虚拟专用网络的发展
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虚拟专用网络的发展
摘要:虚拟专用网络(VPN)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用。未来的VPN技术将如何发展,又将在信息安全事务中承担起什么样的角色,是非常值得我们关注的。
关键词:虚拟专用网络(VPN)发展 1. 概述虚拟专用网络即VPN(Virtual Private Network)。顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:”使用IP 机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2. VPN在企业中的主要应用2.1通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务的需要,需要经济可靠的升级方案;大中型企业、集团公司:建立全公司的的远程互联,构建内部专用网络,实现安全的intranet;
2.2企业的内部用户和分机构分布范围广、距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业;2.3分支机构、远程用户、合作伙伴多的企业,需要组建企业专用网;四是关键业务多,对通信线路保密和可性要求高的用户,如银行、证券公司、保险公司等;五是已有各种远程专线连接,需要增加网络连接备份的单位。
3. VPN带给企业的好处3.1 VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司有内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的VPN解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。统计结果显示,企业选用VPN替代传统的拨号网络,可以节省20%—40%的费用;替代网络互联,可减少60%—80%的费用。 3.2 VPN能大大降低网络复杂度,简化网络的设计和管理,在充分保护现有的网络投资的同时,加速连接新的用户和网站,增强内部网络的互联性和扩展性。 3.3 VPN还可以实现网络安全,可以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。 3.4 VPN能增加与用户、商业伙伴和供应商的联系,它可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全的虚拟专用线路,用于经济有效地连接到商业伙伴的用户的安全外联网VPN。
4. VPN的实现技术 4.1隧道技术VPN区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建Intranet VPN和Extranet
VPN。4.2加密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于保护敏感的商业信息。加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。 4.3 QoS技术通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN 性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS 应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行QoS机制配置,通过QoS机制对用户的网络资源分配进行控制以满足应用的需求,这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
5. VPN的主要作用
5.1远程访问
为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。 5.2远程网络互联
基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。 5.3网络内部安全
与Internet上的应用类似,内部网VPN也有两种应用模式,一种是基于VPN的“远程访问”,另一种是基于VPN的“网络互联”,如图3所示。此外,VPN 也被用于两个主机之间的安全连接,如服务器之间的连接。