VPN(Virtual Private Network,虛擬專(zhuān)用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)絡(luò)連接成的邏輯上的虛擬子網(wǎng),它采用數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、隧道技術(shù)和密鑰管理技術(shù)等關(guān)鍵技術(shù)實(shí)施通信保護(hù),防止通信信息被泄露、篡改和復(fù)制。
當(dāng)前,隨著VPN技術(shù)的日趨成熟,已經(jīng)有越來(lái)越多的企業(yè)和機(jī)構(gòu)采用VPN技術(shù)來(lái)構(gòu)建自己的虛擬專(zhuān)用網(wǎng)絡(luò)以達(dá)到靈活擴(kuò)展自身內(nèi)部網(wǎng)絡(luò)、連接跨區(qū)域分支網(wǎng)絡(luò)等目的。與傳統(tǒng)的物理專(zhuān)用網(wǎng)絡(luò)相比,VPN具有組網(wǎng)成本低、通信安全、管理方便、擴(kuò)展性強(qiáng)、可靠的服務(wù)質(zhì)量(QoS)等特點(diǎn)。
按照實(shí)現(xiàn)技術(shù)的不同,VPN可分為PPTP(Point-to-Point Tunneling Protocol),L2TP(Layer 2 Tunneling Protocol),MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術(shù)的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應(yīng)用最為廣泛的三種VPN解決方案。
下面分別對(duì)這三種技術(shù)進(jìn)行比較與分析。
1 IPSec VPN與MPLS VPN及SSL VPN的工作原理
1.1 IPSec VPN
IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過(guò)公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認(rèn)證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟(SA)及加密和驗(yàn)證算法等。IPSec是在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)加密和驗(yàn)證,提供端到端的網(wǎng)絡(luò)安全方案,可以提供訪問(wèn)控制、數(shù)據(jù)源的驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證,數(shù)據(jù)內(nèi)容的機(jī)密性、抗重防保護(hù)以及有限的數(shù)據(jù)流機(jī)密性保證等服務(wù)。
IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、防止重播攻擊、信息加密與流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層,并保護(hù)上層的協(xié)議。這些服務(wù)通過(guò)使用兩個(gè)安全協(xié)議:認(rèn)證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過(guò)使用加密密鑰管理過(guò)程和協(xié)議來(lái)實(shí)現(xiàn)。
IPSec VPN是一項(xiàng)成熟的技術(shù),目前有許多基于硬件的解決方案來(lái)保障它的高性能,是遠(yuǎn)程辦公室點(diǎn)對(duì)點(diǎn)互聯(lián)的優(yōu)選方案。
1.2 MPLS VPN
MPLS(Multi-Protocol Label Switching,多協(xié)議標(biāo)簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn),介于第二層和第三層之間的交換技術(shù),所以它既可以兼容多種鏈路層技術(shù),又能支持多種網(wǎng)絡(luò)層的協(xié)議,實(shí)現(xiàn)了邊緣的路由和核心的交換。
MPLS VPN是一種基于MPLS技術(shù)的VPN,在網(wǎng)絡(luò)路由與交換設(shè)備上使用MPLS技術(shù),應(yīng)用標(biāo)簽交換,通過(guò)LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來(lái),并結(jié)合傳統(tǒng)的路由技術(shù)。適用于多點(diǎn)到多點(diǎn)的連接。MPLS作為骨干網(wǎng)絡(luò)的一種路由轉(zhuǎn)發(fā)的新模式,必須由LSR(Label Switch Router,標(biāo)簽交換路由器)構(gòu)建,普通路由器無(wú)法完成。如果網(wǎng)絡(luò)規(guī)模比較大。則可能需要較多的LSR。
1.3 SSL VPN
SSL(Secure Socket Layer,安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議,它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議,處于應(yīng)用層。SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如HTTP、Telnet,SMTP和FTP等)與TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制,為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議,記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)與服務(wù)器間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。盡管SSL協(xié)議并非為實(shí)現(xiàn)VPN而設(shè)計(jì),但SSL對(duì)VPN實(shí)現(xiàn)所需的數(shù)據(jù)加密、身份認(rèn)證與密鑰管理等關(guān)鍵技術(shù)提供了良好的支持。
SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)與TCP層之間的,能夠提供安全的遠(yuǎn)程接入。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能,通過(guò)瀏覽器連回公司內(nèi)部的SSLVPN服務(wù)器,然后通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,令客戶可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。SSLVPN采用標(biāo)準(zhǔn)的安全套接層(SSL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。通過(guò)SSL VPN可以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架。
2 IPSec VPN,MPLS VPN與SSL VPN的比較及分析
2.1 安全性比較與分析
IPSec VPN采用了對(duì)稱(chēng)式(Symmetric)與非對(duì)稱(chēng)式(Asymmetric)的加密算法以及摘要算法等。通過(guò)身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等多種方式保證了接入的安全性、數(shù)據(jù)的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來(lái)抗攻擊與標(biāo)記欺騙,但它并沒(méi)有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問(wèn)受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部攻擊等安全問(wèn)題。MPLS本身并未提供加密與驗(yàn)證的安全功能,它可以集成IPSec協(xié)議以提供安全保護(hù)。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對(duì)稱(chēng)式與非對(duì)稱(chēng)式的加密算法執(zhí)行加密作業(yè),其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。
2.2 認(rèn)證方式與管理的比較及分析
IPSec采用了因特網(wǎng)密鑰變換(Internet Key Exchange)方式,使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認(rèn)證。對(duì)于IPSec VPN,由于一個(gè)新用戶節(jié)點(diǎn)的增加,刪除或修改均需要重新設(shè)置現(xiàn)有的所有節(jié)點(diǎn),并在客戶端安裝復(fù)雜的軟件及配置。另外,IPSec VPN對(duì)客戶端采用的操作系統(tǒng)也具有較高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,其易管理性差。SSL僅能使用數(shù)字憑證,若都采用數(shù)字憑證來(lái)認(rèn)證,SSL與IPSec在認(rèn)證的安全等級(jí)上則沒(méi)有太大的差別。大多數(shù)廠商對(duì)SSL的認(rèn)證均會(huì)建置硬件令牌(Token)以提升認(rèn)證的安全性。在實(shí)際作業(yè)時(shí),大多數(shù)人均在整個(gè)網(wǎng)段(Subset)上進(jìn)行開(kāi)發(fā)以避免太多的設(shè)定所帶來(lái)的麻煩。SSL可以設(shè)定不同的使用者以執(zhí)行不同的應(yīng)用系統(tǒng),另外瀏覽器中也內(nèi)置了SSL協(xié)議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設(shè)定上比IPSec簡(jiǎn)單方便得多,便于管理。對(duì)于MPLS VPN,由于在同一VPN的成員之間不需要建立與維護(hù)連接,若有新成員加入,ISP僅需要告知用戶端的設(shè)備如何與網(wǎng)絡(luò)連接,并配置PE來(lái)識(shí)別來(lái)自CE的VPN成員,BGP便會(huì)自動(dòng)更新相關(guān)配置,用戶不需要手動(dòng)升級(jí)或改變自己的邊緣設(shè)備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。
2.3 成本的比較
MPLS VPN對(duì)于用戶而言,其一次性投入的成本較低,但長(zhǎng)期投入的資金比較高。對(duì)于IPSec VPN,在實(shí)施IPSec方案時(shí)不僅需要人工發(fā)放認(rèn)證的材料,用戶還需要知道所使用的加密和認(rèn)證算法,內(nèi)網(wǎng)路由配置等諸多繁瑣事宜,還需要預(yù)裝客戶端軟件等。這些不便在大規(guī)模實(shí)施過(guò)程中給用戶帶來(lái)了難以負(fù)擔(dān)的工作量和費(fèi)用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因?yàn)闉g覽器內(nèi)置了SSL協(xié)議,其投入的成本最少。
3 結(jié)語(yǔ)
通過(guò)上述比較分析可看出,三種VPN技術(shù)各具特色,互有長(zhǎng)短。IPSec VPN與SSL VPN這兩種VPN架構(gòu),從整體的安全等級(jí)來(lái)看,它們均能提供安全的遠(yuǎn)程登入存取聯(lián)機(jī)。但SSL VPN在其易用性及安全層級(jí)上,均比IPSec VPN高。由于Internet的快速擴(kuò)展,針對(duì)遠(yuǎn)程安全登入的需求也日益增加。因此,在實(shí)際選擇VPN時(shí),應(yīng)根據(jù)實(shí)際需求,可以某種VPN技術(shù)為主,結(jié)合其他技術(shù),充分發(fā)揮它們各自的優(yōu)勢(shì),讓VPN網(wǎng)絡(luò)為企業(yè)和員工提供更好的服務(wù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:主流VPN技術(shù)的比較與分析
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/1112153970.html