SSL VPN和IPSec VPN的区别与互补.docx
《SSL VPN和IPSec VPN的区别与互补.docx》由会员分享,可在线阅读,更多相关《SSL VPN和IPSec VPN的区别与互补.docx(25页珍藏版)》请在冰豆网上搜索。
SSLVPN和IPSecVPN的区别与互补
第一章VPN的概述
1.1什么是VPN
VPN的英文全称是“VirtualPrivateNetwork”,翻译成中文就是“虚拟专用网络”。
它是在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种从公共网络中隔离出来的网络。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或操作系统等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络的设计和管理,加速连接新的用户和网站。
另外,虚拟专用网还可以保护现有的网络投资。
随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
1.2VPN的产生背景
VPN的产生是伴随着企业全球化而进行的。
随着Internet的商业化,大量的企业的内部网络与Internet相连,随着企业全球化的发展,不同地区企业内部的网络需要互联。
以往传统的方式是通过租用专线实现的。
出差在外的人员如果需要访问公司内部的网络,以往不得不采用长途拨号的方式连接到企业所在地的内部网。
这些连接方式的价格非常昂贵,一般只有大型的企业可以承担。
同时造成网络的重复建设和投资。
Internet的发展,推动了采用基于公网的虚拟专用网的发展,从而使跨地区的企业的不同部门之间,或者政府的不同部门之间通过公共网络实现互联成为可能,可以使企业节省大量的通信费用和资金,也可以使政府部门不重复建网。
这些新的业务需求给公共网络的经营者提供了巨大的商业机会。
但是,如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络的不同节点,成为企业非常关注的问题。
VPN采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。
企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。
1.3VPN标准的分类及各种VPN协议的比较
VPN的分类方式比较混乱。
不同的生产厂家在销售它们的VPN产品时使用了不同的分类方式,它们主要是产品的角度来划分的。
而不同的ISP在开展VPN业务时也推出了不同的分类方式,他们主要是从业务开展的角度来划分的。
而用户往往也有自己的划分方法,主要是根据自己的需求来进行的。
下面简单介绍一下按照协议类型对VPN的划分方式。
1.3.1点到点隧道协议(PPTP)
PPTP(Point-to-PointTunnelingProtocol)即点对点隧道协议,该协议由美国微软公司设计,用于将PPP分组通过IP网络封装传输。
通过该协议,远程用户能够通过Windows操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地ISP,通过Internet安全链接到公司网络。
1.3.2第二层转发协议(L2F)
第二层转发协议(L2F)用于建立跨越公共网络(如因特网)的安全隧道来将ISPPOP连接到企业内部网关。
这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。
1.3.3第二层隧道协议(L2TP)
第二层隧道协议(L2TP)是用来整合多协议拨号服务至现有的因特网服务提供商点。
PPP定义了多协议跨越第二层点对点链接的一个封装机制。
特别地,用户通过使用众多技术之一(如:
拨号POTS、ISDN、ADSL等)获得第二层连接到网络访问服务器(NAS),然后在此连接上运行PPP。
在这样的配置中,第二层终端点和PPP会话终点处于相同的物理设备中(如:
NAS)。
L2TP扩展了PPP模型,允许第二层和PPP终点处于不同的由包交换网络相互连接的设备来。
通过L2TP,用户在第二层连接到一个访问集中器(如:
调制解调器池、ADSLDSLAM等),然后这个集中器将单独得的PPP帧隧道到NAS。
这样,可以把PPP包的实际处理过程与L2连接的终点分离开来。
1.3.4多协议标记交换(MPLS)
MPLS属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF(InternetEngineeringTaskForce,因特网工程任务组)所提出,由Cisco、ASCEND、3Com等网络设备大厂所主导。
MPLS是集成式的IPOverATM技术,即在FrameRelay及ATMSwitch上结合路由功能,数据包通过虚拟电路来传送,只须在OSI第二层(数据链结层)执行硬件式交换(取代第三层(网络层)软件式routing),它整合了IP选径与第二层标记交换为单一的系统,因此可以解决Internet路由的问题,使数据包传送的延迟时间减短,增加网络传输的速度,更适合多媒体讯息的传送。
因此,MPLS最大技术特色为可以指定数据包传送的先后顺序。
MPLS使用标记交换(LabelSwitching),网络路由器只需要判别标记后即可进行转送处理。
1.3.5IP安全协议(IPSec)
IPSeC(IPSeCurtyProtcol,IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。
这些对等实体可能是一对主机或是一对安全网关(路由器、防火墙、VPN集中器等等),或者它们可能在一个主机和一个安全网关之间,就像远程访问VPN这种情况。
IPSec能够保护对等实体之间的多个数据流,并且一个单一网关能够支持不同的成对的合作伙伴之间的多条并发安全IPSec隧道。
1.3.6SSL协议
SSL的英文全称是“SecureSocketsLayer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。
SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。
它们共同为应用访问连接(主要是HTTP连接)提供认证、加密和防篡改功能。
SSL能在TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。
SSL的这种无缝嵌入功能还可运用类似Internet应用,如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务。
SSL能基于Internet实现安全数据通信:
数据在从浏览器发出时进行加密,到达数据中心后解密;同样地,数据在传回客户端时也进行加密,再在Internet中传输。
它工作于高层,SSL会话由两部分组成:
连接和应用会话。
在连接阶段,客户端与服务器交换证书并协议安全参数,如果客户端接受了服务器证书,便生成主密钥,并对所有后续通信进行加密。
在应用会话阶段,客户端与服务器间安全传输各类信息。
第二章IPSecVPN概述
2.1什么是IPSecVPN
IPSec的英文全名为“InternetProtocolSecurity”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。
通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。
因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。
在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP、SNMP、HTTP、POP、等,而不管这些通道构建时所采用的安全和加密方法如何。
IPSecVPN即采用IPSec协议的VPN设备。
2.2IPSecVPN协议概述
IPSec是IETFIPSec工作组为了在IP层提供通信安全而制定的一套协议族。
它包括安全协议部分和密钥协商部分。
安全协议部分定义了对通信的各种保护方式,密钥协商部分定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。
IPSec安全协议给出了两种通信保护机制:
认证和加密。
认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改。
加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。
IPSec协议组包含AH(AuthenticationHeader)协议、ESP(EncapsulatingSecurityPayload)协议和IKE(InternetKeyExchange)协议。
其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。
在实际进行IP通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。
AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。
IKE(InternetKeyExchange)协议实现安全协议的自动安全参数协商。
IKE协商的安全参数包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。
IKE将这些安全参数构成的安全参数背景称为安全关联(SecurityAssociation)。
IKE负责这些安全参数的刷新。
下面我们分别简要介绍一下IPSec协议组的几个协议。
2.2.1AH(AuthenticationHeader)协议
AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。
AH的工作原理是在每一个数据包上添加一个身份验证报头。
此报头包含一个带密钥的hash散列(可以将其当作数字签名,只是它不使用证书),此hash散列在整个数据包中计算,因此对数据的任何更改将致使散列无效--这样就提供了完整性保护。
AH报头位置在IP报头和传输层协议报头之间,见图2-1。
AH由IP协议号“51”标识,该值包含在AH报头之前的协议报头中,如IP报头。
AH可以单独使用,也可以与ESP协议结合使用。
图2-1AH报头
AH报头字段包括:
•NextHeader(下一个报头):
识别下一个使用IP协议号的报头,例如,NextHeader值等于“6”,表示紧接其后的是TCP报头。
•Length(长度):
AH报头长度。
•SecurityParametersIndex(SPI,安全参数索引):
这是一个为数据报识别安全关联的32位伪随机值。
SPI值0被保留来表明“没有安全关联存在”。
•SequenceNumber(序列号):
从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。
接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。
•AuthenticationData(AD,认证数据):
包含完整性检查和。
接收端接收数据包后,首先执行hash计算,再与发送端所计算的该字段值比较,若两者相等,表示数据完整,若在传输过程中数据遭修改,两个计算结果不一致,则丢弃该数据包。
数据包完整性检查:
如图2-2所示AH报头插在IP报头之后,TCP,UDP,或者ICMP等上层协议报头之前。
一般AH为整个数据包提供完整性检查,但如果IP报头中包含“生存期(TimeToLive)”或“服务类型(TypeofService)”等值可变字段,则在进行完整性检查时应将这些值可变字段去除。
图2-2AH为整个数据包提供完整性检查
2.2.2ESP(EncapsulatingSecurityPayload)协议结构
ESP为IP数据包提供完整性检查、认证和加密,可以看作是“超级AH”,因为它提供机密性并可防止篡改。
ESP服务依据建立的安全关联(SA)是可选的。
然而,也有一些限制:
•完整性检查和认证一起进行。
•仅当与完整性检查和认证一起时,“重播(Replay)”保护才是可选的。
•“重播”保护只能由接收方选择。
ESP的加密服务是可选的,但如果启用加密,则也就同时选择了完整性检查和认证。
因为如果仅使用加密,入侵者就可能伪造包以发动密码分析攻击。
ESP可以单独使用,也可以和AH结合使用。
一般ESP不对整个数据包加密,而是只加密IP包的有效载荷部分,不包括IP头。
但在端对端的隧道通信中,ESP需要对整个数据包加密。
如图2-3所示,ESP报头插在IP报头之后,TCP或UDP等传输层协议报头之前。
ESP由IP协议号“50”标识。
图2-3ESP报头、报尾和认证报尾
ESP报头字段包括:
•SecurityParametersIndex(SPI,安全参数索引):
为数据包识别安全关联。
•SequenceNumber(序列号):
从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。
接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。
ESP报尾字段包括:
•Padding(扩展位):
0-255个字节。
DH算法要求数据长度(以位为单位)模512为448,若应用数据长度不足,则用扩展位填充。
•PaddingLength(扩展位长度):
接收端根据该字段长度去除数据中扩展位。
•NextHeader(下一个报头):
识别下一个使用IP协议号的报头,如TCP或UDP。
ESP认证报尾字段AuthenticationData(AD,认证数据):
包含完整性检查和。
完整性检查部分包括ESP报头、有效载荷(应用程序数据)和ESP报尾。
如图2-4所示,ESP报头的位置在IP报头之后,TCP,UDP,或者ICMP等传输层协议报头之前。
如果已经有其他IPSec协议使用,则ESP报头应插在其他任何IPSec协议报头之前。
ESP认证报尾的完整性检查部分包括ESP报头、传输层协议报头,应用数据和ESP报尾,但不包括IP报头,因此ESP不能保证IP报头不被篡改。
ESP加密部分包括上层传输协议信息、数据和ESP报尾。
图2-4ESP的加密部分和完整性检查部分
2.2.3ESP隧道模式和AH隧道模式
以上部分介绍的是传输模式下的AH协议和ESP协议,ESP隧道模式和AH隧道模式与传输模式略有不同。
在隧道模式下,整个原数据包被当作有效载荷封装了起来,外面附上新的IP报头。
其中“内部”IP报头(原IP报头)指定最终的信源和信宿地址,而“外部”IP报头(新IP报头)中包含的常常是做中间处理的安全网关地址。
与传输模式不同,在隧道模式中,原IP地址被当作有效载荷的一部分受到IPSec的安全保护,另外,通过对数据加密,还可以将数据包目的地址隐藏起来,这样更有助于保护端对端隧道通信中数据的安全性。
ESP隧道模式中签名部分(完整性检查和认证部分)和加密部分分别如图2-5所示。
ESP的签名不包括新IP头。
图2-5ESP隧道模式
AH隧道模式为整个数据包提供完整性检查和认证,认证功能优于ESP。
但在隧道技术中,AH协议很少单独实现,通常与ESP协议组合使用。
图2-6标示出了AH隧道模式中的签名部分。
图2-6AH隧道模式
2.2.4IKE(InternetKeyExchange)协议
IKE通过两阶段的协商来完成SA的建立。
第一阶段,由IKE交换的发起方发起的一个主模式交换(MainMode),交换的结果是建立一个名为ISAKMPSA的安全关联。
这个安全关联的作用是保护为安全协议协商SA的后续通信。
主模式将SA的建立和对端身份的鉴别以及密钥协商结合起来,这种连接的好处是它能抵抗中间人攻击。
为了给ISAKMPSA提供一个更快捷的方式,IKE还提供了另一种模式:
积极模式,这种模式使得协商更为快捷,但抵抗攻击的能力较差,也不能提供身份保护。
第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSecSA的协商。
2.3IPSecVPN的优缺点
2.3.1IPSecVPN的优点
(1)IPSec是与应用无关的技术,因此IPSecVPN的客户端支持所有IP层协议。
IPSec在传输层之下,对于应用程序来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
(2)IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。
(3)IPSecVPN安全性能高。
因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有企业资源时,就像采用专线方式与企业网络直接物理连接一样。
IPSec不仅使正在通信的那一很小的部分通道加密,而是对所有通道进行加密。
另外IPSecVPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。
2.3.2IPSecVPN的缺点
(1)IPSecVPN通信性能低。
由于IPSecVPN在安全性方面比较高,影响了它的通信性能。
(2)IPSecVPN需要客户端软件。
在IPSecVPN中需要为每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。
在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险。
解决IPSec协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的IPSec客户端软件都是专有的,不能与其它兼容。
在另一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。
并且,IPSec客户端软件在桌面系统中的应用受到限制。
这种限制限制了用户使用的灵活性,在没有安装IPSec客户端的系统中,远程用户不能通过网络进行VPN连接。
(3)安装和维护困难。
采用IPSecVPN,必须为每一个需要接入的用户安装VPN客户端,因此,支持费用很高。
有些终端用户是移动的,这不像IPSecVPN最初设计主要用于连接远程办公地点。
今天的用户希望能在不同的台式机和网络上自由移动。
如果采用IPSecVPN,就不得不为每一个台式机提供客户端。
这些客户端因为环境和网络的不同而配置各异。
那些要求从各个不同的地方访问公司的用户需要时常修改配置,这无形中提高了支持费用。
部署IPSecVPN后,如果用户没有预先在他的计算机上安装客户端,他将不能访问他需要的资源。
这就意味着对于办公地点经常变动的员工,当他们想从家里的计算机、机场提供的电脑或者任何其他非他本人的计算机上访问公司的资源时,他或者无法成功,或者需要打电话向公司寻求帮助。
(4)实际全面支持的系统比较少。
虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行于Windows系统,很少有能运行在其它PC系统平台的,如Mac、Linux、Solaris等。
(5)不易解决网络地址转换(NAT)和穿越防火墙的问题。
IPSecVPN产品并不能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。
例如,如果一个用户已经安装了IPSec客户端,但他仍然不能在其他公司的网络内接入互联网,IPSec会被那个公司的防火墙阻止,除非该用户和这个公司的网络管理员协商,在防火墙上打开另一个端口。
同样的困难也出现在无线接入点。
由于许多的无线接入点使用NAT,非专业的IPSec使用者如果不寻求公司技术人员的支持,不去更改一些配置,常常不能建立连接。
2.4IPSecVPN的发展状况
IPSecVPN发展到今天,产品已经非常成熟。
目前IPSecVPN除了继续继承原有的功能外,已有不少VPN厂商在IPSecVPN产品中融合进了当前风头正盛的SSLVPN的功能。
力求在应用上和性能上继续保持VPN市场的份额。
IPSecVPN的发展正在向着这个方向前进。
第三章SSLVPN概述
3.1什么是SSLVPN
SSL即安全套接层协议,采用SSL协议的VPN设备我们称之为SSLVPN。
SSLVPN的发展对现有SSL应用是一个补充,它增加了企业执行访问控制和安全的级别和能力。
SSL通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。
这里,需要提供一个数字证书给Web服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL服务是比较容易的。
如果应用程序本身不支持SSL,那么就需要改变一些链接,这只与应用程序有关。
对于出现较大信息量的情况,建议给SSL进行加速以避免流量瓶颈。
通常SSL加速装置为热插拔装置。
VPN则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。
过去,VPN总是和IPSec联系在一起,因为它是VPN加密信息实际用到的协议。
IPSec运行于网络层,IPSecVPN则多用于连接两个网络或点到点之间的连接。
大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。
到目前为止,SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。
与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。
任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。
这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。
人们普遍认为它将成为安全远程访问的新生代。
SSLVPN对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。
从属性上讲,拨号可以保证相对安全性,因为特定的电话线可以确认用户的身份。
客户端/服务器和旧版本的VPN自身也拥有一定级别的安全保障能力,因为客户端软件是需要安装的。
但是,以这样的安全策略和属性,不可否认,黑客入侵、安全威胁、身份欺诈呈增长趋势。
现在,使用SSLVPN,安全特性已经发生了改变,人们可以通过浏览器访问应用程序。
3.2SSLVPN协议概述
VPN技术可以扩展企业的内部网络,使在外工作的员工和合作伙伴通过标准、公用的因特网访问他们的内部网络。
它相对传统的专线网络方案的主要优势是各项费用将大大降低。
专线网络需要在合作伙伴或者远程员工与公司总部之间有一个物理封闭的网络连接,或者采用远程拨号访问方案,或者采用E1之类的数字专线连接。
VPN是一个非常实用的技术,
升级会员 