從原理上來說,VPN就是利用公用網絡把遠程站點或用戶連接到一起的專用網絡。與實際的專用連接(例如租用線路)不同,VPN是通過互聯網路由的“虛擬”連接,把公司專用網絡同遠程站點或員工連接到一起。一個典型的企業VPN包括公司總部主LAN、遠程分公司或分支機構LAN和從外部網絡連接進來的個人用戶,如圖5-27所示。
VPN是一種能夠將物理上分布在不同地點的網絡通過公用骨干網(Internet)連接而成的邏輯虛擬子網,提供了通過公用網絡安全對企業內部網絡(Intranet)進行遠程訪問的連接。
一個連接通常由客戶機、傳輸介質和服務器三部分組成,VPN同樣也由這三部分組成;不同的是,VPN連接使用隧道(Tunnel)作為傳輸通道(就像裝信件的信封),這個隧道是建立在公共網絡或專用網絡基礎上的,如Internet或Intranet,如圖5-28所示。
為了保障信息的安全,VPN技術采用鑒別、訪問控制、保密性、完整性等措施,以防止信息被泄漏、篡改和復制。
1.VPN的主要類型
(1)遠程訪問虛擬網(Access VPN)
遠程訪問虛擬網也稱為虛擬專用撥號網絡(VPDN),是一種用戶到LAN的連接,通常用于員工從遠程位置連接的專用網絡。
企業服務提供商(ESP)為公司提供大型遠程訪問VPN;ESP建立一個網絡訪問服務器(NAS),向遠程用戶提供桌面客戶端軟件;遠程用戶撥打免費號碼連接NAS,使用VPN客戶端軟件訪問公司網絡。
Access VPN通過第三方服務商在公司專用網絡和遠程用戶之間實現安全加密連接,如圖5-29所示。
(2)企業內部虛擬網(Intranet VPN)
基于Intranet------如果公司有一個或多個遠程位置需要加入一個專用網絡,可以建立一個Intranet VPN,將LAN連接到另一個LAN,稱為企業內部虛擬網(Intranet VPN),如圖5-30所示。
(3)企業擴展虛擬網(Extranet VPN)
基于Extranet------如果公司同其它公司(例如,供應商、客戶)關系緊密,他們可以建立一個Extranet VPN,將LAN連接到另一個LAN,所有公司同時在一個共享環境中工作,稱為企業擴展虛擬網(Extranet VPN),如圖5-31所示。
VPN是對Intranet的擴展,一家企業可以同時提供3種VPN服務,如圖5-32所示。
2.VPN的基本原理
VPN的一般驗證流程:
①客戶機(Client)向VPN服務器(Authenticating Device)發出請求(Challenge),VPN服務器響應(Response)請求并向客戶機發出身份(User name,Password)質詢;
②客戶機將加密的響應信息發送到VPN服務器,VPN服務器根據用戶數據庫(Data Base)檢查是否該響應;
③如果賬戶(ID)有效,VPN服務器將檢查該用戶是否具有遠程訪問權限;
④如果該用戶擁有遠程訪問的權限,VPN服務器接受此連接;
⑤在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。
VPN中常用的身份認證技術主要有安全口令、PPP認證協議和密鑰管理技術三種。
(1)隧道技術
隧道技術(Tunneling Protocal)是VPN的基本技術,類似于點對點連接技術(Point to Point Protocol,PPP),它在公網建立一條數據通道(隧道)(如圖5-33所示),讓數據包通過這條隧道傳輸。
隧道是由隧道協議形成的,主要有第2層隧道協議PPTP(Point-to-Point Tunneling Protocol)和L2TP(Level 2 Tunneling Protocol)、第三層隧道協議IPSec(IP Security)和安全套接層SSL(Secure Sockets Layer)協議等。
隧道技術是一種通過使用互聯網基礎設施在網絡之間傳遞數據的方式。
使用隧道傳遞的數據可以是不同協議的數據幀或包,隧道協議將這些數據幀或包重新封裝在新的包頭中發送,新的包頭提供了路由信息,從而使封裝的數據能夠通過互聯網傳遞。
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由,所經過的邏輯路徑稱為隧道,一旦到達網絡終點數據將被解包并轉發到最終目的地。
隧道技術包括數據封裝,傳輸和解包在內的全過程。
(2)加密技術
在VPN實現中,雙方大量通信流量的加密使用對稱加密算法,在管理、分發對稱加密的密鑰上采用非對稱加密技術。
加密基本思想,在協議棧的任意層對數據或報文頭進行加密,從而有效保護傳輸的信息。
VPN是通過軟件實現的技術,因而VPN加密載體是多方面的,包括路由器、防火墻、專用VPN硬件。
VPN加密技術發展趨勢是實現端到端的安全,真正確保完全的加密。
3. VPN的功能特性
(1)安全保障
VPN保證通過公用網絡平臺傳輸數據的專用性和安全性。在面向非連接的公用IP網絡上建立一個邏輯的、點對點的連接稱為建立一個隧道,可以對經過隧道傳輸的數據進行加密,保證數據僅被指定的發送者和接收者了解。
由于VPN直接構建在公用網上,企業必須確保VPN上傳送的數據不被攻擊者窺視和篡改,要防止非法用戶對網絡資源或私有信息的訪問。
(2)服務質量保證
針對不同用戶和業務對QoS要求差異較大,VPN提供不同等級的QoS。
對于移動用戶,VPN服務提供廣泛的連接和覆蓋性;對于擁有眾多分支機構的專線VPN網絡,VPN服務為交互式內部企業網應用提供良好的網絡穩定性;對于視頻等應用,VPN服務提供網絡時延及糾錯服務。
VPN服務充分利用廣域網資源,為重要數據提供可靠帶寬。廣域網流量不確定性致使帶寬利用率低,流量高峰時網絡阻塞、流量低谷時帶寬空閑。
QoS通過流量預測與流量控制策略,按照優先級分配帶寬資源,實現帶寬管理,使各類數據被合理地先后發送,預防阻塞發生。
(3)可擴充性和靈活性
VPN支持通過Intranet和Extranet的任何類型數據流,方便增加新的節點,支持多種類型的傳輸媒介,滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
(4)可管理性
從用戶角度和運營高角度看,VPN將其網絡管理功能從局域網延伸到公用網,甚至是客戶和合作伙伴;同時將一些次要的網絡管理任務交給服務提供商完成。
VPN管理目標:減小網絡風險、使其具有高擴展性、經濟性、高可靠性等;VPN管理內容:安全管理、設備管理、配置管理、ACL管理、QoS管理等。
(5)降低成本
VPN利用現有的Internet或其它公共網絡的基礎設施為用戶創建安全隧道,不需要專門的租用線路,節省了專線的租金。
如果采用遠程撥號進入內部網絡,訪問內部資源,需要長途話費;采用VPN技術,只需撥入當地ISP就可以安全地接入內部網絡,節省了線路話費。
我是木子雨辰,一位信息安全領域從業者,@木子雨辰將一直帶給大家信息安全知識,每天兩篇安全知識、由淺至深、采用體系化結構逐步分享,大家有什么建議和問題,可以及留言,多謝大家點擊關注、轉發、評論,謝謝大家。
大家如果有需要了解安全知識內容需求的可以留言,溝通,愿與大家攜手前行。
