SSL-VPN 技术白皮书

RAP™SSL-VPNSERIES——技术白皮书内容概要虚拟私用网络（VPN）SSLVPN技术SSLVPN和IPSECVPN的比较产品概述总结1281317261RAP™SSL-VPNSERIES——技术白皮书概要企业信息化(包括政府信息化)是应用信息技术提升工作效率与管理水平的重要手段。当前信息化企业巨大的数据库和强大的应用，已经是企业竞争力的重要部分。企业的应用复杂多样，包括CRM、ERP、OA和各种行业应用系统。而企业网的外延也不断扩大，其用户不仅是企业内部的管理者和员工，也包括了企业外部的合作伙伴，甚至包括企业的客户，如供应链管理系统、人力资源外包、客户服务系统和企业电子商务系统。企业管理层最关注的问题之一就是，如何更有效率地使用这些投资巨大的信息系统，让商业流程永不中断？如何延伸企业网络的覆盖范围，使得企业的员工，合作伙伴和客户可以在任何时间、任何地点、使用任何设备访问企业信息资源和应用。如何保障在扩大自由度的情况下网络和信息的安全性？什么样的解决方案在实现上述要求的前提下成本是最合理的？尤其是系统管理维护的成本，信息化是以提升企业生产力为目的的，企业最终追求的是效益！SSLVPN解决方案是实现企业远程接入的最佳方法之一。不仅实现成本低，而且还可以确保用户随时随地通过任何接入设备（只要可以浏览互联网）接入企业信息网。SSLVPN是平衡访问自由度和安全性的出色解决方案，“无客户端软件”的技术使其易于使用和维护。HelmSystem公司自主研发生产的RAP™SSL-VPNSeries产品能够实现无需安装客户端软件，仅仅基于浏览器——无论是PC或者是手持式设备，便可以通过安全通道远程访问在防火墙保护之下的局域网内部各种经过细颗粒授权的应用资源；它具备多种身份认证方式，支持各种基于标准协议开发的第三方认证，同时具有良好的可扩展性和兼容性；它支持多种接入模式，用户可以根据业务需求灵活的选择和组合，以实现对企业内网各种基于B/S或C/S架构的应用系统的访问，甚至完全的网络接入；它适应各种复杂的用户应用环境；由于采用优化的算法实现，量身订作的软硬一体化系统平台，可以提供卓越的性能保障。RAP™SSL-VPNSeries经过国内外众多用户的实践检验，是政府、企事业单位建设外联网的强大、可靠、安全以及高性价比的解决方案！2RAP™SSL-VPNSERIES——技术白皮书虚拟私用网络（VPN）概念用户的需求正是虚拟专用网技术诞生的直接原因。越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其出差在外的员工、生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。解决的办法是什么？当然，到目前为止，咨询到结果都是相同的——VPN！现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。用户现在在电信部门租用的帧中继（FrameRelay）与ATM等数据网络提供固定虚拟线路（PVC-PermanentVirtualCircuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。3RAP™SSL-VPNSERIES——技术白皮书上能够自我管理的专用网络，而不是FrameRelay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。VPN技术VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，CPE-basedVPN主要包含四种技术来保证安全，分别为：隧道技术、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。信息加解密技术具有非常久远的历史，在需要秘密通信的地方都用得它。因为虚拟专用网络建筑在Internet公众数据网络上，为确保私有资料在传输过程中不被其他人浏览、窃取或篡改，所有的数据包在传输过程中均需加密，当数据包传送到专用数据网络后，再将数据包解密。加解密的作用是保证数据包在传输过程中即使被窃听，黑客只能看到一些封锁意义的乱码。如果黑客想看到数据包内的资料，他必须先破解用于加密该数据包的密钥（EncryptionKey）。随着加密技术与密钥长度的不同，破解密钥所需的设备与时间有显著不同。表2给出了密码学专家JalalFeghhi等人98年9月给出的DES加密密钥长度与抗攻击情况的分析报告。密钥长度（位）个人攻击小组攻击院、校网络攻击大公司军事情报机构40数周数日数小时数毫秒数微秒56数百年数十年数年数小时数秒钟64数千年数百年数十年数日数分钟80不可能不可能不可能数百年数百年128不可能不可能不可能不可能数千年表1：密钥位数与破解时间的关系（DES算法）密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。身份认证技术最常用的是使用者名称与密码或卡片式认证等静态密码认证方式，当然还有更安全的多因素身份认证方式，如证书方式、动态双因素身份认证方式（RSASecurID）。4RAP™SSL-VPNSERIES——技术白皮书隧道指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，即网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。网络隧道技术是个关键技术。隧道技术的基本过程是在源局域网与公网的接口处将数据（可以是ISO七层模型中的数据链路层或网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有3类：链路层隧道协议、网络层隧道协议IPSec以及会话层隧道协议SOCKSv5/SSL，它们在OSI七层模型中的位置如表所示。各协议工作在不同层次，所以各自具有不同的应用特点，分别适合于不同的网络环境和应用需求。表2：4种隧道协议在OSI七层模型中的位置1、链路层隧道（L2TP）协议链路层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。链路层隧道协议主要有以下三种：第一种是由微软、Ascend、3COM等公司支持的PPTP（PointtoPointTunnelingProtocol，点对点隧道协议），在WindowsNT4.0以上版本中即有支持；目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。第二种是Cisco、北方电信等公司支持的L2F（Layer2Forwarding，二层转发协议），在Cisco路由器中有支持。第三种由IETF起草，微软Ascend、Cisco、3COM等公司参与的L2TP（Layer2TunnelingProtocol，二层隧道协议）结合了上述两个协议的优点，L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。这里就主要介绍一下L2TP网络协议。5RAP™SSL-VPNSERIES——技术白皮书隧道协议是典型的被动式隧道协议，它结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。L2TP主要由LAC（L2TPAccessConcentrator）和LNS（L2TPNetworkServer）构成，LAC支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点，LNS终止所有的PPP流。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS（NetworkAccessServer），L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP还支持信道认证，并提供了差错和流量控制。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。2、网络层隧道协议（IPSecVPN）协议网络层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络层协议进行传输。网络层隧道协议并非是一种很新的技术，早已出现的RFC1701GenericRoutingEncapsulation（GRE）协议就是个网络层隧道协议。新出来的IETF的IP层加密标准协议IPSec协议也是个网络层隧道协议。IPSec（IPSecurity）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。它不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括网络安全协议AuthenticationHeader（AH）协议和EncapsulatingSecurityPayload（ESP）协议、密钥管理协议InternetKeyExchange（IKE）协议和用于网络验证及加密的一些算法等。下面就IPSec的认证与加密机制和协议分别做一些详细说明。（1）IPSec认证包头（AH）：它是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（识别主机、用户、网络等）。AH