一、VPN的安全协议
PPTP-Point to Point Tunnel Protocal(点对点隧道协议)
这是一个最流行的Internet协议,它提供PPTP客户机 与PPTP服务器之间的加密通信,它允许公司使用专用的“ 隧道”,通过公共Internet来扩展公司的网络。通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。这就是说,通过PPTP的封装或“隧道”服务,使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行,PPTP是Microsoft和其它厂家支持的标准,它是PPTP协议的扩展,它可以通过Internet建立
多协议VPN。
L2TP-Layer2 Tunneling Protocol(第二层隧道协议)
除Microsft外,另有一些厂家也做了许多开发工作,PPTP能支持Macintosh和Unix,Cisco的L2F(Layer2 Forwarding)就是又一个隧道协议。Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合,产生一个新的L2TP协议。PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都允许客户通过其间的网络建立隧道,L2TP正在由包括Microsoft在内的几家厂商开发。L2TP还支持信道认证,但它没有规定信道保护的方法。
IPSEC—Internet Portocol Security(因特网协议安全性)
该协议正在IETF(因特网工程任务组)的指导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点,这个标准开发完成最快也要在一年以后。Microsoft承诺支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集,它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务,以及如何将IPSEC和L2FP一起使用,但它并未试图将端对端的安全性标准化。
SOCKs
SOCKs是一个网络连接的代理协议,它使SOCKs一端的主机完全访问SOCKs;而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权,并建立代理连接和传送数据。SOCKs通常用作网络防火墙,它使SOCKs后面的主机能通过Internet取得完全的访问权,而避免了通过Internet对内部主机进行未授权访问。目前,有SOCKsV4和SOCKsV5二个版本,SOCKsV5可以处理UDP,而SOCKsV4则不能。
二、VPN的工作原理
用户连接VPN的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
三、VPN的优点有哪些?
利用公用网络构建 VPN 是个新型的网络概念,它给服务提供商( ISP )和 VPN 用户(企业)都将带来不少的益处。
对于服务提供商来说,在通过向企业提供 VPN 这种增值服务, ISP 可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上, VPN 用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。 VPN 用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。 ISP 对外提供两种服务,资源利用率和业务量都会大大增加,将给 ISP 带来新的商业机会。
而对于企业而言,利用 Internet 组建私有网,将大笔的专线费用缩减为少量的市话费用和 Internet 费用。据报道,局域网互联费用可降低 20 ~ 40 %,而远程接入费用更可减少 60 ~ 80 %,这无疑是非常有吸引力的; VPN 大大降低了网络复杂度、 VPN 用户的网络地址可以由企业内部进行统一分配、 VPN 组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的 ISP 来完成; VPN 提高了整个企业网的互联性,同时良好的扩展性使得企业更好、更快地适应 Internet 经济的发展,把握商机;另外,在 VPN 应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输私有数据的安全性。
四、VPN 应该遵循哪些设计原则?
VPN 的设计包含以下原则:安全性、网络优化、 VPN 管理等。
在安全性方面,由于 VPN 直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。 Extranet VPN 将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
在网络优化方面,构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。 QoS 通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
在 VPN 管理方面, VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的 VPN 管理系统是必不可少的。 VPN 管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上, VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS 管理等内容。
五、优秀 VPN的基本素质
企业利用 VPN可完成多种事务,从文件传输、商业合伙人的事务处理及合作应用,一直到数据库和远程拨号的接入,VPN可传输很多重要的应用和重要的数据,而且通过利用公共IP网可以享受到节约资金的好处。不过仅仅节约资金还是不够的。由于今天网络容量和各种重要的商业数据日益增长,必须有自动化的VPN安装和操作,同时也必须有广泛的安全性和高效的性能,这是两个有时会互相矛盾的特性。动态的VPN交换为公共网带来了自动化操作和安全性。现在的VPN技术已给VPN的广泛发展带来了一线曙光,但是,如果它的设备和运作费用太高,那么VPN的优点就不能完全体现出来。为了成功地拓宽商业应用的范围,VPN必须具备以下几点基本素质:
1.方便的安装和自动的操作管理。
VPN的安装和管理应当像Hub一样简单,它们应当无需人工配置或对设备的维护。
2.动态连接。
VPN通过网络进行的再发送应当方便且高效,这主要决定于用户和机构应用的需要。此外,由于必须对动态路由选择做出判定,因而,它们应当具有必要的优化带宽的智能性,因为IP网络的静态配置不能满足企业连续处理连通性改变的需要。
3.安全性。
VPN必须提供全面的安全性,以确保公共网上重要数据的安全传输。除了封装和加密之外,所有携带安装和维护信息进入控制路径的数据都必须得到保护。VPN也必须是开放并且是适应于标准的,以便保证将来验证和网络安全技术的实施。