| |
浅谈VPN技术 | |
卓越信通电子(北京)有限公司 | |
一、什么是VPN技术?
VPN的全称是Virtual Private Network,翻译过来称为虚拟专用网络。其主要作用就是利用公用网络(主要是互联网)将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。
二、VPN技术的特点
1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网路平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送这和接受者了解,从而保证了数据的私有性和安全性。在安全方面,由于VPN直接构建在公用网上使操作变的简单、方便与灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2)服务质量保证(Qos)
VPN网应当为企业数据提供不同等级的服务质量保证,不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛地连接和服该行时保证VPN服务一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等,所有以上网络应用均要求网络根据需要提供不同等级的服务质量,在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。Qos通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4)可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务,所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络危险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、Qos管理等内容。
三、VPN安全技术
由于传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1、隧道技术是VPN的基本技术
类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输,第二层隧道协议有L2F、PPTP、L2TP等,L2TP协议是目前IETF的标准,由IETF融合PPTP于L2F而形成。
第三层隧道协议是吧各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种:
ØSKIP主要是利用DiffieHellman的演算法则,在网络上传输密钥; Ø在SAKMP中,双方都有两把密钥,分别用于公用、私用
4、身份认证技术
身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
四、堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标,因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略技术以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。
12/25/2009 | |
卓越信通电子(北京)有限公司 (点击访问) 电话:86-10-51285116 地址:北京市海淀区上地信息产业基地科实信息城1-6-A | |
电脑版 | 客户端 | 关于我们 |
佳工机电网 - 机电行业首选网站 |