VPN网络需要三部分,不同的是VPN连接不是采用物理的传输介质,而是使用一种称之为“隧道”的东西来作为传输介质的,这个隧道是建立在公共网络或专用网络基础之上的,如因特网或专用Intranet等。同时要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server(目前Windows系统是最为普及,也是对VPN技术支持最为全面的一种操作系统)的VPN服务器,VPN服务器一方面连接企业内部专用网络(LAN),另一方面要连接到因特网或其它专用网络,这就要VPN服务器必须拥有一个公用的IP地址,也就是说企业必须先拥有一个合法的Internet或专用网域名。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由NSP(网络服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器将所有的数据传送到目标计算机。因为在VPN隧道中通信能确保通信通道的专用性,并且传输的数据是经过压缩、加密的,所以VPN通信同样具有专用网络的通信安全性。整个VPN通信过程可以简化为以下4个通用步骤:
(1)客户机向VPN服务器发出请求;
(2) VPN服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到VPN服务器;
(3) VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN服务器接受此连接;
(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。
1. VPN的优势
VPN网络给用户所带来的好处主要表现在以下几个方面:
(1)节约成本
这是VPN网络技术的最为重要的一个优势,也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30%到70%的开销。开销的降低发生在4个领域之中:
移动通讯费用的节省:这主要是针对于有许多职工需要移动办公的企业来说的,因为这样对于出差在外地的移动用户来说只需要接入本地的ISP就可以与公司内部的网络进行互连,大大减少了长途通信费。企业可以从他们的移动办公用户的电话费用上看到立竿见影的好处。
专线费用的节省:采用VPN的费用比起租用专线来要低40~60%,而无论是在性能、可管理性和可控性方面两者都没有太大的差别。通过向虚拟专线中加入语音或多媒体流量,企业还可以进一步获得成本的节约。这一点对于过去有过租用象DDN之类的专线的企业用户就会有更深刻的感受了,租用DDN一个小小的64k就得每月花费几千上万元费用,采用VPN后不仅这方面的费用会大大减少(但通常不能全免,因为在企业与NSP之间这一段还得租用NSP的专用线路,但这已是相当短的了),而且还可能会在带宽上有更大的优势,因为现在的VPN技术可以支持宽带技术了。
设备投资的节省:VPN允许将一个单一的广域网接口用作多种用途,从分支机构的互联到合作伙伴通过外联网(Extranet)的接入。因此,原先需要流经不同设备的流量可以统一地流经同一设备。由此带来的好处便是企业不再像原先那样需要大量的广域网接口了,也不必再像以前那样频繁地进行周期性的硬件升级了,这样就可大大减少了企业固定设备的投资,这对于是、小型企业来说是非常之重要的。此外,VPN还使企业得以继续对其关键业务型的旧有系统进行有效利用,从而达到保护软硬件投资的目的。
支持费用的节省:通过减少Modem池的数量,企业自身支持费用可以被降至最低。原先用来对远程用户进行支持的、经常超负荷工作的企业支持热线(通常还需由专人负责)被NSP帮助桌面系统所取代。而且,由于NSP帮助桌面系统可以完全实现从总部中心端进行管理,因此VPN可以极大地降低对远程网络的安装和配置成本。在降低费用方面主要表现为:远程用户可以只通过向当地的ISP申请账户登录到因特网,以因特网作为隧道与远程企业内部专用网络相连。这样采用拨号方式的远程用户则不需要采用长途拨号,企业总部也可只支付ISP本地网络使用费,在长途通信费用方面就会大幅度降低,据专业分析机构调查显示,采用VPN与传统的拨号方式相比可以节约通讯成本可达50%-80%。与租用专线方式相比更具有明显的费用优势,一般VPN每条连接的费用成本只相当于租用专线的40%到60%;VPN还允许一个单一的WAN接口服务多种用途,因此用户端只需要极少的WAN接口和设备。而且由于VPN是可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需的设备上的开销。另外,由于VPN独立于初始的协议,这就使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件系统上的投资。
(2)增强的安全性
目前VPN主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。
在用户身份验证安全技术方面,VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);
在数据加密和密钥管理方面VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进行管理。MPPE使Windows 95、98和NT 4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输,并具有最小的公共密钥开销。以上的身份验证和加密手段由远程VPN服务器强制执行。对于采用拨号方式建立VPN连接的情况下,VPN连接可以实现双重数据加密,使网络数据传输更安全。
还有,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
(3)网络协议支持
VPN支持最常用的网络协议,这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。新的VPN技术可以全面支持如Appletalk、DECNet、SNA等几乎所有的局域网协议,应用更加全面。
(4)容易扩展
如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能及时实现,因为这些工作都可以交由专业的NSP来负责,从而可以保证工程的质量,更可以省去一大堆麻烦。企业只需与新的NSP签约,建立账户;或者与原有的NSP重签合约,扩大服务范围。VPN路由器还能对工作站自动进行配置。
(5)可随意与合作伙伴联网
在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。这样相当麻烦,不便于企业自身的发展,也就是租用的专线在灵活性方面是非常不够。有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断,可以实现灵活自如的扩展和延伸。
(6)完全控制主动权
借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
(7)安全的IP地址
因为VPN是加密的,VPN数据包在因特网中传输时,因特网上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。IP地址的不安全性也是在早期的VPN没有被充分重视的根本原因之一。
(8)支持新兴应用
许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等,而且随着网络接入技术的发展,新型的VPN技术可以支持诸如ADSL、Cable Modem之类的宽带技术。
上面介绍了VPN的主要优势,那么哪些用户适合采用VPN网络连接呢?综合VPN技术的特点,可以得出主要有以下四类用户适合采用VPN进行网络连接:
a.网络接入位置众多,特别是单个用户和远程办公室站点多,例如多分支机构企业用户、远程教育用户;
b.用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户,如一些跨国公司;
c.带宽和时延要求相对适中,如一些提供IDG服务的ISP;
d.对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。
根据VPN的应用平台可分为:软件平台、专用硬件平台及辅助硬件平台三类。
(1)软件平台VPN
当对数据连接速率较低要求不高,对性能和安全性要求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能,如checkpoint software和Aventail Corp等公司的产品。甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。
这类VPN网络一般性能较差,数据传输速率较低,同时在安全性方面也比较低,一般仅适用于连接用户较少的小型企业。
(2)专用硬件平台VPN
使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com等,国内的如华为、联想等。
这类VPN平台虽然投资了大量的硬件设备,但是它具有先天的不足,就是成本太高,对于中、小型企业很难承受。并且由于全是由硬件来构成的平台,因此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适,因为它们都有这方面的人才和资金优势。不过现在的主流VPN硬件设备制造商都能提供相应的管理软件来支持,如Cisco、3COM公司等,这在后面章节中将具体介绍它们的VPN解决方案。
(3)辅助硬件平台VPN
这类VPN的平台介于软件平台和指定硬件平台的之间,辅助硬件平台的VPN主要是指以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。这是一种最为常见的VPN平台,性能也是最好的一种。但是通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还得添加专业的VPN设备,如VPN交换机、VPN网关或路由器等,对于一个完善的、高性能的VPN网络这些设备在一定程度上来说是非常必要的。
这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性,同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省了总体投资。目前绝大多数企业VPN方案选用。
2.主要VPN协议
通过前面的介绍知道VPN隧道协议主要有三种:PPTP、L2TP和IPSec,PPTP和L2TP协议是工作在OSI/RM开放模型中的第二层,所以又称之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议,那就是Cisco公司的L2F(Layer 2 Forwarding)协议。在VPN网络中最常见的第三层隧道协议是IPSec,但另一种GRE(Generic Routing Encapsulation,通用路由封装协议,在RFC 1701中早有描述)也是属于一个第三隧道协议。
第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用,但合理的运用两层协议,将具有更好的安全性。例如:L2TP与IPSec协议的配合使用,可以分别形成L2TP VPN、IPSec VPN网络,也可混合使用L2TP、IPSec协议形成性能更强的L2TP VPN网络,且这一VPN网络形式是目前性能最好、应用最广的一种,因为它能提供更加安全的数据通信,解决了用户的后顾之忧。
3. VPN的部署模式
VPN的部署模式从本质上描述了VPN通道的起始点和终止点,不同的VPN模式适用于不同的应用环境,满足不同的用户需求,总的来说有3种VPN部署模式:
(1)端到端(End-to-End)模式;
该模式是自建VPN的客户所采用的典型模式,也是最为彻底的VPN网络。在这种模式中企业具有完全的自主控制权,但是要建立这种模式的VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常见的隧道协议是IPSec和PPTP。这种模式一般只有大型企业才有条件采用,这种模式最大的好处,也是最大的不足之处就是整个VPN网络的维护权都是由企业自身完成,需花巨资购买成套昂贵的VPN设备,配备专业技术人员,同时整个网络都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企业到NSP之间的透明段。
(2)供应商―企业(Provider-Enterprise)模式;
这是一种外包方式,也是目前一种主流的VPN部署方式,适合广大的中、小型企业组建VPN网络。在该模式中,客户不需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协议有L2TP、L2F和PPTP。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……
-
Eric Cole:并非僭越 CISO应该直接向CEO报告
Secure Anchor咨询公司创始人兼SANS研究所高级研究员Eric Cole博士倡导一种新的报告结构,即首席信息安全官向CEO报告,而不是CIO。
-
浏览器插件Silverlight遭路过式攻击 怎么解?
在之前浏览器插件Silverlight遭受路过式攻击后,Silverlight的安全性开始受到质疑。在本文中,专家Michael Cobb解释了如何抵御这种攻击。
-
Android设备上如何阻止VPN绕过漏洞和恶意应用?
在Android设备中出现VPN绕过漏洞允许恶意应用通过VPN并重定向数据的情况,那么在补丁发布前,该如何阻止这种情况发生?