什么是VPN
什么是VPN?
術語名稱:VPN
術語解釋:虛擬專用網的縮寫,是使用互聯(lián)網連接物理上分散的系統(tǒng)來模擬單一專用網的安全方式。VPN支持遠程和移動用戶訪問公司網絡。
?
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡可以把它理解成是虛擬出來的企業(yè)內部專線。
VPN可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,在交換機,防火墻設備或Windows 2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業(yè)網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。
網絡協(xié)議
VPN主要采用的四項安全保證技術
VPN主要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
常用的虛擬私人網絡協(xié)議有:
IPSec : IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標準,它主要對IP協(xié)議分組進行加密和認證。
IPsec作為一個協(xié)議族(即一系列相互關聯(lián)的協(xié)議)由以下部分組成:(1)保護分組流的協(xié)議;(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分:加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH),認證頭提供了對分組流的認證并保證其消息完整性,但不提供保密性。目前為止,IKE協(xié)議是唯一已經制定的密鑰交換協(xié)議。
PPTP: Point to Point Tunneling Protocol -- 點到點隧道協(xié)議
在因特網上建立IP虛擬專用網(VPN)隧道的協(xié)議,主要內容是在因特網上建立多協(xié)議安全虛擬專用網的通信方式。
L2F: Layer 2 Forwarding -- 第二層轉發(fā)協(xié)議
L2TP: Layer 2 Tunneling Protocol --第二層隧道協(xié)議
GRE:VPN的第三層隧道協(xié)議
使用方法
一.便攜網帳號申請開通
企業(yè)向運營商申請租用一批便攜網使用帳號(即license,譯:許可證),由企業(yè)自行管理分配帳號。企業(yè)管理員可以將需要使用便攜網的各個部門,成立不同的VCN域,即不同的工作組,比如可分為財務、人事、市場、外聯(lián)部等等。同一工作組內的成員可以互相通訊,既加強了成員之間的聯(lián)絡,又保證了數據的安全。而各個工作組之間不能互相通訊,保證了企業(yè)內部數據的安全。
二.便攜網客戶端安裝
1.系統(tǒng)需求
表—列出了在裝有Microsoft Windows操作系統(tǒng)的計算機上安裝便攜網絡客戶端軟件(yPND:your Portable Network Desktop)的最小系統(tǒng)要求。計算機必須符合或好于最小系統(tǒng)要求才能成功的安裝和使用便攜網絡客戶端軟件
2.預安裝
為成功安裝 便攜網絡客戶端 軟件必須確保滿足下列情況:
? 計算機符合“系統(tǒng)需求”表所列的最小系統(tǒng)要求。
安裝程序時會檢查系統(tǒng)是否符合要求,如果不滿足就不能繼續(xù)安裝,必須使系統(tǒng)符合要求才能安裝。
· 必須有計算機的系統(tǒng)管理員權限才能安裝。
特點
1.安全保障雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業(yè)數據提供不同等級的服務質量保證。不同的用戶和業(yè)務對服務質量保證的要求差別較大。在網絡優(yōu)化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網絡阻塞,使實時性要求高的數據得不到及時發(fā)送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優(yōu)先級分實現帶寬管理,使得各類數據能夠被合理地先后發(fā)送,并預防阻塞的發(fā)生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
需求及解決方案
虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上,一個企業(yè)的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業(yè)服務不斷發(fā)展,企業(yè)的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業(yè)網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。
目前很多單位都面臨著這樣的挑戰(zhàn):分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等?,F在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業(yè)內部虛擬網(Intranet VPN)和企業(yè)擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統(tǒng)的遠程訪問網絡、企業(yè)內部的Intranet以及企業(yè)網和相關合作伙伴的企業(yè)網所構成的Extranet(外部擴展)相對應。
對于很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和復雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對于用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案和昂貴的內部應用相集成,對任何IT專業(yè)人員來說都是嚴峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制,大量的企業(yè)都認為IPSec VPN是一個成本高、復雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業(yè)內部信息孤島,很多公司需要在與企業(yè)相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網絡結構,運營成本低的解決方案。
---- 從概念上講,IP-VPN是運營商(即服務提供者)支持企業(yè)用戶應用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網絡的情況(如運營商的運營商)。
---- 圖1給出了實現IP-VPN的一個通用方案。其中,CE路由器是用于將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。
---- 站點是指這樣一組網絡或子網,它們是用戶網絡的一部分,并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位于不同的幾個VPN之中。
---- 圖2顯示了一個服務提供者網絡支持多個VPN的情況。如圖2所示,一個站點可以同時屬于多個VPN。依據一定的策略,屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉發(fā)能力,也可以不提供這種能力。當一個站點同時屬于多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
---- MPLS為實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎,服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己的網絡如何支持IP-VPN。所以,在MPLS/ATM網絡中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
---- 本節(jié)介紹一種在公共網中使用MPLS提供IP?VPN業(yè)務的方法。該方法使用LDP的一般操作方式,即拓撲驅動方式來實現基本的LSP建立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。
---- 圖3 給出了在MPLS/ATM核心網絡中提供IP?VPN業(yè)務的一種由LER和LSR構成的網絡配置。
---- LER (標記邊緣路由器)
---- LER是MPLS的邊緣路由器,它位于MPLS/ATM服務提供者網絡的邊緣。 對于VPN用戶的IP業(yè)務量,LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享,它還應當具有執(zhí)行虛擬路由的能力。這就是說,它應當為自己服務的各個VPN分別建立一個轉發(fā)表,這是因為不同VPN的IP地址空間可能是有所重疊的。
---- LSR(標記交換路由器)
---- MPLS/ATM核心網絡是服務提供者的下層網絡,它為用戶的IP-VPN業(yè)務所共享。
---- 建立IP-VPN區(qū)域的操作
---- 希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IP?VPN區(qū)域。作為一種普通的LDP操作,基本的LSP 建立過程將使用拓撲驅動方法來進行,這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于VPN內部路由,則將使用兩級LSP隧道(標記堆棧)。
---- VPN成員
---- 每一個LER都有一個任務,即發(fā)現在VPN區(qū)域中為同一 IP?VPN服務的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道,所以 LER發(fā)現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網絡LSP,向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。
---- LDP Hello消息實際上是一種查詢消息,通過這一消息,發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER(對等實體)。新的Hello消息相鄰實體注冊完成之后,相關的兩個LER之間將開始發(fā)起LDP會話。隨后,其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之后,對等LER之間的會話便建立起來了。此后,雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,并被置于原有的標記之上。
---- VPN成員資格和可到達性信息的傳播
---- 通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER 是為同一個VPN服務的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地建立LDP會話。
---- VPN內的可到達性
---- 最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IP?VPN的一員時,配置信息將包含它在VPN內部要使用的路由協(xié)議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成為其他LER的相鄰路由器。在VPN內部路由方案中,每一次發(fā)現階段結束之后,每一個LER 都將發(fā)布通過它可以到達的、VPN用戶的地址前綴。
---- IP分組轉發(fā)
---- LER之間的路由信息交互完成之后,各個LER都將建立起一個轉發(fā)表,該轉發(fā)表將把VPN用戶的特定地址前綴(FEC轉發(fā)等價類) 與下一跳聯(lián)系起來。當收到的IP分組的下一跳是一個LER時,轉發(fā)進程將首先把用于該LER的標記(嵌套隧道標記)推入標記棧,隨后把能夠到達該LER的基本網絡LSP上下一跳的基本標記推入標記分組,接著帶有兩個標記的分組將被轉發(fā)到基本網絡LSP中的下一個LSR;當該分組到達目的LER時,最外層的標記可能已經發(fā)生許多次的改變,而嵌套在內部的標記始終保持不變;當標記棧彈出后,繼續(xù)使用嵌套標記將分組發(fā)送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
---- 本節(jié)將對一種在公共網中使用MPLS和多協(xié)議邊界網關協(xié)議來提供IP-VPN業(yè)務的方法進行介紹,其技術細節(jié)可以參見RFC 2547。
---- 圖1 給出了在MPLS/ATM核心網絡中提供IP?VPN業(yè)務的、由LER和LSR構成的網絡配置,圖4則給出了使用RFC 2547的網絡模型。
---- 提供者邊緣(PE)路由器
---- PE路由器是與用戶路由器相連的服務提供者邊緣路由器。
---- 實際上它就是一個邊緣LSR(即MPLS網絡與不使用 MPLS的用戶或服務提供者之間的接口)。
---- 用戶邊緣 (CE)路由器
---- CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。
---- 提供者(P)路由器
---- P路由器是指網絡中的核心LSR。
---- 站點(Site)
---- 站點是指這樣一組網絡或子網:它們是用戶網絡的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
---- 路徑區(qū)別標志
---- 服務提供者將為每一個VPN分配一個唯一的標志符,該標志符稱為路徑區(qū)別標志(RD),它對應于服務提供者網絡中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉發(fā)表里將包含一系列唯一的地址,這些地址稱為VPN?IP 地址,它們是由RD與用戶的IP地址連接而成的。VPN?IP地址對于服務提供者網絡中的每一個端點都是唯一的,對于VPN中的每一個節(jié)點(即VPN中的每一個PE路由器),轉發(fā)表中都將存儲有一個條目。
---- 連接模型
---- 圖4給出了MPLS/BGP VPN的連接模型。
---- 從圖4中可以看出,P路由器位于MPLS網絡的核心。 PE路由器將使用MPLS與核心MPLS網絡通信,同時使用IP路由技術來與CE路由器通信。 P與PE路由器將使用IP路由協(xié)議(內部網關協(xié)議)來建立MPLS核心網絡中的路徑,并且使用LDP實現路由器之間的標記分發(fā)。
---- PE路由器使用多協(xié)議BGP?4來實現彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網狀連接。特別地,圖4中的PE處于同一自治域中,它們之間使用內部BGP (iBGP)協(xié)議。
---- P路由器不使用BGP協(xié)議而且對VPN一無所知,它們使用普通的MPLS協(xié)議與進程。
---- PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑,也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別了解。
---- PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現路徑分發(fā),BGP使用VPN-IP地址(由RD和IPv4地址構成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復的情況。
---- PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發(fā)到正確的LSP上。
---- 這一方案使用兩級標記:內部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發(fā)給正確的PE。
---- 建立IP-VPN區(qū)域的操作
---- 希望提供IP-VPN業(yè)務的網絡提供者必須按照連接需求對網絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普通的路由協(xié)議配置;為了與MPLS核心網絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持VPN。
>---- VPN成員資格和可到達性信息的傳播
---- PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。
---- PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。
---- PE路由器將為其支持的每一個VPN分別建立路由表和轉發(fā)表,與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。
---- IP分組轉發(fā)
---- PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉發(fā)表,該轉發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。
---- 當收到發(fā)自CE路由器的IP分組時,PE路由器將在轉發(fā)表中查詢該分組對應的VPN。
---- 如果找到匹配的條目,路由器將執(zhí)行以下操作:
---- 如果下一跳是一個PE路由器,轉發(fā)進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用于把分組轉發(fā)到到達目的PE路由器的、基本網絡LSP上的第一跳;帶有兩級標記的分組將被轉發(fā)到基本網絡LSP上的下一個LSR。
---- P路由器(LSR)使用頂層標記及其路由表對分組繼續(xù)進行轉發(fā)。當該分組到達目的LER時,最外層的標記可能已發(fā)生多次改變,而嵌套在內部的標記保持不變。
---- 當PE收到分組時,它使用內部標記來識別VPN。此后, PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發(fā)所要使用的接口。
---- 如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網絡提供者具備這一能力)。如果找不到路由,相應分組將被丟棄。
---- VPN?IP轉發(fā)表中包含VPN?IP地址所對應的標記,這些標記可以把業(yè)務流路由至VPN中的每一個站點。這一過程由于使用的是標記而不是IP 地址,所以在企業(yè)網中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網絡進行業(yè)務傳輸時無需網絡地址翻譯(NAT)。通過為每一個VPN使用不同的邏輯轉發(fā)表,不同的VPN業(yè)務將可以被分開。使用BGP協(xié)議,交換機可以根據入口選擇一個特定的轉發(fā)表,該轉發(fā)表可以只列出一個VPN有效目的地址。
---- 為了建立企業(yè)的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
---- 安全
---- 在服務提供者網絡中,PE所使用的每一個分組都將與一個RD相關聯(lián),這樣,用戶無法將其業(yè)務流或者是分組偷偷送入另一個用戶的VPN。要注意的是,在用戶數據分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業(yè)務相同的安全等級。
還有如下的說明:
VPN是Virtual Private Network的縮寫,中文譯為虛擬專用網。Virtual Network的含義有兩個,一是VPN是建立在現有物理網絡之上,與物理網絡具體的網絡結構無關,用戶一般無需關心物理網絡和設備;二是VPN用戶使用VPN時看到的是一個可預先設定義的動態(tài)的網絡。Private Network的含義也有兩個,一是表明VPN建立在所有用戶能到達的公共網絡上,特別是Internet,也包括PSTN、幀中繼、ATM等,當在一個由專線組成的專網內構建VPN時,相對VPN這也是一個“公網”;二是VPN將建立專用網絡或者稱為私有網絡,確保提供安全的網絡連接,它必須具備幾個關鍵功能:認證、訪問控制、加密和數據完整。
一個網絡連接一般由三個部分組成:客戶機、傳輸介質和服務器。VPN也一樣,不同的是VPN連接使用隧道作為傳輸通道,靠的是對數據包的封裝和加密。
VPN是一種快速建立廣域聯(lián)接的互聯(lián)和訪問工具,也是一種強化網絡安全和管理的工具。
VPN建立在用戶的物理網絡之上、融入在用戶的網絡應用系統(tǒng)之中。VPN技術涵蓋了多個技術專業(yè),不同應用領域所適用的技術和產品有很大差異。
VPN技術仍在快速發(fā)展中。
SSL VPN
從概念角度來說,SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實現遠程接入的一種新型VPN技術。SSL協(xié)議是網景公司提出的基于WEB應用的安全協(xié)議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應用于各種瀏覽器應用,也可以應用于Outlook等使用TCP協(xié)議傳輸數據的C/S應用。正因為SSL 協(xié)議被內置于IE等瀏覽器中,使用SSL 協(xié)議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。相對于傳統(tǒng)的IPSEC VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網絡適應強等特點,這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區(qū)別。
一般而言,SSL VPN必須滿足最基本的兩個要求:
1. 使用SSL 協(xié)議進行認證和加密;沒有采用SSL 協(xié)議的VPN產品自然不能稱為SSL VPN,其安全性也需要進一步考證。
2. 直接使用瀏覽器完成操作,無需安裝獨立的客戶端;即使使用了SSL 協(xié)議,但仍然需要分發(fā)和安裝獨立的VPN客戶端 (如Open VPN)不能稱為SSL VPN,否則就失去了SSL VPN易于部署,免維護的優(yōu)點了。
分類比較
socks5 VPN與IPSec VPN、ssl vpn特點比較
首先讓我們從SSL VPN和IPSec VPN個陣營出發(fā)做一個比較。
1 SSL VPN相對于IPSec VPN的優(yōu)勢
1.1 SSL VPN比IPSec VPN部署、管理成本低
首先我們先認識一下IPSEC存在的不足之處:
在設計上,IPSec VPN是一種基礎設施性質的安全技術。這類VPN的真正價值在于,它們盡量提高IP環(huán)境的安全性??蓡栴}在于,部署IPSec需要對基礎設施進行重大改造,以便遠程訪問。好處就擺在那里,但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術支持,包括在運行和長期維護兩個方面。在大的企業(yè)通常有幾個專門的員工為通過IPSec安全協(xié)議進行的VPN遠程訪問提供服務。
IPSec VPN最大的難點在于客戶端需要安裝復雜的軟件,而且當用戶的VPN策略稍微有所改變時,VPN的管理難度將呈幾何級數增長。SSL VPN則正好相反,客戶端不需要安裝任何軟件或硬件,使用標準的瀏覽器,就可通過簡單的SSL安全加密協(xié)議,安全地訪問網絡中的信息。
其次我們再看看SSL的優(yōu)勢特點:
SSL VPN避開了部署及管理必要客戶軟件的復雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋梁,目前對SSL VPN公認的三大好處是:
第一來自于它的簡單性,它不需要配置,可以立即安裝、立即生效;
第二個好處是客戶端不需要麻煩的安裝,直接利用瀏覽器中內嵌的SSL協(xié)議就行;
第三個好處是兼容性好,傳統(tǒng)的IPSec VPN對客戶端采用的操作系統(tǒng)版本具有很高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,而SSL VPN則完全沒有這樣的麻煩。
綜合分析可見:
1. SSL VPN強調的優(yōu)勢其實主要集中在VPN客戶端的部署和管理上,我們知道SSL VPN一再強調無需安裝客戶端,主要是由于瀏覽器內嵌了SSL協(xié)議,也就是說是基于B/S結構的業(yè)務時,可以直接使用瀏覽器完成SSL的VPN建立;
2. 某些SSL VPN廠商如F5有類似IPSec VPN的“網絡訪問”方式,可以解決傳統(tǒng)的C/S應用程序的問題,用戶用瀏覽器登錄SSL VPN設備后,撥通網絡訪問資源即可獲得一個虛擬IP,即可以訪問按照安全策略允許訪問的內網地址和端口,和IPSec VPN不同的是,這種方式并非工作在網絡層,所以不會有接入地點的限制;
1.2 SSL VPN比IPSec VPN更安全
首先我們還是先認識一下IPSEC存在的不足之處:
1. 在通路本身安全性上,傳統(tǒng)的IPSec VPN還是非常安全的,比如在公網中建立的通道,很難被人篡改。說其不安全,是從另一方面考慮的,就是在安全的通路兩端,存在很多不安全的因素。比如總公司和子公司之間用IPsec VPN連接上了,總公司的安全措施很嚴密,但子公司可能存在很多安全隱患,這種隱患會通過IPsec VPN傳遞給總公司,這時,公司間的安全性就由安全性低的分公司來決定了。
2. 比如黑客想要攻擊應用系統(tǒng),如果遠程用戶以IPSec VPN的方式與公司內部網絡建立聯(lián)機之后,內部網絡所連接的應用系統(tǒng),黑客都是可以偵測得到,這就提供了黑客攻擊的機會。
3. 比如應對病毒入侵,一般企業(yè)在Internet聯(lián)機入口,都是采取適當的防毒偵測措施。采用IPSec聯(lián)機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。
4. 不同的通訊協(xié)議,并且通過不同的通訊端口來作為服務器和客戶端之間的數據傳輸通道。以Internet Email系統(tǒng)來說,發(fā)信和收信一般都是采取SMTP和POP3通訊協(xié)議,而且兩種通訊協(xié)議采用25和110端口,若是從遠程電腦來聯(lián)機Email服務器,就必須在防火墻上開放25和110端口,否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec VPN聯(lián)機就會有這個困擾和安全顧慮。在防火墻上,每開啟一個通訊埠,就多一個黑客攻擊機會。
其次我們再看看SSL的優(yōu)勢特點:
1. SSL安全通道是在客戶到所訪問的資源之間建立的,確保點到點的真正安全。無論在內部網絡還是在因特網上數據都不是透明的,客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
2. 若是采取SSL VPN來聯(lián)機,因為是直接開啟應用系統(tǒng),并沒在網絡層上連接,黑客不易偵測出應用系統(tǒng)內部網絡設置,同時黑客攻擊的也只是VPN服務器,無法攻擊到后臺的應用服務器,攻擊機會相對就減少。有的廠商如F5公司的產品,可以對客戶端允許訪問的地址、協(xié)議、端口都加以限制;可以對客戶端做各種檢查,如操作系統(tǒng)補丁、防病毒軟件及病毒庫更新時間、個人防火墻等等,不符合條件的客戶端可以不允許其登錄,這樣就大大增加了整個系統(tǒng)的安全性。
3. 而對于SSL VPN的聯(lián)機,病毒傳播會局限于這臺主機,而且這個病毒必須是針對應用系統(tǒng)的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。有的廠商如F5公司的產品,自身帶有防病毒軟件,更可以通過標準協(xié)議連接防病毒軟件,加強對于病毒的防治。
4. SSL VPN就沒有這方面的困擾。因為在遠程主機與SSLVPN 之間,采用SSL通訊端口443來作為傳輸通道,這個通訊端口,一般是作為Web Server對外的數據傳輸通道,因此,不需在防火墻上做任何修改,也不會因為不同應用系統(tǒng)的需求,而來修改防火墻上的設定,減少IT管理者的困擾。如果所有后臺系統(tǒng)都通過SSL VPN的保護,那么在日常辦公中防火墻只開啟一個443端口就可以,因此大大增強內部網絡受外部黑客攻擊的可能性。
1.3 SSL VPN與IPSec VPN相比,具有更好的可擴展性
首先我們還是先認識一下IPSec VPN存在的不足之處:
IPSec VPN在部署時一般放置在網絡網關處,因而要考慮網絡的拓撲結構,如果增添新的設備,往往要改變網絡結構,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可擴展性比較差。
其次我們再看看SSL VPN的優(yōu)勢特點:
SSL VPN就有所不同,它一般部署在內網中任一節(jié)點處即可,可以隨時根據需要,添加需要VPN保護的服務器,因此無需影響原有網絡結構。
1.4 SSL VPN在訪問控制方面比IPSec VPN具有更細粒度
為什么最終用戶要部署VPN,究其根本原因,還是要保護網絡中重要數據的安全,比如財務部門的財務數據,人事部門的人事數據,銷售部門的項目信息,生產部門的產品配方等等。
首先我們還是先認識一下IPSEC存在的不足之處:
由于IPSec VPN部署在網絡層,因此,內部網絡對于通過VPN的使用者來說是透明的,只要是通過了IPSec VPN網關,他可以在內部為所欲為。因此,IPSec VPN的目標是建立起來一個虛擬的IP網,而無法保護內部數據的安全。所以IPSec VPN又被稱為網絡安全設備。
其次我們再看看SSL的優(yōu)勢特點:
在電子商務和電子政務日益發(fā)展的今天,各種應用日益復雜,需要訪問內部網絡人員的身份也多種多樣,比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網絡不同的是,SSL VPN重點在于保護具體的敏感數據,比如SSL VPN可以根據用戶的不同身份,給予不同的訪問權限。就是說,雖然都可以進入內部網絡,但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問,做的每筆交易、每個操作進行數字簽名,保證每筆數據的不可抵賴性和不可否認性,為事后追蹤提供了依據。
1.5 使用SSL VPN相比IPSec VPN也具有更好的經濟性
假設一個公司有1000個用戶需要進行遠程訪問,那么如果購買IPSec VPN,那么就需要購買1000個客戶端許可,而如果購買SSL VPN,因為這1000個用戶并不同時進行遠程訪問,按照統(tǒng)計學原理,假定只有100個用戶會同時進行遠程訪問,只需要購買100個客戶端許可即可。
2 F5產品的特色
現在市場上充斥了各式各樣的SSL VPN產品,相對于IPSec VPN產品之間的區(qū)別,SSL VPN產品之間的區(qū)別大的驚人,從“玩具”形態(tài)只實現了簡單反向SSL代理的SSL VPN到提供了眾多功能的“工具”級的成熟SSL VPN產品,是完全不同的,下面從F5的FirePass的特點出發(fā)再與IP Sec VPN產品做一個對比。
2.1 產品的多樣化
F5的FirePass在同一硬件里集成了IP Sec VPN與SSL VPN功能,為企業(yè)節(jié)省了投資。
2.2 豐富的功能
F5的FirePass的SSL VPN包括網絡訪問、web 應用程序、Windows文件共享、移動電子郵件、針對C/S應用的應用訪問等功能,提供了遠比IPSec VPN豐富的功能。
2.3 高可用性
對于遠程訪問非常重要的企業(yè)來說,遠程訪問設備的高可用性非常重要,而IPSec VPN無法提供高可用性,往往成為系統(tǒng)的單點故障。而F5 FirePass可以多臺以集群方式對外提供服務,也可以前端使用F5 BIG IP作為負載均衡設備對外提供服務,在提高系統(tǒng)可用性的同時也提高了系統(tǒng)性能。
2.4 與企業(yè)原有AAA服務器集成
企業(yè)在部署遠程訪問設備之前,一般都部署了各種形式的AAA服務器,一般有Active Directory、LDAP、Raduis、企業(yè)自行開發(fā)的SSO等等,客戶端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務器集成,對于IT管理員來說,可以輕易將一臺FirePass加入企業(yè)網,用戶管理仍然由原來的 AAA服務器去做。
2.5 詳細的日志功能
IPSec VPN的日志功能非常薄弱,而FirePass可以提供非常豐富的用戶級日志功能,更可以通過標準的日志協(xié)議將日志實時傳送給企業(yè)中的日志服務器,便于審計。
2.6 更高的安全性
IPSec VPN的安全性一直是一個弱點,由于IPSec VPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題,而F5 FirePass可以很好的解決這個問題。在FirePass的門戶站主機訪問模式下,FirePass可以對上傳的文件做病毒掃描,更可以與企業(yè)現有的防病毒軟件聯(lián)動,徹底解決病毒問題。而FirePass內帶的內容檢查功能,解決了Web攻擊問題。
F5 FirePass可以對客戶端做各種掃描,如操作系統(tǒng)版本、補丁版本、防病毒軟件種類、病毒庫更新時間等等,從而堵住病毒、木馬入侵的途徑。
F5 FirePass可以對接入客戶進行各種限制,如可以訪問的地址、端口、URL等等。
F5 FirePass可以配置成在退出時自動清除高速緩存。
以上這些功能都大大增強了系統(tǒng)的安全性。
2.7 接入設備的多樣性
F5 FirePass可以使用多種客戶端接入,包括Mac、Linux、Solaris、Windows CE等等,大大擴展了客戶端的使用便利性。
2.8 更高的性能
對于SSL VPN的性能,一向是IPSec VPN陣營攻擊SSL VPN的有力武器。確實,SSL VPN單臺的性能是無法與最高端的IPSec VPN相抗衡的,但是由于F5的FirePass可以通過自由堆疊來擴展,反而可以提供更高的性能。
Socks5 VPN功能是對傳統(tǒng)的IPSec VPN和SSL VPN的革新,是在總結了IPSec VPN和SSL VPN的優(yōu)缺點以后,提出的一種全新的解決方案。
3.Socks5 VPN運行在會話層,并且提供了對應用數據和應用協(xié)議的可見性,使網絡管理員能夠對用戶遠程訪問實施細粒度的安全策略檢查?;跁拰訉崿FSocks5 VPN的核心是會話層代理,通過代理可以將用戶實際的網絡請求轉發(fā)給應用服務器,從而實現遠程訪問的能力。
在實現上,通過在用戶機器上安裝Socks5 VPN瘦客戶端,由瘦客戶端監(jiān)控用戶的遠程訪問請求,并將這些請求轉化成代理協(xié)議可以識別的請求并發(fā)送給Socks5 VPN服務器進行處理,Socks5 VPN服務器則根據發(fā)送者的身份執(zhí)行相應的身份認證和訪問控制策略。在這種方式上,Socks5 VPN客戶端和Socks5 VPN服務器扮演了中間代理的角色,可以在用戶訪問遠程資源之前執(zhí)行相應的身份認證和訪問控制,只有通過檢查的合法數據才允許流進應用服務器,從而有力保護了組織的內部專用網絡。
VPN上管理帶寬
在網絡中,服務質量(QoS)是指所能提供的帶寬級別。將QoS融入一個VPN,使得管理員可以在網絡中完全控制數據流。信息包分類和帶寬管理是兩種可以實現控制的方法:
信息包分類
信息包分類按重要性將數據分組。數據越重要,它的級別越高,當然,它的操作也會優(yōu)先于同網絡中相對次要的數據。
帶寬管理
通過帶寬管理,一個VPN管理員可以監(jiān)控網絡中所有輸入輸出的數據流,可以允許不同的數據包類獲得不同的帶寬。
其他的帶寬控制形式還有:
通信量管理
通信量管理方法的形成是一個服務提供商在Internet通信擁塞中發(fā)現的。大量的輸入輸出數據流排隊通過,這使得帶寬沒有得到合理使用。
公平帶寬
公平帶寬允許網絡中所有用戶機會均等地利用帶寬訪問Internet。通過公平帶寬,當應用程序需要用更大的數據流,例如MP3時,它將減少所用帶寬以便給其他人訪問的機會。
傳輸保證
傳輸保證為網絡中特殊的服務預留出一部分帶寬,例如視頻會議,IP電話和現金交易。它判斷哪個服務有更高的優(yōu)先權并分配相應帶寬。
[1]網絡管理員必須管理虛擬個人網絡以及使一個組織正常運作所需的資源。因為遠程辦公還有待發(fā)展,VPN管理員在維護帶寬上還有許多問題。然而,新技術對QoS的補充將會幫助網絡管理員解決這個問題。
國內外知名硬件VPN品牌
目前國內外硬件VPN產品已經相對比較成熟了,這里列出幾個國內外有一定歷史的知名品牌:
國外品牌:1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone
國內品牌:1.e地通 2.深信服 3.H3C 4.迅博 5.冰峰網絡 6.奧聯(lián) 7.衛(wèi)士通 8.賽藍 9.365VPN 10.X-Y小語vpn11.天益隨易聯(lián)vpn12.易通VPN 13.網一VPN 14.513VPN15.517VPN
國內VPN標準制定:
VPN標準分為兩類:IPSec VPN、SSL VPN
IPSec VPN國家標準制定單位:華為、深信服、中興、無錫江南信息安全工程技術中心。
SSL VPN國家標準制定單位:華為技術有限公司、深圳市深信服電子科技有限公司、無錫江南信息安全工程技術中心、成都衛(wèi)士通信息產業(yè)股份有限公司、深圳市奧聯(lián)科技有限公司等十余家單位。
國內免費的VPN
91vpn: 91vpn是由91wangyou提供的一種永久免費VPN服務,簡單易用。
55dns加速器:55dns加速器是一種加速軟件,自帶客戶端,目前免費的VPN,優(yōu)點:使用簡單、加速穩(wěn)定
OpenVPN,這是目前最佳的開源VPN軟件,配置簡單,特色眾多,支持多平臺。
最簡單也是最方便的方法:去各大網站找測試免費VPN或者免費VPN代理,也有一些免費vpn公布器,差不多每天都會有人發(fā),有些速度還不錯。
優(yōu)點:速度還行,隨到隨拿。
缺點:使用期限較短,而且有些使用人數一多VPN就容易被封。
Winsows2003 vpn設置 如下:
一般在中小企業(yè)都喜歡用NAT來實現網絡共享,通常又不會裝其他NAT軟件,在原來Win 2000的基礎上Win 2003又增加了對VPN的支持,無需第三方軟件或硬件就能完成連接……
硬件:雙網卡,一塊接ADSL modem,一塊接局域網。
首先右擊“我的電腦”,選擇“管理”,在“本地用戶和組”中,添加一個VPN連接的用戶名,并允許遠程連接。再打開“控制面板/管理工具”,雙擊其中的“管理服務器”,選擇“添加刪除角色”,添加“遠程訪問/VPN”。
添加VPN服務
設置NAT轉發(fā)
如果你還沒有設置連接到ADSL的連接,在選擇了“創(chuàng)建一個新的到Internet的請求撥號接口”后,會彈出ADSL撥號連接的設置窗口,按照通常的ADSL撥號連接設置進行設置即可。
設置連接到Internet的網卡
設置連接內網的網卡
還是打開“管理服務器”,進入"遠程/VPN”管理,如圖所示:
管理VPN連接
右擊ADSL連接,選擇“屬性”,在里面可以修改撥號連接的方式和屬性。
此處還可修改撥號連接的屬性
接下來設置VPN連接與防火墻對VPN端口的開啟,右擊“端口”,選擇“屬性”,默認VPN連接數為“PPTP"5個,L2TP 5個”,可以在屬性中修改。
修改VPN的屬性
右擊你建立的服務器,選擇“屬性”,接下來設置VPN撥入時候的IP地址,如果有DHCP服務器的話也可以使用。
設置撥入IP地址
接著設置防火墻規(guī)則,不然外面進不來,右擊你的ADSL連接,選擇“屬性”,雙擊“VPN網關(PPTP)”,在里邊設置即可,當然,你也可以不用默認的防火墻,裝個ISA2004效果更好。
設置撥入防火墻
再在服務器上裝個動態(tài)域名解析,應該更方便連接VPN,呵呵。
非常好我支持^.^
(0) 0%
不好我反對
(0) 0%
相關閱讀:
- [電子說] 基于IPSec VPN隧道技術的國密加密網關保障電力工控數據安全 2023-10-16
- [通信網絡] 交換機的VLAN配置實現案例 2023-10-12
- [電子說] 什么是VPN協(xié)議,工業(yè)路由器的vpn協(xié)議有什么用 2023-10-08
- [電子說] 工業(yè)物聯(lián)網解決方案:水務防汛L2TP VPN組網監(jiān)控系統(tǒng) 2023-08-28
- [電子說] 一文詳解SRv6 2023-08-24
- [電子說] SRv6開啟新IP時代 2023-08-24
- [電子說] 5G CPE 無線路由器CPE 2023-08-21
- [電子說] 戶外組網擺脫布線困擾,工業(yè)5G網關實現無人值守、遠程實時監(jiān)控 2023-08-11
( 發(fā)表人:admin )