vpn技术精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的vpn技术主题范文,仅供参考,欢迎阅读并收藏。
第1篇:vpn技术范文
【关键词】SSL vpn;IPSEC VPN;网络安全
【中图分类号】TN711
【文献标识码】A
【文章编号】1672-5158(2012)12-0004-01
一、SSL VPN的基本学术概念
1.1 什么是SSL VPN
SSL(Secure Sockets Layer)是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。VPN(Virtual Private Network虚拟专用网络),可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网,被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
SSL VPN就是指应用层的vpn,它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式:直路方式和旁路方式。直路方式中,当客户端需要访问一台应用服务器时:首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立ssl通道;然后,SSL VPN网关作为客户端的和应用服务器之间建立tcp连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是:为了减轻在进行ssl加解密时的运行负担,也可以独立出ssl加速设备,在SSL VPN server接收到https请求时,将ssl加密的过程交给ssl加速设备来处理,当ssl加速设备处理完之后再将数据转发给SSL VPN server。
1.2 SSL VPN的特性
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是Ssl协议,该协议是介于http层及tcp层的平安协议,传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲,需要开通443这样的端口到ssl vpn即可,而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。
可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。
二、SSL VPN的优势
2.1 零客户端
客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议,所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时,可以直接使用浏览器完成ssl的vpn建立;而IPSEC VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。
2.2 平安性
SSL VPN的平安性前面已经讨论过,和IPSEC VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
一般企业在Internet联机入口,都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机,对于人口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSEC VPN联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
2.3 访问控制
用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
2.4 经济性
使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。
第2篇:vpn技术范文
关键词:VPN;MPLS;多协议标记交换
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着Internet的VPN连接蓬勃发展,人们对其连接质量提出了更高的要求。但常规的VPN连接方法缺乏高效的连接手段,网络经常会发生阻塞,许多应用对于目前的IP技术(如语音和视频等)显得力不从心,并且实现成本也很高。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。
1 VPN简介
首先引入现实中的一个例子,经常在外地出差的公司用户希望能从外地的网络访问公司的内网办公,而访问的结果就像在公司内网一样,不会有对资源、权限的限制,就好像在内网里面一样,我们可以利用VPN技术实现这个目的。
由以上来看,究竟什么是VPN呢?虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 常规VPN技术
以往常规的VPN连接技术是在PPTP或者L2TP协议的控制下进行隧道封装加密传输,其中,PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰。L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
但是,IPsec协议首要的和最明显的缺点就是性能的下降,其次,在实现成本上非常不利,低端的设备通常用软件实现所有的IPsec功能,因而其速度最慢。价格贵些的用硬件实现IPsec功能。一般来说,性能越好,其价格越贵。
3 基于MPLS的VPN的新技术
同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于InternetConnect网络。
CPE被称为客户边缘路由器(CE)。在InternetConnect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。
CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding (CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。
对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。
在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。
客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。
三种不同的VPN,分别用Route Distinguishers 10,20和30来表示。
MPLS VPN中,客户站点运行的是通常的IP协议。它们并不需要运行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由识别器对应同每个客户站点的连接。这些连接可以是诸如T1,单一的帧中继,ATM虚电路,DSL等这样的物理连接。路由识别器在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在客户设备上进行配置,对于客户来说是透明的。
每个MPLS VPN具有自己的路由表,这样客户可以重叠使用地址且互不影响。对用RFC 1918建议进行寻址的多种客户来说,上述特点很有用处。例如,任何数量的客户都可以在其MPLS VPN中,使用地址为10.1.1.X的网络。MPLS VPN的一个最大的优点是CPE设备不需要智能化。因为所有的VPN功能是在InternetConnect的核心网络中实现的,且对CPE是透明的。CPE并不需要理解VPN,同时也不需要支持IPSec。这意味着客户可以使用价格便宜的CPE,或者甚至可以继续使用已有的CPE。
4 基于MPLS VPN的优点
时延被降到最低,因为数据包不再经过封装或者加密。加密之所以不再需要,是因为MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似。因为不需要隧道,所以要创建一个全网状的VPN网也将变得很容易。事实上,缺省的配置是全网状布局。站点直接连到PE,之后可以到达VPN中的任何其他站点。如果不能连通到中心站点,远程站点之间仍然能够相互通信。
配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络,不需访问CPE。一旦配置好一个站点,在配置其他站点时无需重新配置。因为添加新的站点时,仅需改变所连到的PE的配置。
在MPLS VPN中,安全性可以得到容易地实现。一个封闭的VPN具有内在的安全性,因为它不同Public Internet相连。如果需要访问Internet,则可以建立一个通道,在该通道上,可放置一个防火墙,这样就对整个VPN提供安全的连接。管理起来也很容易,因为对于整个VPN来说,只需要维护一种安全策略。
MPLS VPN的另外一个好处是对于一个远程站点,仅需要一个连接即可。想象一下,带有一个中心站点和10个远程站点的传统帧中继网,每个远程站点需要一个帧中继PVC(永久性虚电路),这意味者需要10个PVC。而在MPLS VPN网中,仅需要在中心站点位置建立一个PVC,这就降低了网络的成本。
5 总结
MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务,也能够开展QoS、TE、组播等等的业务。随着MPLS应用的不断升温,不论是产品还是网络,对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。
参考文献:
[1]王达.虚拟专用网(VPN)精解[J].清华大学出版社,2004,173-7.
第3篇:vpn技术范文
关键词:IPsec;AH;EPS;VPN; SSL
中图分类号:TP393.08 文献标识码:A
1 概述
IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接,因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,包括加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
2IPsec原理
2.1安全特性[1]
IPSec的安全特性主要有:
2.1.1不可否认性
“不可否认性”可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。“不可否认性”是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
2.1.2反重播性
“反重播”确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地。
2.1.3数据完整性
防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
2.1.4数据可靠性(加密)
在传输前,对数据进行加密,可以保证在传输过程中即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
2.2数据包结构[2]
2.2.1认证头
认证头(AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。
表1认证头分组
01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一个头载荷长度保留安全参数索引(SPI)序列号认证数据(可变长度)字段含义:
下一个头:标识被传送数据所属的协议。
载荷长度:认证头包的大小。
保留:为将来的应用保留(目前都置为0).
安全参数索引 : 与IP地址一同用来标识安全参数。
序列号:单调递增的数值,用来防止重放攻
认证数据:包含了认证当前包所必须的数据。
2.2.2封装安全载荷 (ESP)
封装安全载荷(ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。
字段含义:
安全参数索引:与IP地址一同用来标识安全参数。
序列号:单调递增的数值,用来防止重放攻击。
载荷数据:实际要传输的数据。
填充:某些块加密算法用此将数据填充至块的长度。
填充长度:以位为单位的填充数据的长度。
下一个头 : 标识被传送数据所属的协议。
认证数据:包含了认证当前包所必须的数据。
3VPN原理
3.1VPN的基本概念[3]
在VPN(Virtual Private Network,虚拟专用网络)中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明,用户好像使用一条专用线路进行通信。
3.2VPN的关键技术[4]
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
3.2.1隧道技术
隧道是一种利用公网设施,在一个网络之上的“网络”传输数据的方法,被传输的数据可以是另一协议的帧。隧道协议用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。
3.2.2加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。用于VPN上的加密技术由IPSec的ESP (Encapsulationg Security Payload)实现。主要是发送者在发送数据之前对数据加密,当数据到达接收者时由接收者对数据进行解密的处理过程,算法主要种类包括:对称加密(单钥加密)算法、不对称加密(公钥加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(发明者Rivest、Shamir和Adleman名字的首字符)。
3.2.3密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
3.2.4使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是用户名/口令或智能卡认证等方式。
3.3VPN隧道协议
隧道协议分为第二、三层隧道协议。它们的本质区别再也用户的数据包是被封装在哪一层的数据包在隧道里传输。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
3.3.1PPTP(Point to Point Tunneling Protocol,点到点隧道协议)
PPTP是VPN的基础。PPTP的封装在数据链路层产生,PPTP协议采用扩展GRE(Generic Routing Encapsulation)头对PPP/SLIP报进行封装。所谓扩展GRE头,即在通常GRE头中,细化并修改了密钥字段的利用,并增加了确认、出现位和确认号字段,从而提供了PPTP的流量控制功能。
3.3.2L2F(Layer 2 forwording)
L2F可以在多种介质(如ATM、帧中继、IP网)上建立多协议的安全虚拟专用网,将链路层的协议(如PPP,HDLC等)封装起来传送。因此,网络的链路层完全独立于用户的链路层协议。
3.3.3L2TP(Layer 2 Tunneling Protocol)
是远程访问型VPN今后的标准协议。它结合了PPTP协议和L2F协议的优点,以便扩展功能。其格式基于L2F,信令基于PPTP。这种协议几乎能实现PPTP和L2F协议能实现的所有服务,并且更加强大、灵活。它定义了利用公共网络设施(如IP网络、ATM、帧中继网络)封装传输链路层PPP帧的方法。
3.3.4IPSec
是在IP层提供通信安全而提供的一套协议族,是一个开放性的标准框架。IPSec安全协议包括:封装的安全负载ESP(Encapsulation Securiy Payload)和认证报头AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它对所有链路层上的数据提供安全保护和透明服务。
AH用于通信双方能够验证数据在传输过程中是否被更改并能验证发方的身份,实现访问控制、数据完整性、数据源的认证性和重放根据的保护的功能。
ISAKMP[5]主要用于通信双方协商加密密钥和加密算法,它是基于D-H的密钥交换协议,并且用户的公钥和私钥是由可信任第三方TTP(Trusted Third Party)产生的。
ESP 的基本思想是对整个IP包或更高层协议的数据进行封装,有2种模式:隧道(Tunnel)模式和传输(Transport)模式。在隧道模式下,IPSec把IPv4的整个IP包加密后封装在新的安全IP包的数据段中,并生成一个新的IP包,在传输模式下只是将原IP包中的数据进行加密后再发送出去。
通用路由封装(GRE, Generic Routing Encapsulation):GRE规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义。GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所有在实际环境中它常和IPSec一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。
4SSL VPN与IPSec VPN 比较
4.1IPSec VPN 优缺点
4.1.1优点
(1)IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议;
(2)IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的;
(3)IPSec VPN网关一般整合了网络防火墙的功能;
4.1.2不足
(1) IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;
(2)IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关设备(proxy)的影响;
(3)IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。
4.2SSL VPN[6] 优缺点
4.2.1优点
(1)它的HTTPS客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;
(2)像Microsoft Outlook与Eudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;
(3)SSL VPN可在NAT装置上以透明模式工作;
(4)SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
4.2.2不足
SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术;
SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过。5 结束语
IPsec协议的实现弥补TCP/IP参考模型设计之初的缺陷,但其本身也存在一些不足。通过SSL VPN与IPsec VPN比较,进一步明确了IPsec VPN的特点及其适用的工作场合。
参考文献
[1] Panos Trimintzios. A management and control architecture for providing IP differentiated services in MPLS-based networks, IEEE Communications Magazine, 2001, 39(5): pp.80-88.
[2]Intergated service in the Internet architecture: an overview.RFC1633,1994.
[3]J iang Y, Tham C, Ko C.Providing quality of service monitoring: challenges and approaches . International Journal of Network Management, 2000, 10 (6):pp.323-334.
[4] RFC 2917-2001, Muthukrishnan and amalis, a core MPLS.
[5]Steven brown著, 董晓宇,魏鸿,马洁等译. 构建虚拟专用网[M]. 北京:人民邮电出版社, 2001.
第4篇:vpn技术范文
关键词:VPN技术;应用;研究
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)17-3996-03
虚拟专用网,用英文翻译过来就是Virtual Private Network,简称为VPN。虚拟专用网是通过公共网络中相关的基础设施,采用先进的技术方式,对不同的两台计算机进行一种专用的连接,使相关的网络数据信息在通过公共网络进行上传的过程中,保证网络数据信息私密性的一项技术。如何有效的应用虚拟专用网技术,是企业在发展过程中必须解决的一个重要问题。
1 VPN技术的优点
1.1 节约成本
VPN技术对公共网络进行了利用,建立并组成了虚拟的专用网络,不需要在单独依靠公共网络中专用的线路来保障数据信心传输的安全,利用专用的网络就能够实现数据信心的安全性,这一种方式相对于其他通信方式而言,所需要使用的成本更为低廉,例如:长途电话、专线电话等。
1.2 使用便捷
VPN技术在公共网络中的使用较为便捷,易于在公共网络中进行扩展。当公共网络内部中的节结点逐渐增多的时候,专线连接网络的结构也会变得越来越复杂,而且所需要花费的成本也非常的高,而在使用虚拟专用网的过程中,只需要在公共网络的节点位置构架相关的VPN设备,就能够在对Internet进行利用时在计算机网络中建立安全连接,若是公共网络内部中有其他的网络想要进入安全连接,只需要在使用使用一台虚拟专用网设备,对相关的配置的配置进行调整就能够使其他的网络加入到安全连接之中。
1.3 确保安全性
确保公共网络中的安全性,是VPN技术在计算机网络中的基础,为了确保相关的数据信息在通过公共网络进行传输过程中的安全性,VPN技术对加密认证这一项技术进行利用,在公共网络内部中对相关的安全隧道进行构建,重要的数据信息通过安全隧道进行传输,有效的保证了数据信息在传输时的安全性,避免数据信息被恶意的篡改、破坏。
2 VPN得以实现的主要技术
VPN不是一个实体,而是一种虚拟的网络形态,是计算机网络中的一个概念,是一个通过公共网络中的基础设施对虚拟专用网络进行构建时,所运用连接技术综合起来的名称。VPN技术的实现,离不开隧道技术,隧道技术是VPN技术得以实现的前提,隧道技术是一种对公共网络中的数据信息进行包装,然后在公共网络中构建一条网络隧道,使公共网络中的数据信心通过这一条网络隧道进行传输,以下是VPN技术在运用过程中的主要隧道技术。
2.1 点到点隧道协议
点到点隧道协议简称为PPTP,即Point-to-Point Tunneling Protocol,PPTP将公共网络中的PPP数据信息进行包装之后,通过Internet对这些数据信息进行传输,PPTP协议提供了使多协议VPN构建于Internet中的一种通信方式,远程的客户端能够通过PPTP对专用网络进行访问。
2.2 二层转发协议
二层转发协议简称L2F,即Layer Two Forwarding Protocol,二层转发协议能够对各种不同的传输协议提供支持,例如:帧中继、ATM以及IP等,二层转发协议可以让远程客户端的客户在接入公共IP网络中时,在拨号方式上不会受到任何的限制,例如:远程客户端的客户在运用常规的拨号方式对ISP中的NAS进行拨号时,对PPP连接进行构建,NAS则通过对远程客户端客户的一些基本信息的了解,在网络中进行第二重连接,向公司所在地的二层转发协议中的网络服务器进行传输,二层转发协议中的网络服务器在将接收到的数据信心传输到公司内部的网络中。
2.3 IP安全协议
IP安全协议简称为IP Sec,IP安全协议包含了秘钥协商与安全协议这两个方面中的一部分,IP Sec安全协议提供了鉴别头与封装安全载荷这两种在通信过程中起到保护作用的机制。鉴别头用英文表示为Authentication Header,简称AH,它给计算机网络通信中提供的是一种完全性的保护。封装安全载荷用英文表示为Encapsulations Security Payload,简称ESP,它给计算机网络通信中提供的不仅仅是完整性的保护,还有机密文件在通过网络进行传输这一过程中的保护。鉴别头与封装安全载荷对计算机网络通信的保护具有实效性,对于公司内部在使用网络进行数据信息传输的安全性有着十分重要的意义。IP安全协议是虚拟专用网技术中一个非常重要的组成部分,它对于网络的保护具有完整性,是虚拟专用网在计算机网络的应用中,不可缺少的一个部分,不仅仅保护了数据信息在通过网络进行传输中的安全,还在很大程度上保障了数据信息来源的安全性、可靠性。
3 VPN技术的应用
在对VPN技术进行应用的过程中,能够有效的解决虚拟专用网络在对公共网络进行利用中存在的问题。
以下是VPN技术主要的几种应用:
3.1 远程访问VPN
随着我国科学技术的深入发展,人们对于远程通信的需求逐渐的扩大,各个行业办公方式由办公室办公转变为在办公室以外进行办公,企业中的工作人员对于企业网络中的远程客户端访问的要求逐渐增高,在这一形势下远程访问VPN的出现是必然的趋势。
一些公司或企业在网络中进行远程访问的过程中,为了保证远程访问的安全性,传统的方法是公司或企业的内部网络中对RAS进行构建,即远程访问服务器。远程客户端客户利用电话这一形式进行网络拨号,然后接入RAS,接着进行入到公司或企业的内部网络中,在利用这种传统的方法进行远程访问时,需要对相关的RAS设备进行购买,RAS设备的价格都非常的高,而且远程客户端客户只能采取拨号这一种形式进行远程访问,远程访问的效率非常低,在远程访问时的安全性也得不到有效的保障,在进行拨号时所需要的花费的费用也非常的多。远程访问VPN,通过数字用户线路、ISDN以及拨号等一系列方式,进入到公司或企业所在地的ISP中,再进入Internet中,然后对公司或企业中的VPN网关进行连接,在VPN与远程客户端的客户之间构建一条安全隧道,远程客户端的客户可以通过这一条安全隧道对公司或企业内部中的网络进行访问,这种方式不仅仅节约了远程访问过程中所需要花费的费用,还在很大程度上保障了远程访问中的安全性。
远程访问VPN的结构示意图,如图1所示。
3.2 站点到站点的内联网
一般情况下,在对同一个企业中两个不同的分支机构进行连接的过程中,专用私有线路是必不可少的连接工具,但是专用私有线路非常的难找,寻找一条专用私有线路需要花费很多的时间与精力,而且专用私有线路一般都以出租的方式进行利用,租金非常的高。企业在利用一条专用私有线路对内部中不同的分支机构进行连接时,如果专用私有线路对企业内部网络造成了破坏,则会导致连接的失败,而且在利用专用私有线路对企业内部网络中的数据信息进行传输的时候,传输数据信息的网络通道没有进行相关的加密,这就造成了数据信息在传输过程中存在着不安全因素。
站点到站点的内联网,能够有效的解决企业内联网结构、传输、连接在安全这一方面存在的问题,站点到站点的内联网结构示意图,如图2所示。
VPN网关,处于公共网络与企业专用网络的交界处,站点到站点的内联网对数据信息通信进行加密,通过Internet将数据信息传输到相关的VPN网关中。站点到站点的内联网在接收到Internet所传输的数据信息已被加密,然后通过将数据信息传输到VPN网关对数据信息进行解密,接着传输到企业的内部网络中。站点与站点的内联网在传输数据信息时,不需要专用的私有线路,而且还能够使VPN变得非常的灵活。
3.3 VPN技术应用的实例
VPN技术在宜春供水有限公司中的应用,图3是宜春供水有限公司中VPN网络结构图。
VPN技术在宜春供水有限公司中的应用,取代了宜春供水有限公司内部中传统的专线网络,VPN技术的应用极大的增强了宜春供水有限公司在利用网络进行数据信息传递时的安全性,有效的节约了宜春供水有限公司在网络信息数据传输这一方面的资金成本,在总体上为公司节省了85%左右的信息数据通讯的资金成本,而且只需要普通宽带就能够实现。
4 结束语
虚拟专用网技术在企业应用计算机网络的过程中有着重要的作用,企业采用VPN这一技术,能够有效的保障计算机网络的安全性、可靠性、经济性,能够确保企业中的一些重要的私密性文件在通过网络进行传输时的安全。
参考文献:
[1] 浦兜,陈依群,曾鸿文.虚拟专用网络(VPN)信息加密技术研究[J].电讯技术,2010(17).
[2] 束坤,凳国新.基于计算机网络的VPN技术[J].计算机应用,2008(11).
第5篇:vpn技术范文
关键词:VPN技术;隧道;优化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0034-03
1概述
VPN(Virtual Private Network),即虚拟专用网,它是利用Internet或其它公共互联网络的基础设施为用户创建隧道,并能提供与专用网络一样的安全和功能保障。[1]由于通过VPN技术可以实现资源的传输和共享,并实现了网络环境的稳定和安全。因此,它得到了积极的推广和应用。但其在应用过程中,随着分支机构办公人员数量以及需求不断增加,多带宽使用率的要求也越来越高,导致分支用户业务使用不便,同时专线vpn对于移动办公人员和各办事处人员访问公司的系统不能更好的支持。因此,对其进行优化也显得十分必要。
2 VPN的应用
2.1 VPN的实现原理
VPN技术并不依靠物理上的端到端的专用连接,即没有固定的物理连接,它是利用Internet、ATM等公用网络设施,在两台直接与公网连接的计算机之间建立一条专用通道,建立起虚拟的专用通路,并利用隧道技术对数据进行封装,使数据在具有认证和加密机制的隧道中穿越,从而实现点到点或端到端的安全连接。[2]通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道将需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备及协议组成了一个VPN系统。一个完整的VPN系统一般包括3个单元:VPN服务器端、VPN客户端机和VPN数据通道。
2.2 VPN 的实现
要实现VPN连接,企业内部网络中必需配置一台VPN内网接入设备,该设备有双网卡,它一方面连接企业内部网络,另一方面连接到Internet,即VPN服务器必须有一个公用的IP地址。VPN 使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。远程用户使用时根本无需关心隧道的建立、数据加密、用户认证等过程。[3]远程用户采用TCP/IP 协议,选择建立虚拟隧道,并保持原有的网络结构、网络资源和应用模式不变,以便实现快捷、廉价、保密的通信。
2.3 VPN的应用场景
VPN的应用场景分可分为3种:
1)站点到站点或者网关到网关:在不同的地方分支,各使用一个网关相互建立VPN隧道,企业内网(若干PC)之间的数据则通过这些网关建立的IPSec隧道实现安全互联。
2)端到端或者PC到PC:两台PC之间的通信由两台PC之间的IPSec进行会话保护,而并不是网关。
3)端到站点或者PC到网关:两台PC之间的通信由网关和异地PC之间的IPSec进行保护。VPN只是IPSec的一种应用方式,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。[4]
3 VPN的优化
3.1 优化方案设计
本方案主要是在总部和分支各部署一台深信服(SANGFOR)加速设备,对现有专线数据传输进行优化。SANGFOR VPN设备支持多种加密算法、硬件证书认证、移动客户端专线功能,能保障用户访问安全和数据传输安全。
具体方案如下:
1)通过SANGFOR设备对专线线路重复冗余的数据进行删减、压缩,以减少数据传输量,提高分支机构和总部之间响应速度;
第6篇:vpn技术范文
关键词:虚拟专用网SSLMPLSIPSec
Comparison and Analysis of Mainstream VPN Technologies
LI Hong-Jun
(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)
Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.
Keywords: Virtual Private Network; SSL; MPLS; IPSec
VPN(Virtual Private Network,虚拟专用网)是指将在物理上分布于不同区域的网络通过公用骨干网络连接成的逻辑上的虚拟子网, 它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护,防止通信信息被泄露、篡改和复制。
当前,随着VPN技术的日趋成熟,已经有越来越多的企业和机构采用VPN技术来构建自己的虚拟专用网络以达到灵活扩展自身内部网络、连接跨区域分支网络等目的。与传统的物理专用网络相比,VPN具有组网成本低、通信安全、管理方便、扩展性强、可靠的服务质量(QoS)等特点。
按照实现技术的不同,VPN可分为 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)与 SSL(Secure Sockets Layer)等几种。其中,基于MPLS技术的VPN与基于IPSec协议及SSL协议的VPN是目前应用最为广泛的三种VPN 解决方案。
下面分别对这三种技术进行比较与分析。
1 IPSec VPN与MPLS VPN及SSL VPN的工作原理
1.1 IPSec VPN
IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec组件包括安全协议认证头(AH)和封装安全载荷(ESP)、密钥交换(IKE)、安全联盟( SA)及加密和验证算法等。IPSec是在网络层实现数据加密和验证,提供端到端的网络安全方案,可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重防保护以及有限的数据流机密性保证等服务[1 ]。
IPSec协议为IPv4与IPv6提供可互操作的、高质量的、基于加密体制的安全方案。它包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密与流量保密等安全服务。所有这些服务都建立在IP层,并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406],以及通过使用加密密钥管理过程和协议来实现。
IPSec VPN是一项成熟的技术,目前有许多基于硬件的解决方案来保障它的高性能,是远程办公室点对点互联的优选方案。
1.2 MPLS VPN
MPLS (Multi-Protocol Label Switching,多协议标签交换)是由Cisco提出的新一代IP骨干网络交换标准,介于第二层和第三层之间的交换技术,所以它既可以兼容多种链路层技术,又能支持多种网络层的协议,实现了边缘的路由和核心的交换[2 ]。
MPLS VPN是一种基于MPLS技术的VPN,在网络路由与交换设备上使用MPLS技术,应用标签交换,通过LSP将私有网络的不同分支联结起来,并结合传统的路由技术,适用于多点到多点的连接。MPLS作为骨干网络的一种路由转发的新模式,必须由LSR(Label Switch Router,标签交换路由器)构建,普通路由器无法完成。如果网络规模比较大,则可能需要较多的LSR。
1.3 SSL VPN
SSL(Secure Socket Layer,安全套接层)协议是由网景(Netscape)公司提出的基于Web的安全协议,它是一种在Internet上保证发送信息安全的通用协议,处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了一种在应用程序协议(如 HTTP、Telnet、SMTP和FTP等)与TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证[3]。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机与服务器间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。尽管SSL 协议并非为实现VPN而设计,但SSL对VPN实现所需的数据加密、身份认证与密钥管理等关键技术提供了良好的支持。
SSL VPN是工作在应用层(基于HTTP协议)与TCP层之间的,能够提供安全的远程接入[4]。SSL VPN利用浏览器内建的安全套接层(SSL)封包处理功能,通过浏览器连回公司内部的SSL VPN服务器,然后通过网络封包转向的方式,令客户可以在远程计算机执行应用程序,读取公司内部服务器数据。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。通过 SSL VPN可以实现远程访问企业内部网络的构架。
2 IPSec VPN、MPLS VPN与SSL VPN的比较及分析
2.1安全性比较与分析
IPSec VPN[5]采用了对称式(Symmetric)与非对称式(Asymmetric)的加密算法以及摘要算法等,通过身份认证、数据加密、数据完整性校验等多种方式保证了接入的安全性、数据的私密性,其安全性高。MPLS VPN采用路由与地址隔离以及信息隐藏等多种方法来抗攻击与标记欺骗,但它并没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部攻击等安全问题。MPLS本身并未提供加密与验证的安全功能,它可以集成IPSec协议以提供安全保护。因而其安全性一般。SSL VPN与IPSec VPN一样,也采用了对称式与非对称式的加密算法执行加密作业,其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻击的可能性,并且受客户端病毒感染的可能性也很小,故其安全性较高。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2.2 认证方式与管理的比较及分析
IPSec[6]采用了因特网密钥交换(Internet Key Exchange)方式,使用数字凭证(Digital Certificate)或者一组Secret Key做认证。对于IPSec VPN,由于一个新用户节点的增加、删除或修改均需要重新设置现有的所有节点,并在客户端安装复杂的软件及配置。另外,IPSec VPN对客户端采用的操作系统也具有较高的要求,不同的终端操作系统需要不同的客户端软件,其易管理性差。SSL仅能使用数字凭证,若都采用数字凭证来认证,SSL与IPSec在认证的安全等级上则没有太大的差别。大多数厂商对SSL的认证均会建置硬件令牌(Token)以提升认证的安全性。在实际作业时,大多数人均在整个网段(Subset)上进行开发以避免太多的设定所带来的麻烦。SSL可以设定不同的使用者以执行不同的应用系统,另外浏览器中也内置了SSL协议,客户端不需要安装软件,不需要配置。因而,SSL在管理和设定上比IPSec 简单方便得多,便于管理。对于MPLS VPN[7],由于在同一VPN的成员之间不需要建立与维护连接,若有新成员加入,ISP仅需要告知用户端的设备如何与网络连接,并配置PE来识别来自CE的VPN成员,BGP便会自动更新相关配置,用户不需要手动升级或改变自己的边缘设备。MPLS VPN并不需要客户端管理软件,因而易于管理。
2.3 成本的比较
MPLS VPN对于用户而言,其一次性投入的成本较低,但长期投入的资金比较高。对于IPSec VPN,在实施IPSec方案时不仅需要人工发放认证的材料,用户还需要知道所使用的加密和认证算法,内网路由配置等诸多繁琐事宜,还需要预装客户端软件等。这些不便在大规模实施过程中给用户带来了难以负担的工作量和费用,其投入的成本较高。由于SSL VPN客户端则不需要安装客户端软件,因为浏览器内置了SSL协议,其投入的成本最少。
3 结语
通过上述比较分析可看出,三种VPN技术各具特色,互有长短。IPSec VPN与SSL VPN这两种VPN架构,从整体的安全等级来看,它们均能提供安全的远程登入存取联机。但SSL VPN在其易用性及安全层级上,均比IPSec VPN高。由于Internet的快速扩展,针对远程安全登入的需求也日益增加。因此,在实际选择VPN 时,应根据实际需求,可以某种VPN技术为主,结合其他技术,充分发挥它们各自的优势,让VPN网络为企业和员工提供更好的服务。
参考文献
[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁国忠译.IPSec VPN设计[M].北京:人民邮电出版社,2006.
[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.卢泽新, 朱培栋,齐宁译.MPLS和VPN体系结构(第二卷) [M].北京:人民邮电出版社,2004.
[3] 马军锋.SSL VPN 技术原理及其应用[J].电信网技术,2005,(8):6~8.
[4] 伍转华.三种基于不同协议的VPN技术研究与分析[J].科技咨询,2007.
[5] 王春燕.VPN介绍及其安全性问题探讨[J].中国新通信,2008.
[6] 易光华,傅光轩,周锦顺.MPLS VPN、IPSec VPN和SSL VPN技术的研究与比较[J].贵州科学,2007,(2).
第7篇:vpn技术范文
关键词:校园网IPv6VPN安全性
1 概述
目前,随着我国信息网络建设的飞速发展,高校也进行了较大规模的数字化建设,并形成了完善的校园网络基础平台。我国一些重点高校更是构建了基于IPv6的校园网,用于组建下一代科研教育骨干网(CERNET 2),为未来IPv6网络的应用打下基础。但该技术的使用大多停留在实验测试阶段,其安全性问题凸显的不够明显。随着“云概念”的提出,IPv6的应用也是迫在眉睫。如何解决IPv6的安全问题成为了近年研究的热点之一。
2 IPv6技术存在的问题
现在我国的IPv6技术仍处于发展阶段,很多方面还不成熟,很多实践过程中遇到的部署和应用问题还有待解决。如大多数高校原来使用基于IPv4的网络,如果要把它全部换成即可运行IPv4又能运行IPV6的双栈网络,就要把原有的网络设备全部更新换代。这个一方面投资太大,另一方面造成了资源浪费。
2.1 过渡时期的安全漏洞 网络在由IPv4向IPv6的过渡时中出现了一些安全漏洞。如果攻击者想要建立从IPv6到IPv4的隧道,只需要用安装了双栈的IPv6主机就可以绕过防火墙进行攻击了。对于校园网用户来讲也面临着这些问题,其中最重要的是在当前的校园网搭建上怎么样来保证IPv6 孤岛之间的通信安全。
2.2 IPv6网络协议自身局限 IPv6网络协议本身还有待于完善,其目前还很难来实现严格意义上的用户限制功能。它与IPv4的防火墙、漏洞扫描、网络过滤、VPN、IDS、防病毒网关等联合的安全体系还存在着较大的差距。
2.3 实践中的安全隐患 无状态地址自动配置使得合法网络用户在使用IPv6 网络时相当方便,但是它在同时也引入了安全隐患,因为协议自身就认为所有的可以自动配置的节点都是合法节点,并且能够即插即用地接入到本地网络中来。所以,攻击者就可以利用这一特性对用户信息进行监控甚至是篡改。
2.4 自身组成部分的不严密 ICMPv6是IPv6的重要组成部分,但是它能够被利用来发动拒绝服务攻击,利用ICMPv6能够冒充其它节点来产生恶意消息(不可达目的、超时、参数替换等),从而来影响正常的通信交流。
2.5 协议的保密性差 攻击者可以通过利用网络邻居发现协议,然后发送错误路由器宣告、错误重定向消息等,让数据包通向不确定目的地,进而达到产生拒绝服务、拦截与修改数据包的目的。
3 IPv6校园网络的安全性问题
3.1 校园网带宽高和规模大 高校学生一般计较集中,因而用户群比较密集。由于高带宽和大用户量的特点,网络安全问题蔓延快,影响比较严重。
3.2 网络环境的开放性 受教学和科研特点的影响使校园网络环境应该是开放的、管理也是较为宽松的。如果实施过多的限制,一些新的应用很难在校园网内部实施。
3.3 管理的不足 在校园网管理方面,一般只有网络中心的少数工作人员,他们负责维护网络的正常运行,无暇顾及数千台计算机的安全。
3.4 实施困难 IPv6最重要的安全性体现是将IPSec作为强制标准实施,保证了网际层数据的保密性和完整性。但是大规模部署IPSec所依赖的PKI在IPv6网络上存在难度,因此IPSec的实施还有困难。
4 VPN技术的优势
4.1 VPN的出现能够让校园网能够通过Internet安全可靠、经济有效地来传输机密信息,可以保证IP数据包在公网传输过程中不会受到来自其它用户的网络窃听、修改等安全威胁。目前,在IPv6校园网环境中可以使用的VPN安全隧道协议有链路层的PPTP、L2TP协议,SSL协议和网络层的IPSec协议。其中IPSec是VPN使用最多的安全协议,凭借其高水平的标准性、易用性以及高安全性等优点成为了目前VPN 安全隧道技术的主流。
4.2 在VPN 的实现中可以具有如下主要作用:
4.2.1 远程用户可以通过透明地拨号上网来访问内网,IP隧道可以任意调整任何形式的有效负载。
4.2.2 隧道可以利用封装技术,对多个用户、多个不同形式的有效负载进行调整。
4.2.2 当使用隧道技术访问内网时,内网不会将其IP 地址报告给公网。
4.2.3 隧道技术可以对是否滤掉接收者,或对个人隧道连接进行报告进行选择,自主性较强。
5 VPN在IPv6校园网中的部署
目前,高校大多的校园网属于那种典型的三层结构,即核心层、汇聚层与接入层。主要的应用有:部门之间的互连;信息服务;远程访问;内部信息的保密和安全等方面。
由于汇聚设备很大一部分是不支持IPv6协议的老旧设备,所以IPv6协议不能够通过路由到达核心交换机。一些高校的部分新建楼栋采用的是支持IPv6协议的三层汇聚交换机,是通过光纤直接接入核心交换机的。结合高校校园网的具体情况,从而可以有以下几种改善建设思路。
5.1 Access VPN实现异地访问 Access VPN是远程的方式,具体是首先通过配置VPN服务器,使之能接受客户用户的VPN 拨入,同时在服务器端配置VPN 用户,给予用户拨入的权限;其次是配置VPN 客户端,在客户端建立VPN 连接。在客户机连入Internt 后,就可以进行VPN 连接拨入,在客户机和远端VPN 服务器之间建立点对点连接。
Access VPN的应用,使单机远程移动用户随时随地以各种方式接入Internet,安全地访问校园网的资源。实质上是对校园网的延伸,教职工可以打破传统的固定办公模式,将办公地点延伸到家庭或出差地,实现异地办公。同时Access VPN 也能保证教职工用户端和校园网VPN 服务器之间数据信息传输安全。
5.2 应用Intranet VPN实现多个校区局域网互联 在众多隧道技术中,IPSec VPN是使用最为广泛的一种,其在实现通信的两端提供安全的传输隧道。该方法定义了哪些数据包应受到保护,该被放在安全隧道中传输。通过标识隧道的安全属性,可以定义用于保护这些敏感数据的安全参数。更精确地说,这些安全的数据传输隧道是建立在两个IPSec对端的一系列SA上,这些SA参数定义了哪些协议和算法可以被应用到敏感数据、IPSec对端应用的密钥等。IPSec的实现是靠两个对端维持的,实际上是一种端到端的安全实现;从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间的路由器不需要做相应设置。因此IPSec实现的是一种与接入网络无关的VPN技术。
6 结论
目前IPv6网络已经进入到全面部署时期,在以IPv6协议为主的CERNET2上进行应用与科研是总的发展趋势。在IPv6协议下构建基于VPN的校园网还需要考虑综合的安全措施,如与入侵检测、防火墙等设备的结合使用。从而形成一种混合技术,构建安全的校园网络和完美的VPN。
参考文献:
[1]王宇杰,杨志军.《下一代校园网建设进入新阶段(一)》.北京交通大学.中国教育和科研计算机网,2010.
[2]时晨,申普兵等.IPv6校园网环境下IPSecVPN的安全性研究[J]计算机技术与发展,2010,20(10):168-170.
第8篇:vpn技术范文
[关键词]VPN技术;MPLS VPN技术;内部网络;构建策略
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2015)06-0089-02
引言
VPN技术又称远程访问技术或虚拟专用网络技术,主要是指利用公用网络架设专用网络,进行加密通讯的一种技术。VPN技术按照协议可分类为多种方式,并通过服务器、硬件、软件等来实现。由于VPN技术具有的经济性、实用性、简单性等特点,使其在企业网络中的应用十分广泛。
1.VPN技术的概述
VPN技术被定义为通过一个公用网络,建立起一个安全、临时的连接,该技术是对企业内部网的扩展,其可以帮助异地用户、商业伙伴、供应商、公司分支机构同公司的内部网建立起可信的安全连接,保证数据的安全传输。VPN技术主要的优点体现在三方面:一,VPN技术可以省去专线租用费用或长距离电话费用,进而有效地降低了成本;二,VPN技术可以充分地利用internet公网资源,快速地建立起公司的广域连接;三,VPN技术可以对所有数据进行加密,以此确保数据信息的安全性与保密性,使没有访问权利的用户无法看到企业的局域网络。
2.VPN技术构建企业内部网络的技术基础与安全要素
2.1 VPN技术基础
实现一个完整、系统的VPN技术,主要基础技术包括密码技术、隧道技术、网络访问控制技术等。⑴密码技术。密码技术作为VPN技术中的一项基本技术,也是所有通信数据安全的基石,是保证信息机密性的唯一方法。通过对网络的加密,防止非授权用户的搭线窃听以及入网行为,有效对抗恶意软件,最终起到以最小代价提供最强安全保护的效果。密码技术又可根据算法分为非对称密钥密码算法与对称密钥密码算法两种,在应用中根据实际情况选择最适宜的一种。
⑵隧道技术。受到Internet网络中IP地址资源短缺的影响,企业内部网络使用多属于私有IP地址,但是从这些地址发出的数据包却不能直接通过Internet传输,必须代之合法的IP地址。而隧道技术便是将这种私有IP地址转换成为合法IP地址的技术。隧道技术又称之为数据包封装技术,发生在VPN的发送节点,通过将原数据包打包,添加合法的外层IP包头,然后这个包再通过公网被传送到接收端的VPN节点,该节点在接收后通过拆包处理,还原出原报文中传输给目标主机。从现状来看,几乎所有的VPN技术采用了隧道技术[1]。
⑶网络访问控制技术。网络访问控制技术主要起到对出入广域网的数据包进行过滤的作用,一个系统的VPN产品,应该同时提供完整的网络访问控制功能,才能保证系统的性能、安全性以及统一管理。
2.2 VPN技术的安全要素
采用VPN技术构建企业内部网络时,应该具备如下几点安全要素:一,使用偷听者无法破解拦截的通道数据,提供有效的加密手段,保证系统通道的安全性与机密性;二,VPN技术要有抵抗不法分子篡改数据的功能,接收到的数据必须要与发送时的数据一致,必须保证数据的完整性与有效性;三,通信主机必须经过授权,要有抵抗地址假冒的功能,确保数据的真实性;四,可提供安全、有效的访问控制与防护措施,可以对VPN通道进行访问控制,同时也起到抵抗黑客通过VPN通道攻击网络的能力。
3.基于VPN技术的内部网络构建
文章以西北空管局为例,分析在H3C路由器应用下,基于VPN技术的内部网络构建对策。
3.1 VPN基本组网应用
就以某企业为例,基于VPN建立的企业内部网见图1所示:
上述可见,企业内部资源享用者利用PSTN/ISDN网或局域网连入本地ISP的POP服务器,以此来访问到公司内部资源。
3.2 L2TP协议配置
⑴VPDN指通过PSTN、ISDN等公共网络的拨号功能及接入网,实现虚拟专用网,为企业提供接入服务。VPDN主要有两种实现方式,包括:NAS通过隧道协议与VPDN网关建立通道的方式、客户机与VPDN网关建立隧道的方式。而VPDN隧道协议又分为L2F、L2TP、PPTP三种,由于L2TP协义所具有的多协议传输、高度的安全性与可靠性、灵活的身份验证、支持内部地址分配、网络计费的灵活性等特点,使得该协议的应用最为普遍。L2TP隧道模式有两种最为典型:1.由远程拨号用户发起。远程系统和PSTN/ISDN拨入LAC,LAC通过Internet向LNS发起建立通道连接的请求;2.由LAC客户发起。LAC客户也可直接向LNS发起通道连接请求,由LNS来完成LAC客户的分配[2]。
⑵PPP用户通过接入认证后,EAD服务器便会对其进行安全认证,若是认证通过,用户便可正常访问网络资源,但若认证不通过,用户便只能访问隔离区资源。L2TP配置分为LAC端配置与LNS端配置两种,具体配置可根据详细说明书参阅。值得注意的是,在实际配置中,一台设备可以同时配置为LAC侧与LNS侧,但它们所使用的用户名不能相同。
⑶L2TP的呼叫可以由NAS主动发起,也可通过客户端来发起,现作举例说明:其一,NAS-Initialized VPN。用户先以普通上网方式进行拨号上网,在接入NAS处对此用户进行验证,发现是VPN用户时由NAS向LNS发起隧道连接的请求;NAS与LNS隧道建立后,NAS将与VPN用户协商的内容以报文形式传给LNS,LNS根据预协商决定是否接受此连接,用户与公司总部间的通信均通过NAS与LNA之间隧道传输。其二,Client-Initialized VPN。用户连接Internet后直接向LNS发起Tunnel连接请求,LNS接受连接请求后,VPN用户便与LNS间建立了一条虚拟Tunnel,用户与公司总部间通信均可通过该通道进行传输。
3.3 DVPN
DVPN动态虚拟私有网络技术通过动态获取对端的信息建立VPN连接,在网络中用以构建DVPN动态虚拟私用网络的路由器设备,所有支持DVPN特性的路由器都可以作为DVPN接入设备。DVPN采用Client/Server模式,对于同一个DVPN域的N个接入设备,均要设置成一个Server工作方式,其他可设置为Client方式。当Client到Server注册成功以后,Client与Server之间便可自动建立起Session隧道。网络运行中,Server根据需要,向Client发送Redirect报文,Client接收到重定向报文后,从中得到其他Client信息,并在Client之间建立Session隧道,最终实现DVPN域中的全连接[3]。
4.MPLS VPN技术介绍
MPLS-VPN是指采用MPLS(多协议标记转换)技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起。
MPLS VPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间数据的隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题,MPLS自身提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。MPLS提供了电信、计算机、有线电视网络三网融合的基础,除了ATM,是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于MPLS技术的MPLS VPN,在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外,MPLS VPN提供灵活的策略控制,可以满足不同用户的特殊要求,快速实现增值服务(VAS),在带宽价格比、性能价格比上,相比其他广域VPN也具有较大的优势。
MPLSVPN网络主要由CE、PE和P等3部分组成:
CE(Customer Edge Router)用户网络边缘路由器设备,直接与服务提供商网络相连,它“感知”不到VPN的存在;
PE(Provider Edge Router)服务提供商边缘路由器设备,与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者;
P(Provider Router)服务提供商核心路由器设备,负责快速转发数据,不与CE直接相连。如图2
在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
5.结束语
基于VPN技术建立的企业内部网络,具有安全性高、成本造价低、扩展性佳、可支持动态分配IP等诸多特点,已成为各企业必不可少的网络构建方式。而MPLS VPN技术是基于VPN技术上延伸出的一种更加适应各个企业的网络技术,有VPN技术提供安全保障,又引申出了适应多种业务的传输交换协议。
参考文献
[1] 李淑梅.中小企业基于IPSec VPN的网络构建[J].现代计算机,2011,9(9):99-101.
第9篇:vpn技术范文
关键词:校园网 VPN技术 虚拟专用网 隧道技术 公共网络
随着网络技术和教学模式的日新月异,广大师生要求随时随地访问校园网上的内部资源,这就意味着校园内部网络暴露在可被攻击的环境下,所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。虚拟专用网(VPN,Virtnal Private Network)的出现,为当今学校发展所需的网络通信提供了一种经济安全的实现途径。
1.VPN的概述
VPN(Virtual Private Network,虚拟专用网),它不是一个真正的专用网络,而是通过一个公用网络建立一个临时的、安全的、稳定的隧道,并且所有数据均经过加密后再在网上传输,通过使用这条隧道可以确保数据的机密性并且具有一定的访问控制功能。它兼备了公网的便捷和专用网的安全,实现了利用公网通过加密等手段来实现单位组织的“专用网”,而成本却远远低于传统的专线接入。
2.VPN的安全保证技术
由于VPN连接的特点,私有网络的数据要在公用网络上传输,考虑到数据的安全性,一般要对传输的数据先进行加密操作。VPN主要采用的四项安全保证技术包括:隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术来保证数据的安全性。这些技术可应用在TCP/IP协议层的数据链路层、IP层、TCP层和应用层。
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。通过隧道的建立可实现:将数据流强制送到特定的地址;隐藏私有的网络地址;在IP网上传递非IP数据包;提供数据安全支持。
加解密技术包括两个元素:算法和密钥。现在比较通用的是密钥加密技术。密钥加密技术对数据加密的技术又分为两类,即对称加密(私人密钥加密)和非对称加密。对称加密的特点是文件加密和解密使用相同的密钥。非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
3.VPN的网络协议
常用的VPN网络协议:
PPTP:Point to Point Tunneling Protocol,点到点隧道协议。它只能在两端点间建立单一隧道,不支持隧道验证。
L2TP: dyer 2 Tunneling Protocol,第二层隧道协议。支持在两端点间使用多隧道,可以提供隧道验证。
GRE:VPN的第三层隧道协议。定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。
IPSec:IP Security,网络协议安全,属于第三层隧道协议,它不是一个单独的协议,而是一个协议族,即一系列相互关联的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。IPsec作为一个协议族,主要由保护分组流的协议和用来建立这些安全分组流的密钥交换协议组成。
目前,市场上大部分VPN都采用将L2TP和IPSec结合起来这类技术,即用L2TP作为隧道协议,用IP-Sec协议保护数据。它的优点是定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCPIIP协议上VPN之间的互操作性。缺点在于,除了包过滤外,它没有指定其他访问控制方法,对于采用NAT{网络地址翻译)方式访问网络的情况难以处理,为此最适合于可信LAN到LAN之间VPN的场合应用。
SSL:Secure Socket Layer,安全套接字层,是第四层隧道协议,属于高层安全机制,广泛应用于Web浏览器程序和Web服务器程序。在SSL中,身份认证是基于证书的,服务器方向请求的客户方的认证是必须的,现在逐渐得到广泛的应用。
4.VPN技术在数字化校园中的应用
VPN技术是采用隧道技术以及加密、身份认证等方法,在Internet上构建专用网络的技术,数据信息通过安全的“加密管道”便能在Internet中传播。VPN技术大致可以分三种模式组建网络,远程接入、网络互联和内部安全。
①远程访问
VPN的远程访问解决方案,充分利用了公共基础设施和ISP(Internet Service Provider,互联网服务提供商),远程用户通过ISP接入Internet,连接与Internet相连的校园网VPN服务器,来访问位于VPN服务器后面的内部网络。这样,远程客户到校园内部网的通信就是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。
②远程网络互联
校园网与家庭、学校与学校之间的网络互联,采用这种专线连接方式实现网络远程互联。这种专用隧道连接方式连接可靠,速度有保障,便于扩展,而且有较高的性价比。网络互联是最主要的VPN应用模式。
③网络内部安全
随着数字化校园的建设,内网的安全性越来越受到重视,对一些关键的应用系统之间要进行隔离,实现访问控制。VPN可建立内部专用隧道,实现安全保密通信,从而组建更为专业的保密网络。
5 结语
VPN是在公共网络上构建专有网络的技术,将VPN技术应用于校园网,可以突破校园网的地域性限制从而优化校园网的管理和应用。随着VPN技术的成熟,因其具有廉价、安全、可靠的特点,而被广泛的应用在远程访问和网络互联上。它能够帮助远程用户、各级部门建立可靠的安全连接,并保证数据的安全传输。VPN网络建成以后,大大降低了网络复杂度,简化了校园网的网络管理,提高了整个校园网的互联性。
参考文献:
[1]魏广科, VPN技术及其应用的研究[J], 计算机工程与设计,2005