PPTP-PointtoPointTunnelProtocal 点对点隧道协议
这是一个最流行的Internet协议,它提供PPTP客户机与PPTP服务器之间的加密通信,它允许公司使用专用的“隧道”,通过公共Internet来扩展公司的网络。通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。这就是说,通过PPTP的封装或“隧道”服务,使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行,PPTP是Microsoft和其它厂家支持的标准,它是PPTP协议的扩展,它可以通过Internet建立多协议VPN。 L2TP-Layer2TunnelingProtocol
第二层隧道协议
除Microsft外,另有一些厂家也做了许多开发工作,PPTP能支持Macintosh和Unix,Cisco的L2F(Layer2Forwarding)就是又一个隧道协议。Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合,产生一个新的L2TP协议。PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都允许客户通过其间的网络建立隧道,L2TP正在由包括Microsoft在内的几家厂商开发。L2TP还支持信道认证,但它没有规定信道保护的方法。
转自:奈微建站网(www.nev.cn)
IPSEC—InternetPortocolSecurity 因特网协议安全性
该协议正在IETF(因特网工程任务组)的指导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点,这个标准开发完成最快也要在一年以后。Microsoft承诺支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集,它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务,以及如何将IPSEC和L2FP一起使用,但它并未试图将端对端的安全性标准化。
SOCKs
SOCKs是一个网络连接的代理协议,它使SOCKs一端的主机完全访问SOCKs;而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权,并建立代理连接和传送数据。SOCKs通常用作网络防火墙,它使SOCKs后面的主机能通过Internet取得完全的访问权,而避免了通过Internet对内部主机进行未授权访问。目前,有SOCKsV4和SOCKsV5二个版本,SOCKsV5可以处理UDP,而SOCKsV4则不能。通过高速DSL建立VPN 数字用户线路(DSL)服务正作为一种替代建立虚拟专用网(VPN)的T1线路和帧中继的技术展现在人们面前,并且显示出诱人的前景。例如,运行在一条双绞线上的对称DSL(SDSL)可以提供与T1线路相同的带宽,而价格只有后者的一半。在没有DSL之前,网络专业人员只能通过使用IP隧道的Internet、电信公司的租用线路或帧中继服务来建立VPN。现在,有一种新的技术选择成为了争论的中心,即DSL上的ATM。ADSL论坛发表的技术报告TR002定义了非对称DSL和ATM的互连。由于ATM对服务质量(QoS)的支持,它向用户提供的安全性以及ATM通过单一DSL线路支持并行会话的功能,ADSL论坛已经选择ATM作为用于ADSL的第二层协议。DSL上的ATM使用户可以利用低成本接入技术建立安全、高性能的VPN。ATM支持丰富的QoS特性集和通过DSL提交高质量VPN所需的扩展传输流管理功能。像峰值信元率、可维持信元率、最小信元率和信元时延变化容错等用户可定义参数使用户可以为利用基于DSL的VPN传输的每个应用定义服务质量,这就保证了优质的应用性能。ADSL服务网络架构组论坛目前正在就用于DSL网络的端到端第二层架构的两个选项进行讨论:这两个选项是用于IP与ATM的本机提交的包模式和一般IP提交。仍在开发QoS功能(如IETF建议的差别服务)的IP目前看起来不能成为实现QoS的可行选择。尽管IP可以执行某些基于类型的QoS(它可以将多个传输流映射到某些服务类中),但IP不支持用于像语音和视频这类特殊应用的可定制、用户可定义的QoS。在使用IP时,用户不能修改服务类型(CoS)来适应应用独特的性能特征。ATM为连接到VPN上每个位置的多条虚拟电路提供QoS的能力,保证了利用同时传输数据流的DSL链路传输时延敏感的应用(如语音和视频)。配置有DSL接口的集成访问设备(IAD)可以将语音和数据传输流多路复用到ATM虚拟电路中,通过一条DSL线路进行传输。要保证一条DSL本地环路上的多条虚拟电路的QoS就要求中心交换局DSL访问系统和IAD支持持续比特率(CBR)和可变比特率(VBR)ATM服务类型。尽管多数DSL调制解调器支持这些服务类型,但是,中心交换局中的许多DSL接入多路复用器只支持不定比特率(UBR)服务类型。URB连接只接受非承诺服务,缺少控制传输特性(信元丢弃)的QoS保证。如果没有可供传输UBR信元的带宽的话,信元将被丢弃。在建立DSLVPN之前,用户必须证实他们的DSL服务提供商是否支持DSL本地环路上的多虚拟电路,是否支持多服务类型:CBR、VBR以及UBR。在可以使用多服务类型的情况下,语音虚拟电路可以被配置为CBR或VBR实时连接,这两类连接具有有限的信元丢弃和时延,从而保证了语音质量。数据虚拟电路可以根据服务水平的要求被设置为CBR、VBR或UBR连接,并可以与语音呼叫共享同一条DSL线路。由于传输语音呼叫的虚拟电路被分配给更高的带宽优先级,因此,同一条线路上的数据连接不会影响语音质量。网络专业人员可以利用ATM上的PPP对在家办公者提供服务。IETF建议RFC2364描述了如何利用ATM适配层Layer5传输PPP封装包。ATM上的PPP正成为通过DSL实现远程接入的最常见的服务,并且正作为衡量厂商互操作性的标准。全面认识VPN(一)在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。对国内的用户来说,VPN(虚拟专用网,VirtualPrivateNetwork)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。认识VPN现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。用户现在在电信部门租用的帧中继(FrameRelay)与ATM等数据网络提供固定虚拟线路(PVC-PermanentVirtualCircuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。越来越多的用户认识到,随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。用户的需求正是虚拟专用网技术诞生的直接原因。用户需要的VPN
VPN的特点在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.服务质量保证(QoS)VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
二.自建还是外包由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基本目标:在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。
1.大型企业自建VPN大型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在其总部和分支机构中,将各个机构低成本且安全地连接在一起。企业建立自己的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。虽然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。
2.中小型企业外包VPN虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包VPN是较好的选择。*外包VPN比企业自己动手建立VPN要快得多,也更为容易。*外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。*企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。*对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。
三.VPN安全技术由于传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。转自:奈微建站网(www.nev.cn)
4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。四.堵住安全漏洞安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:*所有远程工作人员必须被批准使用VPN;*所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;*所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;*监控安装在远端系统中的软件,并将其限制只能在工作中使用;*IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;*外出工作人员应对敏感文件进行加密;*安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;*当选择DSL供应商时,应选择能够提供安全防护功能的供应商。