虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的���、安全的連接����,是一條穿過混亂的公用網(wǎng)絡(luò)的安全���、穩(wěn)定的隧道��。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展����。
虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶�����、公司分支機(jī)構(gòu)�、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸�。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上,一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用�。同時(shí)�����,這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理��,加速連接新的用戶和網(wǎng)站����。另外�,虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展��,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上�����,而不是網(wǎng)絡(luò)上�。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入�,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路���,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)���。
虛擬專用網(wǎng)至少應(yīng)能提供如下功能:
·加密數(shù)據(jù),以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露��。
·信息認(rèn)證和身份認(rèn)證����,保證信息的完整性���、合法性��,并能鑒別用戶的身份���。
·提供訪問控制,不同的用戶有不同的訪問權(quán)限�����。
2. IPSec(Internet Protocol Security)
IPSec是IETF(Internet Engineer Task Force)正在完善的安全標(biāo)準(zhǔn)����,它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系,受到了眾多廠商的關(guān)注和支持�。通過對(duì)數(shù)據(jù)加密、認(rèn)證����、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃��、私有性和保密性?/SPAN>IPSec由IP認(rèn)證頭AH(Authentication Header)��、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成����。
IPSec協(xié)議是一個(gè)范圍廣泛���、開放的虛擬專用網(wǎng)安全協(xié)議�。IPSec適應(yīng)向IP v6遷移���,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)�,提供透明的安全通信�。IPSec用密碼技術(shù)從三個(gè)方面來保證數(shù)據(jù)的安全���。即:
·認(rèn)證����。用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別�����。
·完整性檢查。用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時(shí)沒有被修改���。
·加密�����。加密IP地址和數(shù)據(jù)以保證私有性�����。
IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式�,一種是傳輸模式�����。在隧道模式下����,IPSec把IP v4數(shù)據(jù)包封裝在安全的IP幀中,這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性����。在隧道模式下,信息封裝是為了保護(hù)端到端的安全性,即在這種模式下不會(huì)隱藏路由信息�����。隧道模式是最安全的����,但會(huì)帶來較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟�����,但它得到了一些路由器廠商和硬件廠商的大力支持��。預(yù)計(jì)它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)����。IPSec有擴(kuò)展能力以適應(yīng)未來商業(yè)的需要。在1997年底��,IETF安全工作組完成了IPSec的擴(kuò)展�����,在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Key Management Protocol)協(xié)議�����,其中還包括一個(gè)密鑰分配協(xié)議Oakley�����。ISAKMP/Oakley支持自動(dòng)建立加密信道�����,密鑰的自動(dòng)安全分發(fā)和更新���。IPSec也可用于連接其他層已存在的通信協(xié)議�����,如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和SSL(Secure Socket layer)協(xié)議�����。即使不用SET或SSL��,IPSec都能提供認(rèn)證和加密手段以保證信息的傳輸�。
●優(yōu)點(diǎn):它定義了一套用于認(rèn)證��、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。 IPSec支持一系列加密算法如DES����、三重DES、IDEA��。它檢查傳輸?shù)臄?shù)據(jù)包的完整性��,以確保數(shù)據(jù)沒有被修改����。IPSec用來在多個(gè)防火墻和服務(wù)器之間提供安全性。IPSec可確保運(yùn)行在TCP/IP協(xié)議上的VPNs之間的互操作性��。
●缺點(diǎn):IPSec在客戶機(jī)/服務(wù)器模式下實(shí)現(xiàn)有一些問題��,在實(shí)際應(yīng)用中����,需要公鑰來完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址�,因此在動(dòng)態(tài)分配IP地址時(shí)不太適合于IPSec。除了TCP/IP協(xié)議外�,IPSec不支持其他協(xié)議。除了包過濾之外�,它沒有指定其他訪問控制方法��������?赡芩淖畲笕秉c(diǎn)是微軟公司對(duì)IPSec的支持不夠����。
IPSec最適合可信的LAN到LAN之間的虛擬專用網(wǎng),即內(nèi)部網(wǎng)虛擬專用網(wǎng)��。
3. SOCKs v5
SOCKs v5由NEC公司開發(fā)����,是建立在TCP層上安全協(xié)議,更容易為與特定TCP端口相連的應(yīng)用建立特定的隧道����,可協(xié)同IPSec、L2TP����、PPTP等一起使用。SOCKs v5能對(duì)連接請(qǐng)求進(jìn)行認(rèn)證和授權(quán)��。
SOCKS v5是一個(gè)需要認(rèn)證的防火墻協(xié)議。當(dāng)SOCKS同SSL協(xié)議配合使用時(shí)�����,可作為建立高度安全的虛擬專用網(wǎng)的基礎(chǔ)���。SOCKS協(xié)議的優(yōu)勢(shì)在訪問控制���,因此適合用于安全性較高的虛擬專用網(wǎng)。SOCKS現(xiàn)在被IETF建議作為建立虛擬專用網(wǎng)的標(biāo)準(zhǔn)�����,盡管還有一些其他協(xié)議��,但SOCKS協(xié)議得到了一些著名的公司如 Microsoft����,Netscape,IBM的支持����。
SOCKS v5的優(yōu)點(diǎn):SOCKS v5在OSI模型的會(huì)話層控制數(shù)據(jù)流,它定義了非常詳細(xì)的訪問控制����。在網(wǎng)絡(luò)層只能根據(jù)源和目的IP地址允許或拒絕數(shù)據(jù)包通過����,在會(huì)話層控制手段要更多一些���。SOCKS v5在客戶機(jī)和主機(jī)之間建立了一條虛電路,可根據(jù)對(duì)用戶的認(rèn)證進(jìn)行監(jiān)視和訪問控制����。SOCKS v5和SSL工作在會(huì)話層,因此能向低層協(xié)議如IP v4���,IPSec�����,PPTP���,L2TP一起使用。它能提供非常復(fù)雜的方法來保證信息安全傳輸�。用SOCKS v5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)。如果SOCKS V5同防火墻結(jié)合起來使用����,數(shù)據(jù)包經(jīng)一個(gè)唯一的防火墻端口(缺省的是1080)到代理服務(wù)器���,再經(jīng)代理服務(wù)器過濾發(fā)往目的計(jì)算機(jī)的數(shù)據(jù),這樣可以防止防火墻上存在的漏洞����。SOCKS v5能為認(rèn)證、加密和密鑰管理提供“插件”模塊����,可讓用戶很自由地采用他們所需要的技術(shù)。SOCKS v5可根據(jù)規(guī)則過濾數(shù)據(jù)流�����,包括Java Applet和ActiveX控件���。
●SOCKS v5的缺點(diǎn):因?yàn)?/SPAN>SOCKS v5通過代理服務(wù)器來增加一層安全性����,因此其性能往往比低層協(xié)議差����。盡管比網(wǎng)絡(luò)層和傳輸層的方案要更安全���,但要制定比低層協(xié)議更為復(fù)雜的安全管理策略。
基于SOCKSv5的虛擬專用網(wǎng)最適合用于客戶機(jī)到服務(wù)器的連接模式��,適合用于外聯(lián)網(wǎng)虛擬專用網(wǎng)�����。
