一 引言
虚拟专用网(Virtual Private Network,VPN)是在公共网络基础设施上构建的一种安全的专用网络。它可以提供多样化的数据服务和快速、安全的网络环境,是企业网络在互联网上的延伸。
VPN将加密技术、认证技术、隧道协议进行无缝结合,集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。VPN结合了因特网和专用网的优点,同时弥补了两者的缺点。
二 什么是VPN
VPN是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。
所谓“虚拟(Virtual)”,说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在VPN中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用(Private)”,说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。
VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
三 VPN协议的分类
要建立远程连接,客户端和服务器必须使用相同的VPN协议。
3.1 PPTP隧道协议
点对点隧道协议(Point to Point Tunneling Protocol)是一种支持多协议虚拟专用网络的网络技术,它工作在第二层,由微软和其他远程接入设备供应商组成的PPTP论坛开发。
3.2 Layer Two Tunneling Protocol(L2TP)
L2TP是PPTP和第二层转发(L2F)的结合,具有这两个协议的优点,由IETF开发,现已成为IETF有关二层隧道协议的工业标准。
3.3 Internet Protocol Security(IPSec)
IPSec是IETF的开放标准框架,目标是确保网络层上的流量安全。
3.4 安全套接字层(SSL)
SSL(Secure Sockets Layer)是一种高层的安全协议,由Netscape开发。SSL是最常用的进行安全的Web浏览的协议,称为HTTPS。
3.5 多协议标签交换(MPLS)
MPLS的标签是一个基于分组交换技术,是从如Cisco的“标签切换”和IBM的“ARIS业务”等许多先前的技术发展而来的。
四 VPN分类
4.1 按接入方式划分
4.1.1 专线VPN
专线VPN是为已经通过专线接入ISP(Internet Service Provider)路由器的用户提供的VPN实现方案。这是一种“永远在线”的VPN,可以节省传统的长途专线费用。
4.1.2 拨号VPN
拨号VPN是为通过PSTN或ISDN拨号接入ISP的用户提供的VPN实现方案。这种VPN方式是目前最主要的VPN解决方案。
4.2 按隧道协议所属的层次划分
4.2.1 第二层隧道协议
第二层隧道建立在链路层,此协议先要把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有PPTP、L2F、L2TP等。
4.2.2 第三层隧道协议
第三层隧道协议即网络层隧道协议,此协议把各种网络协议直接装入隧道协议中,形成数据包来传输。现有的第三层隧道协议主要是:通用路由封装协议GRE、IP安全协议IPSec。
MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec;当然,还可根据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。
4.3 按VPN的发起主体不同来划分
这是客户和ISP(Internet Service Provider)最为关心的VPN分类。VPN业务可以是客户独立自主实现的,也可以是由ISP提供的。
(1)客户发起(也称基于客户的):VPN服务提供的其始点和终止点是面向客户的,其内部技术构成、实施和管理对VPN客户可见。需要客户和隧道服务器(或网关)方安装隧道软件。客户方的软件发起隧道,在公司隧道服务器处终止隧道。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份(ID)和口令的验证,客户方和隧道服务器极易建立隧道。双方也可以用加密的方式通信。隧道一经建立,用户就会感觉到ISP不再参与通信。
(2)服务器发起(也称客户透明方式或基于网络的):在公司中心部门或ISP处安装VPN软件,客户无须安装任何特殊软件,主要为ISP提供全面管理的VPN服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对VPN客户完全透明。
在上面介绍的隧道协议中,目前MPLS只能用于服务器发起的VPN方式。
4.4 按VPN的业务类型划分
按服务器类型划分,VPN业务可以大致分为三类:接入网VPN、企业内部网VPN、企业外部网VPN。
4.4.1 接入网VPN
是一种拨号方式的VPN,是企业员工或企业的小分支机构通过公网远程拨号的方式构筑的VPN网络。
4.4.2 企业内部网VPN
企业的总部与分支机构之间通过公网构筑的VPN网络。
4.4.3 企业外部网VPN
这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业问通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN(主要在安全策略上有所不同)。通常把企业内部网和企业外部网VPN都归为专线VPN。
4.5 按VPN的应用平台划分
VPN的应用平台分为:软件平台和专用硬件平台。
4.5.1 软件平台
当对数据传输速率要求不高,对性能和安全性需求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。
4.5.2 专用硬件平台
专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的有国外的Nortel、Cisco、3Com等,国内的华为、联想、深信服等。
4.6 按路由管理方式划分
按路由管理方式划分,VPN分为两种模式。
4.6.1 叠加模式(Overlay Model)
也译为“覆盖模式”。目前大多数VPN技术,如IPSec、GRE都基于叠加模式。采用叠加模式,各站点都有一个路由器通过点到点连接(IPSec、GRE等)到其他站点的路由器上,不妨将这个由点到点的连接以及相关的路由器组成的网络称为“虚拟骨干网”。叠加模式难以支持大规模的VPN,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其他所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。
4.6.2 对等模式(Peer Model)
对等模式是针对叠加模式固有的缺点推出的,它通过限制路由信息的传播来实现VPN。这种模式能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN。采用这种模式,相关的路由设备很复杂,但实际配置却非常简单,容易实现QoS服务,扩展也更加方便,因为新增一个站点,不需与其他站点建立连接,这对于网状结构的大型复杂网络非常有用。MPLS技术是当前主流的对等模式VPN技术。
五 VPN安全技术
目前VPN保证安全的主要技术是:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
5.1 隧道技术是VPN的基本技术
类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输,第二层隧道协议有L2F、PPTP、L2TP等,L2TP协议是目前IETF的标准,由IETF融合PPTP于L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
5.2 加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
5.3 密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种:
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用和私用。
5.4 身份认证技术
身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
六 各种企业的需求及VPN解决方案
不同规模的企业对远程传输数据信息的安全性要求不同,下面将按企业的规模来分析企业的需求和VPN解决方案。
6.1 小型企业
6.1.1 需求分析
小型企业对信息安全的需求是存在的,要求见效快,产品使用维护方便,但是企业所能投入信息化的资金有限,因此,用于信息安全方面的投资会有所限制。由于小型企业受到客观条件的制约,因此,远程数据通信需要选择价格便宜、简单易用、性能稳定和维护方便的产品及技术。
6.1.2 解决方案
基于现有的公网采用拨号VPN方式,使用软件平台。VPN服务提供商控制了整个VPN设施,最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。最大的不足就是用户对其控制权不足,存在一定的不安全因素。
6.2 中型企业
6.2.1 需求分析
中型企业对信息安全的需求是迫切的,要求VPN产品性能可靠稳定,使用简便,便于维护,且企业能投人一定的信息化资金,但是仍然无法承受巨额的专线建设资金投资,因此,用于信息安全方面的仍然会有一定的限制。
6.2.2 解决方案
中型企业对数据传输速率及安全性方面有一定要求,连接用户不多,可以采用的VPN解决方案:在总部与分部之间租用服务提供商的虚拟专线,客户不需要购买专门的隧道设备、软件,由VPN服务提供商提供设备来建立通道并验证。企业仍然可以通过加密数据实现端到端的全面安全性。
对于企业员工出差或者在家办公,则采用拨号VPN方式访问公司内部网,既允许远程拨号连接,又能防止未授权访问和数据被截获。对于远程VPN接人的方式可以根据用户采用的加密算法的强度、隧道流量等属性选择灵活的计费策略。
6.3 大型企业
大型企业规模较大,有多个分部或分公司,资金雄厚,企业员工众多,有很强的抵抗风险能力。大型企业为追求更大利润,稳定和扩大市场,保持和客户的关系,继续保持行业内的竞争力,并逐步涉足其他行业,在财务、客户、人力资源、产品产销等方面都需要信息化的管理,以减少企业的管理成本,提高企业运行与管理的效率,对企业信息化的需求非常迫切。
6.3.1 需求分析
大型企业要求VPN产品性能可靠稳定,安全性高,传输效率高,可管理,且企业能够进行专项资金的投人,有足够的技术人员对网络进行维护和管理。
6.3.2 解决方案
使用专用的硬件平台,购买成套昂贵的VPN设备和防火墙,配备专业技术人员,整个网络都是在加密的隧道中完成通信的,非常安全。这是最为彻底的VPN网络,在这种方案中企业具有完全的自主控制权。但是新建VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投资上是最多的。对于企业员工出差或者在家办公,同样可以采用拨号VPN方式访问公司内部网。
七 VPN在集成电路企业中的应用
随着集成电路产业在中国的逐渐成熟以及众多国际大企业的进入,中国的许多集成电路企业不断的壮大,企业信息化程度越来越广泛,工艺水平在不断提高,制造能力不断提升,工厂的数量也在不断增加。分支机构、远程用户、出差用户、商业合作机构等与企业总部的信息交流不断加强,这就需要VPN来提供强有力的支持。
迅速发展的广域网技术,为企业VPN应用提供了广阔的发展空间。VPN技术已逐渐成为企业网安全建设的必要选择。
八 结束语
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,VPN技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。各种企业可以灵活的选择适合的VPN方案,实现企业内部的OA系统、邮件系统、财务管理系统、ERP系统等,方便分支机构、企业出差员工的安全移动办公,能够加快企业的信息化进程,提高公司的管理水平,极大地提高企业的生产效率和增加企业的综合竞争力。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:企业VPN技术应用实施浅析