第六章 虚拟专用网技术

第六章虚拟专用网技术（VPN）VPN概述VPN技术VPN的概念VPN是VirtualPrivateNetwork的缩写，是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。VPN概述V即Virtual，是针对传统的企业“专用网络”而言的。P即Private，表示VPN是被特定企业或用户私有的，并不是任何公共网络上的用户都能够使用已经建立的VPN通道，而是只有经过授权的用户才可以使用。N即Network，表示这是一种专门的组网技术和服务，企业为了建立和使用VPN必须购买和配备相应的网络设备。AccessVPN（远程访问VPN）IntranetVPN（企业内部VPN）ExtranetVPN（企业扩展VPN）VPN的类型降低成本VPN是利用了现有的Internet或其他公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，如DDN和PSTN，这样就节省了专门线路的租金。易于扩展如果采用专线连接，实施起来比较困难，在分部增多、内部网络结点越来越多时，网络结构趋于复杂，费用昂贵。如果采用VPN，只是在结点处架设VPN设备，就可以利用Internet建立安全连接，如果有新的内部网络想加入安全连接，只需添加一台VPN设备，改变相关配置即可。VPN的特点保证安全VPN技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不被未授权的实体改变、删除或替代。在现在的网络应用中，除了让外部合法用户通过VPN访问内部资源外，还需要内部用户方便地访问Internet，这样可将VPN设备和防火墙配合，在保证网络畅通的情况下，尽可能的保证访问安全。AccessVPNAccessVPN即所谓的移动VPN，适用于企业内部人员流动频繁或远程办公的情况，出差员工或者在家办公的员工利用当地ISP（InternetServiceProvider，Internet服务提供商）就可以和企业的VPN网关建立私有的隧道连接。AccessVPN对应于传统的远程访问内部网络。在传统方式中，在企业网络内部需要架设一个拨号服务器作为RAS（RemoteAccessServer），用户通过拨号到该RAS来访问企业内部网。这种方式需要购买专门的RAS设备，价格昂贵，用户只能进行拨号，也不能保证通信安全，而且对于远程用户可能要支付昂贵的长途拨号费用。AccessVPN通过拨入当地的ISP进入Internet再连接企业的VPN网关，在用户和VPN网关之间建立一个安全的“隧道”，通过该隧道安全地访问远程的内部网，这样既节省了通信费用，能保证安全性。AccessVPN的拨入方式包括拨号、ISDN、数字用户线路(xDSL)等，惟一的要求就是能够使用合法IP地址访问Internet，具体何种方式没有关系。通过这些灵活的拨入方式能够让移动用户、远程用户或分支机构安全地接入到内部网络。IntranetVPN如果要进行企业内部异地分支机构的互联，可以使用IntranetVPN方式，这是所谓的网关对网关VPN，它对应于传统的Intranet解决方案。IntranetVPN在异地两个网络的网关之间建立了一个加密的VPN隧道，两端的内部网络可以通过该VPN隧道安全地进行通信，就好像和本地网络通信一样。IntranetVPN利用公共网络（如Internet）的基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络相同的策略，包括安全、服务质量(QoS)、可管理性和可靠性。ExtranetVPN如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网，可以使用ExtranetVPN，它对应于传统的Extranet解决方案。ExtranetVPN其实也是一种网关对网关的VPN，与IntranetVPN不同的是，它需要在不同企业的内部网络之间组建，需要有不同协议和设备之间的配合和不同的安全配置。加密技术身份认证技术隧道技术密钥管理技术VPN技术加密技术VPN利用Internet的基础设施传输企业私有的信息，因此传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息，因此可以说密码技术是实现VPN的关键核心技术之一。VPN需要解决的首要问题就是网络上用户与设备的身份认证，如果没有一个万无一失的身份认证方案，不管其他安全设施有多严密，整个VPN的功能都将失效。从技术上说，身份认证基本上可以分为两类：非PKI体系和PKI体系的身份认证。非PKI体系的身份认证基本上采用的是UID+PASSWORD模式，举例如下：身份认证技术PAP（PasswordAuthenticationProtocol）口令认证协议；CHAP（ChallengeHandshakeAuthenticationProtocol）询问握手认证协议；EAP（ExtensibleAuthenticationProtocol）扩展身份认证协议；MSCHAP（MicrosoftChallengeHandshakeAuthenticationProtocol）微软询问握手认证协议；SPAP（ShivaPasswordAuthenticationProtocol）Shiva口令字认证协议；RADIUS（RemoteAuthenticationDialInUserService）远程认定拨号用户服务。PKI体系的身份认证的例子有电子商务中用到的SSL安全通信协议的身份认证、Kerberos等。目前常用的方法是依赖于CA（CertificateAuthority，数字证书签发中心）所签发的符合X.509规范的标准数字证书。通信双方交换数据前，需先确认彼此的身份，交换彼此的数字证书，双方将此证书进行比较，只有比较结果正确，双方才开始交换数据；否则，不能进行后续通信。隧道技术通过对数据进行封装，在公共网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。生成隧道的协议有两种：第二层隧道协议和第三层隧道协议。隧道技术（1）第二层隧道协议是在数据链路层进行的，先把各种网络协议封装到PPP包中，再把整个数据包装入隧道协议中，这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种：L2F（RFC2341，Layer2Forwarding）；PPTP（RFC2637，PointtoPointTunnelingProtocol）；L2TP（RFC2661，LayerTwoTunnelingProtocol）。（2）第三层隧道协议是在网络层进行的，把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有以下几种：IPSec(IPSecurity)，是目前最常用的VPN解决方案；GRE(RFC2784，GeneralRoutingEncapsulation)。