|
|
| VPN技术与应用 |
| 作者:不详 来源:不详 发布时间:2007-1-16 21:44:09 发布人:dtdsb |
 减小字体
 增大字体
在当今社会,各行各业的竞争日趋白热化,谁先掌握信息,谁就拥有主动权;谁能跟上全球化发展的步伐,谁就能争取到更大的发展空间。而这一切都依赖于资讯科技的发达。 我们已经拥有了高速的局域网和城域网,遍布全球的Internet,还有蓬勃发展的无线数据网络。企业通过在内网使用OA等系统提高了效率,提升了竞争力。因此一些企业直接将内网向Internet开放,希望可以让员工在家里或差旅途中通过Internet就能访问到企业的内部资源,但这样简单的方法在提高信息系统效能的同时也带来诸多网络安全隐患。
因为伴随IT技术一同蓬勃发展的还有病毒与黑客技术。它们给我们带来太多的威胁。一方面,新的病毒层出不穷,杀毒软件的更新似乎永远慢病毒一步;另一方面,各种黑客工具非常容易得到,普通人就能轻易的对系统实施攻击和入侵,以至于我们没有底气保证放在防火墙后面的服务器不会遭到攻击。
面对如此多的问题,难道我们再回到信息孤岛时代吗?是否有一种技术,能将企业内网安全的延伸到Internet中,使企业可以“全天候”利用OA等系统来创造效益呢?
关键词:虚拟网VPN 安全隧道
一、什么是vpn?
虚拟专用网(Virtual Private Network,VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是一种“基于公共数据网,给用户一种直接连接到局域网感觉的服务”。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
二、企业为何要用VPN
企业为了贴近市场的需求,就近建立分支机构服务当地的客户,这是现代竞争不得不做的决定,但是如何整合企业的内部资源,让资料同步化,决策更快速,困扰所有的网管人员。大型企业有足够的能力及预算建立速度较快的点对点数据专线,但是众多的中小型企业呢 所以透过网际网络建立的VPN信道就变成企业间建立网络联机的首选。相较于早期依赖调制解调器拨接、数据专线或分封网络联系的企业网络系统,利用防火墙实现VPN的优点如下:
1、投资低,无后续投资。
由于VPN是利用公用网络INTERNET为基础而建立的虚拟专网,因而初期只有一次性投资购买设备,避免建设传统专用网络所需的高额硬件投资。
2、建网方便,使用灵活。
通过VPN,企业可以明显更低的成本连接他们的远程办事机构,及业务合作伙伴能够方便快捷地连接到企业网中,利用公网上传输用户私有数据,弥补了专线的缺陷,极大地节省了时间,降低了运营成本,加快了核心业务流程,保证了用户的安全性和可扩展性。对于用户来说,VPN提供了点对点的连接、保密性、QoS和可管理性。
3、可扩展性强。
企业通过防火墙建立VPN更为方便快捷,只要可以接入INTERNET,就可以和远程防火墙建立VPN连接。每增加一个分支机构,建立一个VPN节点连接时,只要在防火墙上作相应设置即可,便可以做到即开即通,
4、网络安全可靠。
目前通过公网进行通讯面临的主要危胁是来自公网的未经授权的用户对企业内部网的存取以及信息可能受到窃听和非法修改。
实现VPN主要采用国际标准的网络安全技术,通过在公网上建立逻辑隧道及网络层的加密,避免网络数据被修改和盗用,保证了用户数据的安全性及完整性。
5、完全控制主动权,易维护。
VPN上的设施和服务完全掌握在企业手中。通过防火墙全球管理工具,还可以在总部或任一地点管理分布在各地的防火墙设备,也可以为不同地点的防火墙设备做不同的设置,建立报警中心,集中、实时的监控各地的设备运行状态和网络访问流量。因此网络维护相对容易许多。
三、VPN 在企业网络的运作模式
VPN在企业网络系统下的运作模式,依其用途可以区分为三大类:
1. 总公司跟分公司内部网络联机(Site to Site VPN )。
2. 远程存取(Point to Site VPN)。
3. 公司跟外部网络建立VPN。
以某个企业在台湾台北设有总公司,同时建置其数据库及网际网络服务,在台湾台中、高雄有服务据点,中国大陆苏州、广东东筦有制造工厂,同时有营业及服务人员使用笔记型计算机散布在世界各地服务客户。
VPN信道建立目标:
1、 台湾台中、高雄分公司同时会有2部计算机以上同时存取公司进销存系统。
2、 中国大陆苏州、广东东筦的生管系统可以跟总公司数据库主机资料同步。
3、 在外业务或服务人员,随时可以进入生管系统查询客户订单的生产流程。
4、 所有人员都可以使用公司的电子邮件服务器。
5、 总公司使用两条ADSL 双向512Kbps,固定IP地址。
6、 分公司及工厂使用计时制的ADSL 调制解调器。
7、 在外面的营业及服务人员使用任何可以上网的工具,如Modem、ISDN、ADSL等。
总公司跟分公司内部网络联机(Site to Site VPN )
不论是分公司或工厂,每个地方同一时间内都有超过2台以上的计算机会对总公司内部网络的数据库主机做存取动作,所以采用Site to Site VPN 的建置方式,所谓Site to Site VPN 就是利用防火墙内建的VPN功能或专属的VPN设备,透过网际网络建立信道,让两端的计算机都可以互相通讯,例如,总公司的IP网段为 192.168.1.0/24,分公司的IP网段为192.168.2.0/24,一但建立信道,总公司跟分公司的计算机好象透过两个路由器及长途数据专线连接起来,分公司的计算机直接存取总公司的网络资源,而不需要执行任何外挂的软件。
在这个范例中,总公司采用ShareTech公司所生产的BM-188A产品,当作总公司的防火墙及VPN设备,ShareTech BM-188A除了具有上述两种功能外,又有频宽管理及2 WAN 线路负载平衡的能力,因为总公司负责所有分公司数据链路的重责大任,所以设备必须能整合两个不同线路供货商的网际网络服务,确保所有服务不中断。分公司及工厂则依其使用者多寡,采用ShareTech所生产的FW-3180A或FW -2190防火墙及VPN设备。
在这个范例中,建立4条VPN信道,将5个地方的网络连接在一起,不论是在哪个地方,都可以存取总公司的数据库主机,而不管网际网络上的实体IP变化。使用的技术是IPSec,IPSec是由IETF所提出的IP层通讯安全保密架构,几乎所有市面上的防火墙、路由器都有支持它,所以应用面相当广。
远程存取(Point to Site VPN)
网际网络快速发展及笔记型计算机取代桌上型计算机的趋势,让行动办公室不再是高不可攀的方式,企业为数众多在外打拼的人员,如何让他们跟公司的互动更加密切,更快速地了解生产进度、销货情形。除了传统的电子邮件及实时通讯软件外,是否还有其它方法,让这一些人能够实时地、安全地进入公司的ERP系统、进销存系统操作企业机密的资料。一般的做法是将这些资料以WEB的方式或使用特定Port号直接进入系统中操作,但是这样等于撤守防火墙的防线,开大门请有心人士直接攻击主机,如何在安全、保密、方便及预算中取得最佳的平衡点,Point to Site 形式的VPN联机是一个最好的答案。
以上面的企业组织为例,除了既有的ShareTech BM-188A防火墙+VPN设备外,再使用Microsoft的 PPTP Client端程序,所以不需要添购额外的软件及硬件。
在外人员取得IP地址是总公司内部的一部份网段,所以PPTP建立的VPN就好象透过网际网络拉了一条无线长的网络线给笔记型计算机,当然可以使用公司内部的资源,又因为所有资料在网际网络上传递都有加密,所以安全性获得确保。
公司跟外部网络建立VPN
不同的企业之间如何利用网际网络降低沟通成本及人事操作,网络连接是最好的方式,但是不同企业间建立的VPN信道并不像上面两种联机方式那么简单,因为一但建立两端的VPN联机,所有两端的计算机、主机都会畅通无阻,没有任何管制,这对属于企业内部编制人员而言,不会有太大困扰,但是对于不同公司之间,对于资料的安全性就要详加考虑,当然建立VPN信道的技术及方法并没有改变。以Site to Site技术建立的VPN 信道为例,将原本建立到内部网络的IPSec VPN转到对非军事区去,透过防火墙管制非军事区的IP到内部网络行为就可以获得初步的管理效果,如果能在非军事区建立两层的防火墙,对于这样的运用会更安全。
四、应用VPN后的问题
网络联机速度
这不只是一个数学问题,而是牵扯广泛的网络哲学,举例来说,台湾用双向512Kbps连上网际网络,中国也选择同样速度的网际网络联机,当两边用VPN设备连起来后,点对点的联机速度并不是双向512 Kbps,因为网际网络是属于共享性平台,实际的联机速度取决于两岸之间的网际网络供货商所能提供的最大频宽,慎选线路供货商在这个地方往往能达到事半功倍的效果。
骇客、病毒透过VPN传递
一旦建立VPN联机,所有两端的计算机、主机都会畅通无阻,没有任何管制,有可能企业对外的联机防护相当缜密、安全,但是攻击及病毒感染确来自VPN联机的另外一端。
VPN设备稳定度
VPN设备建立联机后,如何保证这个联机能够持续稳定地联机,因为VPN断线不一定是设备的问题,有可能是网际网络线路被中断一段时间导致联机不正常,VPN 设备如何侦测任何可能的情况,并在最短时间内恢复联机,考验所有VPN设备。
五、结论
VPN对企业的帮助相当大,它大幅地降低联机成本、加快反应速度、增加企业竞争力,虽然有一些负面的考虑,但是整体而言,利多于弊,就好象****,可以用来杀人、也可以保护自己,对于信息主管或企业主而言,选择功能完整的防火墙及VPN设备,就让事情成功一半。
六、VPN的发展方向!
当今世界全球化的进程越来越快,这使得分布在世界各地的企业各分支机构、合作伙伴和客户之间的联系越来越紧密。因此安全的远程接入企业内部网络成为企业亟待解决的问题。
随着网络的发展,远程接入也经历了租用专线,IPSec VPN,SSL VPN三个阶段。
1. 通过租用专线的方式实现点到点之间的远程接入无疑是一种迅速、安全且可*的通信手段,但其成本过高,灵活行较差,而且对于内部网络的安全访问控制有限。这种远程接入对于现在的大多数企业来说不太适用。
2. IPSec VPN通过在Internet上建立“隧道”,为公司的防火墙或者网关外的使用者提供远程接入到企业内部资源的链接,但是“隧道”两端的使用者只能够使用同一厂商的设备。这就限制了企业通过IPSec VPN与合作伙伴或者是客户之间建立企业Extranet的应用。除此之外IPSec VPN还有其他的一些不足:
分发和管理客户端软件将是一件非常麻烦和费时的事情。而且如果使用者的网络环境发生了变化,那将需要对原有的客户端配置进行修改,对于企业的IT部门来说将带来很多的烦恼。
IPSec VPN两端的全部网络是彼此可见的。这样就算企业自身内部网络没有问题,但当合作伙伴或者客户端的网络不安全,通过IPSec远程接入同样会使企业内部网络受到来自隧道另一端的威胁。
有许多内部网络使用NAT,当非专业的IPSec使用者如果不寻找公司技术人员的支持,不更改一些配置常常不能建立远程接入。而且IPSec需要在防火墙上开放多个端口,而在其他公司的防火墙上一般是不开放这些非标准的端口的,因为那样会增加企业网络的安全风险。
3. 在这种情况下SSL VPN技术浮出了水面,SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的,SSL VPN继承了IPSec VPN的远程使用与内网使用一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题。从功能上可以提供C/S应用和B/S应用访问,并非只能解决web应用。
那SSL VPN到底是怎样的呢?
SSL VPN通过SSL协议,利用PKI的证书体系,在传输过程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法保证数据的机密性、完整性、不可否认性而完成秘密传输,实现在Internet上安全的进行信息交换。因为SSL VPN具备很强的灵活性,因而广受欢迎,如今所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。它们共同为应用访问连接提供认证、加密和防篡改功能。SSL能在TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。
SSL安全功能组件包括三部分:认证,服务器对客户端进行验证同时对服务器和客户端进行验证;加密,对通信进行加密,只有经过加密的双方才能交换信息并相互识别;完整性检验,进行信息内容检测,防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证,SSL握手子协议负责这一进程处理:客户端向服务器提交有效证书,服务器采用公共密钥算法对证书信息进行检验,以确认终端用户的合法性。
SSL VPN控制功能强大,能方便公司实现更多远程用户在不同地点远程接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。随着远程接入需求的不断增长,SSL VPN是实现任意位置的远程安全接入的理想选择。
VPN在技术上分为两大类,IPSEC VPN和SSL VPN。
三、SSL VPN相对于 IPSec VPN的优势
1.SSL VPN比IPSec VPN部署、管理成本低
在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过浏览器内嵌的SSL安全加密协议,安全地访问网络中的信息。
SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是:
第一来自于它的简单性,它不需要配置,可以立即安装、立即生效;
第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;
第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
SSL VPN强调的优势主要集中在VPN客户端的部署和管理上, SSL VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;
某些SSL VPN厂商如F5有类似IPSec VPN的“网络访问”方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL VPN设备后,拨通网络访问资源即可获得一个虚拟IP,即可以访问按照安全策略允许访问的内网地址和端口,和IPSec VPN不同的是,这种方式并非工作在网络层,所以不会有接入地点的限制;
2.SSL VPN与IPSec VPN相比,具有更好的可扩展性
IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
3.SSL VPN在访问控制方面比IPSec VPN具有更细粒度
为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
三、SSL VPN 价格劣势
由于SSL VPN 是新技术,与IPSEC相比价格没有优势。
四、SSL VPN 接入方式
SSL VPN 设备安装无需改变现有网络结构,接入到局域网即可进行配置。
具体实施方法:
总部一端通过光纤接入互联网,接口经转换成网络接口(RJ-45)直接与交换机和防火墙连接。一端原部署一台防火墙保持不变,要实现与分支机构建立VPN隧道进行通信,方法是通过交换机,另外增加一台防火墙与防火墙并联在网关处。分支机构一端通过光纤接入互联网,接口经转换成网络接口(RJ-45),连接一台防火墙与总部新增防火墙建立VPN通道。通过对总部端新增防火墙路由表的设置,能够实现当总部端访问远程分支机构时,总部新增防火墙直接与远程分支机构通过VPN隧道实现通信;当总部用户访问互联网时,新增防火墙将访问Internet的信息转至原防火墙进行外出访问。通过对新增防火墙路由的设置,可以将VPN通信及Internet访问单独分成两部分完成:所有VPN的访问都经由总部端新增防火墙,而对Internet的访问都经过原防火墙完成。
|
|
[]
[返回上一页]
[打 印]
[收 藏] |
|
| ∷相关文章评论∷ (评论内容只代表网友观点,与本站立场无关!) [更多评论...] |
|
|
设为首页
加入收藏
联系我们
