特點(diǎn),而被廣泛的應(yīng)用在遠(yuǎn)程訪問和網(wǎng)絡(luò)互聯(lián)上。它能夠幫助遠(yuǎn)程用戶、各級部門建立可靠的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN網(wǎng)絡(luò)建成以后,大大降低了網(wǎng)絡(luò)復(fù)雜度,簡化了校園網(wǎng)的網(wǎng)絡(luò)管理,提高了整個(gè)校園網(wǎng)的互聯(lián)性。

參考文獻(xiàn):

[1]魏廣科, VPN技術(shù)及其應(yīng)用的研究[J], 計(jì)算機(jī)工程與設(shè)計(jì),2005

精選范文推薦