VPN技術(shù)基礎(chǔ)知識(shí)

VPN技術(shù)基礎(chǔ)目錄基本概念PKI基礎(chǔ)VPN技術(shù)介紹常見互連方案比較VPN的定義

VPN，VirtualPrivateNetwork（虛擬專用網(wǎng)絡(luò)），被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

VPN可以省去專線租用費(fèi)用或者長(zhǎng)距離電話費(fèi)用，大大降低成本VPN可以充分利用internet公網(wǎng)資源，快速地建立起公司的廣域連接VPN的用途

1、使用VPN連接遠(yuǎn)程局域網(wǎng)絡(luò)。

2、連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)

3、

采用VPN方案，既能夠?qū)崿F(xiàn)與整個(gè)企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。企業(yè)網(wǎng)絡(luò)管理人員通過使用VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。VPN的基本要求

一般來說，企業(yè)在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案時(shí)都希望能夠?qū)υL問企業(yè)資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與企業(yè)局域網(wǎng)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享；又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時(shí)安全性不受破壞.因此，最低限度，一個(gè)成功的VPN方案應(yīng)當(dāng)能夠滿足以下所有方面的要求：

·加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。

·信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。

·提供訪問控制，不同的用戶有不同的訪問權(quán)限。

PKI介紹PKI（Public

Key

Infrastructure）公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書。PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。對(duì)稱密碼算法非對(duì)稱密碼算法非對(duì)稱算法的應(yīng)用—數(shù)字簽名公鑰密碼體制在實(shí)際應(yīng)用中包含數(shù)字簽名和數(shù)字信封兩種方式。

數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要，并通過與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對(duì)照，便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。哈希算法是一類符合特殊要求的散列函數(shù)(Hash)函數(shù)，這些特殊要求是:

接受的輸入報(bào)文數(shù)據(jù)沒有長(zhǎng)度限制;

對(duì)任何輸入報(bào)文數(shù)據(jù)生成固定長(zhǎng)度的摘要(“數(shù)字指紋”)輸出;

由報(bào)文能方便地算出摘要;

難以對(duì)指定的摘要生成一個(gè)報(bào)文,由該報(bào)文可以得出指定的摘要;

難以生成兩個(gè)不同的報(bào)文具有相同的摘要。

非對(duì)稱算法的應(yīng)用—數(shù)字信封數(shù)字證書數(shù)字證書是各類實(shí)體(持卡人/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明，在電子交易的各個(gè)環(huán)節(jié)，交易的各方都需驗(yàn)證對(duì)方證書的有效性，從而解決相互間的信任問題。證書是一個(gè)經(jīng)證書認(rèn)證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。

簡(jiǎn)單的說，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實(shí)性。證書格式及證書內(nèi)容遵循X.509標(biāo)準(zhǔn)。

PKI的核心—認(rèn)證中心CA為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗(yàn)證機(jī)制，即參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí)，這就是數(shù)字證書。數(shù)字證書是各實(shí)體(持卡人/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明。該數(shù)字證書具有唯一性。數(shù)字證書認(rèn)證中心（Certficate

Authority,CA）是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)-根認(rèn)證中心（根CA）。

常見的VPN協(xié)議

1、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）

2、第2層隧道協(xié)議（L2TP）

3、安全I(xiàn)P（IPSec)隧道模式

4、SOCKSv5協(xié)議5、SSL協(xié)議各種VPN在OSI協(xié)議棧中的位置

SSLVPN

Socks5VPN

IPSecVPN

PPTP及L2TP應(yīng)用層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層PPTP和L2TP的特點(diǎn)

PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管兩個(gè)協(xié)議非常相似，但是仍存在以下幾方面的不同：

1.PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATMVCs網(wǎng)絡(luò)上使用。

2.PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

3.L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷（overhead）占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)。

4.L2TP可以提供隧道驗(yàn)證，而PPTP則不支持隧道驗(yàn)證。但是當(dāng)L2TP或PPTP與IPSEC共同使用時(shí)，可以由IPSEC提供隧道驗(yàn)證，不需要在第2層協(xié)議上驗(yàn)證隧道。

IPSec（InternetProtocolSecurity）的特點(diǎn)為實(shí)現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸，IPSEC隧道模式使用的安全方式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲的最初的負(fù)載IP包。負(fù)載IP包在經(jīng)過正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地。

IPSEC隧道模式具有以下功能和局限：

1.只能支持IP數(shù)據(jù)流

2.工作在IP棧（IPstack）的底層，因此，應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。

3.由一個(gè)安全策略（一整套過濾機(jī)制）進(jìn)行控制。安全策略按照優(yōu)先級(jí)的先后順序創(chuàng)建可供使用的加密和隧道機(jī)制以及驗(yàn)證方式。當(dāng)需要建立通訊時(shí)，雙方機(jī)器執(zhí)行相互驗(yàn)證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機(jī)制進(jìn)行加密，然后封裝在隧道包頭內(nèi)。

Socks5協(xié)議的特點(diǎn)

Socks5的優(yōu)點(diǎn)：Socks5在OSI模型的會(huì)話層控制數(shù)據(jù)流，它定義了非常詳細(xì)的訪問控制。在網(wǎng)絡(luò)層只能根據(jù)源和目的IP地址允許或拒絕數(shù)據(jù)包通過，在會(huì)話層控制手段要更多一些。Socks5在客戶機(jī)和主機(jī)之間建立了一條虛電路，可根據(jù)對(duì)用戶的認(rèn)證進(jìn)行監(jiān)視和訪問控制。Socks5和SSL工作在會(huì)話層，因此能向低層協(xié)議如IPv4，IPSec，PPTP，L2TP一起使用。它能提供非常復(fù)雜的方法來保證信息安全傳輸。用Socks5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)。如果SOCKS5同防火墻結(jié)合起來使用，數(shù)據(jù)包經(jīng)一個(gè)唯一的防火墻端口（缺省的是1080）到代理服務(wù)器，再經(jīng)代理服務(wù)器過濾發(fā)往目的計(jì)算機(jī)的數(shù)據(jù)，這樣可以防止防火墻上存在的漏洞。SOCKS5能為認(rèn)證、加密和密鑰管理提供“插件”模塊，可讓用戶很自由地采用他們所需要的技術(shù)。Socks5可根據(jù)規(guī)則過濾數(shù)據(jù)流，包括JavaApplet和ActiveX控件。

Socks5的缺點(diǎn)：因?yàn)镾ocks5通過代理服務(wù)器來增加一層安全性，因此其性能往往比低層協(xié)議差。盡管比網(wǎng)絡(luò)層和傳輸層的方案要更安全，但要制定比低層協(xié)議更為復(fù)雜的安全管理策略。SSL協(xié)議安全套接層協(xié)議（SSL，SecuritySocketLayer）是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于電子商務(wù)應(yīng)用來說，使用SSL可保證信息的真實(shí)性、完整性和保密性。

主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用WebServe。SSL（SecureSocketLayer）安全協(xié)議是目前網(wǎng)銀、電子商務(wù)中針對(duì)應(yīng)用交易信息安全采取的最基本的保護(hù)措施。主要是用于保護(hù)網(wǎng)上信息傳遞通道的安全，可以把它理解為一種"管道式安全"，具有保密性、可靠性和服務(wù)器端可認(rèn)證性。SSL協(xié)議的優(yōu)勢(shì)SSL

VPN不需要安裝客戶端軟件。遠(yuǎn)程用戶只需借助標(biāo)準(zhǔn)的瀏覽器連接Internet，即可訪問企業(yè)的網(wǎng)絡(luò)資源。此外，SSL

VPN連接要比IPSec

VPN更穩(wěn)定，這是因?yàn)镮PSec

VPN是網(wǎng)絡(luò)層連接，故容易中斷。除此之外，SSL

VPN還具有以下優(yōu)勢(shì)。

適用大多數(shù)設(shè)備：基于Web訪問的開放體系可以被任何運(yùn)行標(biāo)準(zhǔn)瀏覽器的系統(tǒng)所訪問，包括非傳統(tǒng)設(shè)備，如可以上網(wǎng)的手機(jī)和PDA通信產(chǎn)品。

適用于大多數(shù)操作系統(tǒng)：不管是Windows、Macintosh、UNIX還是

Linux，只要運(yùn)行標(biāo)準(zhǔn)的瀏覽器，都可以支持SSL

VPN對(duì)企業(yè)內(nèi)部網(wǎng)站和Web站點(diǎn)進(jìn)行訪問。

良好的安全性：SSL

VPN訪問的并不是網(wǎng)絡(luò)的真實(shí)節(jié)點(diǎn)，而是被代理的內(nèi)部資源，這種方法較為安全。

較強(qiáng)的資源控制能力：SSL

VPN為遠(yuǎn)程訪問用戶提供較細(xì)粒度的資源訪問控制。

繞過防火墻和代理服務(wù)器：基于SSL

VPN的遠(yuǎn)程訪問方案可以繞過防火墻和代理服務(wù)器訪問企業(yè)網(wǎng)資源，這是基于IPSec

VPN的遠(yuǎn)程訪問很難做到的。SSL協(xié)議的缺點(diǎn)

依靠Internet進(jìn)行訪問：遠(yuǎn)程用戶的Web瀏覽器依靠企業(yè)的服務(wù)器訪問所有進(jìn)程。如果Internet沒有連通，遠(yuǎn)程用戶就不能與總部網(wǎng)絡(luò)進(jìn)行連接，只能單獨(dú)工作。

有限支持Windows應(yīng)用及其他非Web系統(tǒng)：大多數(shù)SSL

VPN都是基于Web瀏覽器工作的。雖然有些SSL提供商已經(jīng)開始合并終端服務(wù)來支持非Web應(yīng)用，但是目前大多數(shù)SSL

VPN方案還未正式提出全面支持。

此外，SSL

VPN是應(yīng)用層加密，性能比較差，需要使用加速裝置。

VPN替代方案DDNModem池?fù)芴?hào)服務(wù)器托管DDNSe地通VPN與DDN專線的比較DDN專線

e地通VPN?需要投入專線初裝費(fèi)及每個(gè)點(diǎn)路由器的費(fèi)用?需要專業(yè)人員配置,安裝使用較復(fù)雜?長(zhǎng)期的專線使用費(fèi)?新增分支機(jī)構(gòu),需要增加租用專線?遠(yuǎn)程移動(dòng)用戶接入困難?不需任何硬件設(shè)備?客戶端免安裝,適合大規(guī)模實(shí)施?無需固定IP地址,任意方式接入Internet?新增用戶只序添加用戶授權(quán)?維護(hù)簡(jiǎn)單e地通VPN與遠(yuǎn)程撥號(hào)的比較遠(yuǎn)程撥號(hào)接入

e地通VPN?每次使用需要支付長(zhǎng)途話費(fèi)?只能使用Modem撥號(hào)接入，速度較慢

?需要設(shè)置專用的遠(yuǎn)程撥號(hào)接入服務(wù)器

?一條電話線同時(shí)只能支持一個(gè)用戶接入?穩(wěn)定性差

?使用時(shí)只需接入Internet，不增加其它費(fèi)用

?任意方式接入Internet，速度等同于接入速度

?無需增加任何硬件設(shè)備

?支持多個(gè)用戶同時(shí)接入

?穩(wěn)定性好e地通VPN與服務(wù)器托管的比較服務(wù)器托管

e地通VPN?長(zhǎng)期繳納服務(wù)器托管費(fèi)用?所有用戶、包括總部用戶都必須通過Internet訪問服務(wù)器，整體速度較慢

?用戶名和密碼容易泄漏，安全性不高

?難以完整解決遠(yuǎn)程互聯(lián)問題

?服務(wù)器不在總部，維護(hù)不便

?一次性軟件費(fèi)用，支持動(dòng)態(tài)IP地址

?服務(wù)器仍然放在公司總部，只有駐外用戶通過Internet訪問，整體效率高

?獨(dú)有的加密方案，安全性高

?擴(kuò)展性好，解決所有遠(yuǎn)程互聯(lián)問題

?服務(wù)器在總部局域網(wǎng)內(nèi)，維護(hù)方便

e地通VPN與動(dòng)態(tài)域名的比較動(dòng)態(tài)域名解析e地通VPN?需要長(zhǎng)期交納服務(wù)費(fèi)用?網(wǎng)絡(luò)尋址安全性不高?第三方服務(wù),會(huì)產(chǎn)生依賴性?穩(wěn)定性差?一次性投資,只需要一次購(gòu)買一套軟件即可?實(shí)現(xiàn)安全的網(wǎng)絡(luò)尋址?可以建立完全屬于客戶自己的互聯(lián)系統(tǒng)?穩(wěn)定性高e地通VPN與MPLSVPN的比較MPLSVPNe地通VPN?需要投入每個(gè)點(diǎn)的硬件設(shè)備費(fèi)用

?需要專業(yè)人員配置，安裝使用較復(fù)雜

?需要長(zhǎng)期的服務(wù)費(fèi)用?擴(kuò)展性差,依賴于服務(wù)供應(yīng)商?不支持移動(dòng)用戶?一次性投資,只需要一次購(gòu)買一套軟件即可?安裝使用簡(jiǎn)單,維護(hù)方便?擴(kuò)展方便,適應(yīng)于各種網(wǎng)絡(luò)結(jié)構(gòu)?支持遠(yuǎn)程移動(dòng)用戶方便接入e地通VPN與PPTP/L2TPVPN的比較PPTP/L2TPVPNe地通VPN?安全性差

?網(wǎng)絡(luò)適應(yīng)性差?擴(kuò)展性差?需要固定IP或動(dòng)態(tài)域名解析支持?維護(hù)麻煩?高可靠性,高安全性?支持動(dòng)態(tài)IP及私有IP?網(wǎng)絡(luò)適應(yīng)性強(qiáng),方便擴(kuò)展到在型網(wǎng)絡(luò)?維護(hù)方便e地通軟件VPN與其他硬件VPN的比較e地通硬件VPN外部安全性采用用戶名密碼、硬件綁定、隨機(jī)