金冰心

摘要：本文从企业在网络应用中对于安全性的需求角度出发，对VPN中两种常用隧道技术的特征和适用环境进行了分析。尤其通过对其两种技术的安全性、便利性、可操作性和数据传输等实际环境的配置要求等进行论述，从而深刻理解到IPSec VPN和SSL VPN在企业网络搭建过程中，对于企业网络运营选择所起到至关重要的作用。

关键词：VPN；隧道；适用特征；环境

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）36-0235-02

近年來，随着计算机技术和电子商务浪潮的不断冲击，企业或组织的发展越来越依赖于网络，网络的安全性问题也提升到了新的高度。网络数据的安全传输已成为现代企业或机构网络的一项基本要求。利用专线或建立专用网络可以保证数据传输的安全，但成本太高，且对于跨国用户或经常变更工作地点的用户来说并不适用。所以，在公共网络中采用虚拟专用网（Virtual Private Network）来建立一种网络连接的安全保障，已成为了一种重要的手段和应用。

1 VPN技术概述

VPN（Virtual Private Network）就是虚拟专用网的代称。它其实就是在虚拟网络（Virtual Network）技术手段中结合了专用网络（Private Network）的搭建原理，结合二者的长处而形成的一种综合统一体。是对专用网络的延伸，在公共网络中建立的安全网络连接。虚拟网络要求建立在现有物理网络上，且独立于现有物理网络的一种具体结构，而虚拟网络用户查看虚拟网络可以预定义动态网络。

搭建VPN的目的是以较低的费用开销，实现位于不同物理地点的内部网络或用户之间的安全通信。这类网络一般具有五大特点：

①费用低。远程操作通过向本地ISP注册帐户，用户可以将其作为到内部专用网络的隧道登录到Internet。 这样，可以大大节省通讯和通信的成本。

②保障安全。安全保障是VPN的一项基本功能，所有VPN必须确保网络黑客和攻击者们无法窃听和篡改在其上传输的数据，且还要防止传送的资源或私有信息不会被非法用户访问。

③服务质量保证。受到不同用户和业务对服务质量要求不同的原因影响，网络应用必须也要具备根据不同需求而能提供不同等级服务的能力。加之广域网络在信号传递过程中缺乏有效科学的管理机制，导致了带宽的利用率不高等现象。在流量通过高峰期极易造成网络阻塞，而在某些时期又会产生大量的空闲时段。有了服务质量保证，则可以事先分配好带宽资源传输的优先级别，保证流量预测与控制策略的科学，预防阻塞的发生。

④可扩展性和灵活性。可扩展性和灵活性是VPN网络必须具有的特征，它要求在使用过程中支持不同类型的数据流，同时还能很方便的增加新的分支。一种网络方案是否具备灵活性和可扩展性是评价其优劣成败的一个重要指标。

⑤可管理性。VPN要求网络管理功能应支持从LAN到WAN的无缝扩展，这就需要一个完善的管理系统。VPN的重要管理目标就是减小网络风险、提高可扩展性、经济和可靠性等，主要包含了设备、安全、配置、访问控制和服务质量保证等方面。

2 隧道技术

其实，VPN技术的一种最基本体现就是隧道技术。他与于点对点的连接技术有很多异曲同工之妙。它主要是通过封装实现一种协议传输于另一种协议之中。使用隧道技术可以在公用网络上建立一条安全的数据通道，并通过这种专用网络的方式让数据包完成传输，以实现虚拟的专用网络，从而达到保障目标协议的安全性。

隧道由隧道协议形成。现有的隧道协议一共可以分为四类，即第二层隧道协议、第三层隧道协议、介于第二、三层之间的隧道协议和第三层与应用层之间的SSL VPN隧道协议。VPN隧道协议作为IP层的下一层，主要负责将VPN IP进行分组封装；同时，隧道协议作为公用IP网的一种特定形式，还要利用公网的IP协议将封装的VPN分组进行传输。隧道协议的分层位置效果大致如下图所示。

此外，隧道协议的实现方式还存在多种可能。根据工作的层次划分，可分为二层隧道协议和三层隧道协议。其中，二层协议主要应用于构建拨号VPN（Access VPN），用于传输二层网络协议。而用来传输第三层网络协议的三层隧道协议则常用于构建内部网VPN（Intranet VPN）和外联网。

3 两种隧道技术的特征分析

当前，为了解决基于互联网的远程安全接入和安全互联等问题，企业或组织机构在建设VPN时大多采用IPSec VPN和SSL VPN两种技术。这两种技术除了在安全性、便利性和实际需求等方面有所差异以为，在连接环境及优势等方面也各有千秋。

1）IPSec VPN的适用特征

IPSec（IP Securrity）的功能类似于包过滤防火墙的作用，也是对接收到的IP包进行规则匹配。所不同的是包过滤防火墙是根据规则表里的规则进行匹配，而IPSec是与安全策略库中的条目进行匹配。然后根据所匹配条目中规定的策略对收到的IP包执行转发、丢弃或进行IPSec操作。一般情况下，构建基于IPSec的VPN需要IPSec基本协议、安全策略数据库（SPD）、安全关联数据库（SADB）、Internet密钥交换协议（IKE）和策略与安全关联管理组件等五个部分相互配合。各组件之间的交互关系如下图所示。

2）SSL VPN的适用特征

目前大多数远程访问解决方案都是采用基于IPSec VPN技术。但是据不完全的统计发现。接近九层的企业和机构均只是利用这种技术实现的内部网络与外部之间的连接进行电子邮件通信和Internet访问。而实际上，选择SSL VPN技术可以更为简单的实现这些应用。它是采用IPSec VPN技术实现远程接入方式的另一种有益补充。

SSL协议是基于可靠传输服务的通用安全协议，常用于保障Web应用的安全。它在应用程序协议与TCP/IP之间建立了一种有效的安全机制，用以保证数据交换的安全。它不但能够就加密算法、会话密钥以及安全连接的认证方式等进行协商、生成共享密钥，而且还能为基于TCP/IP连接的客户机/服务器之间提供服务器认证、数字技术加密、信息完整性监测及对可选的客户机实施认证等服务，保障相关应用程序间通信的机密性和完整性。

4 两种技术的适用环境分析

1）IPSec VPN适用环境分析

即可用于构建远程访问VPN，又可用于构建网关到网关VPN，比较适合于拥有较多分支机构的企业或组织，且数据比较敏感，安全要求级别高。这种类型的机构，可通过VPN隧道技术对其总部与各个分支机构之间进行连接，用以保障大容量数据的传输安全。而对于移动办公的员工，则可采用远程访问VPN连接总部或分支机构。而这类办公员工的移动设备一般都要求必须配置相应的防火墙和防病毒软件等，以防止对内部网络造成安全威胁。

与SSL VPN相比，IPSec VPN技术在构建远程访问VPN时具有几个不利的因素：

①需要配置，使用不太方便。安装和使用对操作者的技术要求高。

②需要特定的客户端支持。由于SSL协议几乎支持所有的浏览器，所以用SSL VPN可直接通过浏览器使用内嵌的SSL协议完成。

③兼容性不够好。虽然现在手提电脑、PDA、智能手机等一系列移动终端设备已经广泛流行，成为一种主要的办公手段。但它在技术的更新上还没有同步到支持这类移动用户的接入应用。

2）SSL VPN适用环境分析

相对于IPSec VPN来说，虽然SSL VPN具有一些显著的优势，但其不足也是值得我们探究。其优点包括无需客户端软硬件、适用于大多数设备和操作系统、支持对网络驱动器的访问、具有良好的安全性和可以绕过防火墙与代理服务器进行访问等。其不足之处也可归纳为以下三个方面：

①认证方式单一。SSL VPN的认证只能通过证书完成，而且在版本1和2之间只能进行单向认证。同时，由于采用数字证书认证，需要CA的支持，而证书的管理是比较复杂的。

②应用局限性大。SSL VPN的应用主要基于Web浏览器，采用反向代理技术访问内部网络，仅提供对Web应用的远程访问，不能实现网关到网关的VPN。对非Web系统和新的、复杂的Web技术则只能提供有限的支持。

③只能提供有限的安全保障给访问资源。在基于SSL协议的网络下运用VPN通过Web浏览器进行通信时，它只能对通信双方共有部分的应用通道进行加密，而并不支持加密到两个主机之间的所有通道。而且，SSL的数字签名行为不支持于应用层，且SSL VPN的加密级别也还达不到IPSec VPN的加密标准。

此外，SSL VPN也只适用于机构远程点对网访问VPN，而无法用于构建网关到网关VPN。

5 总结

对于VPN网络中隧道技术的成功搭建，仿佛让我们回到了本地局域网一样操控我们工作的时代。虽然对于一些如视频同步、语音广播和传真等实时性极强的业务，目前的广域网数据传输还存在着一些有待完善的地方，但随着VPN技术应用中更多难题的攻克，很多问题都能在新技术的实践中变得迎刃而解。更大带宽及光纤的使用可以让传输速度更加得快，完全能够满足一般的数据库存取、文件传输甚至语音和传真业务等实时性强的应用。对于一般的、实时性不强的应用则更加得游刃有余。

参考文献

[1] 田园.网络安全教程[M].北京：人民邮电出版社，2009.

[2] 程思，程家興. VPN中的隧道技术研究[J]. 计算机技术与发展，2010（2）.

[3] 赵登科.基于L2TPIPSec构建远程访问型VPN[J].中国商界，2010（210）.

[4] 罗薇薇.浅谈隧道技术在IP协议中应用[J].信息化建设，2016（9）.