VPN隧道(精选5篇)
VPN隧道 篇1
1 VPN的概念
VPN, 即虚拟专用网 (Virtual Private Network) , 它指的是一种依靠ISP和其它NSP, 在公用网络中建立专用的数据通信网络的技术。通过对网络数据的特殊封包和加密传输, 在一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 从而实现在公网上传输私有数据、达到私有网络的安全级别。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。IETF草案理解的基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”, 即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
通常, VPN是对企业内部网的扩展, 通过它可以帮助远程用户、公司分支机构、商业伙伴以及供应商同公司的内部网建立可信的安全连接, 并保证数据传输的安全。VPN可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路, 以便经济有效地连接到商业伙伴和公司分支机构。
2 VPN的原理
VPN通过公众IP网络建立了私有数据传输通道, 将远程的分支办公室、商业伙伴、移动办公人员等连接起来, 减轻了企业的远程访问费用负担、节省电话费用开支, 并且提供了安全的端到端的数据通讯。
常规的直接拨号连接与虚拟专网连接的异同点在于:在前一种情形之中, PPP (点对点协议) 数据包流是通过专用线路传输的;在VPN中, PPP数据包流是由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输, 再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么, 如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动 (Client-Initiated) 或客户透明 (Client-Transparent) 。客户启动要求客户和隧道服务器 (或网关) 都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道, 隧道服务器中止隧道, ISP可以不必支持隧道。客户和隧道服务器只需建立隧道, 并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立, 就可以进行通信了, 如同ISP没有参与连接一样。
另一方面, 如果希望隧道对客户透明, ISP的POPS就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器, 服务器必须能识别这一连接要与某一特定的远程点建立隧道, 然后服务器与隧道服务器建立隧道, 通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件, 但客户只能拨号进入正确配置的访问服务器。
3 VPN的隧道技术
VPN技术比较复杂, 它涉及到通信技术、密码技术和现代认证技术, 是一项交叉科学。具体来讲, 目前VPN主要采用下列四项技术来保证其安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。
隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网中建立一条数据通道 (隧道) , 让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中, 在目的局域网与公网的接口处将数据解封装, 取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装, 通信协议是完成此任务的关键。目前VPN的隧道协议可大致分为第二层次的隧道协议PPTP、L2F、L2TP和第三层次的隧道协议GRE、IPSec等。它们的本质区别在于用户的数据包是被封装在哪种数据包里面从而在隧道中进行传输的。无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的, 传输协议被用来传送封装协议;封装协议被用来建立、保持和拆卸隧道, Cisco产品支持几种封装协议, 包括L2F、L2TP、GRE协议等;而乘客协议是被封装的协议, 它们可以是PPP、SLIP等。隧道协议的组成如图1所示:
3.1 PPTP———点对点隧道协议
PPTP协议由Microsoft、Ascend和3Com公司开发, 它的分组不但能在IP上传送, 也能在IPX、Apple Talk上传送。PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机, 如启动了该协议的Windows XP;PPTP服务器是指运行该协议的服务器, 如启动了该协议的Windows Server服务器。PPTP可看作是PPP协议的一种扩展, 它提供了一种在Internet上建立多协议的安全虚拟专用网的通信方式, 远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP, 客户可采用拨号方式接入公共IP网络———Internet。拨号客户首先按常规方式拨号到ISP的接入服务器 (NAS) , 建立PPP连接;在此基础上, 客户进行二次拨号建立到PPTP服务器的连接, 该连接称为PPTP隧道, 实质上是基于IP协议上的另一个PPP连接, 其中的IP包可以封装多种协议数据, 包括TCP/IP、IPX和Net BEUI。PPTP采用了基于RSA公司RC4的数据加密方法, 保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接, 可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户, 但用户需要在其PC机上配置PPTP, 这样做就增加了用户的工作量也会造成一定的网络安全隐患。
3.2 L2F———第二层转发协议
L2F (Layer 2 Forwarding Protocol) 是由Cisco公司提出的可以在多种介质如ATM、Frame Relay、IP网上建立多协议的虚拟专用网的隧道协议。远端用户能够透过任何拨号方式接入公共IP网络, 首先按常规方式拨号到ISP的接入服务器 (NAS) , 建立PPP连接;NAS根据用户名等信息, 发起第二重连接, 通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。但是, L2F不支持流控;要求每个用户端局域网有专用的网关, 费用较高。
3.3 L2TP———第二层隧道协议
L2TP结合了PPTP和L2F的优点, 可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
L2TP的主要作用是将PPP接入由本地扩展到远端, 向用户提供经济的远程ISP接入和企业网接入, 是IP VPN中极为重要的协议。L2TP支持多种协议, 用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址;L2TP还解决了多个PPP链路的捆绑问题, 使物理上连接到不同NAS的PPP链路, 在逻辑上的终结点为同一个物理设备。
L2TP主要由LAC (L2TP Access Concentrator) 和LNS (L2TP Network Server) 构成 (网络结构如图2所示) , LAC (L2TP接入汇接点) 支持客户端的L2TP, 它用于发起呼叫、接收呼叫和建立隧道;LNS (L2TP网络服务器) 是所有隧道的终点。
在ISP接入情况下, LAC对应本地NAS, LNS对应为ISP, 拨号用户通过PSTN/ISDN接入本地的LAC后, 可以通过隧道接入所选择的ISP。在VPN情况下, LAC对应为NAS或ISP, LNS对应为企业网网关, 拨号用户或路由器可通过隧道直接接入企业网, 成为企业网的一个虚拟用户。LAC和LNS就是隧道的两个端点, 期间运行L2TP协议。
LNS和LAC经由L2TP组成了分布式广域接入系统。一个LAC可以建立多个隧道接入不同的LNS, 一个LNS也可以经多个LAC接入。在给定的一对LAC和LNS之间可以根据需要建立多条隧道, 隧道的物理传送媒体可以是UDP/IP、ATM或FR等。每条隧道内包含两类信道:控制信道和数据信道。相应地, L2TP消息也分为两类:控制消息和数据消息。其中, 控制消息的作用是建立、维护和释放隧道和会话, 在控制信道上发送;数据消息的作用就是封装PPP帧, 在数据信道上传送。L2TP协议的操作包括三个过程:隧道建立、会话建立和PPP帧的封装前转, 相应的隧道结构及呼叫和会话情况如图3所示。
L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件, 企业可以使用未注册的IP地址, 并在本地管理认证数据库, 从而降低了使用成本和培训维护费用。
与PPTP和L2F相比, L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输, L2TP使用Nr (下一个希望接受的消息序列号) 和Ns (当前发送的数据包序列号) 字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区, 一旦数据丢失根据序列号可以进行重发。
4 结束语
实现VPN的隧道技术多种多样, 它们各有各的优势, 本文主要讨论了L2TP隧道技术。
目前的一种趋势是将L2TP和IPSec结合起来用L2TP作为隧道协议, 用IPSec协议保护数据。现在, 市场上大部分VPN采用这类技术。
参考文献
[1]郭世满, 马蕴颖, 郭苏宁.宽带接入技术及应用[M].北京:北京邮电大学出版社, 2006.
[2]李征.接入网与接入技术[M].北京:清华大学出版社, 2003.
[3]李明琪.宽带接入网络[M].北京:科学出版社, 2002.
[4]郝辉, 钱华林.VPN及其隧道技术研究[J].微电子学与计算机, 2004, 21 (11) :47-51.
基于隧道技术的VPN研究 篇2
关键词:VPN,隧道协议,隧道技术,网络
1. 引言
目前,全球信息化建设正处于一个高速发展的阶段,信息安全和信息孤岛是信息化建设过程中两个比较突出的问题。采用传统的专线方式,高昂的建造费用和每月产生的运营费用使得大量的单位望而却步,于是VPN(虚拟专用网)便成为性价比最高的解决方案。
2. VPN(Virtual Private Network)简介
VPN——虚拟专用网,是使用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公众数据网络上建立属于自己的私有数据网络。典型的VPN网络连接简化示意图如图1所示。
目前,虚拟专用网一般采用IPsec和SSL两种技术。VPN主要有如下优点:
(1)VPN相对比较安全。VPN可以通过用户验证、加密通信以及隧道技术等来保证在公共网络传输专用信息的安全性;
(2)VPN能大大降低网络复杂度,简化网络设计;
(3)VPN支持通过Internet和Extranet的任何类型的数据流,比较灵活;
(4)节省总体成本。
3. 隧道技术(Tunnel)简介
使用隧道通信是网络通信中的一种常用模式。这是通过使用互联网的基础设施在网络之间传递数据的方式。通过隧道传递的数据可以是使用了不同协议的数据包或帧。通过隧道协议可以将这些不同协议的数据包或帧进行重新封装后并在新的包头中进行发送。封装后的包头里面包含的路由信息使得数据能够通过互联网进行传递。隧道所用的传输网络可以是任何类型的互联网络。在专用网络应用不同的是在用户两端之间建立虚拟专用网络,就是一种隧道技术的运用。举个简单的例子进行说明:假如我们想在互联网上建立一条隧道,那么处于隧道两端的用户之间如果要实现相互通信,就必须要具有一致的通讯协议。可是数据在通过隧道传送的过程中,却又必须同时使用互联网所用的通讯协议,比如Ip协议等。我们称要传送的信息为载荷(payload),对互联网来说,载荷(payload)可能是虚拟专用网所用通讯协议的数据帧或信息分组。为了让载荷可以在互联网上的隧道端点(tunnel endpoint)之间进行传送,隧道协议(tunnel protocol)就必须要将该数据帧(frame)或信息分组(packet)另外加上一个标头进行重新封装。这个额外的标头里面会提供路由信息,让封装后的载荷可以通过互联网传送到隧道的另一端。载荷到达隧道的另一端时,就会解除封装,还原成本来的数据帧或信息分组,继续传送到虚拟专用网另一端的最终目的地去。所以,隧道技术包括了上述的封装、传输及解除封装整个过程。互联网在其中只是一个传输通道。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。如果使用隧道技术,还必须使得隧道的出口与入口相对出现。基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信,类似于之前的电报功能。
4. 隧道协议介绍
VPN使用的隧道技术必须遵循一定的隧道协议。隧道协议可分为二层隧道协议和三层隧道协议。下面主要介绍一下二层隧道协议,主要包括如下几个:
(1)L2F(Layer 2 Forwarding protocol)
L2F第二层转发协议是Cisco公司提出的,这是一种可以在不同介质上建立多协议的安全VPN的通信方式。它将链路层的协议封装起来后再进行传送,因此网络的链路层与隧道用户的链路层完全独立。L2F作为一种传输协议支持拨号等方式接入服务器。将拨号数据流封装在PPP帧内通过互联网传送到L2F服务器(路由器),L2F允许高层协议的链路层隧道技术。使用这样的隧道,使得原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。
(2)PPTP(Point to Point Tunneling Protocol)
PPTP协议又称为点对点的隧道协议。PPTP是PPP协议的扩展,它也提供了在互联网网上建立多协议的安全VPN的通信方式。远程客户可以通过任何支持PPTP的ISP访问一些专用网。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过公用网进行传送。PPTP协议提供PPTP客户机和PPTP服务器之间的保密通信。
(3)L2TP(Layer 2 Tunneling Protocol)
L2TP协议是由Cisco、3Com Microsoft、Ascend和和Red Back等厂商共同制订并于1999年8月公布了L2TP的标准RFC 2661。L2TP具备了PPTP和L2F的优点,可以让用户从接入服务器端发起VPN连接。L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。L2TP的优点就是可以支持多种协议,使企业在原有非IP网上的投资不致于浪费。L2TP扩展了PPP模型,允许第二层和PPP终点处于不同的由包交换网络相互连接的设备中。通过L2TP,用户在第二层连接到一个访问集中器(如:调制解调器池、ADSLDSLAM等),然后这个集中器将单独的PPP帧通过隧道传送给NAS。这样,可以把PPP包的实际处理过程与L2连接的终点分离开来。
L2F、PPTP、L2TP他们共同的特点是能够从远程客户直至内部网入口的VPN设备建立PPP连接,用户可以在客户端管理PPP。它们不但能够利用内部IP地址的扩展功能,而且还能在VPN上利用PPP支持的多协议通信功能、多链路功能及PPP的其它一些附加功能。
5. 隧道技术的实现
如果满足了实现隧道技术的硬件和软件条件,那么在互联网等公用网上创建隧道的过程类似于在通信双方之间建立会话;隧道两端的客户机就必须要创建隧道并协商隧道各种配置变量,如地址的分配、压缩或加密等参数。
隧道一旦成功建立,数据和信息就可以通过隧道发送。隧道客户端和服务器端可以使用隧道数据传输协议进行数据传输。隧道客户端向服务器端发送数据时,客户端首先给数据进行封装,当然,封装数据使用的协议必须是隧道协议。然后把封装的数据通过互联网传送,并由互联网将数据路由到隧道的服务器端。隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目标网络。
6. 隧道技术的安全功能分析
由于网络安全性能是所有网络技术的重要评价标准。我们可以采用以下几种方式或技术来保证通信的安全。
(1)对称加密与非对称加密(专用密钥与公用密钥)
(2)证书
(3)扩展验证协
(4)交易层安全协议
(5)Internet协议安全性
(6)协商安全关联
(7)验证和封装安全包头
(8)计费、审计和报警
综上所述,VPN的发展某种意义上可以代表远程接入服务今后的发展趋势,其既具有传统数据网络的信息安全和服务质量,也能实现简单和低成本的共享数据网络结构。VPN在降低成本的同时也能满足用户对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来远程接入服务发展的主要方向。
参考文献
[1]郝辉,钱华林.VPN及其隧道技术研究[J].徽电子学与计算机,2004,11.
[2]陈恺,吴国新.VPN中隧道交换技术的研究[J].数据通信,2003,5.
[3]戴宗坤,唐三平.VPN与网络安全[M].电子工业出版社,2002.
[4]翟海生.IP VPN隧道协议及其应用[J].通信世界,2001.
VPN隧道 篇3
数据安全是VPN的核心问题,VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。隧道技术是应用最为广泛的VPN技术,通过匹配四层网络模型中的不同层协议,可以生成不同的VPN技术及产品,目前VPN隧道协议中的IPSec VPN和SSL VPN是当前主流VPN技术。
1 IPSec VPN端对端的安全
IPSec工作于网络层,是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。IPSec协议可以设置成在隧道模式和传输(transport)模式下运行,IPSec几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用,但是由于基于网络层,不能穿越通常的NAT、防火墙。
IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSec隧道模式具有以下特点:只能支持IP数据流;工作在IP栈的底层,应用程序和高层协议可以继承IPSEC的行为;由一个安全策略进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。
1.1 IPSec VPN技术的优点
1)IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议;
2)IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的;
3)IPSec VPN网关一般整合了网络防火墙的功能;
4)IPSec客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。
1.2 IPSec VPN技术的不足
1)IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;
2)IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;
3)IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。
IPSec为Internet业务提供最强的安全功能,与其他隧道和安全技术相比,其优越性在于它的安全性和互操作性,但是管理复杂,适合于组建远程网络互联VPN。
2 SSL VPN Web应用表现出众
SSL是一个端到端的协议,因而是在处于通信线路端点的机器上实现,而不需要在通信通路的中间节点(如路由器或防火墙)上实现,并且由于不需要安装客户端软件,仅仅通过浏览器就可以实现VPN的连接。
除了具备与IPSec VPN相当的安全性外,还增加了访问控制机制,客户端只需要拥有支持SSL的浏览器即可,适合远程用户访问企业内部网,SSL VPN相对成本比较低,不受网络环境的限制。SSL VPN优势还表现在:对应用的支持更广泛,由最早期的仅仅支持WEB应用,到支持绝大部分基于TCP的应用;对网络的支持更加广泛,现在多数优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP,并通过SSL隧道建立层三(Level 3)隧道,实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能;对终端的安全性要求更严格,SSL VPN加入了客户端安全检查的功能:通过插件对终端操作系统版本,终端安全软件的部署情况进行检查,来判断其接入的权限,从而减轻间谍软件和钓鱼软件的威胁。
2.1 SSL VPN技术的优点
1)它的HTTPS客户端程序,如Microsoft Internet Explorer已经预装在了终端设备中,因此不需要再次安装;
2)像Microsoft Outlook这类程序所支持的SSL HTTPS功能,与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;
3)SSL VPN可在NAT代理装置上以透明模式工作;
4)SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
2.2 SSL VPN技术的不足
1)SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术;
2)SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过;
3)SSL VPN通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(“非信任”设备是指其他信息站或家用计算机)。
3 IPSec与SSL技术比较
3.1 IPSec的主要不足
1)安全性能高,但通信性能较低
因为IPSec安全协议是工作在网络层的,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响。
2)需要客户端软件
在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。这就可能带来了与其他系统软件之间兼容性问题的风险,且IPSec协议在硬件应用中同样存在着兼容性方面的问题。
3)安装和维护困难
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。
4)实际全面支持的系统比较少
虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的。
3.2 SSL的优势
1)不需要客户端软件和硬件需求
在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。
2)容易使用,容易支持Web界面
有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX,移动电话都可以通过SSL协议进行通信。
3)端到端vs.端到边缘安全
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
4)90%以上的通信是基于Web和Email的
近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。
表1是SSL VPN与IPSec VPN主要性能比较,从表中可以看出各自的主要优势与不足。
4 结束语
VPN技术借助公共网络平台很好的实现了专用网络的功能,企业以低廉的价格享受着安全优质的服务。用户可依据远程访问不同的特定需求与目标进行解决方案选择,以IPSec VPN作为点对点连结方案,再搭配以SSL VPN作为远程访问方案,能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。相对传统的单一VPN技术,融合了IPSec和SSL两种VPN精髓,同时配合完善的安全管理平台的混合VPN技术将会在越来越多的行业中得以使用。
参考文献
[1]宋西军.计算机网络安全技术[M].北京:北京大学出版社,2009.
[2]弗拉海.SSL与远程接入VPN[M].北京:人民邮电出版社,2009.
VPN隧道 篇4
Internet在给我们带来极大方便的同时,也带来了安全方面的问题。网络存在很多不安全因素,如口令猜测、地址欺骗、TCP盗用等,难以保证企业或组织机构内部信息的安全。为了保证数据在网络传输时的安全,传统的解决方案是建立企业的专网,可以保证其安全性并具有一定程度的可靠性,但成本太高,并且浪费资源;同时也无法满足随时随地的接入要求;更重要的是扩展性不好,不方便新用户的接入,这些特性决定了它不可能广泛地应用到各种企业。
于是,虚拟专用网(Virtal Private Network)应运而生。VPN即虚拟专用网,是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,依靠ISP(Internet服务提供者)和其他NSP(网络服务提供者)在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN技术主要采用了四项技术:隧道技术、密钥管理技术、访问控制技术和用户认证技术,在VPN的关键技术中,最重要的是安全隧道技术,下面重点探讨隧道技术。
2 隧道技术
2.1 隧道技术基础
隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。在目的局域网和公网的接口处将数据解封装,取出负载。
被封装的数据包在隧道的两个端点之间通过公共网络的传输协议(如TCP/IP)在公共互联网络中传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装,传输和解包在内的全过程,如图1所示。
隧道所使用的传输网络可以是任何类型的公共互联网络,本文主要以目前普遍使用Internet为例进行说明。
2.2 隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道协议是隧道技术的核心,基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议主要包括:PPTP,L2TP(Layer 2 Tunnelling protocol)以及IPSec等协议。
隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPSec隧道模式就属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
其中,封装协议被用来建立、保持和拆卸隧道,包括L2TP等协议。而乘客协议是被封装的协议,例如PPP协议。传输协议被用来传送封装协议,IP是一种常见的传输协议。如果用户想通过Internet将其分公司网络连接起来,但网络环境是IPX,这时用户就可以使用IP作为传输协议,通过封装协议封装IPX的数据包,然后就可以在Internet网上传递IPX数据。
2.2.1 PPP点对点协议
因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP,IPX包封装在PPP帧内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS(网络连接存储)。
PPP拨号会话过程可以分成4个不同的阶段:创建PPP链路,使用链路控制协议(LCP)创建,维护或终止一次物理连接;用户验证,客户会通过PC将用户的身份证明发给远端的接入服务器,使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接;PPP回叫控制,该阶段在完成验证之后使用回叫控制协议(CBCP),即验证之后,远程客户和NAS之间的连接将会被断开,然后NAS使用特定的电话号码回叫远程客户,进一步保证了拨号网络的安全性;调用网络层协议,调用在链路创建阶段选定的各种网络控制协议,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。
一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩。类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密。
2.2.2 PPTP点对点隧道协议
PPTP将PPP(Point-to-Point Protocol)帧封装在IP数据包中,通过IP网络如Internet及其他企业专用Intranet等发送。通过点对点隧道协议,远程用户可以通过Microsoft Windows NT Workstation、Windows 95操作系统以及其它支持点对点协议(PPP)的系统拨号连接到Internet服务提供者(ISP),然后再通过Internet与它们的公共网连接。
PPTP支持Client-LAN型隧道。通过利用PPP所采用的身份验证、数据加密与协议配置机制,PPTP连接提供了一种通过诸如Internet这样的公共网络针对远程访问与路由器到路由器虚拟专用网络(VPN)创建安全连接的有效方式。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据帧通过隧道传送,可以对封装PPP帧中的负载数据进行加密或压缩。
2.2.3 L2TP二层隧道协议
L2TP是一种网络层协议,可以让用户从客户端或访问服务器端发起VPN连接,支持封装的PPP帧在IP,帧中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
但在安全性方面,L2TP仅仅定义了控制包的加密传输方式,对传输中的数据并不加密。因此,L2TP并不能满足用户对安全性的需求,如果需要安全的VPN,则需要使用IPSec协议。
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:
a)PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道;
b)L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节;
c)L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。
2.2.4 IPSec协议
IPSec是第3层的协议标准,是一组开放的网络安全协议总称,在IP层提供访问控制、数据来源验证及数据流分类加密等服务。IPSec包括认证头(AH)和报文安全封装协议(ESP)两个安全协议。AH(Authentication header)是报文验证头协议,主要提供数据来源验证、数据完整性验证等功能;ESP(Encapsulating Security Payload)是封装安全载荷协议,除具有AH协议的功能之外还提供对IP报文的加密功能。
IPSec协议提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制,它工作在网络层,主要为设备(如路由器)之间的数据安全传输提供保护,并对数据进行加密和数据收发方的身份验证。IPSec协议可以设置成两种运行模式:隧道模式和传输模式。在隧道模式下,它把IP数据包封装在安全的IP帧中;而传输模式是为了保护端到端的安全性,不会隐藏路由信息。
一个IPSec隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSec隧道技术,采用协商加密机制。为实现在专用或公共IP网络上的安全传输,IPSec隧道模式使用安全方式封装和加密整个IP包,然后对加密的负载再次封装在IP包头内通过网络发送到隧道服务器端,隧道服务器对收到的数据包进行处理,去除IP包头,对内容进行解密之后,获得最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
IPSec隧道模式具有以下功能和局限:
a)只能支持IP数据流;
b)工作在IP栈的底层,因此,应用程序和高层协议可以继承IPSec的行为;
c)由一个安全策略进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。
d)使用该模式需要较大的系统开销。
3 结束语
实现VPN的技术多种多样,其中一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
虚拟专用网(VPN)是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一,可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。VPN不但是一种组网技术,还是一种网络安全技术。因此,VPN可作为远程访问和网络互联的高效低价,安全可靠的解决方案,而且由于集灵活性、安全性、经济性以及可扩展性于一身,可充分满足企业分支机构、移动办公安全通信、校园网的远程访问等的需求。
参考文献
[1]Davis Carlton.VPN的安全实施[M].清华大学出版社,2002.
[2]谢杨.虚拟专用网VPN系列讲座[J].计算机世界,2002[1].
VPN隧道 篇5
1 VPN技术概述
VPN(Virtual Private Network)就是虚拟专用网的代称。它其实就是在虚拟网络(Virtual Network)技术手段中结合了专用网络(Private Network)的搭建原理,结合二者的长处而形成的一种综合统一体。是对专用网络的延伸,在公共网络中建立的安全网络连接。虚拟网络要求建立在现有物理网络上,且独立于现有物理网络的一种具体结构,而虚拟网络用户查看虚拟网络可以预定义动态网络。
搭建VPN的目的是以较低的费用开销,实现位于不同物理地点的内部网络或用户之间的安全通信。这类网络一般具有五大特点:
(1)费用低。远程操作通过向本地ISP注册帐户,用户可以将其作为到内部专用网络的隧道登录到Internet。这样,可以大大节省通讯和通信的成本。
(2)保障安全。安全保障是VPN的一项基本功能,所有VPN必须确保网络黑客和攻击者们无法窃听和篡改在其上传输的数据,且还要防止传送的资源或私有信息不会被非法用户访问。
(3)服务质量保证。受到不同用户和业务对服务质量要求不同的原因影响,网络应用必须也要具备根据不同需求而能提供不同等级服务的能力。加之广域网络在信号传递过程中缺乏有效科学的管理机制,导致了带宽的利用率不高等现象。在流量通过高峰期极易造成网络阻塞,而在某些时期又会产生大量的空闲时段。有了服务质量保证,则可以事先分配好带宽资源传输的优先级别,保证流量预测与控制策略的科学,预防阻塞的发生。
(4)可扩展性和灵活性。可扩展性和灵活性是VPN网络必须具有的特征,它要求在使用过程中支持不同类型的数据流,同时还能很方便的增加新的分支。一种网络方案是否具备灵活性和可扩展性是评价其优劣成败的一个重要指标。
(5)可管理性。VPN要求网络管理功能应支持从LAN到WAN的无缝扩展,这就需要一个完善的管理系统。VPN的重要管理目标就是减小网络风险、提高可扩展性、经济和可靠性等,主要包含了设备、安全、配置、访问控制和服务质量保证等方面。
2 隧道技术
其实,VPN技术的一种最基本体现就是隧道技术。他与于点对点的连接技术有很多异曲同工之妙。它主要是通过封装实现一种协议传输于另一种协议之中。使用隧道技术可以在公用网络上建立一条安全的数据通道,并通过这种专用网络的方式让数据包完成传输,以实现虚拟的专用网络,从而达到保障目标协议的安全性。
隧道由隧道协议形成。现有的隧道协议一共可以分为四类,即第二层隧道协议、第三层隧道协议、介于第二、三层之间的隧道协议和第三层与应用层之间的SSL VPN隧道协议。VPN隧道协议作为IP层的下一层,主要负责将VPN IP进行分组封装;同时,隧道协议作为公用IP网的一种特定形式,还要利用公网的IP协议将封装的VPN分组进行传输。隧道协议的分层位置效果大致如下图所示。
此外,隧道协议的实现方式还存在多种可能。根据工作的层次划分,可分为二层隧道协议和三层隧道协议。其中,二层协议主要应用于构建拨号VPN(Access VPN),用于传输二层网络协议。而用来传输第三层网络协议的三层隧道协议则常用于构建内部网VPN(Intranet VPN)和外联网。
3 两种隧道技术的特征分析
当前,为了解决基于互联网的远程安全接入和安全互联等问题,企业或组织机构在建设VPN时大多采用IPSec VPN和SSL VPN两种技术。这两种技术除了在安全性、便利性和实际需求等方面有所差异以为,在连接环境及优势等方面也各有千秋。
1)IPSec VPN的适用特征
IPSec(IP Securrity)的功能类似于包过滤防火墙的作用,也是对接收到的IP包进行规则匹配。所不同的是包过滤防火墙是根据规则表里的规则进行匹配,而IPSec是与安全策略库中的条目进行匹配。然后根据所匹配条目中规定的策略对收到的IP包执行转发、丢弃或进行IPSec操作。一般情况下,构建基于IPSec的VPN需要IPSec基本协议、安全策略数据库(SPD)、安全关联数据库(SADB)、Internet密钥交换协议(IKE)和策略与安全关联管理组件等五个部分相互配合。各组件之间的交互关系如下图所示。
2)SSL VPN的适用特征
目前大多数远程访问解决方案都是采用基于IPSec VPN技术。但是据不完全的统计发现。接近九层的企业和机构均只是利用这种技术实现的内部网络与外部之间的连接进行电子邮件通信和Internet访问。而实际上,选择SSL VPN技术可以更为简单的实现这些应用。它是采用IPSec VPN技术实现远程接入方式的另一种有益补充。
SSL协议是基于可靠传输服务的通用安全协议,常用于保障Web应用的安全。它在应用程序协议与TCP/IP之间建立了一种有效的安全机制,用以保证数据交换的安全。它不但能够就加密算法、会话密钥以及安全连接的认证方式等进行协商、生成共享密钥,而且还能为基于TCP/IP连接的客户机/服务器之间提供服务器认证、数字技术加密、信息完整性监测及对可选的客户机实施认证等服务,保障相关应用程序间通信的机密性和完整性。
4 两种技术的适用环境分析
1)IPSec VPN适用环境分析
即可用于构建远程访问VPN,又可用于构建网关到网关VPN,比较适合于拥有较多分支机构的企业或组织,且数据比较敏感,安全要求级别高。这种类型的机构,可通过VPN隧道技术对其总部与各个分支机构之间进行连接,用以保障大容量数据的传输安全。而对于移动办公的员工,则可采用远程访问VPN连接总部或分支机构。而这类办公员工的移动设备一般都要求必须配置相应的防火墙和防病毒软件等,以防止对内部网络造成安全威胁。
与SSL VPN相比,IPSec VPN技术在构建远程访问VPN时具有几个不利的因素:
(1)需要配置,使用不太方便。安装和使用对操作者的技术要求高。
(2)需要特定的客户端支持。由于SSL协议几乎支持所有的浏览器,所以用SSL VPN可直接通过浏览器使用内嵌的SSL协议完成。
(3)兼容性不够好。虽然现在手提电脑、PDA、智能手机等一系列移动终端设备已经广泛流行,成为一种主要的办公手段。但它在技术的更新上还没有同步到支持这类移动用户的接入应用。
2)SSL VPN适用环境分析
相对于IPSec VPN来说,虽然SSL VPN具有一些显著的优势,但其不足也是值得我们探究。其优点包括无需客户端软硬件、适用于大多数设备和操作系统、支持对网络驱动器的访问、具有良好的安全性和可以绕过防火墙与代理服务器进行访问等。其不足之处也可归纳为以下三个方面:
(1)认证方式单一。SSL VPN的认证只能通过证书完成,而且在版本1和2之间只能进行单向认证。同时,由于采用数字证书认证,需要CA的支持,而证书的管理是比较复杂的。
(2)应用局限性大。SSL VPN的应用主要基于Web浏览器,采用反向代理技术访问内部网络,仅提供对Web应用的远程访问,不能实现网关到网关的VPN。对非Web系统和新的、复杂的Web技术则只能提供有限的支持。
(3)只能提供有限的安全保障给访问资源。在基于SSL协议的网络下运用VPN通过Web浏览器进行通信时,它只能对通信双方共有部分的应用通道进行加密,而并不支持加密到两个主机之间的所有通道。而且,SSL的数字签名行为不支持于应用层,且SSL VPN的加密级别也还达不到IPSec VPN的加密标准。
此外,SSL VPN也只适用于机构远程点对网访问VPN,而无法用于构建网关到网关VPN。
5 总结
对于VPN网络中隧道技术的成功搭建,仿佛让我们回到了本地局域网一样操控我们工作的时代。虽然对于一些如视频同步、语音广播和传真等实时性极强的业务,目前的广域网数据传输还存在着一些有待完善的地方,但随着VPN技术应用中更多难题的攻克,很多问题都能在新技术的实践中变得迎刃而解。更大带宽及光纤的使用可以让传输速度更加得快,完全能够满足一般的数据库存取、文件传输甚至语音和传真业务等实时性强的应用。对于一般的、实时性不强的应用则更加得游刃有余。
摘要:本文从企业在网络应用中对于安全性的需求角度出发,对VPN中两种常用隧道技术的特征和适用环境进行了分析。尤其通过对其两种技术的安全性、便利性、可操作性和数据传输等实际环境的配置要求等进行论述,从而深刻理解到IPSec VPN和SSL VPN在企业网络搭建过程中,对于企业网络运营选择所起到至关重要的作用。
关键词:VPN,隧道,适用特征,环境
参考文献
[1]田园.网络安全教程[M].北京:人民邮电出版社,2009.
[2]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010(2).
[3]赵登科.基于L2TPIPSec构建远程访问型VPN[J].中国商界,2010(210).