一、 剖析VPN原理
虛擬專用網(wǎng)(VPN)是專用網(wǎng)絡(luò)的延伸,它包含了類似Internet的共享或公共網(wǎng)絡(luò)鏈接。通過VPN可以以模擬點對點專用鏈接的方式通過共享或公共網(wǎng)絡(luò)在兩臺計算機(jī)之間發(fā)送數(shù)據(jù)。虛擬專用聯(lián)網(wǎng)是創(chuàng)建和配置虛擬專用網(wǎng)的行為。
利用IP網(wǎng)絡(luò)構(gòu)建VPN,其實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道以傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)。用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec, GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制,可以有效而且可靠地使用網(wǎng)絡(luò)資源,保證網(wǎng)絡(luò)質(zhì)量。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量,但其不足之處是互聯(lián)區(qū)域有較大的局限性。另一方面,基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式,然而服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時應(yīng)根據(jù)自身的需求對以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。
利用公用網(wǎng)絡(luò)構(gòu)建VPN是新型的網(wǎng)絡(luò)概念,它給服務(wù)提供商(ISP)和VPN用戶(企業(yè))都將帶來不少的益處。對于服務(wù)提供商來說,通過向企業(yè)提供VPN這種增值服務(wù),服務(wù)提供商可以與企業(yè)建立更加緊密的長期合作關(guān)系,同時充分利用現(xiàn)有網(wǎng)絡(luò)資源,提高業(yè)務(wù)量;而對于企業(yè)而言,利用Internet組建私有網(wǎng),將大筆的專線費用縮減為少量的市話費用和Internet費用,節(jié)省了開支,提高了經(jīng)濟(jì)效益。在家里或者旅途中工作的用戶可以使用VPN建立到組織服務(wù)器的遠(yuǎn)程訪問連接,方法是使用公共網(wǎng)絡(luò)(例如 Internet)提供的基礎(chǔ)結(jié)構(gòu)。從用戶的角度來講,VPN是一種在計算機(jī)(VPN客戶端)與團(tuán)體服務(wù)器(VPN服務(wù)器)之間的點對點連接。VPN與共享或公用網(wǎng)絡(luò)的具體基礎(chǔ)結(jié)構(gòu)無關(guān),因為在邏輯上數(shù)據(jù)就如同通過專用的私有鏈接發(fā)送的。單位也能夠使用VPN連接來為地理位置分開的辦公室建立路由連接,或者在保持安全通信的同時通過公共網(wǎng)絡(luò),例如Internet,連接到其他單位。通過Internet的VPN連接邏輯上作為專用的WAN鏈接來操作。通過遠(yuǎn)程訪問和路由連接,可以使用VPN連接將長途撥號或租用線路換成本地?fù)芴枺@無疑將節(jié)約大量的通信成本。
![]("http://network.51cto.com/files/uploadimg/20070711/0947560.jpg")
498)this.style.width=498;" border=1>
顯示VPN連接的邏輯等價關(guān)系
VPN的設(shè)計包含以下原則:安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理。VPN直接構(gòu)建在公用網(wǎng)上,實現(xiàn)簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)用戶必需確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。Extranet VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對安全性提出了更高的要求。
VPN的安全性包含以下特征:
a)隧道與加密:隧道能實現(xiàn)多協(xié)議封裝,增加VPN應(yīng)用的靈活性,可以在無連接的IP網(wǎng)上提供點到點的邏輯通道。在安全性要求更高的場合應(yīng)用加密隧道則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性,使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。
b)數(shù)據(jù)驗證:在不安全的網(wǎng)絡(luò)上,特別是構(gòu)建VPN的公用網(wǎng)上,數(shù)據(jù)包有可能被非法截獲,篡改后重新發(fā)送,接收方將會接收到錯誤的數(shù)據(jù)。數(shù)據(jù)驗證使接收方可識別這種篡改,保證了數(shù)據(jù)的完整性。
c)用戶驗證:VPN可使合法用戶訪問他們所需的企業(yè)資源,同時還要禁止未授權(quán)用戶的非法訪問。通過AAA,路由器可以提供用戶鑒別、訪問級別以及必要的訪問記錄等功能。這一點對于Access VPN和Extranet VPN具有尤為重要的意義。
d)防火墻與攻擊檢測:防火墻用于過濾數(shù)據(jù)包,防止非法訪問,而攻擊檢測則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容,確定其合法性,并可實時應(yīng)用安全策略,斷開包含非法訪問內(nèi)容的會話鏈接,并產(chǎn)生非法訪問記錄。要模擬點對點鏈路,應(yīng)壓縮或包裝數(shù)據(jù),并加上一個提供路由信息的報頭,該報頭使數(shù)據(jù)能夠通過共享或公用網(wǎng)絡(luò)到達(dá)其終點。若要模擬專用鏈接,數(shù)據(jù)應(yīng)加密以進(jìn)行保密。如果沒有加密密鑰,在共享或公用網(wǎng)絡(luò)上截取的數(shù)據(jù)包是無法破譯的。
