VPN研究報告資料

VPN技術(shù)及其發(fā)展趨勢摘要本文介紹了VPN的定義和研究以及其發(fā)展趨勢，接著介紹了實現(xiàn)VPN的關(guān)鍵技術(shù)（包括隧道技術(shù),加解密認證技術(shù)，密鑰管理技術(shù)，訪問控制技術(shù)）以及實現(xiàn)VPN的主要安全協(xié)議，PPTP/L2TP協(xié)議、IPSec協(xié)議，為VPN組網(wǎng)提供了理論指導(dǎo)。最后通過構(gòu)建中小企業(yè)的虛擬專用網(wǎng)，全面介紹了在Windowsserver2003ISA2004環(huán)境下站點到站點和站點到客戶端的VPN的配置，為企業(yè)的VPN構(gòu)建提供參考和借鑒。關(guān)鍵詞：隧道，L2TP，PPTP，IPSecAbstractThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.AndthenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols,PPTP/L2TPprotocol,IPSECprotocol,SOCKSv5protocol,AllthesetechnologiesprovidethetheoreticalbasesforbuildingaVPNnetwork.Finally,byconstructinganenterprisevirtualprivatenetwork,IintroducedtheconfigurationofsitetositeandsitetoclientVPNundertheWindowsserver2003ISA2004environment,itprovidesthereferentialguidelinetotheVPNconstructioninenterprises.Keywords:Tunnel,L2TP,PPTP,IPSec目錄TOC\o"1-3"\u1 VPN.....................................................................................................................................41.1VPN的定義...................................................................................................................41.2VPN的工作原理...........................................................................................................41.3VPN的研究背景和意義...............................................................................................52 VPN的應(yīng)用領(lǐng)域和設(shè)計目標.............................................................................................62.1VPN的主要應(yīng)用領(lǐng)域...................................................................................................62.2VPN的設(shè)計目標...........................................................................................................73 實現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議....................................................................................83.1實現(xiàn)VPN的關(guān)鍵技術(shù)..................................................................................................83.2VPN的主要安全協(xié)議...................................................................................................93.2.1PPTP/L2TP..............................................................................................................93.2.2IPSe協(xié)議...............................................................................................................104 VPN發(fā)展的趨勢...............................................................................................................114.1安全協(xié)議構(gòu)筑VPN的首要特性.................................................................................114.2IPSecVPN方興未艾...............................................................................................114.3MPLSVPN發(fā)展強勁.....................................................................................................124.4VPN管理有待加強........................................................................................................12參考文獻..................................................................................................................................13VPN1.1VPN的定義VPN（VirtualPrivateNetwork）被定義為通過一個公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度的減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站?？捎糜趯崿F(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。1.2VPN的工作原理把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個主要障礙。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP的協(xié)議從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸，如圖1-1所示：圖1-1VPN工作原理圖源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標網(wǎng)絡(luò)上的VPN隧道發(fā)起器進行通信。兩者就加密方案達成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保連接用戶擁有進入目標網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多種驗證方式）。最后，VPN發(fā)起器將整個加密包封裝成IP包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純IP因特網(wǎng)上傳輸。又因為包進行了加密，所以誰也無法讀取原始數(shù)據(jù)。在目標網(wǎng)絡(luò)這頭，VPN隧道終結(jié)器收到包后去掉IP信息，然后根據(jù)達成一致的加密方案對包進行解密，將隨后獲得的包發(fā)給遠程接入服務(wù)器或本地路由器，他們在把隱藏的IPX包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。1.3VPN的研究背景和意義隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。雖然VPN在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下VPN的各種實現(xiàn)方法都可以應(yīng)用于每個公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在未來幾年里，客戶和廠商很可能會使用VPN，從而使電子商務(wù)重又獲得生機，畢竟全球化、信息化、電子化是大勢所趨。VPN的應(yīng)用領(lǐng)域和設(shè)計目標2.1VPN的主要應(yīng)用領(lǐng)域利用VPN技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進行通信的虛擬專用網(wǎng)絡(luò)連接的問題。歸納起來，有以下幾種主要應(yīng)用領(lǐng)域。（1）遠程訪問遠程移動用戶通過VPN技術(shù)可以在任何時間、任何地點采用撥號、ISDN、DSL、移動IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信，實現(xiàn)訪問連接，此時的遠程用戶終端設(shè)備上必須加裝相應(yīng)的VPN軟件。推而廣之，遠程用戶可與任何一臺主機或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實現(xiàn)遠程VPN訪問。這種應(yīng)用類型也叫AccessVPN(或訪問型VPN)，這是基本的VPN應(yīng)用類型。不難證明，其他類型的VPN都是AccessVPN的組合、延伸和擴展。（2）組建內(nèi)聯(lián)網(wǎng)一個組織機構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當其將公司所有權(quán)的VPN設(shè)備配置在各個公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫IntranetVPN。IntranetVPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。（3）組建外聯(lián)網(wǎng)使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡(luò)資源與外部特定的主機和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價值。這樣組建的外聯(lián)網(wǎng)也叫ExtranetVPN。ExtranetVPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。2.2VPN的設(shè)計目標在實際應(yīng)用中，一般來說一個高效、成功的VPN應(yīng)具備以下幾個特點：（1）安全保障雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的要求。（2）服務(wù)質(zhì)量保證（QoS）VPN網(wǎng)絡(luò)應(yīng)當為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。（3）可擴充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。（4）可管理性從用戶角度和運營商的角度應(yīng)可方便地進行管理、維護。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。VPN管理的目標為：減小網(wǎng)絡(luò)風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。實現(xiàn)VPN的關(guān)鍵技術(shù)和主要協(xié)議3.1實現(xiàn)VPN的關(guān)鍵技術(shù)（1）隧道技術(shù)隧道技術(shù)(Tunneling)是VPN的底層支撐技術(shù)，所謂隧道，實際上是一種封裝，就是將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實現(xiàn)協(xié)議X對公用網(wǎng)絡(luò)的透明性。這里協(xié)議X被稱為被封裝協(xié)議，協(xié)議Y被稱為封裝協(xié)議，封裝時一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般形式為（（協(xié)議Y）隧道頭（協(xié)議X））。在公用網(wǎng)絡(luò)（一般指因特網(wǎng)）上傳輸過程中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外邊。隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如L2TP、PPTP、L2F等，他們工作在OSI體系結(jié)構(gòu)的第二層（即數(shù)據(jù)鏈路層）；第三層隧道協(xié)議如IPSec，GRE等，工作在OSI體系結(jié)構(gòu)的第三層（即網(wǎng)絡(luò)層）。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。（2）加解密認證技術(shù)加解密技術(shù)是VPN的另一核心技術(shù)。為了保證數(shù)據(jù)在傳輸過程中的安全性，不被非法的用戶竊取或篡改，一般都在傳輸之前進行加密，在接受方再對其進行解密。目前主要有的認證方式有：簡單口令如質(zhì)詢握手驗證協(xié)議CHAP和密碼身份驗證協(xié)議PAP等；動態(tài)口令如動態(tài)令牌和X.509數(shù)字證書等。簡單口令認證方式的優(yōu)點是實施簡單、技術(shù)成熟、互操作性好，且支持動態(tài)地加載VPN設(shè)備，可擴展性強。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議包括ISAKMP、SKIP、MKMP等。Internet密鑰交換協(xié)議IKE是Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP語言來定義密鑰的交換，綜合了Oakley和SKEME的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗證加密參數(shù)。IKE交換的最終目的是提供一個通過驗證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。IKE協(xié)議是目前首選的密鑰管理標準，較SKIP而言，其主要優(yōu)勢在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE協(xié)議的缺點是它雖然提供了強大的主機級身份認證，但同時卻只能支持有限的用戶級身份認證，并且不支持非對稱的用戶認證。（4）訪問控制技術(shù)虛擬專用網(wǎng)的基本功能就是不同的用戶對不同的主機或服務(wù)器的訪問權(quán)限是不一樣的。由VPN服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對特定資源的訪問權(quán)限，以此實現(xiàn)基于用戶的細粒度訪問控制，以實現(xiàn)對信息資源的最大限度的保護。訪問控制策略可以細分為選擇性訪問控制和強制性訪問控制。選擇性訪問控制是基于主體或主體所在組的身份，一般被內(nèi)置于許多操作系統(tǒng)當中。強制性訪問控制是基于被訪問信息的敏感性。3.2VPN的主要安全協(xié)議在實施信息安全的過程中，為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護，通訊的雙方首先進行身份認證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將數(shù)據(jù)加密后發(fā)出，接受端先對數(shù)據(jù)進行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的加密和完整性檢查算法。由此可見，整個過程必須在雙方共同遵守的規(guī)范(協(xié)議)下進行。VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP,L2TP等;在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec。另外，SOCKSv5協(xié)議則在TCP層實現(xiàn)數(shù)據(jù)安全。3.2.1PPTP/L2TPPPTP/L2TP協(xié)議的優(yōu)點:PPTP/L2TP對用微軟操作系統(tǒng)的用戶來說很方便，因為微軟己把它作為路由軟件的一部分。PPTP/L2TP支持其它網(wǎng)絡(luò)協(xié)議。如NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。PPTP/L2TP協(xié)議的缺點:PM和L2TP將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺計算機之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。PPTP和L2TP限制同時最多只能連接255個用戶，端點用戶需要在連接前手工建立加密信道，認證和加密受到限制，沒有強加密和認證支持。PPTP/L2TP最適合于遠程訪問VPN.3.2.2IPSec協(xié)議IPSec是IETF(InternetEngineerTaskForce)正在完善的安全標準，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認證頭AH(AuthenticationHeader)、IP安全載荷封載ESP(EncapsulatedSecurityPayload)和密鑰管理協(xié)議組成。IPSec協(xié)議可以設(shè)置成在兩種模式下運行:一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中,這樣保護從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計它今后將成為虛擬專用網(wǎng)的主要標準。IPSec有擴展能力以適應(yīng)未來商業(yè)的需要。在1997年底，IETF安全工作組完成了IPSec的擴展，在IPSec協(xié)議中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)協(xié)議，其中還包括一個密鑰分配協(xié)議Oakley。ISAKMP/Oakley支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信協(xié)議，即使不用SET或SSL,IPSec都能提供認證和加密手段以保證信息的傳輸。VPN的發(fā)展趨勢縱觀VPN技術(shù)的發(fā)展，我們可以看到，安全與服務(wù)質(zhì)量是VPN的技術(shù)保障，企業(yè)用戶的需求推動IPSecVPN的廣泛應(yīng)用，運營商則大力建設(shè)MPLSVPN，使得未來中國的VPN技術(shù)發(fā)展更加具多樣性、靈活性，技術(shù)服務(wù)與需求趨向緊密結(jié)合。

4.1安全協(xié)議構(gòu)筑VPN的首要特性

隨著因特網(wǎng)的快速發(fā)展，近幾年不斷出現(xiàn)了一些新的網(wǎng)絡(luò)協(xié)議，包括點對點隧道協(xié)議（PPTP）、第2層隧道協(xié)議（L2TP）、安全IP（IPSec）協(xié)議等。其中PPTP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送；L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進行加密，然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，幀中繼或ATM；IPSec協(xié)議允許對IP負載數(shù)據(jù)進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。

4.2IPSecVPN方興未艾

IPSecVPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設(shè)計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機制。IPSEC支持對數(shù)據(jù)加密，同時確保數(shù)據(jù)的完整性。按照IETF的規(guī)定，不采用數(shù)據(jù)加密時，IPSEC使用驗證包頭（AH）提供驗證來源驗證（sourceauthentication），確保數(shù)據(jù)的完整性；IPSec使用封裝安全負載（ESP）與加密一道提供來源驗證，確保數(shù)據(jù)完整性。在IPSec協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送方，并且在傳輸過程中沒有受到破壞。

目前防火墻產(chǎn)品中集成的VPN多為使用IPSec協(xié)議，在中國其發(fā)展處于蓬勃狀態(tài)