VPN技术分析与比较
2015-02-07南京特殊教育师范学院刘炳芳
南京特殊教育师范学院 刘炳芳
VPN技术分析与比较
南京特殊教育师范学院 刘炳芳
本文简要分析各类VPN的技术原理,对各类VPN的优缺点及实现场合作比较,介绍了各类VPN的典型应用。
VPN;网络安全;协议;虚拟网
前言
VPN技术是在公共通信网络(如Internet)传输数据,通过传输管理、数据加密、路由选择等手段,实现数据的安全通信的技术。它的基本原理是在需要数据通信的两个端点,可能连接在公共网络上,也可能是两个局域网,一方面要保证数据的可达性,另一方面要保证数据传输的保密性,VPN技术是将通信的两端上,增设VPN设备,在通信网络上创建一条虚拟的专用通信信道,通过通信协议规定双方通信链路的建立、数据的封装和加密以及数据的解密和解封等一系列动作,让通信数据在公共网络上安全传输,保证了通信数据在传输过程的机密性和安全性。VPN能有效地使授权用户在其授权范围内使用企业内部的数据,实现数据的安全通信和交换。目前VPN受到广泛关注和普遍应用,其根本原因是企业内部和企业之间信息存取的需求日益增加,通信安全要求日益重视。VPN正是基于在不安全、可靠的Internet建立安全的网络通这一要求应运而生的,具有价格便宜,安全性更高,快捷方便等优点。根据VPN的实现技术和使用的协议的不同,我们可以将VPN分为数据链路层VPN、网络层VPN、传输层及应用层VPN等。VPN技术除了加密的访问隧道外,包涵了很多其它技术,包括访问控制、传输管理、加密、路由选择、可用性管理等,使得VPN的安全性得到全面提升,在全球的信息安全体系中发挥着重要的作用。
1 常见几种VPN原理
1.1 PPTP VPN
PPTP VPN是由3Com和微软公司合作开发,广泛使用的VPN的协议,Windows 98、Windows 2000等微软操作系统中都包含有该协议, Unix、Linux操作系统也支持这一协议。PPTP是一种隧道机制,它通过通信双方在其通信的中间链路上使用点对点协议(PPP)帧的进行数据传输,通过利用PPP的身份验证、PAP或CHAP加密协议进行,实现远程客户端与企业服务器端之间数据的安全传输。PPTP协议规定将PPP帧封装成IP数据包,对封装的数据包进行加密,然后在公共网络(Internet网)上传输,保证数据通信的安全性。PPTP最初是针对拨号或专线方式的用户,通过PPP协议建立点对点连接,建立安全通信信道,来发送经过加密的数据,达到安全通信的目的,其后PPTP协议发展成为各种主机、网桥和路由器实现共通的解决方案。PPTP使用PPP协议对数据进行封装,PPTP也有缺点,就是它只能在两端点间建立单一隧道。
1.2 L2TP
第2层隧道协议 (L2TP) 是IETF基于L2F(Cisco的第二层转发协议)开发的PPTP的后续版本。是一种比PPTP更安全的一种隧道协议,其可以在点到点协议 (PPP) 框架基础上为数据包提供封装,是扩展的PPP模型。L2TP使用PPP协议来封装用户数据,允许多种协议通过隧道进行传送。L2TP相比较PPTP性能更好,L2TP支持多隧道,用户可以根据不同的服务质量要求,创建不同的隧道。L2TP还可以跟IPsec结合起来使用,将L2TP数据包封装在IPSec数据报中,充分利用IPSec的安全性优点和扩展了L2TP的性能,包括用户验证、隧道地址分配和配置和支持PPP的多协议等功能。Windows操作系统中推荐使用L2TP/IPSec结合的模式。L2TP报文分为控制报文和数据报文两类。控制报文包括L2TP通道的建立、维护、拆除,控制消息中的参数用AVP值对来表示,使得L2TP协议具有良好的扩展性。数据报文用于PPP报文进行封装和传输。
1.3 IPSec隧道模式
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPsec有两种工作模式,一种是传输模式,另一种是隧道模式,传输模式与隧道模式的区别在于数据封装的方式不一样,传输模式是在原IP数据包后增加IPsec头,而隧道模式则是将原IP数据包作为新IP包的数据部分,另外新建一个带IPsec头的IP头。IPSec隧道模式包含数据包的封装、路由与解封装的整个过程。封装后的新的数据包可能会有新的源地址和目的地址和新的路由信息,保证其能够通过公共网络传输,到达目点地后解封,还原成原始数据包。IPSec VPN将隧道与数据加密结合起来后,虽然传输过程中数据包可能被窃取,但数据包内的数据是加密的,无法还原成原始数据。封装的数据包到达目的地后,会用系统协商好的算法对数据包解除封装,获取原始的数据包,再根据原始数据包头信息,在目标网络中进行路由,将数据包路由到最终目的地。
表1
IPsec VPN中的隧道是一个逻辑传输路径。隧道内传输的数据包封装了原始数据据,包括原始的源地址和目的地址,原始数据包在隧道中是逻辑不可见的。封装的数据包在网络中的隧道内部传输。隧道的两端的网关,可以是公共网络(Internet)或者是专用网络的周界网关。使用IPSec隧道模式一个重要原因是增加其兼容性,能为其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统提供互操作。
1.4 SSL VPN
SSL VPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。使用SSL VPN远程访问数据不需要安装额外的客户端软件,只要使用系统自带的浏览器即可。SSL协议是应用层协议,SSL协议指定了在应用程序协议和TCP/ IP 之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选择的客户机认证。SSL协议由许多子协议组成,其中主要有两个子协议,分别是握手协议和记录协议。握手协议建立在TCP协议之上,提供了数据封装、压缩、加密等基本功能。记录协议主要用于通讯双方身份认证、加密算法协商、密钥交换等功能。
SSL 通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。因此SSL VPN独立于应用,任何应用程序都可以享受它的安全性而不必理会执行细节。相对于IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点。SSL VPN具有两个基本要求,其一是必须使用SSL协议进行认证和加密,其二是不需要安装额客户端,直接使用浏览器完成操作。目前SSL VPN产品有很多,常用的有FirePass SSLVPN、网神SSL VPN、Open SSLVPN等。
2 常见VPN协议对比
各类VPN其实现技术和基于的协议各不相同,实现条件也不相同,在安全性、加密、与硬件防火墙的兼容性、访问控制等方面都有区别,现将主要区别列出如表1所示。
3 VPN的典型应用
3.1 企业内部网络互连
目前很多企业有分支机构或分公司,它们之间的网络通信基本是通过Internet网络实现互联,要实瑞安全通信,VPN技术是其必不可少的选择。在企业分公司的防火墙或者路由器上,配置VPN服务。在公司各分支机构通过Internet网,利用VPN技术,建立起一条专用通信通道,数据在通道上被封装、加密,在传送到对方防火墙或路由器上时,VPN服务将传送过来的数据包解密和解封,恢复成原始的数据怨,实现分公司之间的网络通信。由此可见,一方面VPN技术可在一定程度上保障网络通信内容的安全性。另一方面利用虚拟局域专用网络,在网络通信速度上得到有效保障。
在利用VPN技术实现公司内部之间网络连接,需要注意二点:(1)网络带宽。VPN技术虽然实现了网络的可访性,但是在部署VPN应用时,要注意分析可能产生的带宽问题与访问连接数问题。(2)访问权限与安全管理。利用VPN实现公司分支机构互连时,需最大程度增加网络透明性,设置统一的访问账户与密码,让用户感受不到VPN的存在,这就要求对公司分支机构的VPN服务器能统一配置和管理,对访问者的权限进行合理的配置。
3.2 企业扩展虚拟局域网
企业扩展虚拟局域网,是指企业的外部合作伙伴,能够快速、安全的访问本企业的内部网络应用。利用VPN技术实现公司之间网络的互连。在网络互连时要注意以下问题 ,一是数据的过滤。通过VPN服务器进行控制,进行外部用户的账户设置并分配给其合理的权限。保证本公司内部的核心数据不外泄。二是访问内容的限制。对外公司的客户对本企业资源的访问必须严格限制,只能够访问有限的资源。给外部公司的客户的帐户在分配权限的时候,要遵循最小权限的原则。
3.3 远程用户访问虚拟网
远程用户访问虚拟网,是指当本公司的员工出差或者在家里时,利用VPN技术,访问企业的内部网络,比如访问企业内部的ERP系统、文件服务器系统、甚至特定的服务器或者主机等。对于远程用户访问VPN时,最头疼的问题密码保护问题,网络管理员要引起充分的重视。
4 结束语
通过对常见的各种VPN比较分析,可以看出VPN对现代企事业信息安全交换带来很大的便利,安全性得到大大提升。在实际应用中,IPSec VPN具有部署简单、使用灵活、维护成本低、对网络设备透明、应用安全性高的优点。SSL VPN能够保障应用系统的安全,适应移动办公用户和远程终端随时随地接入的灵活性。但SSL VPN 与IPSec VPN相比,在数据传输效率上有差距,SSL VPN每次连接都要握手,开销大。在实际应用中,我们往往会根据不同的需要使用不同的VPN,多种VPN技术综合使用。
[1]刘洋.IPSec VPN和SSL VPN的分析比较[J].电脑知识与技术,2009,5(4):825-827.
[2]李宇耀.IPSec VPN与BGP MPLS VPN技术原理及安全性能比较[J].陕西工学院学报,2005,3(21):64-67.
[3]易光华.MPLS VPN、IPSec VPN和SSLVPN技术的研究与比较[J].贵州科学,2007,25(2):34-38.
[4]唐如鸿.SSL VPN与IPSec VPN技术比较[J].计算机安全,2004(8):8-9.
[5]徐家臻,陈基萌.基于IPSec与基于SSL的VPN的比较与分析[J].2004,25(4):586-588.
[6]吴刚.多种平台的VPN应用比较[J].计算机系统应用,2011,20(8):245-249.
刘炳芳(1973—),男,南京特殊教育师范学院,高级工程师,信息技术部主任,从事计算机网络、信息资源数字化、信息检索与整合和图书馆无障碍服务等方面研究。