VPN技術(shù)分析與比較

南京特殊教育師范學(xué)院 劉炳芳

VPN技術(shù)分析與比較

南京特殊教育師范學(xué)院 劉炳芳

本文簡要分析各類VPN的技術(shù)原理，對各類VPN的優(yōu)缺點及實現(xiàn)場合作比較，介紹了各類VPN的典型應(yīng)用。

VPN；網(wǎng)絡(luò)安全；協(xié)議；虛擬網(wǎng)

前言

VPN技術(shù)是在公共通信網(wǎng)絡(luò)（如Internet）傳輸數(shù)據(jù)，通過傳輸管理、數(shù)據(jù)加密、路由選擇等手段，實現(xiàn)數(shù)據(jù)的安全通信的技術(shù)。它的基本原理是在需要數(shù)據(jù)通信的兩個端點，可能連接在公共網(wǎng)絡(luò)上，也可能是兩個局域網(wǎng)，一方面要保證數(shù)據(jù)的可達性，另一方面要保證數(shù)據(jù)傳輸?shù)谋Ｃ苄裕琕PN技術(shù)是將通信的兩端上，增設(shè)VPN設(shè)備，在通信網(wǎng)絡(luò)上創(chuàng)建一條虛擬的專用通信信道，通過通信協(xié)議規(guī)定雙方通信鏈路的建立、數(shù)據(jù)的封裝和加密以及數(shù)據(jù)的解密和解封等一系列動作，讓通信數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸，保證了通信數(shù)據(jù)在傳輸過程的機密性和安全性。VPN能有效地使授權(quán)用戶在其授權(quán)范圍內(nèi)使用企業(yè)內(nèi)部的數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的安全通信和交換。目前VPN受到廣泛關(guān)注和普遍應(yīng)用，其根本原因是企業(yè)內(nèi)部和企業(yè)之間信息存取的需求日益增加，通信安全要求日益重視。VPN正是基于在不安全、可靠的Internet建立安全的網(wǎng)絡(luò)通這一要求應(yīng)運而生的，具有價格便宜，安全性更高，快捷方便等優(yōu)點。根據(jù)VPN的實現(xiàn)技術(shù)和使用的協(xié)議的不同，我們可以將VPN分為數(shù)據(jù)鏈路層VPN、網(wǎng)絡(luò)層VPN、傳輸層及應(yīng)用層VPN等。VPN技術(shù)除了加密的訪問隧道外，包涵了很多其它技術(shù)，包括訪問控制、傳輸管理、加密、路由選擇、可用性管理等，使得VPN的安全性得到全面提升，在全球的信息安全體系中發(fā)揮著重要的作用。

1 常見幾種VPN原理

1.1 PPTP VPN

PPTP VPN是由3Com和微軟公司合作開發(fā)，廣泛使用的VPN的協(xié)議，Windows 98、Windows 2000等微軟操作系統(tǒng)中都包含有該協(xié)議， Unix、Linux操作系統(tǒng)也支持這一協(xié)議。PPTP是一種隧道機制，它通過通信雙方在其通信的中間鏈路上使用點對點協(xié)議（PPP）幀的進行數(shù)據(jù)傳輸，通過利用PPP的身份驗證、PAP或CHAP加密協(xié)議進行，實現(xiàn)遠程客戶端與企業(yè)服務(wù)器端之間數(shù)據(jù)的安全傳輸。PPTP協(xié)議規(guī)定將PPP幀封裝成IP數(shù)據(jù)包，對封裝的數(shù)據(jù)包進行加密，然后在公共網(wǎng)絡(luò)（Internet網(wǎng)）上傳輸，保證數(shù)據(jù)通信的安全性。PPTP最初是針對撥號或?qū)＞€方式的用戶，通過PPP協(xié)議建立點對點連接，建立安全通信信道，來發(fā)送經(jīng)過加密的數(shù)據(jù)，達到安全通信的目的，其后PPTP協(xié)議發(fā)展成為各種主機、網(wǎng)橋和路由器實現(xiàn)共通的解決方案。PPTP使用PPP協(xié)議對數(shù)據(jù)進行封裝，PPTP也有缺點，就是它只能在兩端點間建立單一隧道。

1.2 L2TP

第2層隧道協(xié)議 (L2TP) 是IETF基于L2F（Cisco的第二層轉(zhuǎn)發(fā)協(xié)議）開發(fā)的PPTP的后續(xù)版本。是一種比PPTP更安全的一種隧道協(xié)議，其可以在點到點協(xié)議 (PPP) 框架基礎(chǔ)上為數(shù)據(jù)包提供封裝，是擴展的PPP模型。L2TP使用PPP協(xié)議來封裝用戶數(shù)據(jù)，允許多種協(xié)議通過隧道進行傳送。L2TP相比較PPTP性能更好，L2TP支持多隧道，用戶可以根據(jù)不同的服務(wù)質(zhì)量要求，創(chuàng)建不同的隧道。L2TP還可以跟IPsec結(jié)合起來使用，將L2TP數(shù)據(jù)包封裝在IPSec數(shù)據(jù)報中，充分利用IPSec的安全性優(yōu)點和擴展了L2TP的性能，包括用戶驗證、隧道地址分配和配置和支持PPP的多協(xié)議等功能。Windows操作系統(tǒng)中推薦使用L2TP/IPSec結(jié)合的模式。L2TP報文分為控制報文和數(shù)據(jù)報文兩類?？刂茍笪陌↙2TP通道的建立、維護、拆除，控制消息中的參數(shù)用AVP值對來表示，使得L2TP協(xié)議具有良好的擴展性。數(shù)據(jù)報文用于PPP報文進行封裝和傳輸。

1.3 IPSec隧道模式

IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，IPSec全稱為Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定義的安全標準框架，用以提供公用和專用網(wǎng)絡(luò)的端對端加密和驗證服務(wù)。IPsec有兩種工作模式，一種是傳輸模式，另一種是隧道模式，傳輸模式與隧道模式的區(qū)別在于數(shù)據(jù)封裝的方式不一樣，傳輸模式是在原IP數(shù)據(jù)包后增加IPsec頭，而隧道模式則是將原IP數(shù)據(jù)包作為新IP包的數(shù)據(jù)部分，另外新建一個帶IPsec頭的IP頭。IPSec隧道模式包含數(shù)據(jù)包的封裝、路由與解封裝的整個過程。封裝后的新的數(shù)據(jù)包可能會有新的源地址和目的地址和新的路由信息，保證其能夠通過公共網(wǎng)絡(luò)傳輸，到達目點地后解封，還原成原始數(shù)據(jù)包。IPSec VPN將隧道與數(shù)據(jù)加密結(jié)合起來后，雖然傳輸過程中數(shù)據(jù)包可能被竊取，但數(shù)據(jù)包內(nèi)的數(shù)據(jù)是加密的，無法還原成原始數(shù)據(jù)。封裝的數(shù)據(jù)包到達目的地后，會用系統(tǒng)協(xié)商好的算法對數(shù)據(jù)包解除封裝，獲取原始的數(shù)據(jù)包，再根據(jù)原始數(shù)據(jù)包頭信息，在目標網(wǎng)絡(luò)中進行路由，將數(shù)據(jù)包路由到最終目的地。

表1

IPsec VPN中的隧道是一個邏輯傳輸路徑。隧道內(nèi)傳輸?shù)臄?shù)據(jù)包封裝了原始數(shù)據(jù)據(jù)，包括原始的源地址和目的地址，原始數(shù)據(jù)包在隧道中是邏輯不可見的。封裝的數(shù)據(jù)包在網(wǎng)絡(luò)中的隧道內(nèi)部傳輸。隧道的兩端的網(wǎng)關(guān)，可以是公共網(wǎng)絡(luò)（Internet）或者是專用網(wǎng)絡(luò)的周界網(wǎng)關(guān)。使用IPSec隧道模式一個重要原因是增加其兼容性，能為其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術(shù)的路由器、網(wǎng)關(guān)或終端系統(tǒng)提供互操作。

1.4 SSL VPN

SSL VPN是解決遠程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。使用SSL VPN遠程訪問數(shù)據(jù)不需要安裝額外的客戶端軟件，只要使用系統(tǒng)自帶的瀏覽器即可。SSL協(xié)議是應(yīng)用層協(xié)議，SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/ IP 之間進行數(shù)據(jù)交換的安全機制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證以及可選擇的客戶機認證。SSL協(xié)議由許多子協(xié)議組成，其中主要有兩個子協(xié)議，分別是握手協(xié)議和記錄協(xié)議。握手協(xié)議建立在TCP協(xié)議之上，提供了數(shù)據(jù)封裝、壓縮、加密等基本功能。記錄協(xié)議主要用于通訊雙方身份認證、加密算法協(xié)商、密鑰交換等功能。

SSL 通過加密方式保護在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性，它可以自動應(yīng)用在每一個瀏覽器上。因此SSL VPN獨立于應(yīng)用，任何應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。相對于IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網(wǎng)絡(luò)適應(yīng)強等特點。SSL VPN具有兩個基本要求，其一是必須使用SSL協(xié)議進行認證和加密，其二是不需要安裝額客戶端，直接使用瀏覽器完成操作。目前SSL VPN產(chǎn)品有很多，常用的有FirePass SSLVPN、網(wǎng)神SSL VPN、Open SSLVPN等。

2 常見VPN協(xié)議對比

各類VPN其實現(xiàn)技術(shù)和基于的協(xié)議各不相同，實現(xiàn)條件也不相同，在安全性、加密、與硬件防火墻的兼容性、訪問控制等方面都有區(qū)別，現(xiàn)將主要區(qū)別列出如表1所示。

3 VPN的典型應(yīng)用

3.1 企業(yè)內(nèi)部網(wǎng)絡(luò)互連

目前很多企業(yè)有分支機構(gòu)或分公司，它們之間的網(wǎng)絡(luò)通信基本是通過Internet網(wǎng)絡(luò)實現(xiàn)互聯(lián)，要實瑞安全通信，VPN技術(shù)是其必不可少的選擇。在企業(yè)分公司的防火墻或者路由器上，配置VPN服務(wù)。在公司各分支機構(gòu)通過Internet網(wǎng)，利用VPN技術(shù)，建立起一條專用通信通道，數(shù)據(jù)在通道上被封裝、加密，在傳送到對方防火墻或路由器上時，VPN服務(wù)將傳送過來的數(shù)據(jù)包解密和解封，恢復(fù)成原始的數(shù)據(jù)怨，實現(xiàn)分公司之間的網(wǎng)絡(luò)通信。由此可見，一方面VPN技術(shù)可在一定程度上保障網(wǎng)絡(luò)通信內(nèi)容的安全性。另一方面利用虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)，在網(wǎng)絡(luò)通信速度上得到有效保障。

在利用VPN技術(shù)實現(xiàn)公司內(nèi)部之間網(wǎng)絡(luò)連接，需要注意二點：（1）網(wǎng)絡(luò)帶寬。VPN技術(shù)雖然實現(xiàn)了網(wǎng)絡(luò)的可訪性，但是在部署VPN應(yīng)用時，要注意分析可能產(chǎn)生的帶寬問題與訪問連接數(shù)問題。（2）訪問權(quán)限與安全管理。利用VPN實現(xiàn)公司分支機構(gòu)互連時，需最大程度增加網(wǎng)絡(luò)透明性，設(shè)置統(tǒng)一的訪問賬戶與密碼，讓用戶感受不到VPN的存在，這就要求對公司分支機構(gòu)的VPN服務(wù)器能統(tǒng)一配置和管理，對訪問者的權(quán)限進行合理的配置。

3.2 企業(yè)擴展虛擬局域網(wǎng)

企業(yè)擴展虛擬局域網(wǎng)，是指企業(yè)的外部合作伙伴，能夠快速、安全的訪問本企業(yè)的內(nèi)部網(wǎng)絡(luò)應(yīng)用。利用VPN技術(shù)實現(xiàn)公司之間網(wǎng)絡(luò)的互連。在網(wǎng)絡(luò)互連時要注意以下問題 ，一是數(shù)據(jù)的過濾。通過VPN服務(wù)器進行控制，進行外部用戶的賬戶設(shè)置并分配給其合理的權(quán)限。保證本公司內(nèi)部的核心數(shù)據(jù)不外泄。二是訪問內(nèi)容的限制。對外公司的客戶對本企業(yè)資源的訪問必須嚴格限制，只能夠訪問有限的資源。給外部公司的客戶的帳戶在分配權(quán)限的時候，要遵循最小權(quán)限的原則。

3.3 遠程用戶訪問虛擬網(wǎng)

遠程用戶訪問虛擬網(wǎng)，是指當本公司的員工出差或者在家里時，利用VPN技術(shù)，訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)，比如訪問企業(yè)內(nèi)部的ERP系統(tǒng)、文件服務(wù)器系統(tǒng)、甚至特定的服務(wù)器或者主機等。對于遠程用戶訪問VPN時，最頭疼的問題密碼保護問題，網(wǎng)絡(luò)管理員要引起充分的重視。

4 結(jié)束語

通過對常見的各種VPN比較分析，可以看出VPN對現(xiàn)代企事業(yè)信息安全交換帶來很大的便利，安全性得到大大提升。在實際應(yīng)用中，IPSec VPN具有部署簡單、使用靈活、維護成本低、對網(wǎng)絡(luò)設(shè)備透明、應(yīng)用安全性高的優(yōu)點。SSL VPN能夠保障應(yīng)用系統(tǒng)的安全，適應(yīng)移動辦公用戶和遠程終端隨時隨地接入的靈活性。但SSL VPN 與IPSec VPN相比，在數(shù)據(jù)傳輸效率上有差距，SSL VPN每次連接都要握手，開銷大。在實際應(yīng)用中，我們往往會根據(jù)不同的需要使用不同的VPN，多種VPN技術(shù)綜合使用。

[1]劉洋．IPSec VPN和SSL VPN的分析比較[J]．電腦知識與技術(shù),2009,5(4):825-827．

[2]李宇耀．IPSec VPN與BGP MPLS VPN技術(shù)原理及安全性能比較[J]．陜西工學(xué)院學(xué)報,2005,3(21):64-67．

[3]易光華．MPLS VPN、IPSec VPN和SSLVPN技術(shù)的研究與比較[J]．貴州科學(xué),2007,25(2):34-38．

[4]唐如鴻．SSL VPN與IPSec VPN技術(shù)比較[J]．計算機安全,2004(8):8-9．

[5]徐家臻,陳基萌．基于IPSec與基于SSL的VPN的比較與分析[J]．2004,25(4):586-588．

[6]吳剛．多種平臺的VPN應(yīng)用比較[J]．計算機系統(tǒng)應(yīng)用,2011,20(8):245-249．

劉炳芳（1973—），男，南京特殊教育師范學(xué)院，高級工程師，信息技術(shù)部主任，從事計算機網(wǎng)絡(luò)、信息資源數(shù)字化、信息檢索與整合和圖書館無障礙服務(wù)等方面研究。