资源预览内容
第1页 / 共6页
第2页 / 共6页
第3页 / 共6页
第4页 / 共6页
第5页 / 共6页
第6页 / 共6页
亲,该文档总共6页全部预览完了,如果喜欢就下载吧!
资源描述
陈侃侃 1380081 虚拟专用网络虚拟专用网络(VPN: Vir tual Priva te Net work)VPN是通过公用网络(如Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用 网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络,尤其是网络经济 的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定 地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、 经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,可以 帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并 保证数据的安全传输。因此,虚拟专用网赢得了越来越多的企业的青睐,通过将数据流转移 到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远 程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运 行与维护,更多地致力于企业商业目标的实现。如下图可以清楚的看到目前流行的,应用比 较广泛两种VPN的连接方式IPsec VPN和SSL VPN。图1VPN有多种,每种都能满足特定的需求下面是二种主要的VPN:1) 内部网接入VPN:接入VPN让移动办公者和小型办公室/家庭办公室SOH0能通过基础的 共享设施远程接入总部的内部网和外联网。该方式使用专用连接通过共享基础设施将地区性 办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于, 前者只允许企业的雇员访问。2) 外联网VPN: “外联网(Extranet)”是不同单位间为了频繁交换业务信息,而基于互联 网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网,所以 不仅要确保信息在传输过程中的安全性,更要确保对方单位不能超越权限,通过外联网连入 本单位的内网。)外联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起 来。外联网VPN与内部网VPN的区别在于,前者允许企业以外的用户访问。IPSec VPNIPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性 前提下,被选用来在网络第三层建立IP-VPN的方法,特別是对于无法负担Frame Relay或 ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL VPN以其设置简单无 需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准,相对于SSL VPN而言应用较早的一种VPN技术。 IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保 护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。1) IPsec 协议IP_SECURITY协议(IPSec),通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模 式和传输模式。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的 一整套体系结构,包括网络认证协Aut hen ti ca tion Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议 Internet Key Exchange(IKE)和用 于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全 算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。2) IPSec VPN接入通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦 隧道创建,用户PC就如同物理地处于企业LAN中。就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访 问企业网络功能而言,IPSec无可比拟。然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要 在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是 一个重要因素。因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对 移动连接的需求。但SSL VPN也有其缺点:业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet 而言,SSL VPN是很好;但对需要较高安全级别(SSL VPN的加密级别通常不如IPSec VPN高)、较为复杂的应用而言,就需要IPSec VPN。3) IPSec VPN 的应用是提供站点到站点连接的首要工具,通过这种连接,你可以在广域网(WAN)上实现基础设 施到基础设施的通信。而SSLVPN不需要客户软件的特性有助于降低成本、减缓远程桌面维 护方面的担忧。但是,SSL的局限性在于,只能访问通过网络浏览器连接的资源。所以,这 要求某些应用要有小应用程序,这样才能够有效地访问。如果企业资产或应用没有小应用程 序,要想连接到它们就比较困难。因而,你无法在没有客户软件的环境下运行,因为这需要 某种客户软件丰富(Client-Rich)的交互系统。SSL VPN1) SSL VPN 协议SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成, 其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传 输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录 协议利用握手协议生成的密钥加密和解密后来交换的数据。2) SSL VPN的接入SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL 置身于网络结构体系的传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支 持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用 于VPN不同于IPsec-vpn的关键点。3) SSL VPN的应用典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动 或家庭办公的用户考虑;而OpenVPN主要是针对企业异地或两地总分公司之间的VPN不间断 按需连接,例如ERP在企业中的应用。OpenVPN允许参与建立VPN的单点使用预设的私钥, 第三方证书,或者用户名/密码来进行身份验证。它大量使用了 OpenSSL 加密库,以及 SSLv3/TLSvl 协议。OpenVPN 能在 Linux、xBSD、Mac OS X与 Windows 2000/XP上运行。它 并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。2 IPSec VPN 和 SSL VPN 的优劣部署方案IPSEC VPN是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSec VPN 在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN 就要重新部署,因此造成IPSec VPN的可扩展性比较差。由于工作在第三层,对上层的应用是透明的,几乎可以为所有的应用提供服 务,包括客户端/服务器模式和某些传统的应用及网络共享等。以IPSec VPN作为点对点连结方案,可以提供网与网之间的连接。 SSL VPN工作在网络层和应用层之间,它一般部署在内网中任一节点处即可,可以随时根据 需要,添加需要VPN保护的服务 器,因此无需影响原有网络结构。大多数SSL的VPN都是基Web浏览器工作的,基于Web访问的开放体系和一些特定的系统如 邮件,ftp等,主要用于单机对服务器的访问。浏览器/服务器(Browser/Server)结构,简称B/S结构,与C/S结构不同,其客户端不需 要安装专门的软件,只需要浏览器即可,浏览器通过Web服务器与数据库进行交互,可以方便的在不同平台下工作。客户机/服务器(Client/Server)结构,简称C/S结构。服务器通常采用高性能的PC、工 作站或小型机,并采用大型数据库系统,如ORACLE、SYBASE、SQL Server。客户端需要安装专用的客户端软件来实现与服务器端进行交 互。SSL这种方案可以解决OS客户软件问题、客户软件维护问题,但肯定不能完全替代IPSec VPN,因为他们各自所要解决的是几乎没多少重叠的两种不同问题:1) SSL优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL无需安装客户端, 主要是由于浏览器内嵌了 SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但如果客户 的应用系统采用的是C/S结构的话,仍然需要安装Client软件;2) 目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的 用户95%以上都有基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的;3) 基于B/S结构的安全性劣于基于C/S结构;4) 基于IPSEC的VPN虽然在业务应用基于B/S 上没有基于SSL的方便,但在业务应用基于 C/S方面却存在很大优势。安全性1) 安全测试一IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的 测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基 准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSALabs实验室也开始着手SSL/TLC的认证计划,预计在今年底 可以完成第一阶段的Cryp to运算建置及基础功能测试程序。2) 认证和权限控管一IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate)或是一组 Secret Key 来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就 没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持Selectors让网络封包过滤阻隔某些特定的主机应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设 定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。在电子商务和电子 政务日益发展的今天,各种应用日益复 杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人 员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据, 比如SSL VPN可以根据用户的不同身 份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数 据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔 交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。可以对接入客户进行各种限制, 如可以访问的地址、端口、URL等等,因此SSL VPN在访问控制方面比IPSec VPN具有更细粒度3)应用系统的攻击一远程用户以IPSec VPN
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号