VPN(Virtual Private Network，虛擬專(zhuān)用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)絡(luò)連接成的邏輯上的虛擬子網(wǎng)，它采用數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、隧道技術(shù)和密鑰管理技術(shù)等關(guān)鍵技術(shù)實(shí)施通信保護(hù)，防止通信信息被泄露、篡改和復(fù)制。

　　當(dāng)前，隨著VPN技術(shù)的日趨成熟，已經(jīng)有越來(lái)越多的企業(yè)和機(jī)構(gòu)采用VPN技術(shù)來(lái)構(gòu)建自己的虛擬專(zhuān)用網(wǎng)絡(luò)以達(dá)到靈活擴(kuò)展自身內(nèi)部網(wǎng)絡(luò)、連接跨區(qū)域分支網(wǎng)絡(luò)等目的。與傳統(tǒng)的物理專(zhuān)用網(wǎng)絡(luò)相比，VPN具有組網(wǎng)成本低、通信安全、管理方便、擴(kuò)展性強(qiáng)、可靠的服務(wù)質(zhì)量(QoS)等特點(diǎn)。

　　按照實(shí)現(xiàn)技術(shù)的不同，VPN可分為PPTP(Point-to-Point Tunneling Protocol)，L2TP(Layer 2 Tunneling Protocol)，MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與SSL(Secure Sockets Layer)等幾種。其中，基于MPLS技術(shù)的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應(yīng)用最為廣泛的三種VPN解決方案。

　　下面分別對(duì)這三種技術(shù)進(jìn)行比較與分析。

1 IPSec VPN與MPLS VPN及SSL VPN的工作原理

　　1.1 IPSec VPN

　　IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范，它提供私有信息通過(guò)公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認(rèn)證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟(SA)及加密和驗(yàn)證算法等。IPSec是在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)加密和驗(yàn)證，提供端到端的網(wǎng)絡(luò)安全方案，可以提供訪問(wèn)控制、數(shù)據(jù)源的驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證，數(shù)據(jù)內(nèi)容的機(jī)密性、抗重防保護(hù)以及有限的數(shù)據(jù)流機(jī)密性保證等服務(wù)。

　　IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、防止重播攻擊、信息加密與流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層，并保護(hù)上層的協(xié)議。這些服務(wù)通過(guò)使用兩個(gè)安全協(xié)議：認(rèn)證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]，以及通過(guò)使用加密密鑰管理過(guò)程和協(xié)議來(lái)實(shí)現(xiàn)。

　　IPSec VPN是一項(xiàng)成熟的技術(shù)，目前有許多基于硬件的解決方案來(lái)保障它的高性能，是遠(yuǎn)程辦公室點(diǎn)對(duì)點(diǎn)互聯(lián)的優(yōu)選方案。

　　1.2 MPLS VPN

　　MPLS(Multi-Protocol Label Switching，多協(xié)議標(biāo)簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)，介于第二層和第三層之間的交換技術(shù)，所以它既可以兼容多種鏈路層技術(shù)，又能支持多種網(wǎng)絡(luò)層的協(xié)議，實(shí)現(xiàn)了邊緣的路由和核心的交換。

　　MPLS VPN是一種基于MPLS技術(shù)的VPN，在網(wǎng)絡(luò)路由與交換設(shè)備上使用MPLS技術(shù)，應(yīng)用標(biāo)簽交換，通過(guò)LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來(lái)，并結(jié)合傳統(tǒng)的路由技術(shù)。適用于多點(diǎn)到多點(diǎn)的連接。MPLS作為骨干網(wǎng)絡(luò)的一種路由轉(zhuǎn)發(fā)的新模式，必須由LSR(Label Switch Router，標(biāo)簽交換路由器)構(gòu)建，普通路由器無(wú)法完成。如果網(wǎng)絡(luò)規(guī)模比較大。則可能需要較多的LSR。

　　1.3 SSL VPN

　　SSL(Secure Socket Layer，安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議，它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議，處于應(yīng)用層。SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如HTTP、Telnet，SMTP和FTP等)與TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議，記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)與服務(wù)器間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。盡管SSL協(xié)議并非為實(shí)現(xiàn)VPN而設(shè)計(jì)，但SSL對(duì)VPN實(shí)現(xiàn)所需的數(shù)據(jù)加密、身份認(rèn)證與密鑰管理等關(guān)鍵技術(shù)提供了良好的支持。

　　SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)與TCP層之間的，能夠提供安全的遠(yuǎn)程接入。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能，通過(guò)瀏覽器連回公司內(nèi)部的SSLVPN服務(wù)器，然后通過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，令客戶可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。SSLVPN采用標(biāo)準(zhǔn)的安全套接層(SSL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。通過(guò)SSL VPN可以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架。

2 IPSec VPN，MPLS VPN與SSL VPN的比較及分析

　　2.1 安全性比較與分析
　　
　　IPSec VPN采用了對(duì)稱(chēng)式(Symmetric)與非對(duì)稱(chēng)式(Asymmetric)的加密算法以及摘要算法等。通過(guò)身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等多種方式保證了接入的安全性、數(shù)據(jù)的私密性，其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來(lái)抗攻擊與標(biāo)記欺騙，但它并沒(méi)有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問(wèn)受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部攻擊等安全問(wèn)題。MPLS本身并未提供加密與驗(yàn)證的安全功能，它可以集成IPSec協(xié)議以提供安全保護(hù)。因而其安全性一般。SSL VPN與IPSec VPN一樣，也采用了對(duì)稱(chēng)式與非對(duì)稱(chēng)式的加密算法執(zhí)行加密作業(yè)，其安全通道是端到端的，通信端口少。因而降低了受外部黑客攻擊的可能性，并且受客戶端病毒感染的可能性也很小，故其安全性較高。

　　2.2 認(rèn)證方式與管理的比較及分析

　　IPSec采用了因特網(wǎng)密鑰變換(Internet Key Exchange)方式，使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認(rèn)證。對(duì)于IPSec VPN，由于一個(gè)新用戶節(jié)點(diǎn)的增加，刪除或修改均需要重新設(shè)置現(xiàn)有的所有節(jié)點(diǎn)，并在客戶端安裝復(fù)雜的軟件及配置。另外，IPSec VPN對(duì)客戶端采用的操作系統(tǒng)也具有較高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，其易管理性差。SSL僅能使用數(shù)字憑證，若都采用數(shù)字憑證來(lái)認(rèn)證，SSL與IPSec在認(rèn)證的安全等級(jí)上則沒(méi)有太大的差別。大多數(shù)廠商對(duì)SSL的認(rèn)證均會(huì)建置硬件令牌(Token)以提升認(rèn)證的安全性。在實(shí)際作業(yè)時(shí)，大多數(shù)人均在整個(gè)網(wǎng)段(Subset)上進(jìn)行開(kāi)發(fā)以避免太多的設(shè)定所帶來(lái)的麻煩。SSL可以設(shè)定不同的使用者以執(zhí)行不同的應(yīng)用系統(tǒng)，另外瀏覽器中也內(nèi)置了SSL協(xié)議，客戶端不需要安裝軟件，不需要配置。因而，SSL在管理和設(shè)定上比IPSec簡(jiǎn)單方便得多，便于管理。對(duì)于MPLS VPN，由于在同一VPN的成員之間不需要建立與維護(hù)連接，若有新成員加入，ISP僅需要告知用戶端的設(shè)備如何與網(wǎng)絡(luò)連接，并配置PE來(lái)識(shí)別來(lái)自CE的VPN成員，BGP便會(huì)自動(dòng)更新相關(guān)配置，用戶不需要手動(dòng)升級(jí)或改變自己的邊緣設(shè)備。MPLS VPN并不需要客戶端管理軟件，因而易于管理。

　　2.3 成本的比較

　　MPLS VPN對(duì)于用戶而言，其一次性投入的成本較低，但長(zhǎng)期投入的資金比較高。對(duì)于IPSec VPN，在實(shí)施IPSec方案時(shí)不僅需要人工發(fā)放認(rèn)證的材料，用戶還需要知道所使用的加密和認(rèn)證算法，內(nèi)網(wǎng)路由配置等諸多繁瑣事宜，還需要預(yù)裝客戶端軟件等。這些不便在大規(guī)模實(shí)施過(guò)程中給用戶帶來(lái)了難以負(fù)擔(dān)的工作量和費(fèi)用，其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件，因?yàn)闉g覽器內(nèi)置了SSL協(xié)議，其投入的成本最少。

3 結(jié)語(yǔ)

　　通過(guò)上述比較分析可看出，三種VPN技術(shù)各具特色，互有長(zhǎng)短。IPSec VPN與SSL VPN這兩種VPN架構(gòu)，從整體的安全等級(jí)來(lái)看，它們均能提供安全的遠(yuǎn)程登入存取聯(lián)機(jī)。但SSL VPN在其易用性及安全層級(jí)上，均比IPSec VPN高。由于Internet的快速擴(kuò)展，針對(duì)遠(yuǎn)程安全登入的需求也日益增加。因此，在實(shí)際選擇VPN時(shí)，應(yīng)根據(jù)實(shí)際需求，可以某種VPN技術(shù)為主，結(jié)合其他技術(shù)，充分發(fā)揮它們各自的優(yōu)勢(shì)，讓VPN網(wǎng)絡(luò)為企業(yè)和員工提供更好的服務(wù)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：主流VPN技術(shù)的比較與分析

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112153970.html