一 引言
虛擬專用網(Virtual Private Network,VPN)是在公共網絡基礎設施上構建的一種安全的專用網絡。它可以提供多樣化的數據服務和快速、安全的網絡環境,是企業網絡在互聯網上的延伸。
VPN將加密技術、認證技術、隧道協議進行無縫結合,集靈活性、安全性、經濟性以及擴展性于一身,可充分滿足分支機構、移動辦公安全通信的需求。VPN結合了因特網和專用網的優點,同時彌補了兩者的缺點。
二 什么是VPN
VPN是在公用網絡上建立專用網絡的技術,即通過對網絡數據的封包和加密傳輸,在公用網絡上傳輸私有數據,形成一種邏輯上的專用網絡。它向用戶提供一般專用網絡所具有的功能,但本身卻不是一個獨立的物理網絡。
所謂“虛擬(Virtual)”,說明它是一種仿真物理連接的邏輯網絡連接,沒有固定的物理連接,利用的是公共網絡資源。在VPN中,任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路,而是利用公用網絡資源(如Internet、ATM網絡、幀中繼網絡等)動態組成的。所謂“專用(Private)”,說明它在功能上等同于傳統的專用網絡,具有與內部網絡相同的安全性、易管理性和穩定性,可被當作專用網絡使用。
VPN至少應能提供如下功能:加密數據,以保證通過公網傳輸的信息即使被他人截獲也不會泄露;信息認證和身份認證,保證信息的完整性、合法性,并能鑒別用戶的身份;提供訪問控制,不同的用戶有不同的訪問權限。
三 VPN協議的分類
要建立遠程連接,客戶端和服務器必須使用相同的VPN協議。
3.1 PPTP隧道協議
點對點隧道協議(Point to Point Tunneling Protocol)是一種支持多協議虛擬專用網絡的網絡技術,它工作在第二層,由微軟和其他遠程接入設備供應商組成的PPTP論壇開發。
3.2 Layer Two Tunneling Protocol(L2TP)
L2TP是PPTP和第二層轉發(L2F)的結合,具有這兩個協議的優點,由IETF開發,現已成為IETF有關二層隧道協議的工業標準。
3.3 Internet Protocol Security(IPSec)
IPSec是IETF的開放標準框架,目標是確保網絡層上的流量安全。
3.4 安全套接字層(SSL)
SSL(Secure Sockets Layer)是一種高層的安全協議,由Netscape開發。SSL是最常用的進行安全的Web瀏覽的協議,稱為HTTPS。
3.5 多協議標簽交換(MPLS)
MPLS的標簽是一個基于分組交換技術,是從如Cisco的“標簽切換”和IBM的“ARIS業務”等許多先前的技術發展而來的。
四 VPN分類
4.1 按接入方式劃分
4.1.1 專線VPN
專線VPN是為已經通過專線接入ISP(Internet Service Provider)路由器的用戶提供的VPN實現方案。這是一種“永遠在線”的VPN,可以節省傳統的長途專線費用。
4.1.2 撥號VPN
撥號VPN是為通過PSTN或ISDN撥號接入ISP的用戶提供的VPN實現方案。這種VPN方式是目前最主要的VPN解決方案。
4.2 按隧道協議所屬的層次劃分
4.2.1 第二層隧道協議
第二層隧道建立在鏈路層,此協議先要把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中,這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有PPTP、L2F、L2TP等。
4.2.2 第三層隧道協議
第三層隧道協議即網絡層隧道協議,此協議把各種網絡協議直接裝入隧道協議中,形成數據包來傳輸。現有的第三層隧道協議主要是:通用路由封裝協議GRE、IP安全協議IPSec。
MPLS跨越第2層和第3層。VPN的實現往往將第2層和第3層協議配合使用,如L2TP/IPSec;當然,還可根據具體的協議來進一步劃分VPN類型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。
4.3 按VPN的發起主體不同來劃分
這是客戶和ISP(Internet Service Provider)最為關心的VPN分類。VPN業務可以是客戶獨立自主實現的,也可以是由ISP提供的。
(1)客戶發起(也稱基于客戶的):VPN服務提供的其始點和終止點是面向客戶的,其內部技術構成、實施和管理對VPN客戶可見。需要客戶和隧道服務器(或網關)方安裝隧道軟件。客戶方的軟件發起隧道,在公司隧道服務器處終止隧道。此時ISP不需要做支持建立隧道的任何工作。經過對用戶身份(ID)和口令的驗證,客戶方和隧道服務器極易建立隧道。雙方也可以用加密的方式通信。隧道一經建立,用戶就會感覺到ISP不再參與通信。
(2)服務器發起(也稱客戶透明方式或基于網絡的):在公司中心部門或ISP處安裝VPN軟件,客戶無須安裝任何特殊軟件,主要為ISP提供全面管理的VPN服務,服務提供的起始點和終止點是ISP的POP,其內部構成、實施和管理對VPN客戶完全透明。
在上面介紹的隧道協議中,目前MPLS只能用于服務器發起的VPN方式。
4.4 按VPN的業務類型劃分
按服務器類型劃分,VPN業務可以大致分為三類:接入網VPN、企業內部網VPN、企業外部網VPN。
4.4.1 接入網VPN
是一種撥號方式的VPN,是企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的VPN網絡。
4.4.2 企業內部網VPN
企業的總部與分支機構之間通過公網構筑的VPN網絡。
4.4.3 企業外部網VPN
這是企業在發生收購、兼并或企業間建立戰略聯盟后,使不同企業問通過公網來構筑的虛擬網。這是一種網絡到網絡以不對等的方式連接起來所組成的VPN(主要在安全策略上有所不同)。通常把企業內部網和企業外部網VPN都歸為專線VPN。
4.5 按VPN的應用平臺劃分
VPN的應用平臺分為:軟件平臺和專用硬件平臺。
4.5.1 軟件平臺
當對數據傳輸速率要求不高,對性能和安全性需求不強時,可以利用一些軟件公司所提供的完全基于軟件的VPN產品來實現簡單的VPN功能。
4.5.2 專用硬件平臺
專用硬件平臺的VPN設備可以滿足企業和個人用戶對高數據安全及通信性能的需求,尤其是加密及數據亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬件廠商比較多,比較有名的有國外的Nortel、Cisco、3Com等,國內的華為、聯想、深信服等。
4.6 按路由管理方式劃分
按路由管理方式劃分,VPN分為兩種模式。
4.6.1 疊加模式(Overlay Model)
也譯為“覆蓋模式”。目前大多數VPN技術,如IPSec、GRE都基于疊加模式。采用疊加模式,各站點都有一個路由器通過點到點連接(IPSec、GRE等)到其他站點的路由器上,不妨將這個由點到點的連接以及相關的路由器組成的網絡稱為“虛擬骨干網”。疊加模式難以支持大規模的VPN,可擴展性差。如果一個VPN用戶有許多站點,而且站點間需要全交叉網狀連接,則一個站點上的骨干路由器必須與其他所有站點建立點對點的路由關系。站點數的增加受到單個路由器處理能力的限制。另外,增加新站點時,網絡配置變化也會很大,網狀連接上的每一個站點都必須對路由器重新配置。
4.6.2 對等模式(Peer Model)
對等模式是針對疊加模式固有的缺點推出的,它通過限制路由信息的傳播來實現VPN。這種模式能夠支持大規模的VPN業務,如一個VPN服務提供商可支持成百上千個VPN。采用這種模式,相關的路由設備很復雜,但實際配置卻非常簡單,容易實現QoS服務,擴展也更加方便,因為新增一個站點,不需與其他站點建立連接,這對于網狀結構的大型復雜網絡非常有用。MPLS技術是當前主流的對等模式VPN技術。
五 VPN安全技術
目前VPN保證安全的主要技術是:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術(KeyManagement)、使用者與設備身份認證技術(Authentication)。
5.1 隧道技術是VPN的基本技術
類似于點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝人隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸,第二層隧道協議有L2F、PPTP、L2TP等,L2TP協議是目前IETF的標準,由IETF融合PPTP于L2F而形成。
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
5.2 加解密技術
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。
5.3 密鑰管理技術
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種:
SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用和私用。
5.4 身份認證技術
身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
六 各種企業的需求及VPN解決方案
不同規模的企業對遠程傳輸數據信息的安全性要求不同,下面將按企業的規模來分析企業的需求和VPN解決方案。
6.1 小型企業
6.1.1 需求分析
小型企業對信息安全的需求是存在的,要求見效快,產品使用維護方便,但是企業所能投入信息化的資金有限,因此,用于信息安全方面的投資會有所限制。由于小型企業受到客觀條件的制約,因此,遠程數據通信需要選擇價格便宜、簡單易用、性能穩定和維護方便的產品及技術。
6.1.2 解決方案
基于現有的公網采用撥號VPN方式,使用軟件平臺。VPN服務提供商控制了整個VPN設施,最大優點是他們不需要做任何實現VPN的工作,客戶不需要增加任何設備或軟件投資,整個網絡都由VPN服務提供商維護。最大的不足就是用戶對其控制權不足,存在一定的不安全因素。
6.2 中型企業
6.2.1 需求分析
中型企業對信息安全的需求是迫切的,要求VPN產品性能可靠穩定,使用簡便,便于維護,且企業能投人一定的信息化資金,但是仍然無法承受巨額的專線建設資金投資,因此,用于信息安全方面的仍然會有一定的限制。
6.2.2 解決方案
中型企業對數據傳輸速率及安全性方面有一定要求,連接用戶不多,可以采用的VPN解決方案:在總部與分部之間租用服務提供商的虛擬專線,客戶不需要購買專門的隧道設備、軟件,由VPN服務提供商提供設備來建立通道并驗證。企業仍然可以通過加密數據實現端到端的全面安全性。
對于企業員工出差或者在家辦公,則采用撥號VPN方式訪問公司內部網,既允許遠程撥號連接,又能防止未授權訪問和數據被截獲。對于遠程VPN接人的方式可以根據用戶采用的加密算法的強度、隧道流量等屬性選擇靈活的計費策略。
6.3 大型企業
大型企業規模較大,有多個分部或分公司,資金雄厚,企業員工眾多,有很強的抵抗風險能力。大型企業為追求更大利潤,穩定和擴大市場,保持和客戶的關系,繼續保持行業內的競爭力,并逐步涉足其他行業,在財務、客戶、人力資源、產品產銷等方面都需要信息化的管理,以減少企業的管理成本,提高企業運行與管理的效率,對企業信息化的需求非常迫切。
6.3.1 需求分析
大型企業要求VPN產品性能可靠穩定,安全性高,傳輸效率高,可管理,且企業能夠進行專項資金的投人,有足夠的技術人員對網絡進行維護和管理。
6.3.2 解決方案
使用專用的硬件平臺,購買成套昂貴的VPN設備和防火墻,配備專業技術人員,整個網絡都是在加密的隧道中完成通信的,非常安全。這是最為徹底的VPN網絡,在這種方案中企業具有完全的自主控制權。但是新建VPN網絡需要企業自身具備足夠的資金和人才實力,這種模式在總體投資上是最多的。對于企業員工出差或者在家辦公,同樣可以采用撥號VPN方式訪問公司內部網。
七 VPN在集成電路企業中的應用
隨著集成電路產業在中國的逐漸成熟以及眾多國際大企業的進入,中國的許多集成電路企業不斷的壯大,企業信息化程度越來越廣泛,工藝水平在不斷提高,制造能力不斷提升,工廠的數量也在不斷增加。分支機構、遠程用戶、出差用戶、商業合作機構等與企業總部的信息交流不斷加強,這就需要VPN來提供強有力的支持。
迅速發展的廣域網技術,為企業VPN應用提供了廣闊的發展空間。VPN技術已逐漸成為企業網安全建設的必要選擇。
八 結束語
現代化企業在信息處理方面廣泛地應用了計算機互聯網絡,在企業網絡遠程訪問以及企業電子商務環境中,VPN技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡,從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務,是企業內部網的擴展和延伸。VPN技術在企業資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值,在未來的企業信息化建設中具有廣闊的前景。各種企業可以靈活的選擇適合的VPN方案,實現企業內部的OA系統、郵件系統、財務管理系統、ERP系統等,方便分支機構、企業出差員工的安全移動辦公,能夠加快企業的信息化進程,提高公司的管理水平,極大地提高企業的生產效率和增加企業的綜合競爭力。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業VPN技術應用實施淺析
相關文章
