VPN研究报告资料.docx
《VPN研究报告资料.docx》由会员分享,可在线阅读,更多相关《VPN研究报告资料.docx(12页珍藏版)》请在冰豆网上搜索。
VPN研究报告资料
VPN技术及其发展趋势
摘要
本文介绍了VPN的定义和研究以及其发展趋势,接着介绍了实现VPN的关键技术(包括隧道技术,加解密认证技术,密钥管理技术,访问控制技术)以及实现VPN的主要安全协议,PPTP/L2TP协议、IPSec协议,为VPN组网提供了理论指导。
最后通过构建中小企业的虚拟专用网,全面介绍了在Windowsserver2003ISA2004环境下站点到站点和站点到客户端的VPN的配置,为企业的VPN构建提供参考和借鉴。
关键词:
隧道,L2TP,PPTP,IPSec
Abstract
ThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.AndthenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols,PPTP/L2TPprotocol,IPSECprotocol,SOCKSv5protocol,AllthesetechnologiesprovidethetheoreticalbasesforbuildingaVPNnetwork.Finally,byconstructinganenterprisevirtualprivatenetwork,IintroducedtheconfigurationofsitetositeandsitetoclientVPNundertheWindowsserver2003ISA2004environment,itprovidesthereferentialguidelinetotheVPNconstructioninenterprises.
Keywords:
Tunnel,L2TP,PPTP,IPSec
1VPN.....................................................................................................................................4
1.1VPN的定义...................................................................................................................4
1.2VPN的工作原理...........................................................................................................4
1.3VPN的研究背景和意义...............................................................................................5
2VPN的应用领域和设计目标.............................................................................................6
2.1VPN的主要应用领域...................................................................................................6
2.2VPN的设计目标...........................................................................................................7
3实现VPN的关键技术和主要协议....................................................................................8
3.1实现VPN的关键技术..................................................................................................8
3.2VPN的主要安全协议...................................................................................................9
3.2.1PPTP/L2TP..............................................................................................................9
3.2.2IPSe协议...............................................................................................................10
4VPN发展的趋势...............................................................................................................11
4.1安全协议构筑VPN的首要特性.................................................................................11
4.2IPSecVPN方兴未艾...............................................................................................11
4.3MPLSVPN发展强劲.....................................................................................................12
4.4VPN管理有待加强........................................................................................................12
参考文献..................................................................................................................................13
1VPN
1.1VPN的定义
VPN(VirtualPrivateNetwork)被定义为通过一个公共网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公共网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接,并保证数据的安全传输。
通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络的设计和管理,加速连接新的用户和网站。
可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
1.2VPN的工作原理
把因特网用作专用广域网,就要克服两个主要障碍。
首先,网络经常使用多种协议如IPX和NetBEUI进行通信,但因特网只能处理IP流量。
所以,VPN就需要提供一种方法,将非IP的协议从一个网络传送到另一个网络。
数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输,如图1-1所示:
图1-1VPN工作原理图
源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进行通信。
两者就加密方案达成一致,然后隧道发起器对包进行加密,确保安全(为了加强安全,应采用验证过程,以确保连接用户拥有进入目标网络的相应的权限。
大多数现有的VPN产品支持多种验证方式)。
最后,VPN发起器将整个加密包封装成IP包。
现在不管原先传输的是何种协议,它都能在纯IP因特网上传输。
又因为包进行了加密,所以谁也无法读取原始数据。
在目标网络这头,VPN隧道终结器收到包后去掉IP信息,然后根据达成一致的加密方案对包进行解密,将随后获得的包发给远程接入服务器或本地路由器,他们在把隐藏的IPX包发到网络,最终发往相应目的地。
1.3VPN的研究背景和意义
随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:
传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。
于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
虽然VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于每个公司。
即使不需要使用加密数据,也可节省开支。
因此,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋。
2VPN的应用领域和设计目标
2.1VPN的主要应用领域
利用VPN技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。
归纳起来,有以下几种主要应用领域。
(1)远程访问
远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。
推而广之,远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。
这种应用类型也叫AccessVPN(或访问型VPN),这是基本的VPN应用类型。
不难证明,其他类型的VPN都是AccessVPN的组合、延伸和扩展。
(2)组建内联网
一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间(即连接边界处)时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。
利用VPN组建的内联网也叫IntranetVPN。
IntranetVPN是解决内联网结构安全和连接安全、传输安全的主要方法。
(3)组建外联网
使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来,根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。
这样组建的外联网也叫ExtranetVPN。
ExtranetVPN是解决外联网结构安全和连接安全、传输安全的主要方法。
若外联网VPN的连接和传输中使用了加密技术,必须解决其中的密码分发、管理的一致性问题。
2.2VPN的设计目标
在实际应用中,一般来说一个高效、成功的VPN应具备以下几个特点:
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)
VPN网络应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
从用户角度和运营商的角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3实现VPN的关键技术和主要协议
3.1实现VPN的关键技术
(1)隧道技术
隧道技术(Tunneling)是VPN的底层支撑技术,所谓隧道,实际上是一种封装,就是将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用网络的透明性。
这里协议X被称为被封装协议,协议Y被称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般形式为((协议Y)隧道头(协议X))。
在公用网络(一般指因特网)上传输过程中,只有VPN端口或网关的IP地址暴露在外边。
隧道是由隧道协议形成的。
隧道协议分为第二、第三层隧道协议,第二层隧道协议如L2TP、PPTP、L2F等,他们工作在OSI体系结构的第二层(即数据链路层);第三层隧道协议如IPSec,GRE等,工作在OSI体系结构的第三层(即网络层)。
第二层隧道和第三层隧道的本质区别在于:
用户的IP数据包被封装在不同的数据包中在隧道中传输。
(2)加解密认证技术
加解密技术是VPN的另一核心技术。
为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之前进行加密,在接受方再对其进行解密。
目前主要有的认证方式有:
简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等;动态口令如动态令牌和X.509数字证书等。
简单口令认证方式的优点是实施简单、技术成熟、互操作性好,且支持动态地加载VPN设备,可扩展性强。
(3)密钥管理技术
密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥,而不被窃取。
目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。
Internet密钥交换协议IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。
IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。
IKE协议是目前首选的密钥管理标准,较SKIP而言,其主要优势在于定义更灵活,能适应不同的加密密钥。
IKE协议的缺点是它虽然提供了强大的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。
(4)访问控制技术
虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。
由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源的最大限度的保护。
访问控制策略可以细分为选择性访问控制和强制性访问控制。
选择性访问控制是基于主体或主体所在组的身份,一般被内置于许多操作系统当中。
强制性访问控制是基于被访问信息的敏感性。
3.2VPN的主要安全协议
在实施信息安全的过程中,为了给通过非信任网络的私有数据提供安全保护,通讯的双方首先进行身份认证,这中间要经过大量的协商,在此基础上,发送方将数据加密后发出,接受端先对数据进行完整性检查,然后解密,使用。
这要求双方事先确定要使用的加密和完整性检查算法。
由此可见,整个过程必须在双方共同遵守的规范(协议)下进行。
VPN区别于一般网络互联的关键是隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以保证安全性。
一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP,L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec。
另外,SOCKSv5协议则在TCP层实现数据安全。
3.2.1 PPTP/L2TP
PPTP/L2TP协议的优点:
PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软己把它作为路由软件的一部分。
PPTP/L2TP支持其它网络协议。
如NOWELL的IPX,NETBEUI和APPLETALK协议,还支持流量控制。
它通过减少丢弃包来改善网络性能,这样可减少重传。
PPTP/L2TP协议的缺点:
PM和L2TP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题,它不对两个节点间的信息传输进行监视或控制。
PPTP和L2TP限制同时最多只能连接255个用户,端点用户需要在连接前手工建立加密信道,认证和加密受到限制,没有强加密和认证支持。
PPTP/L2TP最适合于远程访问VPN.
3.2.2 IPSec协议
IPSec是IETF(InternetEngineerTaskForce)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。
通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
IPSec由IP认证头AH(AuthenticationHeader)、IP安全载荷封载ESP(EncapsulatedSecurityPayload)和密钥管理协议组成。
IPSec协议可以设置成在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中,这样保护从一个防火墙到另一个防火墙时的安全性。
在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。
预计它今后将成为虚拟专用网的主要标准。
IPSec有扩展能力以适应未来商业的需要。
在1997年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)协议,其中还包括一个密钥分配协议Oakley。
ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。
IPSec也可用于连接其它层己存在的通信协议,即使不用SET或SSL,IPSec都能提供认证和加密手段以保证信息的传输。
4VPN的发展趋势
纵观VPN技术的发展,我们可以看到,安全与服务质量是VPN的技术保障,企业用户的需求推动IPSecVPN的广泛应用,运营商则大力建设MPLSVPN,使得未来中国的VPN技术发展更加具多样性、灵活性,技术服务与需求趋向紧密结合。
4.1安全协议构筑VPN的首要特性
随着因特网的快速发展,近几年不断出现了一些新的网络协议,包括点对点隧道协议(PPTP)、第2层隧道协议(L2TP)、安全IP(IPSec)协议等。
其中PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送;L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,帧中继或ATM;IPSec协议允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
4.2IPSecVPN方兴未艾
IPSecVPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。
IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。
IPSEC支持对数据加密,同时确保数据的完整性。
按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(sourceauthentication),确保数据的完整性;IPSec使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。
在IPSec协议下,只有发送方和接受方知道秘密密钥。
如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。
目前防火墙产品中集成的VPN多为使用IPSec协议,在中国其发展处于蓬勃状态。
4.3MPLSVPN发展强劲
MPLSVPN是一种基于MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足灵活的业务需求。
MPLSVPN运行在IP+ATM或者IP环境下,对应用完全透明;服务激活只需要一次性地在用户边(CE)和服务供应商边(PE)设备进行配置准备就可以让站点成为某个MPLSVPN组的成员;VPN成员资格由服务供应商决定;对VPN组未经过认证的访问被设备配置所拒绝。
MPLSVPN的安全性通过对不同用户间、用户与公网间的路由信息进行隔离实现的。
MPLSVPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要。
中国电信和中国网通在各自的宽带互联网上推出了基于多协议标记交换(MPLS)技术的IP-VPN业务,使得MPLSVPN的发展势头愈加强劲。
4.4VPN管理有待加强
企业在选择VPN技术时,一定要考虑到管理上的要求。
一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中(目录服务)便于管理人员和应用程序对信息进行添加,修改和查询。
每一台接入或隧道服务器都应当能够维护自己的内部数据库,存储每一名用