VPN技術(shù)內(nèi)容概述

《VPN技術(shù)內(nèi)容概述》由會(huì)員上傳分享，免費(fèi)在線(xiàn)閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。

1、VPN技術(shù)概述鹿擬專(zhuān)用網(wǎng)（VPN）是一種以公用網(wǎng)絡(luò)，尤其是Internet為基礎(chǔ)，綜合運(yùn)用隧道封裝、認(rèn)證、加密、訪問(wèn)控制等多種網(wǎng)絡(luò)安全技術(shù)，為企業(yè)總部、分支機(jī)構(gòu)、合作伙伴及遠(yuǎn)程和移動(dòng)辦公人員提供安全的網(wǎng)絡(luò)互通和資源共享的技術(shù)，包括和該技術(shù)相關(guān)的多種安全管理機(jī)制。VPN的主要目標(biāo)是建立一種靈活、低成本、可擴(kuò)展的網(wǎng)絡(luò)互連手段，以替代傳統(tǒng)的長(zhǎng)途專(zhuān)線(xiàn)連接和遠(yuǎn)程撥號(hào)連接，但同時(shí)VPN也是一種實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)安全隔離的有效方式。VPN技術(shù)需要解決的主要問(wèn)題概括起來(lái)就是：實(shí)現(xiàn)低成本的互通和安全。企業(yè)網(wǎng)絡(luò)互聯(lián)的基本安全要素企業(yè)通過(guò)公網(wǎng)實(shí)現(xiàn)跨地域的系統(tǒng)互聯(lián)必然而臨安全問(wèn)題。使用公用網(wǎng)絡(luò)會(huì)導(dǎo)致機(jī)構(gòu)間的傳輸信

2、息容易被竊取，同時(shí)攻擊者有可能通過(guò)公網(wǎng)對(duì)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊，因此虛擬專(zhuān)用網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的基本安全要素X*保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過(guò)授權(quán)的，要有抵抗地址假冒（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子篡改數(shù)據(jù)的能力。n保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽(tīng)者不能破解攔截到的通道數(shù)據(jù)。*提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。xX*提供安全防護(hù)措施和訪問(wèn)控制，具有抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問(wèn)控制。需要強(qiáng)調(diào)指出的是：網(wǎng)絡(luò)信息系統(tǒng)是由人參與

3、的信息系統(tǒng)環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。企業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。VPN技術(shù)基礎(chǔ)實(shí)現(xiàn)一個(gè)完整的VPN的主要基礎(chǔ)技術(shù)包括隧道技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問(wèn)控制技術(shù)。隧道技術(shù)使得各種內(nèi)部數(shù)據(jù)包可以通過(guò)公網(wǎng)進(jìn)行傳輸：密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶(hù)身份、抗否認(rèn)等，網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來(lái)攻擊。隧道技術(shù)由于受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過(guò)Internet傳輸?shù)模仨毚院戏ǖ腎P地址

4、。有多種方法可以完成這種地址轉(zhuǎn)換，如靜態(tài)IP地址轉(zhuǎn)換、動(dòng)態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等，對(duì)于VPN而言，數(shù)據(jù)包封裝（隧道）是最常用的技術(shù)。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點(diǎn)，此時(shí)需將原數(shù)據(jù)包打包，添加合法的外層IP包頭，這個(gè)包可通過(guò)公網(wǎng)被傳送到接收端的VPN節(jié)點(diǎn)，該節(jié)點(diǎn)接收后進(jìn)行拆包處理，還原出原報(bào)文后傳述給目標(biāo)主機(jī)。幾乎所有的VPN技術(shù)均采用了數(shù)據(jù)包封裝技術(shù)，下圖為IPSecVPN隧道模式下刈?數(shù)據(jù)包的封裝過(guò)程:密碼技術(shù)密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一，實(shí)際上，數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)

5、加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶(hù)的搭線(xiàn)竊聽(tīng)和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法，這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)。數(shù)據(jù)加密過(guò)程是由各種加密算法來(lái)具體實(shí)施，按照收發(fā)雙方密鑰是否相同來(lái)分類(lèi)，可以將這些加密算法分為對(duì)稱(chēng)密碼算法和非對(duì)稱(chēng)密碼算法（公鑰算法）。對(duì)稱(chēng)密鑰密碼算法的收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。最著名的對(duì)稱(chēng)密碼算法為美國(guó)的DES算法及其各種變形。對(duì)稱(chēng)密碼算法的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度和較快的運(yùn)算速度，但其密仞必須通過(guò)安全的途徑傳送。因此，其密仞管理成為系統(tǒng)安全的重要因素。非對(duì)稱(chēng)密鑰（公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀?/p>

6、不可能從加密密鑰推導(dǎo)出解密密鑰，這些特性使其成為實(shí)現(xiàn)數(shù)字簽名的最佳選擇。rh丁-非對(duì)稱(chēng)密碼算法加密速度慢，不適宜直接對(duì)實(shí)時(shí)的和大量的數(shù)據(jù)加密。在IPScc實(shí)現(xiàn)中，非對(duì)稱(chēng)算法（證書(shū)）用于白動(dòng)協(xié)商隧道密鑰（對(duì)稱(chēng)密鑰），從而可大大簡(jiǎn)化密鑰的管理工作。在ip最著名也是應(yīng)用最為廣泛的公鑰密碼算法是RSA算法。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)網(wǎng)絡(luò)訪問(wèn)控制技術(shù)對(duì)出入廣域網(wǎng)的數(shù)據(jù)包進(jìn)行過(guò)濾，即傳統(tǒng)的防火墻功能。由于防火墻和VPN均處于公網(wǎng)出口處，在網(wǎng)絡(luò)屮的位置基本相同，而其功能具有很強(qiáng)的互補(bǔ)性，因此一個(gè)完整的VPN產(chǎn)品應(yīng)同時(shí)提供完善的網(wǎng)絡(luò)訪問(wèn)控制功能，這可以在系統(tǒng)的安全性、性能及統(tǒng)一管理上帶來(lái)一系列的好處。IPSec

7、VPN網(wǎng)絡(luò)安全體系IT前建造虛擬專(zhuān)用網(wǎng)依據(jù)的主耍國(guó)際標(biāo)準(zhǔn)有IPSec、L2TP、PPTP、L2F、SOCKS等。各種標(biāo)準(zhǔn)的側(cè)重點(diǎn)有所不同，其中IPSec是由IETF正式定制的開(kāi)放性IP安全標(biāo)準(zhǔn)，是虛擬專(zhuān)網(wǎng)的基礎(chǔ)。實(shí)際上，IPV6版本就將IPSec作為其組成部分，而L2TP協(xié)議草案中也規(guī)定它（L2TP標(biāo)準(zhǔn)）必須以IPSec為安全基礎(chǔ)。目前，采用IPSec標(biāo)準(zhǔn)的VPN技術(shù)已經(jīng)基本成熟,得到國(guó)際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，并且正在不斷豐