| 当移动用户或远程用户 的远程访问方式不但通讯费 能保证通信的安全性。为了 个理想的选择。 |
通过拨号方式远程访问公司或企 用比较高,而且在与内部专用网 避免以上的问题,通过拨号与企 |
业内部专用网络的时候,采用传统 络中的计算机进行数据传输时,不 业内部专用网络建立VPN连接是一 |
| ■VPN带来的好处 |
| 降低费用 首先远程用 为隧道与企业内部专用网络 备的费用。 |
户可以通过向当地的ISP申请账 相连,通信费用大幅度降低;其 |
户登录到Internet,以Internet作 次企业可以节省购买和维护通讯设 |
| 增强的安全性 VPN通过 证方法包括:密码身份验证 证协议 (SPAP)、Microsoft (EAP);并且采用微软点对 密。以上的身份验证和加密 连接通过VPN服务器将高度 权限的用户才能通过远程访 保护的资源。 |
使用点到点协议(PPP)用户级 协议 (PAP)、质询握手身份验证 质询握手身份验证协议 (MS-CH 点加密算法(MPPE)和网际协议 手段由远程VPN服务器强制执行 敏感的数据服务器物理地进行分 问建立与VPN服务器的VPN连接, |
身份验证的方法进行验证,这些验 协议 (CHAP)、Shiva 密码身份验 AP) 和可选的可扩展身份验证协议 安全(IPSec)机制对数据进行加 。对于敏感的数据,可以使用VPN 隔,只有企业Intranet上拥有适当 并且可以访问敏感部门网络中受到 |
| 网络协议支持 VPN支持最常用的网络 可以很容易地使用VPN。这意味着通过VPN |
协议,基于IP、IPX和NetBEUI协议网络中的客户机都 连接可以远程运行依赖于特殊网络协议的应用程序。 |
| IP地址安全 因为VPN是加密的, VPN 到公用的IP地址,看不到数据包内包含的 到保护的。 |
数据包在Internet中传输时,Internet上的用户只看 专有网络地址。因此远程专用网络上指定的地址是受 |
| ■VPN使用的协议 |
| VPN使用两种隧道协议 |
:点到点隧道协议(PPTP)和第 |
二层隧道协议(L2TP)。 |
| PPTP PPTP是PPP的扩展,它增加了一 议通信,它支持通过公共网络(如Intern 可以建立隧道或将 IP、IPX 或 NetBEUI 依赖特定网络协议的应用程序。PPTP在基 远程计算机到专用服务器的安全数据传输 据加密,使得在不安全的网络上发送信息 的 VPN传输数据就象在企业的一个局域网 到 LAN 的网络。 |
个新的安全等级,并且可以通过Internet 进行多协 et)建立按需的、多协议的、虚拟专用网络。PPTP 协议封装在 PPP 数据包内,因此允许用户远程运行 于 TCP/IP 协议的数据网络上创建 VPN连接,实现从 。VPN服务器执行所有的安全检查和验证,并启用数 变得更加安全。尤其是使用EAP后,通过启用 PPTP 内那样安全。另外还可以使用 PPTP 建立专用 LAN |
| L2TP L2TP 是一个工业 压缩PPP 的帧,从而压缩 I 议的应用程序。与PPTP不同 和数据加密。目前L2TP只支 本地隧道。 |
标准的Internet隧道协议,它和 P、IPX 或 NetBEUI 协议,同样 的是,L2TP使用新的网际协议安 持通过IP网络建立隧道,不支持 |
PPTP的功能大致相同。L2TP 也会 允许用户远程运行依赖特定网络协 全 (IPSec) 机制来进行身份验证 通过 X.25、帧中继或 ATM 网络的 |
| ■VPN的身份验证方法 |
| 前面已经提到VPN的身 的几种方法。 |
份验证采用PPP的身份验证方法 |
,下面介绍一下VPN进行身份验证 |
| CHAP CHAP通过使用MD5 。CHAP 在响应时使用质询- 机知道密码,但不必实际地 |
(一种工业标准的散列方案)来 响应机制和单向 MD5 散列。用 将密码发送到网络上。 |
协商一种加密身份验证的安全形式 这种方法,可以向服务器证明客户 |
| MS-CHAP 同CHAP相似,微软开发MS-C 它在响应时使用质询-响应机制和单向加 。 |
HAP 是为了对远程 Windows 工作站进行身份验证, 密。而且 MS-CHAP 不要求使用原文或可逆加密密码 |
| MS-CHAP v2 MS-CHAP v2是微软开发 份验证和更强大的初始数据密钥,而且发 为用 MS-CHAP v2 作为唯一的身份验证方 连接的服务器不提供对自己身份的验证, |
的第二版的质询握手身份验证协议,它提供了相互身 送和接收分别使用不同的密钥。如果将VPN连接配置 法,那么客户端和服务器端都要证明其身份,如果所 则连接将被断开。 |
| EAP EAP 的开发是为了 的需求。通过使用 EAP,可 、使用智能卡的公钥身份验 词典攻击及密码猜测,提供 |
适应对使用其他安全设备的远程 以增加对许多身份验证方案的支 证、证书及其他身份验证。对于 比其他身份验证方法(例如 CHA |
访问用户进行身份验证的日益增长 持,其中包括令牌卡、一次性密码 VPN来说,使用EAP可以防止暴力或 P)更高的安全性。 |
| 在Windows系统中,对 进行身份验证,将采用CHAP |
于采用智能卡进行身份验证,将 、MS-CHAP或MS-CHAP v2验证方 |
采用EAP验证方法;对于通过密码 法。 |
| ■VPN的加密技术 |
| VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。 |
| 对于PPTP服务器,将采用MPPE加密技 钥的增强加密方案。只有在 MS-CHAP、MS 由 MPPE 进行加密,MPPE需要这些类型的 |
术 MPPE可以支持40位密钥的标准加密方案和128位密 -CHAP v2 或 EAP/TLS 身份验证被协商之后,数据才 身份验证生成的公用客户和服务器密钥。 |
| 对于L2TP服务器,将使 全协议的套件。IPSec 对使 护密码和数据的 L2TP 连接 IPSec可用的加密包括 56 |
用IPSec机制对数据进行加密 IP 用 L2TP 协议的 VPN 连接提供 建立之前,IPSec 在计算机及其 位密钥的数据加密标准DES和 56 |
Sec是基于密码学的保护服务和安 机器级身份验证和数据加密。在保 远程VPN服务器之间进行协商。 位密钥的三倍 DES (3DES)。 |
| -------------------- |
---------------------------- |
------------ |
| 何为VPN? |
| VPN(Virtual Private Network): 种通过公用网络安全地对企业内部专用网 通常由三个部分组成:客户机、传输介质 连接使用隧道作为传输通道,这个隧道是 Internet或Intranet。 |
虚拟专用网络,是一门网络新技术,为我们提供了一 络进行远程访问的连接方式。我们知道一个网络连接 和服务器。VPN同样也由这三部分组成,不同的是VPN 建立在公共网络或专用网络基础之上的,如: |
| 要实现VPN连接,企业 的VPN服务器,VPN服务器一 说VPN服务器必须拥有一个 通信时,先由ISP(Interne 器负责将所有的数据传送到 协议、身份验证和数据加密 发出身份质询,客户机将加 该响应,如果账户有效,VP 程访问的权限,VPN服务器 用来对数据进行加密。VPN |
内部网络中必须配置有一台基于 方面连接企业内部专用网络,另 公用的IP地址。当客户机通过VP t服务提供商)将所有的数据传 目标计算机。VPN使用三个方面 。客户机向VPN服务器发出请求 密的响应信息发送到VPN服务器 N服务器将检查该用户是否具有 接受此连接。在身份验证过程中 连接的示意图如下所示。 |
Windows NT或Windows2000 Server 一方面要连接到Internet,也就是 N连接与专用网络中的计算机进行 送到VPN服务器,然后再由VPN服务 的技术保证了通信的安全性:隧道 ,VPN服务器响应请求并向客户机 ,VPN服务器根据用户数据库检查 远程访问权限,如果该用户拥有远 产生的客户机和服务器公有密钥将 |
 |