1、隔离技术 浅谈网络应用之 VPN 隔离技术随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。 网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从 事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上 来,看 VPN 技术无疑是一种不错的选择。下面就 VPN 技术的实现一 下粗浅的分析: 1 VPN 简介 虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网, 给用户一种直接连接到私人局域网感觉的服务”。VPN 极大地降低了 用户的费用,而且提供了比传统方法更强的安全性和可靠性。 VPN 可分为三大类:(1)企业各部门与远程分支之间的
2、 In-tranet VPN;(2)企业网与远程(移动)雇员之间的远程访问 (Re-mote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的 Extranet VPNo 在 ExtranetVPN 中,企业要与不同的客户及供应商建立联系,VPN 解决方案也会不同。因此,企业的 VPN 产品应该能够同其他厂家的 产品进行互操作。这就要求所选择的 VPN 方案应该是基于工业标准 和协议的。这些协议有 IPSec、点到点隧道协议 (PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议 (layer2 Tunneling Protocol,I,2T
3、P)等。 2 VPN 的实现技术VPN 实现的两个关键技术是隧道技术和加密技术,同时 QoS 技术 对 VPN 的实现也至关重要。 2.1 VPN 访问点模型 首先提供一个 VPN 访问点功能组成模型图作为参考。其中 IPSec 集成了 IP 层隧道技术和加密技术。 2.2 隧道技术 隧道技术简单的说就是:原始报文在 A 地进行封装,到达 B 地后把 封装去掉还原成原始报文, 这样就形成了一条由 A 到 B 的通信隧道。 目前实现隧道技术的有一般路由封装 (Generi-cRoutingEncapsulation, GRE )I,2TP 和 PPTPo (1)GRE GRE 主要用于源路由和终
4、路由之间所形成的隧道。例如,将通过 隧道的报文用一个新的报文头(GRE 报文头)进行封装然后带着隧道 终点地址放人隧道中。当报文到达隧道终点时,GRE 报文头被剥掉, 继续原始报文的目标地址进行寻址。GRE 隧道通常是点到点的,即 隧道只有一个源地址和一个终地址。 然而也有一些实现允许一点到多 点,即一个源地址对多个终地址。这时候就要和下一条路由协议 (Next-HopRoutingProtocol , NHRP)结合使用。NHRP 主要是为了在路 由之间建立捷径。 GRE 隧道用来建立 VPN 有很大的吸引力。 从体系结构的观点来看, VPN 就象是通过普通主机网络的隧道集合。普通主机网络的
5、每个点 都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在 GRE 隧道技术中人口地址用的是普通主机网络的地址空间, 而在隧道中流动的原始报文用的是 VPN 的地址空间,这样反过来就 要求隧道的终点应该配置成 VPN 与普通主机网络之间的交界点。这 种方法的好处是使 VPN 的路由信息从普通主机网络的路由信息中隔 离出来,多个 VPN 可以重复利用同一个地址空间而没有冲突,这使 得 VPN 从主机网络中独立出来。从而满足了 VPN 的关键要求:可以 不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少 实现 VPN 功能函数的数量。还有,对许多 VPN 所支持的体系结构来
6、 说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常 重要的。 路由过滤的主机网络不能提供这种服务, IP 而只有隧道技术 才能把 VPN 私有协议从主机网络中隔离开来。基于隧道技术的 VPN 实现的另一特点是对主机网络环境和 VPN 路由环境进行隔离。对 VPN 而言主机网络可看成点到点的电路集合,VPN 能够用其路由协 议穿过符合 VPN 管理要求的虚拟网。同样,主机网络用符合网络要 求的路由设计方案,而不必受 VPN 用户网络的路由协议限制。 虽然 GRE 隧道技术有很多优点, 但用其技术作为 VPN 机制也有缺 点,例如管理费用高、隧道的规模数量大等。因为 GRE 是由手工配
7、 置的, 所以配置和维护隧道所需的费用和隧道的数量是直接相关的 每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺 点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一 旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通 过一个好的粒度级别来识别通信类型。 如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务 性能。 GRE 隧道技术是用在路由器中的,可以满足 ExtranetVPN 以及 IntranetVPN 的需求。但是在远程访问 VPN 中,多数用户是采用拨号 上网。这时可以通过 L2TP 和 PPTP 来加以解决 (2)
8、L2TP 和 PPTP L2TP 是 L2F( Layer2Forwarding)和 PPTI的结合。但是由于 PC 机的桌面操作系统包含着 PPTP,因此 PPTI仍比较流行。隧道的 建立有两种方式即:“用户初始化”隧道和“NAS 初始 化”(NetworkAccess Server)隧道。 前者一般指“主动, 隧道, 后者指“强 制”隧道。 “主动”隧道是用户为某种特定目的的请求建立的, 而“强制” 隧道则是在没有任何来自用户的动作以及选择的情况下建立的。 L2TP 作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接 的重要机制。建立过程如下: a.用户通过 Modem 与 NAS
9、建立连接;b.用户通过 NAS 的 L2TP 接入 服务器身份认证;c.在政策配置文件或 NAS 与政策服务器进行协商的 基础上,NAS 和 L2TP 接入服务器动态地建立一条 L2TP 隧道;d.用户 与 L2TP 接入服务器之间建立一条点到点协议 (PointtoPointProtocol, PPP)访问服务隧道;e.用户通过该隧道获得 VPN 服务。 与之相反的是, PPTP 作为“主动”隧道模型允许终端系统进行配置, 与任意位置的 PPTP 服务器建立一条不连续的、 点到点的隧道。 并且, PPTP 协商和隧道建立过程都没有中间媒介 NAS 的参与。NAS 的作用只是提供网络服务。PP
10、TP 建立过程如下:a.用户通过串口以拨号 IP 访问的方式与 NAS 建立连接取得网络服务;b.用户通过路由信息定位 PPTP 接入服务器;c.用户形成一个 PPTP 虚拟接口;d.用户通过该接口 与 PPTP 接入服务器协商、 认证建立一条 PPP 访问服务隧道;e.用户通 过该隧道获得 VPN 服务。 在 L2TP 中,用户感觉不到 NAS 的存在,仿佛与 PPTP 接入服务器 直接建立连接。而在 PPTP 中,PPTP 隧道对 NAS 是透明的;NAS 不 需要知道 PPTP 接入服务器的存在,只是简单地把 PPTP 流量作为普 通 IP 流量处理。 采用 L2TP 还是 PPTP 实
11、现 VPN 取决于要把控制权放在 NAS 还是 用户手中。 TP 比 PPTP 更安全, 砚 因为砚 TP 接入服务器能够确定用 户从哪里来的。砚 TP 主要用于比较集中的、固定的 VPN 用户,而 PPTP 比较适合移动的用户。 2.3 加密技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护 的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用 于 Windows95 的 RC4、用于 IPSec 的 DES 和三次 DESo RC4 虽然强 度比较弱,但是保护免于非专业人士的攻击已经足够了;DES 和三次 DES 强度比较高,可用于敏感的商业信息。 加密技术可以在协议栈
12、的任意层进行;可以对数据或报文头进行加 密。在网络层中的加密标准是 IPSec。网络层加密实现的最安全方法 是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为 数据从终端系统到第一条路由时可能被截取而危及数据安全。 终端到 终端的加密方案中, VPN 安全粒度达到个人终端系统的标准;而“隧道 模式”方案,VPN 安全粒度只达到子网标准。在链路层中,目前还没 有统一的加密标准, 因此所有链路层加密方案基本上是生产厂家自己 设计的,需要特别的加密硬件。 2.4 QoS 技术 通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操 作性的 VPN。但是该 VPN 性能上不稳定,管理上不能满足企业的要 求,这就要加入 QoS 技术。实行 QoS 应该在主机网络中,即 VPN 所 建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。 基于公共网的 VPN 通过隧道技术、数据加密技术以及 QoS 机制,使 得 VPN 用户能够降低成本、提高效率、增强安全性,VPN 将是广大 用户的最终选择。
