隨著Internet和信息化技術(shù)的發(fā)展,企業(yè)和個(gè)人在Internet上的交易日益頻繁,隨之而來(lái)的安全問(wèn)題也日益突出。虛擬專用網(wǎng)就是利用不可靠的公用互聯(lián)網(wǎng)絡(luò)作為信息傳輸媒介,通過(guò)附加的安全隧道、用戶認(rèn)證和訪問(wèn)控制等技術(shù),實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能的一種專用網(wǎng)絡(luò)。

    近年來(lái)，寬帶接入的蓬勃發(fā)展帶動(dòng)了VPN在寬帶網(wǎng)絡(luò)平臺(tái)上的各種應(yīng)用飛速發(fā)展，反過(guò)來(lái)，VPN的應(yīng)用又促進(jìn)寬帶內(nèi)容的不斷豐富。

    在國(guó)外網(wǎng)絡(luò)通信發(fā)達(dá)的圍家，VPN應(yīng)用已經(jīng)非常普及。國(guó)外的VPN技術(shù)發(fā)展較快，基于標(biāo)準(zhǔn)的虛擬專用網(wǎng)技術(shù)近年來(lái)己成為網(wǎng)絡(luò)界的新熱點(diǎn)，這是因?yàn)樗�有著無(wú)可比擬的優(yōu)勢(shì)：通過(guò)整合幾種數(shù)據(jù)保護(hù)的方式，使用戶可以在開(kāi)放的Internet上輕松地交換私有數(shù)據(jù)，而無(wú)需高昂的專用網(wǎng)絡(luò)及設(shè)備。它帶來(lái)的好處不僅是成本的降低，更重要的是將服務(wù)質(zhì)量也帶給了用戶。

    我國(guó)的IP網(wǎng)絡(luò)安全研究起步晚、投入少、研究力量分散，與技術(shù)先進(jìn)國(guó)家有較大的差距，特別是在系統(tǒng)安全和安全協(xié)議方面。目前，國(guó)內(nèi)市場(chǎng)對(duì)信息安全的需求日益強(qiáng)烈，尤其是頗具規(guī)模的客戶對(duì)網(wǎng)絡(luò)安全的需求越來(lái)越緊迫，因此，需要加大力度，研發(fā)方便、安全和適合自己的VPN解決方案。近兩年來(lái)，一些大中型企業(yè)已建立VPN網(wǎng)絡(luò)，一些學(xué)校的校園網(wǎng)也正在嘗試使用VPN技術(shù)提供遠(yuǎn)程連接服務(wù)。一些高校和公司也正在研究VPN技術(shù)，開(kāi)發(fā)實(shí)用的VPN軟件產(chǎn)品，提高全方位的VPN技術(shù)服務(wù)。

1 VPN技術(shù)簡(jiǎn)介

    1．1 IPSec VPN IPSec是由IETF(因特網(wǎng)工程任務(wù)組)于1998年11月公布的開(kāi)放性IP安全標(biāo)準(zhǔn)，用于保護(hù)lP數(shù)據(jù)包或上層數(shù)據(jù)。IPSec在IP層上對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供訪問(wèn)控制、數(shù)據(jù)源驗(yàn)證、無(wú)連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限的通信流機(jī)密性等安全服務(wù)，具有較好的安全一致性、共享性及應(yīng)用范圍。這是因?yàn)�，口層可為上層協(xié)議無(wú)縫地提供安全保障，各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少了密鑰協(xié)商的開(kāi)銷，也降低了產(chǎn)生安全漏洞的可能性。

    1．1．1 IPSec VPN的優(yōu)點(diǎn)

    ①通用性好。IPSec是與應(yīng)用無(wú)關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議，并且IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，這使得客戶端至站點(diǎn)(client—to—site)、站點(diǎn)對(duì)站點(diǎn)(site—to—site)、客戶端至客戶端(client—to—client)連接所使用的技術(shù)是完全相同的。

    而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒(méi)有被篡改；

    ②整合性好。IPSec VPN網(wǎng)關(guān)整合了網(wǎng)絡(luò)防火墻的功能，還可與個(gè)人防火墻等其他安全功能一起銷售。因此，可保證配置、預(yù)防病毒，并進(jìn)行入侵檢測(cè)。并且IPSec可在多個(gè)防火墻和服務(wù)器之間提供安全性，確保運(yùn)行在TCP／IP協(xié)議上的VPN之間的互操作性：

    ③透明性。IPSec在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。當(dāng)在路由器或防火墻上安裝IPSec時(shí)，無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置，即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會(huì)受到影響。

    1．1．2 IPSec VPN的缺點(diǎn)

    ①IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序：

    ②IPSec VPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換的影響，或受網(wǎng)關(guān)代理設(shè)備的影響；

    ③IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置比較復(fù)雜。

    1．2 SSL VPN SSL協(xié)議的英文全稱是“Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”。SSL協(xié)議是網(wǎng)景公司設(shè)計(jì)的基于Web應(yīng)用的安全協(xié)議，它指定了在應(yīng)用程序協(xié)議(如HTTP，Telnet和FIP等)和TCP／IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP／IP連

    接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。作為應(yīng)用層之下的協(xié)議，SSL使用公開(kāi)密鑰體制和數(shù)宇證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不能保證信息的不可抵賴性。

    SSL VPN作為一種新的VPN技術(shù)，相對(duì)于傳統(tǒng)的IPSec VPN等有其自身的技術(shù)特點(diǎn)。

    1．2．1 SSL VPN的主要優(yōu)點(diǎn)：①客戶端支撐維護(hù)簡(jiǎn)單；②良好的安全性；③提供更細(xì)粒度的訪問(wèn)控制；④能夠穿越NAT和防火墻設(shè)備；⑤能夠較好地抵御外部系統(tǒng)和病毒攻擊；⑥網(wǎng)絡(luò)部署靈活方便i⑦適用大多數(shù)設(shè)備。

    1．2．2 SSLVPN的主要缺點(diǎn)：①安全認(rèn)證方式比較單一，只能夠使用證書方式，而且一般是單向認(rèn)證；②SSL VPN應(yīng)用受到限制。一般都用于B／S模式，用戶只能訪問(wèn)基于Web服務(wù)器的應(yīng)用：③SSL VPN是應(yīng)用層加密，性能相對(duì)來(lái)說(shuō)可能會(huì)受到較大影響。

    1．3 MPLS VPN MPLS(multiprotocollabelswitch）是Internet核心多層交換計(jì)算的最新發(fā)展。MPLS將轉(zhuǎn)發(fā)部分的標(biāo)記交換和控制部分的IP路由組合在一起，加快了轉(zhuǎn)發(fā)速度，而且，MPLS可以運(yùn)行在任何鏈接層技術(shù)之上。

    MPLS VPN網(wǎng)絡(luò)主要由CE(CustomEdgeRouter，用戶網(wǎng)絡(luò)邊緣路由器)、PE(Provider Edge Router，骨干網(wǎng)邊緣路由器)和P(Provider Router，骨干網(wǎng)核心路由器)等3部分組成：CE設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)相連，它“感知”不到VPN的存在；PE設(shè)備與用戶的CE直接相連，負(fù)責(zé)VPN業(yè)務(wù)接入，處理VPN—Ipv6路由，是MPLS三層VPN的主要實(shí)現(xiàn)者；P負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個(gè)MPLS VPN中，P、PE設(shè)備需要支持MPLS的基本功能，CE設(shè)備不必支持MPLS。

    MPLS VPN構(gòu)建在專用網(wǎng)絡(luò)上，能夠保證很好的服務(wù)質(zhì)量，而且價(jià)格與傳統(tǒng)專線在同一水平。IPSec／SSL VPN承載在公眾互聯(lián)網(wǎng)上，成本相對(duì)比較低，但服務(wù)質(zhì)量基本無(wú)法保證。服務(wù)供應(yīng)商當(dāng)然可以部署一種或者同時(shí)部署多種VPN架構(gòu)來(lái)支持其新型增值服務(wù)，但是，如果能夠把各類VPN融合起來(lái)更可以獲得優(yōu)勢(shì)互補(bǔ)所帶來(lái)的巨大利益。提供設(shè)計(jì)優(yōu)良、運(yùn)行正常和綜合性的VPN服務(wù)可以同時(shí)提升IPsec和MPLS的應(yīng)用層次。

    1．4內(nèi)部網(wǎng)VPN構(gòu)建方案,VPN系統(tǒng)的首要職責(zé)是保障安全，保障互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的基本機(jī)制包括：身份認(rèn)證、信息保密和信息完整。

    內(nèi)部網(wǎng)VPN的設(shè)計(jì)須遵循以下原則：①保障安全；②參保證多平臺(tái)兼容；③提供有效的訪問(wèn)控制；④有效的管理平臺(tái)。

    MPLS VPN主要解決的是固定站點(diǎn)間的互聯(lián)問(wèn)題，一般不借助Internet來(lái)實(shí)現(xiàn)，服務(wù)質(zhì)量和安全性的保障比較方便，適用于中大型客戶的組網(wǎng)：而IPSecVPN和SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠(yuǎn)程接入和互聯(lián)，雖然在技術(shù)上來(lái)說(shuō)，它們也可以部署在其它的網(wǎng)絡(luò)上(如專線)，但那樣就失去了其應(yīng)用的靈活性，它們更適用于商業(yè)客戶等對(duì)價(jià)格特別敏感的客戶。比較前面的幾種VPN技術(shù)，我們發(fā)現(xiàn)，作為SSL VPN產(chǎn)品的一個(gè)重要指標(biāo)就是要能夠作到在任何時(shí)間及任何地點(diǎn)進(jìn)行訪問(wèn)，使得移動(dòng)辦公用戶能夠隨時(shí)隨地地保持聯(lián)網(wǎng)以及保證安全的網(wǎng)絡(luò)連接。內(nèi)部網(wǎng)VPN系統(tǒng)為多種應(yīng)用服務(wù)提供保護(hù)，因此應(yīng)該提供一定的訪問(wèn)控制策略，讓不同的用戶有不同的訪問(wèn)權(quán)限。而SSL VPN較之于IPSec VPN的一個(gè)優(yōu)勢(shì)就在于，SSL VPN能夠提供更細(xì)粒度的訪問(wèn)控制管理，即針對(duì)具體應(yīng)用程序?qū)嵤┰L問(wèn)控制策略。SSL VPN服務(wù)器同時(shí)可以提供客戶方和服務(wù)器方友好而有效的管理配置界面，方便用戶的使用。

    雖然目前企業(yè)應(yīng)用最廣泛的是IPsec VPN，然而研究表明，在未來(lái)的幾年中IPSec的市場(chǎng)份額將下降，而SSL VPN將逐漸上升。由于技術(shù)進(jìn)步，用戶更愿將應(yīng)用外包給運(yùn)營(yíng)商來(lái)提供，或是自己選擇部署成本低且應(yīng)用方便的VPN。

    綜上所述，內(nèi)部網(wǎng)的構(gòu)建方案如下：

    ①對(duì)于那些需要較高認(rèn)證和私密性、而對(duì)服務(wù)質(zhì)量要求不高的數(shù)據(jù)流采用IPSec解決方案，而對(duì)網(wǎng)絡(luò)的帶寬和服務(wù)質(zhì)量(QoS)要求較高的需求則采用MPLS解決方案。

    ②對(duì)于內(nèi)部網(wǎng)絡(luò)中，安全要求較高的局域網(wǎng)選擇部署MPLSVPN來(lái)支持Sites to Sites間且具有Qos等級(jí)的VPN連接：而對(duì)于內(nèi)部網(wǎng)絡(luò)中涉密級(jí)別較低的可以選擇SSL這類部署簡(jiǎn)單、維護(hù)成本低、使用方便的VPN。

    ③對(duì)于語(yǔ)音業(yè)務(wù)，可以利用VoIP技術(shù)使企業(yè)利用IP VPN來(lái)傳送語(yǔ)音業(yè)務(wù)，允許語(yǔ)音傳送就像一種數(shù)據(jù)業(yè)務(wù)一樣通過(guò)IP網(wǎng)絡(luò)�；�于VPN路由器，通過(guò)使用服務(wù)類型宇段對(duì)語(yǔ)音和視頻流量作標(biāo)記，將其顯示為IPSec報(bào)頭的一部分發(fā)向網(wǎng)絡(luò)，使其享有更高的優(yōu)先級(jí)，這樣企業(yè)可利用IP電話建立起自己的遠(yuǎn)程家庭辦公網(wǎng)絡(luò)系統(tǒng)。VoIP VPN使企業(yè)不必為語(yǔ)音和數(shù)據(jù)分別建立網(wǎng)絡(luò)，大大節(jié)省了開(kāi)銷。

    ④為更好得實(shí)現(xiàn)與IPSec協(xié)議的兼容，可以采用基于VPN的安全多播技術(shù)。它由安全多播網(wǎng)關(guān)和安全多播主機(jī)組成，充分利用現(xiàn)有的基于IPsec協(xié)議的VPN系統(tǒng)的體系結(jié)構(gòu)，來(lái)實(shí)現(xiàn)多播數(shù)據(jù)的安全傳輸，實(shí)現(xiàn)簡(jiǎn)單，結(jié)構(gòu)靈活。

    基于VPN安全多播系統(tǒng)的安全多播網(wǎng)關(guān)中有一個(gè)網(wǎng)關(guān)充當(dāng)多播組的控制器，一個(gè)網(wǎng)關(guān)充當(dāng)多播組的備份控制器。組控制器對(duì)整個(gè)多播組的安全策略進(jìn)行管理，備份控制器在主控制器失效時(shí)充當(dāng)多播組的主控制器。多播報(bào)文在安全多播網(wǎng)關(guān)之間采用隧道進(jìn)行傳輸。在多播安全網(wǎng)關(guān)和多播安全主機(jī)之間采用多播傳輸。基于VPN的安全多播系統(tǒng)提高了多播數(shù)據(jù)傳輸時(shí)的安全性和可靠性。

2小結(jié)

    本文討論了IPSec VPN、SSL VPN以及MPLS VPN三者的優(yōu)缺點(diǎn)，并設(shè)計(jì)了一種內(nèi)部VPN網(wǎng)絡(luò)的構(gòu)建方案，既保證服務(wù)質(zhì)量，又提高了性價(jià)比。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于VPN技術(shù)的內(nèi)部網(wǎng)絡(luò)構(gòu)建

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083945350.html