前言:中文期刊网精心挑选了vpn技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
vpn技术范文1
关键词 vpn;原理;特点;应用
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)35-0182-01
1 VPN的概念
所谓VPN(Virtual Private Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN通过建立隧道机制实现,隧道机制可以提供一定的安全性,并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证信息在传输中不被偷看、篡改、复制。
2 IPSec是VPN最常用技术之一
IPSec VPN是基于IPSec(Internet Protocol Security)规范的VPN技术或网络的统称。IPSec即Intenet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec规范相当复杂,规范中包含大量的文档。IPSec在TCP/IP协议的核心层―IP层实现,可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。
3 IPSec VPN工作原理
设想甲、乙两个异地局域网需要进行通讯,因为是局域网内网IP地址不能通过INTERNET公网进行安全通讯。只有通过IPSec包封装技术,利用Internet公网IP地址,封装内部私网的IP数据,实现异地网络的互通:如果甲私网IP发信给乙私网IP地址,甲局域网IP数据经甲私网IP地址传至出口处甲地IPSec VPN网关进行加密封装,通过INTERNET公网传送至乙地IPSec VPN网关进行解密拆封装后,交给乙局域网私网IP地址。相反乙私网IP地址回信给甲私网IP也是一样过程,这样就实现异地局域网对局域网的通讯。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能,保证数据通信安全正确。IPSec安全协议对数据封装加密及身份认证使用同一密钥,既用于加密又用于解密。私钥加密算法非常快,特别适用于对较大的数据流执行加密转换。IPSEC通讯的数据认证使用md5算法计算包文特征,报文还原以后,检查这个特征码,看看是否匹配,证明数据传输过程是否被篡改。
4 IPSec VPN特点
1)经济:用户不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地租费很高,而Internet的接入费用则只承担本地的宽带费用,费用很低。此外VPN网关设备功能强劲但造价低廉;2)灵活: 接入灵活,不受互联网接入运营商的限制,支持动态IP地址和NAT穿越。连接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,XDSL 或拨号都可以连接Internet。一个IPSec VPN网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。支持多分支多端口,扩展性好;3)安全: IPSec VPN最显著特点就是它的安全性,这是它保证内部数据安全的根本。通过领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时,VPN 设备内置专业防火墙功能,对数据包采用多维策略过滤,最大可能地防止黑客攻击;4)可靠: VPN 设备可提供冗余机制,保证链路和设备的可靠性。在中心节点VPN 核心设备提供冗余CPU 、冗余电源的硬件设计。而在链路发生故障时,VPN交换机支持静态隧道故障恢复功能,隧道定时巡检机制,快速自动修复功能,确保互联数据的安全可靠;5)方便: 技术人员可以通过管理软件,实现远程配置节点设备,方便管理及故障处理;
6)多业务: 通过IPSec VPN网络可以传送IP话音、视频业务、数据业务,运行ERP软件,为现代化办公提供便利条件。
vpn技术范文2
关键词:MPLS VPN;路由器;配置
中图分类号:TP393.1
MPLS VPN由于在灵活性、扩展性、QoS方面的优势,逐渐成为最主要的IP-VPN技术,采用MPLS VPN组建各类虚拟专网,首先保证了网络数据流的安全性和服务质量。其次,满足多种灵活的业务需求,此技术将会在综合信息网络虚拟专网建设中推广使用。
1 MPLS VPN组织结构
目前,几乎所有的网络设计都采用分层结构,例如,骨干——核心——汇聚——接入四层模型是城域网典型结构,所采用设备等级依次程下降,而信息网络的规模则不断扩大。核心层与骨干层常用网状拓扑结构,这样可以增加冗余,以确保信息网络具有良好的可靠性和抗毁性。在这样的信息网络中,PE节点该如何部署呢?我们可以将PE直接设置在核心层(即在骨干网层边缘直接相连CE),也可以将其部署在汇聚层和接入层。现在最常用的做法是将PE分为多个层,这个层分别对应整个网络拓扑结构的层次,来共同负责全网的VPN业务的完成。同样,在这种分层部署的MPLS VPN中,网络层次越高则PE性能及容量等方面的要求就更苛刻,网络层次越低则PE性能及容量等方面的要求就更宽松。同样,这种类型MPLS VPN中网络层次越靠下,则PE设备的量就越大,同时MPLS VPN用户的接入能力也就更强。
采用分层结构设计的MPLS VPN中,网络系统组成一般为骨干和核心节点作为P路由器,汇聚节点作为PE路由器,接入节点作为CE路由器。骨干节点作为本自治系统的ASBR。
1.1 跨域组网结构
实现跨域MPLS VPN服务的方式多种多样,目前有如,OptionB跨域的VPN组网方式,提供域间MPLS VPN服务。使用MPLS VPN技术入网的用户可以跨越多个自治系统,以实现组成MPLS VPN网络,此方法是信息网络组建中较为推广使用方案。如图3-2所示。
图中自治系统的ASBR为骨干节点,其与同他直连的其它自治系统的ASBR之间,配置的是MP-EBGP协议,对端的直连接口地址被用作协议会话邻居的地址。网络通过域间MP-EBGP分发VPN标签,ASBR将改变路由的下一跳属性。ASBR与域内节点运行的OSPF、MP-IBGP(RR)和LDP等协议不变。
2 基于NE80E/40E的配置MPLS VPN
2.1 配置思路
如图3-1为采用单跳MP-EBGP方式构建的MPLS-VPN网络,该网络提供域间MPLS-VPN服务。VPN用户可以跨越任意自治系统,实现VPN组网。
CE1和CE2属于同一个VPN。CE1通过AS100的PE1接入,CE2通过AS200的PE2接入。采用OptionB方式实现跨域的BGP/MPLS IP VPN:在骨干网上运行IGP协议实现同一AS的ASBR与PE之间的互通,并且同一AS的ASBR与PE之间要建立MPLS LDP LSP。在PE与CE之间需要建立EBGP对等体关系;PE与ASBR之间建立MP-IBGP对等体关系。在PE上需配置VPN实例(在ASBR上无需配置VPN实例)。在ASBR上与另一ASBR相连接口上分别使能MPLS,且ASBR之间建立MP-EBGP对等体关系。
2.2 设备配置方案
(1)在AS100和AS200的MPLS骨干网上分别配置IGP协议,实现各自骨干网PE之间的互通本例中采用OSPF,具体配置步骤略。配置完成后,同一AS的ASBR与PE之间应能建立OSPF邻居关系,执行display ospf peer命令可以看到邻居状态为Full。
(2)在AS100和AS200的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP,建立LDP LSP。
(3)为PE1和PE2配置基本BGP/MPLS IP VPN。
(4)配置跨域VPN-OptionB方式。
# 配置ASBR1:在与ASBR2相连的接口POS2/0/0上使能MPLS。
system-view
[ASBR1] interface pos 2/0/0
[ASBR1-Pos2/0/0] ip address 192.1.1.1 24
[ASBR1-Pos2/0/0] mpls
[ASBR1-Pos2/0/0] quit
# 配置ASBR1:与ASBR2建立MP-EBGP对等体关系,并且不对接收的VPNv4路由进行VPN-target过滤,并且使能ASBR1按下一跳分标签。
[ASBR1] bgp 100
[ASBR1-bgp] peer 192.1.1.2 as-number 200
[ASBR1-bgp] ipv4-family vpnv4
[ASBR1-bgp-af-vpnv4] peer 192.1.1.2 enable
[ASBR1-bgp-af-vpnv4] undo policy vpn-target
[ASBR1-bgp-af-vpnv4] apply-label per-nexthop
[ASBR1-bgp-af-vpnv4] quit
[ASBR1-bgp] quit
上述配置完成后,CE之间能学习到对方的接口路由,CE1和CE2能够相互ping通。同一AS的ASBR和PE能学习到对方的Loopback地址,并能够互相ping通。ASBR2的配置与ASBR1类似,此处不再详述。
3 结束语
综上所述,因为MPLS VPN具有更好的安全性、QoS、灵活性、扩展性的优势,较好的满足了信息网络对数据流安全性和服务质量的要求,因此MPLS VPN技术在信息网络虚拟专网建设中被推广使用。
参考文献:
[1]薛戈丽.组建基于MPLS VPN的IP城域网网络方案[J].中国科技信息,2005(15):137.
vpn技术范文3
近两年,SSL VPN的市场突飞猛进,SSL VPN产品与IPSecVPN产品在市场占有率已开始出现此消彼长的情况。
状态监测、应用智能、SmartDefense技术都是Check Point公司借助14年以来专业充实安全领域研究过程中所开发出来的安全防护技术,是贯穿公司所有安全防护产品,包括SSL VPN产品的安全特性。
状态监测技术
状态监测技术已经逐渐成为企业级网络安全解决方案的行业标准。状态监测能够满足上面指定的所有安全要求,而传统的防火墙技术在某些方面均存在一定的缺陷。借助状态检测技术,将在网络层截获数据包以达到最佳性能(与包过滤器相同),但随后将访问和分析来自于所有通信层的数据(与应用层网关的第 4~7层比较而言)来改进安全性。
然后,状态监测通过合并来自于通信以及应用程序的状态和上下文信息(这些信息是动态存储和更新的),来获得更高的安全性。这样将提供累积数据,据以评估以后的通信尝试。它还提供创建虚拟会话信息的功能,以便跟踪无连接协议(例如基于 RPC 和 UDP 的应用程序),这些是其他防火墙技术无法实现的。
应用智能技术
应用智能作为一组高级功能,能够检测和阻止应用级攻击。许多防火墙(特别是那些基于 Stateful Inspection 技术的防火墙)已经保存了成功抵御网络攻击的防护库。事实上,越来越多的攻击试图利用网络应用的弱点,而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point应用智能扩展了对这种网络安全解决方案的理解。
应用智能本身的形式与应用级防护相关联。然而实践中,许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如 DoS 攻击)。基于上述原因,应用智能和其他网络安全解决方案不仅必须要解决应用层问题,还可以解决网络及传输层安全问题。
防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多层安全解决方案必须保护网络层和应用层免受攻击,提供对 IT 资源的访问控制。Check Point应用智能具有一系列高级功能,与 Check Point FireWall-1 NGX 和 SmartDefense 集成,能够检测和防止应用层攻击。并且针对越来越多直接针对关键应用的攻击行为,公司在业界提供了领先的安全解决方案。
SmartDefense技术
vpn技术范文4
[关键词] 网络安全 VPN SSL 体系结构 工作模式
VPN(Virtual Personal Network,虚拟专用网)是通过一个私有的通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网,通过在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。SSL VPN是一种新的VPN的实现方法,是可靠安全地构建VPN的一种模式。
一、SSL协议
1.SSL概述
SSL(Secure Socket Layer,安全套接层)协议是 Netscape 公司于1994年提出的一个网络安全通信协议,是一种在两台机器之间提供安全通道的协议。它具有保护传输数据,以及识别通信机器的功能。SSL最初是通过加密HTTP连接为Web浏览器提供安全而引入的。
SSL在TCP上提供一种通用的通道安全机制,任何可以在TCP上承载的协议都能够使用SSL加以保护。在TCP或IP四层协议族中,SSL协议位于传输层与应用层之间,基于可靠传输协议TCP,服务于各种应用层协议,如HTTP、POP、TELNET等,它们在SSL协议上运行分别被称作HTTPS、POPS、TELNETS协议等,分别对应的端口号为443、995、992等。
图1 SSL协议结构图
2.SSL体系结构
SSL协议在结构上分为两个层次:底层为记录层协议(Record Protocol),负责封装高层协议(包括握手协议)的数据,保证SSL连接的数据保密性和完整性;高层为握手层,由四个并行的协议构成:握手协议(Handshake Protocol)、修改密码参数协议(Change Cipher Spec Protocol)、报警协议(Alert Protocol)、应用数据协议(Application data Protocol),高层协议需要记录层协议支持,其中握手协议与其他的高层协议不同,主要负责在交换应用层数据之前进行协商加密算法与密钥,其他高层协议属于应用开发的范畴,而要得到握手协议的支持,而握手协议则是SSL底层实现必须具有的功能,因为记录层协议的完成也由它来保证。
二、基于SSL协议的VPN技术研究
1.SSLVPN概念
SSL VPN是指一种基于数据包封装技术的,利用SSL或TLS协议结合强加密算法和身份认证技术的,可靠安全地构建VPN的一种方法。它作为一种新的VPN的实现方法,SSL VPN可以用来构建外联网、内联网和远程接入访问。它通过数据包封装的隧道技术来实现虚拟专用网的私有性,通过PKI技术和密码学技术来鉴别通信双方的身份和确保传输数据的安全。
2.SSL VPN的工作模式
(1)基于Web模式的SSL VPN系统
客户端使用浏览器通过SSLVPN 服务器来访问企业局域网的内部资源。SSLVPN 服务器相当于一个数据中转站,Web浏览器对WWW服务器的访问经过SSL VPN服务器的处理(解密、身份鉴别、访问控制)后转发给WWW服务器,从WWW服务器发往Web浏览器的数据经过SSL VPN服务器处理(过滤、加密)后送到Web浏览器。
图2 基于Web模式的SSL VPN系统
(2)基于客户模式的SSL VPN
用户在客户端安装一个SSL VPN客户端程序,当客户端访问企业内部的应用服务器时,需要经过SSL VPN客户端程序和SSL VPN服务器之间的保密传输后才能到达。从而在SSLVPN客户端和 SSLVPN服务器之间,由SSL协议构建一条安全通道,保护客户端与SSLVPN服务器之间的数据传输。此时,SSLVPN服务器充当服务器的角色,SSL VPN客户端充当客户端的角色。
图3 基于客户端模式的SSL VPN系统
(3)局域网到局域网模式的SSL VPN系统
在网络边缘都安装和配置了SSLVPN服务器。当一个局域网内的终端要访问远程网络内的应用服务器时,需要经过两个SSL VPN服务器之间的保密传输后才能到达。从而在两个SSLVPN服务器之间,由SSL协议构建一条安全通道,保护局域网之间的数据传输。此时,SSL VPN服务器充当安全网关的角色。
图4 局域网到局域网模式的SSL VPN系统
参考文献:
[1]徐家臻陈莘萌:基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,(04)
vpn技术范文5
【关键词】VPN;VPN技术;校园网
1.VPN的概念
VPN即Virtual Private Network,中文称为“虚拟专用网”。“虚拟”的意思是用户在实际使用中,不需要有真实的长途数据线路,可使用公众网络的数据链路。而“专用网络”是指用户可根据个人需求来制定特殊的网络。所以说,VPN就是利用公众网资源为客户构成专用网的一种业务。这种技术是基于因特网平台的虚拟专用网,用于在因特网中建立专用的数据通信网络。实际运用中,VPN一般是这样进行操作:在因特网中建立一个临时的安全连接,对网络数据进行封包及加密传输,实现在公共网络上传输私有数据,进而达到建立私有网络的目的。
VPN技术有三个组成部分:数据加密、用户认证和隧道技术。数据加密和用户认证涉及到安全性的两个方面:数据加密可以保障数据不被盗取,用户认证可以保障非认证用户无权访问内部网络。隧道技术作为VPN的关键技术,它的作用是定义数据的封装形式,以安全的方式利用IP协议在因特网上传送。
VPN有三种解决方案来迎合不同用户的不同需求:第一,企业扩展虚拟网Extranet VPN,第二,企业内部虚拟网Intranet VPN,第三,远程访问虚拟网Access VPN。这三类VPN分别对应企业网和相关合作企业的网共同构成的传统访问网络。
2.校园网中VPN技术的应用
2.1 用Access VPN实现校外学习和办公。
AccessVPN是建立在VPN上的,站点到站点的,由单机连接到网络的远程访问。通过这种方式,远程已接入因特网的用户可以随时随地、安全地访问内部网的资源。AccessVPN这种方式优点很多,比如可扩展性大,费用低廉、网络简单,对网络新用户而言调度简便。
现今的高校教育,随着网络技术的发展,不管是老师的教学和学生的学习越来越多地要用到校园网上的软件,比如教务管理系统、网络教学系统、电子图书馆等教学资源。但是这些放在校园网上的软件资源,由于各种原因,只能在校内的计算机上使用,直接通过公网无法访问。所以就出现到了校外老师无法通过校园网进行教学和办公,学生无法在网上提交作业和网络学习,寒暑假放假后在校外也不能查询自己的考试成绩等等这些影响学校正常运行的现实问题。但是通过AccessVPN技术我们就可以轻松化解这些难题。AccessVPN技术具体应用于校园网中,需要在校园网内配置VPN服务器,在服务器端添加用户信息,给予用户接入VPN服务器的权限。校园网以外的用户在自己计算机上建立VPN连接,配置好VPN客户端。计算机接入因特网后,客户便能进行VPN拨号。拨号成功后,在客户计算机和校园网内的VPN服务器之间,就建立起了点对点的连接。这样,老师和同学根据各自账号的不同权限,就可以像在校内一样地访问校园网内的资源。
通过VPN服务使用校园网的资源,实现异地办公。这样就打破传统的固定办公学习模式,将地点延伸到家庭或出差地。意味着校园网的延伸。通过实践证明,在校园网中应用AccessVPN,成本低、安全并且有效。
2.2 用Intranet VPN实现多校区互访。
Intranet VPN是一种建立在VPN上的,远程的网络互联。网络互联所指的范围广泛,可以是站点到站点、路由器到路由器、网络到网络的连接。这种连接费用低廉并且易于扩展,接入的用户可以不受线路的限制。所以Intranet VPN也成为了当今应用最普遍VPN模式。
近些年,随着教育规模不断扩大,很多学校由于高校合并、修建新校区、联合办学等等原因。造成多校区分散运作已成为当下很普遍的现象。这些校区之间由于在不同的地方,缺乏有效的相互连接,造成了校园网操作水平极低的现象。各种校园网上的应用系统教学资源使用不畅,迫切需要实现统一管理和充分利用。因此,利用有效的技术手段实现校区之间校园网的安全可靠的连接,就成为了目前高校校园网建设的当务之急。但是对于那些拥有多个校区的学校而言,如果通过租用光纤的方式,把多个校区校园网连接为专用网的话,租赁的成本会比较高,学校财政将会面临极大的负担。为了低成本实现多校区校园网的连接,可以将Intranet VPN技术应用到校园网中,构建学校自己的虚拟专用网络。
在建设中,只需要结合现有的网络,在校区之间建立通信端的VPN设备需要配置的路由。如果要求不高可以利用最普遍的Windows系统在两地分别建立VPN路由,如果要考虑VPN的稳定性和设备的数据交换能力的话,使用具有VPN功能的路由器当然就更好。带VPN功能的路由器可以更方便地实现不同校区的路由、ACL及协议和安全帐户间的相同配置。具有VPN功能的路由器在校区间建立起了数据传输隧道,相当于在各个校区路由器之间,建立起了一条专用虚拟线路。当新校区用户需要对老校区的网络进行访问时,先连到新校区VPN路由器上的静态路由。通过之前建立的专用虚拟隧道,到达老校区的路由器。这时,老校区路由器会自动分一个老校区网络的IP地址给该用户,同时根据用户的帐户信息检查他的身份,按照检查的结果,授予该用户和他账号相等的访问权限。
用Intranet VPN技术应用于学校主校区网络和分校区网络之间的通信及主校区与分校区内部网之间的信息交流,成本上不仅费用大大降低,技术上还可以防止外面的用户非法访问内部的信息,从而提供了有效的安全保护。具有与本地局域网互联同样的管理性和可靠性是这种网络互联的模式。
3.校园网VPN的设置
3.1 服务器端VPN配置
第一步,硬件要求。需要两块网卡用于服务器中,一块连接局域网,另一块连接公网。操作系统可以选择Windows 2003 Server版,安装时只要开启路由和远程访问服务即可。
第二步,开启VPN服务。选择“管理工具”,“路由远程访问”,“配置启用路由和远程访问”,弹出“路由远程访问服务器安装”向导。选择“远程访问”或“虚拟专用网络(VPN访问和NAT)”,选择“自定义配置”,在对话框中选择“VPN访问”,在选项系统中选择启动服务,系统会按之前的配置启动路由和远程访问服务了。
第三步,设置VPN服务。设置连接数:在“路由和远程访问”窗口中打开“端口”菜单,在“属性”中选择“WAN微型端口”选项,根据需要在对话框里输入连接数(Win-dows 2003支持16384个PPTP端口或30000个L2TP端口)。设置IP地址:在“路由和远程访问”窗口中打开本地服务器名,选择“属性”然后切换到IP选项卡,出现“静态地址池”选项,选择“添加”,按照需要接入的数量,添加一个地址范围,注意添加的地址不能和本地IP地址冲突,然后确定。
第四步,设置远程访问策略。新建用户和组:分别打开“管理工具”-“计算机管理”-“本地用户和组”,在“用户”菜单中设置,选中“不能更改密码”和“密码不过期”。新创建一个用户test。在“组”菜单中也新建一个组,组名为test。然后查找到之前添加的用户名为test的用户,加入到刚才新建的组中去。远程访问策略的设置:依次选择“路由和远程访问”,“远程访问策略”,“新建远程访问策略”选项,在弹出的对话框中输入“策略名”,选择“VPN”选项,把刚才新建的组加入到这里,设置就完成了。将来如有新用户需要使用VPN服务,只需为该用户添加一个新帐号,加入到刚才新建的test组即可。
3.2 客户端计算机的VPN设置
选择“新建连接向导”,创建新的连接。在网络连接类型中,选中“连接到工作场所的网络”,填入VPN服务器的公网IP地址。然后在网络连接中就会出现刚才新建的连接。设置新建连接的“Internet协议(TCP/IP)”选项,去掉“在远程网络上使用默认网关”前面的勾,选择相应的安全措施和加密协议。然后输入用户名和密码就可以连接VPN服务器了。
4.结束语
实际的使用证明,VPN技术作为新的网络技术,解决了校园网建设中面临的实际问题。在目前校园网建设中,提供了一种费用低廉、安全而且高效的联网方式。伴随着互联网技术的发展,VPN技术也将继续进步,在更广泛的领域发挥更多的作用。
参考文献
[1]伏秋平,姚渺波.应用VPN技术延伸校园网覆盖范围[J].计算机时代,2007(4).
[2]王春海著.VPN网络组建案例实录[M].北京:科学出版社,2008.
vpn技术范文6
关键词 VPN;技术方案;比较
中图分类号TP39 文献标识码A 文章编号 1674-6708(2010)33-0224-02
VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。我们根据企业实际需求,对现有常用的3种VPN技术方案做分析比较,选择适合外服应用的方案,再在方案基础上考虑其它功能集合。
1 IPSEC VPN方案
IPSEC是一套比较完整成为体系的VPN技术,它规定了一系列的协议标准。它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。IPSEC通过包封装包的方法,通过Internet建立了一个通讯的隧道,通过这个通讯的隧道,就可以建立起网络的连接。
IPSEC协议支持几种操作模式,通信双方要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSEC协议中,一旦IPSEC通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
我们设计IPSEC方案中,中心和分支机构分别采用IPSEC VPN网关设备,中心为每个节点分配一套密码,各个节点通过密码与中心交换机互相认证,建立IPSEC VPN虚拟通路,这条通路的特性,如带宽、何时可以建立等通过中心统一管理。还可以通过双密钥机制实现更加可靠的认证。
2 SSL VPN方案
SSL的英文全称是“Secure Sockets Layer,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
从简单而一言,SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL网关或接入服务器设备。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL服务器取得,并验证该用户的身份,然后SSL服务器将提供一个远程用户与各种不同的应用服务器之间连接。
几乎所有的主流商业浏览器都集成了SSL,实施SSLVPN不需要再安装额外的软件。绝大多数SSL VPN的生产厂商都通过“signed plugins”提供其他的功能,“signed plugins”可以跟随浏览器自动传输给客户端。
SSL实现了客户端零安装,零配置。但其功能和应用也受到限制。它适合B/S模式,移动用户通过浏览器访问WEB服务应用,有的SSL VPN还对其他非B/S等进行有限扩充,增强了其可用性,可是在通用性、兼容性方面还存在很多不确定性,在认证方式、应用程序类型上限制很多。
按照SSLVPN设计的外服网络方案,中心和各分支节点采用专用SSL VNP设备连接Internet,要求设备兼容外服各项专用应用,系统要求较高,没有统一的扩展应用标准,存在是否能支持今后业务发展各项新应用等相关问题。方案中移动用户和家庭用户无需客户端连接SSLVPN服务器,经安全认证后使用各项B/S模式应用,解决较为理想,基本不用考虑计算机维护和相关网络问题,也较安全的隔离了病毒传播和木马程序等问题。
3 MPLS VPN方案
MPLS VNP是一种基于MPLS技术的IPVPN,是在网络路由和交换设备上应用MPLS(Multi protocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)。
MPLS技术通过标签的引入,将IP路由网络中“数据报”的转发方式转变为类似于“虚电路”VC的转发方式。VC的方式在数据包转发只前先由IP网络建立一条从源端到目的端的唯一路径,一旦这条路径确定,所有的数据包将通过这条路径传输。在MPLS网络中,路径即是由“标签”来表示的。在路由器中,每个目的网络由一个标签表示,所有到此目的网络的数据包被打上此标签转发到目的地。MPLS类似“虚电路”的标签转发方式保证两个VNP节点之间的流量经过唯一路径,不会被转发到其它节点,保证了用户数据包的安全性。
MPLS VPN能够利用电信运营商公用骨干网络强大的传输能力,为企业构建内部Intranet,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。
在基于IP的网络中,MPLS具有很多优点,也有明显的缺点:
1)相对降低了成本
MPLS VPN方式支持路由器方式连接,能保护用户的以前专线方式设备投资;其运营租金与专线相比下降很多,降低了一定成本,但国内电信运营商还处于相对垄断阶段,租金还相对偏高。
2)提高了资源利用率,提高了网络速度
由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。由于使用标签交换,缩短了每一跳过程中地址搜索的时间,减少了数据在网络传输中的时间,提高了网络速度。
3)系统应用支持能力强
网络对C/S、B/S和其他应用支持较好,保障业务开展和新信息系统今后支持。
4)MPLS具有QOS保证
网络通过电信运营商骨干城域网络实现,并由运营商提供24小时网管监控服务,保证了网络的服务质量。相对于其优点,MPLS的缺点也是明显的:
1)价格高
相对于使用IPSec、SSL方式通过Intranet组网,MPLS的代价比较高。相当于一种准专线。
2)跨运营商不便
由于需支持全国网络,可能会跨越不同运营商,运营商之间还有很多协调工作没有完成,中国电信、网通等巨头之间,互联互通并不完美,网络堵塞时有发生。从以上总结可以看出,MPLS更适应比较高端的大型用户。
参考文献
[1]白木,周洁.浅谈VPDN与VPN技术[J].有线电视技术,2003(4).