| 在国外,VPN已经迅速 人们对VPN的定义还有些模 互联网和电子商务的快速发 |
发展起来,2001年全球VPN市场 糊不清,对VPN的安全性、服务 展使我们有理由相信,中国的VP |
将达到120亿美元。在中国,虽然 质量(QoS)等方面存有疑虑,但 N市场将逐渐热起来。 |
| 对国内的用户来说,VP ?是价格。据估算,如果企 至于那些以电话拨号方式连 |
N(虚拟专用网,Virtual Priva 业放弃租用专线而采用VPN,其 网存取数据的公司,采用VPN则 |
te Network)最大的吸引力在哪里 整个网络的成本可节约21%-45%, 可以节约通讯成本50%-80%。 |
| 为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。 |
| 认识VPN |
| 现在有很多连接都被称 顾名思义,虚拟专用网不是 依靠ISP(Internet服务提 数据通信网络的技术。在虚 端的物理链路,而是利用某 IP机制仿真出一个私有的广 专线技术。所谓虚拟,是指 据网络的长途数据线路。所 。 |
作VPN,用户经常分不清楚,那 真的专用网络,但却能够实现专 供商)和其它NSP(网络服务提 拟专用网中,任意两个节点之间 种公众网的资源动态组成的。IE 域网"是通过私有的隧道技术在 用户不再需要拥有实际的长途数 谓专用网络,是指用户可以为自 |
么一般所说的VPN到底是什么呢? 用网络的功能。虚拟专用网指的是 供商),在公用网络中建立专用的 的连接并没有传统专网所需的端到 TF草案理解基于IP的VPN为:"使用 公共数据网络上仿真一条点到点的 据线路,而是使用Internet公众数 己制定一个最符合自己需求的网络 |
| 用户现在在电信部门租用的帧中继( PVC-Permanent Virtual Circuit)来连 如果用户需要一些别的服务,需要填写许 务。更为重要的是两端的终端设备不但价 增加了成本,而且帧中继、ATM数据网络 用Internet网络的单位连接。而在Intern ,同时支持拨号的用户。 |
Frame Relay)与ATM等数据网络提供固定虚拟线路( 接需要通讯的单位,所有的权限掌握在别人的手中。 多的单据,再等上相当一段时间,才能享受到新的服 格昂贵,而且管理也需要一定的专业技术人员,无疑 也不会像Internet那样,可立即与世界上任何一个使 et上,VPN使用者可以控制自己与其他使用者的联系 |
| 所以我们说的虚拟专用网一般指的是 Frame Relay或ATM等提供虚拟固定线路( 称之为IP-VPN。 |
建筑在Internet上能够自我管理的专用网络,而不是 PVC)服务的网络。以IP为主要通讯协议的VPN,也可 |
| 由于VPN是在Internet 在运行的资金支出上,除了 的上网费用,也节省了长途 |
上临时建立的安全专用虚拟网络 购买VPN设备,企业所付出的仅 电话费。这就是VPN价格低廉的 |
,用户就节省了租用专线的费用, 仅是向企业所在地的ISP支付一定 原因。 |
| 越来越多的用户认识到,随着Intern 发展基于Internet的商务应用。随着商务 商也能够访问本企业的局域网,从而大大 和联系是动态的,并依靠网络来维持和加 络的复杂性,还带来了管理和安全性的问 TCP/IP 技术的、不可管理的国际互联网 信息威胁和安全隐患。 |
et和电子商务的蓬勃发展,经济全球化的最佳途径是 活动的日益频繁,各企业开始允许其生意伙伴、供应 简化信息交流的途径,增加信息交换速度。这些合作 强,于是各企业发现,这样的信息交流不但带来了网 题,因为Internet是一个全球性和开放性的、基于 络,因此,基于Internet的商务活动就面临非善意的 |
| 还有一类用户,随着自 互间的网络基础设施互不兼 感到日益棘手。 |
身的的发展壮大与跨国化,企业 容也更为普遍。因此,用户的信 |
的分支机构不仅越来越多,而且相 息技术部门在连接分支机构方面也 |
| 用户的需求正是虚拟专用网技术诞生的直接原因。 |
| 用户需要的VPN |
| 一.VPN的特点 |
| 在实际应用中,用户需 备以下几个特点: |
要的是什么样的VPN呢?一般情 |
况下,一个高效、成功的VPN应具 |
| 1.安全保障 |
| 虽然实现VPN的技术和 用性和安全性。在非面向连 个隧道,可以利用加密技术 接收者了解,从而保证了数 上,实现简单、方便、灵活 据不被攻击者窥视和篡改, 将企业网扩展到合作伙伴和 |
方式很多,但所有的VPN均应保 接的公用IP网络上建立一个逻辑 对经过隧道传输的数据进行加密 据的私有性和安全性。在安全性 ,但同时其安全问题也更为突出 并且要防止非法用户对网络资源 客户,对安全性提出了更高的要 |
证通过公用网络平台传输数据的专 的、点对点的连接,称之为建立一 ,以保证数据仅被指定的发送者和 方面,由于VPN直接构建在公用网 。企业必须确保其VPN上传送的数 或私有信息的访问。ExtranetVPN 求。 |
| 2.服务质量保证(QoS) |
| VPN网应当为企业数据提供不同等级 的要求差别较大。如移动办公用户,提供 ;而对于拥有众多分支机构的专线VPN网 的稳定性;对于其它应用(如视频等)则 。所有以上网络应用均要求网络根据需要 VPN的另一重要需求是充分有效地利用有 网流量的不确定性使其带宽的利用率很低 时性要求高的数据得不到及时发送;而在 量预测与流量控制策略,可以按照优先级 合理地先后发送,并预防阻塞的发生。 |
的服务质量保证。不同的用户和业务对服务质量保证 广泛的连接和覆盖性是保证VPN服务的一个主要因素 络,交互式的内部企业网应用则要求网络能提供良好 对网络提出了更明确的要求,如网络时延及误码率等 提供不同等级的服务质量。在网络优化方面,构建 限的广域网资源,为重要数据提供可靠的带宽。广域 ,在流量高峰时引起网络阻塞,产生网络瓶颈,使实 流量低谷时又造成大量的网络带宽空闲。QoS通过流 分配带宽资源,实现带宽管理,使得各类数据能够被 |
| 3.可扩充性和灵活性 |
| VPN必须能够支持通过Intranet和Ext 持多种类型的传输媒介,可以满足同时传 增加的需求。 |
ranet的任何类型的数据流,方便增加新的节点,支 输语音、图像和数据等新应用对高质量传输以及带宽 |
| 4.可管理性 |
| 从用户角度和运营商角 网络管理功能从局域网无缝 网络管理任务交给服务提供 善的VPN管理系统是必不可 、高可靠性等优点。事实上 表管理、QoS管理等内容。 |
度应可方便地进行管理、维护。 地延伸到公用网,甚至是客户和 商去完成,企业自己仍需要完成 少的。VPN管理的目标为:减小 ,VPN管理主要包括安全管理、 |
在VPN管理方面,VPN要求企业将其 合作伙伴。虽然可以将一些次要的 许多网络管理任务。所以,一个完 网络风险、具有高扩展性、经济性 设备管理、配置管理、访问控制列 |
| 二.自建还是外包 |
| 由于VPN低廉的使用成 机构成了VPN顺理成章的用 VPN策略。当然,不论何种V 相当或更高的可管理性、可 |
本和良好的安全性,许多大型企 户群。对于那些最需要VPN业务 PN策略,它们都有一个基本目标 扩展性以及简单性的基础之上, |
业及其分布在各地的办事处或分支 的中小企业来说,一样有适合的 :在提供与现有专用网络基础设施 进一步扩展公司的网络连接。 |
| 1.大型企业自建VPN |
| 大型企业用户由于有雄厚的资金投入 和分支机构中,将各个机构低成本且安全 于高控制性,尤其是基于安全基础之上的 络系统以及网络访问情况进行控制,建立 。 |
做保证,可以自己建立VPN,将VPN设备安装在其总部 地连接在一起。企业建立自己的VPN,最大的优势在 控制。一个内部VPN能使企业对所有的安全认证、网 端到端的安全结构,集成和协调现有的内部安全技术 |
| 企业还可以确保得到业 服务。而且,建立内部VPN 备的额外费用,并且能将现 。 |
内最好的技术以满足自身的特殊 能使企业有效节省VPN的运作费 有的远程访问和端到端的网络集 |
需要,这要优于ISP所提供的普通 用。企业可以节省用于外包管理设 成起来,以获取最佳性价比的VPN |
| 虽然VPN外包能避免技 高额产品支付费用,以作为 样降低了企业对公司网的控 VPN是大型企业的最好选择 |
术过时,但并不意味着企业可以 使用新技术的代价。虽然VPN外 制等级。网络越大,企业就越依 。 |
节省开支。因为,企业最终还要为 包可以简化企业网络部署,但这同 赖于外包VPN供应商。因此,自建 |
| 2.中小型企业外包VPN |
| 虽然每个中小型企业都是相对集中和 业之间的联系依然需要廉价而安全的信息 前提供的VPN服务,更多的是面向中小企 技术力量来为中小企业提供整体的服务。 ,而且一般中小型企业的IT人员短缺、技 ,外包VPN是较好的选择。 |
固定的,但是部门与部门之间、企业与其业务相关企 沟通,在这种情况下就用得上VPN。电信企业、IDC目 业,因为可以整合现有资源,包括网络优势、托管和 中小型企业如果自己购买VPN设备,则财务成本较高 能水平不足、资金能力有限,不足以支持VPN,所以 |
| * 外包VPN比企业自己动手建立VPN要快得多,也更为容易。 |
| * 外包VPN的可扩展性 以支持多于2300名用户,而 ,对用于监控、管理、提供 |
很强,易于企业管理。有统计表 内部VPN平均只能支持大约150名 IT资源和人力资源的要求也将呈 |
明,使用外包VPN方式的企业,可 用户。而且,随着用户数目的增长 指数增长。 |
| * 企业VPN必须将安全和性能结合在 全加密级别的配置经常降低VPN的整体性 可大大提高VPN的性能和安全。ISP的VPN |
一起,然而,实际情况中两者不能兼顾。例如,对安 能。而通过提供VPN外包业务的专业ISP的统一管理, 专家还可帮助企业进行VPN决策。 |
| * 对服务水平协议(SL 一步的保证。 |
A)的改进和服务质量(QoS)保 |
证,为企业外包VPN方式提供了进 |
| 三.VPN安全技术 |
| 由于传输的是私有信息,VPN用户对数据的安全性都比较关心。 |
| 目前VPN主要采用四项 解密技术(Encryption & D 身份认证技术(Authentica |
技术来保证安全,这四项技术分 ecryption)、密钥管理技术(K tion)。 |
别是隧道技术(Tunneling)、加 ey Management)、使用者与设备 |
| 1.隧道技术是VPN的基本技术,类似 隧道),让数据包通过这条隧道传输。隧 第二层隧道协议是先把各种网络协议封装 层封装方法形成的数据包靠第二层协议进 L2TP协议是目前IETF的标准,由IETF融合 |
于点对点连接技术,它在公用网建立一条数据通道( 道是由隧道协议形成的,分为第二、三层隧道协议。 到PPP中,再把整个数据包装入隧道协议中。这种双 行传输。第二层隧道协议有L2F、PPTP、L2TP等。 PPTP与L2F而形成。 |
| 第三层隧道协议是把各 行传输。第三层隧道协议有 义了一个系统来提供安全协 安全保障。 |
种网络协议直接装入隧道协议中 VTP、IPSec等。IPSec(IP Secu 议选择、安全算法,确定服务所 |
,形成的数据包依靠第三层协议进 rity)是由一组RFC文档组成,定 使用密钥等服务,从而在IP层提供 |
| 2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。 |
| 3.密钥管理技术的主要任务是如何在 管理技术又分为SKIP与ISAKMP/OAKLEY两 网络上传输密钥;在ISAKMP中,双方都有 |
公用数据网上安全地传递密钥而不被窃取。现行密钥 种。SKIP主要是利用Diffie-Hellman的演算法则,在 两把密钥,分别用于公用、私用。 |
| 4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 |
| 四.堵住安全漏洞 |
| 安全问题是VPN的核心问题。目前,V 道技术、加密协议和安全密钥来实现的, |
PN的安全保证主要是通过防火墙技术、路由器配以隧 可以保证企业员工安全地访问公司网络。 |
| 但是,如果一个企业的 在线的连接将会是黑客攻击 以接触到公司预算、战略计 点。虽然,员工可以双倍地 竞争对手以及商业间谍提供 |
VPN需要扩展到远程访问时,就 的主要目标。因为,远程工作员 划以及工程项目等核心内容,这 提高工作效率,并减少在交通上 了无数进入公司网络核心的机会 |
要注意,这些对公司网直接或始终 工通过防火墙之外的个人计算机可 就构成了公司安全防御系统中的弱 所花费的时间,但同时也为黑客、 。 |
| 但是,企业并没有对远 于一道网络防火墙之后是安 外;还有一些网络管理员认 密的隧道拨号进入公司网络 |
距离工作的安全性予以足够的重 全的,员工可以拨号进入系统, 为,为网络建立防火墙并为员工 就是安全的。这些看法都是不对 |
视。大多数公司认为,公司网络处 而防火墙会将一切非法请求拒之其 提供VPN,使他们可以通过一个加 的。 |
| 在家办公是不错,但从安全的观点来 安全软件并没有为家用计算机提供保护。 通过一条授权的连接进入公司网络系统。 主要办公室和家庭办公室之间VPN的信息 户进入网络。因此,加密的隧道是安全的 全的。 |
看,它是一种极大的威胁,因为,公司使用的大多数 一些员工所做的仅仅是进入一台家用计算机,跟随它 虽然,公司的防火墙可以将侵入者隔离在外,并保证 安全。但问题在于,侵入者可以通过一个被信任的用 ,连接也是正确的,但这并不意味着家庭计算机是安 |
| 黑客为了侵入员工的家用计算机,需 几乎每天都受到黑客的扫描。因此,如果 通常这种连接具有一个固定的IP地址), 入时都被分配不同的IP地址,虽然它也能 算机,他便能够远程运行员工的VPN客户 VPN的安全漏洞,使员工与网络的连接既 个人计算机上安装个人防火墙是极为有效 。当然,还有一些提供给远程工作人员的 |
要探测IP地址。有统计表明,使用拨号连接的IP地址 在家办公人员具有一条诸如DSL的不间断连接链路( 会使黑客的入侵更为容易。因为,拨号连接在每次接 被侵入,但相对要困难一些。一旦黑客侵入了家庭计 端软件。因此,必须有相应的解决方案堵住远程访问 能充分体现VPN的优点,又不会成为安全的威胁。在 的解决方法,它可以使非法侵入者不能进入公司网络 实际解决方法: |
| * 所有远程工作人员必须被批准使用VPN; |
| * 所有远程工作人员需 了多少次; |
要有个人防火墙,它不仅防止计 |
算机被侵入,还能记录连接被扫描 |
| * 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录; |
| * 监控安装在远端系统中的软件,并将其限制只能在工作中使用; |
| * IT人员需要对这些系统进行与办公室系统同样的定期性预定检查; |
| * 外出工作人员应对敏感文件进行加密; |
| * 安装要求输入密码的 出警报; |
访问控制程序,如果输入密码错 |
误,则通过Modem向系统管理员发 |
| * 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。 |