网络安全技术指保障网络系统硬件、软件、数据及其服务的安全而采取的信息安全技术。用于保护两个或两个以上网络的安全互联和数据安全交换的相关技术,涉及虚拟专用网、安全路由器等技术。最近因企业升级信息系统应用,需要改造网络需要采用虚拟专用网络,因此需要对有关知识进行了补习,本文是基本知识学习笔记。
目前虚拟专用网络主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。
虚拟专用网络(Virtual Private Network ,简称VPN)属于远程访问技术,简单地说就是利用公用网络架设专用网络——VPN 网络的任意两个节点之间没有实际的端到端的物理链路,而是通过互联网络搭建的一个虚拟的通道来实现端到端的数据传输。
的功能主要就是帮助不在公司内部局域网内的人员可以通过数据加密的方式远程访问公司内部资源。VPN是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用低成本的公共网络作为企业骨干网,同时又克服了公共网络缺乏保密性的弱点,在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。
哪些用户适合采用VPN网络连接呢?综合VPN技术的特点,可以得出主要有以下四类用户适合采用VPN进行网络连接:
a.网络接入位置众多,特别是单个用户和远程办公室站点多,例如多分支机构企业用户、远程教育用户;
b.用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户,如一些跨国公司;
c.带宽和时延要求相对适中,如一些提供IDG服务的ISP;
d.对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。
何为虚拟专用网络?
虚拟专用网络 (VPN) 可以提供一种进行安全远程访问的方法。虚拟专用网络有助于防止未经授权访问公司的网络和敏感数据。VPN 可以隐藏 IP 地址,实现更加安全地互联网连接。
由于互联网始终与安全风险相伴,为了保护自有数据,VPN 成为了提供远程访问和远程办公选择公司的必需品。
建立和使用 VPN 的技术和组件种类繁多
点对点隧道协议 (PPTP,Point to Point Tunneling Protocol ):点对点隧道协议 (PPTP) 配置文件可以配置 BIG-IP 系统,支持转发 PPTP 控制和数据连接的安全 VPN 隧道。您可以通过配置 PPTP 配置文件,然后将 PPTP 配置文件分配给虚拟服务器来创建安全的 VPN 隧道。
站点到站点:站点到站点 VPN 可以连接两个或多个网络,如公司总部网络和分支机构网络。
安全套接字层 (SSL):安全套接层 (SSL) 协议用于在互联网等安全性欠佳的网络上建立安全和加密连接,而 SSL VPN 则使用标准的 Web 浏览器和技术,为用户提供安全的远程访问,而无需安装单独的客户端软件。
传输层安全协议 (TLS):TLS 和上述 SSL 一样,是用于保障基于流的互联网流量安全性的标准协议。DTLS 是基于 TLS 的协议,可以支持数据报传输,是 VPN 等隧道应用的不二之选。
Internet 协议安全性 (IPsec,Internet Portocol Security):IPsec VPN 会使用标准的 IPsec 机制在公共互联网上建立 VPN。IPsec VPN 是在固定端点(如两个办公室)之间建立 VPN 最为有用的方式。
第二层隧道协议 (L2TP,Layer 2 Tunneling Protocol):第二层隧道协议是一种隧道协议,用于支持 VPN,或组成互联网服务提供商提供服务的一部分。
多协议标签交换 (MPLS):多协议标签交换 (MPLS) 是一种数据路由方法,可以根据短路径标签而非长网络地址,将数据从一个节点发送到另一节点。
VPN的实现方式有多种,可以通过专用的VPN服务器、硬件VPN、软件VPN等多种方式实现。
VPN的优点很多,但是VPN也是有缺点的,主要表现在:企业不能直接控制基于互联网的VPN的可靠性和性能;企业创建和部署VPN线路并不容易;混合使用不同厂商的产品可能会出现技术问题,因为不同的厂家采用的标准与规范不同;当使用无线设备使用VPN有一定的安全风险。
目前常用的VPN 技术有IPsec(互联网协议安全,Internet protocol Security) VPN 、SSL ( 安全套接层协议层, Security Socket Layer-SSL)VPN、、VPDN( 虚拟专用拨号网,Virtual Private Dial - up Networks)和MPLS(多协议标签交换,Multi-Protocol Label Switching)VPN 等。
1. IPsec VPN
IPsec VPN 是基于GRE( 通用路由封装 Generic Routing Encapsulation)技术的VPN,客户只需申请上网业务,并在自己路由器或防火墙上,做相关设置,建立VPN 网关,客户端安装相应VPN软件即可实现在不同地点的两个节点进行内部通信。此类VPN 主要采用了隧道技术、加解密技术、密钥管理技术等,实现通过公共网络,传递企业内部信息的目的。
IPsec VPN 优缺点
IPsec VPN 的搭建不需要电信运营商的参与,只需要VPN 的使用者购买防火墙等设备,并在访问终端安装VPN 软件或者接入设备,所以VPN 的维护也都由使用者自己维护,需要VPN 的用户有较高的维护能力。但是这样也大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。
IPSec VPN 通常不能支持复杂的网络,这是因为它们需要克服穿透防火墙、IP 地址冲突等困难。所以IPSec VPN 实际上只适用于易于管理的或者位置固定的地方。
2. SSL VPN
SSL VPN 是基于WEB 应用的安全协议的VPN 技术。客户端程序为IE、Netscape Communicator 或Mozilla 等安全的Web 浏览器,通过认证后进入到公司服务器的VPN 网页,访问某个具有Web 功能的应用,因此它更像一个Web 服务器。
SSL VPN 优缺点
SSL VPN 可以在任何地点,利用任何设备,连接到相应的网络资源上。迎合了用户对低成本、高性价比远程访问的需求。因为SSLVPN 采用操作系统自带的浏览器即可实现VPN 访问,不需要单独安装软件,接入方式更简单,更容易维护,成本较低。但是SLL VPN更适合访问一些简单的应用,如电子邮件、电子表格和演示,如果需要访问的是整个网络,那么选择SSL VPN 就不适合了,它只适合点到网的访问,具有局限性。
3. VPDN
VPDN 是基于拨号用户的虚拟专用拨号网业务。即以拨号接入方式上网,是利用IP 网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网。该项业务需要运营商在城域网BRAS 设备上为每个VPN 客户建立单独的域,用户端通过带有域的账号拨入到Internet,与中心端的服务器相连,再次进行认证后进行访问。
VPDN 的优缺点
VPDN 适用于地点分散,在各地有分支机构,移动人员特别多的用户,例如企业用户、远程教育用户。它的优点是客户以拨号方式进入企业虚拟专用网,可以与该网内的任何一台电脑交流,进行浏览、查询、文件传输、信息存取等操作,投资小,网络结构简单,维护方便。VPND 组网需要VPN 的使用者与电信运营商配合组网,对用户的中心服务器和网络安全要求很严格。目前国税网上报税系统大量采用了VPDN 的组网方式。
4. MPLS VPN
MPLS VPN 是采用MPLS(多协议标签交换)技术,利用标签交换,一个标签对应一个用户数据流的方式来区分不同的用户,从而实现用户间数据的隔离的VPN 网络,MPLS VPN 网络主要由CE 路由器、PE 路由器和P 路由器3 部分组成:
P 路由器是指运营商网络主干路由器,负责PE 路由器之间的路由;PE 路由器是指运营商边缘路由器,连接P 路由器和CE 路由器,是MPLS VPN 网络中重要设备;CE 路由器是客户端路由器,为用户提供VPN 接入。
MPLS VPN 是目前应用较广泛的VPN 方案。从网络层次分,MPLS VPN 可分为二层MPLS VPN 和三层MPLS VPN 两种。
二层MPLS VPN 实现方式为在PE 设备上设置VSI(虚拟交换机接口),通过MP-BGP 路由协议和MPLS 协议,使不同PE 设备上相关的VSI 实例之间实现二层互通,类似于在PE 路由器上为客户虚拟一台交换机,不同PE 的VSI 实例之间有一条虚拟的网线相连,形成覆盖全部的客户虚拟交换机网络。客户不同网点只要自己设置相同的IP 地址段即可互通。
三层MPLS VPN 实现方式为在PE 路由器上设置VPN 实例,通过MP-BGP 路由协议和MPLS 协议,使不同PE 设备上相关的VPN实例之间实现三层互通,类似于在PE 路由器上为客户虚拟一台路由器,不同PE 设备的VPN 实例之间有一条虚拟的网线相连,形成覆盖全网的客户虚拟路由器网络。在PE 设备上相关的VPN 接口,直接配置客户私网IP 地址,PE 设备通过RD(Route-Distinguisher 路由区分符)参数区分不同客户的相同的私网IP 地址。三层MPLS VPN 客户的所有网点IP 地址网段必须都不同。原则上,客户端必须安装一台路由器(CE)与电信业务提供商的PE 设备对接。
MPLS VPN 的优缺点
MPLS VPN 是电信运营商大量使用的VPN 技术,它被广泛的应用在电信级网络和具有一定规模的网络组建VPN 的方案中。MPLS VPN 具有较高的灵活性和可扩展性,可以实现点到点,点到多点和任意接入点之间互访的全网状结构,满足用户不同的通信需求。
MPLS VPN 使用标签交换技术替代了路由查找,减少了数据在网络中寻址的时间,大大提高了数据传输的速率。MPLS VPN 可以提供QOS 保证,根据所传输的数据赋予不同的QOS 等级,对语音、视频等数据的传输提供带宽和较高优先级的保障。但是由于MPLS VPN 对网络和设备要求较高,组建VPN 网络建设投资也相对较高,更适合较大规模的组网用户使用。
VPN的部署模式
VPN的部署模式从本质上描述了VPN通道的起始点和终止点,不同的VPN模式适用于不同的应用环境,满足不同的用户需求,总的来说有3种VPN部署模式:
①端到端(End-to-End)模式;
该模式是自建VPN的客户所采用的典型模式,也是最为彻底的VPN网络。在这种模式中企业具有完全的自主控制权,但是要建立这种模式的VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常见的隧道协议是IPSec和PPTP。这种模式一般只有大型企业才有条件采用,这种模式最大的好处,也是最大的不足之处就是整个VPN网络的维护权都是由企业自身完成,需花巨资购买成套昂贵的VPN设备,配备专业技术人员,同时整个网络都是在加密的隧道中完成通信的,非常安全,不像外包方式中存
在由企业到NSP之间的透明段。
②供应商―企业(Provider-Enterprise)模式;
这是一种外包方式,也是目前一种主流的VPN部署方式,适合广大的中、小型企业组建VPN网络。在该模式中,客户不需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协议有L2TP、L2F和PPTP。
③内部供应商(Intra-Provider)模式。
这也是一种外包方式,与上一种方式最大的不同就在于用户对NSP的授权级别不同,这种模式非常适合小型企业用户,因为这类企业一般没有这方面的专业人员,自身维护起来比较困难,可以全权交给NSP来维护。这是很受电信公司欢迎的模式,因为在该模式中,VPN服务提供商保持了对整个VPN设施的控制。在该模式实现中,通道的建立和终止都是在NSP的网络设施中实现的。对客户来说,该模式的最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。最大的足也就是用户自身自主权不足,存在一定的不安全因素。
待续