Amaranten VPN white book.docx
《Amaranten VPN white book.docx》由会员分享,可在线阅读,更多相关《Amaranten VPN white book.docx(17页珍藏版)》请在冰豆网上搜索。
AmarantenVPNwhitebook
阿姆瑞特VPN技术白皮书
阿姆瑞特(亚洲)网络有限公司
目录
前言1
第一章虚拟专用网络概述2
1.1VPN的产生背景2
1.2VPN的定义3
1.3VPN的优点4
第二章阿姆瑞特VPN技术5
2.1接入技术5
2.1.1传输模式5
2.1.2隧道模式5
2.2安全技术7
2.2.1认证技术7
2.2.2加密技术简介7
第三章阿姆瑞特VPN的功能9
3.1明密结合的VPN接入9
3.2星形拓扑连接9
3.3动态IP的VPN接入9
3.4DHCPOVERIPSEC10
3.5NAT穿越10
3.6VPN接入的访问控制10
3.7VPN的带宽QOS保证10
3.8VPN内的QOS保证11
3.9数据机密性保护11
3.10数据完整性保护11
3.11保证数据的不可否认性。
12
3.12统一日志管理12
3.13VPN的集中管理12
第四章阿姆瑞特VPN应用13
4.1VPN的点对点接入13
4.2星型拓扑的VPN接入13
4.3动态IP地址接入14
4.4NAT穿越的接入15
前言
随着当今社会的不断发展网络技术可为无所不在,无论是公司还是个人办公都越来越离不开网络。
因而也就有新的问题产生了。
随着企业的不断扩大分支机构越来越多,合作伙伴越来越多,移动用户越来越多,企业希望能通过无处不在的因特网来实现方便快捷的访问,既经济又安全的企业间的互连成了一个很重要的问题。
DDN技术虽然可以实现企业间的互连,但租金昂贵。
ADSL虽然价格低廉,但其只能应用于企业接入Internet,不能实现企业间的互联。
有没有一种接入方式即可以实现企业互连,又可以访问Internet,同时接入费用低廉的方式呢?
在这样的条件下,虚拟专用网VPN(VirtualPrivateNetwork)的概念与市场随之出现。
由于VPN技术的成本低、安全性高所以越来越受到广大用户的欢迎与认可。
第一章虚拟专用网络概述
1.1VPN的产生背景
随着连入Internet的用户迅速增加,各个公司都在考虑怎样利用Internet来获取更多的商业利益。
早期,公司只是利用Internet宣传其形象和产品,提供WWW访问,现在可利用Internet实现网络银行、电子购物、电子商务等。
要实现这些新功能必采用安全技术,虚拟专用网(VPN)技术便是重要手段之一。
我们可以看到,企业和公司组织的发展,往往需要将分布于各地的分支机构联成网络,并需要方便的与出差在外员工保持联系,最好与其它合作公司、供应商、销售商、等建立紧密的高效的联系,建立起Internet或Extranet。
而以往的办法无非是:
专用WAN、拨号网络以及直接利用Internet构筑起本公司的Internet或Extranet。
我们先看一下传统的解决办法:
1、专用WAN
通过专用(如FR或ATM连接)永久的保持多个站点的连接,通过CPE(CustomerPremisesEquipment)路由器或交换器连接专用设备,无疑代价和复杂度都非常可观。
2、拨号上网
通过PSTN或ISDN按需要建立与私有网络的连接,通常采用NAS(NetworkAccessServers)分布在一个或多个中心节点,用户拨号到NAS,由其进行Authentication,Authentication和Accounting(AAA),效率、速度等往往很难令人满意。
3、直接利用Internet构筑起本公司的Intranet或Extranet
Internet迅速发展无所不在以及诱人的低价位,的确令众多厂商开始采用这种办法,但Internet天生的开放性特点令人无所适从,安全性又成了问题,公司的机密数据一旦在Internet传输,若没有安全性保障,其后果可想而知。
在这种情况下,VPN应运而生。
首先它利用了Internet,其次它通过一系列措施来保障其安全性。
通过采用加密、认证、隧道、协议封装等技术在Internet上构筑起一条安全通道,使用户的敏感数据可以安全的开放网上传输。
1.2VPN的定义
VPN(VirtualPrivateNetwork虚拟专用网)是通过在两台计算机之间建立一条专用连接从而达到在共享或者公共网络(一般是指Internet)上传输私有数据的目的,即所谓的“化公为私”的这样一种技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(Internet、ATM、FrameRelay等)之上的逻辑网络,用户数据在逻辑链路中传输。
通过采用相应的加密和认证技术来保证用内部网络数据在公网上安全传输,从而真正实现网络数据的专用性。
这样,各个组织可以通在Internet上建立私有的WAN,来和自己的分支组织以及远程用户通信,从而进一步拓展了业务。
它的吸引人之处在于它基于分布广泛、全球化的Internet,并提供了一种快速、安全、廉价的建立通信链接的办法。
下图即为典型的企业VPN的系统组成。
图1
基于Internet组建企业VPN,第一步就是将其地理上分布的各网段以及各远程用Internet,远程用户可利用Modem通过PSTN拨号至本地ISP的NAS(NetworkAccessServer,网络接入服务器)接入Internet;公司总部网段配有VPN中心,它通过路由器接入Internet,各分支机构和合作伙伴子网也通过VPN网关与总部LA进行连接。
1.3VPN的优点
VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为Internet和Extranet的应用带来良好的前景。
VPN技术的主要目标是节省企业的通信费用,特别是替代企业已有的专线,并且提高企业网络的可管理性,降低企业的通信成本。
具体而言,VPN具有以下显著的优点:
1、降低成本
当使用Internet时,实际上只需要付短途电话费,却收到了长途通信的效果。
因此,借助ISP来建立VPN,就可以节省大量的通信费,此外,VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。
2、容易扩展
支持多种隧道实现方式,并且网络是动态的,可以随时增减用户,便于集中控制访问权限。
如果企业想扩大VPN的容量和覆盖范围,企业做的事情很少,而且能立时实现;企业只需与新的ISP签约,建立帐户;或者与原有的ISP重签合约,扩大服务范围。
在远程办公室增加VPN能力也很简单:
几条命令就可以使Extranet路由器具有Internet和VPN能力,路由器还能对工作站自动进行配置。
3、可随意与合作伙伴联网
在过去企业如想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建自助用线路或帧中继线路,有了VPN以后,这种协商毫无必要,真正达到了要连就连、要断就断。
4、完全控制主动权
VPN使企业可以使用NSP的设施和服务,同时又完全掌握着自己网络的控制权。
比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
5、便于兼容
传统的远程拨号网络服务只支持注册的IP地址,限定了用户企业网络的访问。
而VPN的实现支持多种网络层协议和没有注册的专用IP地址,很好的解决了Internet公网与专网的兼容性问题。
第二章阿姆瑞特VPN技术
阿姆瑞特VPN支持传输模式的VPN技术和隧洞模式的VPN技术,通过这两种技术实现不同种类的VPN接入,形成了五彩缤纷的VPN接入。
阿姆瑞特VPN设备使用IPSec协议来实现VPN的技术。
IPSEC是一个应用广泛,开放的VPN安全协议。
。
通过IPSec协议,阿姆瑞特VPN用提供以下安全服务:
接入控制,数据完整性,数据源认证,防重放,加密,防传输流分析。
阿姆瑞特VPN支持一系列加密算法如AES、DES、3DES、IDEA、Twofish、Blowfish、CAST-128等,支持X.509证书和共享密钥的认证方式,支持MD5和SHA等Hash算法。
下面介绍阿姆瑞特VPN的接入技术和安全技术。
2.1接入技术
2.1.1传输模式
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。
它所保护的数据包的通信终点也是IPsec终点。
当数据包从传输层递给网络层时,AH和ESP会进行"拦截",在IP头与上层协议头之间需插入一个IPsec头(AH头或ESP头)。
当对一个同时应用AH和ESP传输模式时,应先应用ESP,再应用AH,这样数据完整性可应用到ESP载荷。
因为传输模式不改变IP地址的头部,因此此种模式的VPN适用于合法IP地址之间的点对点通讯,适用范围比较窄。
2.1.2隧道模式
要能够使得企业网内一个局网的数据透明的穿过公用网到达另一个局网,虚拟专用网采用了一种称之为隧道的技术。
隧道技术的基本过程是在源局网与公用网的接口处将局网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的局网与公用网的接口处将公用网的数据解封装后,取出负载即源局网发送的数据在目的局网传输。
由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局网中的其他设备将不会觉察到这一过程。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
图2
隧道模式是通过IPIP技术实现的,IPIP协议是将一个IP包作为另一个IP的负载来处理。
举个简单的例子来说明IPIP协议的工作过程。
一个IP包源为A,A所在的局网与Internet的接口为B,目的地为远地的D,D所在的局网与Internet的接口为C,IP包要穿过Internet到达D,可在B作如下图的封装,数据包在Internet上可以按照路由到达C,在C处解封装去掉外
Media
外部目的C
外部源B
内部目的D
内部源A
用户数据
图3IPIP封装
部IP协议头,将内部IP包在局网上发送。
数据包将按照局网的路由到达D。
IPIP协议在具体的使用中要考虑如何建立外部IP协议头的内容,要考虑内部IP协议头中的某些内容如服务质量参数,是否要拷贝到外部协议头中。
实际上图的示意并不准确,在两个IP协议头之间可以插入其它的协议内容。
IPSec协议族在使用IPIP隧道时就可能插入另外两个协议头:
AH、ESP。
IPSec协议族建立隧道可能采用如下的方式:
外部IP
AH
内部IP
方式1
外部IP
ESP
内部IP
方式2
外部IP
AH
ESP
内部IP
方式3
图4IPIP在IPSec中的使用
2.2安全技术
由于VPN是在不安全的Internet中进行通信,而通信的内容可能涉及到企业的机密数据,因此其安全性就显得非常重要,必须采取一系列的安全机制来保证VPN的安全。
通常由加密、认证及密钥交换与管理组成了VPN的安全机制。
2.2.1认证技术
认证技术可以区分真实数据与伪造、被篡改过的数据。
这对于网络数据传输,特别是电子商务是极其重要的。
认证协议一般都要采用一种称为摘要的技术。
摘要技术主要是采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。
由于HASH函数的特性,使得要找到两个不同的报文具有相同的摘要是困难的。
该特性使得摘要技术在VPN中有两个用途:
Ø验证数据的完整性。
发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。
由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算,不知道秘密信息将很难伪造一个匹配的摘要,从而保证了接收方可以辨认出伪造或篡改过的报文。
Ø用户认证。
该功能实际上是上一种功能的延伸。
当一方希望验证对方,但又不希望验证秘密在网络上传送,这时一方可以发送一段随机报文,要求对方将秘密信息连接上该报文作摘要后发回,接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息,从而达到验证对方的目的。
常用的HASH函数有MD5,SHA-1等。
2.2.2加密技术简介
在VPN中为了保证重要的数据在公共网上传输时不被他人窃取,采用了加密机制。
IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。
在现代密码学中,加密算法被分为对称加密算法和非对称加密算法。
对称加密算法采用同一把密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。
使用不对称加密加密时,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥d,另一个则是对应的公用密钥e,任何人都可以获得公用密钥e。
专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。
由于不对称加密运算量大,一般用于加密对称加密算法中使用的密钥。
不对称加密还有一个重要用途即数字签名。
目前,常用的数据加密算法有:
对称加密算法:
♦国际数据加密算法(IDEA:
InternationalData EncryptionAlgorithm):
128位长密钥,把64位的明文块加密成64位的密文块。
♦DES和3DES加密算法(TheDataEncryptionStandard):
DES有64位长密钥,实际上只使用56位密钥。
♦AES:
Rijndial加密算法
不对称加密算法:
♦RSA
♦椭圆曲线制算法
第三章阿姆瑞特VPN的功能
阿姆瑞特VPN支持多种接入模式,可以在不同的网络环境非常方便、灵活的建立VPN隧道;同时具有强大的加密和认证功能,保证数据在Internet上传输的安全性。
3.1明密结合的VPN接入
阿姆瑞特VPN设备之间或者VPN设备与客户端设备之间在建立隧道的时候支持明密结合的隧道方式,也就是说:
设在不同地理位置的分公司与总公司职员通过VPN设备可以象在同一局域网内部进行相互访问,资源共享,方便用户使用,经过VPN设备对穿越Internet的数据进行加密,保证数据的机密性。
同时总部和分部都可以通过阿姆瑞特VPN设备做NAT访问Internet,保证了日常办公的正常进行,从而建立起明密结合VPN隧道,安全、便捷的进行网络应用和办公自动化的顺利、安全进行。
3.2星形拓扑连接
阿姆瑞特VPN除了支持点对点的连接以外,还支持星形拓扑的连接。
星形连接适用于多个分公司的接入,如果企业VPN进行点对点接入时,需要所有企业之间都必须相互建立隧道,假如这个集团有100个分公司,就需要建立每一个VPN设备支持100条隧道,而支持如此多的隧道的设备价格都比较高,这给企业的投资带来较大的问题。
如果利用星型拓扑可以轻松解决这个问题,星型拓扑接入时只需要每一个分公司与总部建立一条隧道,分公司之间的访问通过总部的VPN进行转发即可。
3.3动态IP的VPN接入
阿姆瑞特VPN支持动态IP的VPN接入,可以根据指定对方VPN设备的IP地址或者域名建立VPN隧道。
因此只需为动态IP地址申请一个免费的动态域名,阿姆瑞特VPN根据申请到的域名建立隧道,从而实现了动态IP地址的VPN接入。
3.4DHCPOVERIPSEC
许多网络通过DHCP的方式管理网络中的IP地址,从而有效的避免了网络中的IP地址冲突并且简化了IP地址的管理。
如果一个集团全部用这中方式进行IP地址的管理,就需要有多少个分公司配置多少台DHCP服务器。
阿姆瑞特VPN设备建立VPN隧道以后,只需要在总部设立一台VPN设备,通过DHCPOVERIPSEC的功能就可以通过总部的DHCP服务器为各个分公司分配动态的IP地址,节省了网络建设的投资。
3.5NAT穿越
IPSec封装协议封装后的数据包,如果经过NAT网关设备,封装包头的地址被替换,封装包的完整性就会遭到破坏,导致认证失败,VPN隧道无法建立。
所以如果VPN隧道之间有NAT网关设备存在,VPN隧道将无法建立。
阿姆瑞特VPN通过独特的IPSec代理技术,解决了这一技术难题,使VPN隧道可以在NAT环境中自由穿越因此可以经过NAT设备以后建立VPN隧道。
NAT穿越包括客户端的穿越和VPN设备之间的穿越。
3.6VPN接入的访问控制
阿姆瑞特VPN是和防火墙集成在一起,因此在VPN建立隧道以后可以通过防火墙对建立VPN隧道双方进行访问控制,可以根据VPN访问的源和目的地址、源和目的的端口、IP协议号、VLAN信息等进行控制,保证了VPN互连以后企业网络的安全性。
3.7VPN的带宽QOS保证
VPN隧道建立以后会和网络中的其他应用(例如:
企业用户从Internet下载东西、看网络电影等)共同占据企业的线路租用带宽,此时留给VPN的带宽就很有限了。
为了保证企业之间VPN访问的顺利进行,可以对VPN的带宽进行保证,从而保证企业之间可以顺利的互相访问。
3.8VPN内的QOS保证
许多用户建立VPN隧道以后通过VOIP设备可以实现企业之间免费打IP电话或者视频电话,同时进行企业之间数据的互相传输,实现了语音、图像、数据同时传输,而语音信息要求的时时性比较强,否则对方就听不清讲话的内容,而数据信息就不存在这样的问题,因此需要对语音信息作带宽保证。
阿姆瑞特防火墙具有CoS/QoS功能,使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。
阿姆瑞特防火墙通过定义管道的方式提供COS/QOS功能,并且管道没有数量的限制,可以基于IP、基于协议、基于接口、VLAN等信息进行带宽管理。
并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量。
总体来说,具有以下的特点:
Ø带宽限制
Ø带宽保证
Ø优先级控制
Ø动态流量均衡
3.9数据机密性保护
要想保护用户的信息在公用数据链路上传输的过程中不被泄漏出去,保证用户数据的机密性,必须对数据进行加密。
VPN设备之间以及VPN设备与VPN客户端软件支持AES、3DES、DES、Twofish等多种加密算法,通过加密保证数据的机密性。
3.10数据完整性保护
除了能够保证数据的机密性外,VPN设备之间还提供了IP数据包的完整性和认证机制。
完整性保证数据报不被无意的或恶意的方式被篡改,而认证则提供验证数据的来源(主机、用户、网络等)。
在实际的过程中,VPN设备通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务,一个消息文摘就是一个特定的单向数据函数。
它能够创建数据报的唯一的数字指纹。
阿姆瑞特VPN支持MD5和SHA两种HASH运算。
3.11保证数据的不可否认性
数据的不可否认性用来防止有人发送数据包后因某种原因反悔,否认自己曾发过此数据。
VPN设备通过在整个IP数据报中实施一个消息摘要后,用自己的私钥对摘要进行加密。
等到数据到达对方后,再用相应的公钥对摘要进行解密,然后再与重新对数据做的摘要进行对比。
两者相同,则可认定此数据包肯定是对方发出的。
因为加密的私钥只有相应的人员知道,所以通过此种方式可以保证数据的不可否认性。
3.12统一日志管理
日志对于防火墙或者VPN设备非常重用,通过日志可以对进行网络的数据进行审计,对网络入侵和破坏提供最有效、最直接的证据。
阿姆瑞特日志服务器可以将网络中所有VPN设备的日志统一管理,所有VPN设备可以将各自的日志自动的导入到服务器上,从而实现统一的管理
3.13VPN的集中管理
阿姆瑞特VPN的管理器可以对多台VPN设备进行统一的、集中的管理,方便用户在一台管理器上对多个VPN设备的远程管理。
并且可以定义全局的服务、对象名称,提供对所有VPN设备策略修改、上传、下载功能。
从而实现统一的集中管理。
第四章阿姆瑞特VPN应用
4.1VPN的点对点接入
点对点接入是VPN比较常见的一种接入模式,他适用于数量不多的企业之间进行互连。
企业之间通过VPN隧道的连接,建立一条可以穿越Internet的隧道,通过这条隧道可以实现以下功能(结合图形说明):
Ø北京用户与上海用户通过私有地址通讯,同时可以访问Internet;
Ø出差用户通过VPN客户端与北京总部或者上海分部通讯,同时可以访问Internet;
Ø北京用户可以通过VOIP设备与上海用户免费通话;
Ø北京用户与上海用户进行点对点连接,出差用户与北京、上海点对点连接。
4.2星型拓扑的VPN接入
阿姆瑞特VPN除了可以进行点对点接入外,还支持星型拓扑连接。
星型拓扑连接的好处是配置简单、同时可以节省隧道数量。
企业VPN进行点对点接入时,需要所有企业之间都必须相互建立隧道,例如:
某集团有1个总公司和4个分公司,这需要每个分公司之间相互建立隧道,也就是说:
每个分公司需要建立5条隧道。
假如这个集团有100个分公司,就需要建立100条隧道,这就要求VPN设备支持的隧道数量比较多,而支持如此多的隧道的设备价格都比较高,这给企业的投资带来较大的问题。
如果利用星型拓扑可以轻松解决这个问题,星型拓扑接入时只需要每一个分公司与总部建立一条隧道,分公司之间的访问通过总部的VPN进行转发即可。
通过星型拓扑接入建立隧道后可以实现以下功能(结合图形说明):
Ø北京总部与各个分部通过私有地址通讯,同时可以访问Internet;
Ø各个分公司之间通过VOIP设备免费通过;
Ø出差用户通过VPN客户端与北京总部,然后通过北京总部访问各分公司;
Ø出差用户与总部和分部通讯的同时可以访问Internet;
Ø星型拓扑适用于分公司(VPN隧道)较多的用户。
4.3动态IP地址接入
随着ADSL、城域网的发展,越来越多的用户通过这种方式接入到Internet,但是ADSL、城域网的IP地址大多数为动态的,也就是说:
每一次接入时的IP地址都不一样。
这给VPN建设提出了新的挑战,因为要建立VPN时候必须知道对方的IP地址才能建立VPN隧道,而ADSL接入的IP地址都是动态的,因此需要VPN设备支持动态IP的隧道建立。
阿姆瑞特VPN支持动态IP的VPN接入,可以根据指定对方VPN设备的IP地址或者域名建立VPN隧道。
因此只需为动态IP地址申请一个免费的动态域名,阿姆瑞特VPN根据申请到的域名建立隧道,从而实现了动态IP地址的VPN接入。
通过动态IP地址接入建立隧道后可以实现以下功能(结合图形说明):
ØVPN接入的双方或者多方IP地址都是动态变化的;
Ø各个分公司之间通过VOIP设备免费通过;
Ø北京用户与上海用户通过私有地址通讯,同时可以访问Internet
Ø出差用户通过VPN客户端与北京总部或者上海分部通讯,同时可以访问Internet
4.4NAT穿越的接入
阿姆瑞特VPN支持NAT穿越,因此可以经过NAT设备以后建立VPN隧道,包括客户端的穿越和VPN设备之间的穿越。
下图为一个集团用户的VPN接入拓扑图,该集团总部设在北京,在上海、深圳等多地设有二级单位和三级单位。
在一些单位中,已经使用了防火墙或者其他设备作了NAT地址转换,这时如果要建立VPN隧道必须要求VPN设备支持NAT穿越功能,否则无法建立隧道。
通过NAT穿越建立隧道后可以实现以下功能(结合图形说明):
ØVPN客户端和VPN设备设备经过NAT后与VPN网关建立隧道;
Ø各个分公司之间通过VOIP设备免费通过;
Ø上海用户通过VPN设备作NAT穿越后与北京的私有地址通讯,同时通过防火墙NAT转换可以访问Internet
升级会员 