VPN技術概述

VPN技術

虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。

虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上，一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時，這將簡化網絡的設計和管理，加速連接新的用戶和網站。另外，虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發展，企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上，而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

虛擬專用網至少應能提供如下功能：

·加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露。
·信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。
·提供訪問控制，不同的用戶有不同的訪問權限。

VPN的分類

根據VPN所起的作用，可以將VPN分為三類：VPDN、Intranet VPN和Extranet VPN。

1. VPDN（Virtual Private Dial Network）

在遠程用戶或移動雇員和公司內部網之間的VPN，稱為VPDN。實現過程如下：用戶撥號NSP（網絡服務提供商）的網絡訪問服務器NAS（Network Access Server），發出PPP連接請求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對用戶進行身份驗證，確定是合法用戶，就啟動VPDN功能，與公司總部內部連接，訪問其內部資源。

2. Intranet VPN

在公司遠程分支機構的LAN和公司總部LAN之間的VPN。通過Internet這一公共網絡將公司在各地分支機構的LAN連到公司總部的LAN，以便公司內部的資源共享、文件傳遞等，可節省DDN等專線所帶來的高額費用。

3. Extranet VPN

在供應商、商業合作伙伴的LAN和公司的LAN之間的VPN。由于不同公司網絡環境的差異性，該產品必須能兼容不同的操作平臺和協議。由于用戶的多樣性，公司的網絡管理員還應該設置特定的訪問控制表ACL（Access Control List），根據訪問者的身份、網絡地址等參數來確定他所相應的訪問權限，開放部分資源而非全部資源給外聯網的用戶。

VPN的隧道協議

VPN區別于一般網絡互聯的關鍵于隧道的建立，然后數據包經過加密后，按隧道協議進行封裝、傳送以保安全性。一般，在數據鏈路層實現數據封裝的協議叫第二層隧道協議，常用的有PPTP、L2TP等；在網絡層實現數據封裝的協議叫第三層隧道協議，如IPSec；另外，SOCKS v5協議則在TCP層實現數據安全。

1. PPTP（Point-to-Point Tunneling Protocol）/ L2TP（Layer 2 Tunneling Protocol）

1996年，Microsoft和Ascend等在PPP協議的基礎上開發了PPTP，它集成于Windows NT Server4.0中，Windows NT Workstation和Windows 9.X也提供相應的客戶端軟件。PPP支持多種網絡協議，可把IP、IPX、AppleTalk或NetBEUI的數據包封裝在PPP包中，再將整個報文封裝在PPTP隧道協議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由包丟棄而引發包重傳的數量。PPTP的加密方法采用Microsoft點對點加密（MPPE:Microsoft Point-to-Point Encryption）算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。

1996年，Cisco提出L2F（Layer 2 Forwarding）隧道協議，它也支持多協議，但其主要用于Cisco的路由器和撥號訪問服務器。1997年底，Micorosoft和Cisco公司把PPTP協議和L2F協議的優點結合在一起，形成了L2TP協議。L2TP支持多協議，利用公共網絡封裝PPP幀，可以實現和企業原有非IP網的兼容。還繼承了PPTP的流量控制，支持MP（Multilink Protocol），把多個物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發送（RFC1663）實現數據包的可靠發送。L2TP隧道在兩端的VPN服務器之間采用口令握手協議CHAP來驗證對方的身份。L2TP受到了許多大公司的支持。

●優點：PPTP/L2TP對用微軟操作系統的用戶來說很方便，因為微軟已把它作為路由軟件的一部分。PPTP/L2TP支持其他網絡協議，如Novell的IPX，NetBEUI和Apple Talk協議，還支持流量控制。它通過減少丟棄包來改善網絡性能，這樣可減少重傳。

●缺點：PPTP和L2TP將不安全的IP包封裝在安全的IP包內，它們用IP幀在兩臺計算機之間創建和打開數據通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題。它不對兩個節點間的信息傳輸進行監視或控制。PPTP和L2TP限制同時最多只能連接255個用戶。端點用戶需要在連接前手工建立加密信道。認證和加密受到限制，沒有強加密和認證支持。
PPTP和L2TP最適合用于遠程訪問虛擬專用網。

2. IPSec（Internet Protocol Security）

IPSec是IETF（Internet Engineer Task Force）正在完善的安全標準，它把幾種安全技術結合在一起形成一個較為完整的體系，受到了眾多廠商的關注和支持。通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。IPSec由IP認證頭AH（Authentication Header）、IP安全載荷封載ESP（Encapsulated Security Payload）和密鑰管理協議組成。

IPSec協議是一個范圍廣泛、開放的虛擬專用網安全協議。IPSec適應向IP v6遷移，它提供所有在網絡層上的數據保護，提供透明的安全通信。IPSec用密碼技術從三個方面來保證數據的安全。即：

·認證。用于對主機和端點進行身份鑒別。
·完整性檢查。用于保證數據在通過網絡傳輸時沒有被修改。
·加密。加密IP地址和數據以保證私有性。

IPSec協議可以設置成在兩種模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IP v4數據包封裝在安全的IP幀中，這樣保護從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統開銷。IPSec現在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預計它今后將成為虛擬專用網的主要標準。IPSec有擴展能力以適應未來商業的需要。在1997年底，IETF安全工作組完成了IPSec的擴展，在IPSec協議中加上ISAKMP（Internet Security Association and Key Management Protocol）協議，其中還包括一個密鑰分配協議Oakley。ISAKMP/Oakley支持自動建立加密信道，密鑰的自動安全分發和更新。IPSec也可用于連接其他層已存在的通信協議，如支持安全電子交易（SET：Secure Electronic Transaction）協議和SSL（Secure Socket layer）協議。即使不用SET或SSL，IPSec都能提供認證和加密手段以保證信息的傳輸。

●優點：它定義了一套用于認證、保護私有性和完整性的標準協議。 IPSec支持一系列加密算法如DES、三重DES、IDEA。它檢查傳輸的數據包的完整性，以確保數據沒有被修改。IPSec用來在多個防火墻和服務器之間提供安全性。IPSec可確保運行在TCP/IP協議上的VPNs之間的互操作性。

●缺點：IPSec在客戶機/服務器模式下實現有一些問題，在實際應用中，需要公鑰來完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態分配IP地址時不太適合于IPSec。除了TCP/IP協議外，IPSec不支持其他協議。除了包過濾之外，它沒有指定其他訪問控制方法�？赡芩�的最大缺點是微軟公司對IPSec的支持不夠。

IPSec最適合可信的LAN到LAN之間的虛擬專用網，即內部網虛擬專用網。

3. SOCKs v5

SOCKs v5由NEC公司開發，是建立在TCP層上安全協議，更容易為與特定TCP端口相連的應用建立特定的隧道，可協同IPSec、L2TP、PPTP等一起使用。SOCKs v5能對連接請求進行認證和授權。

SOCKS v5是一個需要認證的防火墻協議。當SOCKS同SSL協議配合使用時，可作為建立高度安全的虛擬專用網的基礎。SOCKS協議的優勢在訪問控制，因此適合用于安全性較高的虛擬專用網。SOCKS現在被IETF建議作為建立虛擬專用網的標準，盡管還有一些其他協議，但SOCKS協議得到了一些著名的公司如 Microsoft，Netscape，IBM的支持。

SOCKS v5的優點：SOCKS v5在OSI模型的會話層控制數據流，它定義了非常詳細的訪問控制。在網絡層只能根據源和目的IP地址允許或拒絕數據包通過，在會話層控制手段要更多一些。SOCKS v5在客戶機和主機之間建立了一條虛電路，可根據對用戶的認證進行監視和訪問控制。SOCKS v5和SSL工作在會話層，因此能向低層協議如IP v4，IPSec，PPTP，L2TP一起使用。它能提供非常復雜的方法來保證信息安全傳輸。用SOCKS v5的代理服務器可隱藏網絡地址結構。如果SOCKS V5同防火墻結合起來使用，數據包經一個唯一的防火墻端口（缺省的是1080）到代理服務器，再經代理服務器過濾發往目的計算機的數據，這樣可以防止防火墻上存在的漏洞。SOCKS v5能為認證、加密和密鑰管理提供“插件”模塊，可讓用戶很自由地采用他們所需要的技術。SOCKS v5可根據規則過濾數據流，包括Java Applet和ActiveX控件。

●SOCKS v5的缺點：因為SOCKS v5通過代理服務器來增加一層安全性，因此其性能往往比低層協議差。盡管比網絡層和傳輸層的方案要更安全，但要制定比低層協議更為復雜的安全管理策略。

基于SOCKSv5的虛擬專用網最適合用于客戶機到服務器的連接模式，適合用于外聯網虛擬專用網。
作者：iamafan

文章來源于領測軟件測試網 http://www.kjueaiud.com/