虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接�,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道����。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。
虛擬專用網(wǎng)可以幫助遠程用戶���、公司分支機構��、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接���,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉移到低成本的壓網(wǎng)絡上�,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。同時�����,這將簡化網(wǎng)絡的設計和管理�����,加速連接新的用戶和網(wǎng)站�。另外,虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡投資����。隨著用戶的商業(yè)服務不斷發(fā)展,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上���,而不是網(wǎng)絡上��。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入��,以實現(xiàn)安全連接�;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路�,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
虛擬專用網(wǎng)至少應能提供如下功能:
·加密數(shù)據(jù)���,以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露���。
·信息認證和身份認證�����,保證信息的完整性����、合法性����,并能鑒別用戶的身份。
·提供訪問控制����,不同的用戶有不同的訪問權限。
2. IPSec(Internet Protocol Security)
IPSec是IETF(Internet Engineer Task Force)正在完善的安全標準����,它把幾種安全技術結合在一起形成一個較為完整的體系,受到了眾多廠商的關注和支持�����。通過對數(shù)據(jù)加密�、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃���、私有性和保密性?/SPAN>IPSec由IP認證頭AH(Authentication Header)�����、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成�����。
IPSec協(xié)議是一個范圍廣泛��、開放的虛擬專用網(wǎng)安全協(xié)議����。IPSec適應向IP v6遷移�����,它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護�����,提供透明的安全通信�����。IPSec用密碼技術從三個方面來保證數(shù)據(jù)的安全。即:
·認證�����。用于對主機和端點進行身份鑒別��。
·完整性檢查�。用于保證數(shù)據(jù)在通過網(wǎng)絡傳輸時沒有被修改。
·加密���。加密IP地址和數(shù)據(jù)以保證私有性��。
IPSec協(xié)議可以設置成在兩種模式下運行:一種是隧道模式����,一種是傳輸模式�。在隧道模式下,IPSec把IP v4數(shù)據(jù)包封裝在安全的IP幀中���,這樣保護從一個防火墻到另一個防火墻時的安全性��。在隧道模式下���,信息封裝是為了保護端到端的安全性���,即在這種模式下不會隱藏路由信息。隧道模式是最安全的���,但會帶來較大的系統(tǒng)開銷�����。IPSec現(xiàn)在還不完全成熟,但它得到了一些路由器廠商和硬件廠商的大力支持���。預計它今后將成為虛擬專用網(wǎng)的主要標準���。IPSec有擴展能力以適應未來商業(yè)的需要。在1997年底���,IETF安全工作組完成了IPSec的擴展�����,在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Key Management Protocol)協(xié)議��,其中還包括一個密鑰分配協(xié)議Oakley�����。ISAKMP/Oakley支持自動建立加密信道�,密鑰的自動安全分發(fā)和更新。IPSec也可用于連接其他層已存在的通信協(xié)議�,如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和SSL(Secure Socket layer)協(xié)議。即使不用SET或SSL�,IPSec都能提供認證和加密手段以保證信息的傳輸。
●優(yōu)點:它定義了一套用于認證�、保護私有性和完整性的標準協(xié)議。 IPSec支持一系列加密算法如DES��、三重DES�、IDEA。它檢查傳輸?shù)臄?shù)據(jù)包的完整性�,以確保數(shù)據(jù)沒有被修改。IPSec用來在多個防火墻和服務器之間提供安全性�。IPSec可確保運行在TCP/IP協(xié)議上的VPNs之間的互操作性。
●缺點:IPSec在客戶機/服務器模式下實現(xiàn)有一些問題���,在實際應用中����,需要公鑰來完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址���,因此在動態(tài)分配IP地址時不太適合于IPSec�。除了TCP/IP協(xié)議外�����,IPSec不支持其他協(xié)議���。除了包過濾之外���,它沒有指定其他訪問控制方法����������?赡芩淖畲笕秉c是微軟公司對IPSec的支持不夠�����。
IPSec最適合可信的LAN到LAN之間的虛擬專用網(wǎng),即內(nèi)部網(wǎng)虛擬專用網(wǎng)����。
3. SOCKs v5
SOCKs v5由NEC公司開發(fā),是建立在TCP層上安全協(xié)議���,更容易為與特定TCP端口相連的應用建立特定的隧道�,可協(xié)同IPSec�、L2TP、PPTP等一起使用���。SOCKs v5能對連接請求進行認證和授權����。
SOCKS v5是一個需要認證的防火墻協(xié)議�����。當SOCKS同SSL協(xié)議配合使用時,可作為建立高度安全的虛擬專用網(wǎng)的基礎�。SOCKS協(xié)議的優(yōu)勢在訪問控制����,因此適合用于安全性較高的虛擬專用網(wǎng)�����。SOCKS現(xiàn)在被IETF建議作為建立虛擬專用網(wǎng)的標準�����,盡管還有一些其他協(xié)議���,但SOCKS協(xié)議得到了一些著名的公司如 Microsoft����,Netscape�,IBM的支持。
SOCKS v5的優(yōu)點:SOCKS v5在OSI模型的會話層控制數(shù)據(jù)流�,它定義了非常詳細的訪問控制。在網(wǎng)絡層只能根據(jù)源和目的IP地址允許或拒絕數(shù)據(jù)包通過�,在會話層控制手段要更多一些���。SOCKS v5在客戶機和主機之間建立了一條虛電路����,可根據(jù)對用戶的認證進行監(jiān)視和訪問控制。SOCKS v5和SSL工作在會話層�����,因此能向低層協(xié)議如IP v4�,IPSec,PPTP��,L2TP一起使用�����。它能提供非常復雜的方法來保證信息安全傳輸�����。用SOCKS v5的代理服務器可隱藏網(wǎng)絡地址結構����。如果SOCKS V5同防火墻結合起來使用,數(shù)據(jù)包經(jīng)一個唯一的防火墻端口(缺省的是1080)到代理服務器�,再經(jīng)代理服務器過濾發(fā)往目的計算機的數(shù)據(jù),這樣可以防止防火墻上存在的漏洞。SOCKS v5能為認證�、加密和密鑰管理提供“插件”模塊,可讓用戶很自由地采用他們所需要的技術�����。SOCKS v5可根據(jù)規(guī)則過濾數(shù)據(jù)流����,包括Java Applet和ActiveX控件。
●SOCKS v5的缺點:因為SOCKS v5通過代理服務器來增加一層安全性�,因此其性能往往比低層協(xié)議差。盡管比網(wǎng)絡層和傳輸層的方案要更安全���,但要制定比低層協(xié)議更為復雜的安全管理策略�����。
基于SOCKSv5的虛擬專用網(wǎng)最適合用于客戶機到服務器的連接模式��,適合用于外聯(lián)網(wǎng)虛擬專用網(wǎng)��。
