| 词条 | VPN |
| 释义 | § 基本简介 虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条vpn 穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。 针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。 vpn虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 § 基本要求 一个成功的VPN方案应当能够满足以下所有方面的要求: 1.用户验证 VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。 2.地址管理 VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 3.数据加密 对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。 4.密钥管理 VPN方案必须能够生成并更新客户端和服务器的加密密钥。 5.多协议支持 VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案,包括安全IP协议(IPSec),虽然不能满足上述全部要求,但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念,协议,和部件(component)。 § 关键技术 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。 1.隧道技术: 隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。 2.加解密技术: 加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。 3.密钥管理技术: 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。 4.使用者与设备身份认证技术: 使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 § 具备特点 组建VPN网络应具有如下特点: 1.安全保障 虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 2.服务质量保证(QoS) VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 3.可扩充性和灵活性 VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 4.可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 § 主要分类 按接入类型划分:拨号VPN(VPDN)和专线VPN,VPDN是通过公网远程拨号方式构筑的VPN;专线VPN是通过专线为接入ISP边缘路由器的用户提供的VPN。专线VPN为用户提供安全可靠并具有QoS的虚拟专网,它包括基于虚电路的VPN(VCVPN)和基于IP隧道的专线VPN。 按协议类型划分:基于第二层服务的VPN和基于第三层隧道的VPN,第二层服务的VPN是通过公共的帧中继或ATM网组成的VPN,它根据用户数据包的二层地址(例如MAC地址、帧中继的DLCI、ATM的VPI/VCI等)在网络的第二层对数据包进行转发,服务提供商网络负责提供用户间的第二层链路连接。第三层服务的VPN为IPVPN,它利用IP设施在服务提供商网络边缘的路由器之间建立点对点隧道,转发用户数据包是以IP地址为依据的。安全性是IPVPN的关键的要求,IPVPN通过安全的IP隧道来保证网络信息的机密性、完整性、可鉴别性和可用性。 按业务类型划分:分为拨号VPN(VPDN)、虚拟专用线(VLL)、虚拟专用路由网(VPRN)和虚拟专用局域网段(VPLS)。VPDN是通过公网远程拨号方式构筑的虚拟网。虚拟专用线(VLL)是服务提供商在IP网上,通过隧道为用户仿真一条虚拟专线,主要用于安全可靠,并具有一定QoS保障的VPN,实现协议有IPSec、GRE、L2TP和MPLS等。VPRN用IP设施仿真出一个专用多站点广域路由网,数据包的转发是在网络层实现的,实现协议有IPSec、GRE、L2TP和MPLS等。VPLS利用Internet仿真一个LAN网段,协议完全透明,用于提供透明LAN服务。 按应用分类:分为接入虚拟网、内部网VPN和外联网VPN。 按VPN的部署模式:分为端到端模式、供应商企业模式和内部供应商模式。 § 路由管理 VPN数据和路由的管理可以通过叠加模式和对等模式来实现。隧道技术是最常见的叠加模式,为VPN提供站点间连接。站点间点到点的连接可以通过IPSec、GRE或帧中继、ATM电路等来实现。各站点都有一个路由器通过点到点连接到其它站点的路由器上,一个站点可以有一个或多个这样的路由器,分别连接到所有的或一部分其它站点上。基于IPSec的安全VPN目前得到广泛应用。 BGP/MPLS技术是当前主流的对等模式VPN技术。MPLSVPN利用MPLS的标记交换,在广域网络上为VPN用户提供虚连接,可以使MPES的IPVPN达到第二层VPN具有的专用性、安全性和数据传输的高速性,并很容易地与基于IP的用户网络实现无缝结合。由于MPLSVPN是基于网络的,全部的VPN网络配置和VPN策略配置都在网络端完成,可以大大降低管理维护的开销。在BGP/MPLS中,MPLS用于在网络间前转数据包,而BGP用于播发边缘路由器与核心路由器间的路由信息及VPN的成员信息。 § 使用方法 VPN一、便携网帐号申请开通 企业向运营商申请租用一批便携网使用帐号(即license),由企业自行管理分配帐号。企业管理员可以将需要使用便携网的各个部门,成立不同的VCN域,即不同的工作组,比如可分为财务、人事、市场、外联部等等。同一工作组内的成员可以互相通讯,既加强了成员之间的联络,又保证了数据的安全。而各个工作组之间不能互相通讯,保证了企业内部数据的安全。 二、便携网客户端安装 1、系统需求:表—列出了在装有Microsoft Windows操作系统的计算机上安装便携网络客户端软件(yPND:your Portable Network Desktop)的最小系统要求。计算机必须符合或好于最小系统要求才能成功的安装和使用便携网络客户端软件。 2、预安装:为成功安装便携网络客户端软件必须确保满足下列情况:计算机符合“系统需求”表所列的最小系统要求。安装程序时会检查系统是否符合要求,如果不满足就不能继续安装,必须使系统符合要求才能安装。必须有计算机的系统管理员权限才能安装。 § 功能作用 VPN虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。 随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSecVPN来保证公司总部和分支机构以及移动工作人员之间安全连接。 对于很多IPSecVPN用户来说,IPSecVPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。 由于受到以上IPSecVPN的限制,大量的企业都认为IPSecVPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。 § 技术方案 VPNIP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。 一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。 § 业务推广 VPNVPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。VPN业务的一种由LER和LSR构成的网络配置。 LER(标记边缘路由器) LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。 LSR(标记交换路由器) MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。 建立IP-VPN区域的操作 希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作,基本的LSP建立过程将使用拓扑驱动方法来进行,这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由,则将使用两级LSP隧道(标记堆栈)。 § 成员资格 VPN每一个LER都有一个任务,即发现在VPN区域中为同一IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道,所以LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他LER的每一条基本网络LSP,向下游发送一个LDPHello消息。LDPHello消息中会包含一个基本的MPLS标记,以方便这些消息能够最终到达目的LER。 LDPHello消息实际上是一种查询消息,通过这一消息,发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER(对等实体)。新的Hello消息相邻实体注册完成之后,相关的两个LER之间将开始发起LDP会话。随后,其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后,对等LER之间的会话便建立起来了。此后,双方各自为对方到自己的LSP隧道提供一个标记。如果LSP隧道是嵌套隧道,则该标记将被推入标记栈中,并被置于原有的标记之上。 VPN成员资格和可到达性信息的传播,通过路由信息的交换,LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER,还需要找到在一个VPN中哪些LER是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之,只有支持相同VPN的LER之间才能成功地建立LDP会话。 § SSL VPN 从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。 一般而言,SSL VPN必须满足最基本的两个要求: 1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。 2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。 § 分类比较 socks5 VPN与IPSec VPN、ssl vpn特点比较 首先让我们从SSL VPN和IPSec VPN个阵营出发做一个比较。 1 SSL VPN相对于IPSec VPN的优势 1.1 SSL VPN比IPSec VPN部署、管理成本低 首先我们先认识一下IPSEC存在的不足之处: 在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。 IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。 其次我们再看看SSL的优势特点: SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是: 第一来自于它的简单性,它不需要配置,可以立即安装、立即生效; 第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行; 第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。 综合分析可见: 1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立; 2. 某些SSL VPN厂商如F5有类似IPSec VPN的“网络访问”方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL VPN设备后,拨通网络访问资源即可获得一个虚拟IP,即可以访问按照安全策略允许访问的内网地址和端口,和IPSec VPN不同的是,这种方式并非工作在网络层,所以不会有接入地点的限制; 1.2 SSL VPN比IPSec VPN更安全 首先我们还是先认识一下IPSEC存在的不足之处: 1. 在通路本身安全性上,传统的IPSec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。 2. 比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。 3. 比如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。 4. 不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯协议采用25和110端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25和110端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。 其次我们再看看SSL的优势特点: 1. SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。 2. 若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。 3. 而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。有的厂商如F5公司的产品,自身带有防病毒软件,更可以通过标准协议连接防病毒软件,加强对于病毒的防治。 4. SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN 之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。 1.3 SSL VPN与IPSec VPN相比,具有更好的可扩展性 首先我们还是先认识一下IPSec VPN存在的不足之处: IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。 其次我们再看看SSL VPN的优势特点: SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。 1.4 SSL VPN在访问控制方面比IPSec VPN具有更细粒度 为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。 首先我们还是先认识一下IPSEC存在的不足之处: 由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。 其次我们再看看SSL的优势特点: 在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。 1.5 使用SSL VPN相比IPSec VPN也具有更好的经济性 假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec VPN,那么就需要购买1000个客户端许可,而如果购买SSL VPN,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。 2 F5产品的特色 现在市场上充斥了各式各样的SSL VPN产品,相对于IPSec VPN产品之间的区别,SSL VPN产品之间的区别大的惊人,从“玩具”形态只实现了简单反向SSL代理的SSL VPN到提供了众多功能的“工具”级的成熟SSL VPN产品,是完全不同的,下面从F5的FirePass的特点出发再与IP Sec VPN产品做一个对比。 2.1 产品的多样化 F5的FirePass在同一硬件里集成了IP Sec VPN与SSL VPN功能,为企业节省了投资。 2.2 丰富的功能 F5的FirePass的SSL VPN包括网络访问、web 应用程序、Windows文件共享、移动电子邮件、针对C/S应用的应用访问等功能,提供了远比IPSec VPN丰富的功能。 2.3 高可用性 对于远程访问非常重要的企业来说,远程访问设备的高可用性非常重要,而IPSec VPN无法提供高可用性,往往成为系统的单点故障。而F5 FirePass可以多台以集群方式对外提供服务,也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能。 2.4 与企业原有AAA服务器集成 企业在部署远程访问设备之前,一般都部署了各种形式的AAA服务器,一般有Active Directory、LDAP、Raduis、企业自行开发的SSO等等,客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成,对于IT管理员来说,可以轻易将一台FirePass加入企业网,用户管理仍然由原来的 AAA服务器去做。 2.5 详细的日志功能 IPSec VPN的日志功能非常薄弱,而FirePass可以提供非常丰富的用户级日志功能,更可以通过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。 2.6 更高的安全性 IPSec VPN的安全性一直是一个弱点,由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题,而F5 FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下,FirePass可以对上传的文件做病毒扫描,更可以与企业现有的防病毒软件联动,彻底解决病毒问题。而FirePass内带的内容检查功能,解决了Web攻击问题。 F5 FirePass可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。 F5 FirePass可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等。 F5 FirePass可以配置成在退出时自动清除高速缓存。 以上这些功能都大大增强了系统的安全性。 2.7 接入设备的多样性 F5 FirePass可以使用多种客户端接入,包括Mac、Linux、Solaris、Windows CE等等,大大扩展了客户端的使用便利性。 2.8 更高的性能 对于SSL VPN的性能,一向是IPSec VPN阵营攻击SSL VPN的有力武器。确实,SSL VPN单台的性能是无法与最高端的IPSec VPN相抗衡的,但是由于F5的FirePass可以通过自由堆叠来扩展,反而可以提供更高的性能。 Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新,是在总结了IPSec VPN和SSL VPN的优缺点以后,提出的一种全新的解决方案。 3.Socks5 VPN运行在会话层,并且提供了对应用数据和应用协议的可见性,使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理,通过代理可以将用户实际的网络请求转发给应用服务器,从而实现远程访问的能力。 在实现上,通过在用户机器上安装Socks5 VPN瘦客户端,由瘦客户端监控用户的远程访问请求,并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理,Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上,Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色,可以在用户访问远程资源之前执行相应的身份认证和访问控制,只有通过检查的合法数据才允许流进应用服务器,从而有力保护了组织的内部专用网络。 § VPN上管理带宽 在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法: 信息包分类 信息包分类按重要性将数据分组。数据越重要,它的级别越高,当然,它的操作也会优先于同网络中相对次要的数据。 带宽管理 通过带宽管理,一个VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。 其他的带宽控制形式还有: 通信量管理 通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。 公平带宽 公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。 传输保证 传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。 [1]网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展,VPN管理员在维护带宽上还有许多问题。然而,新技术对QoS的补充将会帮助网络管理员解决这个问题。 § 国内外知名硬件VPN品牌 目前国内外硬件VPN产品已经相对比较成熟了,这里列出几个国内外有一定历史的知名品牌: 国外品牌:1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone 国内品牌:1.e地通 2.深信服 3.H3C 4.迅博 5.冰峰网络 6.奥联 7.卫士通 8.赛蓝 9.365VPN 10.X-Y小语vpn11.天益随易联vpn12.易通VPN 13.网一VPN 14.513VPN15.517VPN 国内VPN标准制定: VPN标准分为两类:IPSec VPN、SSL VPN IPSec VPN国家标准制定单位:华为、深信服、中兴、无锡江南信息安全工程技术中心。 SSL VPN国家标准制定单位:华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司、深圳市奥联科技有限公司等十余家单位。 国内免费的VPN 91vpn: 91vpn是由91wangyou提供的一种永久免费VPN服务,简单易用。 55dns加速器:55dns加速器是一种加速软件,自带客户端,目前免费的VPN,优点:使用简单、加速稳定 OpenVPN,这是目前最佳的开源VPN软件,配置简单,特色众多,支持多平台。 最简单也是最方便的方法:去各大网站找测试免费VPN或者免费VPN代理,也有一些免费vpn公布器,差不多每天都会有人发,有些速度还不错。 优点:速度还行,随到随拿。 缺点:使用期限较短,而且有些使用人数一多VPN就容易被封。 Winsows2003 vpn设置 如下: 一般在中小企业都喜欢用NAT来实现网络共享,通常又不会装其他NAT软件,在原来Win 2000的基础上Win 2003又增加了对VPN的支持,无需第三方软件或硬件就能完成连接…… 硬件:双网卡,一块接ADSL modem,一块接局域网。 首先右击“我的电脑”,选择“管理”,在“本地用户和组”中,添加一个VPN连接的用户名,并允许远程连接。再打开“控制面板/管理工具”,双击其中的“管理服务器”,选择“添加删除角色”,添加“远程访问/VPN”。 添加VPN服务 设置NAT转发 如果你还没有设置连接到ADSL的连接,在选择了“创建一个新的到Internet的请求拨号接口”后,会弹出ADSL拨号连接的设置窗口,按照通常的ADSL拨号连接设置进行设置即可。 设置连接到Internet的网卡 设置连接内网的网卡 还是打开“管理服务器”,进入"远程/VPN”管理,如图所示: 管理VPN连接 右击ADSL连接,选择“属性”,在里面可以修改拨号连接的方式和属性。 此处还可修改拨号连接的属性 接下来设置VPN连接与防火墙对VPN端口的开启,右击“端口”,选择“属性”,默认VPN连接数为“PPTP"5个,L2TP 5个”,可以在属性中修改。 修改VPN的属性 右击你建立的服务器,选择“属性”,接下来设置VPN拨入时候的IP地址,如果有DHCP服务器的话也可以使用。 设置拨入IP地址 接着设置防火墙规则,不然外面进不来,右击你的ADSL连接,选择“属性”,双击“VPN网关(PPTP)”,在里边设置即可,当然,你也可以不用默认的防火墙,装个ISA2004效果更好。 设置拨入防火墙 再在服务器上装个动态域名解析,应该更方便连接VPN,呵呵。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。